Soluciona problemas de inspección y extremos

Cómo verificar que un extremo de IDS funcione

Para confirmar que un extremo de IDS funciona, haz lo siguiente:

  1. Verifica que el extremo de IDS aparezca en la consola de Google Cloud del IDS de Cloud y que haya una política de duplicación de paquetes en la columna Attached Policies.
  2. Haz clic en el nombre de la política adjunta para asegurarte de que la política adjunta esté habilitada y que Policy Enforcement esté configurado como Habilitada.
  3. Para verificar que el tráfico se duplique, elige una instancia de VM en la VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que en el panel Mirrored Bytes se muestre el tráfico que se duplica en el extremo de IDS.
  4. Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una política de duplicación de paquetes, ya que cada paquete se puede duplicar en un solo destino. Verifica la columna Attached Policies y asegúrate de que haya solo una política por VM.

  5. Genera una alerta de prueba con SSH para conectarte a una VM en la red supervisada y, luego, ejecuta el siguiente comando:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Si curl no está disponible en la plataforma, puedes usar una herramienta similar para realizar solicitudes HTTP.

    Después de unos segundos, debería aparecer una alerta en la IU del IDS de Cloud y en Cloud Logging (registro de amenazas).

Desencripta el tráfico para su inspección

El IDS de Cloud necesita ver el tráfico desencriptado. Puedes desencriptar el tráfico en el balanceador de cargas L7 o implementar un dispositivo de terceros. Si deseas desencriptar el tráfico a nivel de balanceo de cargas, lee la siguiente sección.

Debido a que los balanceadores de cargas de aplicaciones externos requieren certificados SSL, el tráfico SSL entre el balanceador de cargas y el cliente se encripta. El tráfico del GFE a los backends es HTTP estándar, que el IDS de Cloud puede inspeccionar. Consulta los siguientes recursos para configurar la desencriptación:

Solo se inspecciona un pequeño volumen de tráfico

El IDS de Cloud solo puede inspeccionar el tráfico a las VMs o los Pods de GKE. Si tu subred o VPC no contiene ninguna VM o Pods de GKE, el IDS de Cloud no puede inspeccionar el tráfico dirigido hacia tus otros recursos.