Intrusion Defense Firewall 1.1 pour OfficeScan Client/Server Edition Manuel de l'administrateur
Trend Micro Incorporated se réserve le droit de modifier ce document et les produits présentés dans celui-ci sans avis préalable. Avant d'installer et d'utiliser ce logiciel, veuillez consulter les fichiers Lisez-moi, les notes de mise à jour et la dernière version de la documentation utilisateur applicable que vous trouverez sur le site Web de Trend Micro à l'adresse suivante : http://www.trendmicro.com/download/emea/?lng=fr Trend Micro, le logo t-ball de Trend Micro, OfficeScan, Intrusion Defense Firewall, Control Server Plug-in, Damage Cleanup Services, eserver Plug-in, InterScan, Network VirusWall, ScanMail, ServerProtect et TrendLabs sont des marques commerciales ou déposées de Trend Micro, Incorporated. Tous les autres noms de produit ou d'entreprise peuvent être des marques commerciales ou déposées de leurs propriétaires respectifs. Copyright 2008 Trend Micro Incorporated. Tous droits réservés. Numéro de référence du document : OSEM83465/71122 Date de publication : avril 2008
Table des matières Présentation de l'interface du plugiciel du serveur...1 Guide de présentation des écrans de l'interface du plugiciel serveur Intrusion Defense Firewall3 Tableau de bord...4 Alertes...6 Événements de pare-feu...7 Événements IPS...9 Événements système... 11 Rapports... 12 Ordinateurs... 13 Profils de sécurité... 26 Règles de pare-feu... 32 Configurations avec état... 35 Filtres IPS...39 Types d'applications... 42 Listes d'adresses IP... 44 Listes d'adresses MAC... 45 Listes de ports... 46 Programmations... 47 Configuration d alerte... 48 Tâches programmées... 52 Paramètres... 53 Mises à jour... 63 Licence de produit... 64 Procédures...65 Personnaliser le tableau de bord... 66 Appliquer des mises à jour de sécurité... 67 Configurer des alertes... 68 Définir des e-mails d'alerte... 69 Sauvegarder et restaurer Intrusion Defense Firewall... 70 Filtrer des flux de données SSL... 72 Optimiser l'efficacité de la journalisation... 74 Configuration de communications entre le plugiciel serveur et le plugiciel client... 75 Configuration de notifications... 77 Configuration de paramètres de scan des ports... 78 Protéger les machines virtuelles... 79 Paramétrer l'intégration Syslog... 81 Désinstaller le plugiciel serveur Intrusion Defense Firewall... 87 Désactiver manuellement un plugiciel client sur un ordinateur... 88 Désinstaller manuellement un plugiciel client d'un ordinateur... 89 Faire migrer des ordinateurs gérés vers un nouveau serveur Intrusion Defense Firewall... 90 Faire migrer un ordinateur géré unique vers un nouveau serveur Intrusion Defense Firewall... 91 Référence...92 À propos des règles de pare-feu... 93 Héritage et substitutions... 98 Règle Contourner... 99 Création et application de nouvelles règles de pare-feu... 100 Séquence de règles de pare-feu... 102 Séquence de traitement de paquets... 103 Ports requis... 104 Événements de pare-feu... 106 Événements IPS... 110 Événements de plugiciel client... 114 Événements système... 116 Dépannage...123 Dépannage général... 124 Résolution des problèmes d'installation du plugiciel client... 125 Résolution des problèmes de suppression du plugiciel client... 127 Résolution des problèmes de communication du plugiciel client... 128 Dépannage de Trend Micro Control Manager... 130 Résolution des problèmes d'installation du plugiciel serveur... 131
Présentation de l'interface du plugiciel du serveur Zone de navigation Le volet de navigation contient le système de navigation basé sur arborescence. Les éléments d'intrusion Defense Firewall sont organisés de la manière suivante : Tableau de bord : affiche une présentation globale de l'état du plugiciel du serveur. Surveillance : o Alertes : présente un résumé des alertes critiques et d'avertissement actuelles relatives au système ou aux événements de sécurité. o Événements de pare-feu : journaux d'activité de sécurité du pare-feu. o Événements IPS : journaux d'activité de sécurité IPS. o Rapports : générateur de rapports qui produit des résumés relatifs à l'état du système et aux activités. Événements système : résumé des événements relatifs au système. o Ordinateurs : liste des ordinateurs synchronisés à partir d'officescan, avec des informations de statut pour chacun d'entre eux. Profils de sécurité : liste des profils de sécurité définis. Règles de pare-feu : c'est à cet emplacement que vous pouvez définir et gérer des règles de pare-feu. Configurations avec état : c'est à cet emplacement que vous pouvez définir et gérer des configurations avec état. Filtres IPS : c'est à cet emplacement que vous pouvez définir et gérer les filtres IPS. Composants : liste des composants communs utilisés par différents éléments d'intrusion Defense Firewall. Système : c'est à cet emplacement que se trouvent des outils d'administration permettant de gérer le fonctionnement du plugiciel du serveur Tous droits réservés. - 1 -
Volet des tâches Cliquer sur un élément dans le volet de navigation permet d'afficher l'écran de cet élément dans le volet des tâches. Vous effectuerez la plupart du travail dans un écran du volet des tâches. Là où le volet des tâches affiche des listes d'éléments, vous pouvez ajouter ou supprimer des colonnes en cliquant sur le bouton «Colonne» de la barre d'outils ( ). Vous pouvez modifier l'ordre d'affichage des colonnes en faisant glisser ces dernières à l'emplacement souhaité. Vous pouvez effectuer un tri ou une recherche sur le contenu de la colonne souhaitée. Contrôles de pagination Certaines listes affichées dans le volet des tâches contiennent plus d'éléments que l'écran ne peut en afficher. Dans ce cas, les informations de pagination indiquent le sous-ensemble d'éléments que vous consultez. Utilisez l'outil de pagination pour naviguer d'une page à l'autre de votre liste. Contrôle d'affichage Le cas échéant, le contrôle d'affichage vous permet d'afficher les éléments répertoriés. Barre d'outils La barre d'outils contient des boutons qui vous permettent d'effectuer différentes actions selon l'écran dans lequel vous travaillez. En général, les boutons de suppression, de modification et de création d'éléments de liste sont disponibles. Des boutons d'aide et de déconnexion sont disponibles sur chaque barre d'outils. La plupart des options