McAfee and Web Security Appliance (sur matériel Intel) Guide d'installation

Transcription

1 McAfee and Web Security Appliance (sur matériel Intel) Guide d'installation

2 COPYRIGHT Copyright 2010 McAfee, Inc. All Rights Reserved. No part of this publication may be reproduced, transmitted, transcribed, stored in a retrieval system, or translated into any language in any form or by any means without the written permission of McAfee, Inc., or its suppliers or affiliate companies. TRADEMARK ATTRIBUTIONS AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD are registered trademarks or trademarks of McAfee, Inc. and/or its affiliates in the US and/or other countries. McAfee Red in connection with security is distinctive of McAfee brand products. All other registered and unregistered trademarks herein are the sole property of their respective owners. LICENSE INFORMATION License Agreement NOTICE TO ALL USERS: CAREFULLY READ THE APPROPRIATE LEGAL AGREEMENT CORRESPONDING TO THE LICENSE YOU PURCHASED, WHICH SETS FORTH THE GENERAL TERMS AND CONDITIONS FOR THE USE OF THE LICENSED SOFTWARE. IF YOU DO NOT KNOW WHICH TYPE OF LICENSE YOU HAVE ACQUIRED, PLEASE CONSULT THE SALES AND OTHER RELATED LICENSE GRANT OR PURCHASE ORDER DOCUMENTS THAT ACCOMPANY YOUR SOFTWARE PACKAGING OR THAT YOU HAVE RECEIVED SEPARATELY AS PART OF THE PURCHASE (AS A BOOKLET, A FILE ON THE PRODUCT CD, OR A FILE AVAILABLE ON THE WEBSITE FROM WHICH YOU DOWNLOADED THE SOFTWARE PACKAGE). IF YOU DO NOT AGREE TO ALL OF THE TERMS SET FORTH IN THE AGREEMENT, DO NOT INSTALL THE SOFTWARE. IF APPLICABLE, YOU MAY RETURN THE PRODUCT TO MCAFEE OR THE PLACE OF PURCHASE FOR A FULL REFUND. License Attributions Refer to the product Release Notes. 2

3 Contents Présentation de McAfee and Web Security Appliance Comment utiliser ce guide Public concerné Définitions des termes utilisés dans ce guide Conventions graphiques Documentation Ressources disponibles Avant l'installation Contenu de la boîte Préparation de l'installation Utilisation inappropriée Conditions de fonctionnement Positionnement de l'appliance Eléments à prendre en compte concernant les modes réseau Mode pont transparent Mode routeur transparent Mode proxy explicite Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Configuration SMTP dans une zone démilitarisée (DMZ) Gestion de la charge de travail Connexion et configuration de l'appliance Tableau de référence rapide d'installation Ports et connexions Installation physique de l'appliance Montage de l'appliance dans un rack Connexion au réseau Numéros de ports Utilisation de connexions LAN cuivre Utilisation de connexions LAN fibre optique Ecran et clavier Alimentation de l'appliance

4 Contents Installation du logiciel Utilisation de la console de configuration Page d'accueil Procédure d'installation standard Configuration personnalisée Restauration à partir d'un fichier Configuration de gestion epo Paramètres epo Paramètres de base Paramètres réseau Gestion du cluster Mot de passe Synthèse Test de la configuration Présentation de l'interface utilisateur Test du périphérique Utilisation du périphérique Mises à jour et fichiers HotFix Après l'installation Exploration de l'appliance Génération de rapports Utilisation des stratégies pour gérer l'analyse des messages Création d'une stratégie d'analyse antivirus Création d'une stratégie d'analyse antispam Création d'une stratégie de conformité des s Création d'une stratégie de filtrage de contenu A propos de la gestion de l'hôte virtuel Dépannage Problèmes d'ordre général L'appliance n'est pas alimentée L'appliance ne reçoit aucun trafic en provenance du réseau FAQ Problèmes liés à l'interface Problèmes de distribution des messages Remise Pièces jointes POP

5 Contents Configuration physique Configuration du système Maintenance du système Mise à jour automatique de l'antivirus Antispam Aide supplémentaire Barre de liens

6 Présentation de McAfee and Web Security Appliance Ce guide fournit les informations nécessaires à l'installation de McAfee and Web Security Appliance. Il indique les différentes étapes du processus d'installation et explique comment vérifier ce dernier. Ce guide explique comment configurer le logiciel and Web Security ; une fois la configuration terminée, l'utilisateur disposera d'une appliance totalement opérationnelle. Table des matières Comment utiliser ce guide Définitions des termes utilisés dans ce guide Conventions graphiques Documentation Ressources disponibles Comment utiliser ce guide Ce guide vous aidera à procéder aux opérations suivantes : Prévoir et effectuer votre installation Vous familiariser avec l'interface Tester le bon fonctionnement du produit Appliquer les fichiers de définition de détection les plus récents Explorer des stratégies d'analyse, créer des rapports et obtenir des informations d'état Résoudre les problèmes de base Vous trouverez d'autres informations sur les fonctions d'analyse du produit dans l'aide en ligne. Public concerné Les informations présentées dans ce guide sont destinées principalement aux administrateurs réseau chargés du programme de sécurité et de protection antivirus de leur société. Définitions des termes utilisés dans ce guide Ces informations définissent certains termes clés employés dans ce guide. 6

7 Présentation de McAfee and Web Security Appliance Définitions des termes utilisés dans ce guide Terme Zone démilitarisée (DMZ) Fichiers DAT Mode de fonctionnement Stratégie Vérification par le service de réputation Définition Hôte ou petit réseau qui fait office de tampon entre un réseau privé et le réseau public extérieur, dans le but d'interdire un accès direct de la part des utilisateurs extérieurs aux ressources du réseau privé. Fichiers de définition de détection (DAT), également appelés fichiers de signatures, contenant les définitions qui identifient, détectent et réparent les virus, les chevaux de Troie, les logiciels espions (spywares), les logiciels publicitaires (adwares) et les programmes potentiellement indésirables (PUP). Le produit dispose de trois modes de fonctionnement : proxy explicite, routeur transparent et pont transparent. Ensemble de critères de sécurité, par exemple des paramètres de configuration, des bases de référence et des spécifications d'accès réseau, qui permet de définir le niveau de conformité requis pour les utilisateurs, les périphériques et les systèmes évalués ou mis en œuvre par une application de sécurité McAfee. Fait partie de l'authentification de l'expéditeur. Si la vérification d'un expéditeur soumis au service de réputation échoue, l'appliance est paramétrée de façon à refermer la connexion et à refuser le message correspondant. L'adresse IP de l'expéditeur est ajoutée à la liste des connexions bloquées et est automatiquement bloquée au niveau du noyau. 7

8 Présentation de McAfee and Web Security Appliance Conventions graphiques Conventions graphiques Les figures de ce guide utilisent les symboles suivants. Appliance Internet Serveur de messagerie Autre serveur (DNS, par exemple) Ordinateur d'utilisateur ou ordinateur client Routeur Commutateur Pare-feu Zone réseau (démilitarisée DMZ ou VLAN) Réseau Chemin d'accès réel des données Chemin d'accès perçu des données Documentation Ce guide est fourni avec votre produit. Des informations supplémentaires sont disponibles dans l'aide en ligne du produit, ainsi que sur le site web Ressources disponibles Ces informations expliquent comment obtenir de l'aide et accéder aux services d'assistance. Produits McAfee Guide produit Aide en ligne Base de connaissances McAfee. Sur le site web cliquez sur le lien Search the KnowledgeBase (Rechercher dans la base de connaissances). Site de téléchargement de McAfee. Inclut des informations sur les concepts de base, les stratégies, les protocoles (SMTP, POP3, FTP, HTTP et ICAP), la maintenance et la surveillance. Vous devez posséder l'id du Grant Number. Interface produit. Inclut des informations sur les concepts de base, les stratégies, les 8

9 Présentation de McAfee and Web Security Appliance Ressources disponibles protocoles (SMTP, POP3, FTP, HTTP et ICAP), la maintenance et la surveillance. 9

10 Avant l'installation Pour assurer l'utilisation en toute sécurité du produit, prenez en compte les éléments suivants avant de commencer l'installation. Vous devez vous familiariser avec ses fonctionnalités et modes de fonctionnement. Il est important de choisir une configuration correcte. Déterminez la manière dont vous souhaitez intégrer l'appliance dans votre réseau, ainsi que les informations dont vous avez besoin avant de commencer l'installation. Par exemple, le nom et l'adresse IP de l'appliance. Déballez le produit le plus près possible de son emplacement prévu. Retirez le produit de son emballage et placez-le sur une surface plane. Respectez tous les avertissements de sécurité fournis. CAUTION: passez en revue toutes les informations de sécurité fournies et familiarisez-vous avec elles. Table des matières Contenu de la boîte Préparation de l'installation Utilisation inappropriée Conditions de fonctionnement Positionnement de l'appliance Contenu de la boîte Pour vérifier que tous les composants ont été livrés, consultez la liste de pièces fournie avec votre produit. De façon générale, vous devriez avoir les éléments suivants : Une appliance Des cordons d'alimentation Des câbles réseau Le CD d'installation et de récupération and Web Security Le CD de code source Linux Contactez votre fournisseur si un élément est manquant ou endommagé. Avant l'installation 10

11 Avant l'installation Préparation de l'installation Préparation de l'installation Prenez en compte les éléments suivants : Les exigences environnementales Les informations sur les exigences de site environnementales, y compris la température, le débit d'air et l'espace Les exigences et éléments à prendre en compte pour l'alimentation Les exigences d'alimentation et les facteurs électriques à prendre en compte avant l'installation Les spécifications et exigences matérielles Les scénarios de configuration La préparation de l'installation Avant l'installation Utilisation inappropriée Le produit : n'est pas un pare-feu. Vous devez l'utiliser au sein de votre entreprise, derrière un pare-feu correctement configuré. n'est pas un serveur destiné au stockage de logiciels et de fichiers supplémentaires. N'installez pas de logiciel sur le périphérique et n'y ajoutez aucun fichier supplémentaire à moins d'avoir reçu une instruction en ce sens dans la documentation ou de la part du représentant du support technique. Le périphérique ne gère pas tous les types de trafics. Si vous utilisez le mode proxy explicite, seuls les protocoles à analyser doivent être envoyés au périphérique. Avant l'installation Conditions de fonctionnement Température Humidité relative Vibrations maximales Choc maximal Altitude De 10 à 35 C De 20 à 80 % (sans condensation) avec une variation de 10 % par heure maximum 0,25 G à Hz pendant 15 minutes Choc dans l'axe z positif (un choc de chaque côté de l'unité) de 31 G pendant 2,6 ms maximum De -16 à m Positionnement de l'appliance Installez l'appliance de façon à pouvoir contrôler l'accès physique à l'unité et l'accès aux ports et aux connexions. Un kit de montage en rack est fourni avec l'appliance ; vous pouvez ainsi l'installer dans un rack 19 pouces. Voir Montage de l'appliance dans un rack. 11

12 Avant l'installation Eléments à prendre en compte concernant les modes réseau Eléments à prendre en compte concernant les modes réseau Avant d'installer et de configurer and Web Security Appliance, vous devez décider du mode réseau à utiliser. Le mode choisi détermine la connexion physique de l'appliance à votre réseau. Vous avez le choix entre les modes réseau suivants : Mode pont transparent : le périphérique agit en tant que pont Ethernet. Mode routeur transparent : le périphérique agit en tant que routeur. Mode proxy explicite : le périphérique agit en tant que serveur proxy et relais de messagerie. Si, après avoir lu la présente section et les suivantes, vous n'êtes toujours pas certain du mode à choisir, contactez votre expert réseau. Eléments architecturaux à prendre en compte concernant les modes réseau Les principaux éléments à prendre en compte concernant les modes réseau sont les suivants : Savoir si les périphériques de communication reconnaissent la présence du périphérique, c'est-à-dire, si le périphérique fonctionne dans l'un des modes transparents. Comment le périphérique est-il physiquement connecté au réseau? Quelle est la configuration nécessaire à l'intégration du périphérique au réseau? Où la configuration a-t-elle lieu dans le réseau? Eléments à prendre en compte avant de changer de mode réseau En mode proxy explicite ou routeur transparent, vous pouvez configurer le périphérique de sorte qu'il intervienne sur plusieurs réseaux. Pour cela, vous devez configurer plusieurs adresses IP pour les ports LAN1 et LAN2. Si vous passez du mode proxy explicite ou du mode routeur transparent au mode pont transparent, seules les adresses IP activées pour chaque port seront prises en compte. TIP: une fois que vous avez sélectionné un mode réseau, McAfee conseille de ne pas en changer, sauf si vous déplacez le périphérique ou restructurez le réseau. Table des matières Avant l'installation Mode pont transparent Mode routeur transparent Mode proxy explicite 12

13 Avant l'installation Eléments à prendre en compte concernant les modes réseau Mode pont transparent En mode pont transparent, les serveurs qui communiquent ne détectent pas l'intervention du périphérique. On dit alors que le fonctionnement de ce dernier est transparent. Figure 1: Communication transparente Dans la Figure 1: Communication transparente, le serveur de messagerie externe (A) envoie des messages au serveur de messagerie interne (C). Ce serveur de messagerie externe ne détecte pas que le périphérique (B) a intercepté et analysé cet . Le serveur de messagerie externe semble communiquer directement avec le serveur de messagerie interne (le chemin d'accès est représenté en pointillés). En réalité, le trafic peut traverser plusieurs périphériques réseau et être intercepté et analysé par le périphérique avant d'atteindre le serveur de messagerie interne. Fonction du périphérique Configuration En mode pont transparent, le périphérique se connecte à votre réseau par l'intermédiaire des ports LAN1 et LAN2. Il analyse le trafic qu'il reçoit et agit comme un pont, puisqu'il connecte deux segments de réseau qu'il traite comme un seul réseau logique. Le mode pont transparent requiert moins de configuration que les modes routeur transparent et proxy explicite. Vous n'avez pas besoin de reconfigurer tous vos clients, la passerelle par défaut, les enregistrements MX, la fonction NAT du pare-feu ou les serveurs de messagerie pour acheminer le trafic vers le périphérique. Dans la mesure où ce mode n'utilise pas le périphérique comme un routeur, vous n'avez pas de table de routage à mettre à jour. Où installer le périphérique Pour des raisons de sécurité, vous devez utiliser le périphérique à l'intérieur de votre entreprise, protégé par un pare-feu. Figure 2: Réseau logique unique TIP: en mode pont transparent, positionnez le périphérique entre le pare-feu et votre routeur, tel qu'illustré à la Figure 2: Réseau logique unique. Dans ce mode, vous connectez physiquement deux segments de réseau au périphérique ; celui-ci les traite comme un seul réseau logique. Les différents périphériques (pare-feu, 13

