Soluciona problemas de extremos y de inspección

Verifica que un extremo de IDS funcione

Para confirmar que un extremo de IDS funciona, haz lo siguiente:

  1. Verifica que el extremo de IDS aparezca en la consola de Google Cloud de IDS de Cloud y que haya una política de duplicación de paquetes en la columna Attached Policies.
  2. Asegúrate de que la política adjunta esté habilitada. Para ello, haz clic en el nombre de la política. asegúrate de que Policy Enforcement esté configurado como Habilitado.
  3. Para verificar que se esté reflejando el tráfico, elige una instancia de VM en la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel Mirrored Bytes muestre el tráfico que se refleja en el extremo del IDS.
  4. Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una política de duplicación de paquetes, ya que cada paquete se puede duplicar en un solo destino. Verifica la columna Attached Policies y asegúrate de que haya una sola política por VM.
  5. Genera una alerta de prueba con SSH para conectarte a una VM en la red supervisada y, luego, ejecuta el siguiente comando:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
    

    Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.

    Después de unos segundos, debería aparecer una alerta en la IU de Cloud IDS y en Cloud Logging (registro de amenazas).

Desencriptación del tráfico para inspección

El IDS de Cloud necesita ver el tráfico desencriptado. Puedes desencriptar el tráfico en la capa 7, balanceador de cargas o implementar un dispositivo de terceros. Si deseas desencriptar el tráfico a nivel del balanceo de cargas, lee la siguiente sección.

Debido a que los balanceadores de cargas de aplicaciones externos requieren certificados SSL, el tráfico SSL entre el balanceador de cargas y el cliente se encripta. El tráfico del GFE a los backends se el tráfico HTTP estándar, que IDS de Cloud puede inspeccionar. Consulta los siguientes recursos para configurar la desencriptación:

Solo se inspecciona un volumen pequeño de tráfico.

El IDS de Cloud solo puede inspeccionar el tráfico a las VMs o los pods de GKE. Si tu subred o VPC no contiene VMs ni Pods de GKE, el IDS de Cloud no puede inspeccionar el tráfico dirigido a tus otros recursos.

Las políticas de extremos se ignoran cuando se usa el firewall de nueva generación de Cloud

Cuando uses las políticas de inspección de la capa 7 del firewall de nueva generación de Cloud y las políticas de extremos de IDS de Cloud, asegúrate de que las políticas no se apliquen al mismo tráfico. Si las políticas se superponen, la política de inspección de L7 tiene prioridad y no se duplica el tráfico.