de la barre d'outils sont également disponibles via le menu de raccourcis. Barre d'état La barre d'état affiche des informations relatives à l'état actuel de votre plugiciel de serveur. Le nombre d'alertes actives (le cas échéant) apparaît à l'extrémité droite de la barre d'état. L'extrémité gauche de la barre d'état affiche de façon dynamique les actions en cours, telles que les opérations de scan des ports, les activations ou les mises à jour du plug-in client. Menus de raccourcis Des menus contextuels sont disponibles dans la plupart des écrans du plugiciel du serveur. Par exemple, si vous cliquez avec le bouton droit de la souris sur Profil de sécurité, un menu de raccourcis contenant la plupart des options de la barre d'outils de l'écran actuel s'ouvre. Si vous effectuez un clic droit sur un groupe d'ordinateurs, un menu de raccourcis contenant des options permettant de gérer le domaine actuel ou d'en créer un nouveau s'ouvre. Tous droits réservés. - 2 -
Guide de présentation des écrans de l'interface du plugiciel serveur Intrusion Defense Firewall Tous droits réservés. - 3 -
Tableau de bord Le tableau de bord présente une vue d'ensemble rapide de l'état d'intrusion Defense Firewall. Lorsque vous démarrez le plugiciel serveur, ce dernier préserve la présentation du tableau de bord de votre dernière session. Intervalle de date/heure Le tableau de bord affiche les données des dernières 24 heures ou des sept derniers jours. Pour basculer entre ces deux vues, utilisez le menu déroulant en haut de l'écran : Filtre d'ordinateur Vous pouvez filtrer les données visibles sur le tableau de bord en sélectionnant les données à afficher. Sélectionnez un ordinateur, les ordinateurs appartenant à des domaines spécifiques ou ceux qui utilisent un profil de sécurité particulier. Tous droits réservés. - 4 -
«Widgets» Vous pouvez réorganiser les volets d'information («widgets») dans l'écran, en les sélectionnant et en les faisant glisser vers leur nouvel emplacement. Il est également possible d'ajouter ou de supprimer des widgets dans l'affichage du tableau de bord. Cliquez sur Ajouter au tableau de bord... dans la barre d'outils pour afficher la liste des widgets disponibles. De nombreux widgets contiennent des liens qui permettent de «faire un zoom avant» sur les données. Par exemple, un clic sur une colonne dans le graphique Événements affiche un écran répertoriant tous les événements système survenus ce jour. Pour supprimer un widget du tableau de bord, cliquez sur le «X» dans le coin supérieur droit. Notez les indicateurs de tendance en regard des valeurs numériques dans les widgets 1x1. Un triangle pointé vers le haut ou vers le bas indique une augmentation ou une diminution par rapport à la période précédente ; un trait horizontal indique l'absence de changement majeur. Enregistrement des présentations du tableau de bord Vous pouvez enregistrer, charger et supprimer des présentations du tableau de bord à l'aide du menu déroulant Tableau de bord de la barre d'outils : Tous droits réservés. - 5 -
Alertes L'écran Alertes affiche toutes les alertes actives. Vous pouvez afficher les alertes dans un Affichage du résumé, qui regroupe les alertes similaires, ou dans un Affichage liste, qui répertorie les alertes individuellement. Pour basculer entre les deux vues, utilisez le menu déroulant en regard de l'intitulé «Alertes» dans la barre de titre de l'écran. Dans l'affichage du résumé, vous pouvez développer un volet d'alerte (en cliquant sur «Afficher les détails») pour afficher tous les objets (ordinateurs, filtres, etc.) auxquels l'alerte s'applique (Un clic sur l'objet permet d'afficher l'écran Propriétés). Dans l'affichage du résumé, si la liste des objets comporte plus de cinq éléments, des points de suspension («...») apparaissent après le cinquième. Vous pouvez afficher la liste complète en cliquant sur ces points de suspension. Après avoir pris la mesure appropriée pour traiter l'alerte, vous pouvez la faire disparaître en sélectionnant la case à cocher en regard de la cible de l'alerte et en cliquant sur le lien «Refuser» (dans l'affichage de la liste, cliquez avec le bouton droit sur l'alerte pour afficher la liste des options dans le menu contextuel). Il existe deux types d'alertes : les alertes du système et les alertes de sécurité. Les alertes du système (ordinateur hors ligne, changement d'horloge sur l'ordinateur, etc.) sont configurées dans l'écran Système > Configuration d alerte. Les alertes de sécurité sont déclenchées par les règles de pare-feu et les filtres IPS. Toutes les alertes ont des niveaux de gravité par défaut (critique ou avertissement). Ces niveaux peuvent être modifiés dans l'écran Système > Configuration d alerte. Utilisez la barre de filtrage «Ordinateur» pour afficher uniquement les alertes concernant les ordinateurs d'un domaine particulier, avec un profil de sécurité particulier, etc. Tous droits réservés. - 6 -
Événements de pare-feu Par défaut, le plugiciel serveur collecte les journaux d'événements (pare-feu et IPS) des plugiciels clients à chaque heartbeat. (Cette fonction peut être désactivée sous l'onglet Pare-feu dans l'écran Système > Paramètres). Les données des journaux sont employées pour remplir les différents rapports, graphiques et tableaux dans le plugiciel serveur. Une fois collectés par le plugiciel client, les journaux d'événements sont conservés pendant une période de temps qui peut être définie sous l'onglet Système de l'écran Système > Paramètres. Le paramètre par défaut est fixé à une semaine. À partir de l'écran principal, vous pouvez exécuter les opérations suivantes : 1. Afficher ( ) les propriétés d'un événement particulier 2. Rechercher ( ) un événement particulier ou 3. Filtrer la liste : Utilisez les barres d'outils Période et Ordinateur pour filtrer la liste des événements. 