TrendMicro Smart Protection Server



Documents pareils
Mise en œuvre d un poste virtuel

Installation du SLIS 4.1

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

Installation d un serveur AmonEcole

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Guide d'installation et de mise à niveau

Mission TICE : Thierry CHASSAIN - Guy PICOU AIDAT du Lot : Hélène CREUSOT Pierre LAGREZE. Réseaux pédagogiques sous Windows 2003 Server 12/01/2011

En ce moment (24/01/2014), Super bon plan: Micro Serveur HP Proliant G7 N54L à 159 ttc Plus d'informations sur dealabs.com

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Système Principal (hôte) 2008 Enterprise x64

Installer VMware vsphere

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Eléments techniques tome I Installation Serveur Windows 2012

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

VMWARE VSPHERE ESXI INSTALLATION

Windows sur Kimsufi avec ESXi

VAMT 2.0. Activation de Windows 7 en collège

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Guide de démarrage rapide

ALOHA Load Balancer Guide de démarrage

Tutoriel réalisé par luo. Version du 22/02/14

PROJET TRIBOX-2012-A

MIGRATION ANNEXE SAINT YVES. 1 : L existant. Pourquoi cette migration Schéma et adressage IP. 2 : Le projet. Schéma et adressage IP.

FreeNAS Shere. Par THOREZ Nicolas

Installation du SLIS académique virtualisé avec VirtualBox sur un serveur W2K3 à 2 cartes réseaux en architecture cible

TAGREROUT Seyf Allah TMRIM

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Projet serveur OwnCloud

Manuel d installation serveurs

But de cette présentation. Serveur DHCP (Application à CentOS) Cas des machines virtuelles. Schéma de principe. Hainaut P

Trend Micro Worry-Free Business Security 8.0 Première installation : trucs et astuces

Installation de Windows 2008 Serveur

Guide de configuration de la Voix sur IP

ultisites S.A. module «services»

A5.2.3, Repérage des compléments de formation ou d'autoformation

Guide de démarrage rapide

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Manuel d'installation du logiciel

Migration de Kaspersky Vers Trend OfficeScan 10 dans une Ecole

Activité : TP Durée : 6H00. Un PC d assemblage de marque NEC Un casque avec micro Une clé USB. Un CD de Windows XP professionnel

Evolution de l architecture réseau dans les EPLE

Manuel d utilisation Caméra IP via Internet Explorer

WGW PBX. Guide de démarrage rapide

DIASER Pôle Assistance Rectorat

Installation. du serveur SCRIBE virtuel d'amonecole

(1) Network Camera

Installation d'un FreeNAS (v0.684b du 30/03/2007) pour sauvegarder les données d'un ZEServer

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

INSTALLATION WINDOWS SERVER 2008 R2

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

OpenMediaVault installation

Installation 1K-Serveur

Guide d installation d AppliDis Free Edition sur Windows Serveur 2008 R2

Activité 1 : Création et Clonage d'une première machine virtuelle Linux OpenSuSE.

Mise en place d'un antivirus centralisé

terra CLOUD SaaS Exchange Manuel Version : 05/

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

Microsoft Windows NT Server

Windows 8 Installation et configuration

vsphere 5 TP2 La virtualisation avec VMware CNFETP F. GANGNEUX technologie GANGNEUX F. 17/12/2012

Mise en service HORUS version HTTP

1 / Introduction. 2 / Gestion des comptes cpanel. Guide débuter avec WHM. 2.1Créer un package. 2.2Créer un compte cpanel

[Serveur de déploiement FOG]

Les réseaux des EPLEFPA. Guide «PfSense»

IP sans fil / caméra avec fil. Guide d'installation Rapide (Pour Windows OS)

Installation de Windows 2003 Serveur

Manuel de l'administrateur

Le Ro le Hyper V Premie re Partie Configuration et Prise en main du gestionnaire Hyper-V

Machine virtuelle W4M- Galaxy : Guide d'installation

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Attribution de licence pour vcloud Suite

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Septembre 2012 Document rédigé avec epsilonwriter

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

SnomOne / Cloud OpenIP

IKare Guide utilisateur

ANTI-VIRUS / PROTECTION DES POSTES DE TRAVAIL ET DES SERVEURS DE FICHIERS

But de cette présentation


Raccordement des machines Windows 7 à SCRIBE

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Pour les caméras IP de modèles : QSTC201 QSTC211. Surveillance à distance via Internet Guide de démarrage

Merci d'avoir fait l'acquisition de l'unité Power IQ de Raritan. Ce guide de configuration rapide explique comment installer et configurer Power IQ.