14 Avant l'installation Eléments à prendre en compte concernant les modes réseau périphérique et routeur) étant sur le même réseau logique, ils doivent avoir des adresses IP compatibles sur le même sous-réseau. Les périphériques (tels qu'un routeur) se trouvant d'un côté du pont et communiquant avec des périphériques (tels qu'un pare-feu) situés de l'autre côté du pont ne détectent pas la présence de celui-ci. Ils ne détectent pas que le trafic est intercepté et analysé : le périphérique fonctionne comme un pont transparent. Figure 3: Mode pont transparent Mode routeur transparent En mode routeur transparent, le périphérique analyse le trafic de messagerie entre deux réseaux. Il dispose d'une adresse IP pour le trafic analysé sortant, et doit également en avoir une pour le trafic entrant. Les serveurs réseau qui communiquent ne détectent pas l'intervention du périphérique (son fonctionnement est transparent pour les périphériques). Fonction du périphérique Configuration En mode routeur transparent, le périphérique se connecte à vos réseaux par l'intermédiaire des ports LAN1 et LAN2. Le périphérique analyse le trafic qu'il reçoit sur un réseau et le transmet sur le périphérique réseau suivant d'un autre réseau. Il joue ainsi le rôle de routeur, acheminant le trafic entre des réseaux conformément aux informations fournies par ses tables de routage. En mode routeur transparent, il n'est pas nécessaire de reconfigurer explicitement tous les périphériques réseau pour acheminer le trafic vers le périphérique. Il vous suffit de configurer 14

15 Avant l'installation Eléments à prendre en compte concernant les modes réseau la table de routage associée au périphérique et de modifier certaines informations de routage concernant les périphériques réseau placés d'un côté ou de l'autre de celui-ci (et connectés aux ports LAN1 et LAN2). Par exemple, vous devez peut-être définir le périphérique comme la passerelle par défaut. En mode routeur transparent, le périphérique doit relier deux réseaux. Le périphérique doit être placé à l'intérieur de l'entreprise, derrière un pare-feu. NOTE: le mode routeur transparent ne prend pas en charge les protocoles autres qu'ip (par exemple NetBEUI ou IPX) ni le trafic Multicast IP. Où installer le périphérique Utilisez le périphérique en mode routeur transparent pour remplacer un routeur existant sur votre réseau. TIP: si vous utilisez le mode routeur transparent et que vous ne remplacez pas le routeur existant, vous devrez reconfigurer une partie de votre réseau pour acheminer correctement le trafic via le périphérique. Figure 4: Configuration en mode routeur transparent Vous devez : configurer vos périphériques clients pour qu'ils pointent vers la passerelle par défaut ; configurer le périphérique pour qu'il utilise la passerelle Internet comme passerelle par défaut ; vérifier que les périphériques clients peuvent remettre le courrier électronique aux serveurs de messagerie à l'intérieur de votre entreprise. 15

16 Avant l'installation Eléments à prendre en compte concernant les modes réseau Mode proxy explicite En mode proxy explicite, certains périphériques réseau doivent être configurés explicitement pour acheminer le trafic vers le périphérique. Ce dernier fonctionne alors comme un proxy ou un relais, traitant le trafic pour le compte de ces périphériques. Le mode proxy explicite convient idéalement aux réseaux sur lesquels les périphériques clients se connectent au périphérique via un seul périphérique en amont et en aval. TIP: ce mode risque de ne pas être la meilleure option si la redirection du trafic vers le périphérique exige la reconfiguration de plusieurs périphériques réseau. Configuration du réseau et des périphériques Si le périphérique est en mode proxy explicite, vous devez configurer explicitement votre serveur de messagerie interne pour qu'il redirige le trafic des s vers le périphérique. Le périphérique analyse le trafic des s pour le compte de l'expéditeur avant de le transférer au serveur de messagerie externe. Le serveur de messagerie externe transfère ensuite le courrier au destinataire. De la même façon, le réseau doit être configuré pour que les s entrants provenant d'internet soient remis au périphérique plutôt qu'au serveur de messagerie interne. Figure 5: Relais du trafic des s Le périphérique analyse le trafic avant de le transférer, pour le compte de l'expéditeur, au serveur de messagerie interne pour remise au destinataire, tel qu'illustré à la Figure 5: Relais du trafic des s. Par exemple, un serveur de messagerie externe peut communiquer directement avec le périphérique, même si le trafic passe par plusieurs serveurs réseau avant d'atteindre le périphérique. Le chemin perçu est celui du serveur de messagerie externe vers le périphérique. Protocoles Pour analyser un protocole pris en charge, vous devez configurer les autres serveurs réseau ou ordinateurs clients pour qu'ils fassent transiter le trafic de ce protocole par le périphérique afin qu'aucun trafic ne le contourne. Règles de pare-feu Le mode proxy explicite invalide les règles de pare-feu éventuellement mises en place pour gérer l'accès du client à Internet. En effet, le pare-feu voit l'adresse IP du périphérique et non celle des clients et ne peut donc pas appliquer ses règles d'accès Internet à ces derniers. Où installer le périphérique Vous devez configurer les périphériques réseau de telle sorte qu'ils acheminent le trafic à analyser vers le périphérique. Cela est plus important que l'emplacement de celui-ci. 16

17 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Le routeur doit permettre à tous les utilisateurs de se connecter au périphérique. Figure 6: Configuration en mode proxy explicite Le périphérique doit être placé à l'intérieur de l'entreprise, derrière un pare-feu, tel qu'illustré à la Figure 6: Configuration en mode proxy explicite. En règle générale, le pare-feu est configuré de façon à bloquer le trafic ne provenant pas directement du périphérique. Si vous avez le moindre doute concernant la topologie de votre réseau et la manière d'intégrer le périphérique, contactez votre expert réseau. Utilisez cette configuration si : le périphérique fonctionne en mode proxy explicite ; vous utilisez une messagerie électronique (SMTP). Pour cette configuration, vous devez procéder de la manière suivante : Configurez les serveurs DNS (Domain Name System, système de noms de domaine) externes ou la fonction NAT (Network Address Translation, traduction des adresses réseau) du pare-feu de façon à ce que le serveur de messagerie externe envoie le courrier au périphérique et non au serveur de messagerie interne. Configurez les serveurs de messagerie internes pour qu'ils envoient le courrier au périphérique. Autrement dit, les serveurs de messagerie internes doivent utiliser le périphérique en tant qu'hôte actif. Assurez-vous que les périphériques clients peuvent remettre le courrier électronique aux serveurs de messagerie au sein de votre entreprise. Vérifiez que les règles de pare-feu sont à jour. Le pare-feu doit accepter le trafic provenant du périphérique, mais pas celui qui est directement envoyé par les périphériques clients. Définissez des règles afin d'empêcher le trafic indésirable de pénétrer dans votre entreprise. Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Une zone démilitarisée (DMZ) est un réseau séparé de tous les autres par un pare-feu, y compris d'internet et des réseaux internes. En général, la mise en place d'une DMZ a pour but de bloquer l'accès à des serveurs fournissant des services destinés à Internet, comme la messagerie. 17

18 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Les pirates informatiques réussissent souvent à accéder à un réseau en identifiant les ports TCP/UDP sur lesquels les applications écoutent les requêtes et exploitent leurs vulnérabilités connues. Les pare-feu diminuent considérablement le risque de tels exploits en contrôlant l'accès à des ports spécifiques sur des serveurs spécifiques. Le périphérique peut être facilement intégré à une configuration DMZ. La manière dont vous utilisez le périphérique dans une DMZ dépend des protocoles que vous avez l'intention d'analyser. Table des matières Avant l'installation Configuration SMTP dans une zone démilitarisée (DMZ) Configuration SMTP dans une zone démilitarisée (DMZ) La DMZ est un bon emplacement pour le chiffrement de la messagerie. Avant que le trafic de messagerie n'atteigne le pare-feu pour la deuxième fois (en allant de la DMZ au réseau interne), il a été chiffré. Les périphériques qui analysent le trafic SMTP dans une DMZ sont généralement configurés en mode proxy explicite. Les modifications de configuration doivent être apportées uniquement aux enregistrements MX pour les serveurs de messagerie. NOTE: vous pouvez utiliser le mode pont transparent lorsque vous analysez le trafic SMTP dans une DMZ. Cependant, si vous ne contrôlez pas correctement le flux de trafic, le périphérique analyse chaque message deux fois, une fois dans chaque direction. Ce mode est donc rarement utilisé pour l'analyse de trafic SMTP. Relais de messagerie Figure 7: Périphérique configuré en mode proxy explicite dans une zone démilitarisée (DMZ) Si un relais de messagerie est déjà configuré dans votre DMZ, vous pouvez le remplacer par le périphérique. Pour utiliser vos stratégies de pare-feu existantes, donnez au périphérique la même adresse IP que le relais de messagerie. 18

19 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Passerelle de messagerie Le SMTP ne fournit pas de méthodes pour chiffrer les messages électroniques : vous pouvez utiliser le dispositif TLS (Transport Layer Security - sécurité de la couche de transport) pour chiffrer le lien, mais pas les messages. Par conséquent, certaines sociétés ne permettent pas ce trafic sur leur réseau interne. Pour pallier ce problème, elles utilisent souvent une passerelle de messagerie propriétaire telle que Lotus Notes ou Microsoft Exchange pour chiffrer le trafic de messagerie avant qu'il n'atteigne le réseau interne. Pour mettre en œuvre une configuration DMZ en utilisant une passerelle de messagerie propriétaire, ajoutez le périphérique d'analyse à la DMZ du côté SMTP de la passerelle. Figure 8: Protection d'une passerelle de messagerie dans une zone démilitarisée (DMZ) Dans un tel cas, configurez : les enregistrements MX publics de façon à ce qu'ils ordonnent aux serveurs de messagerie externes d'envoyer tous les messages entrants vers le périphérique (et non vers la passerelle) ; le périphérique de façon à ce qu'il transfère tout le courrier entrant vers la passerelle de messagerie et transmette tout le courrier sortant à l'aide d'un serveur DNS ou d'un relais externe ; la passerelle de messagerie de façon à ce qu'elle transfère tout le courrier entrant vers les serveurs de messagerie internes et le reste du courrier (sortant) vers le périphérique ; le pare-feu de façon à ce qu'il donne accès au courrier entrant destiné au périphérique seulement. NOTE: il n'est pas nécessaire de reconfigurer les enregistrements MX publics des pare-feu configurés de façon à utiliser la fonction NAT et redirigeant le courrier entrant vers les serveurs de messagerie internes. Cela est dû au fait qu'ils redirigent le trafic vers le pare-feu et non vers la passerelle de messagerie. Dans un tel cas, vous devez reconfigurer le pare-feu de façon à ce qu'il dirige les requêtes de courrier entrant vers le périphérique. Règles de pare-feu spécifiques à Lotus Notes Les serveurs Lotus Notes communiquent par défaut par le port TCP En général, les règles de pare-feu suivantes utilisées pour sécuriser les serveurs Notes dans une zone démilitarisée (DMZ) permettent à ce qui suit de passer au travers du pare-feu : 19

20 Avant l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Les requêtes SMTP (port TCP 25) en provenance d'internet et à destination du périphérique Les requêtes du port TCP 1352 en provenance de la passerelle Notes et à destination d'un serveur Notes interne Les requêtes du port TCP 1352 en provenance d'un serveur Notes interne et à destination de la passerelle Notes Les requêtes SMTP en provenance du périphérique et à destination d'internet Toutes les autres requêtes SMTP et TCP du port 1352 sont rejetées. Règles de pare-feu spécifiques à Microsoft Exchange Les systèmes de messagerie basés sur Microsoft Exchange rencontrent un problème qui doit être contourné. Lorsque les serveurs Exchange communiquent entre eux, ils envoient leurs paquets initiaux en utilisant le protocole RPC (port TCP 135). Cependant, une fois la communication initiale établie, deux ports sont sélectionnés de façon dynamique et utilisés pour envoyer tous les paquets suivants jusqu'à la fin de la communication. Or, il est impossible de configurer un pare-feu de façon à ce qu'il reconnaisse des ports sélectionnés de façon dynamique. Par conséquent, le pare-feu interdit le passage des paquets. Pour contourner le problème, il est nécessaire de modifier le registre de chaque serveur Exchange dont les communications doivent franchir le pare-feu, de façon à ce que ces serveurs utilisent toujours les deux mêmes ports «dynamiques», puis d'ouvrir le port TCP 135 ainsi que ces deux ports dans le pare-feu. Nous décrivons cette méthode de contournement du problème dans le souci de fournir une documentation exhaustive ; en revanche, nous ne la recommandons pas. Le protocole RPC est largement répandu sur les réseaux Microsoft et la plupart des professionnels de la sécurité désapprouvent l'ouverture du port TCP 135 dans le sens entrant. Si vous souhaitez néanmoins utiliser cette méthode, vous pouvez en lire une description plus précise dans la base de connaissances du site web de Microsoft : Q Q Gestion de la charge de travail L'appliance dispose de sa propre gestion de charge de travail interne, qui distribue la charge d'analyse de façon égale entre toutes les appliances configurées pour travailler ensemble. Vous n'avez pas besoin de déployer de dispositif d'équilibrage de charge externe. Avant l'installation 20

21 Connexion et configuration de l'appliance McAfee recommande de procéder dans l'ordre suivant pour installer l'appliance : 1 Déballez l'appliance et vérifiez que toutes les pièces sont présentes (consultez les listes de pièces fournies). 2 Montez l'appliance en rack. 3 Connectez les périphériques à la source d'alimentation (écran, clavier). 4 Connectez l'appliance au réseau en respectant les scénarios de déploiement et le mode réseau désiré. 5 Installez le logiciel sur l'appliance. 6 Utilisez la console de configuration pour effectuer la configuration de base (nom du serveur, adresses IP, passerelle, etc.). 7 Connectez-vous à l'interface d'administration. 8 Exécutez l'assistant de configuration. 9 Acheminez le trafic réseau test via l'appliance. 10 Assurez-vous que le trafic réseau est bien analysé. 11 Configurez les stratégies et la génération de rapports. 12 Acheminez le trafic de production via l'appliance. CAUTION: la connexion de l'appliance à votre réseau peut perturber l'accès à Internet ou à d'autres services réseau. Prévoyez ainsi un temps d'indisponibilité du réseau et planifiez cette étape pour des périodes de faible utilisation du réseau. Table des matières Tableau de référence rapide d'installation Installation physique de l'appliance Connexion au réseau Alimentation de l'appliance Utilisation de la console de configuration Tableau de référence rapide d'installation Pour installer l'appliance, suivez les étapes décrites dans ce tableau : Cette étape... est décrite ici Déballez la palette et vérifiez le contenu par rapport aux listes de pièces fournies. Connectez les périphériques et la source d'alimentation. Contenu de la boîte Ecran et clavier 21

