vShield Endpoint con Trend Micro Deep Security

En este documento podremos ver el despliegue de vShield Endpoint con el antivirus Deep Security de Trend Micro, como ya sabemos, con vShield Endpoint podremos evitar el disponer en cada máquina virtual (alojada en nuestra infraestructura vSphere) de un software antivirus/antimalware, con esto conseguiremos optimizar aún más nuestros entornos VDI al no tener tantos AV como MV, el procesamiento de dicha carga pasa a ser ejecutada una sóla vez por nuestro hipervisor.

 

vShield Endpoint descarga del procesamiento de cada agente (de antivirus o antimalware) de cada máquinas virtual a un appliance de seguridad dedicado en cada host ESXi (proporcionado por partners de VMware), dando esa seguridad a nivel de hypervisor y descargando notablemente la carga de cada MV y host. Se instala como módulo y se distribuye como dicho appliance de terceros, en cada host ESXi.

 

Este será el esquema final que se montará, en este documento usaremos la versión 8.0 de Deep Security que es compatible con ESXi 5.0 Update 1, software que necesitaremos disponer:

Deep Security Manager: Manager-Windows-8.0.1448.x64.exe o Manager-Windows-8.0.1448.i386.exe

Deep Security Agent: Agent-Windows-8.0.0-1201.i386.msi o Agent-Windows-8.0.0-1201.x86_64.msi

Deep Security Notifier [opcional]: Notifier-Windows-8.0.0-1201.i386.msi

Deep Security Relay [opcional]: Relay-Windows-8.0.0-1201.i386.msi o Relay-Windows-8.0.0-1201.x86_64.msi

Deep Security Virtual Appliance: Appliance-ESX-8.0.0-1199.x86_64.zip

Deep Security Filter Driver: FilterDriver-ESX_5.0-8.0.0-1189.x86_64.zip

 

Empezamos, desde la consola de administración de vShield Manager desplegaremos a cada host el módulo desde la vista de ‘Hosts & Clusters’ > Datacenter > Cluster > Host, desde la pestaña ‘Summary’ en vShield EndPoint “Install”,

 

Seleccionamos ‘vShield Endpoint’ & “Install”,

 

… esperamos mientras instala & carga el módulo…

 

OK.

 

En una máquina nueva desplegaremos Trend Micro Deep Security Manager, que será el encargado de gestionar nuestra infraestructura Deep Security, además de bajarse las últimas definiciones y desplegarlas en cada host. Comenzamos con su instalación,

 

Aceptamos el acuerdo de licencia & “Next”,

 

Seleccionamos el path de instalación, por defecto en ‘%ProgramFiles%Trend MicroDeep Security Manager’, “Next”,

 

Seleccionamos el formato de BD que queremos generar, podrá ser embebida (Apache Derby), Microsoft SQL Server u Oracle, “Next”,

 

Introducimos el código de activación de Trend Micro que nos permitirá ejecutar distintos módulos, “Next”,

 

Introducimos el nombre FQDN de host donde instalaremos el Manager, así como el puerto predeterminado de gestión (4119tcp) o el de heartbeat (4120tcp), “Next”,

 

Especificamos una contraseña para ‘MasterAdmin’,

 

Marcamos “Automatically Update Components” & “Automatically Check for new Software” para crear unas tareas programadas donde nos actualizará en todo momento todos los componentes de Trend Micro, así como los motores de definiciones, etc…

 

Podremos instalar en este mismo equipo el servicio de relay que será quien se conecte directamente a Trend Micro
Active Update para descargar las actualizaciones, en caso contrario podremos instalarlo en otro equipo, “Next”,

 

Si habilitamos Trend Micro Smart Feedback enviaremos informes de nuestro malware a Smart Protection Network para su análisis/registro, “Next”,

 

Confirmamos los datos & pulsamos “Finish” para comenzar la instalación,

 

 

Dejamos marcado el check para poder gestionar de forma inmediata Deep Security, “Finish”,

 

Se nos abrirá un navegador o lo abrimos a: https://DEEP_SECURITY_MANAGER:4119, nos autenticamos como ‘MasterAdmin’ y la contraseña que establecimos anteriormente,

 

Lo primero será agregar a nuestro servidor vCenter desde el ‘Dashboard’ > ‘Computers’ > ‘New’ > ‘Add VMware vCenter…’

 

En el asistente web indicamos la dirección IP/hostname de nuestro vCenter, su puerto, indicamos un nombre & una descripción, así como un usuario administrador y su password, “Next”,

 

Indicamos igualmente los datos de nuestro vShield Manager, indicaremos su dirección IP/hostname y los credenciales, “Next”,

 

Nos presentará el certificado de vShield Manager, pulsaremos en “Accept” para confiar en él.

 

Nos presentará el certificado de VMware vCenter, pulsaremos en “Accept” para confiar en él.

 

Confirmamos que los datos de nuestro vCenter son correctos & “Finish”,

 

… esperamos mientras se agregan los hosts y máquinas virtuales a la vista…

 

Listo, vCenter agregado, “Close”.

