McAfee Host Intrusion Prevention 8.0 Guide Produit à utiliser avec epolicy Orchestrator 4.5

Transcription

1 McAfee Host Intrusion Prevention 8.0 Guide Produit à utiliser avec epolicy Orchestrator 4.5

2 COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses sociétés affiliées. DROITS DE MARQUES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUSHIELD, MA (MCAFEE SECURITYALLIANCE ECHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées au Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre au produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété eclusive de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2

3 Table des matières Introduction de Host Intrusion Prevention Protection Host IPS Stratégies Host IPS Gestion des stratégies Host IPS Suivi et réglage des stratégies Host IPS Gestion de votre protection Gestion des informations Tableau de bord Host IPS Requêtes Host IPS Gestion des stratégies Où trouver les stratégies Configuration des stratégies Protection et réglage par défaut Migration des stratégies Host IPS Gestion du système Ensembles d'autorisations Host IPS Tâches serveur Host IPS Réponses au événements Host IPS Mises à jour de la protection Host IPS Configuration des stratégies IPS Présentation des stratégies IPS Méthodes de mise en place de la protection IPS Signatures Règles comportementales Réactions Eceptions Règles de protection des applications Evénements Activation de la protection IPS Configuration de la stratégie Options IPS Définition de la réaction relative au signatures IPS

4 Table des matières Configuration de la stratégie Protection IPS Définition de la protection IPS Configuration de la stratégie Règles IPS Affectation de plusieurs instances de la stratégie FAQ : Stratégies à plusieurs instances Fonctionnement des signatures IPS Fonctionnement des règles IPS de protection des applications Fonctionnement des eceptions IPS Surveillance des événements IPS Gestion des événements IPS Création d'une eception à partir d'un événement Création d'une application approuvée à partir d'un événement Surveillance des règles IPS de client Gestion des règles IPS de client Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Fonctionnement des règles de pare-feu Fonctionnement des groupes de règles de pare-feu Fonctionnement du catalogue Host IPS Filtrage et inspection des paquets du pare-feu avec état Incidence des modes d'apprentissage et adaptatif sur le pare-feu Règles de pare-feu pour le client Activer la protection par pare-feu Configuration de la stratégie Options de pare-feu FAQ : McAfee TrustedSource et le pare-feu Définir la protection par pare-feu Configuration de la stratégie Règles de pare-feu Création et modification de règles de pare-feu Création et modification de groupes de règles de pare-feu Création de groupes d'isolement de conneion Blocage du trafic DNS Utilisation du catalogue Host IPS Gestion des règles de pare-feu pour le client FAQ : Utilisation des caractères génériques dans les règles de pare-feu Configuration des stratégies générales Présentation des stratégies générales Définition des fonctionnalités du client

5 Table des matières Configuration d'une stratégie Interface utilisateur du client Configuration des options générales de l'interface utilisateur du client Configuration des options avancées de l'interface utilisateur du client et des mots de passe Configuration des options de dépannage de l'interface utilisateur du client Définition des réseau approuvés Configuration d'une stratégie Réseau approuvés Définition des applications approuvées Configuration d'une stratégie Applications approuvées Création et modification de règles d'applications approuvées Affectation de plusieurs instances de la stratégie Utilisation des clients Host Intrusion Prevention Présentation du client Windows Menu de l'icône de la barre d état système Console client pour les clients Windows Déverrouillage de l'interface du client Windows Configuration des options de l'interface utilisateur du client Dépannage du client Windows Alertes client Windows A propos de l'onglet Stratégie IPS A propos de l'onglet Stratégie de pare-feu A propos de l'onglet Hôtes bloqués Modification de la liste des Hôtes bloqués A propos de l'onglet Liste de protection des applications A propos de l'onglet Journal d'activité Présentation du client Solaris Mise en œuvre des stratégies avec le client Solaris Dépannage du client Solaris Présentation du client Linu Mise en œuvre des stratégies avec le client Linu Remarques concernant le client Linu Dépannage du client Linu Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle Sections communes Sections communes facultatives Caractères génériques et variables Signatures personnalisées Windows

6 Table des matières Classe Windows Buffer Overflow Class Files Windows Classe Windows Hook Classe Windows Illegal API Use (Host IPS) Classe Windows Illegal Use Classe Windows Isapi (HTTP) Classe Windows Program Classe Windows Registry Class Services Windows Classe Windows SQL Classes et directives pour plate-forme Windows Signatures personnalisées non Windows Classe UNI_file Solaris/Linu Class UNI_apache Solaris/Linu (HTTP) Classe UNI_Misc Solaris/Linu Classe UNI_bo Solaris Classe UNI_map Solaris Classe UNI_GUID Solaris Classes et directives pour plate-forme UNI Annee B : Dépannage Problèmes générau Journau Host IPS Utilitaire Clientcontrol.ee

7 Introduction de Host Intrusion Prevention McAfee Host Intrusion Prevention est un système de détection et de prévention des intrusions basé sur l'hôte et protégeant les ressources et applications du système contre les attaques eternes et internes. Il fournit une solution facile à gérer et évolutive pour prévenir les intrusions sur les postes de travail, ordinateurs portables et serveurs dits critiques tels que les serveurs web et serveurs de base de données. Sa technologie brevetée bloque les attaques de type «jour zéro» et les attaques connues. Host Intrusion Prevention (parfois abrégé dans le produit sous la forme Host IPS ou HIP) peut protéger des informations et empêcher la mise à mal des ressources et applications du système et du réseau qui stockent et fournissent des informations. Il utilise pour cela une fonction de pare-feu de poste client et une fonction de système de prévention des intrusions (IPS). La fonction IPS dispose de mises à jour de contenu mensuelles, ce qui réduit l'urgence des patchs pour les nouvelles menaces. La fonction de pare-feu Host Intrusion Prevention peut être achetée séparément ou en association avec la fonction Host Intrusion Prevention IPS. Host Intrusion Prevention est totalement intégré à epolicy Orchestrator et utilise sa structure pour fournir et mettre en œuvre les stratégies. Cette approche offre une solution de gestion unique qui permet un déploiement massif d'un maimum de systèmes dans plusieurs langues sur la totalité d'une entreprise, pour une couverture véritablement complète. Table des matières Protection Host IPS Stratégies Host IPS Gestion des stratégies Host IPS Suivi et réglage des stratégies Host IPS Protection Host IPS Après l'installation de tous les composants requis pour Host Intrusion Prevention et une fois la communication établie, vous êtes prêt à appliquer la protection, surveiller les événements et mettre à jour les stratégies et le contenu selon les besoins. Protection de base Host Intrusion Prevention comprend un ensemble de paramètres par défaut qui fournissent une protection de base pour votre environnement. Ces paramètres comprennent : Pour la protection IPS : Les signatures à niveau de gravité élevé sont interdites et toutes les autres signatures sont ignorées. Les applications McAfee sont incluses comme applications approuvées pour toutes les règles, sauf les règles d'auto-protection IPS. 7

8 Introduction de Host Intrusion Prevention Stratégies Host IPS Les applications et processus prédéfinis sont protégés. Pour la protection par pare-feu : Une connectivité réseau de base est autorisée. REMARQUE : lors de la première installation de Host Intrusion Prevention 8.0, aucune protection n'est activée. Vous devez activer la protection dans la stratégie Options IPS ou Options de pare-feu et appliquer la stratégie au client. Protection avancée Pour la protection avancée, passez des paramètres par défaut au paramètres prédéfinis plus stricts, ou créez des paramètres personnalisés. Commencez par un déploiement test pour surveiller et régler les nouveau paramètres. Le réglage implique l'équilibrage de la protection de prévention des intrusions et l'accès au informations requises et au applications par type de groupe. Stratégies Host IPS Une stratégie est un ensemble de paramètres que vous configurez et mettez en œuvre à l'aide de la console epolicy Orchestrator. La mise en œuvre de stratégies permet de garantir la satisfaction de vos besoins en matière de sécurité sur des systèmes managés. Host Intrusion Prevention propose trois fonctions de stratégies, chacune possédant son jeu d'options de sécurité. En voici la liste : IPS, Pare-feu et Générale. Les fonctions IPS et de pare-feu contiennent une stratégie «règles» précisant les règles qui définissent un comportement et une stratégie «options» qui active ou désactive ces règles. La propriété des stratégies est affectée dans le Catalogue de stratégies. Après la création d'une stratégie, elle peut être modifiée ou supprimée uniquement par le créateur de cette dernière, la personne considérée comme un propriétaire de la stratégie ou l'administrateur global. La suppression d'une stratégie peut se faire uniquement à partir du Catalogue de stratégies. Stratégies IPS La fonction IPS contient trois stratégies protégeant les ordinateurs Windows et non Windows. Elle détaille les eceptions, signatures, règles de protection des applications, événements et eceptions générées par le client. Options IPS (toutes les plates-formes). Cette stratégie active ou désactive la protection IPS et l'application du mode adaptatif pour les réglages. Protection IPS (toutes les plates-formes). Définit la réaction de protection face au événements que génèrent les signatures. Règles IPS (toutes les plates-formes). Définit les eceptions, signatures et les règles de protection des applications. Il s'agit d'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégies IPS à un système, au lieu d'une. La stratégie appliquée résulte alors du contenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre eplicite apportant le plus haut niveau de protection est appliqué. 8

9 Introduction de Host Intrusion Prevention Gestion des stratégies Host IPS Stratégies de pare-feu La fonction de pare-feu contient trois stratégies protégeant uniquement les ordinateurs Windows. Elle permet de filtrer le trafic réseau. Le passage du trafic légitime par le pare-feu est autorisé et le reste est bloqué. Options de pare-feu (Windows uniquement). Cette stratégie active ou désactive la protection par pare-feu et l'application du mode adaptatif ou d'apprentissage pour les réglages. Règles de pare-feu (Windows uniquement). Définit les règles de pare-feu. Blocage DNS du pare-feu (Windows uniquement). Définit les serveurs de noms de domaine à bloquer. Stratégies générales La fonction Générale contient trois stratégies qui peuvent s'appliquer au fonctions IPS et Pare-feu. Interface utilisateur du client (Windows uniquement). Définit l'accès à l'interface utilisateur de Host Intrusion Prevention sur les systèmes clients Windows, notamment les options de dépannage. Fournit également une protection par mot de passe sur tous les systèmes clients autres que Windows. Réseau approuvés (Windows uniquement). Répertorie les réseau et les adresses IP sécurisés pour la communication. Utilisée avec les fonctions IPS et de pare-feu. Applications approuvées (toutes les plates-formes). Répertorie les applications approuvées pour l'eécution de la plupart des opérations. Utilisée avec la fonction IPS. Il s'agit également d'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégies Applications approuvées à un système, au lieu d'une. La stratégie appliquée résulte du contenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre apportant le plus haut niveau de protection est appliqué. Gestion des stratégies Host IPS La console epolicy Orchestrator vous permet de configurer les stratégies Host Intrusion Prevention depuis un emplacement centralisé. Mise en œuvre des stratégies Lorsque vous modifiez des stratégies Host Intrusion Prevention sur la console epolicy Orchestrator, les modifications apportées sont effectives sur les systèmes managés lors de la communication agent-serveur suivante. Par défaut, cet intervalle est défini pour que la communication soit initiée toutes les 60 minutes. Pour mettre les stratégies en œuvre immédiatement, vous pouvez envoyer un appel de réactivation de l'agent depuis la console epolicy Orchestrator. Stratégies et leurs catégories Les informations sur les stratégies pour Host Intrusion Prevention sont regroupées par fonction et catégorie. Chaque catégorie de stratégie représente un sous-ensemble spécifique de stratégies. Une stratégie est un groupe de paramètres configurés dans un but spécifique. Vous pouvez créer, modifier ou supprimer autant de stratégies que vous le souhaitez. 9

10 Introduction de Host Intrusion Prevention Suivi et réglage des stratégies Host IPS Pour chaque stratégie, une stratégie McAfee par défaut est préconfigurée, qui ne peut être modifiée, ni supprimée. A l'eception des Règles IPS et des Applications approuvées, toutes les stratégies comportent également une stratégie Ma stratégie par défaut modifiable basée sur la stratégie par défaut. Certaines catégories de stratégie incluent plusieurs stratégies préconfigurées en lecture seule. Si ces stratégies préconfigurées répondent à vos besoins, vous pouvez appliquer n'importe laquelle d'entre elles. Ces stratégies en lecture seule, comme toutes les stratégies, peuvent être dupliquées et le doublon personnalisé, si nécessaire. Les stratégies Règles IPS et Applications approuvées sont des stratégies à plusieurs instances car vous pouvez attribuer plusieurs instances de stratégie dans une même stratégie. Les instances de stratégie sont automatiquement combinées en une stratégie active. CONSEIL : les stratégies McAfee par défaut pour les Règles IPS et Applications approuvées sont automatiquement mises à jour dans le cadre du processus de mise à jour du contenu. Il est toujours recommandé d'affecter ces stratégies à tous les clients et de créer des instances de stratégie supplémentaires pour personnaliser le comportement de ces deu stratégies. Application des stratégies Les stratégies s'appliquent à n'importe quel système ou groupe de l'arborescence des systèmes, par héritage ou affectation. L'héritage détermine si les paramètres de stratégie d'un système sont issus de son parent. Par défaut, l'héritage est activé dans l'ensemble de l'arborescence des systèmes. Vous pouvez bloquer l'héritage par une affectation directe de stratégie. Host Intrusion Prevention, tel qu'il est managé par epolicy Orchestrator, vous permet de créer des stratégies et de les affecter sans vous soucier de l'héritage. Si vous bloquez cet héritage en affectant une nouvelle stratégie, tous les groupes et systèmes subalternes héritent de cette nouvelle stratégie. Propriété des stratégies Un propriétaire doit impérativement être affecté à chaque stratégie. La propriété sert à ce que personne d'autre que l'administrateur global, le créateur de la stratégie ou la personne considérée comme le propriétaire de la stratégie ne puisse modifier la stratégie. Tout administrateur peut utiliser toute stratégie figurant dans le catalogue, mais seul son créateur, son propriétaire ou un administrateur global est autorisé à la modifier. CONSEIL : plutôt que d'utiliser une stratégie appartenant à un autre administrateur, il est recommandé de dupliquer la stratégie, puis d'attribuer le doublon. Dans le cas contraire, si vous affectez une stratégie qui ne vous appartient pas à des groupes de l'arborescence des systèmes dont vous êtes responsable et si le propriétaire de la stratégie la modifie, les modifications s'appliqueront à tous les systèmes auquels cette stratégie est affectée. Suivi et réglage des stratégies Host IPS Le déploiement et la gestion des clients Host Intrusion Prevention sont assurés à partir d'epolicy Orchestrator. Dans l'arborescence des systèmes epo, vous pouvez regrouper les systèmes de façon hiérarchique par attributs. Par eemple, vous pouvez regrouper un premier niveau de clients par emplacement géographique et un deuième par plate-forme de système d'eploitation ou par adresse IP. Il est recommandé de regrouper les systèmes selon les critères de configuration de Host Intrusion Prevention, notamment le type de système (serveur ou poste), les applications principalement utilisées (web, base de données ou serveur de messagerie) et les emplacements stratégiques (zone démilitarisée ou intranet). Vous pouvez placer les systèmes correspondant à un profil d'usage commun dans un groupe commun de l'arborescence des 10

11 Introduction de Host Intrusion Prevention Suivi et réglage des stratégies Host IPS systèmes. En fait, vous pouvez nommer un groupe d'après son profil d'usage, par eemple, serveurs web. Une fois les ordinateurs regroupés selon leur type, fonction ou emplacement dans l'arborescence des systèmes, vous pouvez organiser de la même manière les fonctions administratives. A l'aide de Host Intrusion Prevention, vous avez la possibilité de répartir les tâches d'administration selon les fonctions du produit, telles qu'ips ou Pare-feu. Il est facile de déployer les clients Host Intrusion Prevention sur des milliers d'ordinateurs car la plupart d'entre eu correspondent à plusieurs profils d'usage. La gestion d'un déploiement étendu se réduit à la maintenance de quelques règles de stratégies. Lorsque le déploiement s'élargit, les nouveau systèmes ajoutés doivent correspondre à un ou plusieurs profils eistants et être placés dans le groupe correct de l'arborescence des systèmes. Protection prédéfinie Host Intrusion Prevention propose deu types de protection : Les paramètres de stratégie McAfee par défaut offrent une protection de base. Cette protection ne requiert que peu ou pas de réglages et génère peu d'événements. Pour de nombreu environnements, cette protection de base peut suffire. Une protection avancée est également proposée par certaines stratégies de pare-feu et IPS préconfigurées ou peut être atteinte en créant des stratégies personnalisées. Les serveurs, par eemple, nécessitent davantage qu'une simple protection de base. Les deu cas eigent le réglage des paramètres de protection pour les environnements de travail à proprement parler. Mode adaptatif Pour affiner les paramètres de protection, les clients Host Intrusion Prevention peuvent créer, côté client, des règles au stratégies autorisées par le serveur qui bloquent une activité légitime. La création automatique de règles de client est autorisée lorsque les clients sont en mode adaptatif. En mode adaptatif, les règles de client sont créées sans intervention de l'utilisateur. Une fois les règles du client créées, vous devez les analyser avec attention et décider celles qui doivent être converties en stratégies autorisées par le serveur. Dans les grandes organisations, la poursuite des activités professionnelles sans aucune perturbation prend souvent le pas sur les préoccupations de sécurité. Par eemple, l'installation périodique de nouvelles applications peut être requise sur certains ordinateurs et vous ne disposez peut-être pas du temps ou des ressources nécessaires pour en effectuer le réglage immédiatement. Host Intrusion Prevention vous permet de mettre des ordinateurs spécifiques en mode adaptatif pour la protection IPS. Ces ordinateurs peuvent personnaliser ces nouvelles applications et transférer au serveur epolicy Orchestrator les règles de client qui en résultent. L'administrateur peut promouvoir ces règles de client au rang de stratégie nouvelle ou eistante, puis la mettre en œuvre sur d'autres ordinateurs afin qu'ils prennent le nouveau logiciel en charge. Les systèmes en mode adaptatif ne bénéficient pratiquement d'aucune protection. Ce mode doit donc être utilisé uniquement pour le réglage d'un environnement puis désactivé pour renforcer la protection du système. Réglage fin Dans le cadre du déploiement de Host Intrusion Prevention, vous devez identifier quelques profils d'usage distincts et leur créer des stratégies. Le meilleur moyen d'y parvenir consiste à configurer un déploiement test, puis à commencer à réduire le nombre de fau positifs et d'événements générés. Ce processus est appelé réglage fin. 11

12 Introduction de Host Intrusion Prevention Suivi et réglage des stratégies Host IPS Des règles IPS plus strictes ciblent une gamme plus vaste d'infractions et génèrent bien plus d'événements que dans un environnement de base. Si vous appliquez la protection avancée, il est recommandé d'en décaler l'impact en utilisant la stratégie de protection IPS. Cela suppose d'appliquer un niveau de gravité (Elevé, Moyen, Faible et Information) à chaque réaction (Empêcher, Journaliser ou Ignorer). En définissant un niveau de gravité pour chaque réaction, ecepté Elevé pour Ignorer, seules les signatures d'un niveau de gravité élevé sont appliquées. Les autres niveau pourront être progressivement augmentés lors des processus de réglage fin. Vous pouvez réduire le nombre de fau positifs en créant des règles d'eception, des applications approuvées et des règles de pare-feu. Les règles d'eception permettent de passer outre une signature IPS dans des circonstances spécifiques. Les applications approuvées sont des processus d'application qui ignorent toutes les règles IPS ou de pare-feu. Les règles de pare-feu autorisent ou non le trafic et bloquent la réception de paquets ou autorisent ou bloquent la transmission de paquets. Tableau de bord et requêtes Les tableau de bord vous permettent de suivre votre environnement en affichant simultanément plusieurs requêtes. Ces requêtes peuvent être actualisées en permanence ou eécutées à une fréquence déterminée. Les requêtes vous fournissent des informations sur des éléments spécifiques et vous permettent de les filtrer en sous-ensembles ; par eemple, les événements de niveau de gravité élevé signalés par des clients particuliers sur une période spécifiée. Les rapports peuvent être planifiés et envoyés sous forme d' . 12

13 Gestion de votre protection La gestion d'un déploiement Host Intrusion Prevention englobe la surveillance, l'analyse et la réaction à des activités, la modification et la mise à jour des stratégies et l'eécution de tâches système. Table des matières Gestion des informations Gestion des stratégies Gestion du système Gestion des informations Une fois Host Intrusion Prevention installé, vous pouvez effectuer des suivis et rapports des problèmes de sécurité rencontrés dans votre environnement. Pour avoir un aperçu quotidien de la situation en matière de sécurité ou eécuter des requêtes d'informations détaillées sur des questions particulières, utilisez les tableau de bord. Tableau de bord Host IPS Les tableau de bord sont un ensemble de moniteurs représentant un outil essentiel pour la gestion de votre environnement. Les moniteurs peuvent aller d'une requête basée sur un graphique à une petite application web, comme le MyAvert Threat Service. Vous pouvez créer et modifier plusieurs tableau de bord si vous disposez des autorisations nécessaires. Utilisez toute requête basée sur un graphique comme tableau de bord, actualisé à intervalles déterminés, afin de placer les requêtes les plus utiles sur un tableau de bord actif. Host Intrusion Prevention fournit deu tableau de bord par défaut qui contiennent les moniteurs suivants : Tableau 1 : Tableau de bord et moniteurs Host IPS Tableau de bord Moniteurs Host IPS Statut du pare-feu Statut Host IPS Statut du service Nombre de règles IPS de client Versions des contenus 10 principau événements NIPS par adresse IP source Signatures Host IPS déclenchées 10 principales signatures IPS de niveau critique déclenchées sur un poste de travail 10 principales signatures IPS de niveau moyen déclenchées sur un poste de travail 13

14 Gestion de votre protection Gestion des informations Tableau de bord Moniteurs 10 principales signatures IPS de niveau faible déclenchées sur un poste de travail 10 principales signatures IPS de niveau critique déclenchées sur un serveur 10 principales signatures IPS de niveau moyen déclenchées sur un serveur 10 principales signatures IPS de niveau faible déclenchées sur un serveur Pour en savoir plus sur la création et l'utilisation des tableau de bord, consultez la documentation epolicy Orchestrator. Requêtes Host IPS Host Intrusion Prevention comporte une fonction de requête via epolicy Orchestrator. Vous pouvez créer des requêtes utiles à partir d'événements et de propriétés stockés dans la base de données epo ou utiliser des requêtes prédéfinies. Vous pouvez créer des requêtes pour un groupe de systèmes clients sélectionnés ou limiter le nombre de résultats du rapport au moyen d'un critère de produit ou de système. Vous pouvez eporter les rapports sous différents formats de fichiers, dont HTML et Microsoft Ecel. Options de requête : Définir un filtre pour collecter uniquement des informations sélectionnées. Choisir le groupe ou les marqueurs à inclure dans le rapport. Configurer un filtre de données utilisant des opérateurs logiques, afin de limiter avec précision les données renvoyées par le rapport. Générer des rapports graphiques à partir des informations de la base de données, filtrer les rapports en fonction de vos besoins, imprimer les rapports et les eporter vers d'autres logiciels. Eécuter des requêtes sur des ordinateurs, des événements et des installations. Requêtes prédéfinies et personnalisées pour analyser votre protection La fonction rapports contient des requêtes prédéfinies venant de Host Intrusion Prevention et vous permet de créer des requêtes personnalisées. Organisez et gérez des requêtes personnalisées selon vos besoins. Par eemple, si vous personnalisez des paramètres pour un rapport, eportez-les sous la forme d'un modèle. Après avoir créé des modèles personnalisés, organisez-les en groupes logiques afin de pouvoir les eécuter en fonction de vos besoins chaque jour, semaine ou mois. Après la génération d'un rapport, vous affichez les informations de synthèse, telles que déterminées par le filtre (le cas échéant) que vous avez configuré. A partir des informations de synthèse, vous développez les informations détaillées sur un ou deu niveau, dans le même rapport. Vous contrôlez la nature et le nombre d'informations de rapport accessibles au différents utilisateurs, comme les administrateurs globau par rapport à d'autres utilisateurs. Certains utilisateurs affichent uniquement des rapports sur des systèmes se trouvant sur des sites pour lesquels ils détiennent des autorisations. Les informations contenues dans les rapports sont également contrôlées au moyen de filtres. 14

15 Gestion de votre protection Gestion des informations Requêtes personnalisées Vous pouvez créer quatre requêtes Host IPS spécifiques à l'aide du Générateur de requêtes sous Autres : Règles de pare-feu pour le client Host IPS 8.0, Fichiers eécutables des règles de pare-feu pour le client Host IPS 8.0, Règles IPS de client Host IPS 8.0 et Eceptions IPS Host IPS 8.0. Les paramètres disponibles pour ces requêtes comprennent : Tableau 2 : Paramètres et requêtes Host IPS Requête Règles de pare-feu du catalogue et règles de pare-feu pour le client Host IPS 8.0 Paramètres Action Direction REMARQUE : cette requête renvoie des règles de pare-feu du catalogue IPS, des groupes de règles de pare-feu du catalogue IPS et des règles de Activé Date de la dernière modification pare-feu pour le client. Les valeurs d'action Utilisateur ayant apporté la dernière modification possibles sont allow, block et jump, cette dernière étant la seule action pour les groupes, auquels ID de nœud terminal les actions allow/block ne s'appliquent pas. La Services locau valeur de filtre leafnodeid des règles et groupes Statut du journal du catalogue IPS est définie sur 0. Pour afficher uniquement les règles de pare-feu pour le client, Protocole IP définissez la valeur de filtre leafnodeid sur > 0. Identifier l'intrusion Type de support Nom Remarque Services distants ID de règle Fin de la planification Début de la planification Basculer à l'epiration Protocole de transport Fichiers eécutables des règles de pare-feu pour le client Host IPS 8.0 Empreinte Nom Remarque Chemin d accès ID de règle Nom du signataire Règles IPS de client Host IPS 8.0 Date de création Description Nom du fichier eécutable Chemin d'accès du fichier eécutable Empreinte Nom entier du fichier eécutable Inclure tous les fichiers eécutables Inclure toutes les signatures Inclure tous les utilisateurs Date de la dernière modification Version locale Réaction 15

16 Gestion de votre protection Gestion des informations Requête Paramètres ID de signature Nom du signataire Statut Nom de l'utilisateur Eceptions IPS de Host IPS 8.0 Règle d'eception IPS Stratégie Règles IPS Propriétés communes Host IPS Les requêtes Host IPS personnalisées et certaines autres requêtes personnalisées vous permettent d'inclure les propriétés Host IPS suivantes : Type d'agent Pirates bloqués Langue Version du client Statut du mode adaptatif IPS Nombre de règles d'eception locales Version du contenu Statut IPS réseau Statut du mode adaptatif de pare-feu En attente de redémarrage Panne du pare-feu (Erreurs) Version du plug-in Statut du mode d'apprentissage de Statut du produit pare-feu pour les éléments entrants Service en cours d'eécution Statut du mode d'apprentissage de Version de HotFi/patch pare-feu pour les éléments sortants Version du produit Nombre de règles du pare-feu Service Pack Statut du pare-feu Informations sur les événements Host IPS Panne de la protection Host IPS (Erreurs) (Masqué, Lu) Statut Host IPS Nom de la signature Répertoire d'installation Requêtes prédéfinies Outre les requêtes personnalisées, vous pouvez utiliser plusieurs requêtes prédéfinies telles quelles ou les modifier pour obtenir uniquement les informations recherchées. Faites votre sélection parmi les requêtes Host IPS prédéfinies : Requête HIP Règles de client par processus Règles de client par processus/plage de ports Règles de client par processus/utilisateur Règles de client par protocole/nom de système Règles de client par protocole/plage de ports Récapitulatif Affiche la liste des règles de pare-feu pour le client, classées par processus. Affiche la liste des règles de pare-feu pour le client, classées par processus et plage de ports. Affiche la liste des règles de pare-feu pour le client, classées par processus et par utilisateur. Affiche la liste des règles de pare-feu pour le client, classées par protocole et nom de système. Affiche la liste des règles de pare-feu pour le client, classées par protocole et plage de ports. 16

17 Gestion de votre protection Gestion des informations Requête HIP Règles de client par protocole/processus Versions des clients Clients en attente de redémarrage Versions des contenus Nombre de règles de pare-feu pour le client Nombre de règles IPS de client Récapitulatif Affiche la liste des règles de pare-feu pour le client, classées par protocole et par processus. Indique les trois principales versions de clients avec une seule catégorie pour toutes les autres versions. Affiche les systèmes managés sur lesquels Host IPS a été déployé et que le programme d'installation doit redémarrer. Indique les trois principales versions de contenus avec une seule catégorie pour toutes les autres versions. Indique le nombre de règles de pare-feu pour le client créées au fil du temps. Indique le nombre de règles IPS de client créées au fil du temps. 10 principales signatures IPS de niveau critique déclenchées sur un poste de travail 10 principales signatures IPS de niveau moyen déclenchées sur un poste de travail Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plus souvent sur un poste de travail. Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plus souvent sur un poste de travail. 10 principales signatures IPS de niveau faible déclenchées sur un poste de travail Evénements des réseau approuvés par la protection Host IPS Erreurs liées au pare-feu Statut du pare-feu Erreurs liées à la protection Host IPS Statut Host IPS Rapport sur les eceptions IPS Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent sur un poste de travail. Affiche la liste des événements générés par les systèmes connectés au réseau approuvés par la protection Host IPS. Affiche la liste des systèmes managés sur lesquels la fonction de pare-feu a été activée par une stratégie, mais n'a pas démarré correctement. Indique à quel niveau la protection par pare-feu est activée ou désactivée sur les systèmes managés. Affiche la liste des systèmes managés sur lesquels la fonction IPS a été activée par une stratégie, mais n'a pas démarré correctement. Indique à quel niveau la protection IPS est activée ou désactivée sur les systèmes managés. Affiche la liste des stratégies Règles IPS utilisant des eceptions IPS. 10 principales signatures IPS de niveau critique déclenchées sur un serveur 10 principales signatures IPS de niveau moyen déclenchées sur un serveur Signatures IPS de niveau faible déclenchées sur un serveur Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plus souvent sur un serveur. Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plus souvent sur un serveur. Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent sur un serveur. Statut du service 10 principau événements IPS par cible 10 principau événements d'intrusion sur le réseau par adresse IP source Indique où Host IPS est installé et si une eécution de Host IPS est en cours sur les systèmes managés. Affiche les 10 systèmes présentant le plus d'événements IPS. Affiche les 10 principau événements d'intrusion sur le réseau par adresse IP source pour les trois derniers mois. 17

18 Gestion de votre protection Gestion des stratégies Requête HIP 10 principales signatures déclenchées Récapitulatif Affiche les 10 signatures IPS déclenchées le plus souvent. Gestion des stratégies La gestion des stratégies demande la configuration et l'application de stratégies et le réglage de la protection pour les ressources et applications du système. Une partie de ce processus nécessite une analyse des événements et des règles de client. Où trouver les stratégies epolicy Orchestrator propose deu emplacements pour afficher et gérer les stratégies Host Intrusion Prevention : l'onglet Stratégies affectées (Systèmes Arborescence des systèmes Stratégies affectées pour un groupe sélectionné dans l'arborescence des systèmes) et l'onglet Catalogue de stratégies (Systèmes Catalogue de stratégies). Pour un groupe ou un système sélectionné, utilisez l'onglet Stratégies affectées pour : afficher les stratégies disponibles d'une fonction particulière du produit ; afficher les détails de la stratégie ; afficher les informations d'héritage ; modifier l'affectation de la stratégie ; modifier les stratégies personnalisées. Utilisez l'onglet Catalogue de stratégies pour : créer des stratégies ; afficher et modifier les informations de stratégie ; afficher les affectations d'une stratégie ; afficher les paramètres et le propriétaire d une stratégie ; afficher les affectations pour lesquelles la mise en œuvre des stratégies est désactivée. Pour... Créer une stratégie Modifier une stratégie Afficher une stratégie Renommer une stratégie Dupliquer une stratégie Supprimer une stratégie Opérations à eécuter... Cliquez sur Nouvelle stratégie, nommez-la et modifiez ses paramètres. Cliquez sur Modifier (uniquement disponible pour les stratégies Ma stratégie par défaut ou les stratégies personnalisées). Cliquez sur Afficher (uniquement disponible pour les stratégies McAfee par défaut ou les stratégies préconfigurées). Cliquez sur Renommer et modifiez le nom de la stratégie (non disponible pour les stratégies par défaut ou préconfigurées). Cliquez sur Dupliquer, modifiez le nom de la stratégie et ses paramètres. Cliquez sur Supprimer (non disponible pour les stratégies par défaut ou préconfigurées). REMARQUE : lorsque vous supprimez une stratégie, tous les groupes auquels elle s'applique actuellement héritent, depuis leur parent, de la stratégie de cette catégorie. Avant de supprimer une stratégie, vous devez eaminer tous les systèmes auquels elle est affectée et leur affecter une autre stratégie si vous ne souhaitez pas que la stratégie hérite de son parent. Si vous supprimez 18

19 Gestion de votre protection Gestion des stratégies Pour... Opérations à eécuter... une stratégie appliquée au niveau supérieur, la stratégie par défaut de cette catégorie s'applique. Affecter un propriétaire de stratégie Eporter une stratégie Eporter toutes les stratégies Importer des stratégies Cliquez sur le propriétaire de la stratégie et sélectionnez un autre propriétaire dans une liste (non disponible pour les stratégies par défaut ou préconfigurées). Cliquez sur Eporter, puis nommez et enregistrez la stratégie (un fichier ML) à l'emplacement souhaité. Cliquez sur Eporter toutes les stratégies, puis nommez et enregistrez le fichier ML de stratégies à l'emplacement souhaité. Cliquez sur Importer en haut de la page Catalogue de stratégies, sélectionnez le fichier ML de stratégies, puis cliquez sur OK. Pour en savoir plus sur l'une de ces fonctions, consultez la documentation epolicy Orchestrator. Configuration des stratégies Une fois le logiciel Host Intrusion Prevention installé, il est recommandé de configurer directement les stratégies afin que la sécurité soit la plus stricte possible sans créer de conflits avec les activités quotidiennes. Les stratégies par défaut de Host Intrusion Prevention sont adaptées à une large gamme d'environnements de clients et peuvent répondre à vos besoins. Pour régler les stratégies de manière à ce qu'elles soient adaptées à votre configuration, il est recommandé de procéder comme suit : Définissez clairement votre configuration de sécurité Host Intrusion Prevention. Déterminez les responsables de la configuration des parties spécifiques du système et attribuez-leur les autorisations appropriées. Modifiez les stratégies Protection IPS ou Règles de pare-feu par défaut, qui fournissent des niveau croissants de protection prédéfinie. Modifiez les niveau de gravité des signatures spécifiques. Par eemple, lorsqu'une signature est déclenchée par le travail quotidien des utilisateurs, abaissez son niveau de gravité. Configurez les tableau de bord pour avoir un aperçu rapide de la conformité et des problèmes. Configurez les réponses automatiques pour alerter des utilisateurs spécifiques lorsqu'un événement particulier se produit. Par eemple, une notification peut être envoyée lorsqu'une activité, entraînant un événement de gravité élevée, se produit sur un serveur spécifique. Création d'une stratégie Pour créer une stratégie, vous devez copier une stratégie eistante et attribuez un nom à la nouvelle copie. Vous pouvez effectuer cette tâche dans le catalogue des stratégies ou depuis une page Stratégie. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. Effectuez l'une des actions suivantes à partir du catalogue des stratégies : Cliquez sur le bouton Nouvelle stratégie. Sélectionnez la stratégie dont vous souhaitez créer une copie, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. 19

20 Gestion de votre protection Gestion des stratégies Cliquez sur le lien Dupliquer d'une stratégie. Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. Cliquez sur le lien Afficher ou Modifier d'une stratégie, puis sur la page Stratégie, cliquez sur le bouton Dupliquer. Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK. La stratégie dupliquée s'affiche. Modifiez la stratégie, puis cliquez sur Enregistrer. Modification de l'affectation de stratégies Utilisez cette tâche pour modifier l'affectation de stratégies Host Intrusion Prevention à un groupe ou système unique de l'arborescence des systèmes epolicy Orchestrator. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. Effectuez l'une des procédures suivantes : Pour un groupe, accédez à Systèmes Arborescence des systèmes, sélectionnez un groupe, puis sous l'onglet Stratégies affectées cliquez sur Modifier l'affectation. Pour un système, accédez à Systèmes Arborescence des systèmes, sélectionnez un groupe qui contient le système, puis dans l'onglet Système, sélectionnez le système et cliquez sur Actions Agents Modifier les stratégies sur un seul système. Protection et réglage par défaut Host Intrusion Prevention fonctionne avec des stratégies par défaut pour assurer la protection de base. Le niveau de protection peut être renforcé par des paramètres personnalisés réglés manuellement ou automatiquement. Protection par défaut Host Intrusion Prevention comprend un jeu de stratégies par défaut qui fournissent une protection de base pour votre environnement. Les protections IPS et par pare-feu sont désactivées par défaut et doivent être activées pour autoriser la mise en œuvre des stratégies de règles par défaut. Pour la protection avancée, passez des stratégies IPS par défaut au stratégies prédéfinies plus strictes, ou créez des stratégies personnalisées. Commencez par un déploiement test pour surveiller et régler les nouveau paramètres. Le réglage implique l'équilibrage de la protection de prévention des intrusions et l'accès au informations et applications requises par type de groupe. Réglage manuel Un réglage manuel demande une surveillance directe, sur une période déterminée, des événements et des règles de client créés. Pour la protection IPS, surveillez les événements pour détecter les fau positifs et créez des eceptions ou des applications approuvées afin d'éviter que ces événements ne se reproduisent. Pour la protection par pare-feu, surveillez le trafic réseau et ajoutez des réseau approuvés afin de permettre un trafic réseau correct. Surveillez les effets des nouvelles eceptions, applications approuvées et des nouveau réseau approuvés. 20

21 Gestion de votre protection Gestion des stratégies Si ces règles permettent d'éviter les fau positifs, en conservant le trafic réseau au minimum et en autorisant l'activité légitime, intégrez-les à une nouvelle stratégie ou à une stratégie eistante. Appliquez la nouvelle stratégie à un ensemble d'ordinateurs et surveillez les résultats. Répétez l'opération avec chaque type de groupe de production. Réglage automatique Le réglage automatique évite de devoir surveiller en permanence tous les événements et activités pour tous les utilisateurs. Appliquez le mode adaptatif pour les stratégies IPS et de pare-feu. En mode adaptatif, les événements IPS ne sont pas déclenchés et les activités ne sont pas bloquées, à l'eception des eploits malveillants. Les règles de client sont créées automatiquement pour permettre une activité légitime. Eaminez les listes de règles de client. Faites passer les règles de client appropriées en règles de stratégie d'administration. Après quelques semaines, désactivez le mode adaptatif. Surveillez le groupe de test pendant quelques jours afin de vous assurer que les paramètres de stratégie sont appropriés et offrent la protection souhaitée. Répétez l'opération avec chaque type de groupe de production. Clients et planification de votre déploiement Le client Host Intrusion Prevention est un composant essentiel pour la protection. Lors du déploiement de clients, il est recommandé d'appliquer une approche par phases : Déterminez votre plan de déploiement de clients initial. Même si vous pouvez déployer des clients Host Intrusion Prevention sur chaque hôte (serveurs, postes de travail et ordinateurs portables) de votre entreprise, il est recommandé de commencer par installer des clients sur un nombre limité de systèmes représentatifs et de régler leur configuration. Une fois le déploiement réglé, vous pouvez déployer un plus grand nombre de clients et eploiter les stratégies, les eceptions et les règles de client créées lors du déploiement initial. Etablissez une convention de nommage de vos clients. Les clients sont identifiés par nom dans l'arborescence des systèmes, dans certains rapports et dans les données d'événement générées suite au activités effectuées sur le client. Les clients peuvent porter le nom de l'hôte sur lequel ils sont installés ou vous pouvez affecter un nom spécifique au client lors de l'installation. Il est recommandé d'établir une convention de nommage des clients facile à interpréter par toute personne travaillant au déploiement de Host Intrusion Prevention. Installez les clients. Les clients peuvent être installés avec un ensemble par défaut de stratégies IPS et de pare-feu. Les nouvelles stratégies contenant des règles mises à jour peuvent être, par la suite, diffusées à partir du serveur. Regroupez les clients de manière logique. Les clients peuvent être regroupés selon n'importe quel critère correspondant à la hiérarchie de l'arborescence des systèmes. Par eemple, vous pouvez regrouper les clients selon leur emplacement géographique, leur fonction dans l'entreprise ou les caractéristiques du système. 21

22 Gestion de votre protection Gestion des stratégies Données client et ce qu'elles vous indiquent Après l'installation et le regroupement de vos clients, le déploiement est terminé. Vous devriez commencer à voir des événements se déclencher par activité sur les clients. Si vous avez configuré les clients en mode adaptatif, vous devez pouvoir visualiser les règles de client indiquant les règles d'eceptions de client en cours de création. L'analyse de ces données marque le début du réglage du déploiement. Pour analyser des données sur les événements, affichez l'onglet Evénements de l'onglet Host IPS sous Rapports. Vous pouvez développer les détails d'un événement, comme le processus qui a déclenché l'événement, le moment où l'événement a été généré et le client qui a généré l'événement. Analysez l'événement et prenez les mesures adaptées pour régler le déploiement Host Intrusion Prevention et répondre de manière plus efficace au diverses attaques. L'onglet Evénements contient tous les événements Host IPS, y compris les événements NIPS, d'intrusions de pare-feu et de blocage TrustedSource. Pour analyser les règles de client, affichez les onglets Règles IPS de client et Règles de pare-feu pour le client. Vous pouvez visualiser les règles en cours de création, les agréger afin de trouver les règles communes les plus répandues et les transférer directement vers une stratégie pour l'appliquer à d'autres clients. En outre, le module Rapports d'epolicy Orchestrator fournit des rapports détaillés basés sur les événements, les règles de client et la configuration de Host Intrusion Prevention. Utilisez ces requêtes pour transmettre l'activité d'environnement à d'autres membres de votre équipe ou à vos supérieurs. Mode adaptatif L'un des éléments les plus importants dans le processus de réglage est la mise des clients Host Intrusion Prevention en mode adaptatif pour les fonctions IPS et de pare-feu. Ce mode permet au ordinateurs de créer des règles d'eception de client pour les stratégies d'administration. Le mode adaptatif effectue cette opération automatiquement, sans intervention de l'utilisateur. Ce mode analyse d'abord les événements relatifs au attaques les plus malveillantes, telles que le Buffer Overflow. Si l'activité est considérée comme normale et nécessaire pour l'entreprise, des règles d'eception de client sont créées. En définissant des clients représentatifs sur le mode adaptatif, vous pouvez leur créer une configuration de réglage. Host Intrusion Prevention vous permet ensuite d'utiliser quelques règles de client, toutes ou aucune et de les convertir en stratégies autorisées par le serveur. Une fois ce réglage terminé, désactivez le mode adaptatif afin de renforcer la protection système de prévention des intrusions. Eécutez les clients en mode adaptatif pendant au moins une semaine. Cela permet au clients d'être confrontés à toutes les activités prévues. Essayez d'effectuer cette opération lors d'une activité planifiée, telle qu'une sauvegarde ou un traitement de scripts. A chaque activité rencontrée, des événements IPS sont générés et des eceptions créées. Les eceptions sont des activités considérées comme des comportements légitimes. Par eemple, une stratégie peut juger les traitements de scripts comme indésirables mais certains systèmes utilisés par vos groupes techniques doivent effectuer de telles tâches. Autorisez la création d'eceptions pour ces systèmes afin qu'ils puissent fonctionner normalement tout en conservant le blocage de cette activité sur d'autres systèmes. Ensuite, stockez ces eceptions dans une stratégie autorisée par le serveur afin de couvrir uniquement le groupe technique. Des applications logicielles peuvent être nécessaires pour les activités normales de certains services de votre entreprise, mais pas pour d'autres. Par eemple, vous pouvez autoriser le système de messagerie instantanée dans votre service de support technique et bloquer son utilisation dans votre service financier. L'application peut être définie comme une application 22

23 Gestion de votre protection Gestion des stratégies approuvée sur les systèmes de votre service de support technique afin que les utilisateurs puissent y accéder en intégralité. La fonction de pare-feu agit comme un filtre entre un ordinateur et le réseau ou Internet. Le pare-feu analyse tout le trafic entrant et sortant, au niveau des paquets. Parallèlement à l'eamen des paquets entrants et sortants, le pare-feu vérifie sa liste de règles de pare-feu : un ensemble de critères auquels sont associées des actions. Si un paquet correspond à tous les critères d'une règle, le pare-feu entreprend l'action spécifiée par cette dernière, ce qui autorise ou bloque le passage du paquet par le pare-feu. FAQ : Mode adaptatif Le mode adaptatif est un paramètre que vous pouvez appliquer au fonctions IPS et de pare-feu lors du test de déploiement des nouvelles stratégies. Il permet au client Host Intrusion Prevention de créer automatiquement des règles autorisant les activités tout en préservant une protection minimale contre les vulnérabilités. Les questions et réponses suivantes devraient vous aider à utiliser cette fonction. Comment activer le mode adaptatif? Activez le mode adaptatif en sélectionnant cette option dans la stratégie Options IPS ou Options de pare-feu et en appliquant cette stratégie au client Host Intrusion Prevention. En quoi le mode adaptatif fonctionne-t-il différemment avec les fonctions IPS et de pare-feu? Avec la fonction IPS, le mode adaptatif crée des règles côté client qui constituent des eceptions au signatures IPS eistantes. Avec la fonction de pare-feu, le mode adaptatif crée des règles de client pour autoriser les paquets réseau non couverts par les règles de pare-feu eistantes. Les eceptions IPS de client sont créées par utilisateur, par processus et par signature et sont basées uniquement sur les chemins d'accès. Les règles de pare-feu pour le client sont créées par processus et les processus associés au règles de pare-feu pour le client sont basés sur le chemin, la description du fichier, la signature numérique et le hachage MD5. Dans quelle situation les règles ne sont-elles pas créées automatiquement en mode adaptatif? Avec IPS : La signature de la stratégie Règles IPS appliquée ne permet pas la création d'une règle de client. (Il s'agit du paramètre standard pour la plupart des signatures IPS dont le niveau de gravité est élevé. Ces signatures sont réglées pour détecter et bloquer les menaces les plus dangereuses sur vos systèmes. Il est donc peu probable que les activités normales de l'entreprise ne nécessitent une eception automatique.) La réaction à la signature est «Ignorer». L'action associée déclenche une signature IPS réseau. Un utilisateur tente d'arrêter le service McAfee Host IPS, indépendamment du paramètre de la règle de client relative à l'auto-protection du service dans la signature Il eiste déjà une eception qui eclut l'opération en question, dans une stratégie Règles IPS appliquée. Le processus associé à l'action est approuvé pour IPS dans une stratégie Applications approuvées et la signature n'est pas eclue des applications approuvées. Avec le pare-feu : 23

24 Gestion de votre protection Gestion des stratégies Aucune application n'est associée avec le paquet lors de son eamen dans le journal d'activité du client. Les eemples les plus courants sont les suivants : les requêtes entrantes pour les services n'étant pas en cours d'eécution, comme FTP (File Transfer Protocol) ou Telnet ; ICMP (Internet Control Message Protocol) entrant, comme une demande d'écho ; ICMP entrant ou sortant sur le système d'eploitation Microsoft Windows Vista ; paquets TCP (Transmission Control Protocol) sur le port 139 (NetBIOS SSN) ou 445 (MSDS), qui peut être requis pour le partage de fichiers Windows ; les paquets IPsec (Internet Protocol Security) associés au solutions clientes VPN (Virtual Private Network). Il eiste déjà une règle dans la stratégie Règles de pare-feu appliquée qui bloque ou autorise le paquet. La stratégie Règles de pare-feu contient un groupe selon l'emplacement dont l'isolement de conneion est activé, une carte d'interface réseau (NIC) active correspond à ce groupe et le paquet est envoyé ou reçu sur une NIC qui ne correspond pas au groupe. Il ne s'agit pas d'un paquet TCP, UDP (User Datagram Protocol) ou ICMP. Plusieurs utilisateurs sont connectés au système, ou aucun utilisateur n'est connecté au système. Eiste-t-il d'autres restrictions? Il se peut qu'ips ne parvienne pas à détecter l'utilisateur associé à certaines règles de client (cet événement s'affiche comme «domaine inconnu/utilisateur inconnu» dans la règle de client epolicy Orchestrator). Des eceptions peuvent tout de même être créées avec ces règles de client, mais elles s'appliquent à tous les utilisateurs. Certaines conneions TCP entrantes telles que le Bureau à distance ou HTTPS (Hypertet Transfer Protocol over Secure Socket Layer) peuvent nécessiter plusieurs tentatives pour parvenir à la création d'une règle de pare-feu. Migration des stratégies Host IPS Vous ne pouvez pas utiliser les stratégies McAfee Host Intrusion Prevention version 6.1 ou 7.0 avec les clients de la version 8.0 sans migrer au préalable les stratégies de la version 6.1 ou 7.0 vers le format de la version 8.0. Host Intrusion Prevention 8.0 fournit un moyen simple pour migrer les stratégies, grâce à la fonction Migration des stratégies Host IPS d'epolicy Orchestrator sous Automatisation. Cette migration implique la traduction et le déplacement des stratégies. Une fois la stratégie migrée, son nom apparaît dans le catalogue des stratégies, sous la fonction de produit Host IPS 8.0 et la catégorie correspondante avec la mention [6.1] ou [7.0] après le nom de la stratégie. Toutes les stratégies sont traduites et migrées vers les stratégies correspondantes de la version 8.0, à l'eception des suivantes : Les stratégies Options de blocage d'application ne sont pas migrées (ces stratégies ont été supprimées de la version 8.0). Les stratégies Règles de blocage d'applications sont migrées dans les stratégies Règles IPS sous le nom Accrochage d'application et protection de l'appel <nom> [6.1 ou 7.0] (ces stratégies ont été supprimées de la version 8.0). Après la migration de ces stratégies dans les stratégies Règles IPS, leur liste Règles de protection des applications est vide et la liste Eceptions contient des eceptions pour toutes les applications approuvées par défaut 24

25 Gestion de votre protection Gestion des stratégies définies sur «Approuvée pour l'accrochage d'applications». Pour utiliser cette stratégie migrée, vous devez également affecter la stratégie Règles IPS par défaut dans un paramètre d'instance à plusieurs stratégies car elle contient la dernière liste de protection des applications en raison des mises à jour de contenu. REMARQUE : les applications pour lesquelles l'accrochage est bloqué dans les stratégies Règles de blocage d'applications ne sont pas migrées et doivent être ajoutées manuellement au Règles de protection des applications dans la stratégie Règles IPS après la migration. De plus, si vous migrez une stratégie Applications approuvées avec des applications marquées «Approuvée pour l'accrochage d'applications» vers la version 8.0, vous devez créer une eception pour cette application dans la signature 6010 (Protection d'accrochage d'application générique) au niveau d'une stratégie Règles Host IPS pour sauvegarder la protection d'accrochage d'application. Les stratégies Options de quarantaine du pare-feu ne sont pas migrées (ces stratégies ont été supprimées de la version 8.0). Les stratégies Règles de quarantaine du pare-feu ne sont pas migrées (ces stratégies ont été supprimées de la version 8.0). Les règles de client IPS et les règles de pare-feu pour le client ne sont pas migrées. REMARQUE : les affectations de stratégies sont prises en charge lors de la migration. Si l'héritage est bloqué à un emplacement particulier de l'arborescence des systèmes, l'affectation n'est pas remplacée, mais l'héritage pourra être bloqué à d'autres niveau de l'arborescence, avec la fusion des affectations migrées. Vérifiez toujours l'affectation des stratégies après leur migration. Migration directe des stratégies Après l'installation de l'etension Host Intrusion Prevention 8.0, le moyen le plus simple de migrer toutes les stratégies eistantes est de les migrer directement. 1 Cliquez sur Automatisation Migration des stratégies Host IPS. 2 Sous Action, pour les stratégies Host IPS 6.1 ou 7.0 du catalogue des stratégies epo, cliquez sur Migrer. 3 Au terme de la migration des stratégies, cliquez sur Fermer. Toutes les stratégies IPS, de pare-feu ou des fonctionnalités générales de la version 6.1/7.0 sont converties en version 8.0 et leur nom est suivi de l'indication [6.1] ou [7.0]. REMARQUE : si vous eécutez une deuième migration des stratégies, toutes les stratégies du même nom précédemment migrées sont remplacées. Ce processus n'est pas sélectif car toutes les stratégies 6.1 ou 7.0 eistantes sont migrées. Si vous souhaitez migrer les stratégies de manière sélective, vous devez réaliser la migration via un processus de fichier ml. Migration des stratégies via un fichier ml Si l'etension Host Intrusion Prevention 6.1/7.0 n'est pas installée et que vous avez précédemment eporté des stratégies individuelles sélectionnées vers un fichier ml, ou si vous souhaitez migrer les stratégies de la version 6.1/7.0 de manière sélective plutôt que la totalité d'entre elles, effectuez la migration via un fichier ml. Ce processus implique tout d'abord l'eportation de stratégies individuelles Host Intrusion Prevention 6.1/7.0 au format ml, puis la conversion du contenu du fichier ml vers des stratégies de version Host Intrusion Prevention 8.0 et enfin l'importation du fichier ml migré dans le catalogue des stratégies Host IPS. 1 Cliquez sur Automatisation Migration des stratégies Host IPS. 2 Sous Action, pour les stratégies Host IPS 6.1 ou 7.0 dans un fichier ml, cliquez sur Migrer. 25

26 Gestion de votre protection Gestion du système 3 Sélectionnez la version Host IPS 6.1 ou 7.0 du fichier ml précédemment eporté, puis cliquez sur OK. Le fichier ml est converti au format de stratégie version Cliquez sur le lien du fichier converti MigratedPolicies.ml avec le bouton droit de la souris et enregistrez-le pour l'importation. 5 Importez le fichier ml dans le catalogue de stratégies epo. Gestion du système Dans le cadre de la gestion du déploiement de Host Intrusion Prevention, vous devez occasionnellement eécuter certaines tâches système. Ces tâches comprennent la configuration des autorisations utilisateur, des tâches serveur, des notifications et la mise à jour de contenu. Ensembles d'autorisations Host IPS Un ensemble d'autorisations est un groupe d'autorisations accordées à un compte utilisateur pour des produits ou fonctions spécifiques d'un produit. Il est possible d'affecter un ou plusieurs ensembles d'autorisations. Toutes les autorisations pour la totalité des produits et fonctions sont automatiquement affectées au administrateurs globau. Les ensembles d'autorisations accordent uniquement des autorisations ; ils ne les retirent jamais. Un administrateur global peut affecter des ensembles d'autorisations eistants lors de la création ou modification de comptes d'utilisateur, ainsi que lors de la création ou modification d'ensembles d'autorisations. L'etension Host Intrusion Prevention ajoute une section Host Intrusion Prevention au ensembles d'autorisations sans en appliquer aucune. L'administrateur global doit accorder des autorisations Host IPS à des ensembles d'autorisations eistants ou créer de nouveau ensembles d'autorisations et les y ajouter. Avec Host Intrusion Prevention, des autorisations sont accordées pour l'accès à chaque fonction du produit en fonction des autorisations en lecture ou en lecture/écriture dont dispose l'utilisateur. Cela s'applique au pages de stratégies Host Intrusion Prevention et au pages de règles de client et d'événements Host Intrusion Prevention sous Rapports. Pour cette fonction Host IPS... IPS Pare-feu Générale Les autorisations suivantes sont disponibles... Aucune, afficher les paramètres uniquement ou afficher et modifier les paramètres. Aucune, afficher les paramètres uniquement ou afficher et modifier les paramètres. Aucune, afficher les paramètres uniquement ou afficher et modifier les paramètres. L'administrateur global doit également accorder des autorisations epolicy Orchestrator pour la gestion des autres éléments utilisant Host Intrusion Prevention, notamment les requêtes et tableau de bord. Par eemple, pour analyser et gérer les règles de pare-feu pour le client figurant dans les pages Host IPS sous Rapports, un utilisateur doit disposer d'autorisations de consultation pour afficher le journal des événements, les systèmes et l'arborescence des systèmes 26

27 Gestion de votre protection Gestion du système ainsi que des autorisations de consultation et de modification pour la fonction de pare-feu Host Intrusion Prevention. Tableau 3 : Autorisations requises pour utiliser différentes fonctions Pour ces fonctions Host IPS Les ensembles d'autorisations suivants sont requis Tableau de bord Host IPS Requêtes Host IPS Evénements de client et règles de client Host IPS Tâches serveur Host IPS Packages Host IPS du référentiel Réponses automatiques Host IPS Tableau de bord, Requêtes Requêtes Systèmes, accès à l'arborescence des systèmes, Journal des événements de menace Tâches serveur Logiciel Réponses automatiques, Notifications d'événements, Evénements de client Pour en savoir plus sur les ensembles d'autorisations, consultez la documentation epolicy Orchestrator. Affectation d'ensembles d'autorisations Utilisez cette tâche pour affecter des autorisations au fonctions Host Intrusion Prevention sur le serveur epo. Conditions préalables Déterminez les fonctions Host Intrusion Prevention auquelles vous souhaitez accorder un accès et les ensembles d'autorisations supplémentaires devant être affectés pour accéder à tous les aspects de cette fonction Host Intrusion Prevention. Par eemple, pour afficher les règles de pare-feu pour le client, l'utilisateur doit disposer d'une autorisation relative à la fonction de pare-feu dans l'ensemble d'autorisations Host Intrusion Prevention, ainsi que des ensembles d'autorisations relatives au journal des événements, au systèmes et à l'accès à l'arborescence des systèmes. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Gestion des utilisateurs Ensembles d'autorisations. 2 En regard de Host Intrusion Prevention, cliquez sur Modifier. 3 Sélectionnez l'autorisation souhaitée pour chaque fonction : Aucune Afficher les paramètres uniquement Afficher et modifier les paramètres 4 Cliquez sur Enregistrer. 5 Affectez les autres ensembles d'autorisations selon vos besoins : Pour cette fonction Host IPS Evénements Host IPS Affecter l'ensemble d'autorisations Host Intrusion Prevention : IPS, Journal des événements, Systèmes, accès à l'arborescence des systèmes 27

28 Gestion de votre protection Gestion du système Pour cette fonction Host IPS Règles IPS de client Host IPS Règles de pare-feu pour le client Host IPS Tableau de bord Host IPS Requêtes Host IPS Affecter l'ensemble d'autorisations Host Intrusion Prevention : IPS, Journal des événements, Systèmes, accès à l'arborescence des systèmes Host Intrusion Prevention : Pare-feu, Journal des événements, Systèmes, accès à l'arborescence des systèmes Tableau de bord, Requêtes Requêtes Tâches serveur Host IPS Host Intrusion Prevention fournit plusieurs tâches serveur préconfigurées et configurables que vous pouvez définir pour qu'elles s'eécutent selon une planification donnée ou immédiatement dans le cadre de la maintenance de protection de Host Intrusion Prevention. Vous pouvez créer des tâches serveur Host Intrusion Prevention personnalisées en cliquant sur Nouvelle tâche et en sélectionnant une ou plusieurs propriétés Host IPS dans l'onglet Actions du Générateur de tâches serveur. Pour en savoir plus sur l'utilisation et la création des tâches serveur, consultez la documentation epolicy Orchestrator. Pour utiliser une tâche serveur eistante, accédez à Menu Automatisation Tâches serveurs, puis cliquez sur la commande appropriée sous Actions. Pour créer une tâche serveur personnalisée, cliquez sur Nouvelle tâche et suivez les instructions de l'assistant Générateur de tâches serveur. Tableau 4 : Tâches serveur préconfigurées et personnalisées Tâche serveur Description Traducteur de propriétés Host IPS (Préconfigurée) Etraction du référentiel (Personnalisée) Eécuter une requête (Personnalisée) Purger le journal des événements de menace (Personnalisée) Eporter les stratégies (Personnalisée) Cette tâche serveur traduit les règles de client Host Intrusion Prevention stockées dans la base de données epolicy Orchestrator pour la gestion du tri, regroupement et filtrage des données Host Intrusion Prevention. Cette tâche, qui est eécutée automatiquement toutes les 15 minutes, ne nécessite pas d'intervention de l'utilisateur. Cependant, vous pouvez l'eécuter manuellement si vous avez besoin d'un retour d'informations immédiat sur les actions survenues sur le client. Cette tâche serveur vous permet de créer une tâche personnalisée de récupération de paquets provenant du site source et de les placer dans le référentiel maître. Sélectionnez Contenu Host IPS comme type de package pour récupérer les mises à jour de contenu automatiquement. Cette tâche serveur vous permet de créer une tâche personnalisée pour eécuter des requêtes Host Intrusion Prevention préconfigurées selon une planification donnée. Cette tâche serveur vous permet de créer une tâche personnalisée pour purger les journau d'événements de menace en fonction d'une requête Host Intrusion Prevention. Sélectionnez une requête Evénements Host IPS pour les purger du journal. Cette tâche serveur vous permet de télécharger un fichier ML contenant la stratégie Host Intrusion Prevention associée. 28

29 Gestion de votre protection Gestion du système Tâche serveur Eporter les requêtes (Personnalisée) Description Cette tâche serveur vous permet de créer un fichier de sortie de requête Host Intrusion Prevention pouvant être enregistré ou envoyé par . Réponses au événements Host IPS Les réponses automatiques vous avertissent des événements qui se produisent sur les systèmes clients Host Intrusion Prevention. Vous pouvez configurer des réponses en cas de réception et traitement d'événements spécifiques par le serveur epolicy Orchestrator. Les réponses configurées sont les suivantes : Création de problèmes Eécution de tâches planifiées Eécution de commandes eternes Envoi d'interruptions SNMP Envoi d' Vous pouvez spécifier les propriétés d'événements spécifiques à Host Intrusion Prevention qui génèrent une réponse et la fréquence d'envoi de ces réponses. Pour en savoir plus, consultez la documentation d'epolicy Orchestrator 4.5. Préparation à la création de réponses automatiques Lorsque vous créez des réponses automatiques, assurez-vous de procéder comme suit : 1 Familiarisez-vous avec la fonction Réponses automatiques et son interaction avec l'arborescence des systèmes et votre réseau. 2 Planifiez votre mise en œuvre, en n'oubliant pas que certains utilisateurs ont besoin d'être informés de l'apparition de certains événements. 3 Préparez les composants et les autorisations utilisés par les Réponses automatiques, notamment : Autorisations relatives au réponses automatiques : créez ou modifiez les ensembles d'autorisations pertinents et affectez-les au utilisateurs epo appropriés. Serveur de messagerie : configurez le serveur de messagerie (SMTP) dans Paramètres serveur. Liste de contacts de messagerie : indiquez la liste d'où sont etraits les destinataires des messages de notification dans Contacts. Fichiers eécutables enregistrés : établissez une liste de fichiers eécutables enregistrés à eécuter lorsque les conditions d'une règle sont remplies. Tâches serveur : créez des tâches serveur qui seront utilisées comme actions à eécuter en réaction à une règle de réponse. Serveurs SNMP : spécifiez une liste de serveurs SNMP à utiliser lors de la création des règles. Vous pouvez configurer les règles pour l'envoi d'interruptions SNMP au serveurs SNMP lorsque les conditions d'envoi d'un message de notification sont satisfaites. Conseils sur l'utilisation des réponses automatiques Les zones spécifiques au informations Host Intrusion Prevention, Propriétés de Host IPS Advanced, sont impliquées dans la définition des filtres, l'agrégation des événements et la 29

30 Gestion de votre protection Gestion du système configuration de l'action de la règle. Pour utiliser ces propriétés, définissez le groupe d'événements sur Evénements de notification epo et le type d'événement sur Menace. Tableau 5 : Propriétés de Host IPS Advanced Propriétés Valeur Nom de l'api Direction Description de l'événement Host IPS Adresse IP locale ID de processus Protocole Adresse IP distante Nom de la station de travail Nom de l'api surveillée ayant déclenché l'événement Entrant/Sortant/Les deu Description détaillée de l'événement Adresse IP locale du système impliqué dans l'événement Chemin du fichier eécutable de la source d'une menace Protocole IP (UDP, TCP, ICMP) Adresse IP distante du système impliqué dans l'événement Nom du système impliqué dans l'événement Mises à jour de la protection Host IPS Host Intrusion Prevention prend en charge de nombreuses versions de contenu et de code de clients, le contenu disponible le plus récent s'affichant sur la console epo. Le nouveau contenu est toujours pris en charge par les versions suivantes, si bien que les mises à jour de contenu contiennent principalement de nouvelles informations ou des modifications mineures d'informations eistantes. Les mises à jour sont traitées par un package de mise à jour de contenu. Ce package contient des informations de version de contenu et des scripts de mise à jour. Lors de l'archivage, la version du package est comparée à la version des informations de contenu les plus récentes dans la base de données. Si le package est plus récent, les scripts qu'il contient sont etraits et eécutés. Les nouvelles informations de contenu sont transmises au clients à la prochaine communication agent-serveur. Les mises à jour contiennent des données associées à la stratégie Règles IPS (signatures IPS et règles de protection des applications) et à la stratégie Applications approuvées (applications approuvées). Lorsque des mises à jour sont appliquées à la stratégie McAfee par défaut, ces stratégies doivent être affectées à la fois pour Règles IPS et Applications approuvées pour pouvoir bénéficier de la protection la plus récente. La procédure de base consiste à archiver le package de mise à jour dans le référentiel maître epo, puis à envoyer les informations mises à jour au clients. Les clients obtiennent les mises à jour uniquement par communication avec le serveur epo, et non directement à l'aide de protocoles FTP ou HTTP. CONSEIL : affectez toujours la stratégie Règles IPS McAfee par défaut et la stratégie d'applications approuvées McAfee par défaut pour bénéficier de toutes les mises à jour de contenu. Si vous modifiez ces stratégies par défaut, la modification n'est pas remplacée par les mises à jour car les paramètres modifiés de ces stratégies sont prioritaires sur les paramètres par défaut. Archivage des packages de mise à jour Vous pouvez créer une tâche d'etraction epo qui archive automatiquement les packages de mise à jour de contenu dans le référentiel maître. La tâche télécharge le package de mise à jour de contenu, directement depuis McAfee et à la fréquence indiquée, puis elle l'ajoute au 30

31 Gestion de votre protection Gestion du système référentiel maître et met à jour la base de données avec le nouveau contenu Host Intrusion Prevention. Tâche 1 Cliquez sur Menu Logiciels Référentiel maître, puis sur Actions Planifier l'etraction. 2 Nommez la tâche, par eemple Mises à jour de contenu HIP, puis cliquez sur Suivant. 3 Sélectionnez Etraction du référentiel comme type de tâche, la source du package (McAfeeHttp ou McAfeeFtp), la branche pour la réception du package (Actuelle, Précédente, Evaluation) et le package sélectionné (Contenu Host Intrusion Prevention), puis cliquez sur Suivant. 4 Planifiez la tâche comme il convient, puis cliquez sur Suivant. 5 Vérifiez les informations, puis cliquez sur Enregistrer. Archivage manuel des packages La tâche télécharge le package de mise à jour de contenu, directement depuis McAfee et à la fréquence indiquée, puis elle l'ajoute au référentiel maître et met à jour la base de données avec le nouveau contenu Host Intrusion Prevention. Vous pouvez télécharger un package de mise à jour et l'archiver manuellement si vous ne souhaitez pas utiliser de tâches d'etraction automatique. Tâche 1 Téléchargez le fichier depuis McAfeeHttp ou McAfeeFtp. 2 Cliquez sur Menu Logiciels Référentiel maître, puis sur Actions Archiver un package. 3 Sélectionnez le type de package et l'emplacement de ce dernier, puis cliquez sur Suivant. La page Options du package s'affiche. 4 Sélectionnez la branche sur laquelle installer le package, puis cliquez sur Enregistrer. Le package s'affiche dans l'onglet Référentiel maître. Mise à jour des clients avec du contenu Une fois que le package de mise à jour est archivé dans le référentiel maître, vous pouvez envoyer les mises à jour au client, soit en planifiant une tâche de mise à jour, soit en envoyant un appel de réactivation de l'agent pour une mise à jour immédiate. Tâche 1 Accédez à Systèmes Arborescence des systèmes Tâches client, sélectionnez le groupe auquel envoyer des mises à jour de contenu, et cliquez sur Nouvelle tâche. 2 Nommez la tâche, sélectionnez Mise à jour comme type de tâche, puis cliquez sur Suivant. 3 Sélectionnez Packages sélectionnés, Contenu Host Intrusion Prevention, puis cliquez sur Suivant. 4 Planifiez la tâche comme il convient, puis cliquez sur Suivant. 5 Vérifiez les informations, puis cliquez sur Enregistrer. 31

32 Gestion de votre protection Gestion du système Mise à jour de contenu depuis le client Un client peut également solliciter des mises à jour à la demande si une icône McAfee Agent s'affiche dans la barre d'état système de l'ordinateur client. Tâche Cliquez sur l'icône McAfee Agent dans la barre d'état système avec le bouton droit de la souris, puis sélectionnez Mettre à jour maintenant. La boîte de dialogue Progression de McAfee AutoUpdate s'affiche et les mises à jour de contenu sont etraites et appliquées au client. 32

33 Configuration des stratégies IPS Les stratégies IPS permettent d'activer et de désactiver la protection Host Intrusion Prevention, de définir le niveau de réaction en fonction des événements et d'offrir la protection par l'application d'eceptions, de signatures et de règles de protection des applications. La protection IPS est maintenue à jour avec des mises à jour de contenu mensuelles contenant de nouvelles signatures et des signatures révisées ainsi que des règles de protection des applications. Table des matières Présentation des stratégies IPS Activation de la protection IPS Définition de la réaction relative au signatures IPS Définition de la protection IPS Surveillance des événements IPS Surveillance des règles IPS de client Présentation des stratégies IPS La fonction IPS (Intrusion Prevention System) surveille tous les appels système (niveau noyau) et d'api (niveau utilisateur) et bloque ceu qui pourraient engendrer des activités malveillantes. Host Intrusion Prevention détermine quel processus utilise un appel, le contete de sécurité au sein duquel le processus s'eécute et les ressources auquelles il accède. Au niveau du noyau, un pilote reçoit les entrées redirigées dans la table des appels système en mode utilisateur et surveille la chaîne d'appels système. Lorsque des appels sont effectués, le pilote compare la demande d'appel avec la base de données des signatures et des règles comportementales combinées afin de déterminer l'autorisation, le blocage ou la journalisation d'une action. Cette méthode hybride permet de détecter les attaques les plus connues ainsi que les attaques inconnues précédemment ou attaques «jour zéro». La protection provient également des eceptions, qui permettent d'ignorer les signatures bloquant les activités légitimes ainsi que des règles de protection des applications qui indiquent les processus à protéger. Stratégies disponibles Il eiste trois stratégies IPS : Options IPS : active la protection IPS en activant et en désactivant la protection Host IPS et IPS réseau et en appliquant des options spécifiques au systèmes Windows. Protection IPS : détermine la réaction adoptée par le système (bloquer, ignorer, journaliser) lorsque des signatures d'un niveau de gravité spécifique (élevé, moyen, faible) sont déclenchées. Règles IPS : définit la protection IPS en appliquant une analyse des signatures et une analyse comportementale pour assurer une protection contre les attaques connues et de type «jour 33

34 Configuration des stratégies IPS Présentation des stratégies IPS zéro». Les eceptions, qui permettent d'ignorer les signatures bloquant les activités légitimes ainsi que des règles de protection des applications qui indiquent les processus à protéger, viennent compléter les signatures. A l'instar de la stratégie Applications approuvées, cette catégorie de stratégies peut contenir plusieurs instances de stratégie. Les mises à jour de contenu fournissent de nouvelles signatures et des signatures mises à jour ainsi que des règles de protection des applications pour bénéficier de la protection la plus récente. Méthodes de mise en place de la protection IPS Le blindage et l'enveloppement, l'interception des appels système et l'installation de moteurs et pilotes spécifiques sont autant de méthodes utilisées pour fournir la protection IPS. Enveloppement et blindage Host Intrusion Prevention utilise des signatures d'enveloppement et de blindage pour protéger le système des attaques. La stratégie d'enveloppement est utilisée pour empêcher les applications d'accéder au fichiers, données, paramètres de Registre et services se trouvant hors de leur propre enveloppe d'application. La stratégie de blindage est utilisée pour empêcher des eploits se trouvant hors de leur propre enveloppe d'application d'accéder à des fichiers, données, paramètres de Registre et services d'application. Interception des appels système Host Intrusion Prevention surveille tous les appels système et d'api et bloque les activités malveillantes. Il détermine quel processus utilise un appel, le contete de sécurité au sein duquel le processus s'eécute et les ressources auquelles il accède. Un pilote Host Intrusion Prevention de niveau noyau, qui reçoit les entrées redirigées dans la table des appels système de niveau utilisateur, surveille la chaîne d'appels système. Lorsque des appels sont effectués, le pilote compare la demande d'appel avec la base de données des signatures et des règles comportementales combinées afin de déterminer l'autorisation, le blocage ou la journalisation d'une action. Les programmes de niveau utilisateur utilisent la fonctionnalité fournie par le noyau pour accéder au disques durs, au conneions réseau et à la mémoire partagée. Le processeur empêche l'accès direct au fonctions de niveau noyau : les programmes de niveau utilisateur utilisent donc des appels système qui permettent la communication entre les modes noyau et utilisateur. Les appels système eposent toutes les fonctionnalités du noyau requises par les programmes de niveau utilisateur et sont mis en œuvre au sein du système d'eploitation via une table des appels systèmes. Host Intrusion Prevention s'insère dans la chaîne des appels système en installant un pilote de niveau noyau et en redirigeant les entrées dans la table des appels système. Lorsqu'une application demande un fichier, la requête est dirigée vers le pilote Host Intrusion Prevention, qui la compare à ses jeu de signatures et de règles comportementales afin de déterminer quelle suite lui donner : l'autoriser ou la bloquer. Moteur HTTP pour les serveurs web Host Intrusion Prevention protège des attaques dirigées contre les applications et systèmes web grâce à son moteur de protection HTTP. Il assure la protection en analysant le flu HTTP dirigé vers une application et en le comparant au modèles des requêtes HTTP entrantes. Le moteur de protection HTTP s'installe entre l'élément de déchiffrement et de décodage SSL du serveur web qui convertit les requêtes en tete brut et le moteur du serveur web. Cela permet de s'assurer que le moteur Host Intrusion Prevention reçoit les requêtes en tete brut et bloque les requêtes malveillantes avant leur traitement. Les signatures HTTP bloquent les attaques de 34

35 Configuration des stratégies IPS Présentation des stratégies IPS type traversée de répertoires ou par caractères Unicode, la dégradation de site web, le vol de données et le piratage des serveurs. Moteur SQL pour les serveurs SQL Host Intrusion Prevention fournit une protection contre les attaques sur les serveurs de base de données grâce à son moteur de vérification SQL qui s'installe entre les bibliothèques réseau de bases de données et le moteur de base de données. Il eamine toutes les requêtes SQL et bloque toutes celles qui pourraient déclencher un événement. Les règles de protection SQL ont la faculté de distinguer les utilisateurs, l'origine des requêtes, leur validité et d'autres paramètres. Les signatures de base de données SQL sont conçues sur la protection principale fournie par les signatures standard à laquelle sont ajoutées des règles spécifiques d'interception et de protection de base de données. Le moteur SQL Host IPS intercepte les requêtes de base de données entrantes avant leur traitement par le moteur de base de données. Chaque requête est eaminée afin de déterminer si elle correspond à une signature d'attaque connue, si elle est structurée correctement et s'il eiste des signes révélateurs d'injection de code SQL. Les signatures de base de données SQL mettent en œuvre un blindage de base de données pour en protéger les fichiers de données, services et ressources. En outre, elles mettent en œuvre l'enveloppement de base de données pour garantir le fonctionnement de cette dernière au sein d'un profil comportemental bien défini. Signatures Les signatures sont des ensembles de règles de prévention des intrusions pouvant être comparées à un flu de trafic. Par eemple, une signature peut éventuellement rechercher une chaîne spécifique dans une requête HTTP. Si la chaîne correspond à une autre dans une attaque connue, une action est eécutée. Ces règles protègent des attaques connues. Les signatures sont conçues pour des applications et des systèmes d'eploitation spécifiques ; par eemple, des serveurs web, tels qu'apache et IIS. La majeure partie des signatures protègent l'ensemble du système d'eploitation, alors que d'autres sont destinées à des applications spécifiques. Signatures Host IPS La protection Host Intrusion Prevention s'applique à des systèmes individuels tels que des serveurs, des stations de travail et des ordinateurs portables. Le client Host Intrusion Prevention inspecte le trafic entrant ou sortant d'un système et étudie le comportement des applications et du système d'eploitation, à la recherche d'une attaque. Lorsqu'une attaque est détectée, le client la bloque au niveau de la conneion au segment de réseau ou émet des commandes pour mettre fin au comportement induit par l'attaque. Par eemple, il est possible d'empêcher le Buffer Overflow en bloquant les programmes malveillants insérés dans l'espace d'adresse eploité par une attaque. L'installation de programmes de porte dérobée en même temps que des applications telles qu'internet Eplorer est bloquée en interceptant et en refusant la commande d'écriture du fichier dans l'application. Ces signatures : protègent des attaques et des conséquences d'une attaque, telles que le blocage de l'écriture d'un fichier par un programme ; protègent les ordinateurs portables lorsqu'ils se trouvent hors du réseau protégé ; protègent des attaques locales introduites par des CD ou des périphériques USB. Ces attaques consistent généralement à changer les privilèges de l'utilisateur en «racine» ou «administrateur», afin de mettre en péril d'autres systèmes au sein du réseau ; 35

36 Configuration des stratégies IPS Présentation des stratégies IPS représentent une dernière ligne de défense contre les attaques non détectées par les autres outils de sécurité ; empêchent les attaques internes ou une utilisation inappropriée des périphériques situés sur le même segment de réseau ; protègent des attaques au cours desquelles le flu de données chiffrées s'arrête au niveau du système protégé, par l'eamen des données déchiffrées et du comportement ; protègent les systèmes sur architectures réseau obsolètes ou inhabituelles de type Token Ring ou FDDI. Host Intrusion Prevention contient une longue liste par défaut de signatures Host IPS pour toutes les plates-formes. Vous pouvez modifier les paramètres de niveau de gravité, statut du journal et création de règles de client de ces signatures ou ajouter des signatures personnalisées à la liste. Cette liste de signatures est mise à jour, si nécessaire, dès que vous installez une mise à jour de contenu. Signatures IPS réseau La protection IPS réseau est également appliquée à des systèmes individuels. Toutes les données transmises entre le système protégé et le reste du réseau sont eaminées, à la recherche d'une éventuelle attaque. Lorsqu'une attaque est identifiée, les données malveillantes sont supprimées ou bloquées et ne pénètrent pas dans le système. Ces signatures : protègent les systèmes situés en aval dans un segment de réseau ; protègent les serveurs et les systèmes qui y sont connectés ; protègent des attaques réseau par déni de service et les attaques orientées bande passante, qui bloquent ou altèrent le trafic du réseau. Host Intrusion Prevention contient une liste par défaut d'un petit nombre de signatures IPS réseau pour les plates-formes Windows. Vous pouvez modifier les paramètres de niveau de gravité, statut du journal et création de règles de client de ces signatures, mais vous ne pouvez actuellement pas ajouter de signatures réseau personnalisées. Cette liste de signatures est mise à jour, si nécessaire, dès que vous installez une mise à jour de contenu. Règles comportementales Les règles comportementales déjouent les attaques «jour zéro» et mettent en œuvre le comportement correct du système d'eploitation et des applications. Les règles comportementales heuristiques définissent un profil des activités légitimes. Les activités qui ne correspondent pas à ces règles sont considérées comme suspectes et déclenchent une réponse. Par eemple, une règle comportementale peut définir que seul un processus de serveur web peut accéder à des fichiers HTML. Si tout autre processus tente d'accéder au fichiers HTML, une action est entreprise. Ce type de protection, appelé blindage et enveloppement des applications, empêche la compromission des applications et de leurs données et bloque le détournement d'applications ayant pour but d'en attaquer d'autres. En outre, les règles comportementales bloquent les eploits par Buffer Overflow, empêchant l'eécution de code résultant d'attaques par Buffer Overflow, l'une des méthodes les plus courantes d'attaque contre les serveurs et les postes de travail. 36

37 Configuration des stratégies IPS Présentation des stratégies IPS Réactions Eceptions Une réaction désigne ce que le client Host Intrusion Prevention effectue lorsqu'une signature d'une gravité spécifique est déclenchée. Le client peut réagir de trois manières : Ignorer : aucune réaction ; l'événement n'est pas journalisé et l'opération n'est pas bloquée. Journaliser : l'événement est consigné mais l'opération n'est pas bloquée. Empêcher : l'événement est journalisé et l'opération est bloquée. Par eemple, une stratégie de sécurité peut définir que lorsqu'un client reconnaît une signature de niveau faible, il journalise l'occurrence de la signature et autorise l'eécution de l'opération et que lorsqu'il reconnaît une signature de niveau élevé, il bloque cette opération. REMARQUE : la journalisation peut être activée directement sur chaque signature. La stratégie Protection IPS définit automatiquement la réaction relative au signatures en fonction de leur niveau de gravité. Une eception ignore une activité bloquée par la réaction à une signature. Dans certains cas, un comportement défini par une signature comme étant une attaque peut faire partie de la routine de travail normale d'un utilisateur ou constituer une activité légitime d'une application protégée. Pour ignorer la signature, vous pouvez créer une eception qui autorise des activités légitimes. Par eemple, une eception peut éventuellement définir qu'une opération est ignorée pour un client particulier. Vous pouvez créer ces eceptions manuellement ou placer les clients en mode adaptatif et leur permettre de créer des règles d'eception client. Pour garantir que certaines signatures ne sont jamais ignorées, modifiez la signature et désactivez les options Autoriser les règles du client. Vous pouvez suivre les eceptions du client sur la console epolicy Orchestrator et les visualiser dans une vue normale, filtrée et agrégée. Utilisez ces règles de client pour créer de nouvelles stratégies ou ajoutez-les à des stratégies eistantes que vous pouvez appliquer à d'autres clients. Les clients Host Intrusion Prevention contiennent un ensemble de règles de signature IPS qui déterminent si l'activité de l'ordinateur client est bienveillante ou malveillante. Lorsqu'une activité malveillante est détectée, des alertes identifiées comme des événements sont envoyées au serveur epo et s'affichent dans l'onglet Host IPS sous Rapports. Le niveau de protection des signatures défini dans la stratégie de protection IPS détermine l'action du client en cas d'événement. Les réactions incluent : ignorer, journaliser ou empêcher l'activité. Les événements résultant d'une activité légitime qui constituent de fau positifs peuvent être ignorés par la création d'une eception à la règle de signature ou par le marquage d'applications comme approuvées. Les clients en mode adaptatif créent automatiquement des eceptions, appelées règles de client. Les administrateurs peuvent créer manuellement des eceptions à tout moment. La surveillance des événements et des règles d'eception du client contribue à déterminer comment régler le déploiement pour offrir la protection IPS la plus efficace qui soit. 37

38 Configuration des stratégies IPS Activation de la protection IPS Règles de protection des applications Evénements Les règles de protection des applications assurent la protection des listes définies et générées de processus contre le Buffer Overflow en autorisant ou en bloquant l'accrochage API au niveau de l'utilisateur. La protection contre le Buffer Overflow est générique pour Host Intrusion Prevention et s'applique à tous les processus accrochés. La stratégie IPS contient une liste de règles de protection des applications par défaut pour les plates-formes Windows. Cette liste est mise à jour, si nécessaire, dès que vous installez une mise à jour de contenu. Vous pouvez automatiquement ajouter des applications de réseau et à base de services à cette liste si l'option «Inclure automatiquement des applications de réseau et à base de services dans la liste de protection des applications» est sélectionnée dans la stratégie Options IPS. Des événements IPS sont générés lorsqu'un client réagit à une signature déclenchée. Ils sont journalisés sous l'onglet Evénements de l'onglet Host IPS sous Rapports. Les administrateurs peuvent afficher et surveiller ces événements, afin d'analyser les violations de règles système. Ils peuvent ensuite ajuster les réactions au événements ou créer des eceptions ou des règles d'application sécurisée, afin de réduire le nombre d'événements et d'affiner les paramètres de protection. REMARQUE : le client Host Intrusion Prevention agrège les événements afin qu'aucun d'entre eu ne soit envoyé au serveur epo. Cela permet d'empêcher l'envoi répété sur le serveur de nombreu événements se produisant à des intervalles de moins de 20 secondes. Si un événement se reproduit après 20 secondes, un événement supplémentaire est rapporté. Les administrateurs peuvent afficher tous les événements dans l'onglet Host IPS sous Rapports, dans la console epo ou sur le système client. Activation de la protection IPS La stratégie Options IPS détermine la méthode d'application de la protection IPS. Elle propose des options pour les plates-formes Windows et non Windows. Pour toutes les plates-formes Les options suivantes sont disponibles pour les clients de toutes les plates-formes : Protection Host IPS activée : sélectionnez cette option pour activer la protection IPS via la mise en œuvre de règles Host IPS. REMARQUE : cette commande est également disponible directement sur le client. Mode adaptatif activé (les règles sont apprises automatiquement) : sélectionnez cette option pour activer le mode adaptatif, grâce auquel les clients créent des règles d'eception automatiquement pour autoriser un comportement bloqué. Utilisez ce mode temporairement lors du réglage d'un déploiement. REMARQUE : cette commande est également disponible directement sur le client. Conserver les règles de client eistantes lorsque cette stratégie est mise en œuvre : sélectionnez cette option pour conserver les règles d'eception créées sur le client, 38

39 Configuration des stratégies IPS Activation de la protection IPS soit automatiquement en mode adaptatif, soit manuellement sur un client Windows, lors de la mise en œuvre de cette stratégie. Pour les plates-formes Windows uniquement Les options suivantes sont disponibles pour les clients des plates-formes Windows uniquement : IPS réseau activé : sélectionnez cette option pour appliquer les règles IPS réseau. Cette option est disponible indépendamment de l'application des règles Host IPS. Bloquer automatiquement les intrus sur le réseau : sélectionnez cette option pour bloquer le trafic entrant et sortant sur un hôte jusqu'à sa suppression manuelle de la liste bloquée sur le client, pendant la durée indiquée (en minutes). Disponible uniquement si IPS réseau est activé. REMARQUE : ces commandes sont également disponibles directement sur le client. Conserver les hôtes bloqués : sélectionnez cette option pour permettre à un client de bloquer l'adresse IP d'un hôte conformément au paramètres définis sous «Bloquer automatiquement les intrus sur le réseau». Si cette option n'est pas sélectionnée, l'hôte est bloqué uniquement jusqu'à la prochaine mise en œuvre de la stratégie. Inclure automatiquement des applications de réseau et à base de services dans la liste de protection des applications : sélectionnez cette option pour permettre à un client d'ajouter automatiquement des applications à haut risque à la liste des applications protégées dans la stratégie Règles IPS. Protection IPS au démarrage activée : sélectionnez cette option pour appliquer un ensemble de règles de protection de fichier et de Registre codées en dur jusqu'au démarrage du service Host IPS sur le client. Sélection de stratégies Cette catégorie de stratégies contient une stratégie préconfigurée ainsi qu'une stratégie Ma stratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvez visualiser et dupliquer les stratégies préconfigurées ; vous pouvez créer, modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées. La stratégie préconfigurée présente les paramètres suivants : Stratégie McAfee par défaut Les protections Host IPS et IPS réseau sont désactivées et les options suivantes sont sélectionnées pour être appliquées lorsque la protection IPS est activée : Bloquer automatiquement les intrus sur le réseau pendant 10 minutes (Windows uniquement) Conserver les hôtes bloqués (Windows uniquement) Conserver les règles du client CONSEIL : pour activer la protection IPS sur les systèmes clients, l'administrateur Host Intrusion Prevention doit tout d'abord activer les options Host IPS et IPS réseau de cette stratégie, puis appliquer la stratégie au systèmes clients. La protection IPS n'est pas automatique sur les systèmes clients, comme c'était le cas dans les versions antérieures du produit. Configuration de la stratégie Options IPS Configurez des paramètres dans cette stratégie pour activer et désactiver la protection IPS ou pour appliquer le mode adaptatif. 39

40 Configuration des stratégies IPS Définition de la réaction relative au signatures IPS Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : IPS dans la liste Produit et Options IPS dans la liste Catégorie. La liste de stratégies s'affiche. 2 Dans la liste de stratégies Options IPS, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. REMARQUE : pour les stratégies modifiables, d'autres options sont disponibles : Renommer, Dupliquer, Supprimer et Eporter. Pour les stratégies non modifiables, les options disponibles sont les suivantes : Afficher et Dupliquer. 3 Dans la page Options IPS qui s'affiche, apportez toutes les modifications voulues, notamment au paramètres de statut, démarrage et IPS réseau, puis cliquez sur Enregistrer. Définition de la réaction relative au signatures IPS La stratégie Protection IPS définit le comportement de protection pour les différents niveau de gravité de signature. Les paramètres de cette stratégie indiquent au clients la réaction à adopter en cas d'attaque ou de comportement suspect. L'un des quatre niveau de gravité suivants est affecté à chaque signature : Elevé : signatures des menaces de sécurité ou des actions malveillantes clairement identifiables. Ces signatures sont spécifiques au eploits bien identifiés et sont principalement de nature non comportementale. Ces signatures doivent être bloquées sur tous les systèmes. Moyen : signatures d'activités comportementales pour lesquelles les applications fonctionnent en dehors de leur enveloppe. Ces signatures doivent être bloquées sur les systèmes critiques, ainsi que sur les serveurs web et les serveurs SQL Server. Faible : signatures d'activités comportementales où les ressources applicatives et système sont verrouillées et ne peuvent être modifiées. Le blocage de ces signatures améliore la sécurité du système sous-jacent, mais un réglage fin complémentaire est requis. Information : signatures d'activités comportementales pour lesquelles les ressources applicatives et système sont modifiées et peuvent indiquer un faible risque pour la sécurité ou une tentative d'accès à des informations système sensibles. A ce niveau, les événements se produisent lors de l'activité système normale et ne témoignent généralement d'aucune attaque. Ces niveau de gravité indiquent un danger potentiel pour le système et vous permettent de définir des réactions spécifiques pour les différents niveau de menace potentielle. Vous pouvez modifier ces niveau de gravité et les réactions associées à chaque signature. Par eemple, lorsqu'une activité suspecte est détectée, mais qu'elle ne risque pas de causer de problème, vous pouvez choisir la réaction Ignorer. Lorsqu'une activité paraît dangereuse, vous pouvez définir la réaction Empêcher. Sélection de stratégies Cette catégorie de stratégies contient si stratégies préconfigurées ainsi qu'une stratégie Ma stratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvez visualiser et dupliquer les stratégies préconfigurées ; vous pouvez créer, modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées. 40

41 Configuration des stratégies IPS Définition de la protection IPS Les stratégies préconfigurées incluent : Tableau 6 : Stratégies de protection IPS Nom Protection de base (McAfee par défaut) Protection améliorée Protection maimale Préparer pour la protection améliorée Préparer pour la protection maimale Avertissement Fonction Bloquer les signatures à gravité élevée et ignorer le reste. Bloquer les signatures à gravité élevée et moyenne et ignorer le reste. Bloquer les signatures à gravité élevée, moyenne et faible et journaliser le reste. Bloquer les signatures à gravité élevée, journaliser celles à gravité moyenne et ignorer le reste. Bloquer les signatures à gravité élevée et moyenne, journaliser celles à gravité faible et ignorer le reste. Journaliser les signatures à gravité élevée et ignorer le reste. Configuration de la stratégie Protection IPS Configurez des paramètres dans cette stratégie pour définir les réactions proactives pour les signatures d'un niveau de gravité précis. Les paramètres de cette stratégie indiquent au clients la réaction à adopter en cas d'attaque ou de comportement suspect. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : IPS dans la liste Produit et Protection IPS dans la liste Catégorie. 2 Dans la liste de stratégie Protection IPS qui s'affiche, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. REMARQUE : pour les stratégies modifiables, d'autres options telles que Renommer, Dupliquer, Supprimer et Eporter, sont disponibles. Pour les stratégies non modifiables, les options disponibles sont les suivantes : Afficher et Dupliquer. 3 Dans la page Protection IPS qui s'affiche, apportez toutes les modifications voulues, puis cliquez sur Enregistrer. Définition de la protection IPS La stratégie Règles IPS applique les mesures de prévention des intrusions. Cette stratégie est une stratégie à plusieurs instances : plusieurs instances peuvent donc être affectées. Chaque stratégie Règles IPS contient des détails configurables concernant les éléments suivants : Signatures Règles de protection des applications Règles d'eception Vous devez également consulter la page Host IPS sous Rapports pour utiliser : Evénements IPS 41

42 Configuration des stratégies IPS Définition de la protection IPS Règles IPS de client Sélection de stratégies Cette catégorie de stratégies contient une stratégie par défaut préconfigurée, qui fournit une protection IPS de base. Vous pouvez consulter et dupliquer la stratégie préconfigurée ; vous pouvez modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées que vous créez. Vous pouvez également affecter plusieurs instances de la stratégie à un ensemble de plusieurs règles de stratégies. Configuration de la stratégie Règles IPS Configurez des paramètres dans cette stratégie pour définir des signatures, des règles de protection des applications et des eceptions. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : IPS dans la liste Produit et Règles IPS dans la liste Catégorie. La liste de stratégies s'affiche. 2 Dans la liste de stratégies Règles IPS, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. REMARQUE : pour les stratégies modifiables, d'autres options sont disponibles : Renommer, Dupliquer, Supprimer et Eporter. Pour les stratégies non modifiables, les options disponibles sont les suivantes : Afficher et Dupliquer. 3 Dans la page Règles IPS qui s'affiche, apportez toutes les modifications voulues, puis cliquez sur Enregistrer. Pour en savoir plus, consultez les sections Configuration des signatures IPS, Configuration des règles IPS de protection des applications et Configuration des eceptions IPS. Affectation de plusieurs instances de la stratégie L'affectation d'une ou plusieurs instances de la stratégie à un groupe ou système de l'arborescence des systèmes epolicy Orchestrator offre une protection multiusage à stratégie unique. La stratégie Règles IPS et la stratégie Applications approuvées sont des stratégies à plusieurs instances : il est possible d'affecter plus d'une instance. Une stratégie à plusieurs instances peut s'avérer utile pour un serveur IIS, par eemple, car vous pouvez appliquer une stratégie générale par défaut, une stratégie de serveur et une stratégie IIS, ces deu dernières étant configurées pour cibler spécifiquement les systèmes cibles fonctionnant en tant que serveurs IIS. Lorsque vous affectez plusieurs instances, vous affectez un ensemble de tous les éléments de chaque instance de la stratégie. REMARQUE : la stratégie McAfee par défaut des Règles IPS et Applications approuvées est mise à jour en même temps que le contenu. Il est recommandé d'appliquer systématiquement ces deu stratégies afin de garantir une protection la plus à jour possible. Pour les stratégies à plusieurs instances, un lien Stratégie en cours s'affiche pour vous permettre de consulter les détails des instances de stratégie combinées. 42

43 Configuration des stratégies IPS Définition de la protection IPS Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Systèmes Arborescence des systèmes et sélectionnez un groupe dans l'arborescence des systèmes. REMARQUE : pour un système unique, sélectionnez un groupe de l'arborescence des systèmes contenant le système, puis dans l'onglet Systèmes, sélectionnez le système puis Actions Agent Modifier les stratégies sur un seul système. 2 Sous Stratégies affectées, sélectionnez McAfee Host Intrusion Prevention 8.0 : IPS/Général dans la liste Produit, puis pour Règles IPS/Applications approuvées, cliquez sur Modifier les affectations. 3 Dans la page Affectation de stratégie, cliquez sur Nouvelle instance de stratégie et sélectionnez une stratégie dans la liste Stratégies affectées pour l'instance de stratégie supplémentaire. Pour afficher l'effet combiné des jeu de règles à plusieurs instances, cliquez sur Afficher la stratégie en vigueur. 4 Cliquez sur Enregistrer pour enregistrer toutes les modifications. FAQ : Stratégies à plusieurs instances Host Intrusion Prevention propose deu stratégies à plusieurs instances : Règles IPS et Applications approuvées. Ces stratégies permettent l'application de plusieurs stratégies simultanément sur un seul client. Toutes les autres stratégies sont des stratégies à instance unique. Les versions McAfee par défaut de ces stratégies sont automatiquement mises à jour à chaque mise à jour de contenu de sécurité de Host Intrusion Prevention. C'est pourquoi ces stratégies doivent toujours être affectées au clients pour garantir l'application des mises à jour de contenu de sécurité. Lorsque plusieurs instances sont appliquées, il en résulte un ensemble d'instances appelé stratégie appliquée. Comment utiliser l'affectation de stratégies à emplacements multiples pour rationaliser mon déploiement? Tout d'abord, définissez les groupes d'utilisateurs impliqués dans le déploiement qui possèdent une propriété essentielle en commun indiquant quelles ressources protéger et quelles ressources nécessitent la création d'eceptions pour fonctionner correctement. Cette propriété peut être basée sur : Le service : chaque service doit requérir la protection d'un ensemble unique de ressources et d'eceptions pour un ensemble unique d'activités d'entreprise. L'emplacement : chaque emplacement peut posséder ses propres normes de sécurité ou un ensemble unique de ressources à protéger et requérir des eceptions pour les activités de l'entreprise. Le type d'ordinateur : chaque type d'ordinateur (ordinateur portable, stations de travail, serveurs) peut être doté d'un ensemble unique d'applications à protéger mais être autorisé à eécuter des fonctions commerciales essentielles. Ensuite, protégez les ressources et créez des eceptions et applications approuvées pour chaque groupe. Vous pouvez utiliser le mode adaptatif pour déterminer les ressources à protéger ou approuver pour un groupe donné. Puis, créez des instances de stratégies Règles IPS et Applications approuvées pour chaque groupe d'utilisateurs (une stratégie Règle IPS pour un service donné, une pour un emplacement et une pour un type d'ordinateur), et appliquez 43

44 Configuration des stratégies IPS Définition de la protection IPS l'instance appropriée. Sans stratégie Règles IPS à plusieurs instances, une combinaison de trois services, trois emplacements et trois types d'ordinateur requiert 27 stratégies ; avec l'approche à plusieurs instances, seules neuf sont nécessaires. Mais, les règles des différentes stratégies affectées se contredisent! Comment est calculée la stratégie appliquée? Il est possible qu'une règle, dans une instance, possède des paramètres contredisant ceu de la même règle dans une autre instance de stratégie. Host IPS contient des règles permettant de gérer ces conflits lors de l'établissement de la stratégie appliquée complète. Pour la stratégie Règles IPS : Le niveau de gravité appliqué pour une signature est le niveau personnalisé le plus élevé. L'ordre de priorité est le suivant : Elevé, Moyen, Faible, Informations, Désactivé. Si le niveau de gravité n'est pas personnalisé, la valeur par défaut est appliquée. Le statut de journal appliqué pour une signature est le statut de journal personnalisé. S'il est personnalisé dans deu stratégies Règles IPS appliquées ou plus, le statut de journal personnalisé activé a priorité sur le statut désactivé. Si le statut du journal n'est pas personnalisé, la valeur par défaut est appliquée. Le paramètre des règles de client appliqué pour une signature est le paramètre personnalisé. S'il est personnalisé dans deu stratégies Règles IPS appliquées ou plus, les règles de client personnalisées activées ont priorité sur les règles de client désactivées. Si le paramètre des règles de client n'est pas personnalisé, la valeur par défaut est appliquée. Le jeu d'eceptions appliqué est l'ensemble de toutes les eceptions appliquées. Pour la stratégie Applications Approuvées : Le jeu de stratégies Applications approuvées appliqué est l'ensemble de toutes les applications approuvées. Lorsque vous marquez une application comme approuvée pour IPS ou le pare-feu, la priorité est donnée à ce marquage même si la même application n'est pas marquée comme approuvée pour cette fonction dans une autre stratégie Applications approuvées affectée. Fonctionnement des signatures IPS Les signatures décrivent des menaces de sécurité, des méthodes d'attaque et des intrusions dans le réseau. Chaque signature possède un niveau de gravité par défaut, qui indique le danger potentiel représenté par une attaque : Elevé : signatures qui protègent contre les menaces de sécurité ou les actions malveillantes clairement identifiables. La plupart de ces signatures sont spécifiques au eploits bien identifiés et sont principalement de nature non comportementale. Elles doivent être bloquées sur tous les hôtes. Moyen : signatures de nature comportementale et empêchant les applications d'effectuer des actions en dehors de leur environnement (pertinent pour les clients protégeant les serveurs web et Microsoft SQL Server 2000). Sur les serveurs critiques, vous pouvez choisir de bloquer ces signatures après un réglage fin. Faible : signatures de nature comportementale et concernant le blindage des applications. Le blindage consiste à verrouiller les ressources applicatives et système afin qu'elles ne puissent pas être modifiées. Le blocage de ces signatures améliore la sécurité du système sous-jacent, mais un réglage fin complémentaire est requis. Information : signale une modification de la configuration du système entraînant un faible risque pour la sécurité ou bien une tentative d'accès au informations système sensibles. A 44

45 Configuration des stratégies IPS Définition de la protection IPS ce niveau, les événements se produisent lors de l'activité système normale et ne témoignent généralement d'aucune attaque. Types de signatures La stratégie Règles IPS peut contenir trois types de signatures : Signatures Host IPS : signatures Host Intrusion Prevention par défaut. Signatures IPS personnalisées : signatures Host Intrusion Prevention personnalisées que vous créez. Signatures IPS réseau : signatures de prévention des intrusions réseau par défaut. Signatures Host IPS Les signatures de prévention des intrusions basées sur l'hôte détectent et bloquent les attaques contre le système, et contiennent les règles Fichier, Registre, Service et HTTP. Elles sont développées par les eperts en sécurité Host Intrusion Prevention et fournies avec le produit et avec des mises à jour de contenu. Chaque signature possède une description et un niveau de gravité par défaut. S'il possède les privilèges appropriés, l'administrateur peut modifier le niveau de gravité d'une signature. Lors de leur déclenchement, les signatures basées sur l'hôte génèrent un événement IPS qui s'affiche dans l'onglet Evénements de l'onglet Host IPS sous Rapports. Signatures IPS personnalisées Les signatures personnalisées sont des signatures basées sur l'hôte que vous pouvez créer pour renforcer la protection par défaut. Par eemple, lorsque vous créez un nouveau dossier contenant des fichiers importants, vous pouvez créer une signature personnalisée pour le protéger. REMARQUE : vous ne pouvez pas créer des signatures personnalisées basées sur le réseau. Signatures IPS réseau Les signatures de prévention d'intrusion basées sur le réseau détectent et bloquent les attaques réseau connues survenant sur le système hôte. Elles s'affichent dans la même liste de signatures que les signatures basées sur l'hôte. Chaque signature possède une description et un niveau de gravité par défaut. S'il possède les privilèges appropriés, l'administrateur peut modifier le niveau de gravité d'une signature. Vous pouvez créer des eceptions pour les signatures basées sur le réseau ; cependant, vous ne pouvez pas spécifier d'attributs supplémentaires tels que l'utilisateur du système d'eploitation ou le nom du processus. Les détails avancés contiennent les paramètres spécifiques au réseau, tels que les adresses IP, que vous pouvez spécifier. Les événements générés par les signatures basées sur le réseau s'affichent en même temps que les événements basés sur l'hôte, dans l'onglet Evénements ; ils présentent également le même comportement que les événements basés sur l'hôte. Pour utiliser des signatures, cliquez sur l'onglet Signatures dans la stratégie Règles IPS. Configuration des signatures IPS Modifiez les signatures par défaut, ajoutez des signatures personnalisées et déplacez des signatures vers une autre stratégie depuis l'onglet Signatures de la stratégie Règles IPS. 45

46 Configuration des stratégies IPS Définition de la protection IPS Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : IPS dans la liste Produit et Règles IPS dans la liste Catégorie. La liste de stratégies s'affiche. 2 Sous Actions, cliquez sur Modifier pour apporter des modifications sur la page Règles IPS, puis cliquez sur l'onglet Signatures. 3 Effectuez l'une des opérations suivantes : Pour... Trouver une signature dans la liste Modifier une signature Opérations à eécuter... Utilisez les filtres situés au-dessus de la liste de signatures. Il est possible d'effectuer un filtrage par gravité de signature, type, plate-forme, statut du journal, selon que des règles de client sont autorisées, ou un tete spécifique contenant le nom des signatures, des remarques ou la version du contenu. Cliquez sur Effacer pour supprimer les paramètres du filtre. Sous Actions, cliquez sur Modifier. Si la signature est une signature par défaut, modifiez les paramètres Niveau de gravité, Règles de client ou Statut du journal, et saisissez les éventuelles remarques sur la modification dans la zone Remarque. Cliquez sur OK pour enregistrer les modifications. Les paramètres des signatures par défaut modifiées peuvent être rétablis en cliquant sur Restaurer sous Actions. REMARQUE : lorsque vous modifiez une signature et enregistrez la modification, la signature est retriée dans la liste. Par conséquent, vous devrez peut-être rechercher la signature modifiée dans la liste. Si la signature est une signature personnalisée, modifiez les paramètres Niveau de gravité, Règles de client, Statut du journal ou Description, et saisissez les éventuelles remarques sur la modification dans la case Remarque. Cliquez sur OK pour enregistrer les modifications. REMARQUE : vous pouvez apporter des modifications à plusieurs signatures simultanément en sélectionnant les signatures et en cliquant sur Modifier plusieurs éléments. Dans la page qui s'affiche, sélectionnez les paramètres des trois éléments modifiables puis cliquez sur OK. Ajouter une signature Supprimer une signature personnalisée Cliquez sur Nouveau ou sur Nouveau (Assistant). Sous Actions, cliquez sur Supprimer. REMARQUE : seules les signatures personnalisées peuvent être supprimées. Copier une signature vers une autre stratégie Sélectionnez une signature et cliquez sur Copier vers pour la copier vers une autre stratégie. Indiquez la 46

47 Configuration des stratégies IPS Définition de la protection IPS Pour... Opérations à eécuter... stratégie vers laquelle vous souhaitez copier la signature et cliquez sur OK. REMARQUE : il est possible de copier plusieurs signatures en même temps en sélectionnant toutes les signatures avant de cliquer sur Copier vers. 4 Cliquez sur Enregistrer pour enregistrer les modifications éventuelles. Création de signatures personnalisées Créez des signatures Host Intrusion Prevention personnalisées depuis l'onglet Signatures de la stratégie Règles IPS pour protéger des opérations spécifiques non couvertes par les signatures par défaut. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Dans l'onglet Signatures de la stratégie Règles IPS, cliquez sur Nouveau. Une page Signature vierge s'affiche. 2 Dans l'onglet Signature IPS de la signature, saisissez un nom (requis) et sélectionnez la plate-forme, le niveau de gravité, le statut du journal et indiquez s'il faut autoriser la création de règles de client. Activez la case pour modifier les valeurs par défaut du niveau de gravité, des règles de client et du statut du journal. 3 Dans l'onglet Description, saisissez une description de l'élément protégé par la signature. Cette description s'affiche dans la boîte de dialogue Evénement IPS lorsque la signature est déclenchée. 4 Dans l'onglet Sous-règles, sélectionnez Nouvelle sous-règle standard ou Nouvelle sous-règle epert pour créer une règle. Méthode standard La méthode standard limite le nombre de types que vous pouvez inclure dans la règle de signature. Méthode epert La méthode epert, recommandée uniquement au utilisateurs epérimentés, vous permet de créer la syntae de la règle sans limiter le nombre de types à inclure dans la signature. Avant d'écrire une règle, assurez-vous de bien connaître la syntae appropriée. 1 Nommez la signature (requis) et choisissez un type de classe de règle. Options possibles : Files, Hook, HTTP, Program, Registry, Services et SQL. 1 Saisissez la syntae de la règle pour les signatures, lesquelles peuvent inclure un nom pour la règle. Utilisez le format ANSI et la syntae TCL. 2 Spécifiez les opérations de classe bloquées qui déclenchent la signature. 2 Cliquez sur OK et la règle est ajoutée à la liste en haut de l'onglet Sous-règle. La règle est 3 Indiquez si vous voulez inclure ou eclure un paramètre particulier, le paramètre en question et sa valeur. 4 Incluez un eécutable en tant que paramètre avec des informations sur l'une des quatre valeurs suivantes au moins : description du fichier, nom de fichier, empreinte de hachage MD5 ou signataire. 5 Cliquez sur OK et la règle est ajoutée à la liste en haut de l'onglet Sous-règle. La règle est compilée et la syntae est vérifiée. Si la compilée et la syntae est vérifiée. Si la vérification de la règle échoue, une boîte de dialogue décrivant l'erreur s'affiche. Corrigez l'erreur et vérifiez à nouveau la règle. 47

48 Configuration des stratégies IPS Définition de la protection IPS Méthode standard vérification de la règle échoue, une boîte de dialogue décrivant l'erreur s'affiche. Corrigez l'erreur et vérifiez à nouveau la règle. Méthode epert Pour en savoir plus sur l'utilisation des types de classes, opérations et paramètres, consultez la section appropriée dans Création d'eceptions et de signatures personnalisées. 5 Cliquez sur OK. REMARQUE : vous pouvez inclure plusieurs règles dans une signature. Création de signatures personnalisées à l'aide d'un Assistant Utilisez l'assistante de signature personnalisée pour simplifier la création des signatures. REMARQUE : les signatures créées à l'aide de l'assistant n'offrent aucune fleibilité pour les opérations protégées par la signature car vous ne pouvez pas modifier, ajouter ou supprimer d'opérations. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Dans l'onglet Signatures de la stratégie Règles IPS, cliquez sur Nouveau (Assistant). 2 Dans l'onglet Informations de base, entrez un nom et sélectionnez la plate-forme, le niveau de gravité, le statut du journal et indiquez s'il faut autoriser la création de règles de client. Cliquez sur Suivant pour continuer. 3 Dans l'onglet Description, saisissez une description de l'élément protégé par la signature. Cette description s'affiche dans la boîte de dialogue Evénement IPS lorsque la signature est déclenchée. 4 Dans l'onglet Définition de la règle, sélectionnez l'élément à protéger des modifications et saisissez les détails afférents. 5 Cliquez sur OK. FAQ : Utilisation des caractères génériques dans les règles IPS Les règles Host IPS admettent l'utilisation de caractères génériques pour la saisie des valeurs de certains champs. Quels caractères génériques puis-je utiliser pour les valeurs de chemin et d'adresse? Pour les chemins de fichiers, clés de Registre, fichiers eécutables et URL, utilisez les caractères génériques suivants : Caractère? (point d interrogation) * (astérisque) ** (deu astérisques) Définition Caractère unique. Plusieurs caractères, ecepté / et \. A utiliser pour représenter le contenu au niveau racine d'un dossier, sans sous-dossier. Plusieurs caractères, y compris / et \. 48

49 Configuration des stratégies IPS Définition de la protection IPS Caractère (barre verticale) Définition Caractère générique d'échappement. REMARQUE : l'échappement correspondant à ** est * *. Quels caractères génériques puis-je utiliser pour toutes les autres valeurs? Pour les valeurs ne contenant habituellement aucune information de chemin avec barres obliques, utilisez les caractères génériques suivants : Caractère? (point d interrogation) * (astérisque) (barre verticale) Définition Caractère unique. Plusieurs caractères, y compris / et \. Caractère générique d'échappement. Quels caractères génériques puis-je utiliser pour les valeurs de sous-règle de signature epert? Pour toutes les valeurs, lors de la création d'uns sous-règle via la méthode epert : Caractère? (point d interrogation) * (astérisque) & (esperluette)! (point d eclamation) Définition Caractère unique. Caractères multiples, y compris / et \. Eemple : files { Include C:\*.tt } Caractères multiples, sauf / et \. A utiliser pour représenter le contenu au niveau racine d'un dossier, mais pas des sous-dossiers. Eemple : files { Include C:\test\\&.tt } Caractère générique d'échappement. Eemple : files { Include C:\test\\yahoo!.tt } Fonctionnement des règles IPS de protection des applications Les règles de protection des applications déterminent quels processus reçoivent la protection générique contre le Buffer Overflow de la part de Host Intrusion Prevention. Ces règles autorisent ou bloquent l'accrochage API au niveau de l'utilisateur pour des listes de processus définies et générées. L'accrochage de fichiers et de Registre au niveau du noyau n'est pas affecté. Seuls les processus de la liste dont le statut d'inclusion est inclus bénéficient de la protection contre le Buffer Overflow. Host Intrusion Prevention fournit une liste statique de processus autorisés ou bloqués. Cette liste est mise à jour avec les versions de mise à jour du contenu qui s'appliquent dans la stratégie Règles IPS McAfee par défaut. En outre, les processus autorisés pour l'accrochage sont ajoutés de façon dynamique à la liste lorsque l'analyse des processus est activée. Cette analyse est effectuée dans les circonstances suivantes : chaque fois que le client est démarré et que les processus en cours d'eécution sont énumérés ; chaque fois qu'un processus démarre ; chaque fois que la liste de protection des applications est mise à jour par le serveur epolicy Orchestrator ; 49

50 Configuration des stratégies IPS Définition de la protection IPS chaque fois que la liste des processus qui écoutent sur un port réseau est mise à jour. REMARQUE : pour la mise à jour dynamique de la liste, l'option de stratégie Options IPS permettant d'«inclure automatiquement des applications de réseau et à base de services dans la liste de protection des applications» doit être sélectionnée. Cette option inclut de manière implicite toutes les applications et tous les services Windows à l'écoute sur les ports réseau. Cette analyse implique la vérification préalable de l'eclusion du processus de la liste de protection des applications. S'il n'est pas eclu, elle vérifie ensuite si le processus est inclus à la liste de protection des applications. S'il n'y est pas inclus, le processus est analysé pour définir s'il écoute sur un port réseau ou s'il s'eécute comme un service. Dans le cas contraire, l'accrochage est bloqué et le processus n'est pas protégé ; s'il écoute sur un port ou s'il s'eécute comme un service, l'accrochage est autorisé et le processus est protégé. Figure 1 : Analyse des règles de protection des applications Le composant IPS garde en mémoire cache les informations concernant les processus en cours d'eécution, permettant ainsi de suivre les informations d'accrochage. Le composant pare-feu 50

51 Configuration des stratégies IPS Définition de la protection IPS détermine si un processus écoute sur un port réseau, appelle une API eportée par le composant IPS et transmet les informations à l'api pour les ajouter à la liste surveillée. Lorsqu'il appelle l'api, le composant IPS localise l'entrée correspondante dans sa liste des processus en cours d'eécution. Un processus qui n'est pas déjà accroché et qui ne fait pas partie de la liste bloquée statique est alors accroché. Le pare-feu fournit le PID (ID de processus), essentiel pour rechercher un processus dans le cache. L'API eportée par le composant IPS permet également à l'interface utilisateur du client de récupérer la liste des processus actuellement accrochés, mise à jour dès qu'un processus est accroché ou décroché. L'accrochage d'un processus est désactivé si le serveur envoie une liste de processus mise à jour, qui spécifie que le processus déjà accroché ne doit pas le rester. Lorsque la liste d'accrochage des processus est mise à jour, chaque processus répertorié dans le cache des processus en cours d'eécution est comparé avec la nouvelle liste. Si la liste indique qu'un processus doit être accroché et qu'il ne l'est pas encore, ce processus est alors accroché. Si la liste indique qu'un processus ne doit pas être accroché et qu'il l'est déjà, l'accrochage de ce processus est alors désactivé. Les listes d'accrochage des processus peuvent être affichées et modifiées dans l'onglet Règles de protection des applications. L'interface utilisateur du client, contrairement à l'affichage de la stratégie Règles IPS, contient une liste de tous les processus d'application accrochés. REMARQUE : pour empêcher l'injection d'un fichier DLL dans un eécutable lors de l'utilisation de hook:set_windows_hook, incluez l'eécutable dans la liste de protection des applications. Configuration des règles IPS de protection des applications Modifiez, ajoutez et supprimez des règles et déplacez des règles vers une autre stratégie depuis l'onglet Règles de protection d'applications IPS au niveau de la stratégie Règles IPS. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : IPS dans la liste Produit et Règles IPS dans la liste Catégorie. La liste de stratégies s'affiche. 2 Sous Actions, cliquez sur Modifier pour apporter des modifications sur la page Règles IPS, puis cliquez sur l'onglet Règles de protection des applications. 3 Effectuez l'une des opérations suivantes : Pour... Trouver une règle d'application dans la liste Modifier une règle d'application Ajouter une règle d'application Supprimer une règle d'application Opérations à eécuter... Utilisez les filtres situés au-dessus de la liste d'applications. Vous pouvez effectuer un filtrage en fonction du statut de la règle, de son inclusion ou d'un tete spécifique contenant un nom de processus, un chemin de processus ou un nom d'ordinateur. Cliquez sur Effacer pour supprimer les paramètres du filtre. Sous Actions, cliquez sur Modifier. Cliquez sur Nouveau. Sous Actions, cliquez sur Supprimer. Copier une règle d'application vers une autre stratégie Sélectionnez une règle et cliquez sur Copier vers pour la copier vers une autre stratégie. Indiquez la stratégie 51

52 Configuration des stratégies IPS Définition de la protection IPS Pour... Opérations à eécuter... vers laquelle vous souhaitez copier la règle et cliquez sur OK. REMARQUE : il est possible de copier plusieurs règles en même temps en sélectionnant toutes les règles avant de cliquer sur Copier vers. 4 Cliquez sur Enregistrer pour enregistrer les modifications éventuelles. Création de règles de protection des applications Si la stratégie Règles IPS ne contient pas la règle de protection des applications dont vous avez besoin dans votre environnement, vous pouvez en créer une. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Dans l'onglet Règles de protection des applications de la stratégie Règles IPS, effectuez l'une des actions suivantes : Cliquez sur Nouveau. Une page Application vierge s'affiche. Sélectionnez une règle et cliquez sur Dupliquer. Après avoir nommé et enregistré la nouvelle règle, cliquez sur Modifier. 2 Saisissez le nom (requis), le statut, indiquez si la règle d'application est incluse dans la liste de protection, et les fichiers eécutables auquels vous souhaitez appliquer la règle. REMARQUE : vous pouvez ajouter un fichier eécutable eistant à partir du catalogue Host IPS en cliquant sur Ajouter depuis le catalogue. Pour en savoir plus sur le catalogue, consultez la section Fonctionnement du catalogue Host IPS sous Configuration des stratégies de pare-feu. 3 Cliquez sur Enregistrer. Fonctionnement des eceptions IPS Parfois, le comportement normal d'un utilisateur, dans le cadre de son travail, peut être interprété comme une attaque. Ce phénomène s'appelle un fau positif. Pour éviter les fau positifs, créez une eception pour ce comportement spécifique. Les eceptions vous permettent de réduire les fau positifs, de limiter les transferts de données inutiles vers la console et de garantir que les alertes correspondent à des menaces de sécurité véritables. Par eemple, lors des procédures de test des clients, un client reconnaît la signature Enveloppe Outlook Modification suspecte d'un fichier eécutable. Cette signature indique que l'application de messagerie électronique Outlook tente de modifier une application en dehors de l'enveloppe de ses ressources habituelles. Un événement déclenché par cette signature est donc la cause d'une alerte, car il est possible qu'outlook soit en train de modifier une application n'étant généralement pas associée à la messagerie électronique, par eemple Notepad.ee. Dans ce cas, vous pouvez raisonnablement suspecter qu'un cheval de Troie a pénétré le système. Toutefois, si le processus qui a déclenché l'événement est normalement responsable de l'envoi 52

53 Configuration des stratégies IPS Définition de la protection IPS des messages électroniques, par eemple, l'enregistrement d'un fichier avec Outlook.ee, vous devez créer une eception autorisant cette action. CONSEIL : si vous créez une signature personnalisée empêchant la modification de fichiers (modification, renommage, suppression) dans un dossier particulier mais que vous souhaitez autoriser une application à effectuer des modifications, créez une eception pour autoriser cette application à modifier les fichiers. Vous pouvez également ajouter ce paramètre dans la sous-règle de la signature personnalisée en définissant l'application concernée sur Eclure. Configuration des eceptions IPS Modifiez, ajoutez et supprimez des eceptions et déplacez des eceptions vers une autre stratégie depuis l'onglet Eceptions des règles IPS au niveau de la stratégie Règles IPS. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : IPS dans la liste Produit et Règles IPS dans la liste Catégorie. La liste de stratégies s'affiche. 2 Sous Actions, cliquez sur Modifier pour apporter des modifications sur la page Règles IPS, puis cliquez sur l'onglet Règles d'eception. 3 Effectuez l'une des opérations suivantes : Pour... Trouver une règle d'eception dans la liste Modifier une règle d'eception Ajouter une règle d'eception Supprimer une règle d'eception Copier une règle d'eception vers une autre stratégie Opérations à eécuter... Utilisez les filtres situés au-dessus de la liste d'eceptions. Vous pouvez également effectuer un filtrage en fonction du statut de la règle, de la date de modification ou d'un tete spécifique contenant la règle ou des remarques. Cliquez sur Effacer pour supprimer les paramètres du filtre. Sous Actions, cliquez sur Modifier. Cliquez sur Nouveau. Sous Actions, cliquez sur Supprimer. Sélectionnez une règle et cliquez sur Copier vers pour la copier vers une autre stratégie. Indiquez la stratégie vers laquelle vous souhaitez copier la règle et cliquez sur OK. REMARQUE : il est possible de copier plusieurs règles en même temps en sélectionnant toutes les règles avant de cliquer sur Copier vers. 4 Cliquez sur Enregistrer pour enregistrer les modifications. Création de règles d'eception Pour autoriser un comportement empêché par une signature, créez une eception pour cette signature. Ceci peut supposer la définition de valeurs et de paramètres d'eception. Pour plus d'informations sur ce point, consultez la section Création d'eceptions et de signatures personnalisées. 53

54 Configuration des stratégies IPS Surveillance des événements IPS Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Dans l'onglet Règles d'eception de la stratégie Règles IPS, cliquez sur Nouveau. 2 Attribuez un nom à l'eception, assurez-vous qu'elle est activée, puis incluez les signatures auquelles elle s'applique. 3 Définissez les fichiers eécutables, paramètres ou groupes de domaines jouant un rôle d'eception comportementale dans la signature. 4 Cliquez sur Enregistrer. Surveillance des événements IPS Un événement IPS est déclenché lorsqu'une violation de sécurité, telle que définie par une signature, est détectée et signalée au serveur epo. L'événement IPS s'affiche sur l'onglet Evénements de l'onglet Host IPS (ou dans l'onglet Journal des événements avec tous les autres événements relatifs à tous les autres produits managés par epolicy Orchestrator) sous Rapports, avec l'un des quatre critères de niveau de gravité : Elevé, Moyen, Faible et Informations. REMARQUE : lorsque deu événements sont déclenchés par la même opération, la réaction signature la plus forte est mise en œuvre. A partir de la liste des événements générés, vous pouvez déterminer les événements pouvant être autorisés et ceu qui indiquent un comportement suspect. Pour autoriser des événements, configurez le système comme suit : Eceptions : règles ignorant une règle de signature. Applications approuvées : applications marquées comme approuvées dont le fonctionnement pourrait autrement être bloqué par une signature. Ce processus de réglage réduit le nombre d'événements au minimum, libérant du temps pour analyser les événements sérieu qui se produisent. Réaction à des événements Dans certaines circonstances, le comportement normal d'un utilisateur, dans le cadre de son travail, peut être interprété comme une attaque. Lorsque cela se produit, vous pouvez créer une règle d'eception ou une règle d'application approuvée pour le comportement en question. La fonction de création d'eceptions et d'applications approuvées vous permet de réduire les fau positifs et garantit que les notifications que vous recevez sont pertinentes. Lors de la procédure de test des clients, il est possible que certains reconnaissent la signature d'accès à la messagerie électronique. Un événement déclenché par cette signature est généralement la cause d'une alerte. Des pirates peuvent installer des applications de cheval de Troie utilisant le port TCP/IP 25 généralement réservé au applications de messagerie électronique, et cette action serait alors détectée par la signature affectée à l'activité du port TCP/IP 25 (SMTP). Néanmoins, un trafic normal de courrier électronique peut également correspondre à cette signature. Lorsque vous rencontrez cette signature, recherchez le processus ayant déclenché l'événement. Si ce processus n'est pas habituellement associé à la messagerie électronique, par eemple Notepad.ee, vous pouvez raisonnablement suspecter l'implantation d'un cheval de Troie. Si le processus qui a déclenché l'événement est habituellement responsable de l'envoi des courriers électroniques (par eemple Outlook), créez une eception pour cet événement. 54

55 Configuration des stratégies IPS Surveillance des événements IPS Il est également possible qu'un certain nombre de clients déclenchent une signature de programmes de démarrage, ce qui indique la modification ou la création d'une valeur dans les clés de Registre : HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Etant donné que les valeurs stockées dans ces clés indiquent des programmes eécutés au démarrage de l'ordinateur, la reconnaissance de cette signature peut indiquer que quelqu'un tente d'altérer votre système. Cela peut également simplement signifier que l'un des employés de la société est en train d'installer WinZip sur son ordinateur. L'installation de WinZip ajoute une valeur à la clé de Registre Run. Pour éviter que des événements ne se déclenchent à chaque fois que quelqu'un installe un logiciel autorisé, vous pouvez créer des eceptions à ces événements. Filtrage et agrégation des événements L'application de filtres génère une liste d'événements qui satisfont la totalité des variables définies dans les critères de filtrage. Il en résulte une liste d'événements incluant tous les critères. L'agrégation des événements génère une liste d'événements regroupés selon la valeur associée à chacune des variables sélectionnées dans la boîte de dialogue «Sélectionner les colonnes à agréger». Il en résulte une liste d'événements affichés en groupes et triés selon la valeur associée au variables sélectionnées. Gestion des événements IPS L'affichage des événements IPS provenant des clients et leur utilisation pour créer des eceptions ou des applications approuvées permettent de régler et de renforcer la sécurité. REMARQUE : les événements IPS s'affichent également dans l'onglet Journal des événements sous Rapports, combinés à tous les autres événements de la totalité des systèmes. L'accès au onglets Evénements sous Rapports nécessite des ensembles d'autorisations supplémentaires, notamment des autorisations de consultation pour l'accès au journal des événements, au systèmes et à l'arborescence des systèmes. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Rapports Host IPS 8.0, puis cliquez sur Evénements. 2 Dans l'arborescence des systèmes, sélectionnez le groupe dont vous souhaitez afficher les événements IPS. Tous les événements associés au groupe s'affichent. Par défaut, tous les événements ne s'affichent pas. Seuls les événements survenus au cours des 30 derniers jours s'affichent. 3 Déterminez l'affichage souhaité de la liste d'événements : Pour... Sélectionner les colonnes à afficher Trier par colonne Filtrer par groupes Opérations à eécuter... Sélectionnez Options Choisir les colonnes. Dans la page Sélectionner les colonnes, ajoutez, supprimez ou réorganisez les colonnes à afficher. Cliquez sur l'en-tête de colonne. Dans le menu Filtres, sélectionnez Ce groupe uniquement ou Ce groupe et tous les sous-groupes. 55

56 Configuration des stratégies IPS Surveillance des événements IPS Pour... Filtrer par critères d'événements Agréger des eceptions Afficher les détails de l'événement Opérations à eécuter... Sélectionnez le type d'événement, le statut marqué (lu, non lu, masqué, non masqué), le niveau de gravité ou la date de création. Cliquez sur Effacer pour supprimer les paramètres du filtre. Cliquez sur Agréger, sélectionnez les critères selon lesquels agréger des événements, puis cliquez sur OK. Cliquez sur Effacer pour supprimer les paramètres d'agrégation. Cliquez sur l'événement. La page des détails du journal des événements s'affiche. 4 Marquez les événements pour faciliter leur filtrage et leur suivi : activez la case à cocher d'un ou de plusieurs événements, puis sélectionnez la commande appropriée. Sélectionnez... Actions Marquer comme lu Actions Marquer comme non lu Actions Marquer comme masqué Actions Marquer comme non masqué Pour... Marquer l'événement comme lu Marquer un événement lu comme non lu Masquer l'événement Afficher les événements masqués. Remarque : vous devez d'abord filtrer les événements masqués pour pouvoir les sélectionner. 5 Créez une règle d'eception ou d'application approuvée. Sélectionnez un événement et cliquez sur Actions Nouvelle eception pour créer une eception ; ou sélectionnez Actions Nouvelle application approuvée pour créer une règle d'application. Pour en savoir plus, consultez la section Création d'une eception à partir d'un événement ou Création d'une application approuvée à partir d'un événement. Création d'une eception à partir d'un événement Pour un événement affiché sous Rapports dans l'onglet Evénements de Host IPS 8.0 ou dans la page Journal des événements, vous avez la possibilité de créer une eception. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Activez la case de l'événement pour lequel vous souhaitez créer une eception. 2 Sélectionnez Actions Nouvelle eception. 3 Dans la boîte de dialogue qui s'affiche, sélectionnez une stratégie Règles IPS de destination et cliquez sur OK. L'eception est créée et ajoutée automatiquement à la fin de la liste d'eceptions de la stratégie Règles IPS de destination. Création d'une application approuvée à partir d'un événement Pour un événement affiché sous Rapports dans l'onglet Evénements de Host IPS 8.0 ou dans la page Journal des événements, vous avez la possibilité de créer une application approuvée. 56

57 Configuration des stratégies IPS Surveillance des règles IPS de client Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Activez la case de l'événement pour lequel vous souhaitez créer une application approuvée. 2 Sélectionnez Actions Nouvelle application approuvée. 3 Dans la boîte de dialogue qui s'affiche, sélectionnez une stratégie Application approuvée de destination et cliquez sur OK. L'eception est créée et ajoutée automatiquement à la fin de la liste d'eceptions de la stratégie Application approuvée de destination. Vous pouvez afficher ou modifier les détails de la nouvelle application à partir d'ici. Surveillance des règles IPS de client Vous devez analyser régulièrement les règles IPS pour le client créées automatiquement lorsque les clients sont en mode adaptatif, ou créées manuellement sur le client, à condition que l'option de stratégie Interface utilisateur du client autorise la création manuelle de règles de client. Les règles IPS de client sont des eceptions créées sur un client pour autoriser une fonctionnalité bloquée par une signature. Soyez particulièrement attentif au eceptions relatives à des signatures dont le niveau de gravité est élevé : ces dernières peuvent indiquer un problème sérieu ou simplement un fau positif. S'il s'agit d'un fau positif, déplacez l'eception vers une stratégie Règles IPS ou ajustez le niveau de gravité de la signature. REMARQUE : l'accès au règles IPS de client dans l'onglet Host IPS sous Rapports nécessite d'autres autorisations que celle relative à Host Intrusion Prevention (IPS), notamment des autorisations de consultation pour l'accès au journal des événements, au systèmes et à l'arborescence des systèmes. Vous pouvez trier, filtrer et agréger les eceptions et en afficher les détails. Vous pouvez ensuite promouvoir une partie ou la totalité des eceptions du client au rang de stratégie Règles IPS particulière pour réduire les fau positifs d'un environnement système particulier. Utilisez la fonction d'agrégation pour combiner les eceptions possédant les mêmes attributs, afin qu'une seule eception agrégée s'affiche, tout en indiquant le nombre de fois où les eceptions se sont produites. Cela vous permet de trouver facilement les zones à problèmes de la protection IPS sur les clients. Gestion des règles IPS de client L'affichage des règles IPS du client créées automatiquement en mode adaptatif ou créées manuellement sur un client, puis leur déplacement vers une stratégie Règles IPS ou Application approuvée permettent un réglage aisé de la protection IPS. REMARQUE : l'accès au règles IPS de client dans l'onglet Host IPS sous Rapports nécessite d'autres autorisations que celle relative à Host Intrusion Prevention (IPS), notamment des autorisations de consultation pour l'accès au journal des événements, au systèmes et à l'arborescence des systèmes. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Rapports Host IPS 8.0, puis sur Règles IPS de client. 2 Dans l'arborescence des systèmes, sélectionnez le groupe dont vous souhaitez afficher les règles de client. 57

58 Configuration des stratégies IPS Surveillance des règles IPS de client 3 Déterminez la manière dont vous souhaitez visualiser la liste d'eceptions client : Pour... Trier par colonne Filtrer par groupes Filtrer par critères d'eception Agréger des eceptions Opérations à eécuter... Cliquez sur l'en-tête de colonne. Dans le menu Filtres, sélectionnez Ce groupe uniquement ou Ce groupe et tous les sous-groupes. Sélectionnez les critères temporels ; saisissez un chemin de processus, un nom de processus, un nom d'utilisateur, un nom d'ordinateur ou un ID de signature dans la zone de tete de recherche puis appuyez sur Entrée. Cliquez sur Effacer pour supprimer les paramètres du filtre. Cliquez sur Agréger, sélectionnez les critères pour lesquels vous souhaitez agréger des eceptions, puis cliquez sur OK. Cliquez sur Effacer pour supprimer les paramètres d'agrégation. 4 Pour transférer des eceptions vers une stratégie, sélectionnez une ou plusieurs eceptions dans la liste, cliquez sur Créer une eception, puis indiquez la stratégie vers laquelle transférer les eceptions. 58

59 Configuration des stratégies de pare-feu Les stratégies de pare-feu Host Intrusion Prevention activent et désactivent la protection et fournissent des règles permettant de bloquer les intrusions réseau pouvant compromettre les données, les applications ou le système d'eploitation. Table des matières Présentation des stratégies Pare-feu Activer la protection par pare-feu Définir la protection par pare-feu Présentation des stratégies Pare-feu La fonction Pare-feu de Host Intrusion Prevention assure la sécurité en filtrant le trafic provenant et sortant de systèmes en réseau eécutant Windows. Le filtrage et l'inspection des paquets avec état identifient les paquets en fonction de différents types de conneions, et gardent en mémoire les attributs des conneions réseau du début à la fin de la transmission. Un catalogue Host IPS simplifie la création de règles en vous permettant d'ajouter des règles, groupes, options réseau, applications, eécutables et emplacements eistants à partir du catalogue, vers de nouvelles règles ou de nouveau groupes de pare-feu, ou vers des règles ou groupes eistants. Il permet également l'ajout de ces éléments vers le catalogue, élément par élément, ou par lots. Stratégies disponibles Il eiste trois stratégies de pare-feu : Options de pare-feu : active la protection par pare-feu. Elle permet d'activer et de désactiver la protection par pare-feu, de définir des paramètres de pare-feu avec état et d'activer une protection par pare-feu spéciale, en autorisant par eemple le trafic sortant uniquement avant le démarrage du service de pare-feu, et en bloquant l'usurpation d'adresse IP et le trafic malveillant. Règles de pare-feu : définit la protection par pare-feu. Elle comprend un jeu de règles qui définit le trafic autorisé et le trafic bloqué. Vous pouvez définir les règles largement (par eemple, tout le trafic IP) ou de manière plus étroite (par eemple, en identifiant une application ou un service spécifique), à l'aide d'options réseau, de transport, d'applications et de planification variées. Vous pouvez regrouper les règles d'après une fonction de travail, un service ou une application, pour une gestion simplifiée. A l'instar des règles, les groupes de règles peuvent être définis grâce à des options réseau, de transport, d'applications, de planification et d'emplacement. Blocage DNS du pare-feu : définit un ensemble de modèles de noms de domaine à bloquer, qui peuvent contenir des caractères génériques. Lorsqu'elle est mise en œuvre, cette stratégie 59

60 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu ajoute dynamiquement une règle placée vers le haut de la liste de règles de pare-feu qui empêche la résolution de l'adresse IP du domaine spécifié. Fonctionnement des règles de pare-feu Les règles de pare-feu déterminent la gestion du trafic réseau. Chaque règle fournit un ensemble de conditions que le trafic doit satisfaire ainsi qu'une action pour autoriser ou bloquer le trafic. Si Host Intrusion Prevention détecte un trafic correspondant au conditions d'une règle, il effectue l'action associée. Host Intrusion Prevention utilise un ordre de priorité pour appliquer les règles : la règle figurant en tête de la liste de règles de pare-feu prime. Si le trafic répond au conditions de cette règle, Host Intrusion Prevention l'autorise ou le bloque. Il n'essaye pas d'appliquer d'autres règles de la liste. En revanche, si le trafic ne répond pas au conditions de la première règle, Host Intrusion Prevention passe à la règle suivante dans la liste. Et ainsi de suite dans la liste de règles de pare-feu, jusqu'à ce qu'il trouve une règle correspondant au trafic. S'il n'en trouve aucune, le pare-feu bloque automatiquement le trafic. Si le mode d'apprentissage est activé, l'utilisateur est invité à choisir l'action à appliquer. Si le mode adaptatif est activé, une règle Autoriser est créée pour le trafic. Parfois, le trafic intercepté correspond à plusieurs règles de la liste. Dans ce cas, la priorité implique que Host Intrusion Prevention applique uniquement la première règle correspondante de la liste. Meilleures pratiques Lorsque vous créez ou personnalisez une stratégie de règles de pare-feu, placez les règles les plus spécifiques en tête de liste et les règles plus générales à la fin. Ainsi, Host Intrusion Prevention filtre correctement le trafic. Par eemple, pour autoriser toutes les requêtes HTTP sauf celles provenant d'une adresse spécifique (par eemple, l'adresse IP ), vous devez créer deu règles : Règle Bloquer : bloquer le trafic HTTP de l'adresse IP Cette règle est plus spécifique. Règle Autoriser : autoriser la totalité du trafic qui utilise le service HTTP. Cette règle est plus générale. Dans la liste de règles de pare-feu, vous devez placer la règle Bloquer, plus spécifique, avant la règle Autoriser, plus générale. Ainsi, lorsque le pare-feu intercepte la requête HTTP provenant de l'adresse , la première règle applicable est celle qui bloque le passage de ce trafic par le pare-feu. Si vous aviez placé la règle Autoriser, plus générale, plus haut dans la liste que la règle Bloquer, plus spécifique, Host Intrusion Prevention aurait associé toutes les requêtes HTTP à la règle Autoriser avant de trouver la règle Bloquer. Le trafic aurait donc été autorisé, même si vous vouliez bloquer la requête HTTP d'une adresse spécifique. Protocoles de pare-feu La protection par pare-feu couvre plusieurs couches de l'architecture réseau en recourant à divers critères pour limiter le trafic réseau. Cette architecture réseau est conçue sur la suite TCP/IP (Transmission Control Protocol/Internet Protocol). Couche de liaison Le protocole de couche de liaison décrit la méthode MAC (Media Access Control), ainsi que des fonctions de détection d'erreurs mineures. 60

61 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Les technologies LAN Ethernet (802.3), Wi-Fi sans fil (802.11), et LAN virtuel (VPN) se trouvent dans cette couche. Les règles et groupes de pare-feu font la distinction entre les liaisons filaires, sans fil et virtuelles. Couche réseau Les protocoles de couche réseau définissent les modèles d'adressage de l'ensemble du réseau, le routage et les modèles de contrôle du réseau. Il prend également en charge les protocoles non IP arbitraires mais ne peut détecter aucun paramètre de couche réseau ou transport leur correspondant. Au mieu, cela permet à l'administrateur de bloquer ou autoriser ces protocoles de couche réseau. Les numéros associés au protocoles non IP se basent sur les numéros Ethernet définis par l'iana (Internet Assigned Numbers Authority) et publiés à l'adresse Le pare-feu Host IPS offre la prise en charge totale des protocoles IPv4 et IPv6 sous Windows P, Windows Vista, Windows Server 2008 et Windows 7. Couches transport Le protocole IP peut être utilisé comme protocole réseau pour un certain nombre de protocoles de transport différents. En pratique, quatre protocoles sont couramment utilisés : TCP, UDP (User Datagram Protocol), ICMPv4 et ICMPv6 (Internet Control Message Protocol version 4 et version 6). TCP Le protocole TCP est un protocole de transport fiable orienté conneion. Il permet de garantir que les données contenues dans les paquets réseau sont remises de manière fiable et classée. Il contrôle également le tau de réception et de transmission des données. Cela suppose un certain temps d'eécution, ce qui rend le minutage des opérations TCP imprévisible lorsque les conditions réseau ne sont pas optimales. TCP constitue la couche transport de la grande majorité des protocoles d'application. HTTP, FTP, SMTP, RDP, SSH, POP et IMAP utilisent tous TCP. TCP multiplee les données entre les protocoles de la couche d'application via le concept de «ports». Chaque paquet TCP contient un numéro de port source et de destination, de 0 à En règle générale, le côté serveur d'une conneion TCP écoute les conneions sur un port fie. Les ports 0 à 1023 sont réservés en tant que «ports connus». Les numéros de cette plage sont généralement affectés à des protocoles par l'iana ( et la plupart des systèmes d'eploitation eigent des autorisations spéciales au niveau des processus pour écouter l'un de ces ports. Les règles de pare-feu sont habituellement conçues pour bloquer certains ports et en autoriser d'autres, limitant ainsi les activités pouvant survenir sur le réseau. UDP Le protocole UDP est un protocole de transport «au mieu», en mode non connecté. Il ne fournit aucune garantie en termes de fiabilité ou de classement des paquets et n'utilise pas de fonctions de contrôle de flu. En pratique, il présente quelques propriétés appréciables pour certaines classes de trafic. UDP est souvent utilisé comme protocole de transport pour les applications critiques pour les performances (qui peuvent appliquer certaines des fonctions de classement des paquets et de fiabilité TCP dans le protocole d'application) et pour les applications multimédias en temps réel, où la suppression d'un paquet entraîne simplement un problème temporaire dans le flu de données, ce qui est plus acceptable qu'un flu devant s'interrompre pour attendre une nouvelle 61

62 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu transmission. Les logiciels de vidéoconférence et de téléphonie IP utilisent souvent le protocole UDP, à l'instar de certains jeu vidéo multijoueurs. Le modèle de multipleage UDP est identique à celui du protocole TCP : chaque datagramme possède un port source et de destination, de 0 à ICMP Le protocole ICMP est utilisé en tant que canal de communication hors bande entre des hôtes IP. Ce protocole est utilisé lors des dépannages et est nécessaire au fonctionnement correct d'un réseau IP, puisque c'est lui qui génère les rapports d'erreur. IPv4 et IPv6 contiennent des variantes distinctes et non reliées entre elles du protocole ICMP. ICMPv4 est souvent simplement appelé ICMP. ICMPv6 est primordial dans un réseau IPv6, car il est utilisé dans le cadre de plusieurs tâches critiques, telles que la découverte de voisins (gérée par le protocole ARP dans un réseau IPv4). Il est fortement déconseillé au utilisateurs de bloquer le trafic ICMPv6 si l'ipv6 est pris en charge sur leur réseau. Plutôt que des numéros de port, les deu versions du protocole ICMP définissent une poignée de «types de messages». Les demandes avec écho et réponses avec écho sont utilisées pour le ping. Les messages «Destination inaccessible» indiquent des échecs de routage. ICMP met également en œuvre une fonction Traceroute, même si les protocoles UDP et TCP peuvent être utilisés à cette fin. Autres protocoles de transport IP prend en charge plus d'une centaine d'autres protocoles de transport, mais la plupart d'entre eu sont rarement utilisés. Néanmoins, la liste complète des protocoles reconnus par l'iana est prise en charge de façon minimale. Des règles peuvent être créées pour bloquer ou autoriser le trafic sur tous les protocoles de transport IP, même si le pare-feu ne prend pas en charge les mécanismes de multipleage parfois utilisés par ces protocoles. Plusieurs d'entre eu sont utilisés pour se superposer à d'autres types de réseau sur un réseau IP (tunnellisation réseau). Certains (notamment GRE, AH et ESP) sont utilisés pour le chiffrement IP et les VPN. Les numéros de protocoles IP sont répertoriés à l'adresse Protocoles communs non pris en charge Plusieurs protocoles réseau ne sont pas pris en charge par le pare-feu Host IPS. Le trafic provenant de ces protocoles, généralement dotés d'un EtherType non analysable, est soit toujours bloqué, soit toujours autorisé, en fonction de la sélection ou non de l'option «Autoriser le trafic associé à des protocoles non pris en charge» de la stratégie Options de pare-feu. Fonctionnement des groupes de règles de pare-feu Regroupez les règles de pare-feu pour simplifier la gestion. Les groupes de règles n'affectent en rien la manière dont Host Intrusion Prevention gère les règles au sein des groupes ; elles sont toujours traitées du haut vers le bas. Les groupes sont associés à de nombreu éléments associés au règles, notamment les options réseau, les options de transport, les applications et les planifications. De plus, les groupes possèdent des paramètres d'emplacement, qui vous permettent de créer des groupes selon l'emplacement ainsi qu'un isolement de conneion. Les paramètres du groupe sont traités avant 62

63 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu les paramètres des règles qu'il contient. En cas de conflit entre ces paramètres, ceu du groupe ont priorité. REMARQUE : si l'isolement de conneion est activé dans l'onglet Emplacement, un groupe ne peut pas être associé à des options et applications de transport. Création de groupes selon l'emplacement Host Intrusion Prevention vous permet de créer un groupe et les règles qu'il contient selon l'emplacement. Les onglets Emplacement et Options réseau du groupe vous permettent de créer des groupes selon les cartes réseau, afin que les ordinateurs avec plusieurs interfaces réseau puissent appliquer des règles spécifiques au adaptateurs. Après avoir activé le statut de l'emplacement et attribué un nom à l'emplacement, les paramètres des conneions autorisées peuvent inclure, pour chaque carte réseau, un ou tous les éléments suivants : Dans l'onglet Emplacement : Suffie DNS propre à la conneion Adresse IP de la passerelle IP DHCP Serveur DNS recevant les requêtes pour résoudre les URL Serveur WINS utilisé Clé de Registre Dans l'onglet Options réseau : Adresse IP locale Type de support Si deu groupes selon l'emplacement s'appliquent à une même conneion, Host Intrusion Prevention utilise la priorité normale et traite le premier groupe applicable dans sa liste de règles. Si aucune règle ne correspond dans le premier groupe, le traitement de règles continue à la recherche d'une correspondance dans le groupe suivant. Si Host Intrusion Prevention trouve une conneion active correspondant au paramètres d'un groupe selon l'emplacement, il applique les règles du groupe. Il traite les règles comme un petit ensemble de règles et utilise la priorité normale. Si certaines règles ne correspondent pas au trafic intercepté, le pare-feu les ignore. Remarque : Si l'option Statut de l'emplacement est sélectionnée, un nom d'emplacement est requis. Si l'option Réseau local est sélectionnée, l'adresse IP de l'adaptateur doit correspondre à l'une des entrées de la liste. Si l'option Suffie DNS est sélectionnée, le suffie DNS de l'adaptateur doit correspondre à l'une des entrées de la liste. Si l'option Passerelle par défaut est sélectionnée, l'ip passerelle de l'adaptateur par défaut doit correspondre à l'une des entrées de la liste au moins. Si l'option Serveur DHCP est sélectionnée, l'ip du serveur DHCP de l'adaptateur doit correspondre à l'une des entrées de la liste au moins. Si l'option Liste de serveurs DNS est sélectionnée, l'adresse IP du serveur DNS de l'adaptateur doit correspondre à n'importe quelle entrée de la liste. Si l'option Serveur WINS principal est sélectionnée, l'adresse IP du serveur WINS principal de l'adaptateur doit correspondre à l'une des entrées de la liste au moins. 63

64 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Si l'option Serveur WINS secondaire est sélectionnée, l'adresse IP du serveur WINS secondaire de l'adaptateur doit correspondre à l'une des entrées de la liste au moins. Isolement de conneion des groupes de règles de pare-feu Une option d'isolement de conneion peut être appliquée au groupes pour bloquer l'accès d'un trafic indésirable à un réseau spécifié. Cette option peut être appliquée via d'autres interfaces réseau actives sur un ordinateur, comme un adaptateur sans fil se connectant à un point d'accès sans fil Wi-Fi tandis qu'un adaptateur filaire est connecté à un LAN. Lorsque l'option Isoler cette conneion est sélectionnée dans les paramètres d'emplacement d'un groupe, et qu'une carte d'interface réseau active correspond au critères du groupe, les seuls types de trafic traités sont le trafic correspondant au règles Autoriser au-dessus du groupe dans la liste de règles de pare-feu, et le trafic correspondant au critères du groupe. Tout autre trafic est bloqué. REMARQUE : tout groupe dont l'isolement de conneion est activé ne peut pas être associé à des options ou applications de transport. Figure 2 : Isolement de conneion réseau 64

65 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Pour illustrer l'utilisation de l'option d'isolement de conneion, prenons pour eemples les deu environnements suivants : une entreprise et un hôtel. La liste des règles du pare-feu actif contient des règles et des groupes dans l'ordre suivant : 1 règles se rapportant à la conneion de base ; 2 règles de conneion VPN ; 3 groupe avec règles de conneion LAN pour l'entreprise ; 4 groupe avec règles de conneion VPN. Isolement de la conneion sur le réseau de l'entreprise Les règles de conneion sont traitées jusqu'à ce que le groupe contenant des règles de conneion LAN pour l'entreprise soit détecté. Ce groupe présente les paramètres suivants : Type de support = filaire Suffie DNS propre à la conneion = mycompany.com Adresse de passerelle par défaut Isoler cette conneion = oui L'ordinateur est équipé à la fois de cartes réseau LAN et sans fil et il se connecte au réseau de l'entreprise via une conneion filaire, mais l'interface sans fil reste active ; il se connecte donc à un point d'accès sans fil se trouvant en dehors du bureau. L'ordinateur se connecte au deu réseau car les règles concernant l'accès de base figurent en tête de la liste des règles de pare-feu. La conneion LAN filaire est active et remplit les critères du groupe LAN de l'entreprise. Le pare-feu traite le trafic passant par le LAN, mais du fait de l'activation de l'isolement de conneion, tous les autres trafics ne passant pas par le LAN sont bloqués. Isolement de conneion à l'hôtel Les règles de conneion sont traitées jusqu'à ce que le groupe contenant des règles de conneion VPN soit détecté. Ce groupe présente les paramètres suivants : Type de conneion = virtuelle Suffie DNS = vpn.mycompany.com Adresse IP = adresse dans une plage spécifique au concentrateur VPN Isoler cette conneion = oui Les règles de conneion générales autorisent la configuration d'un compte temporaire à l'hôtel pour avoir accès à Internet. Les règles de conneion VPN autorisent la conneion au tunnel VPN et son utilisation. Une fois le tunnel établi, le client VPN crée un adaptateur virtuel correspondant au critères du groupe VPN. Le trafic dans le tunnel VPN et le trafic de base sur l'adaptateur réel sont les seuls autorisés par le pare-feu. Si d'autres clients de l'hôtel tentent d'accéder à l'ordinateur via le réseau, avec une conneion filaire ou sans fil, ils sont bloqués. Fonctionnement du catalogue Host IPS Le catalogue Host IPS simplifie la création de règles et de groupes de pare-feu en vous permettant de référencer les règles, groupes, adresses réseau, applications, eécutables et données d'emplacement de groupe eistants. En outre, vous pouvez référencer les fichiers eécutables des applications impliquées dans la protection IPS. Lors du référencement d'un élément de catalogue, vous créez un lien de dépendance entre cet élément et une règle ou un groupe de pare-feu. Par conséquent, lorsqu'une modification est apportée à l'élément du catalogue, ce dernier est modifié partout où il est utilisé. Vous pouvez 65

66 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu également briser un lien entre l'élément du catalogue et une règle ou un groupe, pour supprimer la dépendance. Le catalogue Host IPS, se trouvant dans epolicy Orchestrator sous Stratégie, contient si pages répertoriant les éléments de règles et de groupes de pare-feu placés précédemment. Les éléments peuvent être créés individuellement dans le catalogue, ajoutés en les liant à ceu créés dans les nouveau groupes de pare-feu et groupes de règles, ou importés à partir d'eports ML de stratégies Règles de pare-feu. Les pages du catalogue comprennent : Groupe : liste de groupes de pare-feu et leurs propriétés Règle : liste de règles de pare-feu et leurs propriétés Application : liste d'applications pouvant être référencées dans un groupe ou une règle de pare-feu Fichier eécutable : liste des eécutables attachés au applications pouvant être référencés dans un groupe ou une règle de pare-feu ou dans des applications liées à IPS Réseau : liste d'adresses IP pouvant être référencées dans un groupe ou une règle de pare-feu Emplacement : liste d'informations spécifique au emplacements des groupes de pare-feu Tableau 7 : Catalogue Host IPS : source d'éléments Fonction Stratégie Elément de stratégie Elément du catalogue Dépendance Pare-feu Règles de pare-feu Règle de pare-feu Règle Oui Pare-feu Règles de pare-feu Groupe de pare-feu Groupe Oui Pare-feu Règles de pare-feu Emplacement de groupe de pare-feu Emplacement Oui Pare-feu Règles de pare-feu Règle/groupe de pare-feu Réseau Oui Pare-feu Règles de pare-feu Règle/groupe de pare-feu Application Oui Pare-feu Règles de pare-feu Application de règle/groupe de pare-feu Fichier eécutable Oui IPS Règles IPS Règle de protection des applications Fichier eécutable Non Général Applications approuvées Application approuvée Fichier eécutable Non Filtres de catalogue Chaque page du catalogue contient un filtre permettant de rechercher des éléments de la liste dans la page. Cliquez sur Afficher/masquer les options de filtre pour masquer ou afficher le filtre, cliquez sur Définir un filtre pour filtrer les éléments avec les critères entrés, cliquez sur Effacer pour réinitialiser le filtre. Copie à partir du catalogue Lors de l'utilisation du Générateur de règles de pare-feu ou du Générateur de groupes de pare-feu, cliquez sur le bouton Ajouter depuis le catalogue pour ajouter l'élément approprié à partir du catalogue. Cela permet de créer un lien de dépendance entre les éléments, qui peut être brisé à tout moment. 66

67 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Ajout au catalogue Il eiste trois méthodes d'ajout d'éléments au catalogue : Cliquez sur Nouveau dans la page du catalogue, saisissez les informations requises puis enregistrez l'élément. Cliquez sur Ajouter au catalogue en regard de l'élément lors de la création ou de la modification de règles ou de groupes via le Générateur de règles de pare-feu ou le Générateur de groupes de pare-feu. Cliquez sur Importer pour ajouter des données du catalogue Host IPS précédemment eportées au format.ml. REMARQUE : les eports du catalogue de stratégies au format.ml ne sont pas compatibles avec le format.ml du catalogue Host IPS. Par conséquent, vous ne pouvez pas eporter de stratégie Règles de pare-feu à partir du catalogue de stratégies et l'importer dans le catalogue Host IPS pour approvisionner ce dernier en données de règles de pare-feu à partir de la stratégie en question. Pour importer des données de stratégie de pare-feu dans le catalogue Host IPS, utilisez les liens Ajouter au catalogue. Filtrage et inspection des paquets du pare-feu avec état Le pare-feu de Host Intrusion Prevention offre des fonctions de filtrage et d'inspection des paquets avec état. Le filtrage des paquets avec état est le suivi avec état des informations de protocole TCP/UDP/ICMP sur la couche de transport 4 et inférieures de la pile réseau OSI. Chaque paquet est eaminé et, s'il correspond à une règle de pare-feu Autoriser eistante, il est autorisé et une entrée est créée dans une table d'état. La table d'état suit de façon dynamique les conneions correspondant précédemment à un jeu de règles statique et reflète l'état actuel de conneion des protocoles TCP/UDP/ICMP. Si un paquet inspecté correspond à une entrée eistante de la table d'état, il est autorisé sans autres vérifications. Lorsqu'une conneion est fermée ou arrive à epiration, son entrée est supprimée de la table d'état. L'inspection des paquets avec état est le processus des commandes de filtrage et de suivi des paquets avec état sur la couche Application 7 de la pile réseau. Cette combinaison propose une définition efficace de l'état de conneion de l'ordinateur. L'accès au commandes au niveau application permet une inspection et une sécurisation sans erreur du protocole FTP. Table d'état du pare-feu Un pare-feu avec état inclut une table d'état qui stocke de façon dynamique les informations sur les conneions actives créées par des règles d'autorisation. Chaque entrée de la table définit une conneion basée sur les éléments suivants : Protocole : méthode prédéfinie de communication d'un service avec un autre ; inclut les protocoles TCP, UDP et ICMP. Adresses IP d'ordinateur local et distant : une adresse IP unique est attribuée à chaque ordinateur. IPv4, la norme actuelle pour les adresses IP, accepte les adresses de 32 bits, alors qu'ipv6, une norme plus récente, accepte les adresses de 128 bits. IPv6 est déjà pris en charge par certains systèmes d'eploitation, tels que Windows Vista et plusieurs distributions Linu. Host Intrusion Prevention prend les deu normes en charge. Numéros de port d'ordinateur local et distant : un ordinateur envoie et reçoit des services par le biais de ports numérotés. Par eemple, le service HTTP est généralement 67

68 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu disponible sur le port 80 et les services FTP sur le port 21. Les numéros de port vont de 0 à ID de processus (PID) : identificateur unique pour le processus associé au trafic d'une conneion. Horodatage : heure du dernier paquet entrant ou sortant associé à la conneion. Délai d'epiration : limite de temps (en secondes), définie avec la stratégie Options de pare-feu, après laquelle l'entrée est supprimée de la table si aucun paquet correspondant à la conneion n'est reçu. Le délai d'epiration pour les conneions TCP est appliqué uniquement lorsque la conneion n'est pas établie. Direction : direction du trafic (entrant ou sortant) ayant déclenché l'entrée. Lorsqu'une conneion est établie, le trafic bidirectionnel est autorisé, même avec des règles unidirectionnelles, à condition que l'entrée corresponde au paramètres de la conneion dans la table d'état. Remarque à propos de la table d'état : Si les jeu de règles de pare-feu changent, toutes les conneions actives sont comparées au nouveau jeu de règles. En l'absence de règle correspondante, l'entrée de la conneion est supprimée de la table d'état. Si un adaptateur obtient une nouvelle adresse IP, le pare-feu reconnaît la nouvelle configuration IP et supprime toutes les entrées de la table d'état avec une adresse IP locale non valide. Lorsque le processus prend fin, toutes les entrées de la table d'état associées à un processus sont supprimées. Fonctionnement du filtrage avec état Le filtrage avec état implique le traitement d'un paquet par deu jeu de règles, un jeu de règles de pare-feu configurables et un jeu de règles de pare-feu dynamiques, ou table d'état. Les règles configurables peuvent agir de deu manières : Autoriser : le paquet est autorisé et une entrée est créée dans la table d'état. Bloquer : le paquet est bloqué et aucune entrée n'est créée dans la table d'état. Les entrées de la table d'état résultent de l'activité du réseau et reflètent l'état de la pile réseau. Chaque règle de la table d'état dispose d'une seule action, Autoriser, de sorte que tout paquet correspondant à une règle dans la table d'état est automatiquement autorisé. Le processus de filtrage comprend les éléments suivants : 1 Le pare-feu compare un paquet entrant avec les entrées de la table d'état. Si le paquet correspond à une entrée de la table, il est immédiatement autorisé. Si ce n'est pas le cas, la liste des règles de pare-feu configurables est eaminée. REMARQUE : une entrée de la table d'état est considérée comme correspondante si le protocole, l'adresse locale, le port local, l'adresse distante et le port distant correspondent à ceu du paquet. 2 Si le paquet correspond à une règle Autoriser, il est autorisé et une entrée est créée dans la table d'état. 3 Si le paquet correspond à une règle Bloquer, il est bloqué. 68

69 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu 4 Si le paquet ne correspond à aucune règle configurable, il est bloqué. Figure 3 : Processus de filtrage avec état Fonctionnement de l'inspection des paquets avec état L'inspection des paquets avec état associe le filtrage avec état et l'accès au commandes au niveau application, ce qui sécurise des protocoles comme FTP. Le protocole FTP implique deu conneions : contrôle pour les commandes et données pour les informations. Lorsqu'un client se connecte à un serveur FTP, le canal de contrôle est établi en arrivant sur le port de destination FTP 21 et une entrée est créée dans la table d'état. Si l'option d'inspection FTP a été définie avec la stratégie Options de pare-feu, lorsque le pare-feu trouve une conneion ouverte sur le port 21, il est capable d'effectuer une inspection des paquets avec état sur les paquets entrant via le canal de contrôle FTP. Si le canal de contrôle est ouvert, le client communique avec le serveur FTP. Le pare-feu analyse la commande PORT dans le paquet et crée une deuième entrée dans la table d'état pour autoriser la conneion de données. Lorsque le serveur FTP est en mode actif, il ouvre la conneion de données ; en mode passif, le client initie la conneion. Lorsque le serveur FTP reçoit la première commande de transfert de données (LIST), il ouvre la conneion de données vers le client et transfère les données. Le canal de données est fermé une fois la transmission achevée. La combinaison de la conneion de contrôle et d'une ou de plusieurs conneions de données est appelée session et les règles dynamiques FTP sont parfois qualifiées de règles de session. La session reste établie jusqu'à ce que l'entrée de son canal de contrôle soit supprimée de la 69

70 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu table d'état. Lors du nettoyage périodique de la table, si le canal de contrôle d'une session a été supprimé, toutes les conneions de données sont supprimées à leur tour. Suivi de protocole avec état Les types de conneions de protocoles surveillés par le pare-feu avec état et leur gestion sont résumés ici. Protocole UDP ICMPv4/v6 Description de la gestion Une conneion UDP est ajoutée à la table d'état lorsqu'une règle statique correspondante est trouvée et que l'action de la règle est Autoriser. Les conneions UDP génériques, qui acheminent les protocoles au niveau application inconnus du pare-feu, restent dans la table d'état tant que la conneion n'est pas inactive plus longtemps que le délai d'epiration spécifié. Seuls les types de messages Demande d'écho ICMP et Réponse d'écho ICMP sont suivis. REMARQUE : à la différence du protocole TCP orienté conneion et fiable, les protocoles UDP et ICMPv4/v6 sont des protocoles moins fiables, en mode non connecté. Pour sécuriser ces protocoles, le pare-feu considère les conneions UDP et ICMP génériques comme des conneions virtuelles, maintenues tant que la conneion n'est pas inactive plus longtemps que le délai d'epiration spécifié pour la conneion. Le délai d'epiration pour les conneions virtuelles est défini dans la stratégie Options de pare-feu. Lorsque vous utilisez IPv6, la fonctionnalité de pare-feu avec état est prise en charge uniquement sous Windows Vista et les plates-formes ultérieures. TCP DNS DHCP Le protocole TCP fonctionne sur le protocole de transfert en trois temps. Lorsqu'un ordinateur client initie une nouvelle conneion, il envoie un paquet à sa cible avec un bit SYN défini, indiquant une nouvelle conneion. La cible répond en envoyant un paquet au client avec un ensemble de bits SYN-ACK. Puis, le client répond en envoyant un paquet avec un ensemble de bits ACK et la conneion avec état est établie. Tous les paquets sortants sont autorisés, mais seuls les paquets entrants faisant partie de la conneion établie sont autorisés. Une eception se produit lorsque le pare-feu envoie d'abord une requête au protocole TCP et qu'il ajoute toutes les conneions préeistantes qui correspondent au règles statiques. Les conneions préeistantes dépourvues de règle statique correspondante sont bloquées. Le délai d'epiration de la conneion TCP, défini dans la stratégie Options de pare-feu, est appliqué uniquement lorsque la conneion n'est pas établie. Un deuième délai d'epiration TCP ou un délai d'epiration TCP forcé s'applique au conneions TCP établies uniquement. Ce délai d'epiration est contrôlé par un paramètre du Registre et a une valeur par défaut d'une heure. Toutes les quatre minutes, le pare-feu envoie une requête à la pile TCP et ignore les conneions non signalées par le protocole TCP. La correspondance entre la requête et la réponse garantit que les réponses DNS sont autorisées uniquement sur le port local à l'origine de la requête et uniquement depuis une adresse IP distante ayant reçu une requête dans l'intervalle du délai de conneion virtuelle UDP. Les réponses DNS entrantes sont autorisées si : la conneion dans la table d'état n'a pas epiré ; la réponse provient de la même adresse IP distante et du même port que ceu d'où provient la requête. La correspondance entre la requête et la réponse garantit que les paquets de retour sont autorisés uniquement pour les requêtes légitimes. Ainsi, les réponses DHCP entrantes sont autorisées si : la conneion dans la table d'état n'a pas epiré ; l'id de transaction de la réponse correspond à celui de la requête. FTP Le pare-feu effectue une inspection des paquets avec état sur les conneions TCP ouvertes sur le port 21. L'inspection a lieu uniquement sur le canal de contrôle, soit la première conneion ouverte sur ce port. L'inspection FTP est effectuée uniquement sur les paquets acheminant de nouvelles informations. Les paquets retransmis sont ignorés. Les règles dynamiques sont créées en fonction de la direction (client/serveur) et du mode (actif/passif) : 70

71 Configuration des stratégies de pare-feu Présentation des stratégies Pare-feu Protocole Description de la gestion Mode actif FTP client : le pare-feu crée une règle entrante dynamique après avoir analysé la commande PORT entrante, sous réserve de conformité de la commande PORT au RFC 959. La règle est supprimée lorsque le serveur initie la conneion de données ou lorsque la règle epire. Mode actif FTP serveur : le pare-feu crée une règle sortante dynamique après avoir analysé la commande PORT entrante. Mode passif FTP client : le pare-feu crée une règle sortante dynamique lorsqu'il lit la réponse de la commande PASV envoyée par le serveur FTP, à condition qu'il ait précédemment vu la commande PASV du client FTP et que la commande PASV soit conforme au RFC 959. La règle est supprimée lorsque le client initie la conneion de données ou lorsque la règle epire. Mode passif FTP serveur : le pare-feu crée une règle entrante dynamique. Incidence des modes d'apprentissage et adaptatif sur le pare-feu Lorsque vous activez le pare-feu, Host Intrusion Prevention surveille en permanence le trafic réseau envoyé et reçu par un ordinateur. Il autorise ou bloque le trafic, conformément à la stratégie Règles de pare-feu. Si le trafic ne satisfait à aucune règle eistante, il est automatiquement bloqué, à moins que le pare-feu ne fonctionne en mode d'apprentissage ou en mode adaptatif. En mode d'apprentissage, Host Intrusion Prevention affiche une alerte du mode d'apprentissage à chaque interception de trafic réseau inconnu. Cette alerte invite l'utilisateur à autoriser ou à bloquer tout trafic ne correspondant à aucune règle eistante et crée automatiquement des règles dynamiques pour ce type de trafic. Vous pouvez activer le mode d'apprentissage pour les communications entrantes uniquement, pour les communications sortantes uniquement, ou les deu. En mode adaptatif, Host Intrusion Prevention crée automatiquement une règle d'autorisation pour autoriser la totalité du trafic qui ne correspond à aucune règle Bloquer eistante et crée automatiquement des règles Autoriser dynamiques pour ce type de trafic. Pour en savoir plus sur l'utilisation du mode adaptatif avec le pare-feu, consultez la section FAQ : Mode adaptatif sous Gestion de votre protection. Par mesure de sécurité, lorsque le mode d'apprentissage ou le mode adaptatif est activé, les pings entrants sont bloqués, à moins qu'une règle Autoriser eplicite n'ait été créée pour le trafic ICMP entrant. De plus, le trafic entrant vers un port qui n'est pas ouvert sur l'hôte est bloqué, à moins qu'une règle Autoriser n'ait été eplicitement créée pour le trafic. Par eemple, si l'hôte n'a pas démarré le service Telnet, le trafic TCP entrant sur le port 23 (Telnet) est bloqué, même si aucune règle eplicite ne le bloque. Vous pouvez créer une règle Autoriser eplicite pour n'importe quel trafic. Host Intrusion Prevention affiche toutes les règles créées sur les clients à partir du mode d'apprentissage ou du mode adaptatif et permet à ces règles d'être enregistrées et migrées vers les règles d'administration. Filtrage avec état Lorsque le mode adaptatif ou d'apprentissage est appliqué avec le pare-feu avec état, le processus de filtrage crée une nouvelle règle pour gérer le paquet entrant. Le processus de filtrage est le suivant : 1 Le pare-feu compare un paquet entrant avec les entrées de la table d'état et ne trouve aucune correspondance, puis il eamine la liste des règles statiques et ne trouve aucune correspondance. 71

72 Configuration des stratégies de pare-feu Activer la protection par pare-feu 2 Aucune entrée n'est créée dans la table d'état, mais s'il s'agit d'un paquet TCP, il est placé dans une liste d'attente. Si ce n'est pas le cas, le paquet est rejeté. 3 Si de nouvelles règles sont autorisées, une règle Autoriser statique unidirectionnelle est créée. S'il s'agit d'un paquet TCP, une entrée est créée dans la table d'état. 4 Si de nouvelles règles ne sont pas autorisées, le paquet est rejeté. Règles de pare-feu pour le client Un client en mode d'apprentissage ou adaptatif crée les règles de pare-feu du client pour autoriser les activités bloquées. Les règles peuvent également être créées manuellement sur l'ordinateur client. Vous pouvez suivre les règles de client et les afficher dans une vue filtrée ou agrégée. Utilisez ces règles de client pour créer de nouvelles stratégies ou ajoutez-les à des stratégies eistantes. Filtrage et agrégation des règles L'application de filtres génère une liste de règles qui satisfont la totalité des variables définies dans les critères de filtrage. Il en résulte une liste de règles incluant tous les critères. L'agrégation des règles génère une liste de règles regroupées selon la valeur associée à chacune des variables sélectionnées dans la boîte de dialogue Sélectionner les colonnes à agréger. Il en résulte une liste de règles affichées en groupes et triées selon la valeur associée au variables sélectionnées. Activer la protection par pare-feu La stratégie Options de pare-feu active la protection par pare-feu et fournit les paramètres TrustedSource et les paramètres de pare-feu avec état. Paramètres générau Les options générales disponibles sont les suivantes : Activé : sélectionnez cette option pour activer le pare-feu, puis optez pour un type de protection : Standard (par défaut) : utilisez ce paramètre si vous n'êtes pas en cours de réglage d'un déploiement. Mode adaptatif : sélectionnez cette option pour créer automatiquement des règles d'autorisation de trafic. Utilisez ce mode temporairement lors du réglage d'un déploiement. Mode d'apprentissage : sélectionnez cette option pour créer des règles d'autorisation de trafic à partir d'une entrée d'utilisateur. Sélectionnez également cette option pour autoriser le trafic entrant et/ou sortant. Utilisez ce mode temporairement lors du réglage d'un déploiement. Autoriser le trafic associé à des protocoles non pris en charge : sélectionnez cette option pour autoriser tous les trafics utilisant des protocoles non pris en charge. Lorsque cette option est désactivée, tous les trafics utilisant des protocoles non pris en charge sont bloqués. Autoriser le trafic relié par un pont : sélectionnez cette option pour autoriser le trafic avec une adresse MAC locale qui n'est pas l'adresse MAC du système local, mais l'une des adresses MAC de la liste de machines virtuelles prises en charge par le pare-feu. Utilisez 72

73 Configuration des stratégies de pare-feu Activer la protection par pare-feu cette option pour autoriser le trafic via un environnement relié par un pont avec des machines virtuelles. Conserver les règles de client eistantes lorsque cette stratégie est mise en œuvre : sélectionnez cette option pour conserver les règles créées sur le client, automatiquement en mode adaptatif, suite à l'intervention de l'utilisateur en mode d'apprentissage ou manuellement sur un client, lors de la mise en œuvre de cette stratégie. Paramètres de protection Ces paramètres activent une protection par pare-feu spéciale : Autoriser uniquement le trafic sortant avant le démarrage du service Host IPS : sélectionnez cette option pour autoriser le trafic sortant, mais bloquer le trafic entrant jusqu'au démarrage du service de pare-feu Host IPS sur le client. Activer la protection contre l'usurpation d'adresse IP : sélectionnez cette option pour bloquer le trafic réseau provenant d'adresses IP hôtes non locales ou de processus locau tentant d'usurper leurs adresses IP. Envoi d'événements de violation TrustedSource vers epo : sélectionnez cette option pour envoyer des événements vers le serveur epo si le paramètre de seuil de blocage TrustedSource des trafics entrants et sortants correspond. Seuil de blocage TrustedSource entrant : sélectionnez dans la liste l'évaluation TrustedSource au niveau de laquelle bloquer le trafic entrant d'une conneion réseau. Options possibles : Risque élevé, Risque moyen, Non vérifié et Ne pas bloquer. Seuil de blocage TrustedSource sortant : sélectionnez dans la liste l'évaluation TrustedSource au niveau de laquelle bloquer le trafic sortant vers une conneion réseau. Options possibles : Risque élevé, Risque moyen, Non vérifié et Ne pas bloquer. Paramètres de pare-feu avec état Les paramètres de pare-feu avec état suivants sont disponibles : Inspection du protocole FTP : paramètre de pare-feu avec état, qui autorise le suivi des conneions FTP afin qu'elles ne nécessitent qu'une seule règle de pare-feu pour le trafic sortant du client FTP et une règle pour le trafic entrant du serveur FTP. Si cette option n'est pas sélectionnée, les conneions FTP ont besoin d'une règle supplémentaire pour le trafic entrant du client FTP et le trafic sortant du serveur FTP. Cette option doit toujours être sélectionnée. Délai de conneion TCP : durée, en secondes, pendant laquelle une conneion TCP non établie reste active si aucun autre paquet correspondant à la conneion n'est envoyé ou reçu. Délai de conneion d'écho virtuel UDP et ICMP : durée, en secondes, pendant laquelle une conneion virtuelle d'écho UDP ou ICMP reste active si aucun autre paquet correspondant à la conneion n'est envoyé ou reçu. Elle est réinitialisée à sa valeur configurée chaque fois qu'un paquet correspondant à la conneion virtuelle est envoyé ou reçu. Sélection de stratégies Cette catégorie de stratégies contient une stratégie préconfigurée ainsi qu'une stratégie Ma stratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvez consulter et dupliquer les stratégies préconfigurées ainsi que créer, modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées. La stratégie préconfigurée présente les paramètres suivants : 73

74 Configuration des stratégies de pare-feu Activer la protection par pare-feu Stratégie McAfee par défaut La protection par pare-feu est désactivée et les options suivantes sont sélectionnées pour application lors de l'activation du pare-feu : Autoriser le trafic relié par un pont Conserver les règles du client Activer la protection contre l'usurpation d'adresse IP Utiliser la fonction d'inspection du protocole FTP Configuration de la stratégie Options de pare-feu Configurez des paramètres dans cette stratégie pour activer et désactiver la protection par pare-feu ou pour appliquer le mode adaptatif ou d'apprentissage. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : Pare-feu dans la liste Produit et Options de pare-feu dans la liste Catégorie. La liste des stratégies s'affiche. 2 Dans la liste de stratégies Options de pare-feu, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. REMARQUE : pour les stratégies modifiables, d'autres options telles que Renommer, Dupliquer, Supprimer et Eporter, sont disponibles. Pour les stratégies non modifiables, les options disponibles sont les suivantes : Afficher et Dupliquer. 3 Dans la page Options de pare-feu qui s'affiche, modifiez les paramètres par défaut selon vos besoins, puis cliquez sur Enregistrer. FAQ : McAfee TrustedSource et le pare-feu Deu options de la stratégie Options de pare-feu vous permettent de bloquer le trafic entrant et sortant d'une conneion réseau jugée à haut risque par McAfee TrustedSource. Ce FAQ eplique le fonctionnement de TrustedSource et son incidence sur le pare-feu. TrustedSource : de quoi s'agit-il? TrustedSource est un système de renseignement mondial aé sur la réputation Internet qui distingue les bons des mauvais comportements sur Internet via une analyse en temps réel des tendances mondiales en termes de messagerie, activité web, logiciels malveillants (malwares) et comportement de système à système. D'après les données obtenues de l'analyse, TrustedSource calcule dynamiquement les scores de réputation qui représentent le niveau de risque auquel est eposé votre réseau lorsque vous accédez à une page web. Il en résulte une base de données de scores de réputation pour des adresses IP, des domaines, des messages spécifiques, des URL et des images. Fonctionnement Lorsque les options TrustedSource sont sélectionnées, deu règles de pare-feu sont créées : TrustedSource -- Autoriser le service Host IPS et TrustedSource -- Obtenir l'évaluation. La 74

75 Configuration des stratégies de pare-feu Définir la protection par pare-feu première règle autorise une conneion à TrustedSource et la seconde bloque ou autorise le trafic en fonction de la réputation de la conneion et du seuil de blocage défini. Qu'entendez-vous par «réputation»? Pour chaque adresse IP sur Internet, TrustedSource calcule une valeur de réputation d'après les comportements d'envoi ou d'hébergement et diverses données d'environnement relatives à l'état du paysage des cybermenaces qu'il collecte auprès de clients et partenaires, qu'il agrège et qu'il met en corrélation automatiquement. La réputation s'eprime en quatre classes : Risque minimal (Ne pas bloquer) : notre analyse indique qu'il s'agit d'une source ou d'une destination de contenu/trafic légitime. Non vérifié : notre analyse indique qu'il s'agit apparemment d'une source ou destination de contenu/trafic légitime, mais elle contient certaines propriétés suggérant la nécessité d'une inspection plus poussée. Risque moyen : notre analyse indique que cette source/destination présente un comportement que nous jugeons suspect et que son contenu/trafic requiert un eamen spécial. Risque élevé : notre analyse indique que cette source/destination envoie/héberge un contenu/trafic potentiellement malveillant et nous pensons que cela représente un risque sérieu. Cela entraîne-t-il des temps de latence? Cette latence sera-t-elle importante? Lorsque TrustedSource est contacté pour une recherche de réputation, il est inévitable qu'une certaine latence se produise. McAfee a fait son possible pour la réduire au maimum. Tout d'abord, le contrôle des réputations n'est effectué que lorsque les options correspondantes sont sélectionnées. Ensuite, une architecture de mémoire cache intelligente est utilisée. Dans les profils normau d'utilisation du réseau, la plupart des conneions souhaitées sont résolues par le cache sans requête de réputation active. Que se passe-t-il lorsque le pare-feu ne parvient pas à atteindre les serveurs TrustedSource? Le trafic s'arrête-t-il? Si le pare-feu ne parvient à atteindre aucun des serveurs TrustedSource, il affecte automatiquement à toutes les conneions applicables une réputation par défaut autorisée et l'analyse des règles suivantes se poursuit. Définir la protection par pare-feu Les règles de pare-feu déterminent les actions d'un système lorsqu'il intercepte un trafic réseau (autoriser ou bloquer). Vous pouvez créer et gérer des règles de pare-feu en appliquant une stratégie Règles de pare-feu et une stratégie Blocage DNS du pare-feu avec les paramètres appropriés. Sélections de la stratégie Règles de pare-feu La catégorie de stratégies Règles de pare-feu contient deu stratégies préconfigurées ainsi qu'une stratégie Ma stratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. 75

76 Configuration des stratégies de pare-feu Définir la protection par pare-feu Vous pouvez consulter et dupliquer la stratégie préconfigurée ainsi que modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées modifiables. Tableau 8 : Stratégies Règles de pare-feu préconfigurées Stratégie Utilisation Minimale (par défaut) Environnement d'entreprise standard Utilisez cette stratégie pour une protection minimale par défaut. Elle effectue les tâches suivantes : Bloque tout le trafic ICMP entrant susceptible d'être utilisé par un pirate pour rassembler des informations sur votre ordinateur. Host IPS autorise le reste du trafic ICMP. Autorise les requêtes de partage de fichiers Windows provenant d'ordinateurs du même sous-réseau que le vôtre et bloque les requêtes de partage de fichiers de toute autre origine (l'option Inclure un sous-réseau local automatiquement doit être sélectionnée pour la stratégie Réseau approuvés). Vous autorise à parcourir les domaines, les groupes de travail et les ordinateurs Windows. Autorise tout trafic UDP élevé, entrant ou sortant. Autorise le trafic qui utilise les ports UDP BOOTP, DNS et Net Time. Utilisez cette stratégie comme point de départ, puis combinez-la avec les résultats obtenus en appliquant le mode adaptatif pour découvrir et vérifier les éventuelles règles supplémentaires. Cette stratégie doit générer moins de règles de client apprises en mode adaptatif que les stratégies de pare-feu par défaut eistantes. Il s'agit d'une stratégie complète qui répond au besoins de la plupart des pare-feu d'entreprise. Sélections de la stratégie Blocage DNS du pare-feu La stratégie Blocage DNS du pare-feu contient une stratégie préconfigurée ainsi qu'une stratégie Ma stratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvez consulter et dupliquer la stratégie préconfigurée ainsi que modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées modifiables. Configuration de la stratégie Règles de pare-feu Configurez des paramètres dans cette stratégie pour définir des règles de protection par pare-feu. CONSEIL : ne tentez pas de créer une stratégie dans son intégralité. Dupliquez une stratégie eistante puis modifiez les règles et groupes de la stratégie pour répondre à vos besoins. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : Pare-feu dans la liste Produit et Règles de pare-feu dans la liste Catégorie. La liste des stratégies s'affiche. 76

77 Configuration des stratégies de pare-feu Définir la protection par pare-feu 2 Dans la liste de stratégies Règles de pare-feu, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. REMARQUE : pour les stratégies personnalisées modifiables, d'autres options telles que Renommer, Dupliquer, Supprimer et Eporter, sont disponibles. Pour les stratégies non modifiables, les options disponibles sont les suivantes : Afficher et Dupliquer. 3 Effectuez l'une des opérations suivantes : Pour... Ajouter une règle de pare-feu Ajouter un groupe de pare-feu Eécuter une action sur une seule règle ou sur un groupe de règles Opérations à eécuter... Cliquez sur Nouvelle règle ou Ajouter une règle depuis le catalogue. Pour en savoir plus, consultez Création et modification de règles de pare-feu ou Utilisation du catalogue Host IPS. Cliquez sur Nouveau groupe ou Ajouter un groupe depuis le catalogue. Pour en savoir plus, consultez Création et modification de groupes de règles de pare-feu ou Utilisation du catalogue Host IPS. Sélectionnez la règle ou le groupe dont afficher le résumé des éléments dans le volet de droite. Sélectionnez la règle ou le groupe et cliquez sur : Modifier sous Actions pour modifier un élément ; Ajouter au catalogue sous Actions pour ajouter l'élément au catalogue de pare-feu ; Déplacer vers le haut pour déplacer l'élément vers le haut de la liste ; Déplacer vers le bas pour déplacer l'élément vers le bas de la liste ; Dupliquer pour effectuer une copie de l'élément ; Supprimer pour supprimer l'élément. 4 Cliquez sur Eporter pour eporter toutes les informations sur la règle ou le groupe de la stratégie vers un fichier ML. Ce fichier peut ensuite être importé dans le catalogue de pare-feu ou vers une autre stratégie. 5 Cliquez sur Enregistrer pour enregistrer les modifications. Création et modification de règles de pare-feu Modifiez ou ajoutez une nouvelle règle de pare-feu dans la liste des règles d'une stratégie Règles de pare-feu si des opérations précises ne sont pas traitées par la liste par défaut. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Dans la page de stratégies Règles de pare-feu, cliquez sur Nouvelle règle pour créer une nouvelle règle ; cliquez sur Modifier sous Actions pour modifier une règle eistante. 2 Entrez les informations appropriées sous chaque onglet, accessible en cliquant sur Suivant ou sur le lien de l'onglet. 77

78 Configuration des stratégies de pare-feu Définir la protection par pare-feu Dans cet onglet... Description Réseau Transport Application Planification Définir ces options... Nom (requis), action, direction, statut. Protocole Réseau, type de support, réseau locau et distants Protocole de transport Applications et fichiers eécutables Paramètres de statut et temporels 3 Dans l'onglet Résumé, vérifiez les détails de la règle et cliquez sur Enregistrer. Création et modification de groupes de règles de pare-feu Créez ou modifiez un groupe de règles de pare-feu pour une stratégie Règles de pare-feu afin de créer un ensemble de règles à but unique. Utilisez un groupe à but unique avec des règles permettant d'autoriser une conneion VPN par eemple. Les groupes apparaissent dans la liste de règles et sont précédés d'une flèche, sur laquelle il est possible de cliquer pour afficher ou masquer les règles du groupe. Tâche 1 Dans la page de stratégies Règles de pare-feu, cliquez sur Nouveau groupe pour créer un nouveau groupe ; cliquez sur Modifier sous Actions pour modifier un groupe eistant. 2 Entrez les informations appropriées sous chaque onglet, accessible en cliquant sur Suivant ou sur le lien de l'onglet. Dans cet onglet... Description Emplacement Réseau Transport Application Planification Définir ces options... Nom (requis), direction, statut Paramètres selon l'emplacement, notamment l'isolement de la conneion Protocole Réseau, type de support (filaire, sans fil, virtuel), réseau locau et distants Protocole de transport Applications et fichiers eécutables Paramètres de statut et temporels, notamment l'activation des groupes limités 3 Dans l'onglet Résumé, vérifiez les détails du groupe et cliquez sur Enregistrer. 4 Créez de nouvelles règles dans ce groupe, ou déplacez des règles eistantes à partir de la liste de règles de pare-feu ou du catalogue Host IPS. Création de groupes d'isolement de conneion Créez un groupe de règles de pare-feu d'isolement de conneion pour établir un ensemble de règles s'appliquant uniquement lors de la conneion à un réseau avec des paramètres particuliers. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Dans la page de la stratégie Règles de pare-feu, cliquez sur Nouveau groupe ou Ajouter un groupe depuis le catalogue. 78

79 Configuration des stratégies de pare-feu Définir la protection par pare-feu 2 Dans l'onglet Description, saisissez un nom descriptif dans le champ Nom. 3 Dans l'onglet Emplacement, sélectionnez Activé pour les options Statut de l'emplacement et Isolement de la conneion, saisissez un nom d'emplacement, puis un suffie DNS, une passerelle par défaut ou d'autres critères de correspondance. 4 Dans l'onglet Réseau, sous Types de support, sélectionnez le type de conneion (Filaire, Sans fil, Virtuel) auquel appliquer les règles de ce groupe. REMARQUE : les éléments Options de transport et Applications ne sont pas disponibles pour les groupes d'isolement de conneion. 5 Dans l'onglet Résumé, cliquez sur Enregistrer. 6 Créez de nouvelles règles dans ce groupe, ou déplacez des règles eistantes à partir de la liste de règles de pare-feu ou du catalogue Host IPS. Blocage du trafic DNS Pour affiner la protection par pare-feu, vous pouvez créer une liste de serveurs de noms de domaine bloqués par Host IPS en n'autorisant pas la résolution de leur adresse IP. REMARQUE : n'utilisez pas cette fonction pour bloquer les domaines complets mais bloquez l'adresse distante du FQDN dans une règle de pare-feu. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Dans la page de la stratégie Blocage DNS du pare-feu, cliquez sur Nouvelle règle pour créer une nouvelle règle ; cliquez sur Modifier sous Actions pour modifier une règle eistante. 2 Cliquez sur Ajouter un domaine bloqué. 3 Dans la zone de tete, saisissez le nom du serveur de noms de domaine à bloquer. Utilisez les caractères génériques * et? ; par eemple *domaine.com. Saisissez un nom par entrée. 4 Cliquez sur le bouton Ajouter pour ajouter d'autres adresses ; cliquez sur le bouton Supprimer pour supprimer des adresses. 5 Cliquez sur Enregistrer pour enregistrer les modifications éventuelles. Utilisation du catalogue Host IPS Le catalogue Host IPS vous permet d'ajouter de nouveau éléments ou de référencer des éléments eistants pour utilisation avec le pare-feu. Cette tâche vous permet de rechercher et de modifier des éléments de catalogue eistants, de créer et d'ajouter de nouveau éléments de catalogue ou d'importer et d'eporter des éléments de catalogue. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Stratégie Catalogue Host IPS. 2 Sous Type d'élément, sélectionnez un élément du catalogue. Les choi suivants s'offrent à vous : Groupe, Règle, Application, Processus, Réseau et Emplacement. 3 Effectuez l'une des actions suivantes à partir de la page du catalogue : 79

80 Configuration des stratégies de pare-feu Définir la protection par pare-feu Pour... Filtrer un élément Modifier l'affichage des éléments Modifier un élément Opérations à eécuter... Entrez les critères de filtrage puis cliquez sur Définir un filtre. Cliquez sur Effacer pour revenir à l'affichage par défaut. Sélectionnez Options Choisir les colonnes, sélectionnez, supprimez ou réorganisez les colonnes puis cliquez sur Enregistrer. Cliquez sur le lien associé à l'élément. Cliquez sur Modifier pour modifier l'élément, cliquez sur Dupliquer pour créer une copie de l'élément, cliquez sur Supprimer pour supprimer l'élément. REMARQUE : si vous supprimez un élément doté d'un lien de dépendance, une nouvelle copie indépendante de l'élément supprimé est placée avec la règle ou le groupe lié. Créer et ajouter un élément Eporter un élément unique Eporter tous les éléments du type de catalogue Importer les éléments du type de catalogue Cliquez sur Nouveau. Dans la ou les pages qui s'affichent, saisissez les données appropriées, puis cliquez sur Enregistrer. Cliquez sur le lien Eporter associé à l'élément. Cliquez sur Eporter dans le coin supérieur droit de la page, puis nommez et enregistrez le fichier au format ML. Cliquez sur Importer dans le coin supérieur droit de la page, puis recherchez et ouvrez le fichier au format ML contenant les données de catalogue. REMARQUE : pour ajouter un élément du catalogue lors de la création d'une règle ou d'un groupe de pare-feu, cliquez sur Ajouter depuis le catalogue dans la partie inférieure de la page du générateur approprié. Pour ajouter un élément créé lors de l'utilisation du Générateur de règles ou de groupes de pare-feu, cliquez sur le lien Ajouter au catalogue en regard de l'élément. Lors de l'ajout d'un élément à partir du catalogue ou dans ce dernier, vous créez un lien de dépendance entre l'élément et le catalogue par le biais d'un lien Mettre un terme à la référence du catalogue. Si vous cliquez sur ce lien, la dépendance entre l'élément et le catalogue est supprimée et un nouvel élément indépendant est créé à la place, avec la règle ou le groupe lié. Gestion des règles de pare-feu pour le client L'affichage des règles de pare-feu pour le client créées automatiquement en mode adaptatif ou d'apprentissage ou créées manuellement sur un client, puis leur déplacement vers une stratégie Règles de pare-feu peuvent affiner et renforcer la sécurité. REMARQUE : l'accès au règles de pare-feu pour le client dans l'onglet Host IPS sous Rapports nécessite d'autres autorisations que celle relative au pare-feu Host Intrusion Prevention, notamment des autorisations de consultation pour l'accès au journal des événements, au systèmes et à l'arborescence des systèmes. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Cliquez sur Menu Rapports Host IPS, puis sur Règles de pare-feu pour le client. 80

81 Configuration des stratégies de pare-feu Définir la protection par pare-feu 2 Dans l'arborescence des systèmes, sélectionnez le groupe dont vous souhaitez afficher les règles de client. 3 Déterminez la manière dont vous souhaitez visualiser la liste de règles de client : Pour... Sélectionner les colonnes à afficher Trier par colonne Filtrer par groupes Filtrer par heure de création Filtrer par tete recherché Agréger des règles Opérations à eécuter... Sélectionnez Choisir les colonnes dans le menu Options. Dans la page Sélectionner les colonnes, ajoutez, supprimez ou réorganisez les colonnes à afficher. Cliquez sur l'en-tête de colonne. Dans le menu Filtres, sélectionnez Ce groupe uniquement ou Ce groupe et tous les sous-groupes. Sélectionnez l'heure à laquelle la règle a été créée : Aucune, Depuis ou Entre. Lorsque vous avez sélectionné Depuis, saisissez une date de début. Lorsque vous avez sélectionné Entre, saisissez une date de début et une date de fin. Cliquez sur Effacer pour supprimer les paramètres du filtre. Saisissez le chemin de processus, le nom de processus, le nom d'utilisateur, le nom de l'ordinateur ou l'id de signature sur lequel effectuer le filtrage. Cliquez sur Effacer pour supprimer les paramètres du filtre. Cliquez sur Agréger, sélectionnez les critères selon lesquels agréger des règles, puis cliquez sur OK. Cliquez sur Effacer pour supprimer les paramètres d'agrégation. 4 Pour transférer des règles vers une stratégie, sélectionnez-en une ou plusieurs dans la liste, cliquez sur Créer une règle de pare-feu, puis indiquez la stratégie vers laquelle déplacer les règles. FAQ : Utilisation des caractères génériques dans les règles de pare-feu Lors de la saisie de valeurs dans certains champs des règles de pare-feu, Host IPS autorise l'utilisation de caractères génériques. Quels caractères génériques puis-je utiliser pour les valeurs de chemin et d'adresse? Pour les chemins de fichiers, clés de Registre, fichiers eécutables et URL, utilisez les caractères génériques suivants : Caractère? (point d interrogation) * (astérisque) ** (deu astérisques) Définition Caractère unique. Plusieurs caractères, ecepté / et \. A utiliser pour représenter le contenu au niveau racine d'un dossier, sans sous-dossier. Plusieurs caractères, y compris / et \. 81

82 Configuration des stratégies de pare-feu Définir la protection par pare-feu Caractère (barre verticale) Définition Caractère générique d'échappement. REMARQUE : l'échappement correspondant à ** est * *. REMARQUE : les chemins de clés de Registre ne reconnaissent pas les caractères génériques pour les emplacements de groupes de pare-feu. Quels caractères génériques puis-je utiliser pour toutes les autres valeurs? Pour les valeurs ne contenant habituellement aucune information de chemin avec barres obliques, utilisez les caractères génériques suivants : Caractère? (point d interrogation) * (astérisque) (barre verticale) Définition Caractère unique. Plusieurs caractères, y compris / et \. Caractère générique d'échappement. 82

83 Configuration des stratégies générales La fonction Générale de Host Intrusion Prevention permet d accéder au stratégies générales, non spécifiques à IPS ou au pare-feu. Table des matières Présentation des stratégies générales Définition des fonctionnalités du client Définition des réseau approuvés Définition des applications approuvées Présentation des stratégies générales Les stratégies générales s'utilisent avec les fonctions IPS et Pare-feu et contrôlent l'accès client ainsi que les réseau et applications approuvés. Toutes les stratégies et les options s'appliquent au systèmes d'eploitation Windows. Sur les systèmes non Windows, seules les stratégies et options sélectionnées s'appliquent. Pour en savoir plus, consultez la section Mise en œuvre des stratégies avec le client Solaris/Linu sous Utilisation de clients Host IPS. Stratégies disponibles Il eiste trois stratégies générales : Interface utilisateur du client : détermine les options disponibles pour un ordinateur client Windows, notamment l'affichage ou non de l'icône du client Host IPS dans la barre d'état système, les types d'alertes d'intrusion, les mots de passe permettant d'accéder à l'interface client et les options de dépannage. La fonctionnalité de mot de passe est utilisée pour les clients sur des plates-formes Windows et non Windows. Réseau approuvés : répertorie les adresses IP et les réseau, y compris les eceptions TrustedSource, jugés comme sûrs pour la communication. Les réseau approuvés peuvent inclure des adresses IP individuelles ou des plages d'adresses IP. Le marquage des réseau comme approuvés élimine ou réduit la nécessité d'eceptions IPS réseau et de règles de pare-feu supplémentaires. Pour les clients Windows uniquement. Applications approuvées : répertorie les applications sûres et dépourvues de toute vulnérabilité connue. Le marquage des applications comme approuvées élimine ou réduit la nécessité d'eceptions IPS et de règles de pare-feu supplémentaires. A l'instar de la stratégie Règles IPS, cette catégorie de stratégies peut contenir plusieurs instances de stratégie. Pour des clients sur des plates-formes Windows et non Windows. Les paramètres des stratégies Réseau approuvés et Applications approuvées peuvent réduire ou éliminer les fau positifs, ce qui facilite le réglage du déploiement. 83

84 Configuration des stratégies générales Définition des fonctionnalités du client Définition des fonctionnalités du client La stratégie Interface utilisateur du client détermine l'apparence et le fonctionnement des clients Host IPS. Pour les clients Windows, cela inclut les paramètres d'affichage des icônes, les réactions au événements d'intrusion et l'accès pour les administrateurs et utilisateurs du client. Pour les clients non Windows, seule la fonction de mot de passe pour l'accès administratif est valide. Les options de cette stratégie permettent de satisfaire les eigences de trois rôles utilisateur types : Type d'utilisateur Normal Déconnecté Administrateur Fonctionnalité L'utilisateur moyen, qui a installé le client Host Intrusion Prevention sur un poste de travail ou un ordinateur portable. La stratégie Interface utilisateur du client permet à cet utilisateur : d'afficher l'icône du client Host Intrusion Prevention dans la barre d'état système et de lancer la console client ; d'afficher des alertes pop-up d'intrusion ou de les désactiver ; de désactiver temporairement la protection IPS et par pare-feu. L'utilisateur, peut-être avec un ordinateur portable, qui est déconnecté du serveur Host Intrusion Prevention pendant un certain temps. Cet utilisateur rencontre peut-être des problèmes techniques avec Host Intrusion Prevention ou a besoin d'effectuer des opérations sans interaction avec Host Intrusion Prevention. La stratégie Interface utilisateur du client permet à cet utilisateur d'obtenir un mot de passe à validité limitée pour effectuer des tâches d'administration ou pour activer ou désactiver des fonctions de protection. Un administrateur informatique pour tous les ordinateurs qui doit effectuer des opérations spéciales sur un ordinateur client, sans tenir compte des stratégies éventuelles autorisées par l'administrateur. La stratégie Interface utilisateur du client permet à cet utilisateur d'obtenir un mot de passe administrateur illimité pour effectuer des tâches d'administration. Les tâches d'administration pour les utilisateurs déconnectés et administrateurs incluent : l'activation ou la désactivation des stratégies IPS et de pare-feu ; la création d'autres règles IPS et de pare-feu si certaines activités légitimes sont bloquées. REMARQUE : les modifications de stratégie d'administration effectuées à partir de la console epolicy Orchestrator ne seront mises en œuvre qu'après epiration du mot de passe. Les règles de client créées pendant ce temps sont conservées si les règles d'administration l'autorisent. La stratégie Interface utilisateur du client contient une stratégie préconfigurée et une stratégie Ma stratégie par défaut modifiable. Vous pouvez consulter et dupliquer la stratégie préconfigurée ; vous pouvez créer, modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées modifiables. Configuration d'une stratégie Interface utilisateur du client Configurez des paramètres dans la stratégie pour indiquer l'affichage des icônes, les réactions au événements d'intrusion ainsi que l'accès utilisateur de client et d'administrateur sur les clients Windows. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : Générale dans la liste Produit et Interface utilisateur du client dans la liste Catégorie. La liste de stratégies s'affiche. 84

85 Configuration des stratégies générales Définition des fonctionnalités du client 2 Dans la liste de stratégies Interface utilisateur du client, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. 3 Dans la page Interface utilisateur du client, sélectionnez un onglet (Options générales, Options avancées, Options de dépannage) et apportez toutes les modifications souhaitées. Pour en savoir plus, consultez la section Configuration des options générales de l'interface utilisateur du client, Configuration des options avancées de l'interface utilisateur du client ou Configuration des options de dépannage de l'interface utilisateur du client. 4 Cliquez sur Enregistrer pour enregistrer les modifications éventuelles. Configuration des options générales de l'interface utilisateur du client Configurez des paramètres au niveau de l'onglet Paramètres générau de la stratégie Interface utilisateur du client pour déterminer l'affichage des icônes et les réactions au événements d'intrusion pour les clients Windows uniquement. Dans cet onglet, vous pouvez configurer les options d'affichage de l'interface utilisateur du client et indiquer la réponse du client en cas d'événement d'intrusion. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur l'onglet Paramètres générau de la stratégie Interface utilisateur du client et sous Options d'affichage, sélectionnez l'option permettant d'afficher l'icône de la barre d'état système pour accéder au menu de la console client ou d'afficher l'application dans la liste Ajout/Suppression de programmes. REMARQUE : les utilisateurs ayant ponctuellement besoin de désactiver la fonction Host Intrusion Prevention afin d'accéder à une application ou un site réseau légitime mais bloqué, peuvent utiliser le menu de l'icône de la barre d'état système Host Intrusion Prevention pour désactiver une fonction sans ouvrir la console client. La fonction désactivée reste désactivée jusqu'à ce qu'elle soit restaurée par la commande du menu ou par la mise en œuvre de stratégie suivante. Remarque : La désactivation d'ips désactive à la fois la protection Host IPS et IPS réseau. Si l'interface utilisateur du client est déverrouillée, les commandes du menu n'ont aucun effet. Pour cette fonction, sélectionnez l'option d'affichage de l'icône puis dans l'onglet Options avancées, sélectionnez Autoriser la désactivation de fonctions à partir de l'icône de la barre d'état système et sélectionnez une ou toutes les fonctions à désactiver. 2 Sous En cas d'événement d'intrusion, sélectionnez les options contrôlant la réaction du client en cas d'intrusion. Configuration des options avancées de l'interface utilisateur du client et des mots de passe Configurez les paramètres au niveau de l'onglet Options avancées de la stratégie Interface utilisateur du client pour l'accès par mot de passe au clients Windows et non Windows. 85

86 Configuration des stratégies générales Définition des fonctionnalités du client Les mots de passe déverrouillent la console client Windows et l'accès à la commande de dépannage sur les clients Windows et non Windows. Lorsque cette stratégie est appliquée au client, le mot de passe est activé. Deu types de mots de passe sont disponibles : Un mot de passe administrateur, qu'un administrateur peut configurer et qui reste valide tant que la stratégie est appliquée au client. La console client reste déverrouillée jusqu'à sa fermeture. Pour rouvrir les commandes de la console client, entrez à nouveau le mot de passe administrateur. Un mot de passe à validité limitée, comportant une date et une heure d'epiration. Ce mot de passe est généré automatiquement. Vous pouvez indiquer le système unique sur lequel créer le mot de passe ou le créer dans la stratégie Interface utilisateur du client pour tous les systèmes sur lesquels la stratégie est mise en œuvre. La console client reste déverrouillée jusqu'à sa fermeture. REMARQUE : les stratégies ne sont pas mises en œuvre sur le client lorsque la console client est déverrouillée. Pour plus d'informations, reportez-vous à la section Déverrouillage de l'interface du client Windows. Tâche 1 Cliquez sur l'onglet Options avancées dans la stratégie Interface utilisateur du client appliquée à un système ou à un groupe. 2 Déterminez le type de mot de passe à créer. Pour ce type de mot de passe... Opérations à eécuter... Administrateur Saisissez un mot de passe dans la zone de tete Mot de passe. Il doit compter au moins di caractères. Saisissez à nouveau le mot de passe dans la zone de tete Confirmer le mot de passe. Cliquez sur Enregistrer. A validité limitée Sélectionnez Activer le mot de passe à validité limitée. Entrez la date et l'heure d'epiration du mot de passe, puis cliquez sur Calculer un mot de passe à validité limitée. Le mot de passe ainsi que sa date et son heure d'epiration s'affichent dans une boîte de dialogue. Cliquez sur Enregistrer. Création de mots de passe système par système Vous pouvez créer et affecter des mots de passe à validité limitée système par système. Tâche 1 Vérifiez dans l'onglet Avancé de la stratégie Interface utilisateur du client que l'option relative au mots de passe à validité limitée est sélectionnée. 2 Cliquez sur Enregistrer si vous avez modifié la stratégie. 3 Sélectionnez Systèmes Arborescence des systèmes. 4 Appliquez la stratégie Interface utilisateur du client au groupe contenant le système unique auquel appliquer le mot de passe. 86

87 Configuration des stratégies générales Définition des fonctionnalités du client 5 Sélectionnez le groupe et, dans l'onglet Systèmes, sélectionnez un système. 6 Cliquez sur Actions Créer un mot de passe à validité limitée. 7 Spécifiez la date et l'heure d'epiration du mot de passe, puis cliquez sur Calculer un mot de passe à validité limitée. Le mot de passe s'affiche dans la boîte de dialogue. Configuration des options de dépannage de l'interface utilisateur du client Configurez les paramètres au niveau de l'onglet Dépannage de la stratégie Interface utilisateur du client pour les options de journalisation ainsi que l'activation et la désactivation des moteurs. Plutôt que d'utiliser la fonction de dépannage de chaque client, vous pouvez appliquer des options de dépannage au niveau de la stratégie, qui déclenchent la journalisation des événements IPS et de pare-feu et désactivent les moteurs IPS particuliers. Lorsque vous désactivez les moteurs, n'oubliez pas de les réactiver après le dépannage. Tâche 1 Cliquez sur l'onglet Dépannage dans la stratégie Interface utilisateur du client. 2 Sélectionnez les paramètres de stratégie à appliquer : Pour Activer la journalisation de pare-feu Activer la journalisation IPS Opérations à eécuter... Sélectionnez dans la liste le type de message déclenchant la journalisation des événements de pare-feu. Débogage journalise tous les messages. Informations journalise les informations, les avertissements et les messages d'erreur. Avertissement journalise les avertissements et les messages d'erreur. Erreur journalise les messages d'erreur. Désactivé ne journalise aucun message. Le chemin du fichier journal sur les clients Windows est : C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\FireSvc.log ; sous Windows Vista, Windows 2008 et Windows 7 : C:\Program Data\McAfee\Host Intrusion Prevention\FireSvc.log. Sélectionnez dans la liste le type de message déclenchant la journalisation des événements IPS. Débogage journalise tous les messages. Informations journalise les informations, les avertissements et les messages d'erreur. Avertissement journalise les avertissements et les messages d'erreur. Erreur journalise les messages d'erreur. Désactivé ne journalise aucun message. Le chemin du fichier journal sur les clients Windows est : C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\HipShield.log ; sous Windows Vista, Windows 2008 et Windows 7 : C:\Program Data\McAfee\Host Intrusion Prevention\HipShield.log 87

88 Configuration des stratégies générales Définition des réseau approuvés Pour Inclure les violations de sécurité dans le journal IPS Définir la taille en Mo du journal des événements sur le client Activer et désactiver les moteurs Opérations à eécuter... Sélectionnez Journaliser les violations de sécurité pour que les événements de violation s'affichent dans le journal IPS. Remplacez la taille du journal, de 1 Mo par défaut, par un nombre plus grand. Désactivez la case pour désactiver un moteur puis réactivez-la pour réactiver le moteur. REMARQUE : pour plus de détails concernant l'utilisation directe du client HIP, consultez Utilisation des clients Host Intrusion Prevention. Définition des réseau approuvés La stratégie Réseau approuvés tient à jour une liste d'adresses réseau et de sous-réseau que vous pouvez marquer comme approuvés pour les clients sous Windows et appliquer au eceptions IPS réseau ainsi qu'au règles de pare-feu dont l'adresse distante est définie sur approuvée. Cette catégorie de stratégies contient une stratégie préconfigurée, qui inclut automatiquement des sous-réseau locau, mais n'énumère aucune adresse réseau, ainsi qu'une stratégie modifiable Ma stratégie par défaut. Vous pouvez consulter et dupliquer la stratégie préconfigurée ; vous pouvez créer, modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées modifiables. Configuration d'une stratégie Réseau approuvés Configurez des paramètres dans cette stratégie pour configurer les options de réseau approuvés et tenir une liste à jour des adresses réseau et sous-réseau que vous pouvez marquer comme approuvés pour les clients Windows uniquement. Vous pouvez effectuer les opérations suivantes : Configurer des options de réseau approuvés, notamment des eceptions TrustedSource. Ajouter ou supprimer des adresses ou des sous-réseau dans la liste approuvée. REMARQUE : pour les règles de pare-feu, vous devez définir l'adresse distante sur Approuvée pour eploiter cette fonction. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : Générale dans la liste Produit et Réseau approuvés dans la liste Catégorie. La liste de stratégies s'affiche. 2 Dans la liste de stratégies Réseau approuvés, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. 3 Effectuez l'une des opérations suivantes : 88

89 Configuration des stratégies générales Définition des applications approuvées Pour... Opérations à eécuter... Traiter automatiquement tous les utilisateurs du même sous-réseau comme approuvés, même ceu qui ne sont pas dans la liste. Sélectionnez Activé sous Inclure un sous-réseau local automatiquement. Ajouter une adresse réseau approuvée à la liste. Marquer le réseau comme approuvé pour des signatures IPS réseau ou les signatures Host IPS et IPS personnalisées de type HTTP. Supprimer ou ajouter une entrée d'adresse réseau approuvée. Saisissez une adresse IP, une plage d'adresses ou un sous-réseau approuvé dans la zone de tete Réseau approuvés. Sélectionnez Faire confiance à IPS. Cliquez sur le bouton Supprimer ( - ) ou Ajouter ( + ). 4 Cliquez sur Enregistrer pour enregistrer les modifications éventuelles. Définition des applications approuvées La stratégie Applications approuvées constitue le mécanisme de création d'une liste d'applications approuvées et ne doit entraîner la génération d'aucun événement. Tenir une liste à jour des applications sûres pour un système réduit ou élimine la plupart des fau positifs. La stratégie Applications approuvées est une stratégie à plusieurs instances qui vous permet d'affecter plusieurs instances de stratégie : le profil d'utilisation des applications approuvées n'en est que plus détaillé. Pour régler un déploiement, la création de règles d'eception IPS est un moyen de réduire les fau positifs. Ce n'est pas toujours pratique lorsque plusieurs milliers de clients sont impliqués ou lorsque le temps et les ressources sont limités. Une solution plus efficace consiste à créer une liste d'applications approuvées, connues pour être sûres dans un environnement particulier. Par eemple, lorsque vous eécutez une application de sauvegarde, de nombreu événements de fau positifs peuvent être déclenchés. Pour éviter cela, faites de l'application de sauvegarde une application approuvée. REMARQUE : une application approuvée est sensible à des vulnérabilités courantes, comme le Buffer Overflow et l'utilisation illégale. Ainsi, une application approuvée est toujours surveillée et peut déclencher des événements pour empêcher les eploits. Cette catégorie de stratégies contient une stratégie préconfigurée, qui fournit une liste d'applications McAfee et de processus Windows spécifiques. Vous pouvez consulter et dupliquer la stratégie préconfigurée ou modifier, renommer, dupliquer, supprimer et eporter les stratégies personnalisées. Configuration d'une stratégie Applications approuvées Configurez des paramètres dans la stratégie pour dresser la liste des applications jugées sûres dans un environnement particulier. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Cliquez sur Menu Stratégie Catalogue de stratégies et sélectionnez Host Intrusion Prevention : Générale dans la liste Produit et Applications approuvées dans la liste Catégorie. La liste de stratégies s'affiche. 89

90 Configuration des stratégies générales Définition des applications approuvées 2 Dans la liste de stratégies Applications approuvées, cliquez sur Modifier sous Actions pour modifier les paramètres d'une stratégie personnalisée. 3 Effectuez l'une des opérations suivantes : Pour... Ajouter une application Eécuter une action sur une ou plusieurs applications à la fois Opérations à eécuter... Cliquez sur Ajouter une application. Pour de plus amples informations, consultez Création et modification de règles d'applications approuvées. Sélectionnez-les et cliquez sur : Activer pour activer une application désactivée. Désactiver pour désactiver une application activée. Supprimer pour supprimer des applications. Copier vers pour copier des applications vers une autre stratégie. Vous êtes invité à indiquer la stratégie. Eécuter une action sur une seule application Cliquez sur : Modifier pour modifier une application eistante. Pour de plus amples informations, consultez Création et modification de règles d'applications approuvées. Dupliquer pour faire une copie de l'application au sein de la même stratégie et nommée «copie de» l'application originale. Supprimer pour effacer l'application de la liste. 4 Cliquez sur Enregistrer pour enregistrer les modifications. Création et modification de règles d'applications approuvées Modifiez des applications approuvées eistantes ou créez-en de nouvelles pour obtenir la liste de toutes les applications jugées sûres pour votre environnement. Tâche Pour obtenir les définitions des options, cliquez sur? dans la page contenant ces options. 1 Dans la page de la stratégie Applications approuvées, cliquez sur Nouvelle application approuvée pour créer une règle ; cliquez sur Modifier sous Actions pour modifier une règle eistante. REMARQUE : vous pouvez également créer des applications approuvées basées sur un événement. Pour en savoir plus, consultez Création d'une application approuvée à partir d'un événement sous Configuration des stratégies IPS. 2 Saisissez ou modifiez le nom de l'application et indiquez son statut, notamment si l'application est approuvée pour IPS, le pare-feu ou les deu. 3 Cliquez sur Nouveau pour ajouter un fichier eécutable pour l'application. REMARQUE : vous pouvez ajouter un fichier eécutable eistant à partir du catalogue Host IPS en cliquant sur Ajouter depuis le catalogue. Pour en savoir plus sur le catalogue, 90

91 Configuration des stratégies générales Définition des applications approuvées consultez la section Fonctionnement du catalogue Host IPS sous Configuration des stratégies de pare-feu. 4 Cliquez sur OK pour enregistrer les modifications. Affectation de plusieurs instances de la stratégie L'affectation d'une ou plusieurs instances de la stratégie à un groupe ou système de l'arborescence des systèmes epolicy Orchestrator offre une protection multiusage à stratégie unique. La stratégie Règles IPS et la stratégie Applications approuvées sont des stratégies à plusieurs instances : il est possible d'affecter plus d'une instance. Une stratégie à plusieurs instances peut s'avérer utile pour un serveur IIS, par eemple, car vous pouvez appliquer une stratégie générale par défaut, une stratégie de serveur et une stratégie IIS, ces deu dernières étant configurées pour cibler spécifiquement les systèmes cibles fonctionnant en tant que serveurs IIS. Lorsque vous affectez plusieurs instances, vous affectez un ensemble de tous les éléments de chaque instance de la stratégie. REMARQUE : la stratégie McAfee par défaut des Règles IPS et Applications approuvées est mise à jour en même temps que le contenu. Il est recommandé d'appliquer systématiquement ces deu stratégies afin de garantir une protection la plus à jour possible. Pour les stratégies à plusieurs instances, un lien Stratégie en cours s'affiche pour vous permettre de consulter les détails des instances de stratégie combinées. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Cliquez sur Menu Systèmes Arborescence des systèmes et sélectionnez un groupe dans l'arborescence des systèmes. REMARQUE : pour un système unique, sélectionnez un groupe de l'arborescence des systèmes contenant le système, puis dans l'onglet Systèmes, sélectionnez le système puis Actions Agent Modifier les stratégies sur un seul système. 2 Sous Stratégies affectées, sélectionnez McAfee Host Intrusion Prevention 8.0 : IPS/Général dans la liste Produit, puis pour Règles IPS/Applications approuvées, cliquez sur Modifier les affectations. 3 Dans la page Affectation de stratégie, cliquez sur Nouvelle instance de stratégie et sélectionnez une stratégie dans la liste Stratégies affectées pour l'instance de stratégie supplémentaire. Pour afficher l'effet combiné des jeu de règles à plusieurs instances, cliquez sur Afficher la stratégie en vigueur. 4 Cliquez sur Enregistrer pour enregistrer toutes les modifications. 91

92 Utilisation des clients Host Intrusion Prevention Le client Host Intrusion Prevention peut être installé sur les plates-formes Windows, Solaris et Linu. Seul le client Windows dispose d'une interface, mais toutes les versions comprennent une fonctionnalité de dépannage. Les fonctions de base de chaque version de client sont décrites ici. Table des matières Présentation du client Windows Présentation du client Solaris Présentation du client Linu Présentation du client Windows Une gestion directe côté client du client Windows Host Intrusion Prevention est disponible via une console client. Pour l'afficher, utilisez le menu de l'icône McAfee de la barre d'état système ou eécutez le fichier McAfeeFire.ee dans C:\Program Files\McAfee\Host Intrusion Prevention. Lors de la première ouverture de la console client, les options sont verrouillées et vous ne pouvez afficher que les paramètres actuels. Pour un contrôle complet de tous les paramètres de la console, déverrouillez l'interface à l'aide d'un mot de passe. Pour en savoir plus sur la création et l'utilisation des mots de passe, consultez la section Configuration des options avancées de l'interface utilisateur du client et des mots de passe sous Configuration des stratégies générales. Menu de l'icône de la barre d état système Lorsque l'icône McAfee s'affiche dans la barre d'état système, elle permet d'accéder à la console client Host IPS. Les fonctionnalités diffèrent en fonction de la version de McAfee Agent installée sur le client. Avec McAfee Agent 4.0 Cliquez sur l'icône McAfee Agent avec le bouton droit de la souris et sélectionnez Host Intrusion Prevention pour afficher un menu contetuel, à partir duquel vous pouvez ouvrir la console. Tableau 9 : Menu de McAfee Agent 4.0 Cliquez sur Configurer Pour... Ouvrir la console du client Host Intrusion Prevention. 92

93 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Cliquez sur A propos de... Pour... Ouvrir la boîte de dialogue A propos de Host Intrusion Prevention, qui affiche le numéro de version et d'autres informations sur le produit. Si l'option Autoriser la désactivation de fonctions à partir de l'icône de la barre d'état système est sélectionnée dans une stratégie d'interface utilisateur du client mise en œuvre, les commandes supplémentaires suivantes sont disponibles : Tableau 10 : Menu de McAfee Agent 4.0 avec Autoriser la désactivation Cliquez sur Pour... Restaurer les paramètres Désactiver Tous Désactiver IPS Désactiver Pare-feu Activer toutes les fonctions désactivées. Disponible uniquement si l'une des fonctions est désactivée. Désactiver les fonctions IPS et de pare-feu. Disponible uniquement si les deu fonctions sont activées. Désactiver la fonction IPS. Cela inclut les fonctionnalités Host IPS et IPS réseau. Disponible uniquement si la fonction est activée. Désactiver la fonction de pare-feu. Disponible uniquement si la fonction est activée. Si l'option Activer les groupes limités depuis le menu de l'icône de la barre d'état système McAfee de l'onglet Planifier est sélectionnée pour un groupe de pare-feu dans une stratégie Règles de pare-feu mise en œuvre, les commandes supplémentaires suivantes sont disponibles : Tableau 11 : Menu de McAfee Agent 4.0 avec Activer les groupes limités Cliquez sur Pour... Activer les groupes de règles de pare-feu limités pour la protection Host IPS Activer les groupes de règles de pare-feu pour une durée déterminée afin d'autoriser l'accès à Internet non lié au réseau avant la mise en œuvre des règles limitant cet accès. Chaque fois que cette commande est sélectionnée, la limite de durée est réinitialisée pour les groupes. Afficher le statut des groupes de règles de pare-feu limités pour la protection Host IPS Afficher le nom des groupes de règles de pare-feu limités et la durée d'activité restante pour chacun d'entre eu. Avec McAfee Agent 4.5 Cliquez sur l'icône McAfee Agent de la barre d'état système avec le bouton droit de la souris, puis sélectionnez Gérer les fonctions Host Intrusion Prevention pour ouvrir la console. REMARQUE : McAfee Agent et le client Host IPS doivent être configurés pour en afficher une icône d'accès. Si McAfee Agent ne s'affiche pas dans la barre d'état système, il est impossible d'accéder à Host IPS avec une icône de barre d'état système, même si le client est configuré pour en afficher une. Sous Réglages rapides, ces options Host Intrusion Prevention sont disponibles lorsque l'option Autoriser la désactivation de fonctions à partir de l'icône de la barre d'état système est sélectionnée dans une stratégie de l'interface utilisateur du client mise en œuvre : Tableau 12 : Réglages rapides du menu de McAfee Agent 4.5 Cliquez sur Pour... Host IPS IPS réseau Activer et désactiver la protection Host IPS Activer et désactiver la protection IPS réseau 93

94 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Cliquez sur Pare-feu Pour... Activer et désactiver la protection par pare-feu. Toujours sous Réglages rapides, si l'option Activer les groupes limités depuis le menu de l'icône de la barre d'état système McAfee de l'onglet Planifier est sélectionnée pour un groupe de pare-feu dans une stratégie Règles de pare-feu mise en œuvre, les commandes supplémentaires suivantes sont disponibles : Tableau 13 : Menu de McAfee Agent 4.5 avec Activer les groupes limités Cliquez sur Pour... Activer les groupes de règles de pare-feu limités pour la protection Host IPS Activer les groupes de règles de pare-feu pour une durée déterminée afin d'autoriser l'accès à Internet non lié au réseau avant la mise en œuvre des règles limitant cet accès. Chaque fois que cette commande est sélectionnée, la limite de durée est réinitialisée pour les groupes. Afficher le statut des groupes de règles de pare-feu limités pour la protection Host IPS Afficher le nom des groupes de règles de pare-feu limités et la durée d'activité restante pour chacun d'entre eu. Console client pour les clients Windows La console client Host Intrusion Prevention vous permet d'accéder à différentes options de configuration. Pour ouvrir la console, effectuez l'une des actions suivantes : Dans McAfee Agent 4.0, cliquez avec le bouton droit de la souris sur l'icône McAfee, sélectionnez Host Intrusion Prevention, puis Configurer. Dans McAfee Agent 4.5, cliquez avec le bouton droit de la souris sur l'icône McAfee, sélectionnez Gérer les fonctions, Host Intrusion Prevention puis Configurer. Dans le dossier C:\Program Files\McAfee\Host Intrusion Prevention, eécutez McAfeeFire.ee. La console vous permet de configurer et d'afficher des informations sur les fonctions Host Intrusion Prevention. Elle contient plusieurs onglets, qui correspondent à une fonction Host Intrusion Prevention spécifique. Déverrouillage de l'interface du client Windows Un administrateur gérant Host Intrusion Prevention à distance grâce à epolicy Orchestrator peut protéger l'interface avec un mot de passe afin d'éviter toute modification accidentelle. Les mots de passe fies qui n'epirent pas et les mots de passe à validité limitée permettent à l'administrateur ou à l'utilisateur de déverrouiller temporairement l'interface et d'y apporter des modifications. Conditions préalables Assurez-vous que la stratégie Interface utilisateur du client Host IPS générale, qui contient les paramètres de mot de passe, a été mise en œuvre sur le client. Cela se produit lors de la mise à jour planifiée de la stratégie ou en forçant une mise à jour immédiate de cette dernière. Le client ne reconnaît pas le mot de passe avant la mise à jour de la stratégie. 94

95 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Tâche 1 Obtenez un mot de passe auprès de l'administrateur Host Intrusion Prevention. REMARQUE : pour en savoir plus sur la création de mots de passe, consultez la section Configuration des options avancées de l'interface utilisateur du client et des mots de passe sous Configuration des stratégies générales. 2 Ouvrez la console client, puis sélectionnez Tâche Déverrouiller l'interface utilisateur. 3 Dans la boîte de dialogue Conneion, saisissez le mot de passe et cliquez sur OK. Configuration des options de l'interface utilisateur du client La console du client Host Intrusion Prevention vous permet d'accéder à certains paramètres fournis par la stratégie Interface utilisateur du client et de les personnaliser individuellement pour chaque client. Conditions préalables Pour effectuer la tâche suivante, vous devez tout d'abord déverrouiller la console client à l'aide d'un mot de passe. Tâche 1 Dans la console client, sélectionnez Tâche Définir la langue de l'interface utilisateur. 2 Sélectionnez la langue de l'interface de la console client et cliquez sur OK. Options possibles : Allemand, Anglais, Chinois, Coréen, Espagnol, Français, Italien, Japonais, Portugais, Russe. L'option «Automatique» permet d'afficher l'interface dans la langue du système d'eploitation sur lequel le client est installé. 3 Sélectionnez Modifier Options. 4 Dans la boîte de dialogue Options Host Intrusion Prevention, sélectionnez et désélectionnez les options souhaitées puis cliquez sur OK. Tableau 14 : Options de la console client Sélectionnez... Pour que cette action se produise... Afficher une alerte pop-up Emettre un signal sonore Afficher une notification sur la barre d'état système Créer une capture de renifleur si disponible Afficher l'icône de la barre d'état système Afficher une alerte en cas d'attaque (IPS uniquement). Emettre un signal sonore en cas d'attaque (IPS uniquement). Afficher le statut d'une attaque dans l'icône de la barre d'état système en cas d'attaque (IPS uniquement). Ajouter une colonne de capture au journal d'activité et indiquer que les données d'intrusion de renifleur ont été capturées. Ces données sont enregistrées dans un fichier FirePacket.cap au niveau du répertoire C:\Program Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events ou C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events (IPS uniquement). Host Intrusion Prevention s'affiche sous le menu de l'icône de la barre d'état système pour McAfee Agent. 95

96 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Dépannage du client Windows Host Intrusion Prevention propose une fonctionnalité de dépannage, disponible dans le menu Aide, lorsque l'interface est déverrouillée. Les options disponibles sont les suivantes : Tableau 15 : Options de dépannage Option Définition Journalisation : pare-feu Journalisation : IPS * Journaliser les violations de sécurité * Afficher le produit dans la liste Ajout/Suppression de programmes Fonctionnalité * Détermine le type de message de pare-feu à journaliser. Détermine le type de message IPS à journaliser. Permettre la journalisation des violations de sécurité IPS dans le journal IPS. Autoriser Host IPS à s'afficher dans la liste Ajout/Suppression de programmes et à être supprimé du client. Désactiver/réactiver les moteurs de classes Host IPS lors du dépannage. * Cette option est disponible uniquement avec la protection IPS. REMARQUE : McAfee fournit un utilitaire (clientcontrol.ee) afin d'aider à automatiser les mises à niveau et les autres tâches de maintenance lorsqu'un logiciel tiers est utilisé pour déployer Host Intrusion Prevention sur des ordinateurs clients. Cet utilitaire de ligne de commande, qui peut être inclus dans les scripts d'installation et de maintenance pour désactiver temporairement la protection IPS et activer les fonctions de journalisation, est fourni avec le programme d'installation et se trouve sur le client dans le répertoire C:\ Program Files\McAfee\Host Intrusion Prevention. Consultez la section Utilitaire Clientcontrol.ee sous Annee B : Dépannage pour plus d'informations. Configuration des options de journalisation IPS Dans le cadre d'un dépannage, vous pouvez créer des journau d'activité IPS pouvant être analysés sur le système ou envoyés au support de McAfee pour vous aider à résoudre les problèmes. Utilisez cette tâche pour activer la journalisation IPS. Tâche 1 Dans la console de Host IPS, sélectionnez Aide Dépannage. 2 Sélectionnez le type de message IPS : Débogage Désactivé Erreur Informations Avertissement Si le type de message est défini sur Désactivé, aucun message n'est journalisé. 3 Cliquez sur OK. Les informations sont consignées dans le fichier HipShield.log présent dans le dossier C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\ ; sous Windows Vista et les versions ultérieures, le dossier est C:\Program Data\McAfee\Host Intrusion Prevention\. 96

97 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Configuration des options de journalisation de pare-feu Dans le cadre d'un dépannage, vous pouvez créer des journau d'activité de pare-feu pouvant être analysés sur le système ou envoyés au support de McAfee pour vous aider à résoudre les problèmes. Utilisez cette tâche pour activer la journalisation de pare-feu. Tâche 1 Dans la console de Host IPS, sélectionnez Aide Dépannage. 2 Sélectionnez le type de message de pare-feu : Débogage Désactivé Erreur Informations Avertissement Si le type de message est défini sur Désactivé, aucun message n'est journalisé. 3 Cliquez sur OK. Les informations sont consignées dans le fichier FireSvc.log présent dans le dossier C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\ ; sous Windows Vista et les versions ultérieures, le dossier est C:\Program Data\McAfee\Host Intrusion Prevention\. Dès que le fichier atteint 100 Mo, un nouveau fichier est créé. Désactivation des moteurs Host IPS Lors d'un dépannage, vous pouvez également désactiver les moteurs de classes qui protègent un client. Il est recommandé que seuls les administrateurs en communication avec le support de McAfee utilisent cette procédure de dépannage. Pour mieu comprendre la protection apportée par chaque classe, consultez la section relative à la Création de signatures personnalisées. Tâche Pour obtenir les définitions des options, cliquez sur? dans l'interface. 1 Dans la console Host IPS, sélectionnez Aide Dépannage, puis cliquez sur Fonctionnalités. 2 Dans la boîte de dialogue Moteurs HIPS, désélectionnez un ou plusieurs moteurs. Pour désactiver tous les moteurs, désélectionnez Activer/désactiver tous les moteurs. REMARQUE : SQL et HTTP n'apparaissent dans la liste que si le client eécute un système d'eploitation serveur. 3 Cliquez sur OK. 4 Une fois le problème résolu, sélectionnez à nouveau tous les moteurs désélectionnés au niveau de la boîte de dialogue Moteurs HIPS. Alertes client Windows Un utilisateur peut être confronté à plusieurs types de messages d'alerte et doit réagir en conséquence. Ces alertes peuvent concerner la détection d'intrusions, le pare-feu et la détection d'usurpation. Les alertes de pare-feu se produisent uniquement lorsque le client est en mode d'apprentissage pour ces fonctions. 97

98 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Réponse au alertes d'intrusion Si vous activez la protection IPS et l'option Afficher une alerte pop-up, cette alerte s'affiche automatiquement lorsque Host Intrusion Prevention détecte une attaque potentielle. Si le client est en mode adaptatif, cette alerte s'affiche uniquement si l'option Autoriser les règles du client est désactivée pour la signature ayant entraîné l'événement. L'onglet Informations sur l'intrusion détaille l'attaque qui a généré l'alerte, y compris la description de l'attaque, l'ordinateur client/de l'utilisateur où l'attaque s'est produite, le processus impliqué dans l'attaque et la date et heure à laquelle Host Intrusion Prevention a intercepté l'attaque. En outre, un message générique spécifié par l'administrateur peut s'afficher. Vous pouvez ignorer l'événement en cliquant sur Ignorer ou créer une règle d'eception pour cet événement en cliquant sur Créer une eception. Le bouton Créer une eception est actif uniquement si l'option Autoriser les règles du client est activée pour la signature ayant entraîné l'événement. Si l'alerte résulte d'une signature IP hôte, la boîte de dialogue de la règle d'eception est préremplie avec le nom du processus, l'utilisateur et la signature. Vous pouvez sélectionner Toutes les signatures ou Tous les processus, mais pas les deu. Le nom d'utilisateur est toujours inclus dans l'eception. Si l'alerte résulte d'une signature IPS réseau, la boîte de dialogue de la règle d'eception est préremplie avec le nom de la signature et l'adresse IP de l'hôte. Si vous le souhaitez, vous pouvez sélectionner Tous les hôtes. De plus, vous pouvez cliquer sur Notifier l'administrateur pour envoyer des informations sur l'événement à l'administrateur Host Intrusion Prevention. Ce bouton est actif uniquement si l'option Permettre à l'utilisateur de notifier l'administrateur est activée dans la stratégie Interface utilisateur du client appliquée. Sélectionnez N'afficher aucune alerte pour les événements IPS pour cesser d'afficher des alertes pour les événements IPS. Pour afficher à nouveau les alertes après avoir sélectionné cette option, sélectionnez Afficher une alerte pop-up dans la boîte de dialogue Options. REMARQUE : cette alerte d'intrusion s'affiche également pour les intrusions de pare-feu si une règle de pare-feu avec l'option Considérer une correspondance à la règle comme une intrusion sélectionnée est admise. Réponse au alertes de pare-feu Si vous activez la protection par pare-feu et le mode d'apprentissage pour le trafic entrant ou sortant, une alerte de pare-feu s'affiche et l'utilisateur doit y répondre. La section Informations sur l'application affiche des informations sur l'application tentant d'accéder au réseau, y compris le nom, le chemin d'accès et la version de l'application. La section Informations sur la conneion affiche des informations sur le protocole, l'adresse et les ports du trafic. REMARQUE : les boutons Précédent et Suivant sont disponibles dans la section Informations sur la conneion s'il eiste des informations supplémentaires relatives au protocole ou au port pour une application. Les boutons Précédent et Suivant sont disponibles dans la partie inférieure de la boîte de dialogue en cas d'envoi de plusieurs alertes. Tâche 1 Dans la boîte de dialogue d'alerte, effectuez l'une des actions suivantes : Cliquez sur Refuser pour bloquer ce trafic et tout trafic similaire. 98

99 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Cliquez sur Autoriser pour autoriser le passage de ce trafic et de tout trafic similaire par le pare-feu. 2 Facultatif : sélectionnez les options de la nouvelle règle de pare-feu : Sélectionnez... Pour... Créer une règle de pare-feu pour l'application pour tous les ports et services Créer une règle pour autoriser ou bloquer le trafic d'une application sur n'importe quel port ou service. Si vous ne sélectionnez pas cette option, la nouvelle règle de pare-feu autorise ou bloque uniquement certains ports : Si le trafic intercepté utilise un port inférieur à 1024, la nouvelle règle autorise ou bloque uniquement ce port-là. Si le trafic utilise le port 1024 ou un port supérieur, la nouvelle règle autorise ou bloque les ports compris entre 1024 et Supprimer cette règle à l'arrêt de l'application Créer une règle d'autorisation ou de blocage temporaire qui sera supprimée lorsque vous quitterez l'application. Si vous ne sélectionnez pas ces options, la nouvelle règle de pare-feu est créée comme une règle de client permanente. Host Intrusion Prevention crée une nouvelle règle de pare-feu en fonction des options sélectionnées, l'ajoute à la liste des stratégies Règles de pare-feu et autorise ou bloque automatiquement tout trafic similaire. Réponse au alertes d'usurpation détectée Si vous activez la protection par pare-feu, une alerte d'usurpation s'affiche automatiquement si Host Intrusion Prevention détecte une application de votre ordinateur envoyant du trafic réseau avec usurpation et si un utilisateur doit y répondre. Cela signifie que l'application tente de faire croire que le trafic de votre ordinateur provient en réalité d'un autre ordinateur. Elle y parvient en modifiant l'adresse IP des paquets sortants. L'usurpation est toujours une activité suspecte. Si cette boîte de dialogue s'affiche, eaminez immédiatement l'application qui a envoyé le trafic usurpé. REMARQUE : la boîte de dialogue Alerte : usurpation détectée ne s'affiche que si vous sélectionnez l'option Afficher une alerte pop-up. Si vous ne sélectionnez pas cette option, Host Intrusion Prevention bloque automatiquement le trafic usurpé sans vous le signaler. La boîte de dialogue Alerte : usurpation détectée ressemble beaucoup à l'alerte Mode d'apprentissage de la fonction de pare-feu. Elle affiche des informations concernant le trafic intercepté dans deu zones : la section Informations sur l'application et la section Informations sur la conneion. La section Informations sur l'application affiche : l'adresse IP dont le trafic prétend provenir ; des informations sur le programme générateur du trafic usurpé ; l'heure et la date auquelles Host Intrusion Prevention a intercepté le trafic. La section Informations sur la conneion fournit d'autres informations sur le réseau. Par eemple, Adresse locale affiche l'adresse IP que l'application prétend avoir, alors qu'adresse distante affiche votre adresse IP réelle. Lorsque Host Intrusion Prevention détecte un trafic réseau usurpé, il bloque le trafic et l'application qui l'a généré. 99

100 Utilisation des clients Host Intrusion Prevention Présentation du client Windows A propos de l'onglet Stratégie IPS Utilisez l'onglet Stratégie IPS pour configurer la fonction IPS, qui protège des attaques d'intrusion de l'hôte selon des règles de signature et comportementales. À partir de cet onglet, vous pouvez activer ou désactiver les fonctionnalités et configurer des règles d'eception du client. Pour plus de détails sur les stratégies IPS, consultez la section Configuration des stratégies IPS. L'onglet Stratégie IPS affiche les règles d'eception relatives au client et fournit un résumé et des informations détaillées pour chaque règle. Tableau 16 : Onglet Stratégie IPS Cette colonne... Affiche Eception Signature Application Nom de l'eception. Nom de la signature grâce à laquelle l'eception est créée. Application à laquelle cette règle s'applique, notamment le nom du programme et le nom du fichier eécutable. Personnalisation des options de la stratégie IPS Les options en haut de l'onglet contrôlent les paramètres fournis par les stratégies IPS côté serveur après déverrouillage de l'interface du client. Tâche 1 Dans la console client Host IPS, cliquez sur l'onglet Stratégie IPS. 2 Sélectionnez ou désélectionnez une option, selon vos besoins. Sélectionnez... Activer Host IPS Activer l'ips réseau Activer le mode adaptatif Bloquer automatiquement les pirates Pour... Activer la protection Host Intrusion Prevention. Activer la protection de prévention des intrusions dans le réseau. Activer le mode adaptatif pour créer automatiquement des eceptions au signatures de prévention des intrusions. Bloquer automatiquement les intrusions dans le réseau, pour un laps de temps défini. Indiquez le nombre de minutes dans le champ min. Création et modification des règles d'eception de la stratégie IPS Affichez, créez et modifiez des règles d'eception IPS au niveau de l'onglet Stratégie IPS du client. Tâche 1 Dans l'onglet Stratégie IPS, cliquez sur Ajouter pour ajouter une règle. 2 Dans la boîte de dialogue Règle d'eception, saisissez une description pour la règle. 3 Sélectionnez l'application à laquelle la règle s'applique à partir de la liste ou cliquez sur Parcourir pour rechercher l'application. 100

101 Utilisation des clients Host Intrusion Prevention Présentation du client Windows 4 Sélectionnez Règle d'eception active pour activer la règle. L'option L'eception s'applique à toutes les signatures, ni activée ni sélectionnée par défaut, applique l'eception à toutes les signatures. 5 Cliquez sur OK. 6 Pour d'autres modifications, effectuez l'une des actions suivantes : Pour... Afficher les détails d'une règle ou modifier une règle Activer/désactiver une règle Supprimer une règle Appliquer les modifications immédiatement Opérations à eécuter... Double-cliquez sur une règle ou sélectionnez une règle et cliquez sur Propriétés. La boîte de dialogue Règle d'eception s'affiche et indique les informations de règle pouvant être modifiées. Activez ou désactivez la case Règle d'eception active dans la boîte de dialogue Règle d'eception. Vous pouvez également activer ou désactiver la case en regard de l'icône de la règle dans la liste. Sélectionnez une règle et cliquez sur Supprimer. Cliquez sur Appliquer. Si vous ne cliquez pas sur ce bouton après avoir effectué les modifications, une boîte de dialogue s'affiche et vous invite à les enregistrer. A propos de l'onglet Stratégie de pare-feu Utilisez l'onglet Stratégie de pare-feu pour configurer la fonction de pare-feu, qui autorise ou bloque la communication réseau sur la base des règles que vous avez définies. A partir de cet onglet, vous pouvez activer ou désactiver les fonctionnalités et configurer des règles de pare-feu du client. Pour plus de détails sur les stratégies de pare-feu, consultez la section Configuration des stratégies de pare-feu. La liste des règles de pare-feu affiche les règles et les groupes de règles relatifs au client et fournit un résumé et des informations détaillées pour chaque règle. Les règles en italique ne peuvent pas être modifiées. Tableau 17 : Onglet Stratégie de pare-feu Elément Description Case à cocher Groupe de pare-feu Groupe limité Groupe selon l'emplacement Règle de pare-feu Action de règle Indique si la règle est activée (cochée) ou désactivée (décochée). Lorsque les règles ne sont pas en italique, vous pouvez activer et désactiver la règle via cette case à cocher. Affiche la liste de règles qu'il contient. Cliquez sur la case plus pour afficher les règles ; cliquez sur la case moins pour les masquer. Indique que le groupe est un groupe limité. Indique que le groupe est un groupe selon l'emplacement. Affiche les propriétés de base de la règle. Cliquez sur la case plus pour afficher les propriétés ; cliquez sur la case moins pour les masquer. Indique si la règle autorise le trafic ou le bloque : 101

102 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Elément Direction de la règle Description Indique si la règle s'applique au trafic entrant trafic sortant ou au deu., au Personnalisation des options de la stratégie de pare-feu Les options en haut de l'onglet contrôlent les paramètres fournis par les stratégies de pare-feu côté serveur après déverrouillage de l'interface du client. Tâche 1 Dans la console du client Host IPS, cliquez sur l'onglet Stratégie de pare-feu. 2 Sélectionnez ou désélectionnez une option, selon vos besoins. Pour... Activer la protection de la stratégie de pare-feu Activer le mode d'apprentissage pour le trafic entrant Active le mode d'apprentissage pour le trafic sortant. Activer le mode adaptatif Afficher des réseau approuvés Sélectionnez... Activer le pare-feu Mode d'apprentissage entrant Mode d'apprentissage sortant Mode adaptatif Réseau approuvés Création et modification de règles de pare-feu Affichez, créez et modifiez des règles de pare-feu au niveau de l'onglet Stratégie de pare-feu du client. Tâche 1 Dans l'onglet Stratégie de pare-feu, cliquez sur Ajouter pour ajouter une règle. REMARQUE : vous pouvez créer uniquement des règles dans la console client, pas de groupes. 2 Dans la page Général, saisissez le nom de la règle et sélectionnez les informations relatives à l'action et à la direction de la règle. 3 Cliquez sur Suivant pour passer au autres pages et modifier les paramètres par défaut. REMARQUE : chaque page du Générateur de règles correspond à un onglet du Générateur de règles de pare-feu dans la stratégie Règles de pare-feu. Pour cette page... Général Réseau Transport Entrez ces informations... Nom, statut, action et direction de la règle. Adresse IP, sous-réseau, domaine ou autre identifiant spécifique de cette règle. Le protocole et les adresses locales ou distantes auquels cette règle s'applique. Vous pouvez définir une adresse individuelle, un intervalle d'adresses, une liste d'adresses spécifiques ou indiquer toutes les adresses. 102

103 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Pour cette page... Applications Planification Entrez ces informations... Applications auquelles cette règle s'applique, notamment le nom du fichier eécutable. La planification de la règle, le cas échéant. 4 Cliquez sur Terminer pour enregistrer la nouvelle règle. 5 Pour d'autres modifications, effectuez l'une des actions suivantes : Pour... Opérations à eécuter... Afficher les détails d'une règle ou modifier une règle Sélectionnez une règle et cliquez sur Propriétés. La boîte de dialogue du Générateur de règles de pare-feu s'affiche. Elle contient des informations sur la règle. Si la règle n'est pas en italique, vous pouvez la modifier. Activer/désactiver une règle Copier une règle eistante Supprimer une règle Appliquer les modifications immédiatement Activez ou désactivez la case située en regard de la page Général de la règle de pare-feu. Vous pouvez également activer ou désactiver la case en regard de la règle dans la liste. Sélectionnez la règle, en général une règle par défaut ne pouvant être modifiée, puis cliquez sur Dupliquer. Sélectionnez une règle et cliquez sur Supprimer. Cliquez sur Appliquer. Si vous ne cliquez pas sur ce bouton après avoir effectué les modifications, une boîte de dialogue s'affiche et vous invite à les enregistrer. A propos de l'onglet Hôtes bloqués Utilisez l'onglet Hôtes bloqués pour surveiller une liste d'hôtes (adresses IP) bloqués, automatiquement créée lorsque la protection IPS réseau (NIPS) est activée. Si l'option Créer des règles du client est sélectionnée dans la stratégie Options IPS de la console epolicy Orchestrator, vous pouvez ajouter des hôtes bloqués à la liste et la modifier. La liste des hôtes bloqués affiche tous les hôtes actuellement bloqués par Host Intrusion Prevention. Chaque ligne représente un hôte. Vous pouvez obtenir plus d'informations sur les hôtes en lisant les informations fournies dans chaque colonne. Tableau 18 : Onglet Hôtes bloqués Colonne Ce qu'elle affiche Source Motif du blocage Heure Adresse IP que Host Intrusion Prevention bloque. Eplique pourquoi Host Intrusion Prevention bloque cette adresse. Si Host Intrusion Prevention a ajouté cette adresse à la liste en raison d'une tentative d'attaque de votre système, cette colonne décrit le type d'attaque. Si Host Intrusion Prevention a ajouté cette adresse car l'une de ses règles de pare-feu utilise l'option Considérer les correspondances comme des intrusions, cette colonne répertorie le nom de la règle de pare-feu correspondante. Si vous avez ajouté cette adresse manuellement, cette colonne répertorie uniquement l'adresse IP bloquée. Heure et date auquelles vous avez ajouté cette adresse à la liste des adresses bloquées. 103

104 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Colonne Temps restant Ce qu'elle affiche Durée pendant laquelle Host Intrusion Prevention continue à bloquer cette adresse. Si vous avez indiqué une heure d'epiration au moment du blocage de l'adresse, cette colonne indique le nombre de minutes restantes avant que Host Intrusion Prevention ne supprime l'adresse de la liste. Si vous avez indiqué que vous souhaitez que cette adresse soit bloquée jusqu'à sa suppression manuelle de la liste, cette colonne indique Jusqu'à suppression. Modification de la liste des Hôtes bloqués Modifiez la liste des adresses bloquées pour ajouter, supprimer, modifier ou afficher des hôtes bloqués. Tâche 1 Cliquez sur Ajouter pour ajouter un hôte. 2 Dans la boîte de dialogue Hôte bloqué, saisissez l'adresse IP que vous voulez bloquer. Pour rechercher une adresse IPS par nom de domaine, cliquez sur Recherche DNS. Si vous trouvez le nom d'hôte à cet endroit, cliquez sur Utiliser. 3 Saisissez le nombre de minutes, jusqu'à 60, durant lesquelles bloquer l'adresse IP. 4 Cliquez sur OK. REMARQUE : après avoir créé une adresse bloquée, Host Intrusion Prevention ajoute une nouvelle entrée à la liste dans l'onglet Protection d'applications. Il bloque toute tentative de communication depuis cette adresse IP jusqu'à suppression de cette adresse de la liste des adresses bloquées ou epiration de la durée définie. 5 Pour d'autres modifications, effectuez l'une des actions suivantes : Pour... Opérations à eécuter... Afficher les détails d'un hôte bloqué ou modifier un hôte bloqué Double-cliquez sur une entrée d'hôte ou sélectionnez un hôte et cliquez sur Propriétés. La boîte de dialogue Hôte bloqué affiche des informations pouvant être modifiées. Supprimer un hôte bloqué Appliquer les modifications immédiatement Sélectionnez un hôte et cliquez sur Supprimer. Cliquez sur Appliquer. Si vous ne cliquez pas sur ce bouton après avoir effectué les modifications, une boîte de dialogue s'affiche et vous invite à les enregistrer. A propos de l'onglet Liste de protection des applications L'onglet Liste de protection des applications affiche une liste d'applications protégées sur le client. Il s'agit d'une liste de stratégies d'administration en lecture seule et d'une liste d'applications spécifiques au client créée de manière heuristique. 104

105 Utilisation des clients Host Intrusion Prevention Présentation du client Windows Cette liste montre tous les processus surveillés sur le client. Tableau 19 : Onglet Protection d'applications Colonne Ce qu'elle affiche Processus PID Chemin d'accès complet à l'application Processus d'application. ID de processus, essentiel pour rechercher un processus dans la mémoire cache. Chemin d'accès complet du fichier eécutable de l'application. A propos de l'onglet Journal d'activité Utilisez l'onglet Journal d'activité pour configurer la fonction de journalisation et suivre les actions de Host Intrusion Prevention. Le Journal d'activité contient un journal des activités en cours. Les activités les plus récentes apparaissent au bas de la liste. Colonne Heure Evénement Adresse IP/utilisateur Données d'intrusion Application Message Règle correspondante Ce qu'elle affiche Date et heure de l'action Host Intrusion Prevention. Fonction qui a effectué l'action. Trafic indique une action de pare-feu. Application indique une action de blocage d'application. Intrusion indique une action IPS. Système indique un événement lié au composants internes du logiciel. Service indique un événement lié au services ou au pilotes du logiciel. Adresse distante à laquelle cette communication a été envoyée ou de laquelle elle provient. Icône indiquant que Host Intrusion Prevention a enregistré les données du paquet associées à cette attaque (s'affiche uniquement pour les entrées de journal IPS). Vous pouvez eporter les données du paquet associées à cette entrée de journal. Cliquez sur l'entrée de journal avec le bouton droit de la souris pour enregistrer les données dans un fichier renifleur. REMARQUE : cette colonne s'affiche uniquement si vous sélectionnez Créer une capture de renifleur... dans la boîte de dialogue Options McAfee. Programme qui a causé l'action. Description de l'action, avec autant de détails que possible. Nom de la règle mise en correspondance. REMARQUE : cette colonne se situe à l'etrême droite de l'écran. Vous devez donc faire défiler ou redimensionner les colonnes pour afficher la colonne concernée et son contenu. Personnalisation des options du journal d'activité Les options en haut de l'onglet contrôlent les paramètres de journalisation fournis par les stratégies de l'interface utilisateur du client côté serveur après déverrouillage de l'interface du client. 105

106 Utilisation des clients Host Intrusion Prevention Présentation du client Solaris Tâche 1 Dans la console du client Host IPS, cliquez sur l'onglet Journal d'activité. 2 Sélectionnez ou désélectionnez une option, selon vos besoins. Sélectionnez... Journalisation du trafic - Journaliser tous les éléments bloqués Journalisation du trafic - Journaliser tous les éléments autorisés Options de filtre - Trafic Options de filtre - Intrusions Pour... Journalise tout le trafic de pare-feu bloqué. Journalise tout le trafic de pare-feu autorisé. Filtre les données pour afficher le trafic de pare-feu bloqué et autorisé. Filtre les données pour afficher les intrusions. REMARQUE : vous pouvez activer et désactiver la journalisation pour le trafic de pare-feu, mais pas pour la fonction IPS. Cependant, vous pouvez choisir de masquer ces événements dans le journal en les éliminant par filtrage. 3 Suivez l'une des procédures suivantes pour modifier l'affichage : Pour... Actualiser l'affichage Supprimer définitivement le contenu du journal Enregistrer le contenu du journal et supprimer la liste de l'onglet Appliquer les modifications immédiatement Opérations à eécuter... Cliquez sur Actualiser. Cliquez sur Effacer. Cliquez sur Eporter. Dans la boîte de dialogue qui s'affiche, nommez et enregistrez le fichier.tt. Cliquez sur Appliquer. Si vous ne cliquez pas sur ce bouton après avoir effectué les modifications, une boîte de dialogue s'affiche et vous invite à les enregistrer. Présentation du client Solaris Le client Solaris Host Intrusion Prevention identifie et prévient les attaques potentiellement nuisibles et susceptibles de compromettre le bon fonctionnement des fichiers et applications d'un serveur Solaris. Il protège le système d'eploitation du serveur et les serveurs web Apache et Sun en s'aant particulièrement sur le blocage des attaques par Buffer Overflow. Mise en œuvre des stratégies avec le client Solaris Les stratégies qui protègent un client Windows ne sont pas toutes applicables au client Solaris. En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre pas de protection par pare-feu. Les stratégies disponibles sont présentées ci-après. Tableau 20 : Stratégies de client Solaris Stratégie Options disponibles Host Intrusion Prevention 8.0 IPS Options IPS Activer HIPS Activer le mode adaptatif Conserver les règles de client eistantes 106

107 Utilisation des clients Host Intrusion Prevention Présentation du client Solaris Stratégie Protection IPS Options disponibles Tous Règles IPS Règles d'eception Signatures (règles HIPS par défaut et personnalisées uniquement) REMARQUE : les signatures et règles de protection des applications NIPS ne sont pas disponibles. Host Intrusion Prevention 8.0 General Interface utilisateur du client Réseau approuvés Applications approuvées Host Intrusion Prevention 8.0 Firewall Aucune sauf administrative ou mot de passe à validité limitée pour permettre l'utilisation de l'outil de dépannage. Aucun Uniquement Marquer comme sécurisée pour IPS et Nouveau nom de processus pour ajouter des applications approuvées. Aucune Dépannage du client Solaris Si un problème survient au moment de l'installation ou de la désinstallation du client, plusieurs éléments doivent être eaminés. On peut notamment s'assurer que tous les fichiers nécessaires ont été installés dans le bon répertoire, désinstaller puis réinstaller le client et vérifier les journau de processus. En outre, vous pouvez rencontrer des problèmes avec le fonctionnement du client. Vérifiez que le client est bien en cours d'eécution, arrêtez-le puis redémarrez-le. Le client Solaris ne possède pas d'interface utilisateur pour le dépannage des problèmes liés au fonctionnement. Il propose un outil de dépannage de ligne de commande, hipts, situé dans le répertoire /opt/mcafee/hip. Pour utiliser cet outil, vous devez donner le mot de passe du client Host Intrusion Prevention. Utilisez le mot de passe par défaut du client (abcde12345) ou envoyez une stratégie d'interface utilisateur au client avec un mot de passe administrateur ou un mot de passe à validité limitée défini avec la stratégie et utilisez-le. L'outil de dépannage permet : d'indiquer les paramètres de journalisation et le statut du moteur du client ; d'activer et de désactiver la journalisation des messages ; d'activer et de désactiver les moteurs. Connectez-vous en tant qu'administrateur et eécutez les commandes d'aide au dépannage ci-dessous : Pour... Obtenir l'état actuel du client indiquant quel type de journalisation est activé et quels moteurs sont en cours d'eécution. Activer la journalisation de types de messages spécifiques. Désactiver la journalisation de tous les types de messages. La journalisation est désactivée par défaut. Afficher le type de message indiqué lorsque la journalisation est activée. Ces messages comprennent : error Eécutez... hipts status hipts logging on hipts logging off hipts message <message name>:on 107

108 Utilisation des clients Host Intrusion Prevention Présentation du client Solaris Pour... warning debug info violations Masquer le type de message indiqué lorsque la journalisation est activée. L'erreur de message est désactivée par défaut. Afficher tous les types de message lorsque la journalisation est activée. Masquer tous les types de message lorsque la journalisation est activée. Activer le moteur indiqué. Le moteur est activé par défaut. Les moteurs comprennent : MISC FILES GUID MMAP BO HTTP Désactiver le moteur indiqué. Activer tous les moteurs. Désactiver tous les moteurs. Eécutez... hipts message <message name>:off hipts message all:on hipts message all:off hipts engines <engine name>:on hipts engines <engine name>:off hipts engines all:on hipts engines all:off CONSEIL : outre l'utilisation de l'outil de dépannage, consultez les fichiers HIPShield.log et HIPClient.log dans le répertoire /opt/mcafee/hip/log pour vérifier les opérations ou effectuer le suivi des problèmes. Vérification des fichiers d'installation Solaris Après une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire, sur le client. Le répertoire /opt/mcafee/hip doit contenir les fichiers et répertoires essentiels suivants : Nom du fichier/répertoire HipClient ; HipClient-bin HipClientPolicy.ml hipts ; hipts-bin *.so Répertoire log Description Client Solaris Règles de stratégie Outil de dépannage Host Intrusion Prevention et modules d'objets partagés de McAfee Agent Contient des fichiers journau d'erreurs et de débogage L'historique d'installation est consigné dans /opt/mcafee/etc/hip-install.log. Reportez-vous à ce fichier pour toute question concernant le processus d'installation ou de suppression du client Host Intrusion Prevention. 108

109 Utilisation des clients Host Intrusion Prevention Présentation du client Linu Vérification de l'eécution du client Solaris Le client est correctement installé, mais vous pouvez rencontrer des problèmes au moment de son utilisation. Si le client ne s'affiche pas sur la console epo par eemple, utilisez l'une des commandes suivantes pour vérifier qu'il est en cours d'eécution : /etc/rc2.d/s99hip status ps ef grep Hip Arrêt du client Solaris Dans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'eécution puis à le redémarrer. Tâche 1 Pour arrêter l'eécution d'un client, désactivez d'abord la protection IPS. Utilisez l'une des procédures suivantes : Définissez Options IPS sur Désactivé, dans la console epo, et appliquez la stratégie au client. Une fois connecté à la racine, eécutez la commande suivante : hipts engines MISC:off 2 Eécutez la commande suivante : /sbin/rc2.d/s99hip stop Redémarrage du client Solaris Dans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'eécution puis à le redémarrer. Tâche 1 Eécutez la commande suivante : /sbin/rc2.d/s99hip restart. 2 Activez la protection IPS. Utilisez l'une des procédures suivantes, selon celle que vous avez utilisée pour arrêter le client : Définissez Options IPS sur Activé, dans la console epo, et appliquez la stratégie au client. Une fois connecté à la racine, eécutez la commande suivante : hipts engines MISC:on Présentation du client Linu Le client Linu Host Intrusion Prevention identifie et prévient les attaques potentiellement nuisibles et susceptibles de compromettre le bon fonctionnement des fichiers et applications d'un serveur Linu. Il protège le système d'eploitation du serveur et les serveurs web Apache en s'aant particulièrement sur le blocage des attaques par Buffer Overflow. Mise en œuvre des stratégies avec le client Linu Les stratégies qui protègent un client Windows ne sont pas toutes applicables au client Linu. En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre 109

110 Utilisation des clients Host Intrusion Prevention Présentation du client Linu pas de protection en matière d'intrusion dans le réseau, notamment en cas de Buffer Overflow. Les stratégies disponibles sont présentées ci-après. Tableau 21 : Stratégies du client Linu Stratégie Host Intrusion Prevention 8.0 IPS Options IPS Protection IPS Options disponibles Activer HIPS Activer le mode adaptatif Conserver les règles de client eistantes Tous Règles IPS Règles d'eception Signatures (règles HIPS par défaut et personnalisées uniquement) REMARQUE : les signatures et règles de protection des applications NIPS ne sont pas disponibles. Host Intrusion Prevention 8.0 General Interface utilisateur du client Réseau approuvés Applications approuvées Host Intrusion Prevention 8.0 Firewall Aucune sauf administrative ou mot de passe à validité limitée pour permettre l'utilisation de l'outil de dépannage. Aucun Uniquement Marquer comme sécurisée pour IPS et Nouveau nom de processus pour ajouter des applications approuvées. Aucune Remarques concernant le client Linu Le client Linu Host IPS 8.0 n'est pas compatible avec SELinu en mode d'application. Pour désactiver le mode d'application, eécutez la commande : system-config-securitylevel, modifiez le paramètre pour le désactiver et redémarrez le système client. Lorsque les modules de noyau Linu Host IPS 8.0 sont chargés, le noyau SUSE est signalé comme étant infecté. Le journal du noyau présente l'indicateur suivant : schook : module non pris en charge par Novell, définition marqueur U; hipsec: module non pris en charge par Novell, définition de marqueur U. La configuration requise par Novell pour les modules tiers est à l'origine de l'indication d'infection du noyau Host IPS. Les modules de noyau Linu Host IPS 8.0 sont sous Licence Publique Générale (GPL) : ce message doit donc être ignoré. McAfee et Novell travaillent ensemble à la résolution de ce problème. Dépannage du client Linu Si un problème survient au moment de l'installation ou de la désinstallation du client, plusieurs éléments doivent être eaminés. On peut notamment s'assurer que tous les fichiers nécessaires ont été installés dans le bon répertoire, désinstaller puis réinstaller le client et vérifier les journau de processus. En outre, vous pouvez rencontrer des problèmes avec le fonctionnement du client. Vérifiez que le client est bien en cours d'eécution, arrêtez-le puis redémarrez-le. Le client Linu ne possède pas d'interface utilisateur pour le dépannage des problèmes liés à son fonctionnement. Il propose un outil de dépannage de ligne de commande, hipts, situé dans le répertoire opt/mcafee/hip. Pour utiliser cet outil, vous devez donner le mot de passe du client 110

111 Utilisation des clients Host Intrusion Prevention Présentation du client Linu Host Intrusion Prevention. Utilisez le mot de passe par défaut du client (abcde12345) ou envoyez une stratégie d'interface utilisateur du client avec un mot de passe administrateur ou un mot de passe à validité limitée défini avec la stratégie et utilisez-le. L'outil de dépannage permet : d'indiquer les paramètres de journalisation et le statut du moteur du client ; d'activer et de désactiver la journalisation des messages ; d'activer et de désactiver les moteurs. Connectez-vous en tant qu'administrateur et eécutez les commandes d'aide au dépannage ci-dessous : Pour... Obtenir l'état actuel du client indiquant quel type de journalisation est activé et quels moteurs sont en cours d'eécution. Activer la journalisation de types de messages spécifiques. Désactiver la journalisation de tous les types de messages. La journalisation est désactivée par défaut. Afficher le type de message indiqué lorsque la journalisation est activée. Ces messages comprennent : error warning debug info violations Masquer le type de message indiqué lorsque la journalisation est activée. L'erreur de message est désactivée par défaut. Afficher tous les types de message lorsque la journalisation est activée. Masquer tous les types de message lorsque la journalisation est activée. Activer le moteur indiqué. Le moteur est activé par défaut. Les moteurs comprennent : MISC FILES HTTP Désactiver le moteur indiqué. Activer tous les moteurs. Désactiver tous les moteurs. Eécutez... hipts status hipts logging on hipts logging off hipts message <message name>:on hipts message <message name>:off hipts message all:on hipts message all:off hipts engines <engine name>:on hipts engines <engine name>:off hipts engines all:on hipts engines all:off CONSEIL : outre l'utilisation de l'outil de dépannage, consultez les fichiers HIPShield.log et HIPClient.log dans le répertoire McAfee/hip/log pour vérifier les opérations ou effectuer le suivi des problèmes. 111

112 Utilisation des clients Host Intrusion Prevention Présentation du client Linu Vérification des fichiers d'installation Linu Après une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire du client. Le répertoire opt/mcafee/hip doit contenir les fichiers et répertoires essentiels mentionnés ci-dessous : Nom du fichier HipClient ; HipClient-bin HipClientPolicy.ml hipts ; hipts-bin *.so Répertoire log Description Client Linu Règles de stratégie Outil de dépannage Host Intrusion Prevention et modules d'objets partagés de McAfee Agent Contient des fichiers journau d'erreurs et de débogage L'historique d'installation est consigné dans /opt/mcafee/etc/hip-install.log. Reportez-vous à ce fichier pour toute question concernant le processus d'installation ou de suppression du client Host Intrusion Prevention. Vérification de l'eécution du client Linu Si le client ne s'affiche pas sur la console epo, par eemple, vérifiez qu'il est en cours d'eécution. Pour ce faire, eécutez la commande : ps ef grep Hip Arrêt du client Linu Dans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'eécution puis à le redémarrer. Tâche 1 Pour arrêter l'eécution d'un client, désactivez la protection IPS. Utilisez l'une des procédures suivantes : Définissez Options IPS sur Désactivé, dans la console epo, et appliquez la stratégie au client. Eécutez la commande suivante : hipts engines MISC:off 2 Eécutez la commande suivante : hipts agent off Redémarrage du client Linu Dans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'eécution puis à le redémarrer. Tâche 1 Eécutez la commande suivante : hipts agent on. 2 Activez la protection IPS. Utilisez l'une des procédures suivantes, selon celle que vous avez utilisée pour arrêter le client : Définissez Options IPS sur Activé, dans la console epo, et appliquez la stratégie au client. 112

113 Utilisation des clients Host Intrusion Prevention Présentation du client Linu Eécutez la commande suivante : hipts engines MISC:on 113

114 Annee A : Création d'eceptions et de signatures personnalisées Cette section décrit la structure des signatures IPS, et fournit notamment une liste de classes, paramètres et directives ainsi que des informations relatives à la création de signatures personnalisées pour diverses plates-formes clientes. Ces informations peuvent également être utilisées si vous travaillez dans la page Détails avancés pour les eceptions. Table des matières Structure d'une règle Signatures personnalisées Windows Signatures personnalisées non Windows Structure d'une règle Chaque signature contient une ou plusieurs règles écrites au format ANSI Tool Command Language (TCL). Chaque règle contient des sections obligatoires et facultatives, avec une section par ligne. Les sections facultatives varient en fonction du système d'eploitation et de la classe de la règle. Chaque section définit une catégorie de règle et sa valeur. Une section identifie toujours la classe de la règle, qui définit le comportement global de cette dernière. La structure de base d'une règle est la suivante : Rule { SectionA value SectionB value SectionC value... } REMARQUE : veillez à vérifier la syntae d'écriture de chaînes et de séquences d'échappement dans TCL avant de tenter d'écrire des règles personnalisées. La consultation rapide d'une référence standard sur TCL devrait garantir la saisie correcte des valeurs appropriées. Une règle visant à bloquer une requête vers le serveur web et contenant «subject» dans la partie «query» de la requête HTTP a le format suivant : Rule { Class Isapi Id 4001 level 4 query { Include *subject* } 114

115 Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle method { Include GET } time { Include * } Eecutable { Include * } user_name { Include * } directives isapi:request } Consultez les rubriques Signatures personnalisées Windows et Signatures personnalisées non Windows pour obtenir une eplication concernant les différentes sections et valeurs. Sections communes Les sections communes d une règle et leurs valeurs comprennent les éléments ci-dessous. Pour les sections relatives à la section class sélectionnée, consultez la section class des signatures personnalisées Windows ou non Windows. Les mots-clés Include et Eclude sont utilisés pour toutes les sections, à l'eception de tag, Id, level et directives. Include signifie que la section travaille sur la valeur indiquée et Eclude signifie que la section travaille sur toutes les valeurs sauf sur celle qui est indiquée. REMARQUE : tous les noms de sections sont sensibles à la casse sur toutes les plates-formes. Les valeurs des sections sont sensibles à la casse sur les plates-formes non Windows uniquement. Section Valeur Description Class Dépend du système d'eploitation. Indique la classe à laquelle cette règle s'applique. Voir Signatures personnalisées Windows ou Signatures personnalisées non Windows. tag Id level user_name Nom de la règle entre guillemets "..." {Include/Eclude nom de l'utilisateur ou compte système} Nom de la sous-règle. Numéro d'id unique de la signature. Les numéros disponibles sont les mêmes que pour les règles personnalisées. Niveau de gravité de la signature : 0 = Désactivé 1 = Journal 2 = Faible 3 = Moyen 4 = Elevé Utilisateurs auquels la règle s'applique. Spécifiez des utilisateurs particuliers ou l'ensemble des utilisateurs. Remarques pour Windows : Pour l'utilisateur local : utiliser <nom ordinateur>/<nom utilisateur local>. Pour l'utilisateur de domaine : utiliser <nom domaine>/<nom utilisateur domaine>. Pour le système local : utiliser Local/système. Certaines actions eécutées à distance ne consignent pas l'id de l'utilisateur distant mais utilisent plutôt le service local et son contete utilisateur. Vous devez donc 115

116 Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle Section Valeur Description prendre cet élément en compte lorsque vous développez des règles. Lorsqu'un processus s'eécute sous une session nulle, l'utilisateur et le domaine sont «anonymes». Si une règle s'applique à l'ensemble des utilisateurs, utilisez *. Sous UNI, cette section est sensible à la casse. Eecutable directives {Include/Eclude le chemin d'accès, l'empreinte, le signataire ou la description du fichier} type d'opération Chaque fichier eécutable est spécifié à l'intérieur des accolades à l'aide de -path, -hash, -sdn, -desc. Chaque section peut contenir plusieurs accolades à l'intérieur desquelles plusieurs options peuvent figurer. Les valeurs -path (nom du chemin d'accès au fichier), -sdn (signataire du fichier) et -desc (description) sont des chaînes et doivent subir un échappement TCL si elles contiennent des espaces ou autres caractères réservés TCL. La valeur -hash (hachage MD5) est une chaîne hebin de 32 caractères. Eemple : Eecutable {Include -path "C:\\Program Files\\McAfee\\VirusScan Enterprise\\Mcshield.ee" -sdn "CN=\"mcafee,inc.\", OU=iss, OU=digital id class 3 - microsoft software validation v2, O=\"mcafee, inc.\", L=santa clara, ST=california, C=us" -desc "On-Access Scanner service"} Si une règle s'applique à l'ensemble des fichiers eécutables, utilisez *. Sous UNI, cette section est sensible à la casse. Les types d'opérations sont dépendants de la classe et sont répertoriés pour chaque classe dans les sections suivantes. REMARQUE : vous pouvez créer une signature à règles multiples en ajoutant simplement une règle après l'autre. N'oubliez pas que chaque règle d'une même signature doit avoir la même valeur pour ses sections Id et level. Utilisation des fonctions Include et Eclude Lorsque vous définissez une valeur de section sur Include, la section travaille sur la valeur indiquée, tandis que pour la fonction Eclude, la section travaille sur l'ensemble des valeurs, sauf sur celle indiquée. Lorsque vous utilisez ces mots-clés, ils apparaissent entre accolades {... }. REMARQUE : avec la sous-règle standard, utilisez une barre oblique inverse simple dans les chemins de fichier ; avec la sous-règle d'eportation, utilisez une double barre oblique inverse pour ces chemins. La sous-règle standard transforme les barres obliques simples en doubles barres, contrairement à la sous-règle epert. Par eemple, pour surveiller tous les fichiers tete de C:\test\ : files { Include C:\\test\\*.tt } et pour surveiller tous les fichiers tete sauf ceu de C:\test\ : files { Eclude C:\\test\\*.tt } 116

117 Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle Combinez les mots-clés pour eclure des valeurs d'un ensemble de valeurs associées. Pour surveiller tous les fichiers tete du dossier C:\test\, sauf le fichier abc.tt : files { Include C:\\test\\*.tt } files { Eclude C:\\test\\abc.tt } Chaque fois que vous ajoutez la même section avec le même mot-clé, vous ajoutez une opération. Pour surveiller tout fichier tete du dossier C:\test\ dont le nom commence par la chaîne «abc» : files { Include C:\\test\\*.tt } files { Include C:\\test\\abc* } REMARQUE : Eclude l'emporte sur Include dans l'ordre de priorité. Voici trois eemples : Si une seule sous-règle inclut un utilisateur particulier marketing\jjohns et eclut le même utilisateur marketing\jjohns, la signature ne se déclenche pas même lorsque l'utilisateur marketing\jjohns eécute une action déclenchant la signature. Si une sous-règle inclut tous les utilisateurs mais eclut l'utilisateur marketing\jjohns en particulier, la signature ne se déclenche que si l'utilisateur n'est PAS marketing\jjohns. Si une sous-règle inclut l'utilisateur marketing\* mais eclut marketing\jjohns, la signature ne se déclenche que si l'utilisateur est marketing\, à moins que l'utilisateur ne soit marketing\jjohns, auquel cas la signature ne se déclenche pas. Sections communes facultatives Les sections facultatives d'une règle et leurs valeurs comprennent l'élément ci-dessous. Pour les sections facultatives relatives à la section class sélectionnée, consultez la section class des signatures personnalisées Windows et non Windows. Les mots-clés Include et Eclude sont utilisés pour les dépendances et les attributs. Include signifie que la section travaille sur la valeur indiquée et Eclude signifie que la section travaille sur toutes les valeurs sauf sur celle qui est indiquée. Section Valeur Description dependencies {Include/ Eclude "ID de règle"} Définit les dépendances entre les règles et bloque le déclenchement de règles dépendantes. attributes no_log not_auditable no_trusted_apps inactive Les événements de la signature ne sont pas envoyés au serveur epo. Aucune eception n'est générée pour la signature lorsque le mode adaptatif est appliqué. La liste des applications approuvées ne s'applique pas à cette signature. La signature est désactivée. Utilisation de la section dependencies Ajoutez la section facultative dependencies pour empêcher qu'une règle plus générale ne se déclenche en même temps qu'une règle plus spécifique. Par eemple, si une règle est définie pour surveiller un seul fichier tete dans C:\test\ files { Include C:\\test\\abc.tt } et une autre définie pour surveiller tous les fichiers tete dans C:\test\ files { Include C:\\test\\*.tt } 117

118 Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle Ajoutez la section dependencies à la règle plus spécifique, ce qui commandera au système de ne pas déclencher la règle plus générale lors du déclenchement de la règle spécifique. files { Include C:\\test\\abc.tt } dependencies the general rule Caractères génériques et variables Les caractères génériques, les métasymboles et les variables prédéfinies peuvent être utilisés en tant que valeurs dans les sections disponibles. Caractères génériques Vous pouvez utiliser des caractères génériques pour les valeurs de section. L'utilisation des astérisques dans les chemins d'accès et adresses est légèrement différente : ils contiennent habituellement des barres obliques et des barres obliques inverses. Pour les sous-règles epert des signatures, le jeu de caractères génériques TCL est utilisé. Tableau 22 : Caractères génériques Caractère? (point d interrogation) * (astérisque) Ce qu'il représente Caractère unique. Plusieurs caractères, y compris / et \. REMARQUE : pour les chemins d'accès et les adresses, utilisez ** (deu astérisques) pour inclure / et \ ; utilisez * (astérisque) pour eclure / et \. (barre verticale) Tableau 23 : Caractères génériques TCL Caractère? (point d interrogation) * (astérisque) & (esperluette)! (point d eclamation) Caractère générique d'échappement. Ce qu'il représente Caractère unique. Plusieurs caractères, y compris / et \. Eemple : files { Include C:\*.tt } Plusieurs caractères, sauf / et \. À utiliser pour représenter le contenu au niveau racine d'un dossier, mais pas des sous-dossiers. Eemple : files { Include C:\test\\&.tt } Caractère générique d'échappement. Eemple : files { Include C:\test\\yahoo!.tt } Utilisation des variables d'environnement Utilisez les variables d'environnement, c'est-à-dire la commande ienv suivie d'un seul paramètre (le nom de la variable) entre crochets [... ], pour abréger les noms de fichiers et de chemins de répertoire Windows. Variable d'environnement ienv SystemRoot Ce qu'elle représente C:\winnt\, où C représente le lecteur contenant le dossier système Windows. Eemple : files {Include [ienv SystemRoot]\\system32\\abc.tt } 118

119 Annee A : Création d'eceptions et de signatures personnalisées Structure d'une règle Variable d'environnement ienv SystemDrive Ce qu'elle représente C:\, où C représente le lecteur contenant le dossier système Windows. Eemple : files {Include [ienv SystemDrive]\\system32\\abc.tt} Utilisation des variables prédéfinies Host Intrusion Prevention propose des variables prédéfinies pour l'écriture des règles. Ces variables sont précédées d'un «$» et sont répertoriées ci-dessous. Tableau 24 : Serveur web IIS Windows Variable IIS_BinDir IIS_Computer IIS_Envelope IIS_Ee_Dirs IIS_Ftp_Dir IIS_FTP_USR IIS_FtpLogDir IIS_IUSR IIS_IUSRD IIS_IWAM IIS_LogFileDir IIS_LVirt_Root IIS_Processes IIS_Services Description Répertoire où se situe inetinfo.ee Nom d'ordinateur sur lequel IIS est eécuté Inclut tous les fichiers auquels IIS a accès Répertoires virtuels permettant l'eécution de fichiers, y compris les racines système et IIS Répertoires racine du site FTP Nom du compte d'utilisateur anonyme FTP local Répertoire de fichiers journau FTP Nom du compte d'utilisateur anonyme Web local Nom du compte d'utilisateur anonyme Web de domaine Nom du compte utilisateur du Gestionnaire d'applications web IIS Répertoire de fichiers journau web Tous les répertoires virtuels IIS Processus ayant des droits d'accès au ressources IIS Tous les services nécessaires au fonctionnement correct d'iis Tableau 25 : Serveur de base de données MS SQL Variable Description MSSQL_Allowed_Access_Paths MSSQL_Allowed_Eecution_Paths MSSQL_Allowed_Modification_Paths MSSQL_Auiliary_Services MSSQL_Core_Services MSSQL_Data_Paths MSSQL_DataRoot_Paths MSSQL_Instances Répertoires accessibles tels que \WINNT et \WINNT\System32 Répertoires eécutables tels que \WINNT et \WINNT\System32 Répertoires modifiables tels que \WINNT\Temp Services MS SQL auiliaires détectés sur le système Services MS SQL principau détectés sur le système Tous les autres fichiers de données associés à MS SQL susceptibles de se trouver en dehors du répertoire MSSQL_DataRoot_Path Chemin d'accès au fichiers de données MS SQL pour chaque instance Nom de chaque instance MS SQL installée 119

120 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Variable MSSQL_Registry_Paths Tableau 26 : Uni Apache et iplanet Variable UAPACHE_Bins UAPACHE_CgiRoots UAPACHE_ConfDirs UAPACHE_DocRoots UAPACHE_Logs UAPACHE_Logs_dir UAPACHE_Roots UAPACHE_Users UAPACHE_VcgiRoots UAPACHE_VdocRoots UAPACHE_Vlogs UAPACHE_Vlogs_dir UIPLANET_BinDirs UIPLANET_CgiDirs UIPLANET_DocDirs UIPLANET_Process UIPLANET_Roots Description Tous les emplacements du Registre associés à MS SQL Description Chemin d'accès au fichiers binaires Apache Chemin d'accès au racines CGI Répertoires contenant les fichiers de configuration Apache Chemin d'accès au racines du document Fichiers journau Apache Répertoire des fichiers journau Racines web Apache Utilisateurs qu'apache eécute en tant que Chemin d'accès au racines CGI des serveurs virtuels Racines du document virtuel Fichiers journau des serveurs virtuels Répertoires pour les fichiers journau des serveurs virtuels Chemin d'accès au fichiers binaires iplanet Chemin d'accès au répertoires CGI Chemins d'accès au répertoires du document Chemin d'accès au fichiers binaires ns-httpd iplanet Chemin d'accès à la racine iplanet Signatures personnalisées Windows Cette section décrit la méthode d'écriture de signatures personnalisées pour la plate-forme Windows. REMARQUE : les règles classe Files de Windows utilisent une double barre oblique inverse pour les chemins d'accès alors que les règles classe UNI_file non Windows utilisent une simple barre oblique. La classe d'une signature dépend de la nature du problème de sécurité et de la protection offerte par la signature. Certaines des classes et paramètres apparaissent dans l'interface utilisateur de signature personnalisée, d'autres non. Les classes et paramètres sans interface utilisateur appellent l'utilisation de la méthode epert pour la création de règles, qui constitue le seul moyen d'y accéder. Sous Windows, les classes suivantes sont disponibles : Classe Buffer Overflow Files Hook Conditions d'utilisation Pour la protection contre un Buffer Overflow Pour la protection des opérations de fichier ou de répertoire Pour la protection de l'accrochage des processus d'api 120

121 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Classe Illegal API Use Illegal Use Isapi Program Registry Services SQL Conditions d'utilisation Pour la protection contre l'utilisation illicite de l'api Host IPS Pour la protection contre l'utilisation illicite de l'api Pour la surveillance des requêtes HTTP transmises à IIS Pour la protection des opérations de programme Pour la protection des opérations de clé et de valeur de Registre Pour la protection des opérations de service Pour la protection des opérations SQL Classe Windows Buffer Overflow Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Buffer Overflow : Section Class Id level time user_name Eecutable dependencies caller module directives Valeurs Buffer_Overflow Voir Sections communes. 428 Chemin d'accès à un module (c.-à-d. un fichier DLL) chargé par un eécutable qui effectue un appel causant un Buffer Overflow bo:stack bo:heap bo:writeable_memory bo:invalid_call bo:target_bytes Remarques Facultatif. Voir la note 1. Eamine l'emplacement de la mémoire en cours d'eécution et détermine si ce dernier est eécuté à partir de la mémoire inscriptible faisant partie de la pile actuelle du thread. Eamine l'emplacement de la mémoire en cours d'eécution et détermine si ce dernier est eécuté à partir de la mémoire inscriptible faisant partie d'un tas. Eamine l'emplacement de la mémoire en cours d'eécution et détermine si ce dernier est eécuté à partir de la mémoire inscriptible ne faisant ni partie de la pile actuelle du thread, ni d'un tas. Vérifie que l'api est appelée à partir d'une instruction d'appel correcte. Chaîne headécimale représentant 32 octets d'instructions qui peuvent être utilisés pour créer une eception ciblée pour un fau positif sans 121

122 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Section Valeurs bo:call_not_found bo:call_return_unreadable Remarques jamais désactiver le Buffer Overflow pendant toute la durée du processus. Vérifie que la séquence de code précédant l'adresse de l'epéditeur n'est pas un appel. Vérifie que l'adresse de l'epéditeur ne se trouve pas dans la mémoire lisible. bo:call_different_target_address Vérifie que la cible de l'appel ne correspond pas à la cible accrochée. bo:call_return_to_api Vérifie que l'adresse de l'epéditeur correspond au point d'entrée de l'api. Note 1 La signature 428, Generic Buffer Overflow, est une règle de Buffer Overflow générique. Pour bloquer le déclenchement de cette règle, incluez la section «dependencies 428» dans la signature personnalisée. Class Files Windows Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Files : Section Class Id level time user_name Eecutable (Utilisez ce paramètre pour différencier l'accès au fichier local ou distant. Voir la note 3.) files dest_file Valeurs Files Voir Sections communes. Fichier ou dossier utilisé dans l'opération Fichiers de destination, si l'opération utilise des fichiers source et de destination Remarques L'un des paramètres requis. Voir les notes 1 et 2. L'un des paramètres requis. Utilisé uniquement avec files:rename et files:hardlink. Voir les notes 1 et 2. drive_type Network : accès fichier réseau Floppy : accès lecteur de disquettes CD : accès CD ou DVD OtherRemovable : accès lecteur USB ou autre lecteur amovible OtherFied : accès disque dur local ou autre disque dur fie Permet la création de règles class Files spécifiques au types de lecteurs. 122

123 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Section directives Valeurs files:create files:read files:write files:eecute files:delete files:rename files:attribute files:hardlink Remarques Crée un fichier dans un répertoire ou déplace un fichier dans un autre répertoire. Ouvre le fichier avec accès en lecture seule. Ouvre le fichier avec accès en lecture/écriture. Eécute le fichier (eécuter un répertoire signifie que ce répertoire devient le répertoire courant). Supprime le fichier d'un répertoire ou le déplace vers un autre répertoire. Renomme un fichier dans le même répertoire. Voir la note 2. Modifie les attributs d'un fichier. Les attributs surveillés comprennent : read-only hidden archive system Crée un lien physique. Note 1 Si la section files est utilisée, le chemin d'accès à un dossier ou à un fichier surveillé peut être le chemin d'accès complet ou un caractère générique. Par eemple, voici quelques chemins d'accès valides : files { Include C:\\test\\abc.tt } files { Include *\\test\\abc.tt } files { Include *\\abc.tt } Si la section dest_file est utilisée, le chemin d'accès absolu ne peut pas être utilisé et il est nécessaire de placer un caractère générique en début de chemin pour représenter le lecteur. Par eemple, voici quelques chemins d'accès valides : dest_file { Include *\\test\\abc.tt } dest_file { Include *\\abc.tt } Note 2 La directive files:rename prend une signification différente lorsqu'elle est associée au sections files et dest_file. Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichier dans cette section est surveillé. Par eemple, la règle suivante surveille le changement de nom du fichier C:\test\abc.tt en tout autre nom : Rule { tag "Sample1" Class Files Id 4001 level 4 files { Include C:\\test\\abc.tt } 123

124 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Eecutable { Include * } user_name { Include * } directives files:rename } Lorsqu'elle est associée à la section dest_file, cela signifie qu'aucun fichier ne pourra être renommé avec le nom d'un fichier de cette section. Par eemple, la règle suivante surveille le remplacement du nom de tout fichier par C:\test\abc.tt : Rule { tag "Sample2" Class Files Id 4001 level 4 dest_file { Include *\\test\\abc.tt } Eecutable { Include * } user_name { Include * } directives files:rename } La section files n'est pas obligatoire lorsque la section dest_file est utilisée. Si la section files est utilisée, les sections files et dest_file doivent correspondre. Note 3 Pour qu'une directive différencie l'accès au fichier distant et local, définissez le chemin d'accès du fichier eécutable sur «SystemRemoteClient» : Eecutable { Include -path SystemRemoteClient } Cela permet de bloquer l'eécution d'une directive lorsque l'eécutable n'est pas un fichier local. Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Files. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature. Nom IUG files dest_file Eplication Nom du fichier auquel vous avez eu accès Applicable uniquement pour le changement de nom de fichier. Nouveau nom du fichier. La règle suivante empêche toute personne et tout processus de créer le fichier abc.tt dans le dossier C:\test\. Rule { tag "Sample3" Class Files Id 4001 level 4 files { Include C:\\test\\abc.tt } 124

125 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Eecutable { Include * } user_name { Include * } directives files:create } Les diverses sections de cette règle ont les significations suivantes : Class Files : indique que la règle est associée à la classe des opérations de fichiers. Id 4001 : affecte l'id 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID. level 4 : affecte un niveau de gravité «élevé» à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité. files { Include C:\\test\\abc.tt } : indique que la règle couvre le fichier et le chemin spécifiques C:\test\abc.tt. Si la règle couvre plusieurs fichiers, ajoutez-les dans cette section sur différentes lignes. Par eemple, lors de la surveillance des fichiers C:\test\abc.tt et C:\test\yz.tt, la section est modifiée comme suit : files { Include C:\\test\\abc.tt C:\\test\\yz.tt }. Eecutable { Include * } : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin. user_name { Include * } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contete de sécurité dans lequel un processus est eécuté). Si vous souhaitez limiter votre règle à des contetes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. Voir Sections communes pour plus d'informations. directives files:create : indique que cette règle couvre la création d'un fichier. Classe Windows Hook Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Hook : Section Class Id level time user_name Eecutable module de gestion directives Valeurs Hook Voir Sections communes. Chemin d'accès de l'eécutable accroché par un autre eécutable. hook:set_windows_hook Remarques Paramètre requis. Pour empêcher l'injection d'un fichier DLL dans un eécutable lors de l'utilisation de hook:set_windows_hook, incluez l'eécutable dans la liste de protection des applications. 125

126 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Classe Windows Illegal API Use (Host IPS) Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Illegal API Use : Section Class Id level time user_name Eecutable vulnerability_name detailed_event_info directives Valeurs Illegal_API_Use Voir Sections communes. Nom de la vulnérabilité Un ou plusieurs CLSID. illegal_api_use:bad_parameter illegal_api_use:invalid_call Remarques Il s'agit d'un numéro 128 bits qui représente un ID unique de composant logiciel. Il s'affiche généralement comme suit : "{FAC7A6FB F D2FC56E3F76}" Utilisez cette classe pour créer une signature killbit personnalisée. Le killbit est une fonctionn de sécurité des navigateurs web et autres applications utilisant Active. Un killbit spécifie l'identificateur de classe d'objet (CLSID) des contrôles logiciels Active identifiés comme menaces de sécurité. Les applications utilisant Active ne chargent pas le logiciel Active spécifié avec un killbit correspondant en place. Le principal objectif d'un killbit est de colmater les brèches de sécurité. Les mises à jour de killbits sont habituellement déployées sur les systèmes d'eploitation Microsoft Windows via les mises à jour de sécurité pour Windows. Voici un eemple de signature : Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Eecutable { Include * } user_name { Include * } vulnerability_name {Include "Vulnerable Active Control Loading?"} detailed_event_info { Include "0002E C "\"0002E C "} directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable } 126

127 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Classe Windows Illegal Use Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Illegal Use : Section Class Id level time user_name Eecutable name directives Valeurs Illegal_Use Voir Sections communes. L'une des trois valeurs suivantes : LsarLookupNames, LsarLookupSids ou ADMCOMConnect illegal:api Remarques Classe Windows Isapi (HTTP) Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Isapi avec IIS : Section Class Id level time user_name Eecutable url query method directives Valeurs Isapi Voir Sections communes. GET, POST, INDE ou toute autre méthode HTTP autorisée. isapi:request isapi:requrl isapi:reqquery isapi:rawdata isapi:response Remarques L'un des paramètres requis. Comparée à la partie URL d'une requête entrante. Voir les notes 1 à 4. L'un des paramètres requis. Comparée à la partie query d'une requête entrante. Voir les notes 1 à 4. L'un des paramètres requis. Voir la note 4. Pour les trois types de requêtes HTTP entrantes. Pour les demandes d'url. Pour les demandes de requêtes. Pour les demandes de données brutes. Pour la réponse à la demande. 127

128 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Note 1 Une requête HTTP entrante peut être représentée comme suit : {url}?{query}. Dans ce document, nous faisons référence à {url} comme la partie «URL» de la requête HTTP et à {query} comme la partie «query» de cette dernière. Grâce à cette convention de nommage, la section «URL» est comparée à {url} et la section «query» à {query}. Par eemple, la règle suivante est déclenchée si la requête HTTP est reçue par IIS : Rule { tag "Sample6" Class Isapi Id 4001 level 1 url { Include *abc* } Eecutable { Include * } user_name { Include * } directives isapi:request } Cette règle se déclenche car {url}=/search/abc.ee, ce qui correspond à la valeur de la section «url» (c.-à-d. abc). Note 2 Avant la comparaison, les sections «url» et «query» sont décodées et normalisées afin qu'il soit impossible de compléter des requêtes par du code ou des séquences d'échappement. Note 3 Une longueur maimum peut être définie pour les sections «url» et «query». En ajoutant «;number-of-chars» à la valeur de ces sections, la correspondance de la règle s'effectuera uniquement si {url} ou {query} comporte plus de caractères que «number-of-chars». Par eemple, «abc*;500» correspond au chaînes contenant «abc» et comportant plus de 500 caractères ; «*abc;yz*;» correspond à toute chaîne contenant «abc;yz» indépendamment de sa longueur. Note 4 Une règle doit contenir au moins l'une des sections facultatives suivantes : url, query ou method. Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Isapi. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature. Nom IUG url query web server type Eplication Partie location décodée et normalisée d'une requête HTTP entrante (avant le «?»). Partie query décodée et normalisée d'une requête HTTP entrante (après le premier «?»). Type et version de l'application de serveur web utilisée. 128

129 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Nom IUG method local file raw url user source server content len Eplication Méthode de la requête HTTP entrante (telles que Get, Put, Post et Query). Nom physique du fichier récupéré ou en tentative de récupération par la requête. Décodé et normalisé sous IIS. Ligne de requête «brute» (non décodée et non normalisée) de la requête HTTP entrante. La ligne de requête est «<method> <location[?query]> <http version> CRLF». Nom d'utilisateur du client à l'origine de la requête ; disponible uniquement si la requête est authentifiée. Nom du client ou adresse IP de l'ordinateur d'origine de la requête HTTP. L'adresse se compose de trois parties : nom d'hôte: adresse: numéro de port. Informations sur le serveur web sur lequel l'événement a été créé (ordinateur sur lequel le client est installé), présentées comme suit : <nom d'hôte>:<adresse IP>:<port>. Le nom d'hôte est la variable hôte de l'en-tête HTTP (le champ est laissé vide si elle n'est pas disponible). Nombre d'octets dans le corps du message de la requête. La règle suivante vise à bloquer une requête vers le serveur web qui contient «subject» dans la partie «query» de la requête HTTP : Rule { tag "Sample7" Class Isapi Id 4001 level 1 query { Include *subject* } method { Include GET } Eecutable { Include * } user_name { Include * } directives isapi:request } Par eemple, la requête GET abc.ee?subject=wildlife&environment=ocean serait bloquée par cette règle. Les diverses sections de cette règle ont les significations suivantes : Class Isapi : indique que la règle est associée à la classe des opérations Isapi. Id 4001 : affecte l'id 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID. level 4 : affecte un niveau de gravité «élevé» à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité. query { Include *subject* } : indique que la règle correspond à toute requête (GET) contenant la chaîne «subject» dans la partie query de la requête HTTP. Si la règle couvre plusieurs fichiers de la partie query, ajoutez-les dans cette section sur différentes lignes. 129

130 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows method { Include GET } : indique que la règle peut uniquement correspondre au requêtes GET. Eecutable { Include * } : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin. user_name { Include * } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contete de sécurité dans lequel un processus est eécuté). Si vous souhaitez limiter votre règle à des contetes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. Voir Sections communes pour plus d'informations. directives isapi:request : indique que cette règle couvre une requête HTTP. Classe Windows Program Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Program : Section Class Id level time user_name Eecutable filename path directives Valeurs Program Voir Sections communes. Nom du processus utilisé lors de l'opération. Chemin d'accès du processus. program:run program:open_with_any Remarques L'un des paramètres requis. L'un des paramètres requis. Sélectionnez cet élément pour empêcher l'eécution d'un fichier eécutable de destination. (Eécuter le fichier eécutable de destination, dans l'interface utilisateur.) Les directives «program:open_with_» gèrent les droits d'accès au processus créés à l'aide d'openprocess(). Sélectionnez cet élément pour bloquer les droits d'accès spécifiques à ces processus : PROCESS_TERMINATE : requis pour mettre fin à un processus. PROCESS_CREATE_THREAD : requis pour créer un thread. PROCESS_VM_WRITE : requis pour écrire dans la mémoire. PROCESS_DUP_HANDLE : requis pour dupliquer un descripteur. PROCESS_SET_INFORMATION : requis pour définir certaines informations relatives à un processus, telles que sa classe de priorité. PROCESS_SUSPEND_RESUME : requis pour suspendre ou reprendre un processus. 130

131 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Section Valeurs Remarques PROCESS_TERMINATE : requis pour mettre fin à un processus. SYNCHRONIZE : requis pour attendre l'arrêt du processus. (Ouvrir via un accès quelconque, dans l'interface utilisateur.) program:open_with_create_thread Sélectionnez cet élément pour bloquer le droit d'accès spécifique au processus : PROCESS_CREATE_THREAD : requis pour créer un thread. (Ouvrir via un accès à des fins de création de thread, dans l'interface utilisateur.) program:open_with_modify program:open_with_terminate program:open_with_wait Sélectionnez cet élément pour bloquer les droits d'accès spécifiques à ces processus : PROCESS_TERMINATE : requis pour mettre fin à un processus. PROCESS_CREATE_THREAD : requis pour créer un thread. PROCESS_VM_WRITE : requis pour écrire dans la mémoire. PROCESS_DUP_HANDLE : requis pour dupliquer un descripteur. PROCESS_SET_INFORMATION : requis pour définir certaines informations relatives à un processus, telles que sa classe de priorité. PROCESS_SUSPEND_RESUME : requis pour suspendre ou reprendre un processus. (Ouvrir via un accès à des fins de modification, dans l'interface utilisateur.) Sélectionnez cet élément pour bloquer les droits d'accès spécifiques à ces processus : PROCESS_SUSPEND_RESUME : requis pour suspendre ou reprendre un processus. PROCESS_TERMINATE : requis pour mettre fin à un processus. (Ouvrir via un accès à des fins d'arrêt, dans l'interface utilisateur.) Sélectionnez cet élément pour bloquer les droits d'accès spécifiques à ce processus : SYNCHRONIZE : requis pour attendre l'arrêt du processus. (Ouvrir via un accès à des fins de mise en attente, dans l'interface utilisateur.) REMARQUE : non disponible sur les plates-formes Microsoft Vista et ultérieures. Classe Windows Registry Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Registry : 131

132 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Section Class Id level time user_name Eecutable keys dest_keys values Valeurs Registry Voir Sections communes. Opération de clé de Registre Opération de clé de Registre Opération de valeur de clé de Registre Remarques L'un des paramètres requis. Utilisez cet élément avec les opérations de clé (create, delete, rename, enumerate, monitor, restore, read, replace, load). Voir la note 1. Facultatif. Uniquement pour registry:rename lorsqu'une clé est renommée. La cible est le nom de la clé. L'un des paramètres requis. Utilisez cet élément avec les opérations de valeur de Registre (delete, read, modify, create). new_data Opération de valeur de clé de Registre. Nouvelles données de la valeur. Facultatif. Uniquement pour registry:modify ou registry:create. Voir la note 2. directives registry:delete registry:modify registry:create registry:permissions registry:read registry:enumerate registry:monitor registry:restore registry:replace registry:load registry:open_eisting_key registry:rename Supprime une clé ou une valeur de Registre. Modifie le contenu d'une valeur de Registre ou les informations d'une clé de Registre. Autorise la création d'une clé de Registre. Modifie les autorisations d'accès à une clé de Registre. Permet d'obtenir des informations sur une clé de Registre (nombre de sous-clés, etc.) ou le contenu d'une valeur de Registre. Énumère une clé de Registre, c'est-à-dire la liste de toutes ses sous-clés et valeurs. Demande le contrôle d'une clé de Registre. Restaure une ruche à partir d'un fichier, comme la fonction de restauration regedit32. Restaure un paramètre de Registre mais uniquement après redémarrage. Charge les clés ou les valeurs de Registre à partir d'un fichier. Ouvre une clé de Registre eistante. Renomme une clé de Registre. Note 1 HKEY_LOCAL_MACHINE, dans un chemin de Registre, est remplacé par \REGISTRY\MACHINE\ et CurrentControlSet par ControlSet. Par eemple, la valeur de Registre «abc» dans la clé de 132

133 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa apparaît comme suit : \REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc. Note 2 Les données de la section new data doivent être des valeurs headécimales. Par eemple, les données «def» de la valeur de Registre \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc doivent apparaître comme suit : old_data { Include %64%65%66 }. Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Registry. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature. Nom IUG Registry Key Eplication Nom de la clé de Registre affectée, y compris le nom de chemin. Remarque : Pour cette clé HKEY_LOCAL_MACHINE\ HKEY_CURRENT_USER\ HKEY_CLASSES_ROOT\ HKEY_CURRENT_CONFIG\ HKEY_USERS\ Utiliser cette syntae \REGISTRY\MACHINE\ \REGISTRY\CURRENT_USER\ \REGISTRY\MACHINE\SOFTWARE\CLASSES\ REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\ \REGISTRY\USER\ Registry Values Nom de la valeur de Registre concaténée avec le nom de clé complet. Remarque : Pour les valeurs de cette clé HKEY_LOCAL_MACHINE\Test HKEY_CURRENT_USER\Test HKEY_CLASSES_ROOT\Test HKEY_CURRENT_CONFIG\Test HKEY_USERS\Test Utiliser cette syntae \REGISTRY\MACHINE\Test\* \REGISTRY\CURRENT_USER\Test\* \REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\* REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\Test\* \REGISTRY\USER\Test\* old data new data old data type new data type Applicable uniquement pour les modifications de valeurs de Registre : données d'une valeur de Registre avant toute modification ou tentative de modification. Applicable uniquement pour les modifications de valeurs de Registre : données d'une valeur de Registre après modification réelle ou inachevée. Applicable uniquement pour les modifications de valeurs de Registre : type de données d'une valeur de Registre avant toute modification ou tentative de modification. Applicable uniquement pour les modifications de valeurs de Registre : type de données d'une valeur de Registre après modification réelle ou inachevée. La règle suivante vise à empêcher toute personne ou tout processus de supprimer la valeur de Registre «abc» dans la clé de Registre «\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa». 133

134 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Rule { tag "Sample8" Class Registry Id 4001 level 4 values { Include \\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc } application { Include * } user_name { Include * } directives registry:delete } Les diverses sections de cette règle ont les significations suivantes : Class Registry : indique que cette règle est associée au requêtes envoyées à IIS. Id 4001 : affecte l'id 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID. level 4 : affecte un niveau de gravité «élevé» à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité. values { Include \\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc } : indique que la règle surveille la valeur de Registre abc dans la clé de Registre «\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa». Si la règle couvre plusieurs valeurs, ajoutez-les dans cette section sur différentes lignes. application { Include * } : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin. user_name { Include * } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contete de sécurité dans lequel un processus est eécuté). Si vous souhaitez limiter votre règle à des contetes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. Voir Sections communes pour plus d'informations. directives registry:delete : indique que cette règle couvre la suppression d'une clé ou valeur de Registre. Class Services Windows Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Services : Section Class Id level time user_name Eecutable Valeurs Registry Voir Sections communes. Remarques 134

135 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Section Valeurs Remarques services Nom du service représentant l'objet de l'opération créatrice de l'instance L'un des paramètres requis. Le nom d'un service se trouve dans le Registre sous HKLM\SYSTEM\CurrentControlSet\Services\. Voir la note 1. display_names directives Nom d'affichage du service services:delete services:create services:start services:stop services:pause services:continue services:startup services:profile_enable services:profile_disable services:logon L'un des paramètres requis. Ce nom apparaît dans le gestionnaire des services. Voir la note 1. Supprime un service. Crée un service. Démarre un service. Arrête un service. Suspend un service. Reprend un service après suspension. Modifie le mode de démarrage d'un service. Active un profil matériel. Désactive un profil matériel. Modifie les informations de conneion d'un service Note 1 La section service doit contenir le nom du service de la clé de Registre correspondante sous HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\. La section display_names doit contenir le nom d'affichage du service, qui apparaît dans le gestionnaire des services et qui se trouve dans la valeur de Registre HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nom du service>\. Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Services. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature. Nom IUG display names services params old startup Eplication Nom du service Windows affiché dans le gestionnaire des services. Nom du système du service Windows dans HKLM\CurrentControlSet\Services\. Ce nom peut être différent de celui qui s'affiche dans le gestionnaire des services. Applicable uniquement au démarrage d'un service : paramètres transmis au service lors de l'activation. Applicable uniquement à la création ou au modifications du mode de démarrage d'un Valeurs possibles Boot, System, Automatic, Manual, Disabled 135

136 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Nom IUG Eplication service : spécifie le mode de démarrage avant toute modification ou tentative de modification. Valeurs possibles new startup logon Applicable uniquement au Boot, System, Automatic, Manual, Disabled modifications du mode de démarrage d'un service : spécifie le mode de démarrage d'un service après modification réelle ou inachevée. Applicable uniquement au modifications du mode de conneion d'un service : informations de conneion (système ou compte utilisateur) utilisées par le service. La règle suivante permet d'empêcher la désactivation du service d'alerte. Rule { tag "Sample9" Class Services Id 4001 level 4 Service { Include Alerter } application { Include * } user_name { Include * } directives service:stop } Les diverses sections de cette règle ont les significations suivantes : Class Services : indique que la règle est associée à la classe des opérations de fichiers. Id 4001 : affecte l'id 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID. level 4 : affecte un niveau de gravité «élevé» à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité. Service { Include Alerter } : indique que la règle couvre le service nommé «Alerter». Si la règle couvre plusieurs services, ajoutez-les dans cette section sur différentes lignes. application { Include * } : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec le nom de chemin. user_name { Include * } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contete de sécurité dans lequel un processus est eécuté). Si vous souhaitez limiter votre règle à des contetes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/utilisateur ou Domaine/utilisateur. Voir Sections communes pour plus d'informations. directives service:stop : indique que cette règle couvre la désactivation d'un service. 136

137 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Classe Windows SQL Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows SQL : Section Class Id level time user_name Eecutable authentication_mode client_agent db_user_name sp_name sp_param_char_len_one... sp_param_one... sp_param_orign_len-one... sql_line_comment sql_original_query sql_query Valeurs MSSQL Voir Sections communes. Valeur booléenne spécifiant quelle authentification, Windows (défini sur 1) ou SQL (défini sur 0), a été utilisée. Nom de l'utilitaire envoyant la requête sur le système client. Nom de l'utilisateur en cas d'utilisation de l'authentification SQL et «Trusted User» si l'authentification Windows est utilisée. Nom de la procédure stockée. Contient la longueur du paramètre en nombre de caractères. Contient la valeur du paramètre. Contient la longueur du paramètre en nombre d'octets. Cette valeur est définie sur 1 si la requête comporte une ligne de commentaire unique"-" contenant une apostrophe. Contient la requête SQL complète eactement comme elle a été reçue (avec les chaînes et espaces). Il s'agit de la chaîne de requête SQL sans les valeurs de chaîne, les espaces et les commentaires. Remarques Eemple : OSQL-32, Internet Information Services Eemple : sa Il doit correspondre à un nom de procédure stockée. Une procédure stockée est identifiée par une liste de noms de procédures incluse dans chaque version de l'agent SQL (actuellement SPList.tt dans le répertoire de l'agent). sql_user_password transport Cet élément est défini sur 1 si le mot de passe a une valeur NULL et sur 0 dans les autres cas. Sur MSSQL 2005/2008, cet élément est codé en dur dans : mémoire partagée (LPC). Cet élément doit toujours être défini sur 0 pour les utilisateurs non SQL. 137

138 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Section directives Valeurs sql:request. Remarques Pour les requêtes SQL entrantes Classes et directives pour plate-forme Windows Liste des classes et directives valides pour plate-forme Windows : Windows P, SP2, SP3, 32 et 64 bits (P) Windows 2003, R2, R2 SP2, 32 et 64 bits (2K3) Windows Vista, 32 et 64 bits (V) Windows 2008 R2, 32 et 64 bits (2K8) Windows 7, 32 et 64 bits (7) Classe Buffer Overflow Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) bo: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 stack heap writeable_memory invalid_call target_bytes call_not_found call_return_unreadable call_different_target call_return_to_api Classe Files Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) files: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 create read write eecute delete rename attribute writeop 138

139 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) files: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 hardlink Classe Hook Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) hook: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 set_windows_hook Classe Illegal API Use Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) illegal_api_use: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 bad_parameter invalid_call Classe Illegal Use Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) illegal: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 api Classe ISAPI Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) isapi: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 request requrl reqquery rawdata response 139

140 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées Windows Classe Program Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) program: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 run open_with_any open_with_create_thread open_with_modify open_with_terminate open_with_wait Classe Registry Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) registry: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 create read delete modify permissions enumerate monitor restore replace load open_eisting_key rename Classe Services Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) services: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 start stop pause continue startup 140

141 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) services: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 profile_enable profile_disable logon create delete Classe SQL Directives Processus 32 bits sur un système d'eploitation Windows 32 bits (32) Processus 32 bits sur un système d'eploitation Windows 64 bits (64) Processus 64 bits sur un système d'eploitation Windows 64 bits (64) sql: P 2K3 V 2K8 7 P 2K3 V 2K8 7 P 2K3 V 2K8 7 request Signatures personnalisées non Windows Cette section décrit la méthode d'écriture de signatures personnalisées pour les plates-formes Solaris et Linu. REMARQUE : les règles classe Files de Windows utilisent une double barre oblique alors que les règles classe UNI_file non Windows utilisent une simple barre oblique. La classe de la signature dépend de la nature du problème de sécurité et de la protection offerte par la signature. Pour Solaris et Linu, les classes suivantes sont disponibles : Classe UNI_file UNI_apache UNI_Misc UNI_bo UNI_map UNI_GUID Conditions d'utilisation Pour les opérations de fichier ou de répertoire sur Solaris et Linu. Pour les requêtes HTTP sur Solaris et Linu. Pour préserver la protection de l'accès sur Solaris et Linu. Pour un Buffer Overflow. Solaris uniquement. Pour le mappage des fichiers ou périphériques dans la mémoire. Solaris uniquement. Pour autoriser les utilisateurs à eécuter un fichier eécutable avec les autorisations du propriétaire ou groupe de ce dernier. Solaris uniquement. Classe UNI_file Solaris/Linu Le tableau suivant répertorie les sections et valeurs disponibles pour la classe UNI_file basée sur UNI : 141

142 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Section Class Id level time user_name Eecutable files source file new zone directives Valeurs UNI_file Voir Sections communes. Fichier ou dossier utilisé dans l'opération Noms des fichiers cible Liste des autorisations des noms de fichiers source Autorisation modifiée ou mode d'autorisation d'un fichier nouvellement créé Nom de la zone à laquelle la signature s'applique unifile:chdir unifile:chmod unifile:chown unifile:create unifile:link unifile:mkdir unifile:read unifile:rename unifile:rmdir unifile:symlink unifile:unlink unifile:write unifile:setattr unifile:mknod unifile:access unifile:foolaccess unifile:priocntl Remarques L'un des paramètres requis. Fichiers à rechercher. Voir la note 1. L'un des paramètres requis. Voir la note 1. Solaris uniquement. Facultatif. Voir la note 2. Solaris uniquement. Facultatif. Voir la note 2. Solaris 10 ou version ultérieure. Voir la note 5. Modifie le répertoire de travail. Modifie les autorisations du répertoire ou du fichier. Modifie le propriétaire du répertoire ou du fichier. Crée un fichier. Crée un lien physique. Voir la note 3. Crée un répertoire. Ouvre un fichier en mode lecture seule. Renomme un fichier. Voir la note 4. Supprime un répertoire. Crée un lien symbolique. Supprime un fichier d'un répertoire ou supprime un répertoire. Ouvre un fichier en mode lecture/écriture. Linu uniquement. Modifie les autorisations et le propriétaire du répertoire ou du fichier. Crée un nœud. Modifie les attributs d'un fichier. Les attributs surveillés sont «Read-only», «Hidden», «Archive» et «System». Solaris uniquement. Le nom de fichier contient 512 «/» consécutifs. Solaris uniquement. Affiche ou définit les paramètres de planification. 142

143 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Note 1 Directives pertinentes par section : Directive File Source File Permission New Permission chdir chmod chown create link mkdir read rename rmdir setattr symlink unlink write Note 2 La valeur des sections file permissions et new permissions correspond à la liste de contrôle d'accès (Access Control List, ACL). Les seules valeurs possibles sont «SUID» ou «SGID». Note 3 La directive unifile:link prend une signification différente lorsqu'elle est associée au sections files et source : Lorsqu'elle est associée à la section files, cela signifie que la création d'un lien vers un fichier de cette section est surveillée. Lorsqu'elle est associée à la section source, cela signifie qu'aucun lien ne peut être créé avec le nom tel qu'il est spécifié dans la section source. Note 4 La directive unifile:rename prend une signification différente lorsqu'elle est associée au sections files et source : Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichier dans cette section est surveillé. Lorsqu'elle est associée à la section source, cela signifie qu'aucun fichier ne pourra être renommé avec le nom d'un fichier de cette section. Note 5 Par défaut, toutes les zones sont protégées par la signature. Pour limiter la protection à une zone en particulier, ajoutez une section zone dans la signature et incluez le nom de cette dernière. 143

144 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Par eemple, si vous avez une zone dont le nom est «app_zone» et la racine, /zones/app, la règle : Rule {... file { Include "/tmp/test.log" } zone { Include "app_zone" }... } ne s'applique qu'au fichier de la zone «app_zone» et pas à la zone globale. Notez que dans cette version, la protection du serveur web ne peut pas être limitée à une zone particulière. Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe UNI_file. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature. Nom IUG files source file permission source permission new permission Eplication Noms des fichiers ayant fait l'objet d'une tentative d'accès (réussie ou non). Applicable uniquement lors de la création d'un lien symbolique entre des fichiers : nom du nouveau lien ; ou lors du changement de nom d'un fichier : nouveau nom du fichier. Autorisations du fichier. Applicable uniquement lors de la création d'un lien symbolique entre des fichiers : autorisations du fichier cible (le fichier vers lequel pointe le lien). Solaris uniquement. Applicable uniquement lors de la création d'un fichier ou d'une opération chmod : autorisations du nouveau fichier. Solaris uniquement. Class UNI_apache Solaris/Linu (HTTP) Le tableau suivant répertorie les sections et valeurs disponibles pour la classe apache basée sur UNI : Section Class Id level time user_name Eecutable url Valeurs UNI_apache Voir Sections communes. Remarques Facultatif. Comparée à la partie url d'une requête entrante. Voir les notes 1 à

145 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Section query method zone directives Valeurs «GET», «POST», «INDE» et toute autre méthode HTTP autorisée Nom de la zone à laquelle la signature s'applique apache:requrl apache:reqquery apache:rawdata Remarques Facultatif. Comparée à la partie query d'une requête entrante. Voir les notes 1 à 4. Facultatif. Voir la note 4. Solaris 10 ou version ultérieure. Voir la note 5. Pour les demandes d'url. Pour les demandes de requêtes. Pour les demandes de données brutes. Note 1 Une requête HTTP entrante peut être représentée comme suit : {url}?{query}. Dans ce document, nous faisons référence à {url} comme la partie «url» de la requête HTTP et à {query} comme la partie «query» de cette dernière. Grâce à cette convention de nommage, la section «url» est comparée à {url} et la section «query» à {query}. Par eemple, la règle suivante est déclenchée si la requête HTTP est reçue par IIS : Rule { Class UNI_apache Id 4001 level 1 url { Include *abc* } time { Include * } application { Include * } user_name { Include * } directives apache:request } Cette règle est déclenchée car {url}=/search/abc.ee, ce qui correspond à la valeur de la section «url» (c.-à-d. abc). Note 2 Avant la comparaison, les sections «url» et «query» sont décodées et normalisées afin qu'il soit impossible de compléter des requêtes par du code ou des séquences d'échappement. Note 3 Une longueur maimum peut être définie pour les sections «url» et «query». En ajoutant «;number-of-chars» à la valeur de ces sections, la correspondance de la règle s'effectuera uniquement si {url} ou {query} comporte plus de caractères que «number-of-chars». Par eemple, la correspondance de la règle suivante est effective si la partie url de la requête contient «abc» et comporte plus de 500 caractères : Rule { 145

146 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Class UNI_apache Id 4001 level 1 url { Include *abc*;500 } time { Include * } application { Include * } user_name { Include * } directives apache:request} } Note 4 Une règle doit contenir au moins l'une des sections facultatives suivantes : url, query ou method. Note 5 Par défaut, toutes les zones sont protégées par la signature. Pour limiter la protection à une zone en particulier, ajoutez une section zone dans la signature et incluez le nom de cette dernière. Par eemple, si vous avez une zone dont le nom est «app_zone» et la racine, /zones/app, la règle : Rule {... file { Include "/tmp/test.log" } zone { Include "app_zone" }... } ne s'applique qu'au fichier de la zone «app_zone» et pas à la zone globale. Notez que dans cette version, la protection du serveur web ne peut pas être limitée à une zone particulière. Classe UNI_Misc Solaris/Linu Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris ou Linu UNI_misc : Section Class Id level time user_name Eecutable zone Valeurs UNI_misc Voir Sections communes. Nom de la zone à laquelle la signature s'applique Remarques Une classe diverse qui préserve la protection de l'accès. Solaris 10 ou version ultérieure. 146

147 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Section directives Valeurs unimisc:killagent Remarques Bloque l'envoi au client du signal SIGKILL. Classe UNI_bo Solaris Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris class_bo (Buffer Overflow) : Section Class Id level time user_name Eecutable program zone directives Valeurs UNI_bo Voir Sections communes. Nom du programme Nom de la zone à laquelle la signature s'applique unibo:binargs unibo:illegal_address unibo:eec unibo:environment unibo:binenv unibo:libc Remarques Programme à rechercher. Solaris 10 ou version ultérieure. Voir la note 1. Arguments binaires. Adresse illicite, comme l'eécution d'un programme de la pile. Eécution du programme. Environnement du programme. Environnement binaire. Utilisée lorsque l'adresse de l'epéditeur d'une fonction ne se trouve pas dans le frame de pile approprié. Note 1 Par défaut, toutes les zones sont protégées par la signature. Pour limiter la protection à une zone en particulier, ajoutez une section zone dans la signature et incluez le nom de cette dernière. Par eemple, si vous avez une zone dont le nom est «app_zone» et la racine, /zones/app, la règle : Rule {... file { Include "/tmp/test.log" } zone { Include "app_zone" }... } ne s'applique qu'au fichier de la zone «app_zone» et pas à la zone globale. Notez que dans cette version, la protection du serveur web ne peut pas être limitée à une zone particulière. 147

148 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Classe UNI_map Solaris Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris Uni_map : Section Class Id level time user_name Eecutable zone directives Valeurs UNI_map Voir Sections communes. Nom de la zone à laquelle la signature s'applique mmap:mprotect mmap:mmap Remarques Utilisez cette classe pour mapper les fichiers UNI ou périphériques dans la mémoire. Solaris 10 ou version ultérieure. Définit la protection de l'accès pour les pages de mémoire. Mappe les fichiers ou périphériques dans la mémoire. Classe UNI_GUID Solaris Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris UNI_GUID : Section Class Id level time user_name Eecutable zone directives Valeurs UNI_GUID Voir Sections communes. Nom de la zone à laquelle la signature s'applique guid:setuid guid:seteuid guid:setreuid guid:setgid guid:setegid Remarques Utilisez cette classe pour définir les indicateurs de droits d'accès Uni autorisant les utilisateurs à eécuter un fichier eécutable avec les autorisations du propriétaire ou groupe de ce dernier. Solaris 10 ou version ultérieure. Définit l'id d'utilisateur afin de permettre à celui-ci d'eécuter un fichier eécutable avec les autorisations du propriétaire de ce dernier. Définit l'id d'utilisateur valide. Définit l'id d'utilisateur réel et valide. Définit l'id de groupe autorisant un groupe à eécuter un fichier eécutable avec les permissions du groupe de ce dernier. Définit l'id de groupe valide. 148

149 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Section Valeurs guid:setregid Remarques Définit l'id de groupe réel et valide. Classes et directives pour plate-forme UNI Liste des classes et directives valides pour plate-forme non Windows : Classe UNI_bo Directives RedHat Linu SuSE Linu Solaris 9 Solaris 10 unibo:binargs unibo:illegal_address unibo:eec unibo:environment unibo:binenv unibo:libc Classe UNI_file Directives RedHat Linu SuSE Linu Solaris 9 Solaris 10 unifile:chdir unifile:chmod unifile:chown unifile:create unifile:link unifile:mkdir unifile:read unifile:rename unifile:rmhdir unifile:setattr unifile:symlink unifile:unlink unifile:write unifile:mknod unifile:access unifile:foolaccess unifile:priocntl 149

150 Annee A : Création d'eceptions et de signatures personnalisées Signatures personnalisées non Windows Classe UNI_Misc Directives RedHat Linu SuSE Linu Solaris 9 Solaris 10 unimisc:killagent Classe UNI_apache Directives RedHat Linu SuSE Linu Solaris 9 Solaris 10 apache:requrl apache:reqquery apache:rawdata Classe UNI_map Directives RedHat Linu SuSE Linu Solaris 9 Solaris 10 mmap:mprotect mmap:mmap Classe UNI_GUID Directives RedHat Linu SuSE Linu Solaris 9 Solaris 10 guid:setuid guid:seteuid guid:setreuid guid:setgid guid:setegid guid:setregid 150

151 Annee B : Dépannage Les articles de la base de connaissances (KnowledgeBase) du site du support technique McAfee vous proposent les informations de support les plus récentes sur les problèmes et leur résolution. Consultez l'article KB69184 pour obtenir les informations les plus récentes. Table des matières Problèmes générau Journau Host IPS Utilitaire Clientcontrol.ee Problèmes générau Quels services Host Intrusion Prevention doivent être installés et eécutés sur le système client pour un fonctionnement correct du logiciel? Ces services doivent toujours être actifs pour que la prévention des intrusions fonctionne, avec IPS et/ou pare-feu : Service McAfee Host Intrusion Prevention (FireSvc.ee) Service McAfee Firewall Core (mfefire.ee) Service McAfee Validation Trust Protection (mfevtps.ee) Les services suivants doivent être actifs lors des appels : Service de l'icône McAfee Host Intrusion Prevention de la barre d'état système (FireTray.ee). Console client McAfee Host Intrusion Prevention (McAfeeFire.ee) Comment empêcher le pare-feu de bloquer le trafic non IP? Lorsqu'aucune règle de pare-feu ne l'indique spécifiquement, certains types de trafics non IP ne sont pas reconnus par le pare-feu et sont par conséquent bloqués. En outre, les modes adaptatif et d'apprentissage ne détectent ni ne créent dynamiquement de règles de pare-feu pour les protocoles non IP. Pour empêcher le rejet des protocoles non IP, sélectionnez Autoriser le trafic associé à des protocoles non pris en charge dans la stratégie Options de pare-feu. Vous pouvez ensuite consulter la section Protocole non IP entrant/sortant autorisé du journal d'activité : 0, où 0 indique le numéro Ethernet IANA du protocole (voir Utilisez ces informations pour déterminer le trafic non IP nécessaire et créez une règle de pare-feu autorisant ce dernier. 151

152 Annee B : Dépannage Problèmes générau Que faire lorsqu'une application ne fonctionne pas ou de manière incorrecte suite à l'installation de Host Intrusion Prevention ou à la mise à jour de son contenu? Si l'une de vos applications se comporte différemment après l'installation ou la mise à jour du client Host Intrusion Prevention ou de son contenu, vous devez déterminer si une signature ou un autre élément est à l'origine du problème. Si le problème est causé par une signature IPS : 1 Activez la journalisation IPS (écriture sur HipShield.log) et la journalisation du pare-feu (écriture sur FireSvc.log) sur le client ou dans la stratégie d'interface utilisateur de ce dernier sur le serveur epolicy Orchestrator, puis reproduisez les étapes entraînant le problème. 2 Recherchez VIOLATION dans HipShield.log pour obtenir des détails sur les violations d'événements (<Event>). 3 Si une nouvelle signature bloque l'activité à cause d'un événement, accédez à l'onglet Evénements de Host IPS sous la partie des rapports du serveur epolicy Orchestrator, trouvez l'événement et créez une eception. Assurez-vous que l'eception est aussi granulaire que possible en utilisant les paramètres avancés de l'événement. 4 Si les paramètres avancés de l'événement sont limités, affichez la signature liée à ce dernier. Si un élément VCE (Common Vulnerabilities and Eposures) est référencé dans la description de la signature IPS, cela indique qu'un patch de mise à jour de sécurité est disponible. Appliquez le patch et désactivez la signature. Si le problème n'est pas lié à une signature IPS : 1 Désactivez les modules Host Intrusion Prevention (IPS, IPS réseau et pare-feu) puis tentez de reproduire le problème. 2 Désactivez IPS et arrêtez le service client Host Intrusion Prevention (FireSvc.ee), puis tentez de reproduire le problème. 3 Si le problème disparaît, sélectionnez Autoriser le trafic associé à des protocoles non pris en charge dans la stratégie Options de pare-feu à partir du serveur epolicy Orchestrator, puis mettez en œuvre la stratégie sur le client. Tentez de reproduire le problème après définition de cette option. Remarque : même si le pare-feu est désactivé, le trafic peut toujours être ignoré lorsque Host Intrusion Prevention est actif. 4 Si ces étapes ne vous permettent pas de résoudre le problème, désactivez l'adaptateur McAfee NDIS Intermediate Filter Miniport puis tentez de le reproduire. 5 Si ces étapes ne vous permettent pas de résoudre le problème, désinstallez l'adaptateur McAfee NDIS Intermediate Filter Miniport puis tentez de le reproduire. Pour en savoir plus, consultez l'article de la base de connaissances (KnowledgeBase) sur 6 Si le problème disparaît avec la désinstallation de NDIS, consultez l'article de la base de connaissances sur et tentez de reproduire le problème avec NDIS désinstallé et le pilote relais de Microsoft (Pass Thru) installé. Si le problème survient uniquement lorsque le module IPS est activé et qu'aucune violation d'événement (<Event>) n'apparaît dans HipShield.log : 1 Identifiez les fichiers eécutables associés à l'application. 2 Ecluez ces derniers de la liste de protection des applications Host IPS. 3 Testez à nouveau le fonctionnement de l'application. Notez les résultats. 4 Incluez les fichiers eécutables eclus à l'étape 2. 5 Isolez le moteur IPS possiblement à l'origine du problème. Pour en savoir plus, consultez l'article de la base de connaissances (KnowledgeBase) sur 152

153 Annee B : Dépannage Problèmes générau 6 Identifiez le moteur IPS à l'origine du problème. Comment isoler les composants de Host IPS pour déterminer lequel est à l'origine d'un problème? REMARQUE : cette procédure comporte des étapes pouvant requérir plusieurs redémarrages, reconneions ou reproductions des problèmes. Les étapes suivantes doivent être réalisées sur le système client local avec la console Host IPS. Si vous trouvez l'origine du problème sans pouvoir le résoudre, transmettez les journau obtenus au support technique McAfee. Désactivez tous les composants et testez le problème : 1 Désactiver IPS : cliquez sur l'onglet Stratégie IPS et désactivez les options Activer Host IPS et Activer IPS réseau. 2 Désactiver le pare-feu : cliquez sur l'onglet Stratégie de pare-feu et désélectionnez l'option Activer le pare-feu. 3 Effacer la liste des Hôtes bloqués : cliquez sur l'onglet Hôtes bloqués et effacez la liste en sélectionnant chaque entrée et en cliquant sur Supprimer. 4 Activer la journalisation des activités : cliquez sur l'onglet Journal d'activité et vérifiez que toutes les options de journalisation du trafic et de filtre sont sélectionnées. 5 Testez le système pour vérifier la récurrence du problème : Si le problème persiste, passez à l'étape 6. Si le problème disparaît, passez à l'étape 1 de la phase de tests itératifs. 6 Vérifiez les éléments suivants : Arrêtez le service McAfee Host IPS et tentez de reproduire le problème. Si le problème disparaît, rapportez le problème en précisant qu'il est directement lié à ce service. Désinstallez le client Host IPS du système local et tentez de reproduire le problème. Si le problème disparaît, rapportez le problème en précisant qu'il est lié au fichiers installés et non à un composant spécifique. Phase de tests itératifs de chaque composant : Tester Host IPS 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer Host IPS. 3 Testez le système pour vérifier la récurrence du problème : Si le problème disparaît, passez à l'étape 5, Tester IPS réseau. Si le problème persiste : 1 Désélectionnez l'option Activer Host IPS. 2 Tentez de reproduire le problème pour déterminer si ce dernier disparaît. Si le problème est résolu, Host IPS peut potentiellement y être lié. 3 Enregistrez une copie du journal d'activité et nommez-le Host IPS Activity Log wprob pour l'envoyer au support technique. 4 Sélectionnez l'option Activer Host IPS et vérifiez la récurrence du problème. Tester tous les moteurs IPS 1 Cliquez sur Aide et sélectionnez Dépannage. 2 Sélectionnez Rapport d'erreurs sous la journalisation IPS. 3 Sélectionnez Journaliser les violations de sécurité. 153

154 Annee B : Dépannage Problèmes générau 4 Cliquez sur Fonctionnalités. 5 Dans la boîte de dialogue Moteurs HIPS, désélectionnez l'option Activer/désactiver tous les moteurs et cliquez sur OK. 6 Testez le système pour vérifier la récurrence du problème. 7 Effectuez l'une des procédures suivantes : Si le problème persiste, déterminez si le problème est lié au composant IPS mais pas au moteurs spécifiques. Consultez le fichier hipshield.log pour déterminer si le composant IPS est à l'origine du problème. Si le problème disparaît, le problème est peut-être lié à un moteur spécifique. Passez à l'étape suivante, Tester chaque moteur IPS. Tester chaque moteur IPS 1 Cliquez sur Aide et sélectionnez Dépannage. 2 Sélectionnez Rapport d'erreurs sous la journalisation IPS. 3 Sélectionnez Journaliser les violations de sécurité. 4 Cliquez sur Fonctionnalités. 5 Sélectionnez les moteurs un par un et tentez de reproduire le problème. 6 Enregistrez une copie du journal hipshield pour chaque test et appliquez-lui le nom du moteur testé, pour l'envoyer au support technique. 7 A la fin des tests, activez tous les moteurs pour passer à l'étape suivante. Tester le mode adaptatif IPS 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer le mode adaptatif. 3 Testez le système pour vérifier la récurrence du problème. 4 Effectuez l'une des procédures suivantes : Si le problème persiste, désélectionnez Activer le mode adaptatif et tentez de reproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, Host IPS en mode adaptatif peut potentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-le Host IPS Adaptive Activity Log wprob pour l'envoyer au support technique. Si le problème disparaît, désélectionnez l'option Activer Host IPS et passez à l'étape suivante. Tester IPS réseau 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer IPS réseau. 3 Testez le système pour vérifier la récurrence du problème. 4 Effectuez l'une des procédures suivantes : Si le problème persiste, désélectionnez Activer IPS réseau et tentez de reproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, IPS réseau peut potentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-le Network IPS Activity Log wprob pour l'envoyer au support technique. Si le problème disparaît, sélectionnez l'option Activer IPS réseau et passez à l'étape suivante. Tester le blocage automatique d'ips réseau 154

155 Annee B : Dépannage Problèmes générau 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer IPS réseau. 3 Activez la case Bloquer automatiquement les pirates. 4 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a b c Désélectionnez l'option Bloquer automatiquement les pirates et tentez de reproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, IPS réseau en mode de blocage des pirates peut potentiellement y être lié. Cliquez sur l'onglet Hôtes bloqués, relevez les entrées relatives au pirates bloqués puis recherchez les fau positifs. Enregistrez une copie du journal d'activité et nommez-le Network IPS Adaptive Activity Log wprob pour l'envoyer au support technique. 5 Si le problème disparaît, désélectionnez l'option Activer IPS réseau et passez à l'étape suivante. Tester la stratégie de pare-feu 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 2 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez l'option Activer le pare-feu. 3 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a b c Désélectionnez l'option Activer le pare-feu. Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, le pare-feu de Host IPS peut potentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log wprob. 4 Si le problème disparaît, sélectionnez l'option Activer le pare-feu et passez à l'étape suivante. Tester le mode d'apprentissage du pare-feu 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 2 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Mode d'apprentissage et Entrant. Désélectionnez l'option Sortant. 3 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a b c d Désélectionnez l'option Entrant. Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, le mode d'apprentissage entrant du pare-feu peut potentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log LearnIN wprob pour l'envoyer au support technique. Cliquez sur l'onglet Journal d'activité et effacez le journal. 4 Cliquez sur l'onglet Journal d'activité et effacez le journal. 5 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Mode d'apprentissage et Sortant. Désélectionnez l'option Entrant. 6 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a b Désélectionnez l'option Sortant. Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, le mode d'apprentissage sortant du pare-feu peut potentiellement y être lié. 155

156 Annee B : Dépannage Problèmes générau c d Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log LearnOUT wprob pour l'envoyer au support technique. Cliquez sur l'onglet Journal d'activité et effacez le journal. 7 Accédez à l'onglet Stratégie de pare-feu. 8 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Mode d'apprentissage ainsi que Entrant et Sortant. 9 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a b c Désélectionnez les options Entrant et Sortant. Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, les modes d'apprentissage entrant et sortant du pare-feu peuvent potentiellement y être liés. Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log LearnINOUT wprob pour l'envoyer au support technique. Tester avec une règle de pare-feu d'autorisation de tous les trafics REMARQUE : cette étape peut devoir être configurée à partir de la console de gestion epo car il est impératif que la première règle de la liste des règles de pare-feu soit une règle de test d'autorisation de tous les trafics. Si d'autres stratégies ont été configurées à partir de la console, ces dernières sont prioritaires sur les règles créées localement. 1 Créez une nouvelle règle et nommez-la Autoriser tous les trafics. 2 Définissez l'action sur Autoriser. 3 Définissez le protocole sur TCP IP. 4 Définissez la direction sur Les deu. 5 Enregistrez la règle. Si la règle est créée dans une stratégie via la console epo, déplacez la règle Autoriser tous les trafics afin qu'elle apparaisse en premier dans la liste des stratégies. Si la règle est créée localement, assurez-vous qu'aucune autre ne la précède. 6 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a b c d Désactivez la règle Autoriser tous les trafics. Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, une erreur de configuration eiste probablement au niveau des règles. Réalisez une capture d'écran de la liste de pare-feu dans l'onglet Stratégie de pare-feu. Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log AnyAny Test. e Eportez les paramètres de la stratégie Host IPS : a b c d Connectez-vous à la console epo. Accédez à l'objet Catalogue de stratégies dans l'arborescence des systèmes epo. Recherchez Host IPS et développez-le. Cliquez sur Eporter toutes les stratégies. 7 Cliquez sur l'onglet Stratégie de pare-feu, désactivez la case Activer le pare-feu et passez à l'étape suivante. Tester la stratégie Hôtes bloqués 1 Cliquez sur l'onglet Journal d'activité et effacez le journal. 156

157 Annee B : Dépannage Journau Host IPS 2 Cliquez sur l'onglet Hôtes bloqués et supprimez tous les hôtes bloqués de la liste. 3 Testez le système pour vérifier la récurrence du problème. Si c'est le cas, il n'est probablement pas lié au hôtes bloqués. Si vous n'avez toujours pas déterminé l'origine du problème, contactez le support technique McAfee, epliquez votre problème et joignez les données obtenues lors de cette procédure. Journau Host IPS Où se trouvent les fichiers journau? Tous les fichiers journau se trouvent dans l'un des répertoires suivants du système client, en fonction du système d'eploitation : Windows P, Windows 2003 : C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention Windows Vista, Windows 2008, Windows 7 : C:\ProgramData\McAfee\Host Intrusion Prevention Comment activer la journalisation? Vous pouvez définir la journalisation Host IPS à l'aide de la console client Host IPS ou de la stratégie d'interface utilisateur du client Host IPS à partir de la console epolicy Orchestrator. Pour activer la journalisation à partir du client : 1 A partir de l'icône de la barre d'état, ouvrez la console Host IPS. Déverrouillez l'interface utilisateur grâce à un mot de passe administrateur ou à validité limitée. 2 Sélectionnez Aide Dépannage. 3 Sélectionnez les paramètres de journalisation requis : Débogage : journalise tous les messages. Informations : journalise les informations, les avertissements et les messages d'erreur. Avertissement : journalise les avertissements et les messages d'erreur. Erreur : journalise les messages d'erreur. Désactivé : ne journalise aucun message. La journalisation IPS et la journalisation de pare-feu sont contrôlées séparément. Ces paramètres de journalisation restent effectifs jusqu'au verrouillage de la console client et lors de la mise en œuvre ultérieure de stratégies. REMARQUE : la journalisation peut également être définie localement en ajoutant la valeur DWORD 'debug_enabled' dans la clé de Registre HKLM\Software\McAfee\HIP. Une valeur de décimal 1 active la journalisation détaillée du débogage. L'utilisation de la clé de Registre locale pour activer la journalisation du débogage remplace toutes les stratégies définies à l'aide d'epolicy Orchestrator. Pour activer la journalisation à partir d'epolicy Orchestrator : 1 Sous Host IPS : Général, modifiez la stratégie d'interface utilisateur à appliquer au client. 2 Cliquez sur l'onglet Dépannage. 3 Sélectionnez les paramètres de journalisation requis : Débogage : journalise tous les messages. 157

158 Annee B : Dépannage Journau Host IPS Informations : journalise les informations, les avertissements et les messages d'erreur. Avertissement : journalise les avertissements et les messages d'erreur. Erreur : journalise les messages d'erreur. Désactivé : ne journalise aucun message. La journalisation IPS et la journalisation de pare-feu sont contrôlées séparément. Ces paramètres de journalisation s'appliquent à la prochaine mise en œuvre de stratégies. Quels fichiers journau sont associés au composant Host IPS? Le fichier journal principal du composant Host IPS est HipShield.log. Ce fichier journal atteint 128 Mo et s'alterne avec une sauvegarde. La rotation du fichier journal est contrôlée par les entrées DWORD log_rotate_size_kb et log_rotate_count dans la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. La clé log_rotate_count détermine le nombre de fichiers journau de sauvegarde à conserver et l'entrée DWORD entrylog_rotate_size_kb représente la taille approimative en Ko d'un fichier journal de sauvegarde, où 0 signifie que la rotation de fichier journal est désactivée. Lorsque la taille indiquée dans l'entrée log_rotate_size_kb est atteinte, le fichier est fermé et renommé avec le suffie.1. Si un fichier portant ce nom eiste déjà, le suffie est incrémenté d'un. Lorsque le nombre spécifié de fichiers de sauvegarde est atteint, le plus ancien est supprimé. REMARQUE : lors de la collecte des données relatives au incidents signalés au support technique McAfee, il est fortement recommandé de créer la valeur de Registre debug_enabled et de la définir sur 1. Cette valeur de Registre permet de journaliser tous les événements Host IPS et IPS réseau dans le fichier HIPShield.log, indépendamment du paramètre Statut du journal des propriétés de signature. Assurez-vous d'arrêter le service, de supprimer les anciens fichiers journau, de redémarrer le service et d'eécuter la copie. Cela a pour effet de réduire la taille des fichiers journau. Quels sont les éléments à rechercher dans le fichier HipShield.log? L'eécution du composant Host IPS démarre avec une instruction permettant d'identifier le build eécuté et l'horodatage de la session. Chaque entrée du journal HipShield affiche un horodatage, suivi d'une indication concernant la nature des données : informations, débogage ou erreur. Les données contenues dans le journal HipShield sont des données ad hoc et sont différentes en fonction des segments du composant Host IPS. Domaines d'intérêt principau : Les lignes débutant par In install modules new décrivent la copie des fichiers comme faisant partie du démarrage du composant Host IPS. L'échec de la copie de ces fichiers empêche le composant Host IPS de démarrer. Une ligne débutant par Scrutinizer initialized successfully indique que le composant Host IPS s'est chargé jusqu'à l'initialisation de Scrutinizer, ce qui dépend de la copie correcte ou non des fichiers mentionnés ci-dessus. Une ligne débutant par New Process: Pid= indique que le composant Host IPS peut surveiller la création des processus. Une ligne débutant par IIS - Start indique que la surveillance IIS a commencé. Une ligne démarrant par Scrutinizer started successfully ACTIVATED status indique que Scrutinizer a démarré correctement. 158

159 Annee B : Dépannage Journau Host IPS Une ligne débutant par Hooking indique que l'accrochage des processus se poursuit. Le numéro indique le PID (ID de processus) du processus accroché. Une série de lignes débutant par Processing Buffer.scn rapporte les résultats du traitement du fichier d'analyse.scn par l'analyseur, où est remplacé par un nom tel que EnterceptMgmtServer, comme indiqué ci-dessus. Les erreurs dans le traitement des fichiers d'analyse par les analyseurs sont reportées ici. Les lignes au format signature=111 level=2, log=true indiquent qu'une signature individuelle a été chargée. L'ID et le niveau de signature sont inclus avec une indication précisant si la journalisation est activée pour cette signature. REMARQUE : Shield.db et ecept.db sont créés dans le même répertoire que les journau uniquement lorsque le débogage est activé. Ces fichiers contiennent un vidage des règles et eceptions envoyées au noyau après le traitement du contenu par AgentNT.dll. Quels fichiers journau sont associés au composant de pare-feu? Les fichiers journau principau du composant de pare-feu et ce qu'ils contiennent : Nom Description Contient FireSvc.log Journal de service principal Journalisation de niveau débogage Sortie correspondant à l'emplacement Sortie d'évaluation de conneion TrustedSource Erreurs/avertissements HipMgtPlugin.log Journal du plug-in McAfee Journalisation de niveau débogage Agent Statistiques de délai de mise en œuvre des stratégies Erreurs/avertissements FireTray.log/McTrayHip.log Journal de la barre d'état Journalisation de niveau débogage Erreurs/avertissements FireUI.log Journal de l'interface Journalisation de niveau débogage utilisateur du client Erreurs/avertissements Ces fichiers journau grossissent jusqu'à atteindre la taille maimale par défaut de 100 Mo. Si vous souhaitez obtenir des fichiers journau plus légers ou plus lourds, leur taille peut être contrôlée en ajoutant la valeur de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaFwLogSize. Pour définir la taille d'un fichier journal : 1 Sélectionnez la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP, cliquez sur un espace vide du volet droit, puis sélectionnez Nouveau, Valeur Dword. 2 Nommez la nouvelle valeur MaFwLogSize. 3 Cliquez sur MaFwLogSize avec le bouton droit de la souris et sélectionnez Modifier. 4 Modifiez la valeur sur la taille de journal souhaitée. Cette valeur est entrée en Ko. 5 Cliquez sur OK, puis fermez l'editeur du Registre. REMARQUE : la clé de Registre MaFwLogSize contrôle la taille des journau FireSvc.log, HipMgtPlugin.log, FireTray.log et FireUI.log. La création et l'affectation d'une valeur à la clé de Registre ci-dessus définissent la taille maimale de tous ces fichiers journau. 159

160 Annee B : Dépannage Utilitaire Clientcontrol.ee Utilitaire Clientcontrol.ee Cet utilitaire de ligne de commande permet d'automatiser les mises à niveau et les autres tâches de maintenance lorsqu'un logiciel tiers est utilisé pour déployer Host Intrusion Prevention sur des ordinateurs clients. Il peut être inclus dans les scripts d'installation et de maintenance pour désactiver temporairement la protection IPS et activer les fonctions de journalisation. Fonctions et configuration Cet utilitaire permet au administrateurs d'effectuer les actions suivantes sur le client McAfee Host IPS : démarrer le service Host IPS ; arrêter le service Host IPS (requiert un mot de passe administrateur ou à validité limitée) ; modifier les paramètres de journalisation (requiert un mot de passe administrateur ou à validité limitée) ; démarrer/arrêter les moteurs Host IPS (requiert un mot de passe administrateur ou à validité limitée) ; eporter le journal d'activité vers un fichier tete mis en forme ; afficher les données de licence NaiLite résidant dans le Registre de l'ordinateur client ; eporter les paramètres de configuration vers un fichier tete mis en forme ; remplacer les paramètres de configuration par les paramètres de stratégie par défaut ; eporter les règles de protection IPS au démarrage à partir du Registre. L'utilitaire enregistre ses activités dans le fichier ClientControl.log dans le répertoire : C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention ou C:\ProgramData\McAfee\Host Intrusion Prevention sous Windows Vista, Windows 2008 et Windows 7. Pour activer la journalisation, modifiez HKLM\Software\McAfee\HIP dans le Registre en ajoutant une entrée FwLogLevel de type DWORD avec une valeur de 07. Arrêt des services Host IPS Le paramètre /stop permet d'arrêter les services Host IPS si l'utilisateur dispose des droits d'administrateur nécessaires à l'arrêt de services. Si l'utilisateur dispose des droits suffisants pour arrêter des services sur l'ordinateur, les événements suivants se produisent : Les services Host IPS sont arrêtés. La case Host IPS de l'onglet Stratégie IPS est désactivée automatiquement. Les services Host IPS ne sont pas arrêtés. Une entrée apparaît dans le fichier ClientControl.log. McAfee Agent met en œuvre les stratégies à l'intervalle de mise en œuvre des stratégies suivant. Si McAfee Agent met en œuvre les stratégies alors que vous effectuez une activité qui requiert la désactivation de la protection (par eemple l'application d'un patch à Windows), votre activité peut être bloquée par les stratégies mises en œuvre. Même si l'arrêt des services Host IPS est effectif, les paramètres de stratégie peuvent autoriser McAfee Agent à les redémarrer au prochain intervalle de communication agent-serveur (Agent-Server Communication Interval ou ASCI). Pour l'en empêcher : 1 Dans epolicy Orchestrator, ouvrez Host Intrusion Prevention : Stratégie générale. 2 Sélectionnez l'onglet Avancé. 160

161 Annee B : Dépannage Utilitaire Clientcontrol.ee 3 Désactivez la case à cocher Effectuer une vérification de l'intégrité des produits. 4 Envoyez un appel de réactivation de l'agent. Syntae de ligne de commande Conventions : [ ] signifie requis. [,...] signifie un ou plus. < > signifie données entrées par l'utilisateur. Arguments principau : Un seul des arguments principau suivants est autorisé par appel : /help /start /stop /log /engine /eport Cependant, vous pouvez spécifier plus d'une option de journalisation lors de la modification des paramètres de journalisation. La commande /help de l'utilitaire fournit les remarques et informations d'aide les plus récentes. Syntae : clientcontrol [arg] Définition des arguments : /help Affiche les remarques et la syntae de la ligne de commande. /start Démarre le service. /stop <mot de passe> Arrête le service. /log <mot de passe> [type de journal] [options de journalisation] Génère les journau. Les options de journalisation sont traitées dans l'ordre. Définition des types de journau : 0 = HIPS (créer un journal HipShield.log) 1 = Pare-feu (créer un journal FireSvc.log) Définition des options de journalisation : 0 = désactivé 1 = erreur 2 = avertissement 3 = informations 4 = débogage 5 = violation de sécurité (IPS uniquement) 161

162 Annee B : Dépannage Utilitaire Clientcontrol.ee /engine <mot de passe> [type de moteur] [option de moteur] Active et désactive les moteurs. Définition des types de moteurs : 0 = tous 1 = Buffer Overflow 2 = SQL (serveur uniquement) 3 = Registre 4 = Services 5 = Fichiers 6 = HTTP (serveur uniquement) 7 = API Host IPS 8 = Utilisation illicite 9 = Programme 10= Point d'accroche Définition des options de moteur : 0 = désactivé 1 = activé /eport /s <chemin du fichier source d'eportation> <chemin du fichier d'eportation du journal d'événements> Eporte le journal d'événements vers un fichier tete mis en forme. Le chemin du fichier source est facultatif. N'incluez pas «/s» s'il n'eiste aucun fichier source. /readnailic Affiche les données de licence NaiLite. /eportconfig <chemin du fichier d'eportation> <type de configuration> Eporte les paramètres de configuration vers un fichier tete mis en forme. Définition des types de configuration : 0 = tous 1 = protection des applications 2 = hôtes bloqués 3 = pare-feu 4 = signatures personnalisées host IPS 5 = eceptions IPS 6 = paramètres 7 = applications approuvées 8 = réseau approuvés 9 = signatures IPS réseau 10 = signatures host IPS 11 = moteurs host IPS 12 = ouverture de sessions 13 = règles de blocage DNS 162

163 Annee B : Dépannage Utilitaire Clientcontrol.ee /defconfig <mot de passe> Remplace les paramètres de configuration par les stratégies client par défaut pour les paramètres de protection des applications, pare-feu et applications approuvées. /boottimerules <mot de passe> <chemin du fichier d'eportation> Eporte les règles IPS de protection au démarrage vers un fichier tete mis en forme. REMARQUE : Au moins une espace doit figurer entre l'argument, le mot de passe et tout autre paramètre requis. Eemples de flu de travail Application d'un patch sur un ordinateur protégé par McAfee Host IPS 1 Ouvrez un shell de commande. 2 Eécutez la commande clientcontrol.ee /stop <mot de passe>. 3 Eécutez vos activités de maintenance. 4 Eécutez la commande clientcontrol.ee /start (pour redémarrer les services Host IPS). Eportation du journal d'activité Host IPS vers un fichier tete 1 Ouvrez un shell de commande. 2 Eécutez la commande clientcontrol.ee /eport <chemin du fichier d'eportation>. 3 Copiez le fichier journal eporté sur un autre ordinateur pour la collecte et l'analyse. Activation de la journalisation dans le cadre d'un dépannage 1 Ouvrez un shell de commande. 2 Eécutez la commande clientcontrol.ee /log <mot de passe> [type de journal] [option de journalisation,...]. 3 Eécutez les activités de génération des entrées de journal. 4 Consultez le fichier HipShield.log ou FireSvc.log pour obtenir des informations utiles. Désactivation des moteurs Host IPS spécifiques dans le cadre d'un dépannage. 1 Ouvrez un shell de commande. 2 Eécutez la commande clientcontrol.ee /<mot de passe> [type de moteur] [option de moteur]. 3 Eécutez les activités de génération des réactions et entrées de journal. 4 Consultez le fichier HipShield.log ou FireSvc.log pour obtenir des informations utiles. 163

164 Inde A adaptateurs réseau conditions d'autorisation de conneion 62 administrateurs globau affectation d'ensembles d'autorisations 26 adresse IP configuration de réseau approuvés 88 groupes de règles 62 groupes selon l'emplacement 62 pare-feu avec état, IPv4 par rapport à IPv6 67 règles de pare-feu et 101 surveillance des hôtes bloqués 103 affectation de stratégies activer la protection par pare-feu 72 Host IPS 9 modification 20 alertes d'usurpation détectée 99 alertes, Host IPS alertes d'intrusion 98 clients Windows 97 configuration des options pour des clients 95 mode d'apprentissage et trafic réseau inconnu 71 pare-feu 98 réponse à 98, 99 usurpation détectée 99 appels de réactivation mise à jour des clients Host IPS 31 applications approuvées configuration, dans Host IPS 89 création d'une liste dans Host IPS 89 création et modification, dans Host IPS 90 création, basée sur un événement 54 définition 10 stratégie Règles IPS 54 autoriser et bloquer des actions communications réseau, Stratégie de pare-feu 101 filtrage avec état du pare-feu 68 B blindage et enveloppement règles comportementales IPS et 36 Blocage DNS du pare-feu, stratégie définir 75 Buffer Overflow configuration d'une stratégie Applications approuvées 89 empêche sur client Solaris 106 règles comportementales IPS et 36 C caractères génériques règles de pare-feu 81 règles IPS 48 signatures personnalisées 118 catalogue de stratégies Applications approuvées 89 gestion des stratégies Host IPS 18 Interface utilisateur du client 84 propriété des stratégies Host IPS 8 Réseau approuvés 88 stratégies de pare-feu personnalisées, création 72, 75 Catalogue Host IPS ajout 79 contenu 65 dépendances 65 eplication 65 eportation 79 eportation depuis 79 filtrage 79 modification 79 utilisation 79 client Linu 109, 110, 112 arrêt et redémarrage 112 considérations 110 dépannage 110, 112 mise en œuvre des stratégies 109 présentation 109 vérification des fichiers d'installation 112 client Solaris arrêt et redémarrage 109 dépannage 107 empêcher Buffer Overflow 106 fichiers d'installation 108 mise en œuvre des stratégies 106 présentation 106 vérification de l'eécution du client 109 client Windows alertes 97 dépannage 96, 97 liste de règles de pare-feu 101 onglet Hôtes bloqués 103, 104 onglet Journal d'activité 105 onglet Protection d'applications 104 onglet Stratégie de pare-feu 101, 102 onglet Stratégie IPS 100 présentation 92 règles d'eception pour les stratégies IPS 100 règles de pare-feu, création et modification 102 stratégies IPS, modification 100 stratégies IPS, utilisation de 100 ClientControl, utilitaire arrêt des services 160 fonction et configuration 160 syntae de ligne de commande 160 utilisation pour le dépannage 160 clients analyse de données sur les clients Host IPS 22 conventions de nommage pour Host IPS 21 Linu (Consulter Client Linu) 109 mise à jour avec tâche ou appel de réactivation d'agent

165 Inde clients (suite) réglage Host IPS 22 requêtes pour des groupes de 14 Solaris (Consulter client Solaris) 106 utilisation, dans Host IPS 21 Windows (Consulter client Windows) 92 conformité configuration des tableau de bord Host IPS à afficher 19 console client Windows déverrouillage de l'interface 94 menu de l'icône de la barre d état système 92 méthodes d'ouverture 94 personnalisation par client 95 présentation 92 D dépannage, Host IPS blocage du trafic non IP 151 client Linu 109, 110 client Solaris 107 client Windows 96 désactivation des moteurs Host IPS 97 échec d'application avec l'installation de Host Intrusion Prevention 151 Interface utilisateur du client 87 isolement du composant à l'origine des problèmes 151 journalisation de pare-feu, configuration des options 97 options 96 outil hipts 107, 110 utilisation de l'utilitaire ClientControl 160 utilisation des journau 157 vérification de l'eécution des services 151 déploiement déploiement initial d'un client Host IPS 21 profils d'usage dans Host IPS 10 stratégies Host IPS et 10 tâches serveur pour Host IPS 26 E ensembles d autorisations affectation 27 autorisations Host IPS 26 configuration du système 19 gestion du déploiement Host IPS 26 enveloppement et blindage 34 événements IPS à propos de 38 applications approuvées, création 54 eceptions, création 54 gestion 55 présentation 54 utilisation 54 événements, Host IPS réponses automatiques 29 alertes d'intrusion, réponse à 98 analyse et réglage 10 eceptions 37 gestion 55 journalisation et onglet Evénements IPS 38 pare-feu, journau d'activité 105 règles comportementales 36 réponses automatiques 29 stratégie Règles IPS 41 utilisation 54 violations de signature 38 F FAQ mode adaptatif 23 stratégie à plusieurs instances 43 fau positifs eceptions et stratégie Règles IPS 52 réglage des stratégies Host IPS 10 stratégie Applications approuvées, réduction 89 fichiers journau, Host IPS activité IPS 96 activité pare-feu 97 client Linu, historique d'installation 112 client Solaris, historique d'installation 108 dépannage 107, 110 Dépannage de l'interface utilisateur du client 87 filtres événements et requêtes Host IPS 10 fonctionnement du filtrage avec état du pare-feu 68 requêtes concernant les activités de Host IPS 14 G gestion des informations analyse des données client Host IPS 22 requêtes prédéfinies et personnalisées pour Host IPS 14 tableau de bord et requêtes pour Host IPS 13 gestion des stratégies accès au stratégies Host IPS 18 analyse des règles de client et des événements Host IPS 18 client Linu et 109 onglet Stratégies, Host IPS 18 réglage Host IPS 10, 20 suivi des stratégies Host IPS 10 gestion du système réponses automatiques au événements Host IPS 29 mise à jour de la protection Host IPS 30 tâches serveur pour Host IPS 26, 28 groupes de règles, Host IPS groupes de règles de pare-feu, création 78 groupes selon l'emplacement création 78 isolement de conneion 64 groupes, Host IPS affectation de stratégie 9 application des stratégies 9 critères de configuration 10 et héritage 9 pare-feu, selon l'emplacement, création 78 suppression des stratégies et héritage pour 18 H Host IPS activités et tableau de bord 13 configuration et réglage de la protection 20 ensembles d autorisations 26 fonctions et catégories 9 onglet Informations sur l'intrusion 98 principes de fonctionnement 7 protection de base et avancée 7 réponse au alertes 98 stratégies et leurs catégories 9 types de stratégies 8 165

166 Inde I IPS, Host IPS autorisations pour 26 J journau activation 157 FireSvc.log 157 HipShield.log 157 pour la fonctionnalité de pare-feu 157 pour la fonctionnalité IPS 157 utilisation pour le dépannage 157 journau d'activité, Host IPS affichage 105 options de journalisation de pare-feu 97 options de journalisation IPS 96 personnalisation des options 105 suppression d'entrées 105 utilisation de l'onglet Journal d'activité 105 L langue, Host IPS configuration des options pour des clients 95 listes de règles eceptions pour Host IPS 100 règles de pare-feu pour Host IPS 102 M Ma stratégie par défaut blocage DNS 75 Règles de pare-feu 75 McAfee par défaut, stratégie blocage DNS 75 Règles de pare-feu 75 McAfee, recommandations contacter le support McAfee pour désactiver le moteur HIPS 97 critères de regroupement des systèmes Host IPS 10 déploiement Host IPS par phases 21 régler les stratégies Host IPS par défaut 19 regrouper de manière logique les clients Host IPS 21 utiliser la protection IPS pour décaler l'impact des événements 10 migration stratégies 24 version de stratégie 7 ou 8 24 mise à jour archivage des packages Host IPS 30 méthodes Host IPS 31 package de contenu Host IPS 30 signatures, Host IPS 30 mise en œuvre des stratégies client Linu et 109 Client Solaris et 106 clients Host IPS et epo 7 Host IPS 9 mode adaptatif application 23 avec IPS vs pare-feu 23 FAQ 23 règles créées de manière non automatique 23 à propos de 10 eception et 37 mise des clients Host IPS en 22, 38 réglage automatique 20 Règles de pare-feu, stratégies 75 mode adaptatif (suite) stratégie Options de pare-feu 72 stratégie Options IPS 39 mode d'apprentissage à propos de 10 mise des clients Host IPS en 22 règles de pare-feu 71 Règles de pare-feu, stratégies 75 stratégie Options de pare-feu 72 mots de passe déverrouillage de l'interface du client Windows 94 pour la stratégie Interface utilisateur du client 85 utilisation de l'outil de dépannage hipts 107 N NIPS (signatures de prévention des intrusions sur le réseau) 103 niveau de gravité, IPS configuration et réglage de la protection 20 définition des réactions pour 41 événements et 54 mappage avec une réaction 10 réglage 10, 19 stratégie Protection IPS 40 utilisation des signatures 44 niveau de sécurité des signatures types de 44 O onglet Hôtes bloqués, utilisation de 103 options de ligne de commande arrêt du client Solaris 109 arrêt et redémarrage d'un client Linu 112 client Solaris, redémarrage 109 ClientControl.ee, automatisation de la mise à niveau 96 vérification de l'eécution du client Linu 112 vérification de l'eécution du client Solaris 109 P packages mises à jour du contenu Host IPS 30 pare-feu avec état fonctionnement du filtrage avec état 68 inspection des paquets, fonctionnement 69 suivi de protocole 70 pare-feu, Host IPS inspection des paquets avec état 67, 69 à propos de 8 actions, autoriser et bloquer 68 alertes 98 autorisations pour 26 filtrage avec état, fonctionnement 68 filtrage des paquets avec état 67 fonctionnement des règles de pare-feu 60 groupes de règles 62 groupes de règles de pare-feu, création 78 groupes de règles, selon l'emplacement 62 groupes selon l'emplacement 78 inspection des paquets avec état 67, 69 liste de règles 76, 101, 102 liste de règles de pare-feu, classement 60 mode d'apprentissage et mode adaptatif 71 options de journalisation 97 Options de pare-feu, configuration 74 personnalisation des options

167 Inde pare-feu, Host IPS (suite) présentation 59 règles de blocage DNS 79 règles de client 14, 72 règles de pare-feu 10, 75, 77 Règles de pare-feu, configuration 76 règles, autoriser et bloquer 60 requêtes 14 suivi de protocole avec état 70 table d'état 67 ports conneions et alertes de pare-feu 98 conneions FTP et inspection des paquets avec état 69 pare-feu et entrées de la table d'état 67 trafic bloqué et règles de pare-feu 71 prévention des intrusions (IPS) enveloppement et blindage 34 eceptions 37 HIPS, à propos de 35 interception des appels système 34 méthodes de remise 34 mode adaptatif et eceptions 37 modification des règles d'eception 100 moteurs et pilotes 34 NIPS, à propos de 35 options de journalisation 96 options de journalisation de pare-feu 97 personnalisation des options 100 présentation 33 réactions 37 règles comportementales 36 règles de client 14 règles de client, présentation 57 signatures, définies 35 stratégie Protection IPS 40 priorité IPS réseau et adresses IP 88 liste de règles de pare-feu 60 stratégie Réseau approuvés 88 stratégies générales, Host IPS et 83 processus surveillés, consultation 104 profils d'usage réglage des stratégies Host IPS 10 regroupement des systèmes Host IPS 10 propriétés avancées, Host IPS réponses automatiques 29 protection de base Host IPS 7 stratégies Host IPS par défaut 20 protection IPS activer 38 désactiver 38 protection par pare-feu activer 72 désactiver 72 protocoles suivi, et pare-feu avec état 70 R réactions à propos de 37 alertes d'intrusion, réponse à 98 alertes d'usurpation détectée, réponse à 99 alertes de pare-feu, réponse à 98 définition, pour des niveau de gravité d'une signature 41 réactions (suite) mappage avec une gravité IPS 10 Protection IPS, configuration 40 types de 37 réglage Host IPS analyse d'événements 18 gestion des stratégies 10 manuel et automatique 20 mode adaptatif et mode d'apprentissage 22 profils d'usage 10 stratégies Applications approuvées 89 stratégies par défaut et 19 règles comportementales blindage et enveloppement 36 définition d'une activité Host IPS légitime 36 règles d'eception à propos de 37 agrégation et règles de client 57 configuration de la stratégie Règles IPS 53 création 53 création, basée sur un événement 54 Créer une eception 98 définition 10 événements et 54 liste, client Windows et 100 modification des stratégies IPS 100 réglage automatique 22 stratégie Règles IPS 41, 52 utilisation 52 règles de blocage DNS création et modification 79 règles de client Pare-feu 72, 80 création d'eceptions 37 création, avec le mode adaptatif et le mode d'apprentissage 10 IPS 41 Pare-feu 72, 80 requêtes Host IPS 14 stratégie Règles IPS, présentation 57 règles de pare-feu création et modification 77 Règles de pare-feu, stratégie définir 75 règles de protection des applications à propos de 38 configuration 51 création 52 présentation 49 processus, autorisés ou bloqués 49 stratégie Règles IPS 38, 41, 52 utilisation 49 réponses automatiques, Host IPS à propos de 29 configuration 19 règles et événements 29 requêtes, Host IPS activités de suivi 14 gestion des informations 13 personnalisées, paramètres pour 14 prédéfinies et personnalisées 14 rapports 10 S signatures alertes et signatures NIPS

168 Inde signatures (suite) configuration de la stratégie Règles IPS 45 création avec la méthode epert 47 création avec la méthode standard 47 création Host IPS, personnalisées 47 définition 35 eceptions 37 HIPS, à propos de 35 Host IPS par défaut 44 hôte 44 IP hôte, et eceptions 98 liste des règles d'eception 100 NIPS, à propos de 35 niveau de gravité 44 niveau de gravité pour 40 personnalisée 44 réglage des stratégies Host IPS 10 réseau 44 stratégie Règles IPS 41 types de 44 utilisation 44 utilisation de l'assistant pour créer 48 signatures Host Intrusion Prevention 35 signatures Network Intrusion Prevention 35 signatures personnalisées caractères génériques 118 directives valides sous Linu 149 directives valides sous Solaris 149 directives valides sous Windows 138 Linu 141 Linu, UNI_apache (HTTP) 144 Linu, UNI_file (Files) 141 Linu, UNI_misc 146 présentation pour Linu et Solaris 141 présentation pour Windows 120 sections communes 115 sections facultatives 117 Solaris 141 Solaris, UNI_apache (HTTP) 144 Solaris, UNI_bo 147 Solaris, UNI_file (Files) 141 Solaris, UNI_GUID 148 Solaris, UNI_map 148 Solaris, UNI_misc 146 structure d'une règle 114 variables de valeurs de section 118 Windows, Buffer Overflow 121 Windows, directives pour plate-forme 138 Windows, Files 122 Windows, Hook 125 Windows, Illegal 127 Windows, Illegal API Use 126 Windows, Isapi 127 Windows, Program 130 Windows, Registry 131 Windows, Services 134 Windows, SQL 137 stratégie à plusieurs instances FAQ 43 stratégie appliquée 43 utilisation pendant le déploiement 43 affectation 42, 91 stratégie Applications approuvées à propos de 8 création et modification 90 définir 89 stratégie Applications approuvées (suite) fau positifs, réduction 83 Stratégie Applications approuvées présentation 83 stratégie appliquée avec stratégies à plusieurs instances 43 Stratégie Blocage DNS du pare-feu à propos de 8 présentation 59 stratégie Interface utilisateur du client à propos de 8 configuration 84 contrôle de la barre d'état, configuration 85 définir 84 dépannage 87 mots de passe 85 onglet Général, configuration 85 présentation 83 Stratégie Interface utilisateur du client options 95 stratégie Ma stratégie par défaut Applications approuvées 89 Host IPS 9 Interface utilisateur du client 84 Options de pare-feu 72 Options IPS 38 Protection IPS 40 Règles IPS 41 Réseau approuvés 88 stratégie McAfee par défaut Applications approuvées 89 Host IPS 9 Interface utilisateur du client 84 Options de pare-feu 72 Options IPS 38 Protection IPS 40 Règles IPS 41 Réseau approuvés 88 stratégie Options de pare-feu à propos de 8 configuration 74 utilisation 72 Stratégie Options de pare-feu TrustedSource 74 présentation 59 stratégie Options IPS à propos de 8 configuration 39 mode adaptatif 38 stratégies prédéfinies 39 utilisation 38 Stratégie Options IPS présentation 33 stratégie Protection IPS à propos de 8 configuration 41 niveau de gravité, définition 40 réactions, définition 41 utilisation 40 Stratégie Protection IPS présentation 33 stratégie Règles de pare-feu caractères génériques 81 à propos de 8 configuration 76 groupes, création

169 Inde stratégie Règles de pare-feu (suite) présentation 59 règles de client, gestion 80 stratégie Règles IPS caractères génériques 48 à propos de 8 configuration 42, 51 définir 41 événements, utilisation de 54 eceptions, configuration 42 gestion des eceptions 53 journalisation d'événements 38 présentation 33 règles d'eception 52 règles de protection des applications 38, 49, 51 règles de protection des applications, configuration 42 signatures, configuration 42 signatures, utilisation de 44 stratégie Réseau approuvés à propos de 8 configuration 88 définir 88 fau positifs, réduction 83 priorité et 88 Stratégie Réseau approuvés présentation 83 stratégies de pare-feu, Host IPS présentation des fonctions 59 stratégies générales, Host IPS autorisations pour 26 page stratégie Applications approuvées 90 présentation des fonctions 83 stratégies préconfigurées Applications approuvées 89 Interface utilisateur du client 84 Options IPS 38 Protection IPS 40 Règles de pare-feu 75 Réseau approuvés 88 stratégies, Host IPS migration 24 affectation 20 affichage des stratégies 18 application des stratégies 9 Blocage DNS du pare-feu 75 catalogue de stratégies 18 configuration des options IPS 39 création 19 définition 9 et leurs catégories 9 stratégies, Host IPS (suite) gestion 18 héritage 10 ignorer, avec des eceptions client 10 Options de pare-feu 72, 74 où trouver 18 par défaut, protection de base 7 pare-feu (voir pare-feu, Host IPS) 8 plusieurs instances 42, 91 présentation des fonctions 8, 33 profils d'usage et réglage 10 propriétaire affecté 9 protection prédéfinie 10 réglage des paramètres par défaut 19 règles de client, création d'eceptions 10 Règles de pare-feu 75, 76 réponse au alertes 99 structure d'une règle signatures personnalisées 114 T table d'état, pare-feu fonctions 67 présentation 67 tableau de bord affichage de la conformité et des problèmes liés à Host IPS 19 gestion des informations dans Host IPS 13 moniteurs Host IPS par défaut 13 requêtes et Host Intrusion Prevention 10 tâche de Traducteur de propriétés Host IPS 28 tâches serveur, Host IPS archivage des mises à jour 30 Eécuter une requête 28 Eporter les requêtes 28 Eporter les stratégies 28 Etraction du référentiel 28 gestion du déploiement 26, 28 Purger le journal des événements 28 Purger le journal des événements de menace 28 Traducteur de propriétés 28 TrustedSource définition 74 FAQ 74 principes de fonctionnement 74 stratégie Options de pare-feu Host IPS 74 U utilitaires ClientControl.ee, automatisation de la mise à niveau

170 Inde 170