Guide produit

McAfee® Host Intrusion Preventionversion 6.1

McAfee® Protection systèmeLes meilleures solutions de prévention des intrusions du secteur

Guide produit

McAfee® Host Intrusion Preventionversion 6.1

McAfee® Protection systèmeLes meilleures solutions de prévention des intrusions du secteur

COPYRIGHTCopyright © 2007 McAfee, Inc. Tous droits réservés.

Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans quelque langue que ce soit, sous quelque forme ou moyen que ce soit, sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses sociétés affiliées.

MENTION DES MARQUESACTIVE FIREWALL, ACTIVE SECURITY, ACTIVESECURITY (EN KATAKANA), ACTIVESHIELD, CLEAN-UP, DESIGN (E STYLISE), DESIGN (N STYLISE), ENTERCEPT, EPOLICY ORCHESTRATOR, FIRST AID, FOUNDSTONE, GROUPSHIELD, GROUPSHIELD (EN KATAKANA), INTRUSHIELD, INTRUSION PREVENTION THROUGH INNOVATION, MCAFEE, MCAFEE (EN KATAKANA), MCAFEE ET LE LOGO, MCAFEE.COM, MCAFEE VIRUSSCAN, NET TOOLS, NET TOOLS (EN KATAKANA), NETSCAN, NETSHIELD, NUTS & BOLTS, OIL CHANGE, PRIMESUPPORT, SPAMKILLER, THREATSCAN, TOTAL VIRUS DEFENSE, VIREX, VIRUS FORUM, VIRUSCAN, VIRUSSCAN, VIRUSSCAN (EN KATAKANA), WEBSCAN, WEBSHIELD, WEBSHIELD (EN KATAKANA) sont des marques déposées ou des marques de McAfee, Inc. et/ ou de ses sociétés affiliées aux États-Unis et/ou dans d'autres pays. La couleur rouge utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de marque McAfee. Toutes les autres marques, déposées ou non, mentionnées dans ce document sont la propriété exclusive de leurs détenteurs respectifs.

INFORMATIONS SUR LA LICENCEAccord de licenceÀ L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE ET QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS IGNOREZ LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, VEUILLEZ CONSULTER LES DOCUMENTS COMMERCIAUX ET LES AUTRES DOCUMENTS D'OCTROI DE LICENCE OU DE BON DE COMMANDE CORRESPONDANTS QUI ACCOMPAGNAIENT VOTRE PROGICIEL, OU QUI VOUS ONT ÉTÉ TRANSMIS SÉPARÉMENT AVEC VOTRE ACHAT (EN TANT QUE LIVRET, FICHIER INCLUS SUR LE CD DU PRODUIT, OU FICHIER DISPONIBLE SUR LE SITE WEB D'OÙ VOUS AVEZ TÉLÉCHARGÉ LE PROGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RENVOYER LE PRODUIT À MCAFEE OU À L'ENDROIT OÙ VOUS L'AVEZ ACHETÉ AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL.

MentionsCe produit contient ou peut contenir :

• Un logiciel développé par le projet OpenSSL à utiliser avec la boîte à outils OpenSSL (http://www.openssl.org/). • Un logiciel cryptographique écrit par Eric A. Young et un logiciel écrit par Tim J. Hudson. • Des programmes qui sont concédés en licence (ou sous-licence) à l'utilisateur dans le cadre de la licence publique générale (GPL) GNU ou d'autres licences de logiciels gratuits qui, entres autres droits, permettent à l'utilisateur de copier, modifier et redistribuer certains programmes, ou parties de programmes, et d'accéder au code source. La Licence Publique Générale exige, pour tous les logiciels couverts par elle et distribués au format binaire exécutable, que le code source soit également mis à disposition des utilisateurs. Pour tout logiciel couvert par la licence GPL, le code source est disponible sur ce CD. Si des licences de logiciels libres requièrent que McAfee accorde un droit d'utilisation, de copie ou de modification d'un logiciel plus étendu que celui octroyé dans ce contrat, ce droit prime sur les droits et restrictions de ce contrat. • Un logiciel initialement écrit par Henry Spencer, Copyright 1992, 1993, 1994, 1997 Henry Spencer. • Un logiciel initialement écrit par Robert Nordier. Copyright © 1996-7 Robert Nordier. • Un logiciel écrit par Douglas W. Sauder. • Un logiciel développé par l'Apache Software Foundation (http://www.apache.org/). Une copie du contrat de licence de ce logiciel est disponible à l'adresse www.apache.org/licenses/LICENSE-2.0.txt. • International Components for Unicode (« ICU »). Copyright © 1995–2002 International Business Machines Corporation et autres. • Un logiciel développé par CrystalClear Software, Inc., Copyright © 2000 CrystalClear Software, Inc. • Technologie FEAD

