Inspección y solución de problemas de endpoints

Verifica que un extremo de IDS funcione

Para confirmar que un extremo de IDS funciona, haz lo siguiente:

1. Verifica que el extremo de IDS aparezca en la consola de Google Cloud del IDS de Cloud y que haya una política de duplicación de paquetes en la columna Attached Policies.
2. Haz clic en el nombre de la política para asegurarte de que esté habilitada la política adjunta y asegúrate de que Policy Enforcement esté configurada como Habilitada.
3. Para verificar que el tráfico se duplique, elige una instancia de VM en la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel Mirrored Bytes muestre el tráfico que se duplica en el extremo IDS.
4. Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una política de duplicación de paquetes, ya que cada paquete se puede duplicar en un solo destino. Verifica la columna Attached Policies y asegúrate de que solo haya una política por VM.

5. Genera una alerta de prueba mediante SSH para conectarte a una VM en la red supervisada y, luego, ejecuta el siguiente comando:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.

   Después de unos segundos, debería aparecer una alerta en la IU del IDS de Cloud y en Cloud Logging (registro de amenazas).

Desencriptación del tráfico para inspección

El IDS de Cloud necesita ver el tráfico desencriptado. Puedes desencriptar el tráfico en el balanceador de cargas L7 o implementar un dispositivo externo. Si deseas desencriptar el tráfico en el nivel del balanceo de cargas, lee la siguiente sección.

Debido a que los balanceadores de cargas de aplicaciones externos requieren certificados SSL, el tráfico SSL entre el balanceador de cargas y el cliente se encripta. El tráfico del GFE a los backends es el tráfico HTTP estándar, que el IDS de Cloud puede inspeccionar. Consulta los siguientes recursos para configurar la desencriptación:

• Certificados autoadministrados
• Certificados administrados por Google

Solo se inspecciona un volumen pequeño de tráfico

El IDS de Cloud solo puede inspeccionar el tráfico hacia las VMs o los Pods de GKE. Si tu subred o VPC no contiene VMs ni Pods de GKE, el IDS de Cloud no puede inspeccionar el tráfico dirigido a tus otros recursos.

Las políticas de extremos se ignoran cuando se usa el firewall de nueva generación de Cloud

Cuando usas las políticas de inspección de firewall L7 de Cloud Next y las políticas de extremos de IDS de Cloud, asegúrate de que las políticas no se apliquen al mismo tráfico. Si las políticas se superponen, tiene prioridad la política de inspección de L7 y el tráfico no se duplica.