TP 4 & 5 : Administration Windows 2003 Server

Pré-requis de création de bureaux AppliDis VDI

Guide de l'agent de notification

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

SOMMAIRE. 01_Installation ESXi Serveur HP.doc. Chapitre 1 Installation ESXi 5.1 2

PRESENSTATION VMWARE ESXi NOTION DE MACHINE VIRTUELLE

Virtualisation de Windows dans Ubuntu Linux

FICHE CONFIGURATION SERVICE DHCP

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

CONFIGURATION DE L'ACCÈS À DISTANCE POUR LE SYSTÈME D'ENREGISTREMENT VIDÉO NUMÉRIQUE QT17D324SC

Serveur de messagerie sous Debian 5.0

Transcription:

TrendMicro Smart Protection Server Déploiement et paramétrage De TrendMicro TMCSS Préconisations Académiques Nantes Cellule Technique des Réseaux d'établissements DSI-D2 Rectorat de Nantes

Contacts Nom Société Fonction Téléphone/fax Adresse électronique Type de document Nom Confidentialité Périmètre de diffusion Préconisations Académiques Académique Etablissements, CRID, Collectivités Révision du document Version Date de modification Auteur Description 1.0 06/10/2011 christian le breton Documentation initiale 1.1 06/03/2012 christian le breton Ajout détails conf réseau 2.1 1.2 11/12/2012 christian le breton Contrainte disque IDE 2.1 1.3 23/01/2013 christian le breton Ajout annexe 5.1 > interco amon/slis 1.31 10/04/2013 christian le breton Modif ications "cosmétiques" 1.4 02/05/2013 christian le breton Ajout annexes 5.3 et 5.4 1.5 27/11/2014 christian le breton modif ication annexe 5.3 (adaption ver 3.x tmcss) Validation du document Nom Fonction Date Rédaction par : Christian Le Breton CTRE 06 / 10 / 2011 Vérif ication par : Sophie Ducros Sylvain Thiboult CRID 85 CRID 49 Validation par : Nicolas Mory Responsable CTRE Approbation par : AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 2 / 11

TABLE DES MATIERES TABLE DES MATIERES... 3 1. GENERALITES... 4 1.1. PRINCIPE DE FONCTIONNEMENT :... 4 1.2. PRE-REQUIS MATERIEL / LOGICIEL :... 4 1.3. TELECHARGEMENT FICHIERS D'INSTALLATION ET DOCUMENTATIONS :... 4 2. INSTALLATION "FRAICHE" :... 5 2.1. INSTALLATION VM... 5 2.2. POST-INSTALLATION... 6 2.3. PARAMETRAGE CONSOLE OFFICESCAN... 6 3. INSTALLATION A PARTIR D'UNE VM EXISTANTE :... 7 3.1. MODIFICATION DE L'IP... 7 3.2. PARAMETRES D'ADMINISTRATION... 7 4. SUPERVISION COLLEGES :... 7 5. ANNEXES :... 8 5.1. MISE A JOUR PROGRAMME TMCSS... 8 5.2. INSTALLATION EN "INTERCO AMON / SLIS"... 9 5.3. MODIFICATION DU PORT DU SERVICE "RÉPUTATION DE FICHIERS"...10 5.4. MODIFICATIONS POST "AGRIATES V2"...11 AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 3 / 11