 

Lo siguiente será preparar los hosts ESXi de nuestra organización con el filter driver para interceptar todo el tráfico I/O de nuestras MV’s y poder analizarlo, desde la vista principal, ‘Computers’ > ‘vCenter’ > ‘Hosts and Clusters’ > ‘Datacenter’ > ‘Cluster’, seleccionaremos cada host y sobre él: ‘Actions’ > “Prepare ESX…”,

 

Si es la primera vez que lo ejecutamos, nos dirá que no disponemos del Filter Driver y que tendremos que importarlo, pulsamos en “Import Wizard”,

 

Este nuevo asistente nos permitirá importar el software, lo buscamos desde “Examinar” & “Next”,

 

Confirmamos que es el componente correcto & “Finish”,

 

Bien, de vuelta en el anterior asistente, ya podremos continuar con la preparación de nuestros hosts ESXi, con este desplegaremos el componente necesario, “Next”,

 

Bueno, antes de comenzar, tendremos que tener en cuenta que nuestro host se pondrá en modo mantenimiento, se instalará el Filter Driver y posteriormente se reiniciará, así que cuidado con las MV’s de producción. “Finish”,

 

Lo dicho, primero se apagarán/moverán las MV’s para ser colocado en modo mantenimiento,

 

… instalará…

 

… y se reiniciará.

 

Listo, servidor correcto! Ahora queda desplegarle el appliance Deep Security, así que marcamos la primera opción “Deploy a Deep Security Virtual Appliance now” & “Next”,

 

 

Al igual que no nos encontró el Filter Driver, esta vez deberemos importar el appliance virtual, por lo que pulsamos en “Import Wizard”,

 

Seleccionamos desde “Examinar” el appliance & “Next”,

 

Confirmamos que es el software correcto & “Finish” para cerrar el asistente de importación,

 

Ok, finalmente podremos comenzar con el despliegue del vapp de Trend Micro, “Next”

 

Indicamos un nombre al virtual appliance para VMware, un datastore donde lo almacenaremos, su carpeta y su red de gestión, “Next”,

 

Introducimos el hostname para el vapp, asignaremos su red por DHCP o podremos especificarle una configuración manual, “Next”,

 

Seleccionaremos si queremos disco Thin o Thick & “Finish” para comenzar si despliegue,

 

… esperamos mientras se crea la MV & configura…

 

OK, aceptamos el certificado de nuestro host,

 

… esperamos mientras se desplega el virtual appliance…

 

Pulsamos en “Activate Deep Security Virtual Appliance now” & “Next”,

 

“Next”,

 

Bien activaremos el virtual appliance al que le tendremos que asignar un perfíl de seguridad, en este caso tendrá que ser ‘Deep Security Virtual Appliance’ & “Next”,

 

 

Y marcamos si queremos activar de forma inmediata las MV’s que ejecuta el host, marcaremos “No thanks, I will activate them later”, ya que no tenemos prisa.

 

Listo, pulsamos en “Close”.

 

Bien, ahora sobre las máquinas que queramos proteger con este appliance, desde la vista de ‘Virtual Machines’ > ‘Datacenter’, buscamos la MV que nos interese, y con botón derecho > ‘Actions’ > ‘Activate/Reactivate’, con esto activaremos dicha MV para que sea analizada por el appliance de Trend Micro.

 

Deberemos asociarla un perfíl de seguridad, así que botón derecho > ‘Actions’ > ‘Assign Security Profile…’

 

Seleccionaremos el perfíl de seguridad existente de su sistema operativo & “OK”,

 

Veremos como ya tenemos la máquina protegida, en caso de no ver reflejados los cambios, la reactivaremos de nuevo.

 

Instalaremos adicionalmente el agente de Trend Micro en cada máquina virtual, bien de una forma manual como es este el caso, o de forma automatizada con el despliegue de software mediante alguna política del Directorio Activo. Ejecutamos pues el instalador de Trend Micro Deep Security Agent & “Next”,

 

“I accept the terms in the License Agreement” & “Next”,

 

Seleccionaremos todos los componentes que queremos, en mi caso haré una instalación completa para detectar virus, spyware, filtrado de URLs, anti-malware…

 

Y listo, pulsamos en “Install” para comenzar con la instalación del agente en cada MV a proteger,

 

… esperamos unos segundos…

 

& Listo.

 

Bien, lo siguiente será instalar el vShield Endpoint Thin Agent en las máquinas virtuales que serán protegidas por vShield Endpoint, ahora ya viene perfectamente integrado dentro de las VMware Tools, por lo que podremos customizar la instalación y marcar ‘vShield Drivers’ a instalar. Deberemos reiniciar la MV posteriormente.

Sería necesario disponer del patch ESXi500-201109401-BG en los hosts ESXi 5 o ESX410-201107001 en los ESX 4.1, que nos permitirá disponer de las VMware Tools actualizadas, podríamos bajarnos las tools además de su repositorio.

 

Podremos actualizar las Tools en las MV’s de distintas formas, de forma manual (Interactive Tools Upgrade), de forma semi automática (Automatic Tools Upgrade) o de forma totalmente automatizada ejecutando bien en línea de comandos o mediante una GPO: PATH_TOOLSsetup.exe /S /v “/qn REBOOT=R ADDLOCAL=VMCI, REMOVE=Hgfs”

 

Por ejemplo si disponemos del parche bajado ESXi500-201109001.zip, lo descomprimimos, podremos encontrar los binarios de las Tools en: ESXi500-201109001vib20tools-lightVMware_locker_tools-light_5.0.0-0.3.XXXXX.Xtoolstools-light.tgz*.iso

 

Podremos confirmar cómo ahora a parte de disponer la protección de ‘Appliance’ tenemos también la del ‘Agent’, veremos qué funcionalidades tenems habilitadas (que dependerá de la plantilla aplicada: Anti-Malware, Web Reputation, Firewall, DPI, Integrity Monitoring o Log Inspection).

 

Podremos hacer en la máquina un testeo para confirmar que funciona mismamente navegando a la web de Eicar y veremos cómo no podremos descargar el fichero de ‘test’.

 

Así mismo la propia consola nos advertirá de todo lo que detecte!

Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)