Memecahkan masalah endpoint dan pemeriksaan

Memverifikasi bahwa endpoint IDS berfungsi

Untuk mengonfirmasi bahwa titik akhir IDS berfungsi, lakukan hal berikut:

  1. Pastikan endpoint IDS muncul di Konsol Google Cloud untuk Cloud IDS, dan ada kebijakan duplikasi paket di kolom Attached Policies.
  2. Pastikan kebijakan yang dilampirkan diaktifkan dengan mengklik nama kebijakan, dan pastikan Policy Enforcement disetel ke Enabled.
  3. Untuk memverifikasi bahwa traffic sedang dicerminkan, pilih Instance VM di VPC yang dipantau, buka tab Kemampuan observasi, dan pastikan dasbor Mirrored Bytes menampilkan traffic yang dicerminkan ke endpoint IDS.
  4. Pastikan traffic (atau VM) yang sama tidak terpengaruh oleh lebih dari satu kebijakan duplikasi paket, karena setiap paket hanya dapat dicerminkan ke satu tujuan. Periksa kolom Attached Policies, dan pastikan hanya ada satu kebijakan per VM.
  5. Buat pemberitahuan pengujian dengan menggunakan SSH untuk terhubung ke VM di jaringan yang dipantau, lalu jalankan perintah berikut:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
    

    Jika curl tidak tersedia di platform, Anda dapat menggunakan alat serupa untuk melakukan permintaan HTTP.

    Setelah beberapa detik, pemberitahuan akan muncul di UI Cloud IDS dan di Cloud Logging (Log Ancaman).

Mendekripsi traffic untuk diperiksa

Cloud IDS perlu melihat traffic yang didekripsi. Anda dapat mendekripsi traffic pada load balancing L7, atau men-deploy alat pihak ketiga. Jika Anda ingin mendekripsi traffic pada level load balancing, baca bagian berikut.

Karena Load Balancer Aplikasi eksternal memerlukan sertifikat SSL, traffic SSL antara load balancer dan klien akan dienkripsi. Traffic dari GFE ke backend adalah traffic HTTP standar, yang dapat diperiksa oleh Cloud IDS. Lihat referensi berikut untuk menyiapkan dekripsi:

Hanya volume traffic kecil yang diperiksa

Cloud IDS hanya dapat memeriksa traffic ke VM atau Pod GKE. Jika subnet atau VPC Anda tidak memuat VM atau Pod GKE, Cloud IDS tidak dapat memeriksa traffic yang diarahkan ke resource Anda yang lain.