4. Exporter ( ) les données de la liste des événements dans un fichier CSV. Par ailleurs, lorsque vous cliquez avec le bouton droit sur une entrée du journal, vous avez accès aux options suivantes : Propriétés de l'ordinateur : permet d'afficher les propriétés de l'ordinateur qui a généré l'entrée du journal. Propriétés de la règle de pare-feu : permet d'afficher les propriétés d'une entrée du journal particulière dans l'écran Propriétés. Adresse IP source Whois : permet d'exécuter un whois sur l'adresse IP source. «WHOIS» est un protocole TCP utilisé pour déterminer le propriétaire d'un nom de domaine ou d'une adresse IP sur Internet. Adresse IP de destination Whois : permet d'exécuter un whois sur l'ip de destination. Les colonnes des journaux d'événements de pare-feu affichent les informations suivantes : Heure : heure à laquelle l'événement s'est produit sur l'ordinateur. Ordinateur : ordinateur sur lequel l'événement a été enregistré. (si l'ordinateur a été supprimé, cette entrée indiquera «Ordinateur inconnu»). Cause : les entrées du journal affichées dans cet écran sont générées par les règles de pare-feu ou par les paramètres de configuration avec état. Si une entrée est générée par une règle de pare-feu, l'entrée de la colonne sera précédée de l'intitulé «Règle de pare-feu :», suivi du nom de la règle de pare-feu. Sinon, l'entrée de la colonne affichera le paramètre de configuration avec état qui a généré l'entrée du journal. Action : action exécutée par la règle de pare-feu ou la configuration avec état. Les actions possibles sont les suivantes : Refuser et Journaliser uniquement. Classement : Le système de classement offre un moyen pour quantifier l'importance des événements IPS et du pare-feu. Des «valeurs d'actif» sont attribuées aux ordinateurs et des «valeurs de gravité» aux filtres IPS et aux règles de pare-feu ; l'importance (le «classement») d'un événement est ensuite calculée en multipliant les deux valeurs. Cela vous permet de trier les événements IPS ou de pare-feu en fonction de leur classement lorsque vous les affichez. Direction : direction du paquet (entrant ou sortant) concerné. Interface : adresse MAC de l'interface par l'intermédiaire de laquelle le paquet a voyagé. Type de cadre : type de cadre du paquet concerné. Les valeurs possibles sont les suivantes : «IP», «ARP», «REVARP» et «Autre : XXXX», où XXXX représente les quatre chiffres du code hex correspondant au type de cadre. Tous droits réservés. - 7 -
Protocole : les valeurs possibles sont les suivantes : «ICMP», «IGMP», «GGP», «TCP», «PUP», «UDP», «IDP», «ND», «RAW», «TCP+UDP» et «Autre : nnn», où nnn représente une valeur décimale à trois chiffres. Indicateurs : indicateurs définis dans le paquet. IP source : IP source du paquet. MAC source : adresse MAC source du paquet. Port source : port source du paquet. IP de destination : adresse IP de destination du paquet. MAC de destination : adresse MAC de destination du paquet. Port de destination : port de destination du paquet. Taille de paquet : taille de paquet en octets. Les règles Journaliser uniquement généreront une entrée de journal uniquement si le paquet concerné n'est pas arrêté ultérieurement par une règle refuser ou une règle autoriser qui l'exclut. Si le paquet est arrêté par l'une de ces deux règles, ce seront ces règles qui généreront une entrée de journal et non la règle Journaliser uniquement. Si aucune règle ultérieure n'arrête le paquet, la règle Journaliser uniquement générera une entrée. Afficher les propriétés des événements Lorsque vous double-cliquez sur un événement, l'écran Propriétés correspondant à cette entrée affiche toutes les informations sur l'événement. Filtrer la liste et/ou rechercher un événement La barre d'outils Période vous permet de filtrer la liste pour afficher uniquement les événements survenus dans une tranche de temps spécifique. La barre d'outils Ordinateurs permet d'organiser l'affichage des entrées du journal des événements par domaines d'ordinateur ou par profils de sécurité d'ordinateur. Le bouton Rechercher permet d'afficher ou de masquer la barre de recherche. Le bouton «plus» (+) à droite de la barre de recherche permet d'afficher une barre de recherche supplémentaire dans laquelle vous pouvez définir plusieurs critères de recherche. Lorsque vous êtes prêt, cliquez sur le bouton Envoyer (le bouton avec une flèche vers la droite, à droite des barres d'outils). Exporter... Le bouton Exporter... permet d'exporter toutes les entrées du journal des événements dans un fichier CSV. Tous droits réservés. - 8 -
Événements IPS Par défaut, le plugiciel serveur collecte les journaux d'événements (pare-feu et IPS) des plugiciels clients à chaque heartbeat. (Cette fonction peut être désactivée sous l'onglet IPS dans l'écran Système > Paramètres). Les données des journaux sont employées pour remplir les différents rapports, graphiques et tableaux dans le plugiciel serveur. Une fois collectés par le plugiciel client, les journaux d'événements sont conservés pendant une période de temps qui peut être définie sous l'onglet Système de l'écran Système > Paramètres. Le paramètre par défaut est fixé à une semaine. À partir de l'écran principal, vous pouvez exécuter les opérations suivantes : 1. Afficher ( ) les propriétés d'un événement particulier 2. Rechercher ( ) un événement particulier ou 3. Filtrer la liste : Utilisez les barres d'outils Période et Ordinateur pour filtrer la liste des événements. 4. Exporter ( ) les données de la liste des événements dans un fichier CSV. Par ailleurs, lorsque vous cliquez avec le bouton droit sur une entrée du journal, vous avez accès aux options suivantes : Propriétés de l'ordinateur : permet d'afficher les propriétés de l'ordinateur qui a généré l'entrée du journal. Propriétés de filtre IPS : permet d'afficher les propriétés d'une entrée du journal particulière dans l'écran Propriétés. Adresse IP source Whois : permet d'exécuter un whois sur l'adresse IP source. Adresse IP de destination Whois : permet d'exécuter un whois sur l'ip de destination. Les colonnes des journaux du filtre IPS affichent les informations suivantes : Heure : heure à laquelle l'événement s'est produit sur l'ordinateur. Ordinateur : ordinateur sur lequel l'événement a été enregistré. Filtre IPS : nom du filtre IPS. Action : action qui a été exécutée par le filtre IPS (Autoriser, Refuser, Autoriser de force, journaliser uniquement ou Détecter uniquement (si le filtre est en mode Détecter uniquement)). Classement : Le système de classement offre un moyen pour quantifier l'importance des événements IPS et du pare-feu. Des «valeurs d'actif» sont attribuées aux ordinateurs et des «valeurs de gravité» aux filtres IPS et aux règles de pare-feu ; l'importance (le «classement») d'un événement est ensuite calculée en multipliant les deux valeurs. Cela vous permet de trier les événements IPS ou de pare-feu en fonction de leur classement lorsque vous les affichez. Direction : direction du paquet (entrant ou sortant) concerné. Interface : adresse MAC de l'interface par l'intermédiaire de laquelle le paquet a voyagé. Protocole : les valeurs possibles sont les suivantes : «ICMP», «IGMP», «GGP», «TCP», «PUP», «UDP», «IDP», «ND», «RAW», «TCP+UDP» et «Autre : nnn», où nnn représente une valeur décimale à trois chiffres. Indicateurs : indicateurs définis dans le paquet. IP source : IP source du paquet. MAC source : adresse MAC source du paquet. Port source : port source du paquet. IP de destination : adresse IP de destination du paquet. MAC de destination : adresse MAC de destination du paquet. Port de destination : port de destination du paquet. Taille de paquet : taille de paquet en octets. Tous droits réservés. - 9 -
