桌面虛拟化之VSHIELD篇(下)

安裝DSA程式

注：安裝過程會導緻主機網絡中斷一次

在目标主機上執行” Agent-Windows-7.5.0-1602.i386.msi”

添加Computer

1. 進入”Computer”頁面，選擇”New”->”New Computer”

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151080IaLz.png"></a>

2. 輸入目标主機的主機名或IP位址

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151081L6Aw.png"></a>

3. 添加完成

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151081Fmnk.png"></a>

4. 檢查Agent狀态

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151083vd3A.png"></a>

<a>基本配置</a>

請參考Deep Security 7.5 使用者手冊

Deep Security防惡意軟體的功能能夠在無代理的模式下為虛拟機提供病毒、間諜軟體防護，可以使得每個vm都能得到病毒防護，其功能如下：

通過VMware vShield Endpoint Security環境保護每一台已激活的虛拟機

自定義配置應用到Security Profiles中

提供實時、手動和計劃掃描

Smart Scan Server 支援

隔離檔案管理

<b>測試方法：</b>通過在虛拟機上下載下傳或者檔案共享方式将惡意檔案儲存到虛拟機上，檢查惡意程式是否被隔離。

1. 進入DSM控制台，進入一個被管理狀态的計算機詳細資訊，在Security Profile項選擇”Windows Anti-Malware Protection”

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151083IYkm.jpg"></a>

2. 單擊”Svae”儲存配置

3. 在被保護主機上下載下傳eicar測試病毒，或通過檔案共享方式拷貝eicar測試病毒到被保護主機上

4. 觀察eicar檔案是否被建立

注：由于此過程需要将檔案傳遞到DSVA，掃描完成後才傳回Action，是以檔案共享方式處理時間可能較長，但此過程中檔案已經被鎖定

5. 進入DSM控制台，右鍵選擇被保護主機”Action”-&amp;gt;”Get Event”，通過DSM控制台的”Anti-Malware”-&amp;gt;”Anti-Malware Events”中檢視日志

注：如測試過程中發現沒有日志産生，請嘗試修改”Period”項為”Last 24 Hours”，這可能由于各系統的時間不同步導緻

<a>FireWall</a>

Deep Security 防火牆子產品確定伺服器在所必需的端口和協定上通信，并阻止其他所有端口和協定，降低對伺服器進行未授權通路的風險。其功能如下：

虛拟機隔離：使虛拟機能夠隔離在雲計算或多租戶虛拟環境中，無需修改虛拟交換機配置即可提供虛拟分段。

細粒度過濾：通過實施有關 IP 位址、Mac 位址、端口及其他内容的防火牆規則過濾通信流。可為每個網絡接口配置不同的政策。

覆寫所有基于 IP 的協定：通過支援全部資料包捕獲簡化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火牆事件 – TCP、UDP、ICMP 等。

偵察檢測：檢測端口掃描等活動。還可限制非 IP 通信流，如 ARP 通信流。

預定義的防火牆配置檔案：對常見企業伺服器類型（包括 Web、LDAP、DHCP、FTP 和資料庫）進行分組，確定即使在大型複雜的網絡中也可快速、輕松、一緻地部署防火牆政策。

詳細的報告：通過詳細的日志記錄、警報、儀表闆和靈活的報告，Deep Security 防火牆子產品可捕獲和跟蹤配置更改（如政策更改内容及更改者），進而提供詳細的審計記錄。

<b>測試方法：</b>測試兩個功能：ping 和遠端桌面；通過啟用和關閉下圖的防火牆政策來實作；（防火牆政策建議使用政策模闆，修改政策直接修改模闆即可）

1. 為被主機部署一個”Windows Server 2008”預設Profile

2. 測試是否能通過遠端桌面連接配接該虛拟機，會提示連接配接失敗

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151084gQk3.jpg"></a>

3. 進入被保護主機的屬性中，”Firewall”-&amp;gt;”Firewall Rules”

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151085XNFe.jpg"></a>

4. 選中“Remote Access RDP”，儲存

5. 測試是否能通過遠端桌面連接配接該主機，提示連接配接成功

<b>預期結果：</b>允許通路時通路正常，禁止通路時遠端桌面無法通路；無法ping 通；

<a>Deep Packet Inspection</a>

<b>功能描述：</b>作業系統或應用程式不能及時打更新檔的主機，經常會面臨病毒等惡意軟體的攻擊，但大量終端的更新檔管理很難做到一步到位，并且新釋出的更新檔與業務系統的相容性也需要驗證的時間；Deep Security的DPI子產品提供針對這些未防範的漏洞提供防護政策，避免惡意軟體的威脅；

<b>測試方法：</b>利用Metasploit免費開源模拟攻擊測試工具，對windows 2008進行模拟攻擊，利用微軟MS09-050漏洞，該漏洞是Microsoft SMBV2協定存在遠端代碼執行漏洞，遠端攻擊者可以特殊的SMBV2封包觸發該漏洞，導緻遠端指令執行，成功利用該漏洞的攻擊者者可以執行任意代碼或導緻系統當機；Deep Security中對應的DPI政策編号是1003712；如圖2-1，操作步驟見《Metasploit使用教程》

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151087eSFa.jpg"></a>

<b>圖</b><b>2-1</b>

<b>預期結果：</b>在沒有啟用DPI政策時，可以攻擊成功，Deep Security防護的主機無法攻擊成功，并有日志記錄攻擊過程；

<a>Integrity Monitoring</a>

<b>功能描述：</b>任何惡意事件的發生都會伴随着檔案或系統資料庫、服務程序的改變，Deep Security 完整性監控子產品可監控關鍵的作業系統和應用程式檔案（如目錄、系統資料庫項鍵值）以及服務程序的變化，用以檢測可疑行為。

使用預設的完整性檢查規則可對檔案和目錄針對多方面的更改進行監控，包括：内容、屬性（如所有者、權限和大小）以及日期與時間戳。還可監控對 Windows 系統資料庫鍵值、通路控制清單以及日志檔案進行的添加、修改或删除操作，并提供警報。此功能适用于 PCI DSS 10.5.5 要求。

<b>測試方法：</b>對系統hosts檔案的監控，對應的政策如圖3-1，首先啟用政策，建立基準線如圖3-2，修改系統windows\system32\driver\etc\hosts檔案，增加一行IP與域名；

1. 進入目标主機的詳細資訊頁面

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151088gKmR.jpg"></a>

2. 進入Inteegrity Monitoring Rule中，選中”1002773-Microsoft Windows – “Hosts”file modified”，儲存

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151089I0Vt.jpg"></a>

3. 進入”Integrity Monitoring”-&amp;gt;”View Baseline”檢查基線是否存在，如果不存在執行”Rebuild Baseline”

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151090m7IH.jpg"></a>

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151091weEw.jpg"></a>

4. 進入目标計算機修改hosts檔案

5. 運作”Scan For Integrity Changes”指令

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_132115109135I6.png"></a>

6. 在Integrity Monitoring Event中檢查事件情況

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151093zeZ6.jpg"></a>

<a>常見問題</a>

1. 為什麼部署FilterDriver和Appliance不需要手工導入程式包？

在DS7.5版本後在安裝DSM時支援自動導入程式包

2. 如何強制使用IP通訊（DSM&lt;-&gt;ESX）

修改..\Program Files\Trend Micro\Deep Security Manager\WebClient\webapps\ROOT\WEB-INF下的dsm.properties檔案中添加一行“hssHostnameIPDisplaynameClientname=ture”實作使用IP通訊ESX。

3. Deep Security使用哪些通訊端口？

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151093XxZk.jpg"></a>

4. DSVA有兩塊網卡該如何配置與DSM通訊使用網卡？

預設DSVA7.5會有兩塊網卡，其中一塊連接配接vmservice-trend-pg，一塊連接配接VM Network

如果管理IP網絡不在預設的VM Network上，請選修改 VM Network這塊網卡；

注：連接配接vmservice-trend-pg是用于與vmkernal通訊，不要進行修改

5. 如何開啟DSVA的SSH登入？

在DSVA界面上按 <b>ALT-F2</b>.

使用者名：dsva 密碼：dsva

啟動ssh服務

$ <b>ssh-server start</b>

注意：如果為DSVA部署了Security Profile後，需要在Profile中打開SSH

6. 如何測試DSVA與vmkernal的通訊

SSH登入DSVA

DSVA上測試到VMKernel連接配接

– dsva@dsva:~$ sudo ping 169.254.50.1

– PING 169.254.50.1 (169.254.50.1): 56 data bytes

– 84 bytes from 169.254.50.1: icmp_seq=0 ttl=64 time=0.3 ms

– 84 bytes from 169.254.50.1: icmp_seq=1 ttl=64 time=0.3 ms

ESX上測試到DSVA的連接配接

– ~ # ping 169.254.50.39

– PING 169.254.50.39 (169.254.50.39): 56 data bytes

7. 如何檢查DSVA的運作狀況？

– dsva@dsva:~$ netstat -an

– Active Internet connections (servers and established)

– Proto Recv-Q Send-Q Local Address Foreign Address State

– tcp 0 0 0.0.0.0:4118 0.0.0.0:* LISTEN

– tcp 0 0 0.0.0.0:<b>8888</b> 0.0.0.0:* LISTEN

– tcp 0 0 169.254.50.39:8888 169.254.50.1:60193 ESTABLISHED

– tcp 0 0 10.203.136.61:51643 10.203.138.182:443 ESTABLISHED

– tcp 0 0 169.254.50.39:57788 169.254.50.1:<b>2222</b> ESTABLISHED

– tcp 0 0 169.254.50.39:8888 169.254.50.1:59655 ESTABLISHED

– tcp 0 0 169.254.50.39:8888 169.254.50.1:52979 ESTABLISHED

? An-Malware監聽端口 0.0.0.0:8888

? 連接配接vShield Manager //10.203.138.182:443

? 連接配接VMSafe //169.254.50.1:2222

? 來自EPSec 連接配接 //169.254.50.39:8888

8. 如果被保護VM移動到另一台ESX主機上，是否會保留原有Security Profile？

不會，因為Security Profile檔案會儲存到ESX主機的DSVA上，所有當主機遷移到其他ESX主機後，需要重新激活并配置設定”Security Profile”

9. 為什麼使用Agentless的方式無法進行”Recommendations”？

因為此功能需要通過DSA來實作，是以隻有安裝了Agent才能使用此功能

<a href="http://virtualyourdesk.blog.51cto.com/attachment/201111/13/904833_1321151095FOyU.png"></a>

10. 是不是有了DPI的功能我就不用安裝任何更新檔了？

DPI功能确實能夠方式漏洞攻擊，但如果DPI政策過多會影響性能，建議作業系統模闆安裝最新的更新檔，再進行一次”Recommendation”

11. DSM和VM之間使用主機名通訊還是IP位址？

目前隻能使用主機名通訊，是以如果使用者環境中DSM和VM之間無法解析主機名會導緻激活失敗，可以通過架設Wins伺服器解決這個問題。

12. 如何安裝Deep Security程式的更新檔，是否會對ESX和VM産生影響？

Deep Security更新檔包含FilterDriver、Appliance、Agent和DSM的更新，FilterDriver的更新需要重新啟動ESX至維護模式下完成，所有整個更新過程需要先将VM關機或遷移再進行；DSM程式更新直接運作更新就可以了。

(完)

本文轉自robbindai 51CTO部落格，原文連結:http://blog.51cto.com/virtualyourdesk/712965