McAfee and Web Security Appliance (sur matériel Intel) Guide d'installation

Transcription

1 McAfee and Web Security Appliance (sur matériel Intel) Guide d'installation

2 COPYRIGHT Copyright 2010 McAfee, Inc. All Rights Reserved. No part of this publication may be reproduced, transmitted, transcribed, stored in a retrieval system, or translated into any language in any form or by any means without the written permission of McAfee, Inc., or its suppliers or affiliate companies. TRADEMARK ATTRIBUTIONS AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD are registered trademarks or trademarks of McAfee, Inc. and/or its affiliates in the US and/or other countries. McAfee Red in connection with security is distinctive of McAfee brand products. All other registered and unregistered trademarks herein are the sole property of their respective owners. LICENSE INFORMATION License Agreement NOTICE TO ALL USERS: CAREFULLY READ THE APPROPRIATE LEGAL AGREEMENT CORRESPONDING TO THE LICENSE YOU PURCHASED, WHICH SETS FORTH THE GENERAL TERMS AND CONDITIONS FOR THE USE OF THE LICENSED SOFTWARE. IF YOU DO NOT KNOW WHICH TYPE OF LICENSE YOU HAVE ACQUIRED, PLEASE CONSULT THE SALES AND OTHER RELATED LICENSE GRANT OR PURCHASE ORDER DOCUMENTS THAT ACCOMPANY YOUR SOFTWARE PACKAGING OR THAT YOU HAVE RECEIVED SEPARATELY AS PART OF THE PURCHASE (AS A BOOKLET, A FILE ON THE PRODUCT CD, OR A FILE AVAILABLE ON THE WEBSITE FROM WHICH YOU DOWNLOADED THE SOFTWARE PACKAGE). IF YOU DO NOT AGREE TO ALL OF THE TERMS SET FORTH IN THE AGREEMENT, DO NOT INSTALL THE SOFTWARE. IF APPLICABLE, YOU MAY RETURN THE PRODUCT TO MCAFEE OR THE PLACE OF PURCHASE FOR A FULL REFUND. License Attributions Refer to the product Release Notes. 2

3 Contents Présentation de McAfee and Web Security Appliance Comment utiliser ce guide Public concerné Définitions des termes utilisés dans ce guide Conventions graphiques Documentation Ressources disponibles Avant l'installation Contenu de la boîte Préparation de l'installation Utilisation inappropriée Conditions de fonctionnement Positionnement de l'appliance Eléments à prendre en compte concernant les modes réseau Mode pont transparent Mode routeur transparent Mode proxy explicite Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Configuration SMTP dans une zone démilitarisée (DMZ) Gestion de la charge de travail Connexion et configuration de l'appliance Tableau de référence rapide d'installation Ports et connexions Installation physique de l'appliance Montage de l'appliance dans un rack Connexion au réseau Numéros de ports Utilisation de connexions LAN cuivre Utilisation de connexions LAN fibre optique Ecran et clavier Alimentation de l'appliance

4 Contents Installation du logiciel Utilisation de la console de configuration Page d'accueil Procédure d'installation standard Configuration personnalisée Restauration à partir d'un fichier Configuration de gestion epo Paramètres epo Paramètres de base Paramètres réseau Gestion du cluster Mot de passe Synthèse Test de la configuration Présentation de l'interface utilisateur Test du périphérique Utilisation du périphérique Mises à jour et fichiers HotFix Après l'installation Exploration de l'appliance Génération de rapports Utilisation des stratégies pour gérer l'analyse des messages Création d'une stratégie d'analyse antivirus Création d'une stratégie d'analyse antispam Création d'une stratégie de conformité des s Création d'une stratégie de filtrage de contenu A propos de la gestion de l'hôte virtuel Dépannage Problèmes d'ordre général L'appliance n'est pas alimentée L'appliance ne reçoit aucun trafic en provenance du réseau FAQ Problèmes liés à l'interface Problèmes de distribution des messages Remise Pièces jointes POP

5 Contents Configuration physique Configuration du système Maintenance du système Mise à jour automatique de l'antivirus Antispam Aide supplémentaire Barre de liens

6 Présentation de McAfee and Web Security Appliance Ce guide fournit les informations nécessaires à l'installation de McAfee and Web Security Appliance. Il indique les différentes étapes du processus d'installation et explique comment vérifier ce dernier. Ce guide explique comment configurer le logiciel and Web Security ; une fois la configuration terminée, l'utilisateur disposera d'une appliance totalement opérationnelle. Table des matières Comment utiliser ce guide Définitions des termes utilisés dans ce guide Conventions graphiques Documentation Ressources disponibles Comment utiliser ce guide Ce guide vous aidera à procéder aux opérations suivantes : Prévoir et effectuer votre installation Vous familiariser avec l'interface Tester le bon fonctionnement du produit Appliquer les fichiers de définition de détection les plus récents Explorer des stratégies d'analyse, créer des rapports et obtenir des informations d'état Résoudre les problèmes de base Vous trouverez d'autres informations sur les fonctions d'analyse du produit dans l'aide en ligne. Public concerné Les informations présentées dans ce guide sont destinées principalement aux administrateurs réseau chargés du programme de sécurité et de protection antivirus de leur société. Définitions des termes utilisés dans ce guide Ces informations définissent certains termes clés employés dans ce guide. 6

7 Présentation de McAfee and Web Security Appliance Définitions des termes utilisés dans ce guide Terme Zone démilitarisée (DMZ) Fichiers DAT Mode de fonctionnement Stratégie Vérification par le service de réputation Définition Hôte ou petit réseau qui fait office de tampon entre un réseau privé et le réseau public extérieur, dans le but d'interdire un accès direct de la part des utilisateurs extérieurs aux ressources du réseau privé. Fichiers de définition de détection (DAT), également appelés fichiers de signatures, contenant les définitions qui identifient, détectent et réparent les virus, les chevaux de Troie, les logiciels espions (spywares), les logiciels publicitaires (adwares) et les programmes potentiellement indésirables (PUP). Le produit dispose de trois modes de fonctionnement : proxy explicite, routeur transparent et pont transparent. Ensemble de critères de sécurité, par exemple des paramètres de configuration, des bases de référence et des spécifications d'accès réseau, qui permet de définir le niveau de conformité requis pour les utilisateurs, les périphériques et les systèmes évalués ou mis en œuvre par une application de sécurité McAfee. Fait partie de l'authentification de l'expéditeur. Si la vérification d'un expéditeur soumis au service de réputation échoue, l'appliance est paramétrée de façon à refermer la connexion et à refuser le message correspondant. L'adresse IP de l'expéditeur est ajoutée à la liste des connexions bloquées et est automatiquement bloquée au niveau du noyau. 7

8 Présentation de McAfee and Web Security Appliance Conventions graphiques Conventions graphiques Les figures de ce guide utilisent les symboles suivants. Appliance Internet Serveur de messagerie Autre serveur (DNS, par exemple) Ordinateur d'utilisateur ou ordinateur client Routeur Commutateur Pare-feu Zone réseau (démilitarisée DMZ ou VLAN) Réseau Chemin d'accès réel des données Chemin d'accès perçu des données Documentation Ce guide est fourni avec votre produit. Des informations supplémentaires sont disponibles dans l'aide en ligne du produit, ainsi que sur le site web Ressources disponibles Ces informations expliquent comment obtenir de l'aide et accéder aux services d'assistance. Produits McAfee Guide produit Aide en ligne Base de connaissances McAfee. Sur le site web cliquez sur le lien Search the KnowledgeBase (Rechercher dans la base de connaissances). Site de téléchargement de McAfee. Inclut des informations sur les concepts de base, les stratégies, les protocoles (SMTP, POP3, FTP, HTTP et ICAP), la maintenance et la surveillance. Vous devez posséder l'id du Grant Number. Interface produit. Inclut des informations sur les concepts de base, les stratégies, les 8

9 Présentation de McAfee and Web Security Appliance Ressources disponibles protocoles (SMTP, POP3, FTP, HTTP et ICAP), la maintenance et la surveillance. 9

10 Avant l'installation Pour assurer l'utilisation en toute sécurité du produit, prenez en compte les éléments suivants avant de commencer l'installation. Vous devez vous familiariser avec ses fonctionnalités et modes de fonctionnement. Il est important de choisir une configuration correcte. Déterminez la manière dont vous souhaitez intégrer l'appliance dans votre réseau, ainsi que les informations dont vous avez besoin avant de commencer l'installation. Par exemple, le nom et l'adresse IP de l'appliance. Déballez le produit le plus près possible de son emplacement prévu. Retirez le produit de son emballage et placez-le sur une surface plane. Respectez tous les avertissements de sécurité fournis. CAUTION: passez en revue toutes les informations de sécurité fournies et familiarisez-vous avec elles. Table des matières Contenu de la boîte Préparation de l'installation Utilisation inappropriée Conditions de fonctionnement Positionnement de l'appliance Contenu de la boîte Pour vérifier que tous les composants ont été livrés, consultez la liste de pièces fournie avec votre produit. De façon générale, vous devriez avoir les éléments suivants : Une appliance Des cordons d'alimentation Des câbles réseau Le CD d'installation et de récupération and Web Security Le CD de code source Linux Contactez votre fournisseur si un élément est manquant ou endommagé. Avant l'installation 10

11 Avant l'installation Préparation de l'installation Préparation de l'installation Prenez en compte les éléments suivants : Les exigences environnementales Les informations sur les exigences de site environnementales, y compris la température, le débit d'air et l'espace Les exigences et éléments à prendre en compte pour l'alimentation Les exigences d'alimentation et les facteurs électriques à prendre en compte avant l'installation Les spécifications et exigences matérielles Les scénarios de configuration La préparation de l'installation Avant l'installation Utilisation inappropriée Le produit : n'est pas un pare-feu. Vous devez l'utiliser au sein de votre entreprise, derrière un pare-feu correctement configuré. n'est pas un serveur destiné au stockage de logiciels et de fichiers supplémentaires. N'installez pas de logiciel sur le périphérique et n'y ajoutez aucun fichier supplémentaire à moins d'avoir reçu une instruction en ce sens dans la documentation ou de la part du représentant du support technique. Le périphérique ne gère pas tous les types de trafics. Si vous utilisez le mode proxy explicite, seuls les protocoles à analyser doivent être envoyés au périphérique. Avant l'installation Conditions de fonctionnement Température Humidité relative Vibrations maximales Choc maximal Altitude De 10 à 35 C De 20 à 80 % (sans condensation) avec une variation de 10 % par heure maximum 0,25 G à Hz pendant 15 minutes Choc dans l'axe z positif (un choc de chaque côté de l'unité) de 31 G pendant 2,6 ms maximum De -16 à m Positionnement de l'appliance Installez l'appliance de façon à pouvoir contrôler l'accès physique à l'unité et l'accès aux ports et aux connexions. Un kit de montage en rack est fourni avec l'appliance ; vous pouvez ainsi l'installer dans un rack 19 pouces. Voir Montage de l'appliance dans un rack. 11