®

Optimizer®

, Copyright Netopsystems AG, Berlin, Allemagne. • Outside In®

Viewer Technology © 1992–2001 Stellent Chicago, Inc. et/ ou Outside In

®

HTML Export, © 2001 Stellent Chicago, Inc. • Un logiciel protégé par les droits d'auteur de Thai Open Source Software Center Ltd. et Clark Cooper, © 1998, 1999, 2000. • Un logiciel protégé par les droits d'auteur d'Expat maintainers. • Un logiciel protégé par les droits d'auteur de The Regents of the University of California, © 1996, 1989, 1998–2000. • Un logiciel protégé par les droits d'auteur de Gunnar Ritter. • Un logiciel protégé par les droits d'auteur de Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, Californie 95054, États-Unis, © 2003. • Un logiciel protégé par les droits d'auteur de Gisle Aas. © 1995–2003. • Un logiciel protégé par les droits d'auteur de Michael A. Chase, © 1999–2000. • Un logiciel protégé par les droits d'auteur de Neil Winton, © 1995–1996. • Un logiciel protégé par les droits d'auteur de RSA Data Security, Inc., © 1990–1992. • Un logiciel protégé par les droits d'auteur de Sean M. Burke, © 1999, 2000. • Un logiciel protégé par les droits d'auteur de Martijn Koster, © 1995. • Un logiciel protégé par les droits d'auteur de Brad Appleton, © 1996–1999. • Un logiciel protégé par les droits d'auteur de Michael G. Schwern, © 2001. • Un logiciel protégé par les droits d'auteur de Graham Barr, © 1998. • Un logiciel protégé par les droits d'auteur de Larry Wall et Clark Cooper, © 1998-2000. • Un logiciel protégé par les droits d'auteur de Frodo Looijaard, © 1997. • Un logiciel protégé par les droits d'auteur de la Python Software Foundation, Copyright © 2001, 2002, 2003. Une copie du contrat de licence de ce logiciel est disponible à l'adresse www.python.org. • Un logiciel protégé par les droits d'auteur de Beman Dawes, © 1994–1999, 2002. • Un logiciel écrit par Andrew Lumsdaine, Lie-Quan Lee et Jeremy G. Siek © 1997–2000 University of Notre Dame. • Un logiciel protégé par les droits d'auteur de Simone Bordet et Marco Cravero, © 2002. • Un logiciel protégé par les droits d'auteur de Stephen Purcell, © 2001. • Un logiciel développé par l'Indiana University Extreme! Lab (http://www.extreme.indiana.edu/). • Un logiciel protégé par les droits d'auteur d'International Business Machines Corporation et autres, © 1995–2003. • Un logiciel développé par l'University of California, Berkeley et ses donateurs. • Un logiciel développé par Ralf S. Engelschall <rse@engelschall.com> dans le cadre du projet mod_ssl (http:// www.modssl.org/). • Un logiciel protégé par les droits d'auteur de Kevlin Henney, © 2000-2002. • Un logiciel protégé par les droits d'auteur de Peter Dimov et Multi Media Ltd. © 2001, 2002. • Un logiciel protégé par les droits d'auteur de David Abrahams, © 2001, 2002. Consultez le site http://www.boost.org/libs/bind/bind.html pour obtenir de la documentation. • Un logiciel protégé par les droits d'auteur de Steve Cleary, Beman Dawes, Howard Hinnant et John Maddock, © 2000. • Un logiciel protégé par les droits d'auteur de Boost.org, © 1999–2002. • Un logiciel protégé par les droits d'auteur de Nicolai M. Josuttis, © 1999. • Un logiciel protégé par les droits d'auteur de Jeremy Siek, © 1999–2001. • Un logiciel protégé par les droits d'auteur de Daryle Walker, © 2001. • Un logiciel protégé par les droits d'auteur de Chuck Allison et Jeremy Siek, © 2001, 2002. • Un logiciel protégé par les droits d'auteur de Samuel Krempp, © 2001. Consultez le site http://www.boost.org pour obtenir des mises à jour, de la documentation et l'historique des révisions. • Un logiciel protégé par les droits d’auteur de Doug Gregor (gregod@cs.rpi.edu), © 2001, 2002. • Un logiciel protégé par les droits d’auteur de Cadenza New Zealand Ltd., © 2000. • Un logiciel protégé par les droits d’auteur de Jens Maurer, © 2000, 2001. • Un logiciel protégé par les droits d'auteur de Jaakko Järvi (jaakko.jarvi@cs.utu.fi), © 1999, 2000. • Un logiciel protégé par les droits d'auteur de Ronald Garcia, © 2002. • Un logiciel protégé par les droits d'auteur de David Abrahams, Jeremy Siek et Daryle Walker, © 1999-2001. • Un logiciel protégé par les droits d'auteur de Stephen Cleary (shammah@voyager.net), © 2000. • Un logiciel protégé par les droits d'auteur de Housemarque Oy <http://www.housemarque.com>, © 2001. • Un logiciel protégé par les droits d'auteur de Paul Moore, © 1999. • Un logiciel protégé par les droits d'auteur du Dr John Maddock, © 1998–2002. • Un logiciel protégé par les droits d'auteur de Greg Colvin et Beman Dawes, © 1998, 1999. • Un logiciel protégé par les droits d'auteur de Peter Dimov, © 2001, 2002. • Un logiciel protégé par les droits d'auteur de Jeremy Siek et John R. Bandela, © 2001. • Un logiciel protégé par les droits d'auteur de Joerg Walter et Mathias Koch, © 2000–2002. • Un logiciel protégé par les droits d'auteur de Carnegie Mellon University © 1989, 1991, 1992. • Un logiciel protégé par les droits d'auteur de Cambridge Broadband Ltd., © 2001–2003. • Un logiciel protégé par les droits d'auteur de Sparta, Inc., © 2003–2004. • Un logiciel protégé par les droits d'auteur de Cisco, Inc. et de l’Information Network Center de la Beijing University of Posts and Telecommunications, © 2004. • Un logiciel protégé par les droits d'auteur de Simon Josefsson, © 2003. • Un logiciel protégé par les droits d'auteur de Thomas Jacob, © 2003–2004. • Un logiciel protégé par les droits d'auteur de Advanced Software Engineering Limited, © 2004. • Un logiciel protégé par les droits d'auteur de Todd C. Miller, © 1998. • Un logiciel protégé par les droits d'auteur de The Regents of the University of California, © 1990, 1993, avec code dérivé du logiciel proposé à Berkeley par Chris Torek.

