桌面虚拟化之VSHIELD篇(下)

注：安装过程会导致主机网络中断一次

在目标主机上执行” Agent-Windows-7.5.0-1602.i386.msi”

1. 进入”Computer”页面，选择”New”->”New Computer”

2. 输入目标主机的主机名或IP地址

3. 添加完成

4. 检查Agent状态

请参考Deep Security 7.5 用户手册

Deep Security防恶意软件的功能能够在无代理的模式下为虚拟机提供病毒、间谍软件防护，可以使得每个vm都能得到病毒防护，其功能如下：

通过VMware vShield Endpoint Security环境保护每一台已激活的虚拟机

自定义配置应用到Security Profiles中

提供实时、手动和计划扫描

Smart Scan Server 支持

隔离文件管理

测试方法：通过在虚拟机上下载或者文件共享方式将恶意文件保存到虚拟机上，检查恶意程序是否被隔离。

1. 进入DSM控制台，进入一个被管理状态的计算机详细信息，在Security Profile项选择”Windows Anti-Malware Protection”

2. 单击”Svae”保存配置

3. 在被保护主机上下载eicar测试病毒，或通过文件共享方式拷贝eicar测试病毒到被保护主机上

4. 观察eicar文件是否被创建

注：由于此过程需要将文件传递到DSVA，扫描完成后才返回Action，所以文件共享方式处理时间可能较长，但此过程中文件已经被锁定

5. 进入DSM控制台，右键选择被保护主机”Action”->”Get Event”，通过DSM控制台的”Anti-Malware”->”Anti-Malware Events”中查看日志

注：如测试过程中发现没有日志产生，请尝试修改”Period”项为”Last 24 Hours”，这可能由于各系统的时间不同步导致

FireWall

Deep Security 防火墙模块确保服务器在所必需的端口和协议上通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下：

虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。

细粒度过滤：通过实施有关 IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。

覆盖所有基于 IP 的协议：通过支持全部数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件 – TCP、UDP、ICMP 等。

侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信流。

预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、FTP 和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。

详细的报告：通过详细的日志记录、警报、仪表板和灵活的报告，Deep Security 防火墙模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。

测试方法：测试两个功能：ping 和远程桌面；通过启用和关闭下图的防火墙策略来实现；（防火墙策略建议使用策略模板，修改策略直接修改模板即可）

1. 为被主机部署一个”Windows Server 2008”默认Profile

2. 测试是否能通过远程桌面连接该虚拟机，会提示连接失败

3. 进入被保护主机的属性中，”Firewall”->”Firewall Rules”

4. 选中“Remote Access RDP”，保存

5. 测试是否能通过远程桌面连接该主机，提示连接成功

预期结果：允许访问时访问正常，禁止访问时远程桌面无法访问；无法ping 通；

功能描述：操作系统或应用程序不能及时打补丁的主机，经常会面临病毒等恶意软件的攻击，但大量终端的补丁管理很难做到一步到位，并且新发布的补丁与业务系统的兼容性也需要验证的时间；Deep Security的DPI模块提供针对这些未防范的漏洞提供防护策略，避免恶意软件的威胁；

测试方法：利用Metasploit免费开源模拟攻击测试工具，对windows 2008进行模拟攻击，利用微软MS09-050漏洞，该漏洞是Microsoft SMBV2协议存在远程代码执行漏洞，远程攻击者可以特殊的SMBV2报文触发该漏洞，导致远程命令执行，成功利用该漏洞的攻击者者可以执行任意代码或导致系统死机；Deep Security中对应的DPI策略编号是1003712；如图2-1，操作步骤见《Metasploit使用教程》

图2-1

预期结果：在没有启用DPI策略时，可以攻击成功，Deep Security防护的主机无法攻击成功，并有日志记录攻击过程；

功能描述：任何恶意事件的发生都会伴随着文件或注册表、服务进程的改变，Deep Security 完整性监控模块可监控关键的操作系统和应用程序文件（如目录、注册表项键值）以及服务进程的变化，用以检测可疑行为。

使用预设的完整性检查规则可对文件和目录针对多方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对 Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于 PCI DSS 10.5.5 要求。

测试方法：对系统hosts文件的监控，对应的策略如图3-1，首先启用策略，建立基准线如图3-2，修改系统windows\system32\driver\etc\hosts文件，增加一行IP与域名；

1. 进入目标主机的详细信息页面

2. 进入Inteegrity Monitoring Rule中，选中”1002773-Microsoft Windows – “Hosts”file modified”，保存