12 Avant l'installation Eléments à prendre en compte concernant les modes réseau Eléments à prendre en compte concernant les modes réseau Avant d'installer et de configurer and Web Security Appliance, vous devez décider du mode réseau à utiliser. Le mode choisi détermine la connexion physique de l'appliance à votre réseau. Vous avez le choix entre les modes réseau suivants : Mode pont transparent : le périphérique agit en tant que pont Ethernet. Mode routeur transparent : le périphérique agit en tant que routeur. Mode proxy explicite : le périphérique agit en tant que serveur proxy et relais de messagerie. Si, après avoir lu la présente section et les suivantes, vous n'êtes toujours pas certain du mode à choisir, contactez votre expert réseau. Eléments architecturaux à prendre en compte concernant les modes réseau Les principaux éléments à prendre en compte concernant les modes réseau sont les suivants : Savoir si les périphériques de communication reconnaissent la présence du périphérique, c'est-à-dire, si le périphérique fonctionne dans l'un des modes transparents. Comment le périphérique est-il physiquement connecté au réseau? Quelle est la configuration nécessaire à l'intégration du périphérique au réseau? Où la configuration a-t-elle lieu dans le réseau? Eléments à prendre en compte avant de changer de mode réseau En mode proxy explicite ou routeur transparent, vous pouvez configurer le périphérique de sorte qu'il intervienne sur plusieurs réseaux. Pour cela, vous devez configurer plusieurs adresses IP pour les ports LAN1 et LAN2. Si vous passez du mode proxy explicite ou du mode routeur transparent au mode pont transparent, seules les adresses IP activées pour chaque port seront prises en compte. TIP: une fois que vous avez sélectionné un mode réseau, McAfee conseille de ne pas en changer, sauf si vous déplacez le périphérique ou restructurez le réseau. Table des matières Avant l'installation Mode pont transparent Mode routeur transparent Mode proxy explicite 12

13 Avant l'installation Eléments à prendre en compte concernant les modes réseau Mode pont transparent En mode pont transparent, les serveurs qui communiquent ne détectent pas l'intervention du périphérique. On dit alors que le fonctionnement de ce dernier est transparent. Figure 1: Communication transparente Dans la Figure 1: Communication transparente, le serveur de messagerie externe (A) envoie des messages au serveur de messagerie interne (C). Ce serveur de messagerie externe ne détecte pas que le périphérique (B) a intercepté et analysé cet . Le serveur de messagerie externe semble communiquer directement avec le serveur de messagerie interne (le chemin d'accès est représenté en pointillés). En réalité, le trafic peut traverser plusieurs périphériques réseau et être intercepté et analysé par le périphérique avant d'atteindre le serveur de messagerie interne. Fonction du périphérique Configuration En mode pont transparent, le périphérique se connecte à votre réseau par l'intermédiaire des ports LAN1 et LAN2. Il analyse le trafic qu'il reçoit et agit comme un pont, puisqu'il connecte deux segments de réseau qu'il traite comme un seul réseau logique. Le mode pont transparent requiert moins de configuration que les modes routeur transparent et proxy explicite. Vous n'avez pas besoin de reconfigurer tous vos clients, la passerelle par défaut, les enregistrements MX, la fonction NAT du pare-feu ou les serveurs de messagerie pour acheminer le trafic vers le périphérique. Dans la mesure où ce mode n'utilise pas le périphérique comme un routeur, vous n'avez pas de table de routage à mettre à jour. Où installer le périphérique Pour des raisons de sécurité, vous devez utiliser le périphérique à l'intérieur de votre entreprise, protégé par un pare-feu. Figure 2: Réseau logique unique TIP: en mode pont transparent, positionnez le périphérique entre le pare-feu et votre routeur, tel qu'illustré à la Figure 2: Réseau logique unique. Dans ce mode, vous connectez physiquement deux segments de réseau au périphérique ; celui-ci les traite comme un seul réseau logique. Les différents périphériques (pare-feu, 13

14 Avant l'installation Eléments à prendre en compte concernant les modes réseau périphérique et routeur) étant sur le même réseau logique, ils doivent avoir des adresses IP compatibles sur le même sous-réseau. Les périphériques (tels qu'un routeur) se trouvant d'un côté du pont et communiquant avec des périphériques (tels qu'un pare-feu) situés de l'autre côté du pont ne détectent pas la présence de celui-ci. Ils ne détectent pas que le trafic est intercepté et analysé : le périphérique fonctionne comme un pont transparent. Figure 3: Mode pont transparent Mode routeur transparent En mode routeur transparent, le périphérique analyse le trafic de messagerie entre deux réseaux. Il dispose d'une adresse IP pour le trafic analysé sortant, et doit également en avoir une pour le trafic entrant. Les serveurs réseau qui communiquent ne détectent pas l'intervention du périphérique (son fonctionnement est transparent pour les périphériques). Fonction du périphérique Configuration En mode routeur transparent, le périphérique se connecte à vos réseaux par l'intermédiaire des ports LAN1 et LAN2. Le périphérique analyse le trafic qu'il reçoit sur un réseau et le transmet sur le périphérique réseau suivant d'un autre réseau. Il joue ainsi le rôle de routeur, acheminant le trafic entre des réseaux conformément aux informations fournies par ses tables de routage. En mode routeur transparent, il n'est pas nécessaire de reconfigurer explicitement tous les périphériques réseau pour acheminer le trafic vers le périphérique. Il vous suffit de configurer 14