INFORMATIONS SUR LES BREVETSProtégé par les brevets américains 6 301 699; 6 412 071; 6 496 875; 6 668 289; 6 823 460.

Publié en février 2007 / Logiciel Host Intrusion Prevention version 6.1DBN-100-FR

Table des matières

1 Introduction de Host Intrusion Prevention 9Nouveautés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Nouveautés par rapport aux anciennes versions . . . . . . . . . . . . . . . . . . . .10

Nouvelles fonctionnalités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Utilisation de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Public . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Obtention d'informations produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Documentation standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Coordonnées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

2 Concepts de base 15Fonction IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Règles de signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Règles comportementales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Événements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Réactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Règles d'exception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Fonction de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Règles de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Règles de pare-feu du client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Fonction de blocage d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Règles de blocage d'application du client . . . . . . . . . . . . . . . . . . . . . . . . . 18

Fonction Général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Gestion des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Application des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Stratégies et catégories de stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Héritage et affectation des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Propriété des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Verrouillage de l'affectation de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Déploiement et gestion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Protection programmée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Mode spéculatif et mode d'apprentissage . . . . . . . . . . . . . . . . . . . . . . . . . 21

Réglage fin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3 Utilisation d'ePolicy Orchestrator 23Opérations d'ePolicy Orchestrator utilisées avec

Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Console ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Gestion des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Affectation de propriétaires aux stratégies . . . . . . . . . . . . . . . . . . . . . . . . 26

Génération de notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Génération des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Opérations de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Installation du serveur Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . 26

Déploiement des clients Host Intrusion Prevention. . . . . . . . . . . . . . . . . . 27

Affichage et utilisation des données du client . . . . . . . . . . . . . . . . . . . . . . 27

Définition des clients en Mode spéculatif ou d'apprentissage . . . . . . . . . 28

Configuration des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Réglage fin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Utilisation de l'aide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

5

McAfee® Host Intrusion Prevention 6.1 Guide produit Table des matières

4 Stratégies IPS 33Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Règles de signature IPS hôte et réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Stratégies IPS prédéfinies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Accès rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Configuration de la stratégie Options IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Configuration de la stratégie Protection IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Configuration de la stratégie Règles IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Description détaillée de la stratégie Règles IPS . . . . . . . . . . . . . . . . . . . . . . . . 42

Règles d'exception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Règles de protection d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Événements IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Affichage des événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuration de l'affichage des événements . . . . . . . . . . . . . . . . . . . . . . 58

Filtrage des événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Marquage des événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Marquage d'événements similaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Affichage détaillé des événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Création d'exceptions et d'applications sécurisées sur la base d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Règles IPS du client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Affichage normal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Affichage agrégé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Recherche de règles d'exception IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

5 Stratégies de pare-feu 68Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Règles HIP 6.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Règles HIP 6.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Fonctionnement des règles de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Fonctionnement du filtrage avec état . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Fonctionnement de l'inspection des paquets avec état . . . . . . . . . . . . . . 73

Groupes de règles de pare-feu et groupes de reconnaissance de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Modes spéculatif et d'apprentissage du pare-feu . . . . . . . . . . . . . . . . . . . .76

Stratégies et règles de quarantaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Migration de règles de pare-feu 6.0 personnalisées vers des règles 6.1. . . . 78

Stratégies de pare-feu prédéfinies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Accès rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Configuration de la stratégie d'options de pare-feu . . . . . . . . . . . . . . . . . . . . 79

Configuration de la stratégie de règles de pare-feu. . . . . . . . . . . . . . . . . . . . . 81

Création de nouvelles stratégies de règles de pare-feu . . . . . . . . . . . . . . 81

Affichage et modification de règles de pare-feu . . . . . . . . . . . . . . . . . . . . 84

Création d'une nouvelle règle de pare-feu ou d'un groupe de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Suppression d'une règle de pare-feu ou d'un groupe. . . . . . . . . . . . . . . . 88

Affichage des règles du client de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 88

Configuration de la stratégie d'options de quarantaine . . . . . . . . . . . . . . . . . 90

Configuration de la stratégie de règles de quarantaine. . . . . . . . . . . . . . . . . . 91

Création de nouvelles stratégies de règles de quarantaine . . . . . . . . . . . 91

Affichage et modification de règles de quarantaine . . . . . . . . . . . . . . . . . 92

Création d'une nouvelle règle de quarantaine ou d'un groupe . . . . . . . . 93

Suppression d'une règle de quarantaine ou d'un groupe . . . . . . . . . . . . 93

6 Stratégies de blocage d'application 94Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Création d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Accrochage d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Stratégies de blocage d'application prédéfinies . . . . . . . . . . . . . . . . . . . . 95

