Fehlerbehebung für Endpunkte und Prüfung

Prüfen, ob ein IDS-Endpunkt funktioniert

So prüfen Sie, ob ein IDS-Endpunkt funktionsfähig ist:

1. Prüfen Sie, ob der IDS-Endpunkt in der Cloud IDS Google Cloud Console angezeigt wird und ob in der Spalte Attached Policies eine Paketspiegelungsrichtlinie vorhanden ist.
2. Klicken Sie auf den Richtliniennamen, um die angehängte Richtlinie zu aktivieren, und achten Sie darauf, dass Policy Enforcement auf Aktiviert gesetzt ist.
3. Wenn Sie prüfen möchten, ob Traffic gespiegelt wird, wählen Sie eine VM-Instanz in der überwachten VPC aus, rufen Sie den Tab Beobachtbarkeit auf und prüfen Sie, ob im Mirrored Bytes-Dashboard Traffic zum IDS-Endpunkt gespiegelt wird.
4. Achten Sie darauf, dass derselbe Traffic (oder dieselbe VM) nicht von mehr als einer Paketspiegelungsrichtlinie betroffen ist, da jedes Paket nur an ein Ziel gespiegelt werden kann. Prüfen Sie die Spalte Attached Policies und achten Sie darauf, dass pro VM nur eine Richtlinie vorhanden ist.

5. Generieren Sie eine Testbenachrichtigung, indem Sie mithilfe von SSH eine Verbindung zu einer VM im überwachten Netzwerk herstellen. Führen Sie dann den folgenden Befehl aus:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Wenn curl auf der Plattform nicht verfügbar ist, können Sie ein ähnliches Tool zum Ausführen von HTTP-Anfragen verwenden.

   Nach einigen Sekunden sollte eine Benachrichtigung sowohl in der Cloud IDS-UI als auch in Cloud Logging (Bedrohungslog) angezeigt werden.

Traffic zur Prüfung entschlüsseln

Cloud IDS muss entschlüsselten Traffic sehen können. Sie können Traffic mit dem L7-Load-Balancer entschlüsseln oder eine Drittanbieter-Appliance bereitstellen. Wenn Sie Traffic auf Load-Balancing-Ebene entschlüsseln möchten, lesen Sie den folgenden Abschnitt.

Da externe Application Load Balancer SSL-Zertifikate benötigen, ist der SSL-Traffic zwischen dem Load-Balancer und dem Client verschlüsselt. Der Traffic vom GFE zu den Back-Ends ist Standard-HTTP-Traffic, den Cloud IDS prüfen kann. Weitere Informationen zum Einrichten der Entschlüsselung finden Sie in den folgenden Ressourcen:

• Selbstverwaltete Zertifikate
• Von Google verwaltete Zertifikate

Es wird nur ein geringer Traffic überprüft

Cloud IDS kann nur Traffic zu VMs oder GKE-Pods prüfen. Wenn Ihr Subnetz oder Ihre VPC keine VMs oder GKE-Pods enthält, kann Cloud IDS den an Ihre anderen Ressourcen gerichteten Traffic nicht prüfen.

Endpunktrichtlinien werden bei Verwendung der Cloud Next Generation Firewall ignoriert

Wenn Sie Cloud Next Generation Firewall L7-Inspektionsrichtlinien und Cloud IDS-Endpunktrichtlinien verwenden, achten Sie darauf, dass die Richtlinien nicht für denselben Traffic gelten. Wenn sich die Richtlinien überschneiden, hat die L7-Prüfungsrichtlinie Vorrang und der Traffic wird nicht gespiegelt.