Afficher les propriétés des événements Lorsque vous double-cliquez sur un événement, l'écran Propriétés correspondant à cette entrée s'affiche. Filtrer la liste et/ou rechercher un événement La barre d'outils Période vous permet de filtrer la liste pour afficher uniquement les événements survenus dans une tranche de temps spécifique. La barre d'outils Ordinateurs permet d'organiser l'affichage des entrées du journal des événements par domaines d'ordinateur ou par profils de sécurité d'ordinateur. Le bouton Rechercher permet d'afficher ou de masquer la barre de recherche. Le bouton «plus» (+) à droite de la barre de recherche permet d'afficher une barre de recherche supplémentaire dans laquelle vous pouvez définir plusieurs critères de recherche. Lorsque vous êtes prêt, cliquez sur le bouton Envoyer (le bouton avec une flèche vers la droite, à droite des barres d'outils). Exporter... Le bouton Exporter... permet d'exporter toutes les entrées du journal des événements dans un fichier CSV. Tous droits réservés. - 10 -
Événements système Le journal d'événements système est un enregistrement des événements relatifs au système (par opposition aux événements relatifs à la sécurité). À partir de l'écran principal, vous pouvez exécuter les opérations suivantes : 1. Afficher ( ) les informations détaillées (propriétés) sur un événement du système 2. Rechercher ( ) un système particulier ou 3. Exporter ( ) les événements système actuellement affichés dans un fichier CSV Afficher Lorsque vous sélectionnez un événement et cliquez sur Afficher ( ), l'écran Propriétés de l'observateur d'événements s'affiche. L'observateur d'événements est constitué de deux volets. 1. Informations générales Heure : heure d'après l'horloge système de l'ordinateur. Type : type de l'événement qui est survenu. Les types d'événement sont les suivants : Info, Avertissement et Erreur. ID d'événement : identificateur unique du type d'événement. Événement : nom de l'événement (associé à l'id d'événement). Cible : l'objet système associé à l'événement est identifié ici. Lorsque vous cliquez sur l'identification de l'objet, la feuille de propriétés de l'objet s'affiche. 2. Description Cette zone affiche, le cas échéant, les informations spécifiques sur l'action exécutée pour déclencher cette entrée dans le journal d'événements système. Filtrer la liste et/ou rechercher un événement La barre d'outils Période vous permet de filtrer la liste pour afficher uniquement les événements survenus dans une tranche de temps spécifique. La barre d'outils Ordinateurs permet d'organiser l'affichage des entrées du journal des événements par domaines d'ordinateur ou par profils de sécurité d'ordinateur. Le bouton Rechercher permet d'afficher ou de masquer la barre de recherche. Le bouton «plus» (+) à droite de la barre de recherche permet d'afficher une barre de recherche supplémentaire dans laquelle vous pouvez définir plusieurs critères de recherche. Lorsque vous êtes prêt, cliquez sur le bouton Envoyer (le bouton avec une flèche vers la droite, à droite des barres d'outils). Exporter Vous pouvez exporter les événements affichés (toutes les pages) dans un fichier CSV. Vous avez la possibilité d'afficher au choix la liste affichée ou les éléments sélectionnés. Tous droits réservés. - 11 -
Rapports Le plugiciel serveur produit des rapports dans les formats PDF, RTF ou XLS (MS Excel). La plupart des rapports générés par l'écran Générateur de rapports ont des paramètres configurables (plage de dates, établissement de rapports par domaine d'ordinateur, etc.). Les options de paramétrage sont désactivées pour les rapports auxquels elles ne s'appliquent pas. Rapport d'alerte Le Rapport d'alerte affiche des graphiques représentant l'activité d'alerte pendant la période spécifiée et un tableau répertoriant les vingt alertes le plus souvent émises pendant la période. Rapport d'attaque Le Rapport d'attaques affiche les activités liées directement à la sécurité. Le tableau Récapitulatif affiche une synthèse de l'activité d'analyse du trafic et la décompose en fonction des techniques de prévention/détection des attaques et des types de filtre. Il établit également une distinction entre les défenses qui sont en mode de prévention des intrusions (blocage du trafic malveillant) et celles qui sont en mode de détection des intrusions (journalisation du trafic malveillant, mais sans aucun blocage, généralement mise en œuvre pendant les phases de test). Le tableau suivant affiche les filtres qui sont le plus souvent déclenchés. Rapport du pare-feu Le Rapport du pare-feu affiche un enregistrement de l'activité relative aux règles de pare-feu et à la configuration avec état sur la plage de dates spécifiée. Notez que si vous désactivez la journalisation pour un filtre particulier, l'activité de ce filtre ne sera plus enregistrée dans ce rapport. Rapport d'expertise d'audit d'ordinateur Le Rapport d'expertise d'audit d'ordinateur affiche la configuration d'un plugiciel client sur un ordinateur à un moment particulier et la durée pendant laquelle cette configuration est restée active. Rapport d'ordinateur Le Rapport informatique affiche une synthèse relative à chaque ordinateur répertorié dans l'écran Ordinateurs. Vous pouvez filtrer les rapports par ordinateur, par domaine ou par profil de sécurité. Le rapport affiche un diagramme et un tableau indiquant le nombre d'ordinateurs dans un état particulier, suivi d'une synthèse pour chaque ordinateur. Rapport IPS Le Rapport IPS affiche un enregistrement de l'activité du filtre IPS sur la période spécifiée. Notez que si vous désactivez la journalisation pour un filtre particulier, l'activité de ce filtre ne sera plus enregistrée dans ce rapport. Tous droits réservés. - 12 -
