Intrusion Defense Firewall 1.1 pour OfficeScan Client/Server Edition Guide de déploiement
Trend Micro Incorporated se réserve le droit de modifier ce document et les produits présentés dans celui-ci sans avis préalable. Avant d'installer et d'utiliser ce logiciel, veuillez consulter les fichiers Lisez-moi, les notes de mise à jour et la dernière version de la documentation utilisateur applicable que vous trouverez sur le site Web de Trend Micro à l'adresse suivante : http://www.trendmicro.com/download/emea/?lng=fr Trend Micro, le logo t-ball de Trend Micro, OfficeScan, Intrusion Defense Firewall, Control Server Plug-in, Damage Cleanup Services, eserver Plug-in, InterScan, Network VirusWall, ScanMail, ServerProtect et TrendLabs sont des marques commerciales ou déposées de Trend Micro, Incorporated. Tous les autres noms de produit ou d'entreprise peuvent être des marques commerciales ou déposées de leurs propriétaires respectifs. Copyright 2008 Trend Micro Incorporated. Tous droits réservés. Numéro de référence du document : OSEM83466/71122 Date de publication : Avril 2008
Table des matières À propos d'intrusion Defense Firewall...1 Installation...4 Activation du plugiciel serveur Intrusion Defense Firewall...6 Installation des composants serveur Intrusion Defense Firewall avec une source de mise à jour locale..7 Installation du plugiciel client Intrusion Defense Firewall...8 Passer du pare-feu OfficeScan natif à Intrusion Defense Firewall...9 Désinstallation d'intrusion Defense Firewall... 12 Résolution des problèmes d'installation du plugiciel serveur... 14
À propos d'intrusion Defense Firewall Intrusion Defense Firewall pour OfficeScan Client/Server Edition est un système anti-intrusion qui permet de créer et de mettre en application des stratégies de sécurité visant à protéger des données sensibles, des applications, des ordinateurs ou des segments de réseau. Le composant serveur («plugiciel serveur») est installé sur le serveur OfficeScan. Il déploie et gère le composant client («plugiciel client») sur les clients OfficeScan. Plugiciel serveur Le plugiciel serveur est un système de gestion intégré à la console Web d'officescan. Il permet aux administrateurs de créer et de gérer des stratégies de sécurité anti-intrusion complètes, d'effectuer le suivi des menaces et de journaliser les actions de prévention entreprises en réponse à ces menaces. Tableau de bord Le tableau de bord du plugiciel serveur fournit : des rapports complets relatifs au système, aux événements et aux ordinateurs, avec des fonctions de zoom ; des graphiques de mesures clés et des tendances, avec fonction de zoom ; des journaux d'événements détaillés, avec fonction de zoom, et le transfert des journaux pour une corrélation d'événements avec d'autres systèmes ; la possibilité d'enregistrer plusieurs présentations du tableau de bord. Outils de surveillance Parmi les outils de surveillance figurent notamment les observateurs d'événements pour le pare-feu, IPS et les Événements système, ainsi qu'une sélection de rapports présentant un résumé de l'activité récente. Liste des ordinateurs La structure de l'arborescence client sur l'écran Ordinateurs et l'écran Ordinateurs en réseau de la console Web d'officescan sont identiques. La liste affichée dans le plugiciel serveur correspond à la liste utilisée pour appliquer les différents filtres, règles et configurations avec état d'intrusion Defense Firewall. Profils de sécurité Les profils de sécurité sont des modèles de stratégie qui vous permettent de configurer et de spécifier les règles de sécurité qui s'appliquent à un ou à plusieurs ordinateurs. Ces jeux de règles compacts et gérables permettent de bénéficier d'une sécurité complète sans avoir besoin de gérer des milliers de règles. Les profils de sécurité par défaut fournissent les règles nécessaires pour un large éventail de configurations d'ordinateur, assurant ainsi un déploiement rapide. Règles de pare-feu Un pare-feu avec état, bidirectionnel et sophistiqué offre une prise en charge intégrale de tous les protocoles réseau, notamment TCP, UDP et ICMP. Les règles de pare-feu peuvent être configurées intégralement pour autoriser ou refuser le trafic en fonction des différentes interfaces et restreindre les communications aux adresses IP ou MAC autorisées. Tous droits réservés. - 1 -