1. Généralités 1.1. Principe de fonctionnement : Depuis la version 10 de TrendMicro OfficeScan, un nouveau système de scan est proposé : le "smart scan". Celui-ci est basé sur la présence, en supplément de la classique console OfficeScan, d'un serveur "smart protection" (serveur de réputation), celui-ci étant relié en permanence au "smart protection network" "in the cloud"! Plus d'infos sur http://fr.trendmicro.com/fr/about/core-technologies/smart-protection-network/ Un serveur smart protection est, par défaut, intégré à la console OfficeScan. Quand on souhaite limiter le trafic lié à ce mode (clients distants ou en trop grand nombre), le serveur smart protection peut être installé en "standalone" : c'est le module TMCSS. Celui-ci se base sur une distribution dédiée, installable dans un environnement virtualisé (VmWare ou HyperV), à partir d'une iso bootable. 1.2. Pré-requis matériel / logiciel : TrendMicro précise l'ensemble des caractéristiques de ce produit ainsi qu'un lien de téléchargement sur le centre de téléchargement http://downloadcenter.trendmicro.com/index.php?regs=fr menu téléchargement > Pour les clients existants > Mettre à jour votre produit puis "poste de travail > Smart Protection Server (standalone)". Afin de permettre aux clients de trouver facilement leur serveur local, créer un enregistrement "srvscan" sur les DNS de l'établissement (pédagogique et administratif). 1.3. Téléchargement fichiers d'installation et documentations : L'ensemble est téléchargeable sur la page citée plus haut. Le "package d'installation complet " au format iso permet une primo-installation ; le " package d'installation complet" au format tgz sert, quant à lui, à la mise à jour d'un serveur existant Les documentations liées sont cachées sous le bouton "plus d'informations" AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 4 / 11

2. Installation "fraiche" : 2.1. Installation VM Installer le module TMCSS sur un serveur de virtualisation, conformément à la documentation d'installation TrendMicro trouvée sur le centre de téléchargement (en cliquant sur "+ de détails"). Attention : en environnement VmWare, plusieurs choix sont déterminants : le disque affecté à cette VM doit être de type IDE, sous ESXi 4.* ou 5.* choisir une carte réseau "e1000" ou "vmxnet3" choisir un modèle d'os CentOs 5 64-bit ; s'il n'existe pas, red-hat 5 64-bit. Les "spécificités académiques" se résument ensuite au niveau du plan d'adressage et de nommage, au point 7 (network settings) du chapitre "Upgrading and Installing Smart Protection Server" : La machine virtuelle hébergeant ce serveur de réputation doit être en DMZ privée (pour "l'ancienne architecture réseau", comprenant un serveur SLIS, voir l'annexe 5.1). o Cliquer sur "edit" du champ "network devices" Fournir l'ip du serveur (en dmz privée) : 10.1[dep].[chrono].9 Masque : 255.255.255.192 (ou 255.255.255.128 en fonction du masque amon sur son interface eth3) o Configurer le "hostname" : Choisir "manually" et indiquer "srv-scan.[type-etab-dep].in.ac-nantes.fr" (suffixe dns du réseau administratif de l'établissement) o Divers : Gateway : la patte du amon sur la dmz privée : 10.1[dep].[chrono].62 (ou 126) Primary DNS : idem (patte eth3 du amon) AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 5 / 11

