Verifica que un extremo IDS funcione
Para confirmar que un extremo IDS funciona, haz lo siguiente:
- Verifica que el extremo IDS aparezca en Google Cloud Console para IDS de Cloud y que haya una política de duplicación de paquetes en la columna
Attached Policies. - Para asegurarte de que la política adjunta esté habilitada, haz clic en el nombre de la política y asegúrate de que
Policy Enforcementesté configurada como Habilitada. - Para verificar que se duplica el tráfico, elige una instancia de VM en la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel
Mirrored Bytesmuestre el tráfico que se duplica en el extremo IDS. - Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una política de duplicación de paquetes, ya que cada paquete se puede duplicar en un solo destino. Verifica la columna
Attached Policiesy asegúrate de que solo haya una política por VM. Genera una alerta de prueba mediante SSH para conectarte a una VM en la red supervisada y, luego, ejecuta el siguiente comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.
Después de unos segundos, debería aparecer una alerta en la IU de Cloud IDS y en Cloud Logging (registro de amenazas).
Desencripta el tráfico para su inspección
IDS de Cloud necesita ver el tráfico desencriptado. Puedes desencriptar el tráfico en el balanceador de cargas L7 o implementar un dispositivo de terceros. Si deseas desencriptar el tráfico a nivel del balanceo de cargas, lee la siguiente sección.
Debido a que el balanceador de cargas de HTTP(S) externo requiere certificados SSL, el tráfico SSL entre el balanceador de cargas y el cliente está encriptado. El tráfico desde GFE hasta los backends es tráfico HTTP estándar, que Cloud IDS puede inspeccionar. Consulta los siguientes recursos para configurar la desencriptación: