McAfee Host Intrusion Prevention 8.0 Guide d'installation

Transcription

1 McAfee Host Intrusion Prevention 8.0 Guide d'installation

2 COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses sociétés affiliées. DROITS DE MARQUES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2

3 Table des matières Installation de McAfee Host Intrusion Prevention Composants Présentation de l'installation Nouveautés de cette version Meilleures pratiques pour une réussite rapide Stratégie Préparation d'un environnement pilote Installation et configuration Réalisation du paramétrage initial Activation du mode adaptatif (optionnel) Affinage du paramétrage Maintenance et développement Installation dans epolicy Orchestrator Installation de l'extension Suppression de l'extension Migration des stratégies Migration des stratégies à partir des versions précédentes Migration des stratégies via un fichier xml Installation du client Windows Informations sur le client Windows Installation du client Windows à distance Installation locale du client Windows Application des stratégies et des mises à jour de contenu IPS Suppression du client Windows Résolution des problèmes d'installation sous Windows Arrêt du client Windows Redémarrage du client Windows Installation du client Solaris Informations sur le client Solaris Installation du client Solaris à distance

4 Table des matières Installation locale du client Solaris Application des stratégies et des mises à jour de contenu IPS Suppression du client Solaris Résolution des problèmes d'installation sous Solaris Arrêt du client Solaris Redémarrage du client Solaris Installation du client Linux Informations sur le client Linux Installation du client Linux à distance Installation locale du client Linux Application des stratégies et des mises à jour de contenu IPS Suppression du client Linux Résolution des problèmes d'installation sous Linux Arrêt du client Linux Redémarrage du client Linux

5 Installation de McAfee Host Intrusion Prevention Ce guide fournit toutes les informations nécessaires à l'installation et au démarrage du logiciel Host Intrusion Prevention 8.0 dans un environnement géré. L'extension du produit est installée sur les versions 4.0, 4.5 et 4.6 du serveur epolicy Orchestrator. Le client est installé sur les stations de travail et les serveurs Windows, ainsi que les serveurs Solaris et Linux. Fonctionnalités du produit Host Intrusion Prevention propose un pare-feu pour poste client sur les systèmes Windows et une solution gérable et modulable pour prévenir les intrusions sur les stations de travail Windows ou non, les ordinateurs portables et les serveurs critiques tels que les serveurs web et les serveurs de base de données. Il bloque le trafic réseau indésirable ou nuisible et il bloque de façon proactive les attaques inconnues précédemment (de type «jour zéro») et les attaques connues, à l'aide d'une technologie brevetée et primée. Deux versions de Host Intrusion Prevention 8.0 sont disponibles : une version avec pare-feu uniquement et une version complète contenant la protection IPS et la protection par pare-feu. Gestion et adaptabilité Host Intrusion Prevention est géré par epolicy Orchestrator qui offre et met en œuvre des stratégies et autres solutions de sécurité de niveau critique telles que la protection contre les virus. Cette approche gérée réduit le volume de communications entre les applications. C'est une solution unique qui permet un déploiement massif (jusqu'à systèmes client) dans plusieurs langues et peut ainsi couvrir une entreprise de dimension internationale. Sécurité Host Intrusion Prevention combine des règles comportementales, des signatures et un pare-feu système avec état pour bloquer les attaques et pallier l'urgence de se procurer des patchs contre les nouvelles menaces. Votre système est protégé par les paramètres par défaut, qui permettent un déploiement rapide, à grande échelle. Pour une plus grande protection, vous pouvez appliquer des stratégies prédéfinies ou personnalisées plus strictes. La base de données epo contient des données de contenu de sécurité, notamment les signatures, qui apparaissent dans les stratégies de Host Intrusion Prevention. Les mises à jour sont traitées par un package de mise à jour de contenu qui contient des informations sur la version et des scripts de mise à jour. Lors de l'archivage, la version du package est comparée au contenu le plus récent de la base de données. Si le package est plus récent, les données de contenu sont extraites et stockées. Le nouveau contenu est transmis aux clients à la prochaine communication agent-serveur. REMARQUE : les mises à jour de contenu Host Intrusion Prevention sont archivées manuellement ou automatiquement avec une tâche d'extraction dans le référentiel epo, puis envoyées aux clients à l'aide d'une tâche de mise à jour. Les clients Host Intrusion Prevention n'obtiennent les mises à jour qu'à travers la communication avec le serveur epo. 5

6 Installation de McAfee Host Intrusion Prevention Composants Comment fonctionne la protection epolicy Orchestrator communique les informations relatives aux stratégies aux clients Host Intrusion Prevention, à intervalles réguliers par le biais de l'epo Agent. Les clients Host Intrusion Prevention mettent en œuvre les stratégies, recueillent les informations d'événements et renvoient les informations à epolicy Orchestrator à travers McAfee Agent. Figure 1 : Protection Host Intrusion Prevention Table des matières Composants Présentation de l'installation Nouveautés de cette version Composants Le logiciel Host Intrusion Prevention nécessite l'installation et l'exécution de plusieurs composants en vue de sa protection. Composants Host Intrusion Prevention : 6

7 Installation de McAfee Host Intrusion Prevention Présentation de l'installation Serveur et référentiel epolicy Orchestrator : outil de gestion qui permet d'installer le logiciel, de déployer des stratégies, de surveiller l'activité, de créer des rapports et de stocker et envoyer des mises à jour de contenus et de logiciels. McAfee Agent : agent installé sur un système managé qui sert d'intermédiaire entre le client Host Intrusion Prevention et le serveur et la base de données epolicy Orchestrator. Cet agent envoie des données au client à partir du serveur epo et vice versa. Extensions Host Intrusion Prevention : interface pour la gestion des stratégies dans la console epolicy Orchestrator. Client Host Intrusion Prevention : composant logiciel principal qui assure la protection contre les intrusions sur la station de travail ou le serveur sur lequel il est installé. Mises à jour de contenu Host Intrusion Prevention (protection IPS uniquement) : contenu de sécurité mis à jour, notamment les signatures et les applications approuvées, à intervalles réguliers pour maintenir à jour la protection IPS à jour. Présentation de l'installation Host Intrusion Prevention est installé uniquement dans un environnement epolicy Orchestrator. Une base de données et un serveur epo doivent être en place et McAfee Agent doit être installé sur chaque système client où vous souhaitez installer Host Intrusion Prevention. Pour en savoir plus sur la configuration requise et les instructions de configuration de cet environnement epo, consultez le Guide d'installation d'epolicy Orchestrator. Une fois le serveur et les agents epo en place, installez l'extension appropriée de Host Intrusion Prevention dans epo. La version du produit que vous avez achetée (protection par pare-feu uniquement ou protection par pare-feu et IPS) et la version d'epo que vous utilisez permettent de déterminer quelles extensions sont à installer. Pour en savoir plus, consultez la section Installation dans epolicy Orchestrator. La dernière étape consiste à installer Host Intrusion Prevention sur les ordinateurs clients fonctionnant sous Windows, Linux ou Solaris, où une version de McAfee Agent est déjà installée. Pour en savoir plus, consultez la section Installation du client Windows. Installation du client Solaris ou Installation du client Linux. REMARQUE : la fonction par pare-feu Host Intrusion Prevention ne fonctionne que sur les plates-formes Windows. Suite aux modifications architecturales de cette version, les clients Host Intrusion Prevention 8.0 sont gérés uniquement par l'extension Host Intrusion Prevention 8.0. Vous pouvez toutefois conserver l'extension version 7.0 en parallèle de l'extension version 8.0 et gérer les versions précédentes des clients jusqu'à ce que vous soyez prêt à migrer vers la version 8.0. Pour en savoir plus sur la migration, consultez la section Migration des stratégies. Tableau 1 : Versions des composants Sur le serveur epolicy Orchestrator Sur les systèmes client Version Extensions Host IPS 8.0 Windows Solaris Linux 4.0 patch 6 et versions ultérieures Pare-feu uniquement pour epo 4.0 McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 (patch 1 et ultérieur) pour Windows Client Host IPS 8.0 7

8 Installation de McAfee Host Intrusion Prevention Présentation de l'installation Sur le serveur epolicy Orchestrator Sur les systèmes client Version Extensions Host IPS 8.0 Windows Solaris Linux Pare-feu et IPS pour epo 4.0 McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 McAfee Agent 4.0 (patch 3 et McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 (patch 1 et ultérieur) pour Windows Client Host IPS 8.0 ultérieur) ou McAfee Agent 4.5 (patch 1 et (patch 1 et ultérieur) pour Linux Client Host IPS 8.0 ultérieur) pour Solaris Client Host IPS Pare-feu uniquement pour epo 4.5 McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 (patch 1 et ultérieur) pour Windows Client Host IPS 8.0 Pare-feu et IPS pour epo 4.5 McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 McAfee Agent 4.0 (patch 3 et McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 (patch 1 et ultérieur) pour Windows Client Host IPS 8.0 ultérieur) ou McAfee Agent 4.5 (patch 1 et (patch 1 et ultérieur) pour Linux Client Host IPS 8.0 ultérieur) pour Solaris Client Host IPS Pare-feu uniquement pour epo 4.6 McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 (patch 1 et ultérieur) pour Windows Client Host IPS 8.0 Pare-feu et IPS pour epo 4.6 McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 McAfee Agent 4.0 (patch 3 et McAfee Agent 4.0 (patch 3 et ultérieur) ou McAfee Agent 4.5 (patch 1 et ultérieur) pour Windows Client Host IPS 8.0 ultérieur) ou McAfee Agent 4.5 (patch 1 et (patch 1 et ultérieur) pour Linux Client Host IPS 8.0 ultérieur) pour Solaris Client Host IPS 8.0 8

9 Installation de McAfee Host Intrusion Prevention Nouveautés de cette version Nouveautés de cette version Cette version du produit comprend plusieurs nouvelles fonctionnalités, améliorations et modifications. IPS Nouvelles fonctionnalités pour la stratégie Options IPS : Protection au démarrage : protection au démarrage avant le lancement des services IPS Nouvelles fonctionnalités pour la stratégie Règles IPS : Exceptions basées sur une adresse IP pour les signatures IPS réseau Réseaux approuvés pour les signatures IPS et les règles de pare-feu La mise en correspondance des exécutables des applications s'effectue désormais par chemin d'accès, hachage, signature numérique ou description de fichiers, pour les signatures et les exceptions, et non plus uniquement par chemin d'accès. Pare-feu Nouvelles fonctionnalités pour la stratégie Options de pare-feu : Evaluation et blocage TrustedSource : les règles de pare-feu bloquent ou autorisent le trafic entrant et sortant d'après les évaluations de McAfee TrustedSource. Protection contre l'usurpation d'adresse IP : les règles de pare-feu bloquent le trafic sortant lorsque l'adresse IP locale n'est pas une des adresses IP du système local et lorsqu'une adresse locale MAC n'est pas une adresse MAC invitée de machine virtuelle. Prise en charge des machines virtuelles reliées par un pont : les règles de pare-feu autorisent le trafic avec une adresse MAC locale qui n'est pas l'adresse MAC du système local mais une des adresses MAC de la gamme de logiciels de machine virtuelle prise en charge. Protection au démarrage : les règles de pare-feu bloquent tout trafic entrant avant que les services du pare-feu ne démarrent. Stratégie de pare-feu supplémentaire : blocage DNS du pare-feu composé d'un ensemble de modèles de noms de domaines à bloquer. Cette stratégie remplace la règle domaine qui bloquait la résolution DNS pour les noms de domaines définis par les utilisateurs. Nouvelles fonctionnalités pour la stratégie de règles de pare-feu : Les règles du pare-feu sont bien plus flexibles : une règle unique peut désormais contenir plusieurs applications (contre une seule précédemment), plusieurs réseaux (contre un seul précédemment), un réseau local et un réseau distant (contre un réseau distant précédemment) et un type de support réseau privé virtuel (VPN) en plus des supports filaire et sans fil. Les groupes selon la connexion sont désormais de simples groupes de pare-feu contenant des informations sur les emplacements et des calendriers associés à des accès limités en temps. La mise en correspondance des exécutables des applications s'effectue désormais par chemin d'accès, hachage, signature numérique ou description de fichiers, pour les règles de pare-feu, et non plus uniquement par chemin d'accès et hachage. 9

10 Installation de McAfee Host Intrusion Prevention Nouveautés de cette version Général Les stratégies Options de blocage d'applications et Règles de blocage d'applications sont supprimées et leur fonctionnalité est remplacée par deux signatures de contenu (6010 et 6011) dans la stratégie de règles Host IPS. Les stratégies de pare-feu Options de quarantaine et Règles de quarantaine sont supprimées et l'option de démarrage de quarantaine est déplacée vers une option de protection au démarrage des Options de pare-feu. Un nouveau catalogue Host IPS permet d'organiser et de réutiliser les composants de stratégie courants, notamment les groupes de pare-feu, les règles, les emplacements, les exécutables et les réseaux. Un ensemble standard unique de caractères génériques est utilisé avec le produit. Les journaux sont placés dans un dossier commun et certains sont simplifiés pour faciliter leur lecture. Plates-formes prises en charge Parité complète des fonctionnalités sur les plates-formes Windows 32 et 64 bits. Ajouté : prise en charge de Windows 7, Linux SUSe10 SP3, SUSe 11 et des zones Solaris Supprimé : Windows 2000, Solaris 8 et SUSe Linux 9 Prise en charge SQL Ajouté : SQL 2005, SQL 2008 Supprimé : SQL 2000 Extension/fonctionnalité client Deux versions de Host Intrusion Prevention 8.0 : une version avec pare-feu uniquement et une version complète contenant la protection IPS et la protection par pare-feu. Compatibilité de l'extension Host IPS avec les versions 4.0, 4.5 et 4.6 d'epolicy Orchestrator. Possibilité d'installer l'extension Host IPS 8.0 dans epolicy Orchestrator même avec des versions antérieures de Host IPS. L'extension Host IPS 8.0 gère uniquement les clients Host IPS 8.0 et ne peut pas prendre en charge les versions précédentes du client. Les protections IPS et de pare-feu sont désactivées sur le client après l'installation initiale et nécessitent l'application d'une stratégie pour être activées. Sur toutes les plates-formes, il est possible de migrer de la version d'évaluation vers la version sous licence à partir d'epolicy Orchestrator, sans réinstaller le client. 10

11 Meilleures pratiques pour une réussite rapide McAfee Host Intrusion Prevention apporte une réelle valeur ajoutée à votre organisation : réduction de la fréquence et de l'urgence des corrections de programme, préservation de la continuité de l'activité et de la productivité des salariés, protection de la confidentialité des données et prise en charge de la conformité aux réglementations. Cette solution offre la protection d'un système de prévention des intrusions (IPS) basé sur les signatures et l'analyse comportementale et s'accompagne d'un pare-feu dynamique, pour protéger tous les postes clients (postes de travail, ordinateurs portables et serveurs) des menaces connues et inconnues. Mise en route Tout ce qui concerne les utilisateurs et les applications stratégiques de l'entreprise doit être déployé avec précaution pour éviter les interruptions d'activité. Nous allons détailler le déploiement d'un produit par étapes faciles à gérer, augmentant petit à petit les niveaux de protection, autorisant le paramétrage des stratégies pour tenir compte des nuances du métier et minimisant les modifications pour l'utilisateur. Cette approche, lente mais sûre, offre les avantages d'une protection maximale et d'un effort administratif minimal sur une période pouvant aller d'un à trois mois. Si vous avez acheté la protection IPS ainsi que la protection par pare-feu, il est conseillé de démarrer par la fonction IPS, sauf si des raisons liées aux réglementations ou aux risques font du pare-feu votre priorité. La fonction IPS offre une protection stratégique et universelle contre les menaces connues et les menaces de type «jour zéro». Grâce aux paramètres de stratégie prédéfinis de McAfee et à un petit investissement en temps, vous pouvez rapidement mettre en place McAfee Host Intrusion Prevention sur vos systèmes pour les protéger des vulnérabilités et des attaques. Si vous avez bien activé la protection IPS, vous pouvez vous charger tranquillement de l'activation du pare-feu. La stratégie de pilotage décrite ici s'applique au déploiement du pare-feu bien que les stratégies spécifiques, les réponses en réaction et les règles puissent varier. REMARQUE : si vous avez acheté uniquement la protection par pare-feu ou que vous préférez tout simplement commencer par le déploiement du pare-feu, procédez comme indiqué mais consultez le Guide Produit ou l'aide pour en savoir plus sur la définition et l'activation des stratégies du pare-feu. Le déploiement doit se faire par étapes, dans l'ordre suivant : IPS sur les ordinateurs portables et les postes de travail standard IPS sur les serveurs critiques IPS sur les postes de travail des utilisateurs avec pouvoir Pare-feu sur les portables Pare-feu sur les serveurs Pare-feu sur les postes de travail des utilisateurs avec pouvoir La plupart des administrateurs peuvent réaliser les étapes décrites. Le cas échéant, contactez les partenaires et professionnels des services McAfee pour qu'ils vous aident. 11

12 Meilleures pratiques pour une réussite rapide L'ordre recommandé implique les sept étapes suivantes : 1 Stratégie et planification 2 Préparation de l'environnement 3 Installation et configuration 4 Paramétrage initial 5 Mode adaptatif optionnel 6 Protection améliorée et paramétrage avancé 7 Maintenance et développement au-delà d'ips Le même processus de déploiement s'applique aux postes de travail et aux serveurs. Des points de départ et des réglages de phases de protection plus prudents sont cependant recommandés pour les postes de travail et les serveurs stratégiques plus complexes des utilisateurs avec pouvoir. Synchronisation et attentes Pour un déploiement réussi, une frustration minimale et une limitation des risques maximale, le processus de mise en œuvre peut durer entre un et trois mois. Le travail «pratique» ne dure que quelques jours sur cette période mais il est primordial que des intervalles de temps s'écoulent entre les différentes étapes afin que le produit puisse recueillir les données d'usage qui permettent de guider le paramétrage. La variable la plus importante de la mise en œuvre est la gamme des systèmes et des profils d'utilisateurs qui constituent votre site. Plus la communauté d'utilisateurs est diversifiée, plus la mise en œuvre de McAfee Host Intrusion Prevention sur les systèmes ciblés sera longue. Vous devez activer les protections sans entraver la productivité des utilisateurs et la fonctionnalité des applications. Chaque système et profil d'utilisateur significatif mérite que vous réalisiez un paramétrage et des tests. De nombreux environnements nécessitent l'approbation de la direction de l'informatique pour le déploiement, la migration vers un mode de blocage et l'utilisation du pare-feu. Vous devez compter du temps supplémentaire pour obtenir ces approbations. REMARQUE : pour en savoir plus sur un aspect de ce processus, consultez le Guide Produit de McAfee Host Intrusion Prevention 8.0 ou l'aide correspondante. Tableau 2 : Pièges potentiels et solutions Liste des choses à ne pas faire Meilleures pratiques recommandées Bloquer les signatures à gravité moyenne et élevée sans consulter les informations issues de la journalisation Commencez par bloquer les signatures à gravité élevée uniquement. Ce niveau protège des vulnérabilités principales mais génère quelques événements à tort. Les signatures de niveau moyen agissent sur les comportements et nécessitent généralement au moins un paramétrage pour limiter le nombre d'appels d'assistance. Considérer que tous les systèmes vont utiliser les mêmes stratégies Séparez les postes de travail pour rendre compte des applications et des privilèges. Commencez par les systèmes les plus simples et créez des profils d'usage standard pour les groupes principaux. Ajoutez progressivement les utilisateurs et les profils d'usage, à mesure que l'apprentissage est effectué. Réaliser trop peu de tests sur l'expérience de l'utilisateur Choisissez quelques groupes d'utilisateurs importants, effectuez un pilote avec des utilisateurs représentatifs qui s'engagent à fournir un retour, vérifiez que les applications fonctionnent correctement et réalisez un vaste déploiement 12

13 Meilleures pratiques pour une réussite rapide 1. Stratégie Liste des choses à ne pas faire Meilleures pratiques recommandées lorsque vous êtes certain que les stratégies fonctionnent sans interrompre la productivité. Vous souhaitez donner une bonne première impression aux utilisateurs. Considérer que Host IPS fonctionne avec une configuration initiale unique Contrairement aux antivirus, il est nécessaire d'assurer une surveillance et une maintenance régulières pour maintenir la précision et l'efficacité de la protection. Prévoyez du temps pour examiner les journaux et mettez à jour les règles au moins une fois par semaine, lorsque le déploiement est terminé. Activer simultanément IPS et le pare-feu Commencez par IPS, puis ajoutez le pare-feu, au besoin. Vous apprendrez à créer des stratégies et serez plus à l'aise avec les types de protection appropriés. Vous pourrez ainsi plus facilement lier les modifications aux résultats. Laisser les fonctions Host IPS et les fonctions du pare-feu en mode adaptatif, de manière indéfinie Bloquer immédiatement tous les éléments que le système détecte comme des intrusions 1. Stratégie 2. Préparation d'un environnement pilote 3. Installation et configuration 4. Réalisation du paramétrage initial 5. Activation du mode adaptatif (optionnel) 6. Affinage du paramétrage 7. Maintenance et développement Utilisez le mode adaptatif sur de courtes périodes, lorsque vous avez le temps de surveiller les règles qui sont créées. Prenez le temps de vérifier que le trafic que vous voyez est réellement malveillant. Utilisez des captures de paquets, un IPS réseau ou tout autre moyen dont vous disposez. 1. Stratégie La première étape de votre processus de paramétrage est de vous placer du point de vue de la stratégie de protection de votre système. Définissez des objectifs réalistes et créez un plan de pilote et de déploiement à respecter. Définitions des priorités du pilote Vérifiez que vous avez bien compris vos objectifs de sécurité pour les aligner sur le processus du pilote. Vous allez identifier quelques problèmes spécifiques à bloquer immédiatement, voire définir une période de surveillance générale pour en savoir plus sur ce qui se passe au sein de la communauté des clients. Chaque organisation choisit l'équilibre qui lui convient entre la protection et la productivité. Des priorités bien définies dès le début permettent de rationaliser le processus. Posez-vous les questions suivantes : Quels sont les zones spécifiques d'exposition à la sécurité ou les incidents récents repérés au cours des audits? Quels sont les systèmes les plus vulnérables? Les ordinateurs portables doivent-ils constituer une priorité? 13

14 Meilleures pratiques pour une réussite rapide 1. Stratégie Les réglementations impliquent-elles que je doive réduire les vulnérabilités dans une communauté d'utilisateurs ou un groupe de systèmes clé? Pour de nombreux clients, les vulnérabilités les plus importantes concernent les ordinateurs portables, qui sortent régulièrement de l'environnement contrôlé de l'entreprise. Ces systèmes constituent d'excellentes premières cibles pour IPS. Certains clients souhaitent renforcer la protection des serveurs clés. Il est conseillé de piloter ces systèmes stratégiques à un rythme plus lent et plus prudent. Notez vos objectifs clés. Les étapes suivantes vous aideront à définir vos priorités. Définition de l'environnement pilote Choisissez un petit ensemble de systèmes pilotes et d'effectuer des tests dessus. Si vous sélectionnez 100 nœuds au plus sur trois sous-réseaux, vous serez en mesure d'évoluer progressivement vers des niveaux de protection plus élevés. Un développement par étapes vous permet de gérer de manière fiable les problèmes éventuels. Identifiez les principales classes de systèmes et intégrez-les de manière sélective dans votre pilote. Host IPS peut prendre en charge les éléments suivants, dans l'ordre croissant de complexité de mise en œuvre : Les postes de travail et les ordinateurs portables normalisés des utilisateurs, sur lesquels les utilisateurs généraux ne disposent pas de privilèges d'administrateur pour installer ou supprimer des applications sur le système. Vous pouvez créer plusieurs profils d'utilisateur, chacun associé à un environnement d'application standard défini. Les postes de travail et les ordinateurs portables personnalisés des utilisateurs avec pouvoir, sur lesquels les utilisateurs initiés disposent des privilèges d'administrateur nécessaires pour installer leurs propres applications. Les administrateurs et les développeurs de logiciels sont des utilisateurs avec pouvoir. De temps en temps, les privilèges d'administrateur apparaissent comme un artefact de l'activité de l'entreprise. Idéalement, ces privilèges doivent être supprimés sur tous les systèmes qui ne nécessitent pas de contrôle administratif, afin de réduire la gamme des types de système qui sont à profiler et à paramétrer. Les serveurs qui utilisent une base de données dédiée, le Web, les s ou d'autres applications, ainsi que les serveurs d'impression et de fichiers. Laboratoire ou monde réel? De nombreuses entreprises considèrent que les tests en laboratoire constituent une étape standard de l'installation d'un nouveau produit. Elles réalisent des images des machines de production et testent ces images dans un environnement contrôlé avant de procéder au déploiement. Grâce à McAfee Host Intrusion Prevention, cette approche fournit la référence de règles initiale la plus rapide mais aussi la moins efficace, car elle ne tient pas compte de la variable utilisateur. Les testeurs imitent artificiellement le comportement des utilisateurs donc ils ne sont pas en mesure de capturer des détails réels concernant les activités légitimes. Les utilisateurs et les logiciels malveillants (malwares) trouvent toujours des cas d'utilisation originaux qui génèrent des événements devant être pris en charge immédiatement ou qui échappent à la détection car ils ont été involontairement autorisés comme des exceptions d'un «comportement normal». Ces deux résultats prennent du temps et peuvent créer des problèmes ultérieurement. La majorité de l'apprentissage s'effectue dans des systèmes opérationnels au sein d'un environnement de production. Les meilleurs tests de production impliquent des systèmes triés sur le volet et des utilisateurs objectifs réalisant des tâches quotidiennes. Cette approche permet de constituer la référence la plus fiable car ce sont les vrais utilisateurs qui manipulent les 14

15 Meilleures pratiques pour une réussite rapide 1. Stratégie systèmes et les applications. De plus, ils peuvent fournir un retour immédiat sur l'impact des modifications. La combinaison des deux modèles est un bon compromis. Une période de tests en laboratoire vous permet de construire la confiance et de vous familiariser avec les processus et les stratégies de McAfee Host Intrusion Prevention. Après le test de quelques profils d'usage, ces profils peuvent être déplacés vers un pilote sur les systèmes de production. Toute activité ou application manquée dans les tests en laboratoire peut ensuite être repérée dans le pilote de production. Ce processus en deux étapes convient tout à fait aux organisations prudentes. CONSEIL : les administrateurs doivent bénéficier d'un accès physique facile aux systèmes pilotes, ce qui exclut du groupe pilote de départ les bureaux sans personnel et les particuliers. Garantie d'une représentation utilisateur appropriée Après avoir pris connaissance des types de système, identifiez les profils d'usage et les systèmes de votre pilote. Intégrez plusieurs types d'utilisateur pour effectuer une analyse transversale de votre communauté d'utilisateurs cible potentielle. Cette gamme étendue vous permet de créer des règles et des stratégies représentatives des besoins et des usages habituels de l'entreprise. Au sein d'un centre d'appels ou d'un centre d'assistance normalisé, vous trouvez, entre autres, des gestionnaires, les personnes chargées du soutien de première ligne et celles chargées du soutien de fond. Veillez à bien inclure au moins un profil d'usage de chaque type afin que McAfee Host Intrusion Prevention prenne connaissance du large éventail d'utilisations et établisse les stratégies en conséquence. Option 1 de la stratégie de déploiement : démarrer simplement Pour une mise en œuvre rapide des protections initiales et une courbe d'apprentissage moins stressante des protections avancées, il est recommandé d'activer la protection de base sur les postes de travail et les ordinateurs portables normalisés, puis d'activer la journalisation sur les postes de travail et les serveurs des utilisateurs avec pouvoir. Pour commencer, activez la protection en appliquant la stratégie Options IPS avec la protection IPS sélectionnée, puis appliquez la stratégie de base Règles IPS McAfee Default. Cette stratégie bloque les activités qui déclenchent des signatures dont le niveau de gravité est élevé. Elle ne requiert aucun paramétrage et génère peu d'événements. Ses paramètres sont les suivants : Les activités qui déclenchent des signatures à gravité élevée sont bloquées et toutes les autres signatures sont ignorées. Les applications McAfee sont répertoriées comme applications approuvées pour toutes les règles, sauf pour les règles d'auto-protection d'ips. En tant qu'applications approuvées, elles fonctionnent sans générer d'événements d'exception. Les applications et processus prédéfinis sont protégés. Bien que les marques et les modèles des ordinateurs soient différents, les variations restent relativement légères. Une expérience riche permet à la fonction IPS de couvrir les problèmes dont la gravité est élevée, et ce, avec une grande précision. Ainsi, McAfee a montré que 90 %, voire plus, des problèmes liés au jour de publication des patchs mensuels Microsoft (Patch Tuesday) étaient réparés à l'aide du niveau de base d'une protection prête à l'emploi. L'activation, ne serait-ce que de la protection par défaut, apporte une valeur ajoutée immédiate et considérable. Cette stratégie de démarrage simple est fortement recommandée. Les serveurs sont les systèmes les plus stratégiques à protéger. Ce sont également les plus épineux. Le déploiement nécessite, dans leur cas, une vigilance accrue, car les règles IPS doivent inévitablement être ajustées pour autoriser le fonctionnement des opérations légitimes et rendre compte des performances 15

16 Meilleures pratiques pour une réussite rapide 1. Stratégie minutieuses et de l'optimisation du système de la plupart des serveurs. Le paramétrage des règles par tâtonnements peut s'avérer dangereux sur les systèmes informatiques opérationnels stratégiques. De même les systèmes des utilisateurs avec pouvoir ont tendance à présenter une diversité d'applications et de privilèges spéciaux, notamment le droit d'exécuter des scripts. L'activation d'ips peut générer un grand nombre d'événements qui doivent être examinés attentivement pour garantir une autorisation ou un blocage approprié. La compréhension de l'usage légitime des utilisateurs avec pouvoir et des serveurs nécessite que vous y consacriez plus de temps. Surveillance et journalisation Simultanément à l'augmentation de la confiance pendant le pilote, vous pouvez déplacer les signatures de la journalisation pour activer la mise en œuvre par classe de système, le paramétrage des règles et l'affinage des stratégies au fur et à mesure que vous apprenez quelles activités sont légitimes. Ce processus sera décrit plus loin dans ce guide. Lorsque vous activez la protection de base sur les systèmes de vos postes de travail standard, vous pouvez également commencer la journalisation des problèmes à gravité moyenne sur ces mêmes systèmes. Cette surveillance vous permet de découvrir les autres événements qui seront repérés par la fonction IPS lorsque vous exécutez les contrôles de manière plus stricte. En mode de journalisation, vous pouvez consulter le volume d'utilisation, ainsi que les types d'utilisation, ce qui vous permet d'en savoir davantage sur le comportement du système. Dans cette première phase, la journalisation est recommandée pour vous éviter les surprises et les interruptions de service. Il est judicieux de consigner les événements sur une période d'activité complète, pendant un mois voire un trimestre entier, pour connaître la gamme complète des applications et des activités. Pour que cette opération s'effectue automatiquement, utilisez la stratégie Préparer pour la protection améliorée. Ce paramètre bloque les signatures à gravité élevée, consigne celles à gravité moyenne et ignore le reste. Pour les autres systèmes, serveurs et postes de travail d'utilisateur avec pouvoir, activez la surveillance et la journalisation pour les niveaux de gravité moyen et élevé. Aucun paramètre par défaut ne permet de consigner à la fois les niveaux moyen et élevé. Vous devez donc dupliquer une stratégie existante et la personnaliser. L'observation des événements à gravité moyenne ou élevée uniquement vous permet d'obtenir un nombre considérable d'informations pertinentes, sans pour autant vous noyer dans les détails. Vous découvrirez ainsi les variations des systèmes où les plates-formes des serveurs sont paramétrées pour chaque instance d'application spécifique et où les développeurs possèdent leurs outils préférés et leurs compilateurs obscurs à disposition. CONSEIL : l'activation de la surveillance et de la journalisation ne devrait pas affecter le fonctionnement des systèmes ou des applications mais il est toujours plus prudent d'observer les systèmes de près lorsque McAfee Host Intrusion Prevention fonctionne, même en mode de journalisation uniquement. Le fonctionnement du produit sollicite un faible niveau d'interaction avec les applications et les systèmes d'exploitation. Il est cependant toujours susceptible d'avoir des conséquences sur les performances ou sur certaines applications. Planification du développement Simultanément à l'augmentation de la confiance pendant le pilote, vous pouvez déplacer les signatures de la journalisation pour activer la mise en œuvre par classe de système, le paramétrage des règles et l'affinage des stratégies au fur et à mesure que vous apprenez quelles activités sont légitimes. Ce processus sera décrit plus loin dans ce guide. 16

17 Meilleures pratiques pour une réussite rapide 2. Préparation d'un environnement pilote Option 2 de la stratégie de déploiement : utilisation des stratégies par défaut Pour certains environnements, une approche légitime serait de tirer profit de l'expertise de McAfee, contenue dans les paramètres par défaut, et de déployer le profil de protection de base sur tous les systèmes. Cette approche fonctionne bien pour les utilisateurs qui souhaitent bénéficier de la protection principale d'ips sans paramétrage ni effort. Si vous n'avez pas acheté le produit pour IPS, cette stratégie offre un déploiement avec un effort minimal qui active immédiatement la protection contre les attaques importantes. Choix de l'option L'option 1 vous permet de tirer la meilleure protection de votre investissement IPS. L'option 2 offre une stratégie fiable et légère. Choisissez celle qui convient le mieux à votre situation en termes de risques. 2. Préparation d'un environnement pilote Après avoir défini vos priorités, vos objectifs et votre stratégie de protection, vérifiez que votre environnement respecte les conditions préalables techniques et supprimez tout problème sur le système avant de procéder à l'installation. Ce travail de préparation vous permet de vous concentrer sur le déploiement d'ips et d'éviter les écarts éventuels qui ne sont pas liés à cette fonction. Installation ou mise à jour de McAfee epolicy Orchestrator et Agent Avant d'installer McAfee Host Intrusion Prevention, vérifiez que le serveur epolicy Orchestrator est bien installé et installez McAfee Agent sur les hôtes cibles. Vous devez être familiarisé avec la mise en œuvre des stratégies avec epolicy Orchestrator afin d'utiliser correctement McAfee Host Intrusion Prevention. Si vous n'avez jamais créé de stratégie à l'aide d'epolicy Orchestrator, consultez la documentation epolicy Orchestrator. Pourquoi epolicy Orchestrator? McAfee Host Intrusion Prevention nécessite l'utilisation d'epolicy Orchestrator, car son déploiement s'appuie sur des stratégies et des règles spécifiques à l'organisation qui sont régulièrement ajustées pour suivre les variations de l'activité de l'entreprise et de la communauté d'utilisateurs. McAfee Host Intrusion Prevention tire parti de l'infrastructure avérée d'epolicy Orchestrator, qui permet d'augmenter la cohérence de l'application des stratégies, de réduire les erreurs et d'améliorer la visibilité et le contrôle de l'administrateur. 17

18 Meilleures pratiques pour une réussite rapide 2. Préparation d'un environnement pilote Présentation du processus : Figure 2 : Installation et maintenance de Host Intrusion Prevention avec epolicy Orchestrator Le serveur epo fonctionne avec McAfee Agent sur chaque hôte pour installer le client IPS sur les systèmes cibles. La création et la maintenance des stratégies IPS s'effectuent au sein de la console epo. Le serveur epo transmet les stratégies à l'agent sur le système hôte. L'agent transmet les stratégies au client IPS. Le client IPS met en œuvre les stratégies et génère des informations sur les événements qui sont ensuite transmises à l'agent. L'agent renvoie les informations des événements à epolicy Orchestrator. A des intervalles planifiés ou à la demande, le serveur epo extrait le contenu et les mises à jour des fonctionnalités depuis le référentiel McAfee, tandis que l'agent les extrait du serveur pour mettre à jour le client IPS. A mesure que les stratégies sont modifiées, elles sont extraites par l'agent pour mettre à jour le client IPS. Utilisation du serveur epo pour configurer les profils d'usage et les clients Pour chaque type d'usage (serveurs web, ordinateurs portables, bornes interactives), créez un profil d'usage epo différent. Vous finirez par associer ces profils à des stratégies IPS spécifiques 18

19 Meilleures pratiques pour une réussite rapide 3. Installation et configuration et il sera plus pratique pour vous que les profils soient en place à l'avance lorsque vous commencerez à gérer les exceptions. Regroupez les clients de manière logique. Les clients peuvent être regroupés selon n'importe quel critère correspondant à la hiérarchie de l'arborescence des systèmes epo. Par exemple, vous pouvez regrouper un premier niveau de clients par emplacement géographique et un deuxième par plate-forme de système d'exploitation ou par adresse IP. Il est recommandé de regrouper les systèmes selon les critères de configuration de McAfee Host Intrusion Prevention, notamment le type de système (serveur ou poste de travail), les applications clés (Web, base de données ou serveur de messagerie) et les emplacements stratégiques (zone démilitarisée [DMZ] ou Intranet). CONSEIL : le serveur epo autorise le marquage logique des systèmes. Les marqueurs s'apparentent à des étiquettes qu'il est possible d'appliquer manuellement ou automatiquement à des systèmes. Il est possible de classer les systèmes dans des groupes pilotes sur la base de marqueurs et d'utiliser ces marqueurs en guise de critères pour la génération de rapports. La convention d'appellation est importante. Idéalement, vous devez établir une convention d'appellation simple que quiconque pourrait déchiffrer. Les clients sont identifiés par nom dans l'arborescence des systèmes, dans certains rapports et dans les données d'événement générées suite aux activités effectuées sur le client. Vérification de la santé des systèmes pilotes Maintenant que vous avez identifié les clients, vérifiez qu'il n'existe aucun problème sur le système susceptible d'interrompre le déploiement. Examinez les fichiers de journaux correspondant au serveur epo, ainsi que les journaux d'événements système. Recherchez les erreurs ou les défaillances qui indiquent toute configuration inappropriée ou anomalie du système nécessitant d'être réparée avant l'installation de McAfee Host Intrusion Prevention. Les quelques éléments clés suivants méritent votre attention : Niveaux des patchs : êtes-vous certain que tous les pilotes et applications sont à jour? Les supports et les lecteurs audio anciens, Internet Explorer et les pilotes des cartes réseau sont réputés pour créer des incohérences qui entraînent l'échec du déploiement. Appliquez les derniers patchs et correctifs. Logiciel incompatible : existe-t-il d'autres applications de détection d'intrusion ou de pare-feu en cours d'exécution sur l'hôte? Vous devez les désactiver ou les supprimer. Accès administratif : vous devez disposer des droits d'accès administrateur sur le système. Vérifiez également si l'utilisateur dispose de l'accès administrateur. Pourquoi? Les utilisateurs peuvent déstabiliser le processus de test s'ils installent une nouvelle application pendant le test. Si vous ne pouvez pas supprimer l'accès administrateur des utilisateurs, vous pouvez placer ce système dans un profil d'usage différent, comme utilisateur avec pouvoir. Considérations organisationnelles : certains systèmes nécessitent une attention toute particulière, car ils utilisent une langue différente, des applications spécifiques à un emplacement géographique ou des applications internes à l'entreprise. Mettez ces systèmes de côté jusqu'à la deuxième étape du déploiement ou excluez les applications spécialisées de la protection IPS en attendant de trouver le temps de consigner et d'analyser leur comportement. 3. Installation et configuration Sur le serveur epo, installez l'extension Host IPS qui fournit l'interface vers la gestion des stratégies Host IPS. Importez le client Host IPS dans le référentiel epo. 19

20 Meilleures pratiques pour une réussite rapide 3. Installation et configuration Recherchez des patchs ou des articles dans la base de connaissances sur le site McAfee Service Portal ( Téléchargez le contenu mis à jour sur le site Définition initiale des niveaux de protection et des réponses Définissez ou associez des niveaux de protection pour chaque profil d'usage. Si vous effectuez une stratégie «le plus simple d'abord», activez la protection de base pour les profils d'usage de votre poste de travail standard. Pour en savoir plus, reportez-vous aux sections Configuration des stratégies IPS ou Configuration des stratégies de pare-feu du Guide Produit. Affinage des stratégies de ligne de base (optionnel) Certains administrateurs parviennent à coincer les défauts de la protection immédiatement, avant de démarrer le déploiement. Vous pouvez protéger automatiquement les applications à haut risque (notamment celles qui se lancent en tant que services ou ouvrent des ports de réseau) et les applications internes. Les applications développées en interne sont généralement exclues d'ips dès le début du déploiement, en particulier si elles «guettent» les connexions réseau. Les développeurs de logiciels internes ne sont probablement pas aussi rigoureux que les développeurs du marché lorsqu'ils programment des comportements attendus et sécurisés. Par exemple, un programme lié à Internet Explorer risque de déclencher involontairement une signature de protection Internet Explorer si le programme se comporte mal. Dans la mesure où les applications développées en interne ne sont pas des cibles d'attaques fréquentes, elles présentent un risque d'exploit plus faible. Pensez à ajouter les adresses IP de vos analyseurs de vulnérabilités à la liste de vos réseaux approuvés. Votre instance d'epolicy Orchestrator et vos stratégies de sécurité existantes peuvent également vous aider à identifier les activités évidentes qui doivent être bloquées ou autorisées pour des profils d'usage individuels. Enfin, vous pouvez utiliser le mode adaptatif pour définir, de manière sélective, des règles pour les applications exclues et mettre en œuvre la protection. Cette étape peut être réalisée lorsque vous avez établi des protections de ligne de base et que vous êtes à l'aise avec les signatures et les stratégies IPS. Avis aux utilisateurs et planification de remplacements Avant l'activation de protection IPS, indiquez aux utilisateurs qu'ils sont sur le point de recevoir une nouvelle protection et qu'ils peuvent, dans certains cas, remplacer le système. Cette communication permet de réduire le risque perçu sur la productivité de l'utilisateur, particulièrement importante pour les utilisateurs en déplacement munis d'ordinateurs portables. Pour remplacer le blocage IPS de l'utilisateur, l'administrateur doit fournir aux utilisateurs les éléments suivants : un mot de passe à durée limitée ; des instructions pour désactiver les fonctions. ; la possibilité de supprimer Host IPS, si nécessaire. Ne distribuez pas ces solutions de manière trop généreuse : vous ne souhaitez pas que les utilisateurs sapent le déploiement. Deux d'entre elles sont éliminées ultérieurement dans le pilote. Pour en savoir plus, consultez la section Définition des fonctionnalités du client du guide produit. Engagement des membres de l'équipe d'assistance Faites savoir à votre centre d'assistance que vous êtes sur le point d'activer Host IPS. Bien que peu de problèmes soient attendus, le centre d'assistance doit être préparé à reconnaître les indices pouvant apparaître lorsque la protection IPS est activée. 20