22 Connexion et configuration de l'appliance Ports et connexions Cette étape... est décrite ici Connectez l'appliance au réseau. Installez le logiciel. Effectuez la configuration de base. Connectez-vous à l'interface d'administration. Acheminez le trafic réseau test via l'appliance. Assurez-vous que le trafic réseau est bien analysé. Connexion au réseau Installation du logiciel Utilisation de la console de configuration Utilisation de la console de configuration Test du périphérique Test du périphérique 9. Configurez les stratégies et la génération de rapports. Utilisation des stratégies pour gérer l'analyse des messages 10. Configurez le trafic de production via le système. Utilisation de la console de configuration Ports et connexions Pour plus d'informations sur les ports et les connexions de l'appliance, veuillez consulter le guide d'identification des ports de McAfee and Web Security Appliance Installation physique de l'appliance La procédure ci-après permet d'installer physiquement l'appliance. Procédure 1 Retirez l'appliance de son emballage et placez-la sur une surface plane. 2 Pour installer l'appliance dans un rack de 19 pouces, suivez les étapes décrites à la section Montage de l'appliance dans un rack. 3 Connectez un écran, un clavier et une souris à l'appliance. 4 Branchez les câbles électriques à l'écran et à l'appliance, mais ne les connectez pas encore aux sources d'alimentation. 5 Connectez l'appliance au réseau en prenant en compte le mode de fonctionnement choisi. Montage de l'appliance dans un rack Le kit de montage permet d'installer l'appliance dans un rack à quatre montants. Ce kit convient pour la majorité des racks standard de 19 pouces disponibles sur le marché. Il contient les éléments suivants : 2 rails de montage 8 vis 2 colliers de serrage réutilisables Vous aurez besoin d'un tournevis adapté aux vis fournies. CAUTION: 22

23 Connexion et configuration de l'appliance Connexion au réseau Veillez à bien suivre les avertissements de sécurité indiqués. Le chargement dans un rack s'effectue toujours de bas en haut. Si vous installez plusieurs appliances, veillez à placer la première dans l'emplacement le plus bas disponible. Connexion au réseau Cette section décrit comment connecter l'appliance à votre réseau. Les ports et câbles que vous utilisez pour connecter votre réseau à l'appliance dépendent de la façon dont vous utiliserez cette dernière. Pour en savoir plus sur les modes réseau, consultez Eléments à prendre en compte concernant les modes réseau. Numéros de ports Lorsque vous connectez l'appliance à votre réseau, utilisez les numéros de ports suivants : Pour HTTPS, utilisez le port 443. Pour HTTP, utilisez le port 80. Pour SMTP, utilisez le port 25. Pour POP3, utilisez le port 110. Pour FTP, utilisez le port 21. Utilisation de connexions LAN cuivre A l'aide des connexions des commutateurs LAN1 et LAN2 et des câbles réseau fournis (ou des câbles Ethernet équivalents de catégorie 5e ou 6), connectez l'appliance à votre réseau, conformément au mode réseau que vous avez choisi. Si la fonctionnalité DHCP est configurée sur votre réseau, les adresses IP pour ces ports sont automatiquement attribuées. Mode pont transparent Utilisez les câbles LAN cuivre (fournis) pour connecter les commutateurs LAN1 et LAN2 de l'appliance à votre réseau, de manière à intégrer cette dernière dans le flux de données. Mode routeur transparent L'appliance fonctionne comme un routeur. Par conséquent, les segments LAN connectés à ses deux interfaces réseau doivent appartenir à des sous-réseaux IP différents. Elle doit remplacer un routeur existant, faute de quoi un nouveau sous-réseau doit être créé sur un côté de l'appliance. Pour ce faire, modifiez l'adresse IP ou le masque réseau utilisé par les ordinateurs de ce côté. Mode proxy explicite Utilisez un câble LAN cuivre (fourni) pour connecter le commutateur LAN1 ou LAN2 à votre réseau. Il s'agit d'un câble droit (non croisé) qui relie l'appliance à un commutateur RJ-45 non croisé standard. En mode proxy explicite, la connexion du commutateur inutilisée peut servir de port de gestion dédié. Pour gérer l'appliance en local, utilisez un câble Ethernet croisé de catégorie 5e pour connecter l'appliance à la carte réseau de l'ordinateur local. 23

24 Connexion et configuration de l'appliance Alimentation de l'appliance Utilisation de connexions LAN fibre optique Utilisez les câbles en fibre optique pour relier les connecteurs LAN1 et LAN2 à votre réseau. L'utilisation des connecteurs dépend de la façon dont vous allez utiliser l'appliance. Mode pont transparent Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à votre réseau. Mode routeur transparent Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à différents sous-réseaux IP. Mode proxy explicite Utilisez un câble en fibre optique pour relier les commutateurs LAN1 de l'appliance à votre réseau. En mode proxy explicite, le connecteur inutilisé peut servir de port de gestion dédié. Si votre ordinateur de gestion est équipé d'une carte d'interface réseau compatible, vous pouvez le connecter au connecteur restant pour la gestion locale de l'appliance. Ecran et clavier Connectez un écran et un clavier à l'appliance. Alimentation de l'appliance La procédure ci-après permet d'alimenter l'appliance et de la mettre sous tension. Procédure 1 Branchez l'écran et les câbles d'alimentation de l'appliance à des prises de courant. NOTE: si le cordon d'alimentation n'est pas compatible dans le pays d'utilisation, contactez votre fournisseur. 2 Mettez l'appliance sous tension en appuyant sur le bouton d'alimentation. Après avoir démarré, la console de configuration s'affiche à l'écran. Voir Utilisation de la console de configuration. Installation du logiciel La procédure ci-après permet d'installer le logiciel and Web Security sur le périphérique. Procédure 1 Sur un ordinateur équipé d'un accès à Internet, téléchargez la dernière version du logiciel and Web Security sur le site de téléchargement de McAfee. (Vous aurez besoin de votre Grant Number.) 2 Créez un CD à partir de cette image. 24

25 Connexion et configuration de l'appliance Utilisation de la console de configuration 3 Connectez un écran, un clavier et une souris au périphérique. 4 Une fois le périphérique allumé, insérez le CD dans le lecteur de CD-ROM. 5 Redémarrez le périphérique. Le logiciel est installé. Utilisation de la console de configuration Le processus de configuration a été simplifié dans la version 5.5. Vous pouvez désormais configurer votre périphérique soit à partir de la console de configuration, soit à partir de l'assistant de configuration dans l'interface utilisateur. La console de configuration se lance automatiquement à la fin de la séquence de démarrage après : le démarrage d'un périphérique non configuré ; ou la réinitialisation des valeurs d'origine par défaut d'un périphérique. Une fois lancée, la console de configuration fournit des options permettant soit de configurer votre périphérique dans la langue de votre choix à partir de la console du périphérique, soit de vous connecter à l'assistant de configuration dans l'interface utilisateur à partir d'un autre utilisateur sur le même sous-réseau de classe C. Ces deux méthodes vous offrent les mêmes options de configuration. NOTE: à partir de la console de configuration, vous pouvez configurer une nouvelle installation du logiciel de l'appliance. Toutefois, pour configurer votre appliance à l'aide d'un fichier de configuration précédemment enregistré, vous devez vous connecter à l'interface utilisateur de l'appliance et exécuter l'assistant de configuration (Système Assistant de configuration). Cette version du logiciel inclut également une configuration automatique via DHCP pour les paramètres suivants : Nom d'hôte Nom de domaine Passerelle par défaut Serveur DNS Adresse IP allouée Serveur NTP Page d'accueil Page d'accueil Procédure d'installation standard Configuration personnalisée Restauration à partir d'un fichier Configuration de gestion epo Il s'agit de la première page de l'assistant de configuration. Utilisez cette page pour sélectionner le type d'installation que vous voulez effectuer. NOTE: si vous accédez à cette page à partir de l'assistant de configuration, vous serez invité à entrer votre nom d'utilisateur et votre mot de passe. 25

26 Connexion et configuration de l'appliance Utilisation de la console de configuration Sélectionnez Configuration standard (par défaut) pour configurer votre périphérique en mode pont transparent et protéger votre réseau. Configurez le périphérique en mode pont transparent uniquement. La protection du trafic des s implique l'activation du protocole SMTP. La protection du trafic web implique l'activation du protocole HTTP. Sélectionnez Configuration personnalisée pour sélectionner le mode de fonctionnement de votre périphérique. Si vous voulez protéger le trafic d' s, vous pouvez activer les protocoles SMTP et POP3. Si vous voulez protéger le trafic web, vous pouvez activer les protocoles HTTP, FTP et ICAP. Vous devez utiliser cette option pour configurer l'ipv6 et pour apporter d'autres modifications à la configuration par défaut. Sélectionnez Restaurer à partir d'un fichier (non disponible à partir de la console de configuration) pour configurer votre périphérique à partir d'une configuration précédemment enregistrée. A l'issue de l'importation du fichier, vous pourrez vérifier les paramètres importés avant de quitter l'assistant. Sélectionnez Configuration de gestion epo ( and Web Security Appliance v5.6 uniquement) pour configurer votre périphérique afin qu'il puisse être géré par votre serveur epolicy Orchestrator. Les informations requises sont peu nombreuses étant donné que le périphérique récupérera la plupart de ses informations de configuration auprès de votre serveur epolicy Orchestrator. Procédure d'installation standard Trafic Pour la configuration standard, l'assistant comprend les pages suivantes : Trafic Paramètres de base Synthèse NOTE: le choix de la configuration standard oblige le périphérique à fonctionner en mode pont transparent. Cette page permet de préciser le type de trafic que l'appliance analyse. Définition des options Option Analyser le trafic web Définition Le trafic web inclut le trafic HTTP uniquement. Une fois l'installation terminée : Le périphérique protège votre réseau contre les virus et utilise McAfee SiteAdvisor à chaque visite d'un site web. Si vous souhaitez analyser davantage de types de trafics, vous pouvez activer chaque protocole à partir de sa page. Dans le menu, sélectionnez Web Configuration web HTTP, Web Configuration web ICAP ou Web Configuration web FTP. Vous pouvez également : Activer la protection contre les programmes potentiellement indésirables, dont les logiciels espions (spywares) McAfee Anti-Spyware protège votre réseau contre un grand nombre de programmes potentiellement indésirables tels que les logiciels espions (spywares), les logiciels publicitaires (adwares), les outils d'administration à distance, les numéroteurs (dialers) et les craqueurs de mots de passe. Cette fonction n'est pas activée par défaut. NOTE: McAfee Anti-Spyware a été conçu pour détecter et, avec votre permission, supprimer les programmes potentiellement indésirables. Certains programmes achetés ou 26

27 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Analyser le trafic d' s Domaine de relais local Définition intentionnellement téléchargés servent d'hôtes à des programmes potentiellement indésirables. La suppression de ces programmes peut empêcher leurs hôtes de fonctionner. Pour plus d'informations, reportez-vous aux accords de licence de ces programmes hôtes. McAfee, Inc. n'encourage et n'approuve pas la violation de tout accord de licence auquel vous auriez souscrit. Lisez attentivement les détails de tous les accords de licence et politiques de confidentialité avant de télécharger ou d'installer un logiciel. Le trafic des s inclut uniquement le trafic SMTP. Une fois l'installation terminée : Le périphérique protège votre réseau des virus, du spam et des tentatives de phishing, et utilise McAfee TrustedSource pour protéger votre réseau contre les messages indésirables. Si vous souhaitez analyser davantage de types de trafics, vous pouvez activer chaque protocole à partir de sa page. Dans le menu, sélectionnez Messagerie Configuration des s Configuration du protocole Paramètres de connexion (POP3) ou Messagerie Configuration des s Configuration du protocole Paramètres de connexion (SMTP). Vous pouvez également : Activer la protection contre les programmes potentiellement indésirables, dont les logiciels espions (spywares) Dans Options de relais, le périphérique suggère les informations de domaine si elles sont disponibles via DHCP. Supprimez l'astérisque pour accepter le nom de domaine ou saisissez un autre nom de domaine. Paramètres de base Cette page permet de définir les paramètres de base pour l'appliance en mode pont transparent. Serveur de passerelle ou pare-feu McAfee and Web Security Appliance Serveur Active Directory ou DNS NOTE: plusieurs de ces paramètres sont automatiquement configurés à partir du serveur DHCP de votre réseau. Définition des options Option Nom de périphérique Définition Définit un nom, par exemple, périphérique1. 27

28 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Nom de domaine Adresse IP Sous-réseau Adresse IP de la passerelle Adresse IP du serveur DNS Mode ID utilisateur Mot de passe Fuseau horaire Heure système Définir l'heure maintenant Définition Définit un nom, par exemple, domaine1.com. Définit une adresse, par exemple, Le nom de domaine complet (FQDN) (Nom de périphérique/ Nom de Domaine) doit se résoudre à cette adresse IP lorsque l'on fait appel au serveur DNS (précisé ici). McAfee recommande d'associer cette adresse IP à un nom de domaine complet (FQDN) par le biais d'une recherche inversée. Spécifie une adresse de sous-réseau, par exemple Définit une adresse, par exemple Cela peut être un routeur ou un pare-feu. Vous pourrez vérifier ultérieurement que l'appliance communique avec ce périphérique. Spécifie l'adresse du serveur DNS que l'appliance utilisera pour convertir les adresses de sites web en adresses IP. Cela peut être un serveur Active Directory ou un serveur DNS. Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Spécifie le mode, comme pont transparent. L'utilisateur scmadmin est le super administrateur. Vous ne pouvez pas modifier, désactiver ou supprimer ce compte. En revanche, vous pouvez ajouter d'autres comptes après l'installation. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est scmchangeme. Propose plusieurs fuseaux horaires. Les zones sont organisées d'ouest en Est pour couvrir le Pacifique, l'amérique, l'europe, l'asie, l'inde, le Japon et l'australie. Indique la date et l'heure locales. Pour définir la date, cliquez sur l'icône en forme de calendrier. Cliquez sur ce bouton pour définir l'heure de l'appliance. Vous devez cliquer sur ce bouton avant de cliquer sur Suivant. Si nécessaire, vous pouvez configurer le serveur NTP (Network Time Protocol) après l'installation. Synthèse Cette page permet de consulter une synthèse des paramètres que vous avez configurés via l'assistant de configuration. Pour modifier une valeur, cliquez sur le lien bleu pour afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée sur cette page pour accéder à l'interface. Par exemple, Notez que l'adresse commence par https et non par http. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur scmadmin et le mot de passe que vous avez donné à l'assistant de configuration. Définition des options Option Définition La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. 28

