Verifica que un extremo de IDS funcione
Para confirmar que un extremo de IDS funcione, haz lo siguiente:
- Verifica que el extremo de IDS aparezca en la consola de Google Cloud de IDS de Cloud y que haya una política de duplicación de paquetes en la columna
Attached Policies. - Haz clic en el nombre de la política para asegurarte de que esté habilitada y de que
Policy Enforcementesté configurado como Habilitado. - Para verificar que se esté reflejando el tráfico, elige una instancia de VM en la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel
Mirrored Bytesmuestre el tráfico que se refleja en el extremo del IDS. - Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una
política de duplicación de paquetes, ya que cada paquete se puede duplicar en un solo
destino. Revisa la columna
Attached Policiesy asegúrate de que haya una sola política por VM. Genera una alerta de prueba con SSH para conectarte a una VM en la red supervisada y, luego, ejecuta el siguiente comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.
Después de unos segundos, debería aparecer una alerta en la IU de Cloud IDS y en Cloud Logging (registro de amenazas).
Cómo desencriptar el tráfico para la inspección
Para inspeccionar el tráfico, el IDS de Cloud usa la duplicación de paquetes para enviar copias a nivel de paquete del tráfico configurado a la VM de IDS. Aunque el destino del recopilador recibe todos los paquetes reflejados, Cloud IDS no puede desencriptar los paquetes que transportan datos encriptados con un protocolo seguro, como TLS, HTTPS o HTTP2.
Por ejemplo, si usas HTTPS o HTTP2 como el protocolo de servicio de backend para un balanceador de cargas de aplicaciones externo, los paquetes que se envían a los backends del balanceador de cargas se pueden duplicar en IDS de Cloud. Sin embargo, IDS de Cloud no puede inspeccionar las solicitudes porque los paquetes llevan datos encriptados. Para habilitar la inspección de IDS de Cloud, debes cambiar el protocolo del servicio de backend a HTTP. Como alternativa, puedes usar Google Cloud Armor para la prevención de intrusiones y habilitar los registros del balanceador de cargas de aplicaciones para la inspección de solicitudes. Para obtener más información sobre el registro de solicitudes del balanceador de cargas de aplicaciones, consulta Registro y supervisión del balanceador de cargas de aplicaciones externo global y Registro y supervisión del balanceador de cargas de aplicaciones externo regional.
Solo se inspecciona un volumen pequeño de tráfico.
Cloud IDS inspecciona el tráfico que se envía a los recursos o que estos reciben en subredes duplicadas, incluidas las Google Cloud VM, los nodos y los pods de GKE.
Si una subred duplicada no contiene VMs, Cloud IDS no tiene tráfico para inspeccionar.
Las políticas de extremo se ignoran cuando se usan políticas de inspección de L7 de Cloud NGFW.
Cuando usas las políticas de inspección de la capa 7 de Cloud Next Generation Firewall (reglas con la
acción apply_security_profile_group) y el IDS de Cloud en conjunto, se evalúan las reglas de la
política de firewall y el tráfico no se duplica para la inspección del IDS de Cloud. Para evitar esta situación, asegúrate de que las políticas de inspección de L7 de Cloud NGFW no se apliquen a los paquetes que debes inspeccionar con el IDS de Cloud.