Accès rapide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

6

McAfee® Host Intrusion Prevention 6.1 Guide produit Table des matières

Configuration de la stratégie d'options de blocage d'application . . . . . . . . . 96

Configuration de la stratégie Règles de blocage d'application. . . . . . . . . . . . 98

Création de nouvelles stratégies de règles de blocage d'application . . . 98

Affichage et modification des règles de blocage d'application . . . . . . . . 99

Création de nouvelles règles de blocage d'application. . . . . . . . . . . . . . 100

Suppression d'une règle de blocage d'application . . . . . . . . . . . . . . . . . .101

Affichage des règles de client d'application . . . . . . . . . . . . . . . . . . . . . . . .101

7 Stratégies générales 103Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103

Stratégies générales prédéfinies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104

Configuration de la stratégie Appliquer les stratégies. . . . . . . . . . . . . . . . . . .105

Configuration de la stratégie Interface utilisateur du client . . . . . . . . . . . . . .105

Création et application d'une stratégie Interface utilisateur du client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106

Configuration de la stratégie Réseaux sécurisés . . . . . . . . . . . . . . . . . . . . . . . 110

Configuration de la stratégie Applications sécurisées. . . . . . . . . . . . . . . . . . . 112

Création et application de stratégies Applications sécurisées . . . . . . . . . 112

Création d'applications sécurisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Modification d'applications sécurisées. . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Activation et désactivation d'applications sécurisées . . . . . . . . . . . . . . . . 114

Suppression d'applications sécurisées. . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

8 Maintenance 115Réglage fin d'un déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Analyse des événements IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Création de règles d'exception et de règles d'application sécurisée . . . . 116

Utilisation des règles d'exception du client . . . . . . . . . . . . . . . . . . . . . . . . 116

Création et application de nouvelles stratégies . . . . . . . . . . . . . . . . . . . . . 116

Maintenance des stratégies et tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Onglet Stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Catalogue des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Exécution de tâches serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Passerelle de répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Archiveur d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Traducteur de propriétés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Configuration des notifications pour les événements . . . . . . . . . . . . . . . . . . 123

Fonctionnement des notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Notifications Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Exécution de rapports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Rapports prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Rapports Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Archivage du package de mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Mise à jour des clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

9 Client Host Intrusion Prevention 132Client Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Icône de la barre des tâches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Console du client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Alertes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Onglet Stratégie IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142

Onglet Stratégie de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144

Onglet Stratégie d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146

Onglet Hôtes bloqués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

Onglet Protection d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Onglet Journal d'activité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Client Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Application des stratégies avec le client Solaris . . . . . . . . . . . . . . . . . . . 153

Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Client Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Application des stratégies avec le client Linux . . . . . . . . . . . . . . . . . . . . 156

Remarques concernant le client Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

7

McAfee® Host Intrusion Prevention 6.1 Guide produit Table des matières

10 Foire aux questions 160

A Écriture des signatures personnalisées 164Structure d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Sections communes obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Sections communes facultatives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Variables de valeurs de section . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Signatures personnalisées Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Class Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Class Isapi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Class Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176

Class Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Signatures personnalisées Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Class UNIX_file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Détails avancés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Class UNIX_apache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Signatures personnalisées Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Class UNIX_file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Résumé des paramètres et des directives . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Liste de paramètres selon le type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Liste de directives selon le type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Glossaire 187

Index 196

8

1 Introduction de Host Intrusion Prevention

McAfee® Host Intrusion Prevention est un système de détection et de prévention des intrusions basé sur les hôtes et protégeant les ressources et applications du système contre les attaques externes et internes.

Host Intrusion Prevention offre une protection contre l'affichage, la copie, la modification et la suppression non autorisés d'informations, ainsi que contre la mise à mal des ressources et applications du système et du réseau qui stockent et fournissent des informations. Il y parvient grâce à l'association innovante des signatures HIPS (Host Intrusion Prevention System), des signatures NIPS (Network Intrusion Prevention System), de règles comportementales et de règles de pare-feu.

Host Intrusion Prevention est totalement intégré à ePolicy Orchestrator et utilise les applications du logiciel pour fournir et appliquer des stratégies. Les fonctionnalités de Host Intrusion Prevention sont réparties entre les fonctions IPS, Pare-feu, Blocage d'applications et Général, ce qui améliore le contrôle des protections de stratégie et des niveaux de protection apportés aux utilisateurs.

La protection est effective dès que Host Intrusion Prevention est installé. Les paramètres de protection par défaut requièrent peu de réglage (voire même aucun) et permettent un déploiement rapide et à grande échelle. Pour une plus grande protection, modifiez et ajoutez des stratégies pour régler le déploiement.

Pour obtenir des informations de base sur l'utilisation de ce produit et de ce guide, consultez les sections :

Nouveautés

Utilisation de ce guide

Obtention d'informations produit

Coordonnées

9

McAfee® Host Intrusion Prevention 6.1 Guide produit Introduction de Host Intrusion PreventionNouveautés

1

NouveautésHost Intrusion Prevention 6.1 s'intègre totalement à ePolicy Orchestrator 3.6.1 afin de gérer l'application du client sur les plates-formes Windows, Solaris et Linux. L'agent ePolicy Orchestrator est nécessaire et sa version dépend de la plate-forme sur laquelle le client est installé. Sous Windows, l'agent ePO 3.5.5 ou supérieur est nécessaire. Sous Solaris et Linux, l'agent ePO 3.7 est nécessaire.