29 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Définition Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. Configuration de gestion epo Configuration personnalisée Pour la configuration personnalisée, l'assistant comprend les pages suivantes : Trafic Paramètres de base Paramètres réseau Gestion du cluster DNS et routage Paramètres temporels Mot de passe Synthèse Trafic Cette page permet de préciser le type de trafic que le périphérique analyse. Le trafic web inclut le HTTP (pour la navigation web), l'icap (en cas d'utilisation avec les clients ICAP) et le FTP pour le transfert de fichiers. Le trafic des s inclut les protocoles SMTP et POP3. Vous pouvez activer ou désactiver chacun des protocoles (SMTP, POP3, HTTP, ICAP et FTP). Si le périphérique fonctionne en mode routeur ou pont transparent et si le protocole est désactivé, le trafic transite par le périphérique, mais n'est pas analysé. Si le périphérique fonctionne en mode proxy explicite et si un protocole est désactivé, le trafic correspondant dirigé vers le serveur lame (Blade Server) est refusé. Le protocole est bloqué au niveau du périphérique. En mode proxy explicite, seuls les trafics SMTP, POP3, HTTP, ICAP et FTP sont gérés par le serveur lame. Tout autre trafic est refusé. Après l'installation, si vous ne souhaitez analyser aucun des types de trafics, vous pouvez désactiver chaque protocole depuis la page correspondante. Dans le menu, sélectionnez Messagerie Configuration des s Configuration des protocoles ou Web Configuration web. Définition des options Option Analyser le trafic web Définition Le trafic web comprend les protocoles HTTP, FTP et ICAP. Une fois l'installation terminée : Le périphérique protège votre réseau contre les virus et utilise McAfee SiteAdvisor à chaque visite d'un site web. Les options disponibles sont les suivantes : Activer la protection contre les programmes potentiellement indésirables, dont les logiciels espions (spywares) 29

30 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Définition McAfee Anti-Spyware protège votre réseau contre un grand nombre de programmes potentiellement indésirables tels que les logiciels espions (spywares), les logiciels publicitaires (adwares), les outils d'administration à distance, les numéroteurs (dialers) et les craqueurs de mots de passe. Cette fonction n'est pas activée par défaut. NOTE: McAfee Anti-Spyware a été conçu pour détecter et, avec votre permission, supprimer les programmes potentiellement indésirables. Certains programmes achetés ou intentionnellement téléchargés servent d'hôtes à des programmes potentiellement indésirables. La suppression de ces programmes peut empêcher leurs hôtes de fonctionner. Pour plus d'informations, reportez-vous aux accords de licence de ces programmes hôtes. McAfee, Inc. n'encourage et n'approuve pas la violation de tout accord de licence auquel vous auriez souscrit. Lisez attentivement les détails de tous les accords de licence et politiques de confidentialité avant de télécharger ou d'installer un logiciel. Analyser le trafic HTTP Activer le serveur ICAP Analyser le trafic FTP Analyser le trafic d' s Domaine de relais local Le trafic des s inclut les protocoles SMTP et POP3. Une fois l'installation terminée : Le périphérique protège votre réseau des virus, du spam et des tentatives de phishing, et utilise McAfee TrustedSource pour protéger votre réseau contre les messages indésirables. Les options disponibles sont les suivantes : Activer la protection contre les programmes potentiellement indésirables, dont les logiciels espions (spywares) Analyser le trafic SMTP Analyser le trafic POP3 Dans Options de relais, le périphérique suggère les informations de domaine si elles sont disponibles via DHCP. Supprimez l'astérisque pour accepter le nom de domaine ou saisissez un autre nom de domaine. Paramètres de base Cette page permet de définir les paramètres de base pour le périphérique. Le périphérique tente de vous transmettre certaines informations et les affiche surlignées en jaune. Pour modifier ces informations, cliquez dessus et écrasez-les. Définition des options Option Définition Mode cluster Désactivé : il s'agit d'une appliance standard. Analyseur de cluster : l'appliance reçoit sa charge de travail d'analyse d'une appliance principale. Appliance principale de cluster : l'appliance contrôle la charge de travail de plusieurs autres appliances. Reprise automatique de cluster : en cas de panne de l'appliance principale, cette appliance contrôle la charge de travail d'analyse à sa place. Nom de périphérique Nom de domaine Passerelle par défaut (IPv4) Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domaine.exemple.com. Définit une adresse IPv4 (par exemple, ). Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. 30

31 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Routeur correspondant au tronçon suivant (IPv6) Définition Configuration de gestion epo Définit une adresse IPv6 (par exemple, FD4A:A1B2:C3D4::1). Paramètres réseau La page Paramètres réseau s'affiche la première fois que vous exécutez une configuration sur une nouvelle installation (ou que vous restaurez les paramètres par défaut). Si vous modifiez le mode cluster du périphérique, cette page s'ouvrira également. Utilisez cette page pour configurer l'adresse IP, les vitesses du réseau et le mode de fonctionnement du périphérique. Il est possible que votre périphérique puisse utiliser toutes ces options via DHCP. Les adresses IP doivent être uniques et adaptées à votre réseau. Spécifiez autant d'adresses IP que nécessaire. Définition des options Option Modifier les paramètres réseau Mode de fonctionnement Type d'interface LAN Adresse IP Masque de réseau Définition Cette fonction permet de lancer un assistant avec les options suivantes. Propose plusieurs modes. En mode routeur transparent ou pont transparent, les autres périphériques réseaux, tels que les serveurs de messagerie, ne savent pas que le serveur lame (Blade Server) a intercepté et analysé l' avant de le transférer. Cette opération est transparente pour les périphériques. En mode proxy explicite, certains périphériques réseau acheminent le trafic vers l'appliance. Le serveur lame fonctionne alors comme un proxy en traitant le trafic au nom des périphériques. Précise le type de connexion (câblage cuivre ou fibre optique). Cette option n'est disponible que pour les appliances haut débit. Définit les adresses réseau permettant à l'appliance de communiquer avec votre réseau. Par exemple, ou FD4A:A1B2:C3D4::1. Vous pouvez définir plusieurs adresses IP pour les ports de l'appliance. Si vous utilisez l'appliance en mode pont transparent, les adresses IP sont combinées en une seule liste d'adresses de pont pour les ports. Pour les autres modes, cliquez sur Interface réseau 1 ou sur Interface réseau 2 pour travailler sur chacune des deux listes. Configurez l'adresse IP pour l'appliance de reprise automatique. Si vous êtes en mode proxy explicite ou en mode routeur transparent, créez une adresse IP virtuelle. L'adresse IP virtuelle doit être la même pour la lame de gestion principale et la lame de gestion de la reprise automatique. L'adresse IP en haut de la liste correspond à l'adresse principale. Toutes les adresses IP suivantes sont des alias. Définit un masque de réseau IPv4 (par exemple, ) ou indique la longueur du préfixe IPv6 (1-64 ou 128). Configuration de gestion epo Gestion du cluster Cette page permet d'indiquer les exigences relatives à l'équilibrage de charge. 31

32 Connexion et configuration de l'appliance Utilisation de la console de configuration Configuration de gestion du cluster (appliance standard) Gestion du cluster (analyseur de cluster) Gestion du cluster (appliance principale de cluster) Gestion du cluster (appliance de reprise automatique de cluster) Un cluster est un groupe de périphériques qui partagent leur configuration et permettent d'équilibrer le trafic sur le réseau. Un cluster peut contenir : une appliance principale de cluster, dont le rôle consiste à synchroniser la configuration et à équilibrer la charge du trafic du réseau entre les autres membres du cluster ; et au moins l'un des éléments suivants : une appliance de reprise automatique de cluster, qui, en cas de panne de l'appliance principale de cluster, prend son relais de façon totalement transparente ; un ou plusieurs analyseurs de cluster, dont l'objectif est d'analyser le trafic en fonction des stratégies synchronisées à partir de l'appliance principale. Notez que l'appliance principale et l'appliance de reprise automatique de cluster peuvent également analyser le trafic. Avantages L'évolutivité des performances liée à l'équilibrage de charge entre plusieurs périphériques réduit considérablement le coût des mises à niveau. Grâce à la synchronisation de la configuration et des mises à jour, la gestion est facilitée, ce qui réduit les besoins administratifs. L'amélioration de la résilience due à une disponibilité accrue réduit les risques de pannes imprévues. L'intelligence est améliorée grâce à des rapports consolidés. Configuration du cluster Chaque membre du cluster doit être installé et configuré séparément. Lors de la configuration d'une appliance principale ou de reprise automatique de cluster, l'administrateur doit procéder comme suit : Pour les modes routeur transparent ou proxy, l'administrateur doit définir la même adresse IP virtuelle sur l'appliance principale et de reprise automatique. Les différents membres du cluster utilisent alors le protocole VRRP pour la reprise automatique. En mode pont transparent, l'administrateur doit configurer le cluster pour qu'il utilise le protocole STP pour la reprise automatique. La priorité du pont doit être plus faible sur l'appliance principale (fonctionnalité configurée par défaut). Pour tous les membres du cluster, l'administrateur doit définir un identificateur de cluster. Cet identificateur unique permet de garantir que les membres du cluster sont correctement associés. Lorsque vous créez plusieurs clusters, vous pouvez utiliser un identificateur différent pour chacun d'entre eux. Vous devez diriger tout le trafic du réseau à analyser vers l'appliance principale de cluster (ou vers l'adresse IP virtuelle en cas d'utilisation d'une appliance de reprise automatique de cluster). Gestion du cluster Une fois configuré, le cluster est automatiquement associé à l'aide de l'identificateur de cluster. Le tableau de bord de l'appliance principale de cluster indique le périphérique et le type de cluster. 32

33 Connexion et configuration de l'appliance Utilisation de la console de configuration Dès lors, l'administrateur n'a plus qu'à utiliser l'interface utilisateur de l'appliance principale de cluster pour la gestion, par exemple pour configurer les stratégies d'analyse. L'appliance principale de cluster diffuse ensuite automatiquement sa configuration vers les autres membres du cluster. L'appliance principale de cluster regroupe les éléments suivants : Mises à jour antivirus Rapports en attente McAfee Quarantine Manager (MQM) NOTE: les patchs logiciels doivent être appliqués à chaque périphérique individuellement. Configuration de gestion du cluster (appliance standard) La gestion du cluster est désactivée. Gestion du cluster (analyseur de cluster) Cette page permet de définir les informations relatives à une appliance d'analyse. Option Identificateur de cluster Définition Spécifie un identificateur. La valeur peut être comprise entre 0 et Gestion du cluster (appliance principale de cluster) Cette page permet de définir les informations relatives à une appliance principale. Option Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définition Définit l'adresse de l'appliance. Spécifie un identificateur. La valeur peut être comprise entre 0 et Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. NOTE: pour les systèmes contenant deux ou trois appliances, il peut être utile d'activer l'analyse sur toutes les appliances. Pour les systèmes plus importants, vous pouvez choisir de ne pas analyser l'appliance principale. Gestion du cluster (appliance de reprise automatique de cluster) Cette page permet de définir les informations relatives à une appliance de reprise automatique. Option Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définition Définit l'adresse de l'appliance. Fournit la liste de tous les sous-réseaux attribués à l'appliance. Spécifie un identificateur. La valeur peut être comprise entre 0 et Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. NOTE: pour les systèmes contenant deux ou trois appliances, il peut être utile d'activer l'analyse sur toutes les appliances. Pour les systèmes plus importants, vous pouvez choisir de ne pas analyser l'appliance de reprise automatique de cluster. Configuration de gestion epo 33

34 Connexion et configuration de l'appliance Utilisation de la console de configuration DNS et routage Cette page permet de configurer l'utilisation de DNS et des itinéraires par le périphérique. Les serveurs DNS (Domain Name System) convertissent ou «mappent» les noms des périphériques réseau en adresses IP (et inversement). Le dispositif envoie les requêtes aux serveurs DNS dans l'ordre dans lequel elles sont répertoriées ici. Définition des options Option Adresse du serveur Adresse réseau Masque Passerelle Mesure Activer le routage dynamique Définition Définit les serveurs DNS. Le premier serveur de la liste doit être votre serveur le plus rapide ou le plus fiable. Si le premier serveur ne peut pas répondre à la requête, le périphérique contacte le deuxième serveur. Si aucun des serveurs de la liste ne peut répondre à la requête, le périphérique transmet la requête aux serveurs DNS racines sur Internet. Si votre pare-feu empêche la recherche DNS (généralement sur le port 53), indiquez l'adresse IP du périphérique local qui fournit la résolution de nom. Affiche l'adresse réseau d'un dispositif de routage. Affiche le masque de sous-réseau, par exemple Spécifie les adresses IP des autres passerelles (généralement un pare-feu ou un routeur) grâce auxquelles le périphérique communique avec le réseau. La page Paramètres de base permet de spécifier la passerelle par défaut. Affiche un numéro utilisé par un logiciel de routage. La valeur par défaut est 0,0. Le routage dynamique permet à vos périphériques réseau, y compris le périphérique, d'être à l'écoute des informations de routage que diffusent les routeurs de votre réseau. Les périphériques peuvent utiliser ces informations pour configurer leurs propres informations de routage. NOTE: le périphérique prend en charge uniquement les protocoles de routage RIP (Routing Information Protocol) et OSPF (Open Shortest Path First). Paramètres temporels Cette page permet de définir l'heure et la date, ainsi que tous les détails d'utilisation du protocole NTP (Network Time Protocol). Le protocole NTP synchronise les horloges des différents périphériques d'un réseau. Certains fournisseurs d'accès Internet (FAI) fournissent un service de synchronisation d'horloge. Pour plus d'informations sur le protocole NTP, consultez la norme RFC 1305 sur les sites suivants : ou Le périphérique peut synchroniser ses paramètres temporels avec ceux des autres périphériques afin d'assurer la précision de ses journaux, rapports et calendriers. Les messages NTP n'ont pas d'incidence particulière sur les performances des serveurs lames (Blade Servers) car ils ne sont pas souvent envoyés. Définition des options Option Fuseau horaire Heure système (locale) Définition Indique le fuseau horaire local. Vous devrez sans doute définir ce paramètre deux fois par an si votre région utilise l'heure d'été. Indique la date et l'heure locales. Pour définir la date, cliquez sur l'icône en forme de calendrier. 34

