Verificare il funzionamento di un endpoint IDS
Per verificare che un endpoint IDS funzioni, procedi nel seguente modo:
- Verifica che l'endpoint IDS venga visualizzato nella console Google Cloud di Cloud IDS
e che sia presente un criterio di mirroring pacchetto nella colonna
Attached Policies. - Assicurati che il criterio associato sia attivato facendo clic sul nome del criterio e assicurati che
Policy Enforcementsia impostato su Attivato. - Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nel VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard
Mirrored Bytesmostri il traffico sottoposto a mirroring sull'endpoint IDS. - Assicurati che lo stesso traffico (o VM) non sia interessato da più criteri di mirroring pacchetto, poiché ogni pacchetto può essere sottoposto a mirroring su una sola destinazione. Controlla la colonna
Attached Policiese assicurati che sia presente un solo criterio per VM. Genera un avviso di test utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui il comando seguente:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire le richieste HTTP.
Dopo alcuni secondi, dovrebbe essere visualizzato un avviso sia nell'interfaccia utente di Cloud IDS che in Cloud Logging (Log delle minacce).
Decriptazione del traffico per l'ispezione
Cloud IDS deve vedere il traffico decriptato. Puoi decriptare il traffico nel bilanciatore del carico L7 o eseguire il deployment di un'appliance di terze parti. Se vuoi decriptare il traffico a livello di bilanciamento del carico, leggi la sezione seguente.
Poiché il bilanciatore del carico HTTP(S) esterno richiede certificati SSL, il traffico SSL tra il bilanciatore del carico e il client è criptato. Il traffico dal GFE ai backend è traffico HTTP standard, che Cloud IDS può esaminare. Consulta le seguenti risorse per configurare la decriptazione: