ADC

Intégration de NetScaler Layer 3 à des dispositifs de sécurité passifs (système de détection des intrusions)

Une appliance NetScaler est désormais intégrée à des dispositifs de sécurité passifs tels que le système de détection des intrusions (IDS). Dans cette configuration, l’appliance envoie une copie du trafic d’origine en toute sécurité aux appareils IDS distants. Ces appareils passifs stockent des journaux et déclenchent des alertes lorsqu’ils détectent un trafic défectueux ou non conforme. Il génère également des rapports à des fins de conformité. Si une appliance NetScaler est intégrée à deux appareils IDS ou plus et que le volume de trafic est élevé, l’appliance peut équilibrer la charge des appareils en clonant le trafic au niveau du serveur virtuel.

Pour une protection de sécurité avancée, une appliance NetScaler est intégrée à des dispositifs de sécurité passifs tels que le système IDS déployé en mode détection uniquement. Ces appareils stockent le journal et déclenchent des alertes lorsqu’ils détectent un trafic mauvais ou non conforme. Il génère également des rapports à des fins de conformité. Vous trouverez ci-dessous certains des avantages de l’intégration de NetScaler à un appareil IDS.

  • Inspection du trafic chiffré. La plupart des dispositifs de sécurité contournent le trafic chiffré, ce qui rend les serveurs vulnérables aux attaques. Une appliance NetScaler peut déchiffrer le trafic et l’envoyer aux appareils IDS afin d’améliorer la sécurité du réseau du client.
  • Déchargement des appareils en ligne du traitement TLS/SSL. Le traitement TLS/SSL est coûteux et il entraîne un processeur système élevé dans les dispositifs de détection d’intrusion s’ils décryptent le trafic. Le trafic chiffré augmentant rapidement, ces systèmes ne parviennent pas à déchiffrer et à inspecter le trafic chiffré. NetScaler permet de décharger le trafic du traitement TLS/SSL vers les appareils IDS. Cette façon de décharger les données permet à un dispositif IDS de prendre en charge un volume élevé d’inspection du trafic.
  • Périphériques IDS d’équilibragede L’appliance NetScaler équilibre la charge de plusieurs appareils IDS lorsque le volume de trafic est élevé en clonant le trafic au niveau du serveur virtuel.
  • Réplication du trafic vers des appareils passifs. Le trafic entrant dans l’appliance peut être répliqué vers d’autres appareils passifs pour générer des rapports de conformité. Par exemple, peu d’agences gouvernementales exigent que chaque transaction soit enregistrée sur certains appareils passifs.
  • Fanning du trafic vers plusieurs appareils passifs. Certains clients préfèrent répartir ou répliquer le trafic entrant sur plusieurs appareils passifs.
  • Sélection intelligente du trafic. Chaque paquet entrant dans l’appliance peut ne pas faire l’objet d’une inspection de contenu, par exemple le téléchargement de fichiers texte. L’utilisateur peut configurer l’appliance NetScaler pour sélectionner un trafic spécifique (par exemple, des fichiers .exe) à inspecter et envoyer le trafic aux appareils IDS pour le traitement des données.

Comment NetScaler est intégré à un appareil IDS doté d’une connectivité L3

Le schéma suivant montre comment l’IDS est intégré à une appliance NetScaler.

Intégration IDS

L’interaction entre les composants est donnée comme suit :

  1. Un client envoie une requête HTTP/HTTPS à l’appliance NetScaler.
  2. L’appliance intercepte le trafic et envoie les données à des dispositifs IDS distants dans différents centres de données ou même dans un cloud. Cette intégration s’effectue via la couche 3 à tunnel IP. Pour plus d’informations sur le tunneling IP dans une appliance NetScaler, consultez la rubrique Tunnels IP.
  3. Si le trafic est chiffré, l’appliance déchiffre les données et les envoie en texte brut.
  4. Sur la base de l’évaluation de la stratégie, l’appliance applique une action d’inspection de contenu de type « MIROIR ».
  5. Un service IDS ou un service d’équilibrage de charge (pour plusieurs intégrations de dispositifs IDS) est configuré dans l’action.
  6. Le périphérique IDS est configuré en tant que type de service d’inspection de contenu « Tout » sur l’appliance. Le service d’inspection de contenu est ensuite associé au profil d’inspection de contenu de type « MIRROR » et au paramètre de tunnel qui spécifie l’interface de couche 3 à tunnel IP via laquelle les données sont transmises au dispositif IDS.

    Remarque :

    Vous pouvez également configurer une balise VLAN dans le profil d’inspection du contenu.

  7. De même, lorsque le serveur principal envoie une réponse à NetScaler, l’appliance réplique les données et les transmet au périphérique IDS.
  8. Si votre appliance est intégrée à un ou plusieurs appareils IDS et si vous préférez équilibrer la charge des appareils, vous pouvez utiliser le serveur virtuel d’équilibrage de charge.

Licences logicielles

Pour déployer l’intégration IDS, votre appliance NetScaler doit être approvisionnée avec l’une des licences suivantes :

  1. ADC Premium
  2. ADC Avancé

Configuration de l’intégration du système de détection

Vous pouvez intégrer un appareil IDS à un NetScaler de deux manières différentes.

Scénario 1 : intégration avec un seul appareil IDS

Voici les étapes que vous devez configurer à l’aide de l’interface de ligne de commande.

  1. Activer l’inspection du contenu
  2. Ajoutez un profil d’inspection de contenu de type MIRROR pour le service représentant le périphérique IDS
  3. Ajouter un service IDS de type « ANY »
  4. Ajouter une action d’inspection de contenu de type « MIRROR »
  5. Ajout d’une stratégie d’inspection du contenu pour l’inspection IDS
  6. Lier la stratégie d’inspection de contenu au service virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL

Activer l’inspection du contenu

Si vous souhaitez que l’appliance NetScaler envoie le contenu pour inspection aux appareils IDS, vous devez activer les fonctionnalités d’inspection du contenu et d’équilibrage de charge indépendamment du déchiffrement effectué.

À l’invite de commandes, tapez :

enable ns feature contentInspection LoadBalancing

Ajouter un profil d’inspection du contenu de type « MIRROR »

Le profil d’inspection du contenu de type « MIRROR » explique comment vous pouvez vous connecter au périphérique IDS. À l’invite de commandes, tapez.

Remarque :

Le paramètre de tunnel IP doit être utilisé uniquement pour la topologie IDS de couche 3. Sinon, vous devez utiliser l’interface de sortie avec l’option VLAN de sortie. Les types de tunnels GRE/IPIP sont pris en charge par la topologie IDS de couche 3.

add contentInspection profile <name> -type MIRROR -ipTunnel <iptunnel_name>

Exemple :

add contentInspection profile IDS_profile1 -type MIRROR –ipTunnel ipsect-tunnel1

Ajouter un service IDS

Vous devez configurer un service de type « ANY » pour chaque périphérique IDS intégré à l’appliance. Le service contient les détails de configuration de l’appareil IDS. Le service représente l’appareil IDS.

À l’invite de commandes, tapez :

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

Exemple :

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

Ajout d’une action d’inspection de contenu de type MIRROR pour le service IDS

Après avoir activé la fonctionnalité Inspection du contenu, puis ajouté le profil et le service IDS, vous devez ajouter l’action Inspection du contenu pour traiter la demande. En fonction de l’action d’inspection du contenu, l’appliance peut supprimer, réinitialiser, bloquer ou envoyer des données au périphérique IDS.

À l’invite de commandes, tapez :

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

Exemple :

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

Ajout d’une stratégie d’inspection du contenu pour l’inspection IDS

Après avoir créé une action d’inspection du contenu, vous devez ajouter des stratégies d’inspection du contenu pour évaluer les demandes d’inspection. La stratégie est basée sur une règle qui consiste en une ou plusieurs expressions. La stratégie évalue et sélectionne le trafic à inspecter en fonction de la règle.

À l’invite de commandes, tapez ce qui suit :

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

Exemple :

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Lier la stratégie d’inspection de contenu au service virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL

Pour recevoir le trafic Web, vous devez ajouter un serveur virtuel d’équilibrage de charge. À l’invite de commandes, tapez :

add lb vserver <name> <vserver name>

Exemple :

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

Lier la stratégie d’inspection du contenu au serveur virtuel de commutation de contenu ou au serveur virtuel d’équilibrage de charge de type HTTP/SSL

Vous devez lier le serveur virtuel d’équilibrage de charge ou le serveur virtuel de commutation de contenu de type HTTP/SSL à la stratégie d’inspection du contenu.

À l’invite de commandes, tapez ce qui suit :

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

Exemple :

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Scénario 2 : équilibrage de charge de plusieurs périphériques IDS

Si vous utilisez deux appareils IDS ou plus, vous devez équilibrer la charge des appareils IDS à l’aide de différents services d’inspection du contenu. Dans ce cas, l’appliance NetScaler équilibre la charge des appareils en plus d’envoyer un sous-ensemble de trafic à chaque appareil. Pour les étapes de configuration de base, reportez-vous au scénario 1.

Équilibrage de charge de plusieurs périphériques IDS

Voici les étapes que vous devez configurer à l’aide de l’interface de ligne de commande.

  1. Ajouter le profil d’inspection de contenu 1 de type MIRROR pour le service IDS 1
  2. Ajouter le profil d’inspection de contenu 2 de type MIRROR pour le service IDS 2
  3. Ajouter le service IDS 1 de type ANY pour le périphérique IDS 1
  4. Ajouter le service IDS 2 de type ANY pour le périphérique IDS 2
  5. Ajouter un serveur virtuel d’équilibrage de charge de type ANY
  6. Lier le service IDS 1 au serveur virtuel d’équilibrage de charge
  7. Lier le service IDS 2 au serveur virtuel d’équilibrage de charge
  8. Ajoutez une action d’inspection du contenu pour l’équilibrage de charge des périphériques IDS.
  9. Ajouter une stratégie d’inspection du contenu pour l’inspection
  10. Ajouter un serveur virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL
  11. Lier la stratégie d’inspection du contenu au serveur virtuel d’équilibrage de charge de type HTTP/SSL

Ajouter le profil d’inspection de contenu 1 de type MIRROR pour le service IDS 1

La configuration IDS peut être spécifiée dans une entité appelée profil d’inspection du contenu. Le profil possède un ensemble de paramètres d’appareil. Le profil d’inspection du contenu1 est créé pour le service IDS 1.

Remarque : le paramètre de tunnel IP doit être utilisé uniquement pour la topologie IDS de couche 3. Sinon, vous devez utiliser l’interface de sortie avec l’option VLAN de sortie. Les types de tunnels GRE/IPIP sont pris en charge par la topologie IDS de couche 3.

À l’invite de commandes, tapez :

add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>

Exemple :

add contentInspection profile IDS_profile1 -type MIRROR - ipTunnel ipsect_tunnel1

Ajouter le profil d’inspection de contenu 2 pour le type MIRROR for IDS service 2

Le profil d’inspection du contenu 2 est ajouté pour le service 2 et le périphérique en ligne communique avec l’appliance via l’interface de sortie 1/1.

À l’invite de commandes, tapez :

add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>

Exemple :

add contentInspection profile IDS_profile2 -type ANY – ipTunnel ipsect_tunnel2

Ajouter le service IDS 1 de type ANY pour le périphérique IDS 1

Après avoir activé la fonctionnalité d’inspection du contenu et ajouté le profil intégré, vous devez ajouter un service en ligne 1 pour que le périphérique intégré 1 fasse partie de la configuration d’équilibrage de charge. Le service que vous ajoutez fournit tous les détails de configuration en ligne.

À l’invite de commandes, tapez :

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

Exemple :

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

Remarque :

L’adresse IP mentionnée dans l’exemple est fictive.

Ajouter le service IDS 2 de type ANY pour le périphérique IDS 2

Après avoir activé la fonctionnalité d’inspection du contenu et ajouté le profil en ligne, vous devez ajouter un service en ligne 2 pour le périphérique en ligne 2. Le service que vous ajoutez fournit tous les détails de configuration en ligne.

À l’invite de commandes, tapez :

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

Exemple :

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

Remarque :

L’adresse IP mentionnée dans l’exemple est fictive.

Ajouter un serveur virtuel d’équilibrage de charge

Après avoir ajouté le profil en ligne et les services, vous devez ajouter un serveur virtuel d’équilibrage de charge pour l’équilibrage de charge des services.

À l’invite de commandes, tapez :

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

Exemple :

add lb vserver lb-IDS_vserver ANY 1.1.1.2

Lier le service IDS 1 au serveur virtuel d’équilibrage de charge

Après avoir ajouté le serveur virtuel d’équilibrage de charge, liez maintenant le serveur virtuel d’équilibrage de charge au premier service.

À l’invite de commandes, tapez :

bind lb vserver <Vserver_name> <Service_name_1>

Exemple :

bind lb vserver lb-IDS_vserver IDS_service1

Lier le service IDS 2 au serveur virtuel d’équilibrage de charge

Après avoir ajouté le serveur virtuel d’équilibrage de charge, liez maintenant le serveur au deuxième service.

À l’invite de commandes, tapez :

bind lb vserver <Vserver_name> <Service_name_1>

Exemple :

bind lb vserver lb-IDS_vserver IDS_service2

Ajouter une action d’inspection de contenu pour le service IDS

Après avoir activé la fonctionnalité Inspection du contenu, vous devez ajouter l’action Inspection du contenu pour gérer les informations de demande en ligne. En fonction de l’action sélectionnée, l’appliance supprime, réinitialise, bloque ou envoie du trafic vers le périphérique IDS.

À l’invite de commandes, tapez :

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

Exemple :

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

Ajouter une stratégie d’inspection du contenu pour l’inspection

Après avoir créé une action d’inspection du contenu, vous devez ajouter la stratégie d’inspection du contenu pour évaluer les demandes de service.

À l’invite de commandes, tapez ce qui suit :

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

Exemple :

add contentInspection policy IDS_pol1 –rule true –action IDS_action

Ajouter un serveur virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL

Ajoutez un serveur virtuel de commutation de contenu ou d’équilibrage de charge pour accepter le trafic Web. Vous devez également activer la connexion layer2 sur le serveur virtuel.

Pour plus d’informations sur l’équilibrage de charge, reportez-vous à la rubrique Fonctionnement de l’équilibrage de charge .

À l’invite de commandes, tapez :

add lb vserver <name> <vserver name>

Exemple :

add lb vserver http_vserver HTTP 1.1.1.1 8080

Lier la stratégie d’inspection du contenu au serveur virtuel d’équilibrage de charge de type HTTP/SSL

Vous devez lier le serveur virtuel de commutation de contenu ou d’équilibrage de charge de type HTTP/SSL à la stratégie d’inspection du contenu.

À l’invite de commandes, tapez ce qui suit :

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

Exemple :

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

Configuration de l’intégration des services en ligne à l’aide de l’interface graphique NetScaler

  1. Accédez à Sécurité > Inspection du contenu > ContentInspection Profiles.
  2. Sur la page ContentInspection Profile, cliquez sur Ajouter.
  3. Dans la page Create ContentInspectionProfile, définissez les paramètres suivants.
    1. Nom du profil. Nom du profil d’inspection du contenu pour IDS.
    2. Tapez. Sélectionnez les types de profil en tant que MIROIR.
    3. Connectivité. Interface de couche 2 ou de couche 3.
    4. Tunnel IP. Sélectionnez le canal de communication réseau entre les deux réseaux.
  4. Cliquez sur Créer.
  5. Accédez à Gestion du trafic > Équilibrage de charge > Services, puis cliquez sur Ajouter.
  6. Sur la page Service d’équilibrage de charge, entrez les détails du service d’inspection du contenu.
  7. Dans la section Paramètres avancés, cliquez sur Profils.
  8. Accédez à la section Profils et cliquez sur l’icône Crayon pour ajouter le profil d’inspection du contenu.
  9. Cliquez sur OK.
  10. Accédez à Équilibrage de charge > Serveurs. Ajoutez un serveur virtuel de type HTTP ou SSL.
  11. Après avoir saisi les détails du serveur, cliquez sur OK, puis de nouveau sur OK.
  12. Dans la section Paramètres avancés, cliquez sur Stratégies.
  13. Accédez à la section Stratégies et cliquez sur l’icône en forme de crayon pour configurer la stratégie d’inspection du contenu.
  14. Sur la page Choisir une stratégie, sélectionnez Inspection du contenu. Cliquez sur Continuer.
  15. Dans la section Liaison de stratégie, cliquez sur « + » pour ajouter une stratégie d’inspection du contenu.
  16. Sur la page Créer une stratégie de CI, entrez un nom pour la stratégie d’inspection du contenu en ligne.
  17. Dans le champ Action, cliquez sur le signe « + » pour créer une action d’inspection du contenu IDS de type MIRROR.
  18. Sur la page Créer une action de CI, définissez les paramètres suivants.
    1. Nom. Nom de la stratégie en ligne d’inspection du contenu.
    2. Tapez. Sélectionnez le type en tant que MIROIR.
    3. Nom du serveur. Sélectionnez le nom du serveur/service en tant que périphériques en ligne.
    4. Si le serveur est en panne. Sélectionnez une opération si le serveur tombe en panne.
    5. Délai d’expiration de la demande. Sélectionnez une valeur de délai d’expiration. Les valeurs par défaut peuvent être utilisées.
    6. Action de délai d’expiration de demande. Sélectionnez une action de délai d’expiration. Les valeurs par défaut peuvent être utilisées.
  19. Cliquez sur Créer.
  20. Sur la page Créer une stratégie de CI, entrez d’autres détails.
  21. Cliquez sur OK et Fermer.

Pour plus d’informations sur la configuration de l’interface graphique NetScaler pour l’équilibrage de charge et la réplication du trafic vers les périphériques IDS, consultez la section Équilibrage de charge.

Pour plus d’informations sur la configuration de l’interface graphique NetScaler pour l’équilibrage de charge et le transfert du trafic vers le serveur d’origine principal après la transformation du contenu, consultez la section Équilibrage de charge.

Intégration de NetScaler Layer 3 à des dispositifs de sécurité passifs (système de détection des intrusions)