35 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Définition Définir l'heure maintenant Cliquez sur ce bouton pour définir l'heure du périphérique. Vous devez cliquer sur ce bouton avant de cliquer sur Suivant. Si nécessaire, vous pouvez configurer le serveur NTP (Network Time Protocol) après l'installation. Activer NTP Activer les diffusions vers les clients NTP Serveur NTP Permet d'accepter les messages NTP provenant d'un serveur spécifié ou d'un réseau. Permet d'accepter uniquement les messages NTP provenant des réseaux. Cette méthode est utile si le réseau est encombré. Cependant, elle nécessite que tous les autres périphériques du réseau soient efficacement protégés. Lorsque cette option est désélectionnée, seuls les messages NTP provenant de serveurs de la liste sont acceptés. Indique l'adresse réseau ou le nom de domaine d'un ou de plusieurs serveurs NTP utilisés par le périphérique. Si vous spécifiez plusieurs serveurs, le périphérique examine successivement chaque message NTP afin de déterminer l'heure appropriée. Mot de passe Cette page permet de définir un mot de passe pour le périphérique. Utilisez des lettres et des chiffres pour créer un mot de passe sécurisé. Vous pouvez saisir jusqu'à 15 caractères. Définition des options Option ID utilisateur Mot de passe Définition L'ID utilisateur est scmadmin. Vous pourrez ajouter d'autres utilisateurs ultérieurement. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre périphérique. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est scmchangeme. NOTE: vous devez modifier le mot de passe par défaut avant de pouvoir appliquer la configuration. Configuration de gestion epo Synthèse Cette page permet de consulter une synthèse des paramètres que vous avez configurés via l'assistant de configuration. Pour modifier une valeur, cliquez sur le lien bleu pour afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée sur cette page pour accéder à l'interface. Par exemple, Notez que l'adresse commence par https et non par http. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur scmadmin et le mot de passe que vous avez donné à l'assistant de configuration. 35

36 Connexion et configuration de l'appliance Utilisation de la console de configuration Définition des options Option Définition La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. Configuration de gestion epo Restauration à partir d'un fichier Lors de la configuration de votre périphérique à partir de l'assistant de configuration dans l'interface utilisateur, l'option Restaurer à partir d'un fichier vous permet d'importer les informations de configuration précédemment enregistrées et de les appliquer à votre périphérique. Une fois ces informations importées, vous pouvez apporter des modifications avant d'appliquer la configuration. Option Importer la configuration Valeurs à restaurer Messages d'importation de configuration Définition Cherchez et sélectionnez un fichier de configuration précédemment enregistré pour le télécharger sur votre périphérique. Par défaut, l'ensemble de la configuration est restauré. Vous pouvez choisir de restaurer uniquement des parties spécifiques de votre configuration en désélectionnant les informations que vous ne voulez pas stocker de nouveau. Vous pourrez vérifier ces modifications avant de les appliquer. Des messages s'affichent lors de l'importation du fichier de configuration. Une fois les informations de configuration importées, vous passez en mode personnalisé de l'assistant de configuration. (Voir Configuration personnalisée.) Toutes les options importées sont indiquées sur les pages de l'assistant, ce qui vous permet d'apporter des modifications avant d'appliquer la configuration. Utilisation de la console de configuration Configuration de gestion epo Pour la configuration de gestion epo ( and Web Security Appliance v5.6 uniquement), l'assistant comprend les pages suivantes : Paramètres epo Paramètres de base Paramètres réseau Gestion du cluster Mot de passe Synthèse 36

37 Connexion et configuration de l'appliance Utilisation de la console de configuration Utilisation de la console de configuration Paramètres epo Paramètres de base Paramètres réseau Gestion du cluster Mot de passe Synthèse Paramètres epo Cette page permet de télécharger l'extension epolicy Orchestrator et l'extension d'aide pour votre appliance and Web Security Appliance. Cette page permet également d'importer les paramètres de connexion epolicy Orchestrator sur votre appliance. Définition des options Option Extensions epo Aide pour epo 4.5 Importer les paramètres de connexion epo Définition Permet de télécharger les extensions epolicy Orchestrator pour and Web Security Appliance. Vous devrez installer ces extensions sur votre epolicy Orchestrator. Permet de télécharger l'extension d'aide pour and Web Security Appliance. Vous devrez installer ces extensions sur votre epolicy Orchestrator. Vous devez importer le fichier de paramètres de connexion sur vos appliances and Web Security Appliance pour permettre la communication entre les appliances et votre serveur epolicy Orchestrator. Configuration de gestion epo Paramètres de base Cette page permet de définir les paramètres de base pour le périphérique. Le périphérique tente de vous transmettre certaines informations et les affiche surlignées en jaune. Pour modifier ces informations, cliquez dessus et écrasez-les. Définition des options Option Définition Mode cluster Désactivé : il s'agit d'une appliance standard. Analyseur de cluster : l'appliance reçoit sa charge de travail d'analyse d'une appliance principale. Appliance principale de cluster : l'appliance contrôle la charge de travail de plusieurs autres appliances. Reprise automatique de cluster : en cas de panne de l'appliance principale, cette appliance contrôle la charge de travail d'analyse à sa place. Nom de périphérique Nom de domaine Passerelle par défaut (IPv4) Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domaine.exemple.com. Définit une adresse IPv4 (par exemple, ). Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. 37

38 Connexion et configuration de l'appliance Utilisation de la console de configuration Option Routeur correspondant au tronçon suivant (IPv6) Définition Configuration de gestion epo Définit une adresse IPv6 (par exemple, FD4A:A1B2:C3D4::1). Paramètres réseau La page Paramètres réseau s'affiche la première fois que vous exécutez une configuration sur une nouvelle installation (ou que vous restaurez les paramètres par défaut). Si vous modifiez le mode cluster du périphérique, cette page s'ouvrira également. Utilisez cette page pour configurer l'adresse IP, les vitesses du réseau et le mode de fonctionnement du périphérique. Il est possible que votre périphérique puisse utiliser toutes ces options via DHCP. Les adresses IP doivent être uniques et adaptées à votre réseau. Spécifiez autant d'adresses IP que nécessaire. Définition des options Option Modifier les paramètres réseau Mode de fonctionnement Type d'interface LAN Adresse IP Masque de réseau Définition Cette fonction permet de lancer un assistant avec les options suivantes. Propose plusieurs modes. En mode routeur transparent ou pont transparent, les autres périphériques réseaux, tels que les serveurs de messagerie, ne savent pas que le serveur lame (Blade Server) a intercepté et analysé l' avant de le transférer. Cette opération est transparente pour les périphériques. En mode proxy explicite, certains périphériques réseau acheminent le trafic vers l'appliance. Le serveur lame fonctionne alors comme un proxy en traitant le trafic au nom des périphériques. Précise le type de connexion (câblage cuivre ou fibre optique). Cette option n'est disponible que pour les appliances haut débit. Définit les adresses réseau permettant à l'appliance de communiquer avec votre réseau. Par exemple, ou FD4A:A1B2:C3D4::1. Vous pouvez définir plusieurs adresses IP pour les ports de l'appliance. Si vous utilisez l'appliance en mode pont transparent, les adresses IP sont combinées en une seule liste d'adresses de pont pour les ports. Pour les autres modes, cliquez sur Interface réseau 1 ou sur Interface réseau 2 pour travailler sur chacune des deux listes. Configurez l'adresse IP pour l'appliance de reprise automatique. Si vous êtes en mode proxy explicite ou en mode routeur transparent, créez une adresse IP virtuelle. L'adresse IP virtuelle doit être la même pour la lame de gestion principale et la lame de gestion de la reprise automatique. L'adresse IP en haut de la liste correspond à l'adresse principale. Toutes les adresses IP suivantes sont des alias. Définit un masque de réseau IPv4 (par exemple, ) ou indique la longueur du préfixe IPv6 (1-64 ou 128). Configuration de gestion epo Gestion du cluster Cette page permet d'indiquer les exigences relatives à l'équilibrage de charge. 38

39 Connexion et configuration de l'appliance Utilisation de la console de configuration Configuration de gestion du cluster (appliance standard) Gestion du cluster (analyseur de cluster) Gestion du cluster (appliance principale de cluster) Gestion du cluster (appliance de reprise automatique de cluster) Un cluster est un groupe de périphériques qui partagent leur configuration et permettent d'équilibrer le trafic sur le réseau. Un cluster peut contenir : une appliance principale de cluster, dont le rôle consiste à synchroniser la configuration et à équilibrer la charge du trafic du réseau entre les autres membres du cluster ; et au moins l'un des éléments suivants : une appliance de reprise automatique de cluster, qui, en cas de panne de l'appliance principale de cluster, prend son relais de façon totalement transparente ; un ou plusieurs analyseurs de cluster, dont l'objectif est d'analyser le trafic en fonction des stratégies synchronisées à partir de l'appliance principale. Notez que l'appliance principale et l'appliance de reprise automatique de cluster peuvent également analyser le trafic. Avantages L'évolutivité des performances liée à l'équilibrage de charge entre plusieurs périphériques réduit considérablement le coût des mises à niveau. Grâce à la synchronisation de la configuration et des mises à jour, la gestion est facilitée, ce qui réduit les besoins administratifs. L'amélioration de la résilience due à une disponibilité accrue réduit les risques de pannes imprévues. L'intelligence est améliorée grâce à des rapports consolidés. Configuration du cluster Chaque membre du cluster doit être installé et configuré séparément. Lors de la configuration d'une appliance principale ou de reprise automatique de cluster, l'administrateur doit procéder comme suit : Pour les modes routeur transparent ou proxy, l'administrateur doit définir la même adresse IP virtuelle sur l'appliance principale et de reprise automatique. Les différents membres du cluster utilisent alors le protocole VRRP pour la reprise automatique. En mode pont transparent, l'administrateur doit configurer le cluster pour qu'il utilise le protocole STP pour la reprise automatique. La priorité du pont doit être plus faible sur l'appliance principale (fonctionnalité configurée par défaut). Pour tous les membres du cluster, l'administrateur doit définir un identificateur de cluster. Cet identificateur unique permet de garantir que les membres du cluster sont correctement associés. Lorsque vous créez plusieurs clusters, vous pouvez utiliser un identificateur différent pour chacun d'entre eux. Vous devez diriger tout le trafic du réseau à analyser vers l'appliance principale de cluster (ou vers l'adresse IP virtuelle en cas d'utilisation d'une appliance de reprise automatique de cluster). Gestion du cluster Une fois configuré, le cluster est automatiquement associé à l'aide de l'identificateur de cluster. Le tableau de bord de l'appliance principale de cluster indique le périphérique et le type de cluster. 39

40 Connexion et configuration de l'appliance Utilisation de la console de configuration Dès lors, l'administrateur n'a plus qu'à utiliser l'interface utilisateur de l'appliance principale de cluster pour la gestion, par exemple pour configurer les stratégies d'analyse. L'appliance principale de cluster diffuse ensuite automatiquement sa configuration vers les autres membres du cluster. L'appliance principale de cluster regroupe les éléments suivants : Mises à jour antivirus Rapports en attente McAfee Quarantine Manager (MQM) NOTE: les patchs logiciels doivent être appliqués à chaque périphérique individuellement. Configuration de gestion du cluster (appliance standard) La gestion du cluster est désactivée. Gestion du cluster (analyseur de cluster) Cette page permet de définir les informations relatives à une appliance d'analyse. Option Identificateur de cluster Définition Spécifie un identificateur. La valeur peut être comprise entre 0 et Gestion du cluster (appliance principale de cluster) Cette page permet de définir les informations relatives à une appliance principale. Option Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définition Définit l'adresse de l'appliance. Spécifie un identificateur. La valeur peut être comprise entre 0 et Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. NOTE: pour les systèmes contenant deux ou trois appliances, il peut être utile d'activer l'analyse sur toutes les appliances. Pour les systèmes plus importants, vous pouvez choisir de ne pas analyser l'appliance principale. Gestion du cluster (appliance de reprise automatique de cluster) Cette page permet de définir les informations relatives à une appliance de reprise automatique. Option Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définition Définit l'adresse de l'appliance. Fournit la liste de tous les sous-réseaux attribués à l'appliance. Spécifie un identificateur. La valeur peut être comprise entre 0 et Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. NOTE: pour les systèmes contenant deux ou trois appliances, il peut être utile d'activer l'analyse sur toutes les appliances. Pour les systèmes plus importants, vous pouvez choisir de ne pas analyser l'appliance de reprise automatique de cluster. Configuration de gestion epo 40

41 Connexion et configuration de l'appliance Test de la configuration Mot de passe Cette page permet de définir un mot de passe pour le périphérique. Utilisez des lettres et des chiffres pour créer un mot de passe sécurisé. Vous pouvez saisir jusqu'à 15 caractères. Définition des options Option ID utilisateur Mot de passe Définition L'ID utilisateur est scmadmin. Vous pourrez ajouter d'autres utilisateurs ultérieurement. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre périphérique. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est scmchangeme. NOTE: vous devez modifier le mot de passe par défaut avant de pouvoir appliquer la configuration. Configuration de gestion epo Synthèse Cette page permet de consulter une synthèse des paramètres que vous avez configurés via l'assistant de configuration. Pour modifier une valeur, cliquez sur le lien bleu pour afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée sur cette page pour accéder à l'interface. Par exemple, Notez que l'adresse commence par https et non par http. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur scmadmin et le mot de passe que vous avez donné à l'assistant de configuration. Définition des options Option Définition La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. Configuration de gestion epo Test de la configuration Vous êtes maintenant prêt à tester la configuration sur le périphérique. Cette section comprend des informations permettant d'effectuer certaines actions : 41

42 Connexion et configuration de l'appliance Test de la configuration Comment redémarrer l'interface utilisateur? Tâches à réaliser pour s'assurer que le périphérique fonctionne correctement Table des matières Présentation de l'interface utilisateur Test du périphérique Présentation de l'interface utilisateur Pour démarrer l'interface utilisateur sur le périphérique, vous devez vous connecter en utilisant le nom d'utilisateur et le mot de passe. L'interface utilisateur s'ouvre et affiche la page Tableau de bord. NOTE: l'interface que vous voyez peut différer légèrement de celle illustrée ici, car elle varie selon la plate-forme matérielle, la version et la langue du logiciel. Figure 9: Eléments de l'interface - page Tableau de bord Barre de navigation Boutons de commande du support Barre d'informations utilisateur Contrôle de l'affichage Icônes de section Zone de contenu Barre d'onglets Barre de navigation La barre de navigation se divise en quatre zones : informations utilisateur, icônes de section, barre d'onglets et commandes du support. Barre d'informations utilisateur 42