Nouveautés par rapport aux anciennes versions Deux catégories de stratégies de pare-feu qui offrent des fonctions de pare-feu avec état aux clients Windows 6.1 en plus des fonctions de pare-feu statiques destinées aux clients 6.0.X.

Les stratégies Règles de pare-feu et Règles de quarantaine sont des stratégies de règles de pare-feu avec état, qui gèrent uniquement les clients Host Intrusion Prevention 6.1.

Les stratégies Règles de pare-feu 6.0 et Règles de quarantaine 6.0 sont les stratégies de règles de pare-feu statiques héritées, qui gèrent les clients Host Intrusion Prevention 6.0.X.

Des options de pare-feu avec état dans la stratégie Options de pare-feu pour activer l'Inspection du protocole FTP et définir le Délai de connexion TCP et le Délai de connexion virtuelle UDP.

La stratégie des groupes de reconnaissance de connexion des Règles de pare-feu a été améliorée.

Ajout d'un suffixe DNS comme critère d'accès au réseau.

Distinction entre les connexions réseau avec et sans fil.

Nouvelles fonctionnalités Prise en charge des clients Linux sur Red Hat Enterprise 4 avec SE Linux.

Gestion des stratégies IPS grâce à la console ePO.

Application en mode spéculatif.

Prise en charge des clients Solaris sur Solaris 8, 9 et 10, pour les noyaux 32 bits et 64 bits.

Gestion des stratégies IPS grâce à la console ePO.

Application en mode spéculatif.

Protection de serveurs Web, notamment Sun One et Apache.

Possibilité de mise à niveau à partir d'Entercept 5.1 pour Solaris.

10

McAfee® Host Intrusion Prevention 6.1 Guide produit Introduction de Host Intrusion PreventionUtilisation de ce guide

1

Utilisation de ce guideCe guide fournit les informations suivantes sur la configuration et l'utilisation de votre produit. Pour connaître la configuration système requise et les instructions d'installation, reportez-vous au Guide de configuration.

Introduction de Host Intrusion PreventionPrésentation du produit, notamment la description des modifications et des nouveautés, la présentation de ce guide et les différentes coordonnées McAfee.

Concepts de basePrésentation des éléments de base de Host Intrusion Prevention et description de leur fonctionnement.

Utilisation d'ePolicy OrchestratorUtilisation de Host Intrusion Prevention et de ePolicy Orchestrator.

Stratégies IPSExplication du fonctionnement des stratégies IPS.

Stratégies de pare-feuExplication du fonctionnement des stratégies de pare-feu.

Stratégies de blocage d'applicationExplication du fonctionnement des stratégies de blocage d'applications.

Stratégies généralesExplication du fonctionnement des stratégies générales.

MaintenanceMaintenance et mise à jour de Host Intrusion Prevention.

Client Host Intrusion PreventionExplication du fonctionnement du client.

Foire aux questionsFoire aux questions sur Host Intrusion Prevention.

Écriture des signatures personnaliséesAnnexe sur la création de signatures personnalisées.

Glossaire

Index

PublicCe guide s'adresse aux administrateurs informatique et réseau, responsables des systèmes de détection et de prévention des intrusions de leur société.

11

McAfee® Host Intrusion Prevention 6.1 Guide produit Introduction de Host Intrusion PreventionUtilisation de ce guide

1

ConventionsCe guide utilise les conventions suivantes :

Bold Condensed

Tous les mots de l'interface utilisateur, y compris les options, les menus, les boutons et le nom des boîtes de dialogue.

Exemple :

Entrez le nom d'Utilisateur et le Mot de passe du compte désiré.

Courier Chemin d'accès à un dossier ou à un programme ; texte qui représente un élément saisi de façon exacte par l'utilisateur (comme une commande à l'invite du système).

Exemple :

L'emplacement par défaut de ce programme est : C:\Program Files\McAfee\EPO\3.5.0

Exécutez cette commande sur l'ordinateur client :C:\SETUP.EXE

Italique Pour mettre en valeur ou présenter un nouveau terme ; pour les noms de documentation produit et de rubriques (titres) dans les documents.

Exemple : Reportez-vous au Guide produit VirusScan Enterprise pour plus d'informations.

Bleu Adresse Web (URL) et/ou lien automatique.

Consultez le site Web de McAfee à l'adresse :http://www.mcafee.com

<TERME> Les chevrons encadrent un terme générique.

Exemple : Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur <SERVEUR>.

Remarque

Remarque : Informations supplémentaires ; par exemple, autre méthode pour exécuter une même commande.

Conseil

Conseil : Suggestions de meilleures pratiques et recommandations de la part de McAfee pour la prévention des menaces, les performances et l'efficacité.

Attention

Attention : Conseil important pour protéger votre système informatique, votre entreprise, votre installation logicielle ou vos données.

Avertissement

Avertissement : Conseil important pour protéger un utilisateur contre les dommages corporels lorsqu'il utilise du matériel.

12

McAfee® Host Intrusion Prevention 6.1 Guide produit Introduction de Host Intrusion PreventionObtention d'informations produit

1

Obtention d'informations produitSauf indication contraire, la documentation produit se présente sous forme de fichiers PDF Adobe Acrobat (version 6.0), disponibles sur le CD produit ou sur le site de téléchargement de McAfee.

