Antes de iniciarmos , veja uma tabela das principais features adicionadas no NSX-T 3.0:<\/p>\n
![\"\"](\"http:\/\/vbrain.com.br\/wp-content\/uploads\/2020\/11\/img_5fa8164d317eb.png\")
<\/p>\n
<\/p>\n
O que \u00e9 um IDS\/IPS?<\/h3>\n
Tipicamente, sistemas de IDS (Intrusion Prevention System) <\/strong>e IPS (Intrusion Prevention System) <\/strong>costumam ser executados no mesmo appliance<\/em>, seja ele f\u00edsico ou virtual, na verdade, com advento dos Next Generation Firewalls (NGFW), \u00e9 bem comum vermos essa featuare <\/em>sendo executada por NGFW’s.<\/p>\n Os sistemas de IDS, como o pr\u00f3prio nome sugere, s\u00e3o sistemas que detectam vulnerabilidades atrav\u00e9s de assinaturas, essas assinaturas s\u00e3o capazes de identificar tentativas de explora\u00e7\u00e3o de vulnerabilidades em aplica\u00e7\u00f5es e sistemas, j\u00e1 o termo IPS refere-se ao controle e bloqueio do tr\u00e1fego quando uma tentativa de explora\u00e7\u00e3o da vulnerabilidade acontece. Geralmente o que uma assinatura faz \u00e9 comparar o tr\u00e1fego sendo transmitido naquele momento com uma base de tr\u00e1fego j\u00e1 conhecido como malicioso, inclusive geralmente as solu\u00e7\u00f5es de IDS costumam utilizar bases de assinaturas bem similares.<\/p>\n \u00c9 bem verdade que dependendo da configura\u00e7\u00e3o aplicada e das assinaturas ativadas, um acesso v\u00e1lido poderia ser visto pelo sistema como uma anomalia, e o IPS bloquear um acesso v\u00e1lido, me lembro bem de um cliente que atuei e que ele utilizava Joomla como solu\u00e7\u00e3o base para seus portais, com a maioria das assinaturas ativas, alguns bloqueios indesejados foram realizados, como upload de arquivos em determinada tarefa no Joomla, sendo assim, qualquer configura\u00e7\u00e3o de bloqueio em qualquer ferramenta do tipo IDS\/IPS deveria ser validade cuidadosamente.<\/p>\n Tradicionalmente, sistemas IDS s\u00e3o implementados em v\u00e1rias camadas da rede, na maioria das vezes, \u00e9 feito o espelhamento das principais portas e VLAN’s do ambiente para que todo o tr\u00e1fego desses segmentos sejam verificados, quando se utiliza a funcionalidade de IPS temos ent\u00e3o na maioria das vezes um IPS entre as principais redes do ambiente, fazendo o bloqueio quando necess\u00e1rio , ou ent\u00e3o um IPS com interfaces em cada uma dessas redes.<\/p>\n Como pode ser visto na imagem anterior, na maioria dos casos, a implanta\u00e7\u00e3o de v\u00e1rios appliances \u00e9 inevit\u00e1vel, dependendo do tamanho da rede, essa quantidade pode chegar a dezenas. Outro problema dos tradicionais IDS \u00e9 que eles geralmente n\u00e3o possuem visibilidade do ambiente virtual, tr\u00e1fego Leste-Oeste entre VM’s n\u00e3o \u00e9 analisado.<\/p>\n <\/p>\n J\u00e0 no NSX-T, a fun\u00e7\u00e3o de IDS \u00e9 instalada diretamente no hypervisor, sendo consumida diretamente nas interfaces vNIC do host ESXi.<\/p>\n Podemos fazer uma analogia \u00e0 microsegmenta\u00e7\u00e3o fornecida atrav\u00e9s do firewall distribu\u00eddo do NSX, onde temos a seguran\u00e7a do ambiente provida inclusive entre VM’s que est\u00e3o na mesma rede, sem que o tr\u00e1fego tenha que ser roteado por outros equipamentos de seguran\u00e7a, nenhum agente \u00e9 necess\u00e1rio, tudo \u00e9 feito atrav\u00e9s do VMware Tools, as VIB’s (vSphere Installation Bundle) s\u00e3o instaladas em cada um dos hosts. Uma observa\u00e7\u00e3o importante, como mencionamos, tudo \u00e9 baseado nas assinaturas, desta forma, o NSX Manager precisa de acesso a internet para que fa\u00e7a o download das \u00faltimas atualiza\u00e7\u00f5es.<\/p>\n <\/p>\n Sistemas regulat\u00f3rios como o HIPAA (Health Insurance Portability and Accountability Act), PCI DSS (Payment Card Industry Data Security Standard) e outras ISO’s necessitam de uma comprova\u00e7\u00e3o que o ambiente est\u00e1 em compliance com normas de seguran\u00e7a e investimentos\/melhorias nessa \u00e1rea foram feitos.