15 Avant l'installation Eléments à prendre en compte concernant les modes réseau la table de routage associée au périphérique et de modifier certaines informations de routage concernant les périphériques réseau placés d'un côté ou de l'autre de celui-ci (et connectés aux ports LAN1 et LAN2). Par exemple, vous devez peut-être définir le périphérique comme la passerelle par défaut. En mode routeur transparent, le périphérique doit relier deux réseaux. Le périphérique doit être placé à l'intérieur de l'entreprise, derrière un pare-feu. NOTE: le mode routeur transparent ne prend pas en charge les protocoles autres qu'ip (par exemple NetBEUI ou IPX) ni le trafic Multicast IP. Où installer le périphérique Utilisez le périphérique en mode routeur transparent pour remplacer un routeur existant sur votre réseau. TIP: si vous utilisez le mode routeur transparent et que vous ne remplacez pas le routeur existant, vous devrez reconfigurer une partie de votre réseau pour acheminer correctement le trafic via le périphérique. Figure 4: Configuration en mode routeur transparent Vous devez : configurer vos périphériques clients pour qu'ils pointent vers la passerelle par défaut ; configurer le périphérique pour qu'il utilise la passerelle Internet comme passerelle par défaut ; vérifier que les périphériques clients peuvent remettre le courrier électronique aux serveurs de messagerie à l'intérieur de votre entreprise. 15

16 Avant l'installation Eléments à prendre en compte concernant les modes réseau Mode proxy explicite En mode proxy explicite, certains périphériques réseau doivent être configurés explicitement pour acheminer le trafic vers le périphérique. Ce dernier fonctionne alors comme un proxy ou un relais, traitant le trafic pour le compte de ces périphériques. Le mode proxy explicite convient idéalement aux réseaux sur lesquels les périphériques clients se connectent au périphérique via un seul périphérique en amont et en aval. TIP: ce mode risque de ne pas être la meilleure option si la redirection du trafic vers le périphérique exige la reconfiguration de plusieurs périphériques réseau. Configuration du réseau et des périphériques Si le périphérique est en mode proxy explicite, vous devez configurer explicitement votre serveur de messagerie interne pour qu'il redirige le trafic des s vers le périphérique. Le périphérique analyse le trafic des s pour le compte de l'expéditeur avant de le transférer au serveur de messagerie externe. Le serveur de messagerie externe transfère ensuite le courrier au destinataire. De la même façon, le réseau doit être configuré pour que les s entrants provenant d'internet soient remis au périphérique plutôt qu'au serveur de messagerie interne. Figure 5: Relais du trafic des s Le périphérique analyse le trafic avant de le transférer, pour le compte de l'expéditeur, au serveur de messagerie interne pour remise au destinataire, tel qu'illustré à la Figure 5: Relais du trafic des s. Par exemple, un serveur de messagerie externe peut communiquer directement avec le périphérique, même si le trafic passe par plusieurs serveurs réseau avant d'atteindre le périphérique. Le chemin perçu est celui du serveur de messagerie externe vers le périphérique. Protocoles Pour analyser un protocole pris en charge, vous devez configurer les autres serveurs réseau ou ordinateurs clients pour qu'ils fassent transiter le trafic de ce protocole par le périphérique afin qu'aucun trafic ne le contourne. Règles de pare-feu Le mode proxy explicite invalide les règles de pare-feu éventuellement mises en place pour gérer l'accès du client à Internet. En effet, le pare-feu voit l'adresse IP du périphérique et non celle des clients et ne peut donc pas appliquer ses règles d'accès Internet à ces derniers. Où installer le périphérique Vous devez configurer les périphériques réseau de telle sorte qu'ils acheminent le trafic à analyser vers le périphérique. Cela est plus important que l'emplacement de celui-ci. 16

17 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Le routeur doit permettre à tous les utilisateurs de se connecter au périphérique. Figure 6: Configuration en mode proxy explicite Le périphérique doit être placé à l'intérieur de l'entreprise, derrière un pare-feu, tel qu'illustré à la Figure 6: Configuration en mode proxy explicite. En règle générale, le pare-feu est configuré de façon à bloquer le trafic ne provenant pas directement du périphérique. Si vous avez le moindre doute concernant la topologie de votre réseau et la manière d'intégrer le périphérique, contactez votre expert réseau. Utilisez cette configuration si : le périphérique fonctionne en mode proxy explicite ; vous utilisez une messagerie électronique (SMTP). Pour cette configuration, vous devez procéder de la manière suivante : Configurez les serveurs DNS (Domain Name System, système de noms de domaine) externes ou la fonction NAT (Network Address Translation, traduction des adresses réseau) du pare-feu de façon à ce que le serveur de messagerie externe envoie le courrier au périphérique et non au serveur de messagerie interne. Configurez les serveurs de messagerie internes pour qu'ils envoient le courrier au périphérique. Autrement dit, les serveurs de messagerie internes doivent utiliser le périphérique en tant qu'hôte actif. Assurez-vous que les périphériques clients peuvent remettre le courrier électronique aux serveurs de messagerie au sein de votre entreprise. Vérifiez que les règles de pare-feu sont à jour. Le pare-feu doit accepter le trafic provenant du périphérique, mais pas celui qui est directement envoyé par les périphériques clients. Définissez des règles afin d'empêcher le trafic indésirable de pénétrer dans votre entreprise. Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Une zone démilitarisée (DMZ) est un réseau séparé de tous les autres par un pare-feu, y compris d'internet et des réseaux internes. En général, la mise en place d'une DMZ a pour but de bloquer l'accès à des serveurs fournissant des services destinés à Internet, comme la messagerie. 17