Documentation standardGuide d'installation : procédures de déploiement et de gestion des produits pris en charge via le logiciel de gestion ePolicy Orchestrator.

Guide produit : présentation du produit et de ses fonctions, instructions détaillées de configuration du logiciel, informations sur le déploiement, les tâches répétitives et les procédures d'utilisation.

Aide : informations de haute importance et détaillées, accessibles depuis le bouton d'application Aide.

Carte de référence : carte utile, contenant des informations sur les principales fonctions du produit, les tâches de routine souvent effectuées et les tâches critiques effectuées ponctuellement. Une carte imprimée accompagne le CD produit.

Notes de version : ReadMe. Informations sur le produit, problèmes connus, problèmes ayant été résolus et modifications ou ajouts de dernière minute apportés au produit ou à sa documentation (un fichier texte est inclus avec le logiciel et sur le CD produit).

13

McAfee® Host Intrusion Prevention 6.1 Guide produit Introduction de Host Intrusion PreventionCoordonnées

1

CoordonnéesCentre de menaces : McAfee Avert® Labs http://www.mcafee.com/us/threat_center/default.asp

Bibliothèque de menaces Avert Labs http://vil.nai.com

Avert Labs WebImmune et soumission d'un échantillon (références de connexion nécessaires) https://www.webimmune.net/default.asp

Avert Labs DAT Service de notification http://vil.nai.com/vil/signup_DAT_notification.aspx

Site de téléchargement http://www.mcafee.com/us/downloads/ Mise à niveau de produits (numéro de licence valide nécessaire)

Mises à jour de la sécurité (fichiers DAT, moteur)

Versions de correctifs

Pour les vulnérabilités de sécurité (accessibles au public)

Pour les produits (compte ServicePortal et numéro de licence valide nécessaires)

Évaluation des produits

Programme bêta de McAfee

Support technique http://www.mcafee.com/us/support/ Recherche dans la base de connaissances

http://knowledge.mcafee.com/

Support technique McAfee ServicePortal (références de connexion nécessaires) https://mysupport.mcafee.com/eservice_enu/start.swe

Service clientèleWeb http://www.mcafee.com/us/support/index.html http://www.mcafee.com/us/about/contact/index.html

Téléphone : numéro vert pour les États-Unis, le Canada et l'Amérique latine : +1-888-VIRUS NO ou +1-888-847-8766, du lundi au vendredi, de 8 heures à 20 heures (heure du centre des États-Unis).

Services aux professionnels Entreprises : http://www.mcafee.com/us/enterprise/services/index.html

Petites et moyennes entreprises : http://www.mcafee.com/us/smb/services/index.html

14

2 Concepts de base

McAfee® Host Intrusion Prevention est un système de protection contre les intrusions basé sur les hôtes. Il protège contre les attaques connues et inconnues, notamment les vers, les chevaux de Troie, le Buffer Overflow, les modifications de fichiers système critiques et l'intensification (escalation) des privilèges. La gestion de Host Intrusion Prevention est effectuée au moyen de la console ePolicy Orchestrator et permet de définir et d'appliquer la prévention des intrusions, le pare-feu, le blocage d'application et les stratégies générales. Les clients Host Intrusion Prevention sont déployés sur les serveurs et les postes et fonctionnent comme des unités de protection indépendantes. Ils envoient des rapports d'activité à ePolicy Orchestrator et récupèrent les mises à jour de nouvelles définitions d'attaques.

Cette section décrit les quatre fonctions de Host Intrusion Prevention et la collaboration de ce produit avec ePolicy Orchestrator ; elle comprend les rubriques suivantes :

Fonction IPS

Fonction de pare-feu

Fonction de blocage d'application

Fonction Général

Gestion des stratégies

Déploiement et gestion

Fonction IPSLa fonction IPS (Intrusion Prevention System) contrôle tous les appels système et d'API et bloque ceux qui pourraient engendrer des activités malveillantes. Host Intrusion Prevention détermine quel processus utilise un appel, le contexte de sécurité au sein duquel le processus s'exécute et les ressources auxquelles il accède. Au niveau du noyau, un pilote reçoit les entrées redirigées dans la table des appels systèmes en mode utilisateur et surveille la chaîne d'appels système. Lorsque des appels sont effectués, le pilote compare la demande d'appel avec la base de données des signatures combinées et des règles comportementales afin de déterminer l'autorisation, le blocage ou la consignation d'une action.

15

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseFonction IPS

2

Règles de signatureLes règles de signature sont des modèles de caractères admis dans un courant de trafic. Par exemple, une règle de signature peut éventuellement rechercher une chaîne spécifique dans une requête HTTP. Si une chaîne correspond à une règle dans une attaque connue, une action est exécutée. Ces règles protègent des attaques connues.

Les signatures sont conçues pour des applications et des systèmes d'exploitation spécifiques ; par exemple, des serveurs Web, tels que Apache, IIS, et NES/iPlanet. La majeure partie des signatures protège l'ensemble du système d'exploitation, alors que d'autres sont destinées à des applications spécifiques.

Règles comportementalesLes règles comportementales codées en dur définissent un profil des activités légitimes. Les activités qui ne correspondent pas au profil sont considérées comme suspectes et déclenchent une réponse. Par exemple, une règle comportementale peut éventuellement définir que seul un processus de serveur Web peut accéder à des fichiers HTML. Si tout autre processus tente d'accéder aux fichiers HTML, une action est entreprise. Ces règles protègent des attaques inconnues précédemment (de type zero-day) et des attaques par Buffer Overflow.