2.2. Post-installation Ici aussi, assez peu de personnalisations (une fois effectuées les manips indiquées dans la doc) Se connecter au menu administration de la console web du serveur de scan (accessible en http avec le compte "admin") : o service SNMP : cocher "activer le service" et renommer la communauté : "public" o paramètres proxy : toujours l'ip du amon sur la dmz privée, sur le port 3128 o notif ications serveur SMTP : smtp.in.ac-nantes.fr de (expéditeur) : "srv-scan-[nom_etab]@ac-nantes.fr" évènements : cocher "échecs du téléchargement" renseigner l'adresse destinataire (boite fonctionnelle de supervision (CG et/ou Crid pour les collèges), boite dédiée pour les lycées) Cliquer sur les "chevrons" pour conf igurer le destinataire 2.3. Paramétrage console OfficeScan Pour que les clients OfficeScan s'adressent prioritairement à ce nouveau serveur de réputation, il est indispensable de le renseigner dans la console (OfficeScan) à laquelle ils sont rattachés : Menu [smart protection > sources smart protection] Cliquer sur "liste standard" puis "ajouter un serveur" (vérifier que le bouton "ordre" est coché) Indiquer le nom du serveur : "srv-scan" Cocher "service de réputation de fichiers", port 80 et "réputation de sites web", port 5274 Enregistrer puis "notif ier tous les clients" Accéder au menu [ordinateurs en réseau > gestion des clients], choisir de préférence l'aff ichage "smart protection" Vérif ier la valeur des champs "service file reputation" et "service de réputation de sites web" pour les clients en ligne (il doit être affiché "disponible" et, respectivement http://srvscan:80/tmcss/ et http://srv-scan:5274/). AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 6 / 11

3. Installation à partir d'une VM existante : Dans l'idée de réutiliser un serveur TMCSS préalablement déployé dans un autre établissement, il suffit de cloner la VM existante dans l'hyperviseur du nouvel environnement. Voici les paramètres à modif ier après coup : 3.1. Modification de l'ip Se connecter (en mode console) à la VM avec le compte "admin" (celui de la console web) Saisir les commandes : enable configure ipv4 static <ip> <masque> <passerelle> configure service interface eth0 Verif ier les modif ications : show interfaces show ip address Redémarrer le serveur reboot Attention : Ces commandes (mis à part la dernière!-) ne sont pas opérationnelles avec le compte "root"! Elles sont documentées plus en détail dans le paragraphe "Frequently Asked Questions" du chapitre 4 de la doc TrendMicro. 3.2. Paramètres d'administration Se connecter à la console web du serveur de scan (accessible en http avec le compte "admin") : o proxy (menu "administration") : adapter son IP en fonction du chrono de l'établissement o notifications : modifier l'@ expéditeur : srv-scan-"nom_etab" Remarques : - A la différence de la console OfficeScan, celle-ci est compatible "navigateurs alternatifs" - Ne pas oublier de vérifier l'existence de l'enregistrement "srv-scan" sur les dns de l'établissement (pédagogique et administratif). 4. Supervision collèges : Ajouter le serveur smartscan TMCSS à la supervision de votre département en utilisant le template EON "trend micro TMCSS". Le rattacher à l'établissement. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 7 / 11

5. Annexes : 5.1. Mise à jour programme TMCSS Comme indiqué au 1.3 on trouve, sur le centre de téléchargement, des packages de mise à jour de TMCSS au format tgz, permettant d'upgrader un serveur existant. Le paragraphe "Upgrading to Smart Protection Server" de la doc d'installation TrendMicro détaille cette manip. Pour déployer la mise à jour : - La télécharger sur un disque local (machine qui lance l'interface d'administration de tmcss), - Accéder à la console web TMCSS avec le compte admin, - S'assurer qu'une mise à jour de "modèle" n'est pas en cours ; désactiver au besoin la maj programmée (sans oublier de la réactiver après coup). * - Accéder au menu "mise à jour > programme" puis "télécharger le pack du programme" - Cliquer sur "parcourir", indiquer le chemin du fichier tgz puis "télécharger" - L'upload s'effectue et la mise à jour dans la foulée : la console est hors ligne quelques minutes Une fois le serveur redémarré, on vérif ie le bon déroulement de l'opération par "aide > à propos de". * Si un message "téléchargement en cours" bloque trop longtemps la mise à jour programme, on peut lancer un reboot de la VM à partir de sa console dans l'hyperviseur * un document dédié «Upgrade-TMCSS_V2-V3» est aussi disponible sur http://ctre.ac-nantes.fr AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 8 / 11