Ordinateurs L'écran Ordinateurs vous permet de gérer et de surveiller les ordinateurs présents sur le réseau. Cet écran s'actualise régulièrement afin que les informations affichées soient toujours à jour. Utilisez-le pour organiser vos ordinateurs par domaines et gérer les profils de sécurité que vous leur avez appliqués. À partir de l'écran Ordinateurs, vous pouvez exécuter les opérations suivantes : Synchroniser ( ) la liste des ordinateurs avec OfficeScan Scan ( ) les ordinateurs pour rechercher les ports ouverts Scanner les ordinateurs pour détecter des Recommandations ( ) Afficher ou modifier les Propriétés ( ) d'un ordinateur Attribuer ( ) un Profil de sécurité à un ordinateur Supprimer ( ) un ordinateur de la liste des ordinateurs Rechercher ( ) un ordinateur Lorsque vous cliquez avec le bouton droit sur un ordinateur, un menu contextuel s'affiche, à partir duquel vous pouvez exécuter la plupart des tâches ci-dessus, ainsi que les opérations suivantes : Déployer le(s) plugiciel(s) client(s) Supprimer le(s) plugiciel(s) client(s) Activer/Réactiver ( ) le plugiciel client sur un ordinateur Une fois installé sur un ordinateur, un plugiciel client doit être «activé» par le plugiciel serveur. Pendant ce processus, le plugiciel serveur envoie une «empreinte digitale» au plugiciel client. À partir de ce moment, le plugiciel client n'accepte que les instructions provenant d'un plugiciel serveur qui détient cette empreinte digitale unique. Vérifier l'état ( ) du plugiciel client Désactiver ( ) le plugiciel client sur un ordinateur Mettre à jour ( ) le plugiciel client sur un ordinateur Obtenir les événements ( ) d'un plugiciel client Effacer les avertissements ou les erreurs sur l'ordinateur Verrouiller ( ) un plugiciel client Déverrouiller ( ) un plugiciel client Annuler les scans de ports en cours d'exécution ( ) Effacer les recommandations pour cet ordinateur ( ) Assign an Attribuer une valeur d'actif à cet ordinateur ( ) Examiner les Événements système associés à cet ordinateur Examiner les Journaux d'événements de pare-feu et IPS associés à cet ordinateur Par ailleurs, lorsque vous cliquez avec le bouton droit sur l'icône de l'ordinateur ( ) ou sur l'icône d'un Domaine ( ) dans le volet de navigation, un menu contextuel s'affiche. Ce menu contient les options supplémentaires applicables aux domaines d'ordinateurs et permettant d'exécuter les opérations suivantes : Attribuer ( ) un profil de sécurité à tous les ordinateurs du domaine actuel Attribuer u ne valeur d'actif ( ) à tous les ordinateurs dans ce domaine Afficher ou modifier les Propriét és ( ) d'un ordinateur Tous droits réservés. - 13 -
Synchroniser avec OfficeScan Vous pouvez synchroniser la liste des ordinateurs avec ceux gérés par OfficeScan (la liste est synchronisée automatiquement chaque fois que vous démarrez le plugiciel serveur, mais elle n'est pas mise à jour si des ordinateurs sont ajoutés à OfficeScan pendant l'exécution du plugiciel serveur ; utilisez ce bouton pour forcer une synchronisation avec OfficeScan lorsque le plugiciel serveur est en cours d'exécution). Scanner les ordinateurs pour détecter les ports ouverts Scanner les ordinateurs permet de lancer un scan des ports sur tous les ordinateurs sélectionnés et de vérifier le plugiciel client installé sur l'ordinateur pour déterminer si son état est «Désactivation du plugiciel client requise», «Activation du plugiciel client requise», «Réactivation du plugiciel client requise» ou «En ligne» (l'opération analyse par défaut les ports 1-1024. Vous pouvez changer cette plage dans la section Système > Paramètres sous l'onglet scanner). Le plugiciel serveur analyse le port 4118 indépendamment des paramètres de plage de ports. Il s'agit du port de l'ordinateur auquel les communications déclenchées par le plugiciel serveur sont envoyées. Si vous sélectionnez «Initié par le plugiciel client» pour la direction de la communication sur un ordinateur (Propriétés de l'ordinateur > Avancé > Ordinateur > Direction de la communication), le port 4118 est fermé. Scanner l ordinateur pour détecter les recommandations Scan de détection des recommandations ordonne au plugiciel de scanner l'ordinateur pour rechercher les applications courantes et d'effectuer des recommandations de filtrage sur la base de ce qui a été détecté. Les recommandations qui n'ont pas été appliquées automatiquement déclencheront une alerte. Les résultats d'un scan de détection des recommandations peuvent également être affichés sur l'écran Propriétés de l'ordinateur, sous l'onglet Filtres IPS : si les filtres IPS sont triés par type d'application, un indicateur vert apparaît en regard du nom des types d'application recommandés. Les paramètres des scans de détection des recommandations peuvent être configurés dans les profils de sécurité et sur les différents ordinateurs. Afficher les propriétés d'un ordinateur L'écran Propriétés de l'ordinateur comporte cinq onglets : Propriétés de l'ordinateur, Règles de parefeu, Configurations avec état, Filtres IPS et Actions. Propriétés de l'ordinateur L'onglet Propriétés de l'ordinateur comporte quatre volets, un bouton SSL et un bouton Avancé. 1. Informations générales Nom d'hôte : le nom doit être l'adresse IP de l'ordinateur ou son nom d'hôte (vous pouvez utiliser un nom d'hôte entièrement qualifié ou un nom d'hôte relatif si un nom d'hôte est utilisé à la place d'une adresse IP). Description : description de l'ordinateur. Plate-forme : les informations sur le système d'exploitation de l'ordinateur s'affichent à cet emplacement. Domaine de l'ordinateur : domaine auquel appartient l'ordinateur. Profil de sécurité : profil de sécurité (le cas échéant) que vous avez attribué à cet ordinateur. Valeur d'actif : le plugiciel serveur utilise un système de classement pour quantifier l'importance des événements de pare-feu et IPS. Une valeur numérique est attribuée aux filtres IPS, aux règles de pare-feu et aux actifs (ordinateurs). Lorsqu'un filtre IPS ou une règle de pare-feu est déclenché sur un ordinateur, ces valeurs sont multipliées entre elles. Il en résulte une note dont vous pouvez Tous droits réservés. - 14 -