43 Connexion et configuration de l'appliance Test de la configuration Le côté gauche de la barre d'informations utilisateur affiche une liste des utilisateurs actuellement connectés (et le serveur auquel ils sont connectés), un bouton Changer de mot de passe et un bouton Déconnexion. Dans la partie droite de cette barre, cliquez sur A propos de l'appliance pour obtenir des informations sur la version de l'appliance et du package. Les ressources fournissent des instructions sur la façon de soumettre correctement un échantillon de virus à McAfee et des liens vers des ressources supplémentaires de McAfee, comme notre portail de service et la bibliothèque d'informations sur les virus Virus Information Library. Ces liens sont accessibles à partir de la barre d'informations utilisateur. A propos de Ressources Bouton Rubriques d'aide Informations sur le produit et la licence. Informations de contact et informations suivantes : Support technique : questions fréquemment posées sur le site Web de McAfee. Envoyer un échantillon : instructions relatives à l'envoi d'un échantillon de virus à McAfee. Bibliothèque d'informations sur les virus : lien vers la bibliothèque d'informations sur les virus, qui décrit tous les virus et autres logiciels potentiellement indésirables que McAfee détecte et neutralise. Download SNMB files (Télécharger fichiers SNMB) : fichiers à télécharger pour SMI, MIB et HP Openview. Ouvre l'aide en ligne. Icônes de section Il existe cinq ou six icônes de section en fonction du logiciel utilisé. Cliquez sur une icône pour modifier les informations dans la zone de contenu et dans la barre d'onglets. Barre d'onglets Le contenu de la barre d'onglets dépend de l'icône de section sélectionnée. L'onglet sélectionné détermine le contenu affiché dans la zone de contenu. Boutons de commande du support Les boutons de commande du support correspondent à des actions applicables à la zone de contenu. Il s'agit de (de gauche à droite) : Retour et Aide. Deux boutons supplémentaires apparaissent lorsque vous configurez un élément qui vous permet d'appliquer ou d'annuler vos modifications. Contrôle de l'affichage Le bouton de contrôle de l'affichage permet d'afficher ou non une fenêtre d'état facultative. Zone de contenu La zone de contenu contient le contenu actif en cours ; c'est là où la plupart de vos interactions auront lieu. NOTE: les modifications apportées s'appliquent lorsque vous cliquez sur la coche verte. Test du périphérique Les procédures ci-après permettent de tester les éléments suivants : Configuration du périphérique Trafic de messagerie Détection de virus Détection de spam NOTE: avant d'utiliser le périphérique, mettez ses fichiers DAT à jour. 43

44 Connexion et configuration de l'appliance Test de la configuration Test de la connectivité La procédure ci-après permet de vérifier la connectivité de base. Procédure 1 Sur l'interface, sélectionnez Dépannage Tests Tests système. 2 Cliquez sur Démarrer dans le coin supérieur droit. Chaque test devrait se solder par une réussite. 3 Accédez à la zone Tests système et assurez-vous que tous les tests ont été exécutés avec succès. Test du trafic de messagerie La procédure ci-après vous permet de vous assurer que le trafic de messagerie passe bien par le périphérique. Procédure 1 Envoyez un à une boîte aux lettres interne à partir d'un compte externe (Hotmail, par exemple) et vérifiez sa réception. 2 Sélectionnez Tableau de bord. La section du protocole SMTP indique que vous avez reçu un message. Test de la détection de virus La procédure ci-après permet de tester le logiciel en exécutant le fichier de test de l'antivirus standard EICAR. Ce fichier est le résultat d'efforts conjoints d'éditeurs d'antivirus du monde entier ayant pour but d'établir une norme permettant aux clients de vérifier leurs installations antivirus. Procédure 1 Copiez la ligne suivante dans le fichier en veillant à ne pas inclure d'espace ni de saut de ligne : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 2 Enregistrez le fichier sous le nom EICAR.COM. 3 Depuis un compte de messagerie externe, créez un message contenant le fichier EICAR.COM en pièce jointe et envoyez-le à une boîte aux lettres interne. 4 Revenez à la page Tableau de bord. La section du protocole SMTP indique qu'un virus a été détecté. Supprimez le message lorsque vous avez terminé de tester votre installation, pour éviter d'alerter les utilisateurs non informés. Ce fichier n'est pas un virus. Pour plus d'informations sur le fichier de test EICAR, visitez le site : Test de la détection de spam Suivez cette procédure pour exécuter un Test général de détection des s à diffusion massive non sollicités (GTUBE) afin de vous assurer que le périphérique détecte bien le spam entrant. 44

45 Connexion et configuration de l'appliance Utilisation du périphérique Procédure 1 Créez un message à partir d'un compte de messagerie externe (client SMTP). 2 Copiez le texte suivant dans le corps du message : XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST- *C.34X Veillez à ce que le texte ne comporte aucun saut de ligne. 3 Envoyez le nouveau message à une adresse de boîte aux lettres interne. Le périphérique analyse le message, détecte qu'il s'agit d'un courrier indésirable et le traite en tant que tel. Le test GTUBE ne tient pas compte des listes de blocage et d'autorisation. Pour plus d'informations sur GTUBE, visitez le site Utilisation du périphérique Lisez ces informations avant d'utiliser le périphérique. Table des matières Mises à jour et fichiers HotFix Après l'installation Mises à jour et fichiers HotFix Avant de déployer le périphérique, téléchargez et appliquez les dernières mises à jour et les derniers fichiers HotFix applicables sur le site de téléchargement : NOTE: vous devez posséder un Grant Number valide. Après l'installation Après avoir installé le périphérique, veillez à ce que votre configuration fonctionne correctement. Reportez-vous à Test du périphérique. 45

46 Exploration de l'appliance Cette section contient les procédures et scénarios qui illustrent certains avantages clés de l'utilisation d'une appliance pour protéger votre passerelle. Pour mener à bien les procédures et scénarios, vous aurez besoin de certaines informations que vous avez saisies dans la console de configuration et l'assistant de configuration. Procédure Génération de rapports Génération de rapports Le journal de l'appliance contient des informations sur les événements qui dépendent du type de rapport et de la période que vous sélectionnez. Grâce aux fonctionnalités de génération de rapports de l'appliance, vous pouvez générer des rapports ou afficher des journaux, des statistiques, des compteurs de performances et des graphiques pour une grande variété de données relatives à l'appliance et à ses activités, comme la mémoire et l'utilisation du processeur. Par exemple, après avoir suivi les étapes décrites dans la section Test de la détection de virus, accédez au volet Détections, sélectionnez Détections du moteur antivirus, puis cliquez sur Suivant. Le journal présente le fichier de test EICAR que vous avez détecté. Procédure La procédure ci-après permet de mettre à jour les fichiers DAT de l'appliance et d'afficher ensuite le rapport de mise à jour. NOTE: la page Etat du système s'ouvre par défaut à chaque fois que vous vous connectez à l'appliance. 1 Dans le volet de navigation, sélectionnez Système Gestion des composants Etat de mise à jour. 2 Dans les Informations sur la version et mises à jour, cliquez sur Mettre à jour maintenant pour lancer toutes les mises à jour de fichiers DAT antivirus ou antispam souhaitées. 3 Retournez sur le volet de navigation et sélectionnez Rapports Rapports du système. 4 Sélectionnez Filtre. 5 Dans Type d'événement :, sélectionnez Mises à jour. 6 Cliquez sur Appliquer. Les informations sur les mises à jour appliquées à votre appliance s'affichent. 46

47 Exploration de l'appliance Utilisation des stratégies pour gérer l'analyse des messages Utilisation des stratégies pour gérer l'analyse des messages Les procédures ci-après permettent de faire une démonstration des fonctions d'analyse du serveur lame (Blade Server). Vous obtiendrez des instructions étape par étape pour créer et tester des exemples de stratégies et générer des rapports applicables. Une stratégie est un ensemble de paramètres et de règles qui indiquent au serveur lame comment combattre une menace spécifique visant votre réseau. Lorsque vous créez des stratégies d'analyse réelles pour votre société, il est important que vous preniez le temps d'effectuer des recherches et de planifier vos exigences. Vous trouverez des directives pour vous aider à préparer vos stratégies dans l'aide en ligne. Création d'une stratégie d'analyse antivirus Créez une stratégie d'analyse antivirus pour : détecter les virus contenus dans les messages entrants ; mettre l' d'origine en quarantaine ; informer le destinataire ; alerter l'expéditeur. Procédure La procédure ci-après permet de faire une démonstration de ce qui advient lorsqu'une règle de virus de mass-mailing est déclenchée par le fichier de test EICAR, et les mesures qui peuvent être prises. 1 Sur le périphérique, veillez à utiliser McAfee Quarantine Manager (Messagerie Configuration de la quarantaine Options de quarantaine). 2 Sur le périphérique, sélectionnez Messagerie Stratégies de messagerie Stratégies d'analyse. La stratégie par défaut est définie sur Nettoyer ou Remplacer par une alerte en cas d'échec du nettoyage. 3 Cliquez sur Virus : Nettoyer ou Remplacer par une alerte pour afficher les Paramètres antivirus par défaut (SMTP). 4 Sous Actions, dans Lorsqu'un virus est détecté, vérifiez que Tenter de nettoyer est sélectionné. 5 Dans la section Et aussi sous l'action, sélectionnez Envoyer un de notification à l'expéditeur et Mettre l' d'origine en quarantaine. 6 Dans En cas d'échec du nettoyage, sélectionnez Remplacer l'élément détecté par une alerte. 7 Dans la section Et aussi sous En cas d'échec du nettoyage, sélectionnez Envoyer un de notification à l'expéditeur et Mettre l' d'origine en quarantaine comme actions secondaires. 8 Cliquez sur OK. 9 Sélectionnez Messagerie Stratégies de messagerie Stratégies d'analyse [Options de l'analyseur] -- Configuration d'adresse de messagerie. 10 Dans s retournés, désignez l'adresse comme adresse de l'administrateur. 47

48 Exploration de l'appliance Utilisation des stratégies pour gérer l'analyse des messages Sans cette configuration, le périphérique n'inclut pas l'adresse de l'expéditeur sur la notification par . La plupart des serveurs de messagerie ne livrent pas d' sans la mention de l'adresse de l'expéditeur. 11 Cliquez sur OK, puis sur la coche verte. 12 Sélectionnez Messagerie Stratégies de messagerie Stratégies d'analyse [antivirus] Options de programmes malveillants personnalisées. 13 Sélectionnez Mass-mailers, puis définissez En cas de détection sur Refuser la connexion (bloquer). Le serveur de messagerie d'envoi reçoit un message d'erreur Code 550 : refusé par la stratégie. Le périphérique conserve une liste des connexions qui ne sont pas autorisées à envoyer des messages, quelles que soient les circonstances. La liste peut être consultée dans Messagerie Configuration des s Réception d' s Autoriser et refuser [+] Connexions autorisées ou interdites. L'option Connexions refusées est décrite dans l'aide en ligne. 14 Testez la configuration : a Envoyez un depuis <l'adresse du client> à <l'adresse du serveur>. b Créez un fichier texte qui comprend la chaîne suivante : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* c d Enregistrez le fichier sous eicar.txt. Joignez le fichier à l' . Le dispositif de sécurité de la passerelle remplace le fichier par une alerte et l'expéditeur reçoit une alerte de notification. 15 Retournez aux Options de programmes malveillants personnalisées et cliquez sur Nom de la détection spécifique :. 16 Saisissez EICAR. 17 Veillez à ce que l'action principale soit Refuser les données d'origine et retourner un code de rejet (bloquer), puis cliquez sur OK. 18 Depuis un compte de messagerie externe, créez un message et joignez le fichier de test EICAR. Le client de messagerie retourne un message d'erreur erreur 550 : refusé par la stratégie. Messagerie Configuration des s Réception d' s Autoriser et refuser des listes [+] Connexions bloquées est vide. 19 Sous Options de programmes malveillants personnalisées, faites passer l'action principale sur Refuser la connexion, puis cliquez sur OK. 20 Envoyez le même et vérifiez la connexion refusée. Elle dispose de l'adresse IP de votre machine client (adresse IP d'exemple). 21 Essayez d'envoyer un anodin. Celui-ci est également refusé à cause de la liste de connexions refusées. Pour le serveur d'envoi, il semble que le serveur n'est pas en ligne. Le périphérique vérifie le message lorsqu'il entre dans votre passerelle de messagerie et détecte la présence d'un virus. Il met le message en quarantaine et informe le destinataire prévu et l'expéditeur que le message a été infecté. Création d'une stratégie d'analyse antispam La procédure ci-après permet de configurer une stratégie visant à protéger votre société contre la réception de messages indésirables. 48

49 Exploration de l'appliance Utilisation des stratégies pour gérer l'analyse des messages Une telle stratégie protège les utilisateurs contre la réception de messages indésirables qui réduisent la productivité et augmentent le trafic de messages sur vos serveurs. Procédure 1 Sur le périphérique, veillez à utiliser McAfee Quarantine Manager Configuration de la quarantaine. 2 Sélectionnez Messagerie Stratégies de messagerie Stratégies d'analyse. Vous devez configurer une stratégie antispam distincte pour les protocoles SMTP et POP3. 3 Définissez l'action principale sur Accepter et supprimer les données. 4 Définissez l'action secondaire sur Mettre l' d'origine en quarantaine. Faites passer le score de spam à 5. Si vous activez la détection antispam, McAfee conseille d'activer également la détection antiphishing. L'exécution des vérifications antispam et antiphishing n'affecte pas les performances d'analyse. 5 A partir d'un compte de messagerie externe, créez un message destiné à une boîte aux lettres protégée par le périphérique. 6 Dans le corps du texte, saisissez ce qui suit : XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST- *C.34X 7 Envoyez le message. 8 Ouvrez McAfee Quarantine Manager et consultez la file d'attente de spam. 9 Débloquez le spam. 10 Vérifiez le compte de messagerie destinataire pour voir le message. Les messages détectés sont envoyés à McAfee Quarantine Manager et peuvent être gérés par un administrateur. Création d'une stratégie de conformité des s La procédure ci-après permet de configurer une stratégie visant à assurer que les messages envoyés par vos utilisateurs à des comptes de messagerie externes sont conformes aux bibliothèques de contenu officielles. Cette stratégie permet la conformité aux réglementations, telles que la norme sur la confidentialité des informations médicales personnelles (HIPAA) et aux normes de confidentialité des messages qui contiennent des informations sensibles. Elle informe les expéditeurs de la non-conformité de leurs messages aux exigences. Procédure 1 Sur le périphérique, sélectionnez Messagerie Stratégies de messagerie Dictionnaires. 2 Sélectionnez Règles de confidentialité. 3 Consultez la Liste d'expressions pour le dictionnaire sélectionné. 4 Sélectionnez Messagerie Stratégies de messagerie Stratégies d'analyse. 5 Dans Contenu, sélectionnez Analyse de contenu. 6 Sélectionnez Activer l'analyse de contenu Oui. 7 Cliquez sur OK. 8 Dans Règles d'analyse de contenu, cliquez sur Créer une règle d'analyse de contenu. 49