5.2. Installation en "interco AMON / SLIS" Dans l'ancienne architecture réseau, actuellement en cours de migration sur l'académie, il est recommandé d'anticiper en disposant les ressources communes (administratif / pédagogie) dans la "pseudo-dmz" constituée par le réseau d'interconnexion entre Amon et Slis. La future zone "dmz privée" englobera cette plage IP. Les paramètres IP à fournir à l'installation sont les suivants : IP du serveur : 10.1[dep].[chrono].9 Masque : 255.255.255.128 Gateway : la patte du amon sur l'interco péda : 10.1[dep].[chrono].2 Primary DNS : idem (patte eth2 du amon) Une machine présente dans cette zone "interco" doit être consciente des deux routes possibles ; celle par défaut (amon) et celle qui pointe en particulier vers le réseau pédagogique (slis). A cet effet, l'ajout d'une route persistante est nécessaire sur le serveur de réputation ; dans l'environnement centos, voici comment on doit procéder : se connecter en mode console (grâce à l'hyperviseur de virtualisation) à l'aide du compte root créer un fichier /etc/sysconfig/network-scripts/route-eth0 y insérer le contenu suivant * : default 10.1[dep].[chrono].2 dev eth0 172.17.0.0/16 via 10.1[dep].[chrono].3 dev eth0 enregistrer le fichier. Ce fichier permettra de créer automatiquement la route vers le réseau pédagogique au(x) prochain(s) démarrage(s) de la VM. Pour la rendre effective immédiatement, procéder classiquement par un : route add -net 172.17.0.0. netmask 255.255.0.0 gw 10.1dep.chrono.3 Dans le cas d'un réseau tertiaire derrière le slis (en 172.31.0.0/16), il faudra ajouter aussi cette route à la fois dans le fichier "route-eth0" et par "route add" * les paramètres [dep] et [chrono] sont spécifiques au département et au "n chrono" de l'établissement. On les récupère dans les paramètres IP du réseau administratif. L'ip [dep].[chrono].2 correspond à la patte "pédagogique" eth2 du amon et la [dep].[chrono].3 à la patte "internet" eth0 du slis AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 9 / 11

5.3. Modification du port du service "réputation de fichiers" Sur un serveur Smart Scan TMCSS, le port de réputation de fichier est par défaut le port http 80. Ceci est incompatible avec le système de traduction d'adresse permettant l'utilisation d'une VIP à partir du pare-feu Amon par ex. C est le cas de collèges rattachés à une console centrale et disposant uniquement d un service de réputation local impossible à identif ier de manière unique par résolution dns Dans ce cas, il est donc nécessaire de modifier ce port (on a défini le 8082 par ex., celui-ci étant déjà affecté au service de réputation intégré à la console Officescan 10.x). Cette opération était plutôt complexe sur les versions 2.x de TMCSS ; elle est maintenant native en version 3.x : Accéder à l'hyperviseur (Vcenter ou Hyper-V ) Ouvrir la console sur la machine srv-scan Se connecter en admin Saisir les commandes : enable Configure port 8082 443 5274 exit AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 10 / 11

5.4. Modifications post "Agriates V2" L'architecture Agriates V2 consistant à centraliser les fonctions (dns, pare-feu, proxy filtrant ) du serveur Amon au rectorat, les paramètres DNS et Proxy du serveur smartscan doivent être adaptés : Proxy : Accéder à l'interface web du smartscan https://srv-scan:4343 Se connecter avec le compte admin Accéder au menu administration > paramètres proxy Remplacer l'ip "eth3" du amon 10.1[dep].[chrono].62 par proxy-eple.in.ac-nantes.fr Conserver le port 3128 / enregistrer la modification DNS : Cette modification se fait en ligne de commande : Accéder à l'hyperviseur (Vcenter ou Hyper-V ) Ouvrir la console sur la machine srv-scan Se connecter en admin Saisir les commandes : enable configure dns ipv4 172.30.137.1 172.30.137.2 exit Pour terminer, lancer un reboot et attendre le retour de l'invite de commande Tester une mise à jour à partir de l'interface web (mise à jour > modèle). Vérif ier le résultat dans les journaux de mise à jour. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 11 / 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back