Filtres IPS (Intrusion Prevention System) L'inspection approfondie des paquets, qui examine les données d'application à destination et en provenance de l'ordinateur, protège les points de vulnérabilité du logiciel contre les attaques. Les filtres IPS autorisent, bloquent, consignent ou modifient des données en fonction de leur contenu. Les filtres IPS protègent les points de vulnérabilité contre les attaques connues et inconnues en définissant des données d'application attendues et en bloquant les données malveillantes en fonction de leur contenu. Mises à jour de sécurité : les mise à jour des filtres IPS en continu fournissent automatiquement la protection complète la plus récente contre les attaques connues et inconnues. Configurations avec état Le mécanisme de configuration avec état d'intrusion Defense Firewall analyse chaque paquet dans le contexte de l'historique du trafic, de l'exactitude des valeurs d'en-tête TCP et IP, et des transitions d'état de connexion TCP. Dans le cas de protocoles sans état, tels que UDP et ICMP, Intrusion Defense Firewall implémente un mécanisme pseudo-dynamique basé sur des analyses de l'historique du trafic. Le mécanisme avec état gère les paquets comme suit : un paquet est transmis à la routine avec état si les conditions des règles de pare-feu statiques l'y autorisent ; le paquet est examiné afin de déterminer s'il appartient à une connexion existante, en recherchant des extrémités correspondantes dans une table de connexions créée par le mécanisme avec état ; l'en-tête TCP est examiné afin de déterminer son exactitude (par exemple, des numéros de séquence et des combinaisons d'indicateurs). Composants réutilisables Intrusion Defense Firewall utilise des jeux indépendants de types d'application, de listes d'adresses IP, de listes d'adresses MAC et de listes de ports. Ces composants peuvent être utilisés par plusieurs éléments du système Intrusion Defense Firewall (règles de pare-feu, filtres IPS, profils de sécurité, etc.) afin de vous éviter d'avoir à entrer les mêmes informations à chaque fois que vous créez une règle, un filtre ou un profil. Plugiciel client Le plugiciel client est un composant logiciel haute performance, peu volumineux, installé sur un ordinateur sur lequel est installé le client OfficeScan. Il applique le profil de sécurité (déployé par le plugiciel serveur) au trafic réseau entrant et sortant, recherche toute modification de protocole ou contenu susceptible de signaler une attaque. Si nécessaire, le plugiciel client intervient et neutralise la menace en bloquant ou en corrigeant le trafic. Configuration minimale requise Plugiciel serveur Mémoire : 512 Mo minimum de mémoire vive (1 Go recommandé) Espace disque : 1,5 Go minimum (6 Go recommandés) Navigateur Web : Internet Explorer 6+ (cookies activés) Système d'exploitation : Microsoft Windows Server 2003 (SP1 ou version supérieure), Microsoft Storage Server 2003 (SP1 ou version supérieure), Microsoft Cluster Server 2003 (SP1 ou version supérieure), Microsoft Windows 2000 Server (SP4 ou version supérieure) Tous droits réservés. - 2 -
Conditions préalables : o Windows 2000 : MDAC 2.81, Windows Installer 3.1 et Microsoft.NET Framework 2.0 ou supérieur (requis pour l'installation de SQL Server 2005 Express) o Windows 2003 : Microsoft.NET Framework 2.0 ou supérieur (requis pour l'installation de SQL Server 2005 Express) Le plugiciel serveur installe automatiquement Microsoft SQL Server 2005 Express. Plugiciel client Mémoire : 128 Mo minimum de mémoire vive Espace disque : 50 Mo minimum (100 Mo recommandés, essentiellement pour les journaux) Système d'exploitation : Windows 2000 (32 bits), Windows XP (32 et 64 bits), Windows 2003 (32 et 64 bits), Vista (32 et 64 bits) Tous droits réservés. - 3 -
Installation 1. Télécharger Intrusion Defense Firewall Dans le OfficeScan Plug-In Manager, sélectionnez Intrusion Defense Firewall, puis cliquez sur Télecharger. Dans la boîte de dialogue, cliquez sur «OK» pour confirmer le téléchargement, puis attendez la fin du téléchargement. 2. Installer Intrusion Defense Firewall Cliquez sur Installer. S'il s'agit d'une nouvelle installation ou que vous renouvelez votre licence avec un nouveau code d'activation, vous êtes invité à accepter le contrat de licence. Pour continuer, lisez et acceptez le contrat de licence. L'installation prend plusieurs minutes. Tous droits réservés. - 4 -
Une fois l'installation du plugiciel serveur Intrusion Defense Firewall terminée, cliquez sur Gestion des programmes pour activer Intrusion Defense Firewall. Lors de la première exécution du plugiciel serveur Intrusion Defense Firewall, un message d'avertissement relatif au certificat peut s'afficher. Cet avertissement apparaît car le plugiciel serveur s'exécute sur un serveur Web différent du serveur OfficeScan. Vous pouvez accepter ce certificat en toute sécurité. Lorsque l'avertissement apparaît, cliquez sur le bouton «Installer le certificat» et installez le certificat à l'emplacement par défaut. Mise à niveau du plugiciel serveur Vous serez informé via l'écran de Plug-in Manager de la disponibilité d'une nouvelle version du plugiciel serveur Intrusion Defense Firewall La nouvelle version apparaîtra au-dessus de la version actuelle. Pour effectuer la mise à niveau vers une nouvelle version, cliquez sur le bouton Télécharger. Une fois le téléchargement de la nouvelle version terminé, le bouton Télécharger devient Mettre à niveau. Pour mettre à niveau votre plugiciel serveur, cliquez sur Mettre à niveau. Tous droits réservés. - 5 -
Activation du plugiciel serveur Intrusion Defense Firewall 1. Installer les certificats de sécurité Lorsque vous activez le plugiciel serveur Intrusion Defense Firewall pour la première fois, une alerte de sécurité Microsoft relative au certificat peut s'afficher. Cliquez sur Afficher le certificat, puis, dans l'écran Informations sur le certificat, cliquez sur Installer le certificat. Dans l'assistant Importation de certificat, suivez les instructions afin d'importer le certificat dans le magasin de certificats. 2. Entrer le code d'activation Entrez le code d'activation d'intrusion Defense Firewall, puis cliquez sur Enregistrer pour terminer l'enregistrement. Pour entrer rapidement votre code d'activation complet, cliquez avec le bouton droit de la souris dans la première zone de saisie de code, puis collez votre code d'activation complet. Si vous ne possédez pas de code d'activation, contactez votre revendeur Trend Micro ou votre service d'assistance. Pour démarrer Intrusion Defense Firewall, cliquez sur Démarrer. Tous droits réservés. - 6 -
Installation des composants serveur Intrusion Defense Firewall avec une source de mise à jour locale Si le serveur OfficeScan ne peut pas se connecter à Internet, vous devez installer les composants Intrusion Defense Firewall sur le serveur OfficeScan (localhost) et spécifier des sources de mise à jour locales pour OfficeScan. Remarque : avant de continuer, procurez-vous le pack d'installation auprès de Trend Micro. Le pack d'installation contient les fichiers d'installation des composants d'intrusion Defense Firewall. Pour installer Intrusion Defense Firewall avec une source de mise à jour locale : 1. Sur le serveur OfficeScan, créez un répertoire virtuel «IDF». Si vous utilisez un serveur Web IIS, ouvrez l'écran Gestionnaire des services d'information Internet (IIS) et cliquez avec le bouton droit de la souris sur Site Web par défaut. Cliquez ensuite sur Nouveau > Répertoire virtuel. Si vous utilisez un serveur Web Apache, spécifiez le nouveau répertoire virtuel dans le fichier httpd.conf et redémarrez le service Apache. Les lignes suivantes constituent un exemple de la section du répertoire virtuel pour «IDF» dans le fichier httpd.conf. #IDF Plug-in Active Update Alias /IDF "C:/TmUpdate/IDF/" <Directory "C:/TmUpdate/IDF"> Options None AllowOverride None Order allow,deny Allow from all </Directory> 2. Ouvrez le pack d'installation obtenu auprès de Trend Micro. 3. Copiez les dossiers «activeupdate» dans le répertoire virtuel. Si vous y êtes invité, acceptez de remplacer tous les dossiers existants du répertoire. Pour spécifier une source de mise à jour locale pour OfficeScan : 1. Connectez-vous à la console Web d'officescan, puis cliquez sur Mises à jour > Source de mise à jour. L'écran Source de mise à jour serveur s'ouvre. 2. Sélectionnez Autre source de mise à jour et tapez "http://localhost:8080/idf/activeupdate" dans le champ prévu à cet effet. Cliquez sur Enregistrer. 3. Pour que les modifications soient prises en compte, redémarrez le service Plug-in Manager d'officescan. 4. Reconnectez-vous à la console Web d'officescan, puis cliquez sur Plug-in Manager. 5. Pour télécharger et installer le plugiciel Intrusion Defense Firewall sur le serveur OfficeScan, suivez les instructions à l'écran. 6. Une fois l'installation terminée, cliquez sur Gérer le programme pour accéder aux écrans de configuration d'intrusion Defense Firewall. 7. Pour enregistrer votre produit, saisissez le code d'activation. Une fois l'enregistrement du produit terminé, la page Démarrage du plugiciel Intrusion Defense Firewall s'ouvre. Tous droits réservés. - 7 -
Installation du plugiciel client Intrusion Defense Firewall Déployer le plugiciel client Dans la console de gestion d'intrusion Defense Firewall, accédez à Ordinateurs, puis cliquez avec le bouton droit de la souris sur l'ordinateur (ou le domaine) sur lequel vous souhaitez installer le ou les plugiciels. Dans le menu Actions, sélectionnez Déployer le(s) plugiciel(s) client(s). Attendez que le plugiciel client soit déployé sur le ou les ordinateurs sélectionnés. Pendant ce processus, la colonne État de l'ordinateur affiche des messages indiquant que les plugiciels clients sont en cours de déploiement. Une fois le déploiement du plugiciel client terminé, la colonne État de l'ordinateur affiche «Géré (plugiciel client en ligne)». Tous droits réservés. - 8 -
Passer du pare-feu OfficeScan natif à Intrusion Defense Firewall Le pare-feu Intrusion Defense Firewall et le pare-feu OfficeScan natif sont deux pare-feux distincts et vous ne pouvez pas les utiliser simultanément. Les instructions suivantes expliquent comment passer du parefeu OfficeScan au pare-feu Intrusion Defense Firewall sans exposer vos ordinateurs pendant cette phase de transition. Certains utilisateurs souhaiteront uniquement utiliser la fonction de prévention d'intrusion (IPS, Intrusion Prevention System) ou de détection d'intrusion (IDS, Intrusion Detection system) d'intrusion Defense Firewall, tout en continuant à utiliser le pare-feu OfficeScan natif. Dans ce cas, il est nécessaire d'effectuer les opérations suivantes (à l'exception de la dernière : désactivation du pare-feu OfficeScan) afin que le plugiciel serveur puisse communiquer avec le plugiciel client. 1. Modifier la configuration du pare-feu OfficeScan Si vous utilisez actuellement le pare-feu OfficeScan natif et que vous avez défini un niveau de sécurité Moyen ou Élevé, vous devez ouvrir les ports clients suivants au plugiciel serveur. Le plugiciel serveur Intrusion Defense Firewall peut ainsi communiquer avec le plugiciel client Intrusion Defense Firewall alors que le pare-feu OfficeScan est encore actif : TCP 4118 (le port pour le plugiciel client pour la communication à partir du plugiciel serveur) TCP 4119 (le port pour la console Web du plugiciel serveur) TCP 4120 (le port pour le plugiciel serveur pour la communication à partir du plugiciel client) Pour modifier la configuration du pare-feu OfficeScan : 1. Créez une nouvelle stratégie de pare-feu OfficeScan nommée stratégie Intrusion Defense Firewall (pour plus d'informations sur la création d'une stratégie et d'un profil OfficeScan, reportez-vous à l'aide en ligne d'officescan). 2. Ajoutez une nouvelle exception à la stratégie : Nom : Exception Intrusion Defense Firewall Action : Autoriser le trafic réseau Direction : Entrant et Sortant Protocole : TCP Port(s) : numéros de ports spécifiques : 4118 (le port pour le plugiciel client pour la communication à partir du plugiciel serveur) 4119 (le port pour la console Web du plugiciel serveur) 4120 (le port pour le plugiciel serveur pour la communication à partir du plugiciel client) Adresse IP : l'adresse IP du serveur OfficeScan 3. Créez un nouveau profil de pare-feu OfficeScan nommé stratégie Intrusion Defense Firewall. Définissez la stratégie sur Profil Intrusion Defense Firewall Le profil doit s'appliquer à tous les ordinateurs qui passeront au pare-feu Intrusion Defense Firewall. 2. Affecter aux ordinateurs les profils de sécurité appropriés Intrusion Defense Firewall comprend trois profils de sécurité prédéfinis : le profil d ordinateur portable Windows, le profil de poste de travail Windows et le profil de serveur OfficeScan. Les profils de sécurité se composent de jeux de règles de pare-feu, de filtres IPS et de configurations avec état (consultez la section «À propos d'intrusion Defense Firewall», ci-dessus). Pour consulter les propriétés d'un profil de sécurité, double-cliquez sur un profil de sécurité dans l'écran Profils de sécurité. En cliquant sur les onglets disponibles, vous pouvez voir les filtres, règles, etc. appliqués par le profil de sécurité. Les profils de sécurité sont conçus de façon à pouvoir être réutilisés par d'autres ordinateurs ayant des besoins similaires. Les profils de sécurité fournis à titre d'exemple peuvent être dupliqués (cliquez avec le bouton droit de la souris sur un profil de sécurité et sélectionnez «Dupliquer») et personnalisés afin de Tous droits réservés. - 9 -
répondre aux besoins de votre entreprise. Intrusion Defense Firewall comprend trois profils de sécurité fournis à titre d'exemple afin de pouvoir commencer en toute sécurité. Accédez à présent à votre liste d'ordinateurs et affectez-leur les profils de sécurité appropriés (utilisez la fonction Actions > Attribuer un profil de sécurité... dans le menu disponible par clic droit). 3. Modifier la liste des adresses IP des contrôleurs de domaine Si vous utilisez un domaine Windows, vous devez modifier les propriétés de la liste des adresses IP des Contrôleurs de domaine afin d'inclure les adresses IP de tous vos contrôleurs de domaine. Accédez à Composants > Listes d'adresses IP et double-cliquez sur la liste des adresses IP Contrôleurs de domaine. Ajoutez les adresses IP de vos contrôleurs de domaine. 4. Désactiver le pare-feu OfficeScan natif Vous pouvez à présent désactiver en toute sécurité le pare-feu OfficeScan natif. Pour désactiver le pare-feu OfficeScan : 1. Ouvrez la console Web d'officescan. 2. Accédez à «Administration > Licence de produit». 3. Sous «Services complémentaires», cliquez sur le bouton «Désactiver». 4. Déconnectez-vous puis connectez-vous à la console Web d'officescan pour consulter l'état correct du pare-feu. Tous droits réservés. - 10 -
Tous droits réservés. - 11 -
Désinstallation d'intrusion Defense Firewall Pour obtenir des informations sur la désinstallation des plugiciels clients et serveurs Intrusion Defense Firewall, reportez-vous à la section Procédure du manuel de l'administrateur. Tous droits réservés. - 12 -
Tous droits réservés. - 13 -
Résolution des problèmes d'installation du plugiciel serveur Message d'erreur : «Impossible de continuer. La version 1.0.1332 ou une version supérieure de Trend Micro Plug-in Manager est requise.» Solution : Vérifiez la version de Trend Micro Plug-in Manager et contactez l'assistance si vous ne parvenez pas à télécharger et à installer la version 1.0.1332 ou une version supérieure. Vous devez mettre à niveau Plug-in Manager avant d'installer Intrusion Defense Firewall. Message d'erreur : «Impossible de continuer. Un espace disque disponible de 1 500 Mo minimum est requis et l'espace disponible n'est que de? Mo.» Solution : Libérez de l'espace disque et essayez de relancer l'installation. L'espace disque disponible doit se trouver sur le même lecteur que celui sur lequel est installé le serveur OfficeScan. Message d'erreur : «Windows Installer version 3.1 ou supérieure est requis.» Solution : Exécutez Windows Update et assurez-vous que vous bénéficiez de la version la plus récente de Windows Installer. Message d'erreur : «Microsoft Data Access Components (MDAC). Version 2,81 ou supérieure est requis.» Solution : Téléchargez et installez MDAC sur le site Web de Microsoft à l'adresse suivante : http://www.microsoft.com/downloads/details.aspx?familyid=78cac895-efc2-4f8e-a9e0-3a1afbd5922e&displaylang=fr (MDAC n'est ni installé ni mis à jour pendant l'exécution de Windows Update.) Message d'erreur : «Microsoft.NET Framework. Version 2.0 ou supérieure est requis.» Solution : Téléchargez et installez Microsoft.NET 2.0 en exécutant Windows Update ou à l'adresse suivante : http://www.microsoft.com/downloads/details.aspx?familyid=0856eacb-4362-4b0d-8eddaab15c5e04f5&displaylang=fr Message d'erreur : «Impossible de continuer. Impossible de trouver le répertoire système.» Solution : Veuillez contacter l'assistance. Le personnel du service d'assistance vous aidera à créer un journal qui permettra de diagnostiquer le problème. Message d'erreur : «Impossible d'écrire dans la clé de registre complémentaire ''?'. Veuillez vérifier les autorisations d'accès au Registre avant de réessayer.» Solution : Vérifiez les autorisations du service Plug-in Manager et assurez-vous qu'il dispose des privilèges requis pour écrire dans le registre. Message d'erreur : «L'installation de SQL a échoué. Vérifiez les journaux dans C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\LOG\Files» Solution : Vérifiez que votre système est conforme aux configurations matérielle et logicielle requises pour SQL Server Express 2005 : http://msdn2.microsoft.com/en-us/library/ms143680.aspx Si votre système répond aux exigences de configuration, consultez les journaux auxquels il est fait référence dans le message d'erreur. Si le fichier SQLSetup?_?_Core(Local).log contient une erreur similaire à : «C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\LOG\Files\SQLSetup0004_D-A-13_.NET Framework 2.0.log» vers fichier cab : code d'erreur «C:\Program Files\Microsoft SQL Server\90\Setup Bootstrap\LOG\SqlSetup0004.cab» : 2 réinstallez Microsoft.NET Framework 2.0. L'installation de.net est probablement corrompue. Si le problème persiste, contactez l'assistance. Pour les autres erreurs SQL, contactez le personnel d'assistance et envoyez-lui les fichiers journaux du répertoire auxquels il est fait référence dans le message d'erreur. Tous droits réservés. - 14 -
Message d'erreur : «L'installation d'intrusion Defense Firewall a échoué. Vérifiez les journaux dans? et?» Solution : Une erreur générale inattendue s'est produite. Consultez les journaux auxquels il est fait référence dans le message d'erreur et, si nécessaire, contactez l'assistance. Même si l'installation d'intrusion Defense Firewall a échoué, il est possible que SQL Server Express 2005 ait été correctement installé et qu'il soit toujours installé sur votre système. Les prochaines tentatives d'installation d'intrusion Defense Firewall utiliseront cette première instance de SQL Server Express. Si vous n'envisagez pas de réinstaller Intrusion Defense Firewall et que vous souhaitez supprimer cette instance de SQL, désinstallez manuellement l'instance de base de données en exécutant la commande suivante : "C:\Program Files\Trend Micro\OfficeScan\PCCSRC\Admin\Utility\SQL\sql.exe" /qn REMOVE=SQL_Engine INSTANCENAME=IDF Une fois la base de données supprimée, vérifiez que le répertoire suivant n'existe pas ou que le fichier IDF.mdf a été supprimé (si nécessaire, supprimez IDF.mdf et IDF_log.LDF) dans : C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data Vérifiez également que le répertoire suivant a été supprimé (supprimez-le le cas échant) : C:\Program Files\Trend Micro\OfficeScan\Addon\Intrusion Defense Firewall Tous droits réservés. - 15 -