50 Exploration de l'appliance Utilisation des stratégies pour gérer l'analyse des messages 9 Sélectionnez Règles de confidentialité, dans Type : Conformité. 10 Cliquez sur OK. 11 Dans En cas de déclenchement, sélectionnez Accepter puis supprimer les données (Bloquer). 12 Cliquez sur OK. 13 Cliquez sur OK. 14 Créez un sur le serveur depuis <exemple d'adresse de serveur> vers <exemple d'adresse de client>. Saisissez ce qui suit : Bonjour, Nous devons calculer la valeur capitalisée de votre annuité. Veuillez envisager une procédure d'arbitrage si la valeur de vos actifs est moindre que prévu. 15 Envoyez le message. 16 Utilisez Messagerie Présentation des s RESUME DES S ENTRANTS pour afficher les résultats. L'agent de messagerie du client ne reçoit pas le message. Le compte de messagerie du serveur doit recevoir deux messages : une notification indiquant que le message a échoué au test de conformité et une copie du message d'origine. Création d'une stratégie de filtrage de contenu La procédure ci-après permet de configurer une stratégie de mise en quarantaine des messages entrants dont le contenu est indésirable. Un assistant est désormais à votre disposition pour vous guider dans cette procédure. La procédure suivante permet de configurer un exemple de filtrage de contenu : Procédure 1 Sur le périphérique, sélectionnez Messagerie Stratégies de messagerie Stratégies d'analyse. Si l'analyse de contenu est désactivée, sélectionnez Oui dans Activer l'analyse de contenu. 2 Dans la section Contenu, cliquez sur Analyse de contenu. Si l'analyse de contenu est désactivée, cliquez sur Oui. 3 Saisissez le Nom de la règle :. 4 Cliquez sur Suivant >. 5 Dans La règle est déclenchée si l'un des dictionnaires sélectionnés s'applique, sélectionnez un ou plusieurs dictionnaires, par exemple Gambling (English). 6 Cliquez sur Suivant >. 7 Dans La règle est ignorée si l'un des dictionnaires sélectionnés s'applique, sélectionnez les dictionnaires que vous voulez ignorer. Pour cet exemple, ne sélectionnez aucun dictionnaire. 8 Cliquez sur Suivant >. 9 Dans En cas de déclenchement de la règle d'analyse de contenu, sélectionnez l'action requise, par exemple Remplacer le contenu par une alerte (Modifier). 10 Sélectionnez Quarantaine dans la section Options d' d'origine. 11 Cliquez sur Terminer. 12 Cliquez sur OK pour terminer l'assistant. 50

51 Exploration de l'appliance Utilisation des stratégies pour gérer l'analyse des messages 13 Appliquez vos modifications de configuration. 14 A partir d'un compte de messagerie externe, créez un message destiné à une boîte aux lettres test protégée par le périphérique. Dans le corps du texte, saisissez les mots : Rendez-vous à la table de blackjack ce soir! 15 Envoyez le message. 16 Ouvrez la boîte aux lettres à laquelle vous avez envoyé le message et affichez le message d'alerte. 17 Utilisez Messagerie Présentation des s RESUME DES S ENTRANTS pour afficher l'événement. 18 Consultez le Tableau de bord pour afficher les informations sur les éléments mis en quarantaine en raison de leur contenu. 19 En utilisant le compte de messagerie du destinataire, ouvrez l'interface utilisateur de McAfee Quarantine Manager et sélectionnez Contenu indésirable. 20 Sélectionnez le message et cliquez sur Soumettre pour levée de quarantaine. 21 Ouvrez l'interface administrateur de McAfee Quarantine Manager et sélectionnez Soumissions utilisateur. 22 Sélectionnez Soumis pour levée de quarantaine. 23 Sélectionnez le message et cliquez sur Levée de quarantaine. 24 Ouvrez la boîte aux lettres sur laquelle vous avez envoyé le message pour afficher le message reçu. Le périphérique vérifie le message lorsqu'il entre dans votre passerelle de messagerie et détecte la présence d'un virus. Il met le message en quarantaine et notifie le destinataire prévu et l'expéditeur que le message a été infecté. A propos de la gestion de l'hôte virtuel Grâce aux hôtes virtuels, un périphérique isolé peut sembler se comporter comme plusieurs périphériques. Chaque périphérique virtuel peut gérer le trafic dans des pools d'adresses IP spécifiques, ce qui permet au périphérique d'analyser le trafic issu d'un grand nombre de sources ou de clients. Avantages Le trafic de chaque client peut être traité séparément. Des stratégies peuvent être créées pour chaque client ou pour chaque hôte, ce qui permet de simplifier la configuration et d'empêcher les conflits qui pourraient survenir avec des stratégies complexes. Des rapports séparés sont disponibles pour chaque client ou pour chaque hôte, ce qui évite d'avoir recours à un filtrage complexe. Si un comportement place le périphérique sur une liste de blocage de réputation, un seul hôte virtuel est affecté, et non l'ensemble du périphérique. Configuration des hôtes virtuels Cette fonctionnalité est disponible uniquement pour l'analyse SMTP. Pour spécifier le pool d'adresses IP entrantes et le pool facultatif d'adresses sortantes, reportez-vous à la page Système Hébergement virtuel Réseaux virtuels. Gestion des hôtes virtuels 51

52 Exploration de l'appliance Utilisation des stratégies pour gérer l'analyse des messages Fonctionnalité Stratégie d' Configuration des s en attente en quarantaine Génération de rapports Comportement Chaque hôte virtuel possède son propre onglet, depuis lequel vous pouvez créer les stratégies d'analyse spécifiques à cet hôte. Chaque hôte virtuel possède son propre onglet, depuis lequel vous pouvez configurer des fonctionnalités MTA spécifiques à cet hôte. Vous pouvez afficher tous les s de la file d'attente ou seulement ceux en file d'attente pour un hôte spécifique. Vous pouvez afficher tous les s en quarantaine ou seulement ceux en quarantaine pour un hôte spécifique. Vous pouvez afficher tous les rapports ou seulement ceux pour un hôte spécifique. Comportement entre le périphérique et les agents de transfert de messages (MTA) Lorsque le périphérique reçoit des s envoyés à l'intervalle d'adresses IP de l'hôte virtuel, celui-ci : répond à la conversation SMTP avec sa propre bannière de bienvenue SMTP ; ajoute (en option) ses propres informations d'adresse à l'en-tête Reçu ; analyse l' en fonction de sa propre stratégie. Lorsque le périphérique envoie des s : L'adresse IP est issue d'un pool d'adresses sortantes ou d'une adresse IP physique (si cette option n'est pas configurée). L'agent de transfert de messages (MTA) récepteur voit l'adresse IP de l'hôte virtuel. Si un pool d'adresses est présent, l'adresse IP est sélectionnée selon un processus de «répétition alternée». La réponse EHLO est destinée à l'hôte virtuel. 52

53 Dépannage Cette section contient des solutions aux problèmes que vous pourriez rencontrer lors de l'installation et de l'utilisation de l'appliance, ainsi qu'une FAQ. Problèmes d'ordre général FAQ Aide supplémentaire Barre de liens Problèmes d'ordre général Cette section répertorie certains problèmes d'ordre général. L'appliance n'est pas alimentée. Assurez-vous que l'appliance utilise les cordons d'alimentation appropriés et qu'elle est correctement branchée sur une prise d'alimentation en état de marche. Si la prise est équipée d'un interrupteur, vérifiez qu'il est en position ON. Si l'appliance ne reçoit toujours pas de courant, vérifiez le fonctionnement de la prise électrique en y branchant un autre appareil. Si elle fonctionne, le problème se situe au niveau de l'appliance ou de son cordon d'alimentation. Contactez votre fournisseur. L'appliance ne reçoit aucun trafic en provenance du réseau. Vérifiez les points suivants : L'appliance est sous tension et son logiciel est en cours d'exécution. Si le voyant du bouton d'alimentation est orange, l'appliance est branchée mais pas allumée. Si le voyant d'alimentation est vert, l'appliance est branchée et allumée. Les câbles réseau ne sont pas endommagés et sont correctement connectés aux ports de l'appliance et à votre équipement réseau. Si vous avez utilisé des câbles différents de ceux fournis avec l'appliance, assurez-vous que leurs spécifications sont correctes. Votre équipement réseau est connecté aux ports LAN appropriés sur l'appliance. Les vitesses de la carte d'interface réseau et les paramètres de duplex intégral ou semi-duplex aux deux extrémités des connexions sont compatibles et la négociation automatique des paramètres s'effectue correctement. Les voyants LAN sont allumés. Si l'appliance ne reçoit toujours pas de trafic réseau, vérifiez les câbles et les ports réseau de votre équipement réseau. Si les câbles et les ports fonctionnent, le problème se situe au niveau de l'appliance. Contactez votre fournisseur. 53

54 Dépannage FAQ FAQ Cette section décrit certains problèmes que vous pourriez rencontrer lors de l'intégration de l'appliance au réseau existant. Problèmes liés à l'interface Cette section contient des solutions aux problèmes que vous pourriez rencontrer lors de la configuration de l'appliance via son interface. Pourquoi l'utilisation du bouton Précédent de mon navigateur me renvoie-t-il à l'écran de connexion? Il s'agit d'un problème connu lié à la version du navigateur web du logiciel de l'appliance. Utilisez plutôt l'application de l'appliance. Je ne peux pas accéder à l'écran de connexion. Vérifiez les points suivants : L'appliance est sous tension et son logiciel est en cours d'exécution le voyant d'alimentation est allumé et les voyants du disque dur sont éteints. Vous avez saisi https (au lieu de http) dans le champ d'adresse de votre navigateur web. Vérifiez que votre navigateur prend en charge le chiffrement SSL (Secure Sockets Layer) et que ce dernier est activé. L'appliance n'est pas configurée en tant que serveur proxy de l'ordinateur qui la gère. Si un serveur proxy se trouve entre l'ordinateur de gestion et l'appliance, celui-ci doit être configuré avec l'appliance comme hôte de remise. Si vous êtes connecté à distance à l'appliance (par le réseau) via le port LAN1, vérifiez les points suivants : L'ordinateur que vous utilisez dispose d'une connexion active au réseau et peut atteindre le même sous-réseau que celui auquel l'appliance est connectée. Vous avez utilisé la nouvelle adresse IP que vous avez configurée pour le port LAN1, dans le champ URL de votre navigateur web. Si vous n'avez pas désactivé ou supprimé l'adresse IP par défaut , essayez d'utiliser cette adresse ( L'adresse IP de l'appliance doit être compatible avec le sous-réseau auquel l'appliance est connectée. Si ce n'est pas le cas, utilisez l'adresse IP par défaut et, en cas d'échec, essayez une connexion de gestion directe. NOTE: vous pouvez obtenir une connexion de gestion directe via le port LAN2 uniquement si vous utilisez l'appliance en mode proxy explicite et que vous n'avez pas désactivé le port LAN2. L'appliance possède une connexion active au réseau existant (le voyant d'activité réseau NIC1 clignote sur le panneau de contrôle). Si le voyant ne clignote pas, vérifiez que le câble que vous utilisez n'est pas endommagé et qu'il est connecté correctement au port LAN1 de l'appliance et à votre équipement réseau. Si vous n'avez pas utilisé le câble bleu fourni avec l'appliance, vérifiez que celui que vous utilisez est bien un câble réseau UTP droit (non croisé). Si l'appliance fonctionne en mode proxy explicite et que vous avez une connexion de gestion locale directe via le port LAN2, vérifiez les points suivants : 54

55 Dépannage FAQ Vous n'avez pas désactivé le port LAN2. Connectez-vous à distance pour vous en assurer. Vous avez utilisé la nouvelle adresse IP que vous avez configurée pour le port LAN2 (par défaut : ) dans le champ URL de votre navigateur web. L'application possède une connexion active à votre ordinateur (le voyant d'activité réseau NIC2 clignote sur le panneau de contrôle). Si le voyant ne clignote pas, vérifiez que le câble utilisé n'est pas endommagé et qu'il est connecté correctement au port LAN2 de l'appliance et au port réseau de votre ordinateur. Si vous n'avez pas utilisé le câble orange fourni avec l'appliance, vérifiez que celui que vous utilisez est bien un câble réseau croisé UTP. Mon mot de passe ne fonctionne pas. Si vous avez récemment restauré le logiciel de l'appliance sans conserver les paramètres précédents, le mot de passe par défaut scmchangeme a été rétabli. J'ai oublié mon mot de passe. Utilisez le CD de récupération de l'appliance pour en réinitialiser les mots de passe sur leurs valeurs par défaut (scmchangeme et dlpchangeme). Une partie de l'interface utilisateur ne s'affiche pas correctement. L'interface de l'appliance est optimisée pour Internet Explorer version 6.0 ou supérieure sous Windows. Elle prend également en charge Mozilla Firefox 2.0 sous Linux. Vérifiez les notes de distribution jointes pour voir s'il existe des problèmes connus lors de l'utilisation de certains navigateurs web sur des systèmes d'exploitation particuliers. Le client (logiciel) ne peut pas communiquer via l'appliance. Vérifiez les points suivants : Les protocoles corrects sont activés pour l'appliance (par défaut, tous les protocoles sont activés). Les clients et autres périphériques sont configurés pour acheminer le trafic en provenance et à destination de l'appliance. Il n'y a pas de problème au niveau du réseau et votre équipement est correctement connecté. Le navigateur web ne fonctionne pas ou le blocage d'url n'est pas appliqué. L'appliance doit disposer d'un accès à un serveur DNS pour vérifier les demandes de navigation web (HTTP) et déterminer les URL à bloquer si le blocage d'url est configuré. Problèmes de distribution des messages Cette section aborde les problèmes de distribution des messages. La protection antirelais ne fonctionne pas. Pour activer la protection antirelais, procédez comme suit : 1 Dans le volet de navigation, sélectionnez Configurer SMTP. 2 Cliquez sur Paramètres de protocoles Paramètres de la fonction antirelais. 3 Indiquez au moins un domaine local sous Domaines locaux. Autrement, l'appliance risque de subir les relais et les abus de spammeurs extérieurs à votre réseau. 55