18 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Les pirates informatiques réussissent souvent à accéder à un réseau en identifiant les ports TCP/UDP sur lesquels les applications écoutent les requêtes et exploitent leurs vulnérabilités connues. Les pare-feu diminuent considérablement le risque de tels exploits en contrôlant l'accès à des ports spécifiques sur des serveurs spécifiques. Le périphérique peut être facilement intégré à une configuration DMZ. La manière dont vous utilisez le périphérique dans une DMZ dépend des protocoles que vous avez l'intention d'analyser. Table des matières Avant l'installation Configuration SMTP dans une zone démilitarisée (DMZ) Configuration SMTP dans une zone démilitarisée (DMZ) La DMZ est un bon emplacement pour le chiffrement de la messagerie. Avant que le trafic de messagerie n'atteigne le pare-feu pour la deuxième fois (en allant de la DMZ au réseau interne), il a été chiffré. Les périphériques qui analysent le trafic SMTP dans une DMZ sont généralement configurés en mode proxy explicite. Les modifications de configuration doivent être apportées uniquement aux enregistrements MX pour les serveurs de messagerie. NOTE: vous pouvez utiliser le mode pont transparent lorsque vous analysez le trafic SMTP dans une DMZ. Cependant, si vous ne contrôlez pas correctement le flux de trafic, le périphérique analyse chaque message deux fois, une fois dans chaque direction. Ce mode est donc rarement utilisé pour l'analyse de trafic SMTP. Relais de messagerie Figure 7: Périphérique configuré en mode proxy explicite dans une zone démilitarisée (DMZ) Si un relais de messagerie est déjà configuré dans votre DMZ, vous pouvez le remplacer par le périphérique. Pour utiliser vos stratégies de pare-feu existantes, donnez au périphérique la même adresse IP que le relais de messagerie. 18

19 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Passerelle de messagerie Le SMTP ne fournit pas de méthodes pour chiffrer les messages électroniques : vous pouvez utiliser le dispositif TLS (Transport Layer Security - sécurité de la couche de transport) pour chiffrer le lien, mais pas les messages. Par conséquent, certaines sociétés ne permettent pas ce trafic sur leur réseau interne. Pour pallier ce problème, elles utilisent souvent une passerelle de messagerie propriétaire telle que Lotus Notes ou Microsoft Exchange pour chiffrer le trafic de messagerie avant qu'il n'atteigne le réseau interne. Pour mettre en œuvre une configuration DMZ en utilisant une passerelle de messagerie propriétaire, ajoutez le périphérique d'analyse à la DMZ du côté SMTP de la passerelle. Figure 8: Protection d'une passerelle de messagerie dans une zone démilitarisée (DMZ) Dans un tel cas, configurez : les enregistrements MX publics de façon à ce qu'ils ordonnent aux serveurs de messagerie externes d'envoyer tous les messages entrants vers le périphérique (et non vers la passerelle) ; le périphérique de façon à ce qu'il transfère tout le courrier entrant vers la passerelle de messagerie et transmette tout le courrier sortant à l'aide d'un serveur DNS ou d'un relais externe ; la passerelle de messagerie de façon à ce qu'elle transfère tout le courrier entrant vers les serveurs de messagerie internes et le reste du courrier (sortant) vers le périphérique ; le pare-feu de façon à ce qu'il donne accès au courrier entrant destiné au périphérique seulement. NOTE: il n'est pas nécessaire de reconfigurer les enregistrements MX publics des pare-feu configurés de façon à utiliser la fonction NAT et redirigeant le courrier entrant vers les serveurs de messagerie internes. Cela est dû au fait qu'ils redirigent le trafic vers le pare-feu et non vers la passerelle de messagerie. Dans un tel cas, vous devez reconfigurer le pare-feu de façon à ce qu'il dirige les requêtes de courrier entrant vers le périphérique. Règles de pare-feu spécifiques à Lotus Notes Les serveurs Lotus Notes communiquent par défaut par le port TCP En général, les règles de pare-feu suivantes utilisées pour sécuriser les serveurs Notes dans une zone démilitarisée (DMZ) permettent à ce qui suit de passer au travers du pare-feu : 19

20 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Les requêtes SMTP (port TCP 25) en provenance d'internet et à destination du périphérique Les requêtes du port TCP 1352 en provenance de la passerelle Notes et à destination d'un serveur Notes interne Les requêtes du port TCP 1352 en provenance d'un serveur Notes interne et à destination de la passerelle Notes Les requêtes SMTP en provenance du périphérique et à destination d'internet Toutes les autres requêtes SMTP et TCP du port 1352 sont rejetées. Règles de pare-feu spécifiques à Microsoft Exchange Les systèmes de messagerie basés sur Microsoft Exchange rencontrent un problème qui doit être contourné. Lorsque les serveurs Exchange communiquent entre eux, ils envoient leurs paquets initiaux en utilisant le protocole RPC (port TCP 135). Cependant, une fois la communication initiale établie, deux ports sont sélectionnés de façon dynamique et utilisés pour envoyer tous les paquets suivants jusqu'à la fin de la communication. Or, il est impossible de configurer un pare-feu de façon à ce qu'il reconnaisse des ports sélectionnés de façon dynamique. Par conséquent, le pare-feu interdit le passage des paquets. Pour contourner le problème, il est nécessaire de modifier le registre de chaque serveur Exchange dont les communications doivent franchir le pare-feu, de façon à ce que ces serveurs utilisent toujours les deux mêmes ports «dynamiques», puis d'ouvrir le port TCP 135 ainsi que ces deux ports dans le pare-feu. Nous décrivons cette méthode de contournement du problème dans le souci de fournir une documentation exhaustive ; en revanche, nous ne la recommandons pas. Le protocole RPC est largement répandu sur les réseaux Microsoft et la plupart des professionnels de la sécurité désapprouvent l'ouverture du port TCP 135 dans le sens entrant. Si vous souhaitez néanmoins utiliser cette méthode, vous pouvez en lire une description plus précise dans la base de connaissances du site web de Microsoft : Q Q Gestion de la charge de travail L'appliance dispose de sa propre gestion de charge de travail interne, qui distribue la charge d'analyse de façon égale entre toutes les appliances configurées pour travailler ensemble. Vous n'avez pas besoin de déployer de dispositif d'équilibrage de charge externe. Avant l'installation 20