<\/p>\n Geralmente a maior dificuldade dos atacantes \u00e9 estabelecer um primeiro acesso ao ambiente, pois os sistemas de seguran\u00e7a do ambiente tipicamente est\u00e3o focados no per\u00edmetro da rede, transpassado esse per\u00edmetro, os atacantes n\u00e3o encontram muita dificuldade para distribuir o ataque no restante do ambiente, principalmente porqu\u00ea tr\u00e1fego entre VM’s da mesma rede geralmente n\u00e3o passam por seguran\u00e7a alguma.<\/p>\n Geralmente as empresas possuem diversas redes segregadas, redes distintas para cada cliente etc, o que faz com que unidades de neg\u00f3cio sejam tratadas de forma separada. A jun\u00e7\u00e3o do DFW do NSX e as fun\u00e7\u00f5es de IDS\/IPS ajudam a implementar zonas virtuais seguras com politicas de bloqueio definidas para cada uma dessas zonas, mesmo com todos os ambientes rodando no mesmo Cluster ESXi.<\/p>\n <\/p>\n Para configurar a fun\u00e7\u00e3o de IDS, navegue dentro do NSX Manager em Security e ent\u00e3o em Distributed IDS.<\/p>\n Primeiro, verifique se as assinaturas est\u00e3o atualizadas, caso n\u00e3o estiver, atualize.<\/p>\n Veja que tamb\u00e9m \u00e9 poss\u00edvel fazer upload de assinaturas customizadas, nesse momento n\u00e3o abordaremos esse tema:<\/p>\n <\/p>\n Agora, habilite a fun\u00e7\u00e3o IDS nos Hosts standalone e nos Cluster’s do vCenter, por default<\/em>, quando as VIB’s do NSX-T s\u00e3o instaladas nos hosts, as VIB’s de IDS tamb\u00e9m s\u00e3o, nesse momento o que de fato fazemos \u00e9 apenas habilitar a fun\u00e7\u00e3o<\/p>\n <\/p>\n Agora, acesse a aba PROFILES para a cria\u00e7\u00e3o de um profile novo, caso n\u00e3o seja configurado nenhum, o default ser\u00e1 utilizado:<\/p>\n <\/p>\n Ao criar um novo profile, podemos definir quais os n\u00edveis de severidade das assinaturas gostar\u00edamos que fosse aplicado \u00e0 este profile, os n\u00edveis s\u00e3o (Critical, High, Medium e Low), as assinaturas s\u00e3o classificadas de acordo com o CVSS (Common Vulnerability Scoring System)<\/strong>, o qual \u00e9 utilizado por diversos outros sistemas de seguran\u00e7a.<\/p>\n <\/p>\n A \u00faltima etapa de configura\u00e7\u00e3o ser\u00e1 criar Rules que permitam que determinado tr\u00e1fego seja analisado, dependendo das entidades envolvidas nas regras, a regras s\u00e3o semelhantes a uma regra de firewall.<\/p>\n <\/p>\n No meu caso, criei uma regra que habilita inspe\u00e7\u00e3o IDS \u00e0 qualquer Source<\/em> ou Destination.<\/em><\/p>\n <\/p>\n Para testes no meu ambiente, utilizarei o Kali Linux, distribui\u00e7\u00e3o que utilizo para a maioria dos meus testes, mas existem outras com frameworks de igual qualidade, como Parrot Security. Para download do Kali, acesse https:\/\/www.kali.org\/.<\/p>\n Nesse teste utilizarei a ferramenta de port-scan <\/em>NMAP, <\/strong>\u00e9 uma ferramenta simples e funcional que escaneia portas abertas em determinado host ou rede, em posts futuros juro que faremos testes mais aprimorados com o Kali \ud83d\ude00<\/p>\n Ap\u00f3s executar o NMAP em minha VM CentOS com o IP 192.168.140.10, vamos aos eventos do IDS para observar se algo foi relacionado.<\/p>\n Para acessar os eventos, basta acessar a aba de Eventos em IDS no menu:<\/p>\nTradicional IDS x NSX-T IDS<\/h3>\n
![\"\"](\"http:\/\/vbrain.com.br\/wp-content\/uploads\/2020\/11\/img_5fa83f4acf76f.png\")
<\/a><\/p>\n<\/a><\/p>\n<\/p>\nfonte: https:\/\/blogs.vmware.com\/networkvirtualization\/2020\/04\/nsx-distributed-ids-ips-generally-available.html\/<\/h6>\n
Principais usos de caso para IDS\/IPS do NSX-T:<\/h3>\n
Ser parte da solu\u00e7\u00e3o para estar em compliance com sistemas regulat\u00f3rios e ISO’s:<\/h4>\n
Mitigar vulnerabilidades Leste-Oeste:<\/h4>\n
Implementar Zonas Seguras (virtuais) no ambiente:<\/h4>\n
Configura\u00e7\u00e3o da feature <\/em>de IDS<\/h3>\n
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/p>\n<\/a><\/p>\n<\/a><\/p>\nTestando a fun\u00e7\u00e3o de IDS com o Kali Linux<\/h3>\n
<\/p>\n