Inspección y solución de problemas de endpoints

Verifica que un extremo de IDS funcione

Para confirmar que un extremo de IDS funciona, haz lo siguiente:

1. Verifica que el extremo de IDS aparezca en la consola de Google Cloud de IDS de Cloud. y que haya una política de duplicación de paquetes en la columna Attached Policies.
2. Asegúrate de que la política adjunta esté habilitada. Para ello, haz clic en el nombre de la política. asegúrate de que Policy Enforcement esté configurado como Habilitado.
3. Para verificar que el tráfico se esté duplicando, elige una instancia de VM en la la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel Mirrored Bytes muestre el tráfico que se duplica en el extremo IDS.
4. Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una de duplicación de paquetes, ya que cada paquete puede duplicarse destino. Revisa la columna Attached Policies y asegúrate de que haya solo una política por VM.

5. Genera una alerta de prueba usando SSH para conectarte a una VM en la luego, ejecuta el siguiente comando:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.

   Después de unos segundos, debería aparecer una alerta en la IU del IDS de Cloud y en Cloud Logging (Registro de amenazas).

Desencriptación del tráfico para inspección

El IDS de Cloud necesita ver el tráfico desencriptado. Puedes desencriptar el tráfico en la capa 7, balanceador de cargas o implementar un dispositivo de terceros. Si deseas desencriptar el tráfico en el de balanceo de cargas, lee la siguiente sección.

Debido a que los balanceadores de cargas de aplicaciones externos requieren certificados SSL, el tráfico SSL entre las cargas balanceador de cargas y el cliente está encriptado. El tráfico del GFE a los backends se el tráfico HTTP estándar, que IDS de Cloud puede inspeccionar. Consulta lo siguiente recursos para configurar la desencriptación:

• Certificados autoadministrados
• Certificados administrados por Google

Solo se inspecciona un volumen pequeño de tráfico

El IDS de Cloud solo puede inspeccionar el tráfico hacia las VMs o los Pods de GKE. Si tu subred o VPC no contiene VMs ni Pods de GKE, el IDS de Cloud no puede inspeccionar el tráfico dirigido a tus otros recursos.

Las políticas de extremos se ignoran cuando se usa el firewall de nueva generación de Cloud

Cuando usas las políticas de inspección de firewall L7 de Cloud Next Generation Firewall L7 y el IDS de Cloud de extremos, asegúrate de que las políticas no se apliquen al mismo tráfico. Si se superponen las políticas, prevalece la política de inspección de L7 y el tráfico no se duplica.