vous servir pour trier les événements par ordre d'importance (vous pouvez consulter le classement des événements dans les écrans Surveillance > Événements de pare-feu et Surveillance > Événements IPS). Utilisez la liste déroulante Valeur d'actif pour attribuer une valeur à cet ordinateur (pour configurer les paramètres de classement, accédez à Système > Paramètres > Classement). Verrouiller l ordinateur : lorsque vous sélectionnez cette case à cocher, toutes les communications entre le plugiciel client et le plugiciel serveur sont bloquées. Le profil de sécurité de l'ordinateur reste actif (l'intégralité des filtres et des règles est encore appliquée à l'ensemble du trafic), mais si des alertes sont générées, elles ne seront pas envoyées au plugiciel serveur (l'opération de suppression du plugiciel client n'est pas concernée). Vous pouvez verrouiller un ordinateur si vous devez effectuer des opérations de maintenance et souhaitez éviter l'apparition d'alertes dans le plugiciel serveur. 2. État État de l'ordinateur : o Lorsque l'ordinateur est non géré, l'état représente l'état du plugiciel client par rapport à l'activation. L'état affiché est «Découvert» ou «Nouveau», suivi de l'état du plugiciel client entre parenthèses («Aucun plugiciel client», «Inconnu», «Réactivation du plugiciel client requise», «Activation du plugiciel client requise» ou «Désactivation du plugiciel client requise»). o Lorsque l'ordinateur est géré et qu'aucune erreur n'est détectée, l'état affiché est «Géré», suivi de l'état du plugiciel client entre parenthèses («Plugiciel client en ligne» ou «Plugiciel client hors ligne»). o Si une erreur est présente sur l'ordinateur (par exemple, «Plugiciel client hors ligne», «Échec de la mise à jour du plugiciel client», etc.), l'état affiche cette dernière. S'il existe plusieurs erreurs, l'état affiché est «Plusieurs multiples», suivi de la liste des erreurs. Plugiciel client : indique si le plugiciel serveur peut communiquer avec le plugiciel client. Dernière communication : la dernière fois que le plugiciel serveur a réussi à communiquer avec le plugiciel client sur cet ordinateur. Vérifier l'état : ce bouton permet de forcer le plugiciel serveur à exécuter une opération heartbeat immédiate afin de vérifier l'état du plugiciel client. La vérification de l'état n'entraînera pas une mise à jour du plugiciel client (si une mise à jour est requise, cliquez sur le bouton Mettre à jour le plugiciel client sous l'onglet Actions). Lorsque les communications serveur-client sont réglées sur «Démarrée par le plugiciel client», le bouton Vérifier l'état est désactivé (la vérification de l'état ne met pas à jour les journaux associés à cet ordinateur ; pour mettre à jour ces derniers, accédez à l'onglet Actions). Bouton Événements de l'ordinateur : affiche les événements du système associés à cet ordinateur. 3. Pare-feu (règles de pare-feu, configurations avec état) Choisissez d'activer ou de désactiver la protection du pare-feu. Si vous sélectionnez «Hérité», le profil de sécurité appliqué à cet ordinateur déterminera si le pare-feu est activé ou désactivé. L'ordinateur héritera le paramètre du profil de sécurité (si vous désactivez le pare-feu pour un profil de sécurité particulier, il sera désactivé sur tous les ordinateurs où le paramètre de contrôle du pare-feu est défini sur «Hérité»). 4. Prévention des intrusions (filtres IPS) De même que le pare-feu, la prévention des intrusions peut être activée ou désactivée sur un ordinateur particulier à l'aide de ces paramètres. Si vous sélectionnez «Hérité», l'activation ou la désactivation de la prévention des intrusions sur cet ordinateur dépendra du paramétrage du profil de sécurité attribué à cet ordinateur. Si vous sélectionnez «Empêcher (IPS)», la prévention des intrusions sera activée. Si vous sélectionnez «Détecter (IDS)», la prévention des intrusions fonctionnera en mode «journaliser uniquement». Le trafic sera surveillé, les filtres IPS et les règles qui seront déclenchés seront tous enregistrés (s'ils sont paramétrés à cet effet), les alertes seront envoyées si elles sont configurées à cet effet, mais aucun trafic ne sera bloqué. «Désactivé» signifie qu'aucun filtrage IPS n'aura lieu. Effectuer des scans de détection des recommandations continus : vous pouvez configurer le plugiciel client pour qu'il scanne régulièrement l'ordinateur, puis effectue des recommandations. Vous pouvez définir Tous droits réservés. - 15 -
la fréquence de ces scans de détection des recommandations globalement pour tous les ordinateurs en accédant à Système > Paramètres > Scan. Attribuer automatiquement les filtres recommandés aux ordinateurs durant les scans de détection des recommandations : sélectionnez cette case à cocher pour appliquer les filtres recommandés à l'ordinateur. Si elle est désélectionnée, une alerte sera émise (sauf si les alertes ont été désactivées pour les scans de détection des recommandations). 5. SSL Le plugiciel client prend en charge le filtrage IPS du trafic SSL. La boîte de dialogue SSL permet de créer des configurations SSL pour une paire certificat-port donnée sur une ou plusieurs interfaces. Vous pouvez importer des certificats au format PKCS 12 ou PEM. Les ordinateurs Windows ont la possibilité d'utiliser directement Windows CryptoAPI. Lorsque vous cliquez sur le bouton SSL..., l'écran Configurations d'ordinateurs SSL s'affiche. Cet écran répertorie les configurations SSL existantes et permet d'en créer de nouvelles. Double-cliquez sur une configuration existante pour afficher l'écran Propriétés correspondant avec un onglet Attribution et un onglet Informations d'identification. Tous droits réservés. - 16 -
Attribution Informations générales : nom et description de la configuration SSL ; indique également si elle est activée sur cet ordinateur. Attributions d'interface : interfaces auxquelles cette configuration est appliquée. Sélection de port : port ou ports auxquels cette configuration s'applique. Informations d'identification L'onglet Informations d'identification affiche la liste des informations d'identification actuelles et inclut un bouton Attribuer de nouvelles informations d'identification... qui permet de les modifier. Pour des informations sur la configuration du filtrage SSL, consultez la rubrique Filtrage des flux de données SSL. 6. Paramètres avancés Dans l'interface du plugiciel serveur, de nombreux paramètres de configuration peuvent être définis globalement, mais écrasés plus bas dans la chaîne hiérarchique. Par exemple, la fréquence de Heartbeat peut être définie globalement dans Système > Paramètres > Ordinateurs > Heartbeat, mais peut être ensuite substituée pour un profil de sécurité particulier dans Profil de sécurité > Propriétés >Ordinateur > Heartbeat, puis substituée de nouveau plus bas dans la chaîne hiérarchique, au niveau de l'ordinateur individuel (Ordinateurs > Propriétés > Propriétés de l'ordinateur > Avancé > Ordinateur > Heartbeat). À tous les niveaux situés en aval du niveau global, par défaut, les paramètres sont hérités du niveau supérieur. Dans ce cas, l'interface utilisateur affiche l'intitulé «Hérité», suivi du paramètre hérité. Ordinateur Direction de la communication : Direction des communications entre le plugiciel serveur et le plugiciel client : Si vous utilisez le paramètre par défaut (bidirectionnel), le plugiciel client lancera heartbeat mais écoutera toujours les connexions du plugiciel serveur sur le port du plugiciel client et le plugiciel serveur sera libre de contacter le plugiciel client afin d'effectuer les opérations nécessaires. Démarré par le plugiciel serveur signifie que le plugiciel serveur déclenchera toutes les communications. La communication aura lieu lorsque le plugiciel serveur exécutera les mises à jour programmées ou les opérations heartbeat (ci-dessous) et lorsque vous choisirez les options Activer/Réactiver ou Mettre à jour maintenant sur l'interface du plugiciel serveur. Si vous souhaitez fermer complètement l'ordinateur aux communications déclenchées par une source distante, vous pouvez faire en sorte que le plugiciel client recherche lui-même régulièrement les mises à jour et contrôle les opérations heartbeat. Dans ce cas, sélectionnez Démarré par le plugiciel client. Heartbeat : Les informations suivantes sont collectées par le plugiciel serveur pendant l'exécution de heartbeat : l'état des pilotes (en ligne ou hors ligne), l'état du plugiciel client (y compris l'heure de l'horloge), les journaux du plugiciel client depuis le dernier heartbeat, les données pour la mise à jour des compteurs et une empreinte de la configuration de sécurité du plugiciel client (utilisée pour déterminer si celle-ci est à jour). Vous pouvez changer la fréquence des heartbeats (qu'ils soient déclenchés par le plugiciel client ou le plugiciel serveur) et spécifier après combien de heartbeats manqués une alerte est déclenchée. Programmation d'accès à l'ordinateur : périodes pendant lesquelles le plugiciel serveur peut appliquer des mises à jour automatiques/mises en file d'attente au plugiciel client. Les Heartbeats continuent. Ce paramètre sert principalement à empêcher l'application des mises à jour et l'exécution des scans de détection des recommandations pendant les périodes où le serveur est le plus occupé. Vous pouvez toujours appliquer les mises à jour manuellement quand vous le souhaitez en cliquant avec le bouton droit sur l'ordinateur et en sélectionnant «Mettre à jour le(s) plugiciel(s) client(s)». Ce paramètre peut être hérité du profil de sécurité attribué à cet ordinateur ou vous pouvez sélectionner un autre programme prédéfini dans la liste déroulante. Dépannage : vous pouvez, au choix, hériter les paramètres de substitution de la journalisation du profil de sécurité attribué à cet ordinateur («Hérité»), ne pas substituer les paramètres de journalisation («Ne pas substituer»), enregistrer toutes les règles de pare-feu déclenchées («Journalisation d'événements de pare-feu complète»), enregistrer tous les filtres IPS déclenchés («Journalisation d'événements IPS complète») ou enregistrer tous les filtres déclenchés («Journalisation complète»). Tous droits réservés. - 17 -
La journalisation est configurée à trois niveaux différents : les filtres eux-mêmes, les profils de sécurité, qui incluent des filtres particuliers, et les ordinateurs auxquels les profils de sécurité/filtres sont attribués. Les niveaux de journalisation sont hérités dans cet ordre. L'option permettant d'écraser les niveaux de journalisation est principalement destinée au dépannage. Lorsque vous appliquez pour la première fois un ensemble de filtres à un ordinateur, vous pouvez enregistrer toute l'activité de filtrage sur ce seul ordinateur sans avoir à modifier les paramètres de journalisation pour chacun des filtres appliqués à ce dernier. L'option de substitution permet d'enregistrer tout le filtrage sur un ordinateur sans l'activer simultanément sur tous les ordinateurs. Pare-feu Événements de pare-feu : Vous pouvez définir la taille maximale de chaque fichier journal et le nombre de fichiers récents conservés. Les événements sont enregistrés dans les fichiers journaux d'événements de pare-feu jusqu'à ce que ces derniers atteignent la taille maximale autorisée. Lorsqu'un fichier journal atteint la taille limite, un nouveau fichier est créé et les événements y sont enregistrés jusqu'à ce qu'il atteigne lui-même la taille limite, et ainsi de suite. Une fois atteint le nombre maximum de fichiers, le fichier le plus ancien est supprimé avant la création du nouveau fichier. En général, la taille d'une entrée dans un journal des événements de pare-feu avoisine 200 octets ; un fichier journal de 4 Mo contiendra donc environ 20 000 entrées. La vitesse à laquelle les fichiers journaux se remplissent dépend du nombre de règles de pare-feu en vigueur. o Collecter les événements de pare-feu à partir du plugiciel client : permet de récupérer régulièrement les derniers journaux du pare-feu à partir du plugiciel client. Les journaux sont des enregistrements d'événements individuels. Les compteurs enregistrent le nombre d'occurrences des événements individuels. Les journaux sont utilisés pour remplir les écrans «Événements» (Événements de pare-feu, Événements IPS, Événements système), les compteurs pour remplir les widgets de tableau de bord (nombre d'événements de pare-feu au cours des 7 derniers jours, etc.) et les rapports. Vous pouvez collecter uniquement les compteurs si, par exemple, vous utilisez syslog pour la collecte des journaux. Les journaux sont