21 Connexion et configuration de l'appliance McAfee recommande de procéder dans l'ordre suivant pour installer l'appliance : 1 Déballez l'appliance et vérifiez que toutes les pièces sont présentes (consultez les listes de pièces fournies). 2 Montez l'appliance en rack. 3 Connectez les périphériques à la source d'alimentation (écran, clavier). 4 Connectez l'appliance au réseau en respectant les scénarios de déploiement et le mode réseau désiré. 5 Installez le logiciel sur l'appliance. 6 Utilisez la console de configuration pour effectuer la configuration de base (nom du serveur, adresses IP, passerelle, etc.). 7 Connectez-vous à l'interface d'administration. 8 Exécutez l'assistant de configuration. 9 Acheminez le trafic réseau test via l'appliance. 10 Assurez-vous que le trafic réseau est bien analysé. 11 Configurez les stratégies et la génération de rapports. 12 Acheminez le trafic de production via l'appliance. CAUTION: la connexion de l'appliance à votre réseau peut perturber l'accès à Internet ou à d'autres services réseau. Prévoyez ainsi un temps d'indisponibilité du réseau et planifiez cette étape pour des périodes de faible utilisation du réseau. Table des matières Tableau de référence rapide d'installation Installation physique de l'appliance Connexion au réseau Alimentation de l'appliance Utilisation de la console de configuration Tableau de référence rapide d'installation Pour installer l'appliance, suivez les étapes décrites dans ce tableau : Cette étape... est décrite ici Déballez la palette et vérifiez le contenu par rapport aux listes de pièces fournies. Connectez les périphériques et la source d'alimentation. Contenu de la boîte Ecran et clavier 21

22 Connexion et configuration de l'appliance Ports et connexions Cette étape... est décrite ici Connectez l'appliance au réseau. Installez le logiciel. Effectuez la configuration de base. Connectez-vous à l'interface d'administration. Acheminez le trafic réseau test via l'appliance. Assurez-vous que le trafic réseau est bien analysé. Connexion au réseau Installation du logiciel Utilisation de la console de configuration Utilisation de la console de configuration Test du périphérique Test du périphérique 9. Configurez les stratégies et la génération de rapports. Utilisation des stratégies pour gérer l'analyse des messages 10. Configurez le trafic de production via le système. Utilisation de la console de configuration Ports et connexions Pour plus d'informations sur les ports et les connexions de l'appliance, veuillez consulter le guide d'identification des ports de McAfee and Web Security Appliance Installation physique de l'appliance La procédure ci-après permet d'installer physiquement l'appliance. Procédure 1 Retirez l'appliance de son emballage et placez-la sur une surface plane. 2 Pour installer l'appliance dans un rack de 19 pouces, suivez les étapes décrites à la section Montage de l'appliance dans un rack. 3 Connectez un écran, un clavier et une souris à l'appliance. 4 Branchez les câbles électriques à l'écran et à l'appliance, mais ne les connectez pas encore aux sources d'alimentation. 5 Connectez l'appliance au réseau en prenant en compte le mode de fonctionnement choisi. Montage de l'appliance dans un rack Le kit de montage permet d'installer l'appliance dans un rack à quatre montants. Ce kit convient pour la majorité des racks standard de 19 pouces disponibles sur le marché. Il contient les éléments suivants : 2 rails de montage 8 vis 2 colliers de serrage réutilisables Vous aurez besoin d'un tournevis adapté aux vis fournies. CAUTION: 22

23 Connexion et configuration de l'appliance Connexion au réseau Veillez à bien suivre les avertissements de sécurité indiqués. Le chargement dans un rack s'effectue toujours de bas en haut. Si vous installez plusieurs appliances, veillez à placer la première dans l'emplacement le plus bas disponible. Connexion au réseau Cette section décrit comment connecter l'appliance à votre réseau. Les ports et câbles que vous utilisez pour connecter votre réseau à l'appliance dépendent de la façon dont vous utiliserez cette dernière. Pour en savoir plus sur les modes réseau, consultez Eléments à prendre en compte concernant les modes réseau. Numéros de ports Lorsque vous connectez l'appliance à votre réseau, utilisez les numéros de ports suivants : Pour HTTPS, utilisez le port 443. Pour HTTP, utilisez le port 80. Pour SMTP, utilisez le port 25. Pour POP3, utilisez le port 110. Pour FTP, utilisez le port 21. Utilisation de connexions LAN cuivre A l'aide des connexions des commutateurs LAN1 et LAN2 et des câbles réseau fournis (ou des câbles Ethernet équivalents de catégorie 5e ou 6), connectez l'appliance à votre réseau, conformément au mode réseau que vous avez choisi. Si la fonctionnalité DHCP est configurée sur votre réseau, les adresses IP pour ces ports sont automatiquement attribuées. Mode pont transparent Utilisez les câbles LAN cuivre (fournis) pour connecter les commutateurs LAN1 et LAN2 de l'appliance à votre réseau, de manière à intégrer cette dernière dans le flux de données. Mode routeur transparent L'appliance fonctionne comme un routeur. Par conséquent, les segments LAN connectés à ses deux interfaces réseau doivent appartenir à des sous-réseaux IP différents. Elle doit remplacer un routeur existant, faute de quoi un nouveau sous-réseau doit être créé sur un côté de l'appliance. Pour ce faire, modifiez l'adresse IP ou le masque réseau utilisé par les ordinateurs de ce côté. Mode proxy explicite Utilisez un câble LAN cuivre (fourni) pour connecter le commutateur LAN1 ou LAN2 à votre réseau. Il s'agit d'un câble droit (non croisé) qui relie l'appliance à un commutateur RJ-45 non croisé standard. En mode proxy explicite, la connexion du commutateur inutilisée peut servir de port de gestion dédié. Pour gérer l'appliance en local, utilisez un câble Ethernet croisé de catégorie 5e pour connecter l'appliance à la carte réseau de l'ordinateur local. 23