ÉvénementsLes événements IPS sont générés lorsqu'un client reconnaît une signature ou une violation de règle comportementale. Ils sont consignés dans l'onglet Événement IPS des règles IPS. Les administrateurs peuvent surveiller ces événements, afin d'afficher et d'analyser les violations de règles système. Ils peuvent ensuite ajuster les réactions aux événements ou créer des exceptions ou des règles d'application sécurisée, afin de réduire le nombre d'événements et d'affiner les paramètres de protection.

RéactionsUne réaction désigne les actions exécutées par un client lorsqu'il reconnaît une signature d'une gravité spécifique.

Un client peut réagir de trois manières :

Ignorer : aucune réaction ; l'événement n'est pas consigné et le processus n'est pas bloqué.

Consigner : l'événement est consigné, mais le processus n'est pas bloqué.

Empêcher : l'événement est consigné et le processus est bloqué.

Par exemple, une stratégie de sécurité peut définir que lorsqu'un client reconnaît une signature de niveau Information, il consigne l'occurrence de la signature et autorise le traitement du processus par le système d'exploitation et que lorsqu'il reconnaît une signature de niveau Élevé, il bloque ce processus.

Règles d'exceptionUne exception est une règle destinée aux activités bloquées de haute importance. Dans certains cas, un comportement défini par une signature comme étant une attaque peut faire partie du flux de travail normal d'un utilisateur ou être une activité légitime d'une application protégée. Pour ignorer la signature, vous pouvez créer une exception qui permet l'activité légitime. Par exemple, une exception peut éventuellement définir qu'un processus est ignoré pour un client particulier.

Remarque

La consignation peut être activée directement sur chaque signature.

16

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseFonction de pare-feu

2

Vous pouvez créer ces exceptions manuellement ou placer les clients en Mode spéculatif et leur permettre de créer des règles d'exception client. Pour garantir que certaines signatures ne sont jamais ignorées, modifiez la signature et désactivez les options Autoriser les règles du client. Vous pouvez suivre les exceptions du client sur la console ePolicy Orchestrator et les visualiser dans un affichage normal agrégé. Utilisez ces règles du client pour créer de nouvelles stratégies ou ajoutez-les à des stratégies existantes que vous pouvez appliquer à d'autres clients.

Fonction de pare-feuLa fonction de pare-feu de Host Intrusion Prevention agit comme un filtre entre un ordinateur et Internet ou le réseau auquel il est connecté. La stratégie de règles de pare-feu 6.0 utilise le filtrage statique des paquets avec une correspondance de règle descendante. Lorsqu'un paquet est analysé et qu'il correspond à une règle de pare-feu, avec des critères comme l'adresse IP, le numéro de port et le type de paquet, le paquet est autorisé ou bloqué. En l'absence de correspondance, le paquet est rejeté. La stratégie de règles de pare-feu de la version actuelle utilise à la fois le filtrage et l'inspection des paquets avec état.

Les autres fonctions comprennent :

Un mode de quarantaine, dans lequel des ordinateurs clients peuvent être placés et sur lequel vous pouvez appliquer un ensemble strict de règles de pare-feu définissant avec qui les clients mis en quarantaine peuvent communiquer.

Des groupes de reconnaissance de connexion, qui vous permettent de créer des groupes de règles spécialisées, basés sur un type de connexion spécifique pour chaque adaptateur réseau.

Règles de pare-feuVous pouvez créer des règles de pare-feu simples ou complexes, selon vos besoins. Host Intrusion Prevention prend en charge les règles basées sur :

Le type de connexion (réseau ou sans fil).

Les protocoles IP et non-IP.

La direction du trafic réseau (entrant, sortant ou les deux).

Les applications génératrices du trafic.

Le service ou le port utilisé par un ordinateur (en tant que destinataire ou expéditeur).

Le service ou le port utilisé par un ordinateur distant (en tant qu'expéditeur ou destinataire).

Les adresses IP source et de destination.

L'heure ou le jour d'envoi ou de réception du paquet.

Règles de pare-feu du clientDe la même manière qu'avec les règles IPS, un client en mode spéculatif ou d'apprentissage peut créer des règles du client afin d'autoriser les activités bloquées. Vous pouvez suivre ces règles et les afficher dans un affichage normal agrégé. Utilisez ces règles du client pour créer de nouvelles stratégies ou ajoutez-les à des stratégies existantes qui peuvent être appliquées à d'autres clients.

17

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseFonction de blocage d'application

2

Fonction de blocage d'applicationLa fonction de blocage d'application contrôle les applications en cours d'utilisation et décide de les autoriser ou de les bloquer.

Host Intrusion Prevention propose deux types de blocage :

Création d'application

Accrochage d'application

Lorsque Host Intrusion Prevention contrôle la création d'application, il recherche les programmes qui essaient de se lancer. Dans la plupart des cas, il n'y a aucun problème ; mais il existe certains virus qui, par exemple, tentent d'exécuter des programmes malveillants. Vous pouvez empêcher cela en créant des règles d'application, similaires aux règles de pare-feu, qui autorisent uniquement l'exécution des programmes accessibles aux utilisateurs.