56 Dépannage FAQ Pourquoi ne puis-je pas simplement indiquer le nom de l'expéditeur auquel je veux interdire tout relais? La protection antirelais est un blocage qui fonctionne de système à système, alors que la protection antispam est un blocage visant des expéditeurs. La fonction antirelais est configurée par l'ajout de domaines et de réseaux pour lesquels l'appliance doit remettre du courrier, tandis que la fonction antispam bloque les messages en fonction de leur expéditeur. La prévention des attaques par pillage d'annuaire ne fonctionne pas. Pour que la prévention des attaques par pillage d'annuaire fonctionne correctement, votre serveur de messagerie doit vérifier les destinataires valides lors des conversations SMTP, puis envoyer un rapport de non-remise. Certains serveurs de messagerie ne signalent pas les erreurs dues à la présence d'un utilisateur inconnu dans le cadre de la configuration SMTP. En voici une liste non exhaustive : Microsoft Exchange 2000 et 2003 (si la configuration par défaut est utilisée) qmail Lotus Domino Vérifiez la documentation utilisateur de votre serveur de messagerie pour savoir s'il peut être configuré pour envoyer un rapport «550 Rejet de l'adresse du destinataire : utilisateur inconnu» dans le cadre de la conversation SMTP lorsqu'un message est envoyé à un destinataire inconnu. L'intégration LDAP peut résoudre ce problème. Consultez le guide produit spécifique à la version de votre appliance and Web Security Appliance. Remise Cette section décrit les problèmes de remise. Lorsque je sélectionne Réessayer tous dans le dossier s différés, pourquoi les messages ne sont-ils pas envoyés? Après avoir sélectionné Réessayer tous, sélectionnez Actualiser pour voir la progression de l'appliance dans le traitement de la liste des messages. L'appliance examine tous les messages jusqu'à ce qu'ils aient tous été envoyés. Si le problème de remise du courrier causé par une mauvaise configuration du réseau ou de l'appliance persiste, le message est renvoyé dans le dossier s différés. L'appliance tente automatiquement de renvoyer tous les messages différés au bout de 30 minutes, puis de façon périodique. Que puis-je vérifier en cas de problème de remise du courrier électronique? Pour utiliser le système DNS afin de remettre des s, assurez-vous que l'option DNS est sélectionnée dans l'interface. Si votre serveur de messagerie interne ne reçoit pas de courrier entrant, vérifiez qu'il est configuré pour accepter les s provenant de l'appliance. Dans la liste des domaines locaux pour la remise du courrier, vous ne devez pas utiliser de règle générique pour tout récupérer. Activez plutôt le relais de secours et indiquez-le à cet endroit. 56

57 Dépannage FAQ Pièces jointes Cette section aborde les problèmes concernant les pièces jointes. L'appliance bloque tous les s lorsque je réduis le nombre de pièces jointes à bloquer. Ce paramètre est conçu pour bloquer tous les messages comportant de nombreuses pièces jointes, qui monopolisent inutilement la bande passante. Toutefois, certains clients de messagerie (comme Outlook Express) utilisent les pièces jointes pour stocker des informations supplémentaires et intègrent même le corps du message dans une pièce jointe. Si vous sélectionnez une valeur trop petite, même les s normaux seront rejetés. Le virus test EICAR ou des contenus qui devraient être bloqués passent toujours. Assurez-vous que l'appliance se trouve dans le chemin de messagerie. Observez les en-têtes d'un message électronique (dans Outlook, sélectionnez Affichage Options En-têtes Internet). Si l'appliance se trouve dans le chemin de messagerie, l'en-tête aura la forme Reçu : de l'expéditeur par nom_du_serveur via ws_smtp où l'expéditeur et nom_du_serveur sont remplacés par les noms réels de l'expéditeur et de l'appliance. Lorsque l'appliance détecte un virus, je suis prévenu d'une violation de contenu. Ce problème est peut-être dû à un conflit entre la page d'avertissement du modèle HTML et une règle d'analyse de contenu. Par exemple, si vous filtrez le contenu en fonction du mot Virus, mais que vous avez également configuré le modèle HTML de détection des virus de manière à ce qu'il vous informe de la détection d'un virus, un message entrant contenant un virus déclenche le remplacement du message d'origine par le message Un virus a été détecté. Ce message de remplacement passe ensuite par le filtre de contenu : celui-ci se déclenche en détectant le mot Virus. Le message est remplacé par un avertissement de violation de contenu. Les s provenant de certains expéditeurs passent, alors que d'autres sont bloqués. Vérifiez la configuration de vos réseaux intérieurs et extérieurs. Assurez-vous que la dernière entrée de la liste des réseaux extérieurs est bien marquée d'un astérisque (*). Assurez-vous également que la liste des réseaux intérieurs ne comporte pas d'astérisque. POP3 Cette section aborde les problèmes relatifs au POP3. J'ai configuré une connexion POP3 dédiée et le POP3 ne fonctionne plus. Assurez-vous que les serveurs génériques et dédiés ne partagent pas le même port. Le POP3 utilise par défaut le port 110. Le serveur dédié supplante le serveur générique. 57

58 Dépannage FAQ Lorsque je relève mes s à l'aide d'outlook Express via le protocole POP3, j'obtiens parfois un message d'expiration de délai qui me donne le choix entre Annuler et Attendre. L'appliance doit télécharger l'intégralité de l' et l'analyser avant de pouvoir le transmettre à Outlook Express. Lorsque le message est volumineux ou que le serveur de messagerie est lent, cette opération peut prendre un certain temps. Cliquez sur Attendre pour signaler à Outlook Express d'attendre que l'appliance termine de traiter le message. Je reçois parfois deux copies des messages POP3. Certains clients de messagerie ne gèrent pas correctement les expirations de délai. Si l'appliance télécharge et analyse un message particulièrement volumineux, le délai du client peut expirer pendant l'attente de la réponse. Une fenêtre pop-up vous invite à attendre ou à annuler le téléchargement. Si vous sélectionnez Annuler et si vous essayez à nouveau de le télécharger, deux copies du message peuvent s'afficher dans votre boîte aux lettres. Configuration physique Cette section aborde les problèmes de configuration physique. J'ai connecté l'appliance au réseau mais je ne peux pas m'y connecter à partir de mon navigateur. Si vous utilisez le mode proxy explicite, vérifiez que vous avez bien connecté l'adaptateur LAN1 à votre réseau. Le port LAN2 n'est utilisé que pour l'administration et nécessite une connexion directe à un ordinateur portable ou de bureau. J'ai deux appliances sur mon réseau mais je ne peux me connecter qu'à une seule d'entre elles. Si vous avez installé une appliance ou utilisé récemment l'option Restaurer la configuration, il se peut que deux appliances de votre réseau ou plus utilisent par défaut les mêmes adresses IP. Pour vous assurer que toutes les appliances utilisent des adresses IP uniques, vous pouvez utiliser : l'assistant de configuration ; les paramètres réseau ; la console de configuration. Configuration du système Cette section aborde les problèmes de configuration du système. J'ai défini des règles différentes pour les trafics entrant et sortant. Lorsque je reçois des messages ou lorsque je navigue sur des sites web externes, la règle pour le trafic sortant est activée à la place de la règle pour le trafic entrant. Assurez-vous que l'adresse IP du pare-feu est incluse dans la liste des réseaux extérieurs. Les connexions extérieures sembleront, pour l'appliance, provenir du pare-feu. 58

59 Dépannage FAQ Maintenance du système Cette section aborde les problèmes de maintenance du système. L'appliance n'accepte pas le fichier HotFix. Ne décompressez pas le fichier HotFix avant de le télécharger vers l'appliance. Cette dernière accepte le fichier original tel que vous l'avez reçu, avec une extension TGZ. Comment puis-je contrôler la taille des fichiers journaux de l'appliance? L'appliance stocke ses fichiers journaux sous un format similaire à du texte (XML), dans une partition (/log) sur son disque interne. Par défaut, les journaux sont purgés tous les deux ou trois jours. L'appliance envoie des avertissements lorsque ses zones de stockage sont presque pleines, en général à 75 % et 90 %. Pour déterminer le pourcentage d'utilisation de la partition de journalisation, sélectionnez Surveillance Etat dans le panneau de navigation. Cliquez sur Paramètres pour régler la couleur des indicateurs. Pour purger le journal, sélectionnez Configuration Journalisation, alertes et SNMP dans le panneau de navigation, puis sous Paramètres de canal, sélectionnez l'onglet XML. Pour régler le niveau des avertissements, sélectionnez Surveillance Ressources dans le panneau de navigation, puis Utilisation du disque. Mise à jour automatique de l'antivirus Cette section aborde les problèmes de mise à jour automatique de l'antivirus. Lorsque je demande une mise à jour immédiate, cela ne fonctionne pas. Comment puis-je savoir si les fichiers DAT sont mis à jour? Pour consulter le numéro de version du fichier DAT installé, procédez comme suit : Dans le volet de navigation, sélectionnez Surveillance Etat du système, puis Etat général. Vous pouvez également y accéder en sélectionnant Surveillance Mises à jour. Les fichiers DAT sont téléchargés, vérifiés et appliqués. L'appliance n'attend pas la fin de la mise à jour (ce qui peut prendre plusieurs minutes, même avec une connexion Internet rapide) et démarre le processus en arrière-plan. Sélectionnez Surveillance Etat du système pour que le nouveau numéro de version des fichiers DAT apparaisse sur la page qui s'affichera suite à l'installation réussie des nouveaux fichiers. Antispam Cette section aborde les problèmes concernant l'antispam. Je ne trouve pas les fonctionnalités antispam décrites dans ce guide. Certaines fonctionnalités antispam nécessitent l'activation du module antispam. 59

60 Dépannage FAQ J'ai configuré l'appliance pour rejeter les spams avec l'option de vérification Serveurs RBL, mais je continue à recevoir du courrier non sollicité. Aucun logiciel antispam n'est totalement efficace, et il est impossible de garantir le blocage de tous les spams. L'appliance utilise une liste comportant le nom des expéditeurs mal intentionnés connus et les réseaux qu'ils utilisent. Ces listes permettent de réduire efficacement le nombre de messages indésirables, mais elles ne sont pas complètes. Pour bloquer un expéditeur de spams spécifique, procédez comme suit : 1 Dans le volet de navigation, sélectionnez Configurer SMTP. 2 Sélectionnez Paramètres de protocoles Paramètres d'autorisation et de refus. 3 Sous Refuser l'expéditeur, saisissez l'adresse de l'expéditeur de l' . Les utilisateurs ne reçoivent pas leurs s habituels. Il peut y avoir plusieurs raisons à cela : Il se peut que les s proviennent d'un expéditeur répertorié dans la liste Refuser l'expéditeur. Dans ce cas, vous devez procéder comme suit : Affinez les entrées de la liste Refuser l'expéditeur pour vous assurer que seuls les s non sollicités seront bloqués. Il sera peut-être nécessaire, par exemple, d'indiquer des adresses de messagerie spécifiques plutôt que de définir une interdiction globale sur l'ensemble d'un domaine ou d'un réseau. Ajoutez l'expéditeur, le domaine ou le réseau concerné à la liste Autoriser l'expéditeur. L'appliance analyse les s des expéditeurs, domaines et réseaux de la liste à la recherche de spams. La liste Autoriser l'expéditeur supplante les entrées de la liste Refuser l'expéditeur. Il se peut que le message ait été bloqué parce qu'il provient d'un individu ou d'une organisation reconnus comme source potentielle de spams par l'une des listes antispam en temps réel. Il convient de garder un juste équilibre entre le blocage des spams et le trafic des s normaux. Par exemple, si l'appliance bloque les s alors que la probabilité qu'ils contiennent des spams est très faible, vous risquez de bloquer involontairement des s normaux. Mieux vaut donc laisser passer quelques s contenant des spams. Le message contient peut-être un virus ou un programme potentiellement indésirable et a été bloqué par l'analyse antivirus. Les utilisateurs continuent à recevoir des spams. Il peut y avoir plusieurs raisons à cela : Aucun logiciel antispam ne peut bloquer tous les s contenant potentiellement des spams. Pour optimiser la détection et le blocage des spams, vérifiez que l'appliance utilise les versions les plus récentes du moteur antispam, des règles antispam et des fichiers de règles supplémentaires, ainsi que toutes les fonctionnalités qui peuvent bloquer les s indésirables. L'appliance autorise la diffusion de contenu multimédia en flux continu. NOTE: le fait d'autoriser les supports en flux continu à transiter par l'appliance représente un risque de sécurité potentiel puisque les supports en flux continu ne sont pas analysés par l'appliance. McAfee déconseille d'autoriser la diffusion de contenu multimédia en flux 60

61 Dépannage Aide supplémentaire Barre de liens continu de type application/octet-stream ou application/* via l'appliance, puisque ces types MIME sont exécutables et présentent une menace importante pour la sécurité. L'analyse antispam n'est pas activée sur l'appliance. Celle-ci doit être activée dans la bonne direction pour la détection des spams. Pour détecter les spams provenant de sources externes, vous devez activer l'analyse du trafic entrant. Pour détecter les spams provenant de sources internes, vous devez activer l'analyse du trafic sortant. Vous avez peut-être besoin d'une stratégie antispam plus stricte. Par exemple, vous pouvez faire en sorte que davantage d' s soient marqués comme spams avant d'atteindre les utilisateurs ou simplement bloquer les spams au niveau de l'appliance. Il est possible que les s proviennent d'expéditeurs, de domaines ou de réseaux qui ont été enregistrés dans la liste Autoriser l'expéditeur. Passez la liste en revue pour vous assurer que vous souhaitez réellement que les s de ces expéditeurs contournent le processus d'analyse antispam. Vous devrez peut-être ajuster une entrée de la liste. Par exemple, plutôt que d'autoriser des domaines ou des réseaux entiers, vous pouvez spécifier des adresses individuelles. Le client de messagerie ne transfère pas automatiquement les messages indésirables dans un dossier de spams, de sorte que les utilisateurs continuent à recevoir des spams dans leur boîte de réception. Si la taille de l' excède la limite autorisée, l' n'est pas soumis à une analyse antispam. Consultez vos paramètres de spams avancés pour modifier cette taille. Certains s ne sont pas acheminés par l'intermédiaire d'une appliance utilisant le module antispam. Comment puis-je bloquer un type de spam spécifique? Pour garantir les meilleures chances de détecter et de bloquer les spams, vérifiez les points suivants : L'appliance utilise la dernière version du moteur et des règles antispam. L'appliance n'a pas été configurée de façon à permettre la diffusion de contenu multimédia en flux continu par celle-ci. Pourquoi les performances ont-elles changé? L'analyse antispam des s consomme des ressources de l'appliance et peut avoir un impact sur les performances SMTP. Les utilisateurs se plaignent que leur boîte aux lettres est pleine. Si les utilisateurs transfèrent automatiquement les spams dans un dossier de spams de leur boîte aux lettres, celle-ci peut rapidement atteindre sa taille limite. Rappelez à vos utilisateurs de vérifier régulièrement leur dossier de spams et de supprimer les messages dont ils ne veulent pas. Aide supplémentaire Barre de liens La barre de liens située dans la fenêtre de l'interface de l'appliance fournit des liens vers d'autres sources d'informations. Vous pouvez effectuer les opérations suivantes : Accéder à la bibliothèque d'informations en ligne McAfee sur les virus pour en savoir plus sur un virus spécifique 61

62 Dépannage Aide supplémentaire Barre de liens Envoyer un échantillon de virus à McAfee pour analyse Contacter le support technique de McAfee Pour plus d'informations, reportez-vous à l'aide en ligne. 62