24 Connexion et configuration de l'appliance Alimentation de l'appliance Utilisation de connexions LAN fibre optique Utilisez les câbles en fibre optique pour relier les connecteurs LAN1 et LAN2 à votre réseau. L'utilisation des connecteurs dépend de la façon dont vous allez utiliser l'appliance. Mode pont transparent Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à votre réseau. Mode routeur transparent Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à différents sous-réseaux IP. Mode proxy explicite Utilisez un câble en fibre optique pour relier les commutateurs LAN1 de l'appliance à votre réseau. En mode proxy explicite, le connecteur inutilisé peut servir de port de gestion dédié. Si votre ordinateur de gestion est équipé d'une carte d'interface réseau compatible, vous pouvez le connecter au connecteur restant pour la gestion locale de l'appliance. Ecran et clavier Connectez un écran et un clavier à l'appliance. Alimentation de l'appliance La procédure ci-après permet d'alimenter l'appliance et de la mettre sous tension. Procédure 1 Branchez l'écran et les câbles d'alimentation de l'appliance à des prises de courant. NOTE: si le cordon d'alimentation n'est pas compatible dans le pays d'utilisation, contactez votre fournisseur. 2 Mettez l'appliance sous tension en appuyant sur le bouton d'alimentation. Après avoir démarré, la console de configuration s'affiche à l'écran. Voir Utilisation de la console de configuration. Installation du logiciel La procédure ci-après permet d'installer le logiciel and Web Security sur le périphérique. Procédure 1 Sur un ordinateur équipé d'un accès à Internet, téléchargez la dernière version du logiciel and Web Security sur le site de téléchargement de McAfee. (Vous aurez besoin de votre Grant Number.) 2 Créez un CD à partir de cette image. 24

25 Connexion et configuration de l'appliance Utilisation de la console de configuration 3 Connectez un écran, un clavier et une souris au périphérique. 4 Une fois le périphérique allumé, insérez le CD dans le lecteur de CD-ROM. 5 Redémarrez le périphérique. Le logiciel est installé. Utilisation de la console de configuration Le processus de configuration a été simplifié dans la version 5.5. Vous pouvez désormais configurer votre périphérique soit à partir de la console de configuration, soit à partir de l'assistant de configuration dans l'interface utilisateur. La console de configuration se lance automatiquement à la fin de la séquence de démarrage après : le démarrage d'un périphérique non configuré ; ou la réinitialisation des valeurs d'origine par défaut d'un périphérique. Une fois lancée, la console de configuration fournit des options permettant soit de configurer votre périphérique dans la langue de votre choix à partir de la console du périphérique, soit de vous connecter à l'assistant de configuration dans l'interface utilisateur à partir d'un autre utilisateur sur le même sous-réseau de classe C. Ces deux méthodes vous offrent les mêmes options de configuration. NOTE: à partir de la console de configuration, vous pouvez configurer une nouvelle installation du logiciel de l'appliance. Toutefois, pour configurer votre appliance à l'aide d'un fichier de configuration précédemment enregistré, vous devez vous connecter à l'interface utilisateur de l'appliance et exécuter l'assistant de configuration (Système Assistant de configuration). Cette version du logiciel inclut également une configuration automatique via DHCP pour les paramètres suivants : Nom d'hôte Nom de domaine Passerelle par défaut Serveur DNS Adresse IP allouée Serveur NTP Page d'accueil Page d'accueil Procédure d'installation standard Configuration personnalisée Restauration à partir d'un fichier Configuration de gestion epo Il s'agit de la première page de l'assistant de configuration. Utilisez cette page pour sélectionner le type d'installation que vous voulez effectuer. NOTE: si vous accédez à cette page à partir de l'assistant de configuration, vous serez invité à entrer votre nom d'utilisateur et votre mot de passe. 25

