Esta página se ha traducido con Cloud Translation API.

Solucionar problemas de endpoints e inspección

Verificar que un endpoint de IDS funciona

Para confirmar que un endpoint de IDS funciona correctamente, haz lo siguiente:

Comprueba que el endpoint de IDS aparezca en la consola de Cloud IDS Google Cloud y que haya una política de replicación de paquetes en la columna Attached Policies.
Para comprobar que la política adjunta está habilitada, haz clic en el nombre de la política y asegúrate de que Policy Enforcement esté configurado como Habilitada.
Para verificar que el tráfico se está duplicando, elija una instancia de VM en la VPC monitorizada, vaya a la pestaña Observabilidad y compruebe que el panel de control Mirrored Bytes muestra que el tráfico se está duplicando en el endpoint de IDS.
Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una política de replicación de paquetes, ya que cada paquete solo se puede replicar en un destino. Consulta la columna Attached Policies y asegúrate de que solo haya una política por máquina virtual.
Genera una alerta de prueba mediante SSH para conectarte a una VM de la red monitorizada y, a continuación, ejecuta el siguiente comando:
```
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
```
Si curl no está disponible en la plataforma, puedes usar una herramienta similar para enviar solicitudes HTTP.

Al cabo de unos segundos, debería aparecer una alerta en la interfaz de usuario de Cloud IDS y en Cloud Logging (registro de amenazas).

Descifrar el tráfico para inspeccionarlo

Para inspeccionar el tráfico, Cloud IDS usa la creación de réplicas de paquetes para enviar copias a nivel de paquete del tráfico configurado a la VM de IDS. Aunque el destino del recopilador recibe todos los paquetes duplicados, Cloud IDS no puede descifrar los paquetes que contienen datos cifrados con un protocolo seguro, como TLS, HTTPS o HTTP2.

Por ejemplo, si usas HTTPS o HTTP2 como protocolo de servicio de backend de un balanceador de carga de aplicaciones externo, los paquetes enviados a los backends del balanceador de carga se pueden duplicar en Cloud IDS. Sin embargo, Cloud IDS no puede inspeccionar las solicitudes porque los paquetes contienen datos cifrados. Para habilitar la inspección de Cloud IDS, debes cambiar el protocolo del servicio de backend a HTTP. También puedes usar Google Cloud Armor para evitar intrusiones y habilitar los registros del balanceador de carga de aplicaciones para inspeccionar las solicitudes. Para obtener más información sobre el registro de solicitudes del balanceador de carga de aplicaciones, consulta Registro y monitorización del balanceador de carga de aplicaciones externo global y Registro y monitorización del balanceador de carga de aplicaciones externo regional.

Solo se inspecciona un pequeño volumen de tráfico

Cloud IDS inspecciona el tráfico enviado o recibido por los recursos de las subredes reflejadas, incluidas las máquinas virtuales, los nodos de GKE y los pods. Google Cloud

Si una subred reflejada no contiene ninguna VM, Cloud IDS no tendrá tráfico que inspeccionar.

Las políticas de endpoint se ignoran cuando se usan políticas de inspección de nivel 7 de Cloud NGFW

Cuando usas Cloud Next Generation Firewall y Cloud IDS juntos, se evalúan las reglas de la política de cortafuegos y el tráfico no se replica para la inspección de Cloud IDS.apply_security_profile_group Para evitar esta situación, asegúrate de que las políticas de inspección de capa 7 de Cloud NGFW no se apliquen a los paquetes que necesites inspeccionar con Cloud IDS.