3. 进入”Integrity Monitoring”->”View Baseline”检查基线是否存在，如果不存在执行”Rebuild Baseline”

4. 进入目标计算机修改hosts文件

5. 运行”Scan For Integrity Changes”命令

6. 在Integrity Monitoring Event中检查事件情况

1. 为什么部署FilterDriver和Appliance不需要手工导入程序包？

在DS7.5版本后在安装DSM时支持自动导入程序包

2. 如何强制使用IP通讯（DSM<->ESX）

修改..\Program Files\Trend Micro\Deep Security Manager\WebClient\webapps\ROOT\WEB-INF下的dsm.properties文件中添加一行“hssHostnameIPDisplaynameClientname=ture”实现使用IP通讯ESX。

3. Deep Security使用哪些通讯端口？

4. DSVA有两块网卡该如何配置与DSM通讯使用网卡？

默认DSVA7.5会有两块网卡，其中一块连接vmservice-trend-pg，一块连接VM Network

如果管理IP网络不在默认的VM Network上，请选修改 VM Network这块网卡；

注：连接vmservice-trend-pg是用于与vmkernal通讯，不要进行修改

5. 如何开启DSVA的SSH登录？

在DSVA界面上按 ALT-F2.

用户名：dsva 密码：dsva

启动ssh服务

$ ssh-server start

注意：如果为DSVA部署了Security Profile后，需要在Profile中打开SSH

6. 如何测试DSVA与vmkernal的通讯

SSH登录DSVA

DSVA上测试到VMKernel连接

– dsva@dsva:~$ sudo ping 169.254.50.1

– PING 169.254.50.1 (169.254.50.1): 56 data bytes

– 84 bytes from 169.254.50.1: icmp_seq=0 ttl=64 time=0.3 ms

– 84 bytes from 169.254.50.1: icmp_seq=1 ttl=64 time=0.3 ms

ESX上测试到DSVA的连接

– ~ # ping 169.254.50.39

– PING 169.254.50.39 (169.254.50.39): 56 data bytes

7. 如何检查DSVA的运行状况？

– dsva@dsva:~$ netstat -an

– Active Internet connections (servers and established)

– Proto Recv-Q Send-Q Local Address Foreign Address State

– tcp 0 0 0.0.0.0:4118 0.0.0.0:* LISTEN

– tcp 0 0 0.0.0.0:8888 0.0.0.0:* LISTEN

– tcp 0 0 169.254.50.39:8888 169.254.50.1:60193 ESTABLISHED

– tcp 0 0 10.203.136.61:51643 10.203.138.182:443 ESTABLISHED

– tcp 0 0 169.254.50.39:57788 169.254.50.1:2222 ESTABLISHED

– tcp 0 0 169.254.50.39:8888 169.254.50.1:59655 ESTABLISHED

– tcp 0 0 169.254.50.39:8888 169.254.50.1:52979 ESTABLISHED

? An-Malware监听端口 0.0.0.0:8888

? 连接vShield Manager //10.203.138.182:443

? 连接VMSafe //169.254.50.1:2222

? 来自EPSec 连接 //169.254.50.39:8888

8. 如果被保护VM移动到另一台ESX主机上，是否会保留原有Security Profile？

不会，因为Security Profile文件会保存到ESX主机的DSVA上，所有当主机迁移到其他ESX主机后，需要重新激活并分配”Security Profile”

9. 为什么使用Agentless的方式无法进行”Recommendations”？

因为此功能需要通过DSA来实现，所以只有安装了Agent才能使用此功能

10. 是不是有了DPI的功能我就不用安装任何补丁了？

DPI功能确实能够方式漏洞攻击，但如果DPI策略过多会影响性能，建议操作系统模板安装最新的补丁，再进行一次”Recommendation”

11. DSM和VM之间使用主机名通讯还是IP地址？

目前只能使用主机名通讯，所以如果用户环境中DSM和VM之间无法解析主机名会导致激活失败，可以通过架设Wins服务器解决这个问题。

12. 如何安装Deep Security程序的补丁，是否会对ESX和VM产生影响？

Deep Security补丁包含FilterDriver、Appliance、Agent和DSM的更新，FilterDriver的更新需要重新启动ESX至维护模式下完成，所有整个升级过程需要先将VM关机或迁移再进行；DSM程序更新直接运行升级就可以了。

(完)

本文转自robbindai 51CTO博客，原文链接:http://blog.51cto.com/virtualyourdesk/712965