26 Connexion et configuration de l'appliance Utilisation de la console de configuration Sélectionnez Configuration standard (par défaut) pour configurer votre périphérique en mode pont transparent et protéger votre réseau. Configurez le périphérique en mode pont transparent uniquement. La protection du trafic des s implique l'activation du protocole SMTP. La protection du trafic web implique l'activation du protocole HTTP. Sélectionnez Configuration personnalisée pour sélectionner le mode de fonctionnement de votre périphérique. Si vous voulez protéger le trafic d' s, vous pouvez activer les protocoles SMTP et POP3. Si vous voulez protéger le trafic web, vous pouvez activer les protocoles HTTP, FTP et ICAP. Vous devez utiliser cette option pour configurer l'ipv6 et pour apporter d'autres modifications à la configuration par défaut. Sélectionnez Restaurer à partir d'un fichier (non disponible à partir de la console de configuration) pour configurer votre périphérique à partir d'une configuration précédemment enregistrée. A l'issue de l'importation du fichier, vous pourrez vérifier les paramètres importés avant de quitter l'assistant. Sélectionnez Configuration de gestion epo ( and Web Security Appliance v5.6 uniquement) pour configurer votre périphérique afin qu'il puisse être géré par votre serveur epolicy Orchestrator. Les informations requises sont peu nombreuses étant donné que le périphérique récupérera la plupart de ses informations de configuration auprès de votre serveur epolicy Orchestrator. Procédure d'installation standard Trafic Pour la configuration standard, l'assistant comprend les pages suivantes : Trafic Paramètres de base Synthèse NOTE: le choix de la configuration standard oblige le périphérique à fonctionner en mode pont transparent. Cette page permet de préciser le type de trafic que l'appliance analyse. Définition des options Option Analyser le trafic web Définition Le trafic web inclut le trafic HTTP uniquement. Une fois l'installation terminée : Le périphérique protège votre réseau contre les virus et utilise McAfee SiteAdvisor à chaque visite d'un site web. Si vous souhaitez analyser davantage de types de trafics, vous pouvez activer chaque protocole à partir de sa page. Dans le menu, sélectionnez Web Configuration web HTTP, Web Configuration web ICAP ou Web Configuration web FTP. Vous pouvez également : Activer la protection contre les programmes potentiellement indésirables, dont les logiciels espions (spywares) McAfee Anti-Spyware protège votre réseau contre un grand nombre de programmes potentiellement indésirables tels que les logiciels espions (spywares), les logiciels publicitaires (adwares), les outils d'administration à distance, les numéroteurs (dialers) et les craqueurs de mots de passe. Cette fonction n'est pas activée par défaut. NOTE: McAfee Anti-Spyware a été conçu pour détecter et, avec votre permission, supprimer les programmes potentiellement indésirables. Certains programmes achetés ou 26

27 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Analyser le trafic d' s Domaine de relais local Définition intentionnellement téléchargés servent d'hôtes à des programmes potentiellement indésirables. La suppression de ces programmes peut empêcher leurs hôtes de fonctionner. Pour plus d'informations, reportez-vous aux accords de licence de ces programmes hôtes. McAfee, Inc. n'encourage et n'approuve pas la violation de tout accord de licence auquel vous auriez souscrit. Lisez attentivement les détails de tous les accords de licence et politiques de confidentialité avant de télécharger ou d'installer un logiciel. Le trafic des s inclut uniquement le trafic SMTP. Une fois l'installation terminée : Le périphérique protège votre réseau des virus, du spam et des tentatives de phishing, et utilise McAfee TrustedSource pour protéger votre réseau contre les messages indésirables. Si vous souhaitez analyser davantage de types de trafics, vous pouvez activer chaque protocole à partir de sa page. Dans le menu, sélectionnez Messagerie Configuration des s Configuration du protocole Paramètres de connexion (POP3) ou Messagerie Configuration des s Configuration du protocole Paramètres de connexion (SMTP). Vous pouvez également : Activer la protection contre les programmes potentiellement indésirables, dont les logiciels espions (spywares) Dans Options de relais, le périphérique suggère les informations de domaine si elles sont disponibles via DHCP. Supprimez l'astérisque pour accepter le nom de domaine ou saisissez un autre nom de domaine. Paramètres de base Cette page permet de définir les paramètres de base pour l'appliance en mode pont transparent. Serveur de passerelle ou pare-feu McAfee and Web Security Appliance Serveur Active Directory ou DNS NOTE: plusieurs de ces paramètres sont automatiquement configurés à partir du serveur DHCP de votre réseau. Définition des options Option Nom de périphérique Définition Définit un nom, par exemple, périphérique1. 27

28 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Nom de domaine Adresse IP Sous-réseau Adresse IP de la passerelle Adresse IP du serveur DNS Mode ID utilisateur Mot de passe Fuseau horaire Heure système Définir l'heure maintenant Définition Définit un nom, par exemple, domaine1.com. Définit une adresse, par exemple, Le nom de domaine complet (FQDN) (Nom de périphérique/ Nom de Domaine) doit se résoudre à cette adresse IP lorsque l'on fait appel au serveur DNS (précisé ici). McAfee recommande d'associer cette adresse IP à un nom de domaine complet (FQDN) par le biais d'une recherche inversée. Spécifie une adresse de sous-réseau, par exemple Définit une adresse, par exemple Cela peut être un routeur ou un pare-feu. Vous pourrez vérifier ultérieurement que l'appliance communique avec ce périphérique. Spécifie l'adresse du serveur DNS que l'appliance utilisera pour convertir les adresses de sites web en adresses IP. Cela peut être un serveur Active Directory ou un serveur DNS. Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Spécifie le mode, comme pont transparent. L'utilisateur scmadmin est le super administrateur. Vous ne pouvez pas modifier, désactiver ou supprimer ce compte. En revanche, vous pouvez ajouter d'autres comptes après l'installation. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est scmchangeme. Propose plusieurs fuseaux horaires. Les zones sont organisées d'ouest en Est pour couvrir le Pacifique, l'amérique, l'europe, l'asie, l'inde, le Japon et l'australie. Indique la date et l'heure locales. Pour définir la date, cliquez sur l'icône en forme de calendrier. Cliquez sur ce bouton pour définir l'heure de l'appliance. Vous devez cliquer sur ce bouton avant de cliquer sur Suivant. Si nécessaire, vous pouvez configurer le serveur NTP (Network Time Protocol) après l'installation. Synthèse Cette page permet de consulter une synthèse des paramètres que vous avez configurés via l'assistant de configuration. Pour modifier une valeur, cliquez sur le lien bleu pour afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée sur cette page pour accéder à l'interface. Par exemple, Notez que l'adresse commence par https et non par http. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur scmadmin et le mot de passe que vous avez donné à l'assistant de configuration. Définition des options Option Définition La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. 28