susceptibles d'occuper beaucoup d'espace sur le disque et vous ne souhaitez pas forcément que les données soient stockées en double. IPS o Ne pas enregistrer les journaux avec l'adresse IP source : cette option est utile si vous souhaitez qu'intrusion Defense Firewall ne crée pas d'entrées dans le journal pour le trafic provenant de certains ordinateurs dignes de confiance. o Enregistrer les paquets «Hors de la stratégie autorisée» : permet d'enregistrer les paquets qui sont abandonnés parce qu'ils n'ont pas été spécifiquement autorisés par une règle Autoriser ou une règle de pare-feu (notez que cette option, lorsqu'elle est activée, peut augmenter considérablement la taille des fichiers journaux). Événements avancés de pare-feu : pour plus d'informations sur les événements avancés de pare-feu, voir Système > Paramètres > Pare-feu. Événements IPS : vous pouvez définir la taille maximale de chaque fichier journal et le nombre de fichiers récents à conserver. Les événements sont enregistrés dans les fichiers journaux d'événements IPS jusqu'à ce que ces derniers atteignent la taille maximale autorisée. Lorsqu'un fichier journal atteint la taille limite, un nouveau fichier est créé et les événements y sont enregistrés jusqu'à ce qu'il atteigne lui-même la taille limite, et ainsi de suite. Une fois atteint le nombre maximum de fichiers, le fichier le plus ancien est supprimé avant la création du nouveau fichier. En général, la taille d'une entrée dans un journal des événements de pare-feu avoisine 200 octets ; un fichier journal de 4 Mo contiendra donc environ 20 000 entrées. La vitesse à laquelle les fichiers journaux se remplissent dépend du nombre de filtres IPS en place. o Collecter les événements IPS à partir du plugiciel client : permet de récupérer régulièrement les derniers journaux IPS à partir du plugiciel client. o Ne pas enregistrer les journaux avec l'adresse IP source : cette option est utile si vous ne souhaitez pas qu'intrusion Defense Firewall enregistre le trafic provenant de certains ordinateurs dignes de confiance. o Autoriser les filtres IPS à capturer des données pour la première correspondance de chaque filtre : permet de conserver les données du paquet qui a déclenché une entrée dans le journal (vous pouvez afficher les données du paquet avec l'entrée du journal). Chaque filtre ne capturera les données qu'une fois toutes les cinq minutes pour éviter des fichiers journaux excessivement volumineux). Événements IPS avancés : pour plus d'informations sur les événements IPS avancés, voir Système > Paramètres > IPS. Tous droits réservés. - 18 -
Analyse Pour des informations sur l'analyse du trafic, voir Système > Paramètres > Analyse. Scan Scan de détection de ports ouverts : sélectionnez la liste de ports à utiliser lorsque le plugiciel serveur exécute un scan des ports sur les ordinateurs détectés (les listes de ports dans la liste déroulante sont les mêmes que celles définies à l'intérieur de l'écran Listes des ports, dans la section Composants). Scan de détection des recommandations : Régulièrement, les plugiciels clients peuvent scanner leur ordinateur pour rechercher les applications courantes, puis effectuer des recommandations de filtrage sur la base de ce qui a été détecté. Ce paramètre définit l'intervalle entre les scans sur les ordinateurs qui ont été configurés pour les autoriser (vous pouvez configurer les plugiciels de clients pour autoriser les scans à partir des écrans Propriétés des ordinateurs). Notifications Utiliser les paramètres hérités : utilisez cette option pour hériter les paramètres du niveau immédiatement supérieur. Ne pas transférer les journaux : les journaux de ce plugiciel client ne sont pas transmis. Transférer les journaux à : permet de substituer les paramètres et d'envoyer les journaux à un serveur Syslog particulier. Règles de pare-feu L'onglet Règles de pare-feu affiche les règles de pare-feu attribuées à l'interface ou aux interfaces de cet ordinateur. Notez que tous les types d'interfaces définis dans le volet de gauche sont imbriqués sous un parent «Global». Trend Micro recommande d'attribuer tous les filtres communs à toutes les interfaces à ce type d'interface Global. En fait, seuls les filtres spécialement conçus pour des types d'interfaces particuliers doivent être attribués au niveau du type d'interface. Si par mégarde aucun type n'est attribué à une interface nouvellement installée, celle-ci bénéficiera néanmoins d'une protection par défaut. Le plugiciel client détecte et affiche toutes les interfaces sur l'ordinateur. Lorsqu'une interface préalablement répertoriée n'est plus détectée (par exemple, si elle a été supprimée de l'ordinateur), elle continue d'apparaître dans la liste, mais elle est grisée. En effet, le plugiciel serveur suppose que la situation n'est pas définitive et n'annule pas les paramètres. Si vous êtes sûr que l'interface grisée ne retournera pas sur l'ordinateur, vous pouvez la supprimer manuellement de la liste à l'aide du menu contextuel. Si vous utilisez des interfaces virtuelles sur l'ordinateur, l'interface physique doit avoir une adresse IP statique. Le plugiciel client ne détectera pas les interfaces virtuelles si l'interface physique est configurée pour utiliser DHCP. Notez que si vous utilisez des interfaces virtuelles, l'onglet Règles de pare-feu affiche chacune des adresses IP. Le plugiciel serveur vous autorise à appliquer des règles de pare-feu aux différentes adresses IP, mais n'oubliez pas qu'elles se trouvent sur la même interface physique. Par conséquent, si vous appliquez une règle «autoriser» à une adresse IP, une règle «refuser» est appliquée à tout le trafic sur les autres adresses IP situées sur la même interface. Lorsque vous utilisez des interfaces virtuelles, appliquez des règles de pare-feu à l'interface physique uniquement, et non aux différentes adresses IP. Les règles de pare-feu dans la liste sont associées à des cases à cocher. Une case à cocher grisée signifie que la règle de pare-feu correspondante est appliquée au trafic sur cet ordinateur parce que le profil de sécurité attribué à l'ordinateur inclut le filtre. Une case à cocher sélectionnée, mais non grisée, signifie que la règle a été attribuée à cet ordinateur directement, et non parce qu'elle est incluse dans un profil de sécurité. Tous droits réservés. - 19 -