Lorsque Host Intrusion Prevention contrôle l'accrochage d'application, il recherche les programmes qui tentent de se lier ou de « s'accrocher » à d'autres applications. Quelquefois, ce comportement ne présente aucun danger, mais il peut parfois s'agir d'un comportement suspect indiquant un virus ou une autre attaque sur votre système.

Vous pouvez configurer Host Intrusion Prevention pour qu'il contrôle uniquement la création d'application, l'accrochage d'application ou les deux.

La fonction de blocage d'application fonctionne de la même manière que la fonction de pare-feu. Créez une liste de règles d'application : une règle pour chaque application à autoriser ou bloquer. Chaque fois que Host Intrusion Prevention détecte une application qui tente de se lancer ou de s'accrocher à une autre application, il vérifie sa liste de règles d'application afin de déterminer s'il doit l'autoriser ou la bloquer.

Règles de blocage d'application du clientLes clients en mode spéculatif ou d'apprentissage peuvent créer des règles du client afin d'autoriser la création ou l'accrochage d'applications bloquées, apparaissant dans un affichage normal agrégé. Utilisez ces règles du client, comme vous le feriez avec les règles du client IPS et de pare-feu, pour créer de nouvelles stratégies ou ajoutez-les à des stratégies existantes qui peuvent être appliquées à d'autres clients.

Fonction GénéralLa fonction Général de Host Intrusion Prevention permet d'accéder aux stratégies générales, non spécifiques à des stratégies IPS, de pare-feu ou de blocage d'application. Elle comprend :

L'activation ou la désactivation de l'application de toutes les stratégies.

Les conditions d'affichage de l'interface du client et les conditions d'accès à cette interface.

La création et la modification d'adresses réseau et de sous-réseaux sécurisés.

La création et la modification d'applications sécurisées pour empêcher le déclenchement de fausses alertes.

18

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseGestion des stratégies

2

Gestion des stratégies Une stratégie est un ensemble de paramètres Host Intrusion Prevention à configurer à partir de la console ePolicy Orchestrator et à appliquer aux clients Host Intrusion Prevention. Les stratégies vous permettent de garantir que les logiciels de sécurité des systèmes gérés sont configurés pour répondre aux besoins de votre environnement.

La console ePolicy Orchestrator vous permet de configurer les stratégies Host Intrusion Prevention depuis un emplacement centralisé. Elles sont contenues dans le fichier NAP de Host Intrusion Prevention, ajouté au référentiel maître lors de l'installation de Host Intrusion Prevention.

Application des stratégiesLorsque vous modifiez des stratégies Host Intrusion Prevention sur la console ePolicy Orchestrator, les modifications effectuées sont effectives au prochain intervalle de communication agent-serveur (ASCI). Cet intervalle est configuré par défaut sur 60 minutes.

Les stratégies Host Intrusion Prevention peuvent être appliquées immédiatement, si vous exécutez un appel de réactivation depuis la console ePolicy Orchestrator.

Stratégies et catégories de stratégies Les informations des stratégies de chaque produit sont regroupées par catégorie. Chaque catégorie de stratégie représente un sous-ensemble spécifique de stratégies. Dans le Catalogue des stratégies, les catégories de stratégies d'un produit s'affichent lorsque vous développez le nom du produit.

Une stratégie nommée est un ensemble configuré de définitions de stratégies pour une catégorie de stratégie spécifique. Vous pouvez créer, modifier ou supprimer autant de stratégies nommées que nécessaire pour chaque catégorie de stratégie. Dans le Catalogue des stratégies, les stratégies nommées pour une catégorie spécifique s'affichent lorsque vous développez le nom de la catégorie.

Chaque catégorie de stratégie contient une stratégie nommée Stratégie globale par défaut. Vous ne pouvez ni modifier, ni supprimer cette stratégie.

Figure 2-1 Catalogue des stratégies

19

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseGestion des stratégies

2

Deux catégories de stratégies Host Intrusion Prevention, les Règles IPS et les applications sécurisées, vous permettent d'affecter plusieurs instances de stratégies nommées et proposent un profil de stratégies IPS et d'applications pouvant être appliquées.

Héritage et affectation des stratégies Les stratégies s'appliquent à n'importe quel nœud de l'arborescence Répertoire de la console, par héritage ou affectation. L'héritage détermine si les paramètres de stratégie d'un nœud sont issus de son parent. Par défaut, l'héritage s'applique à l'ensemble du Répertoire. Vous pouvez bloquer l'héritage par une affectation directe de stratégie. Host Intrusion Prevention, géré par ePolicy Orchestrator, vous permet de créer des stratégies et de les affecter sans tenir compte de l'héritage. Si vous bloquez cet héritage en affectant une nouvelle stratégie à un niveau quelconque du Répertoire, tous les nœuds enfants héritent de cette nouvelle stratégie.

Propriété des stratégiesToutes les stratégies étant disponibles, il est nécessaire d'affecter un propriétaire à chaque stratégie. Par défaut, le propriétaire d'une stratégie est l'administrateur global ou l'administrateur de site qui l'a créée.

La propriété garantit que personne d'autre que le propriétaire ou un administrateur global ne peut modifier la stratégie nommée. Tout administrateur peut utiliser toute stratégie figurant dans le Catalogue des stratégies, mais seul son propriétaire ou un administrateur global est autorisé à la modifier.

Si vous affectez une stratégie qui ne vous appartient pas à des nœuds du Répertoire dont vous êtes responsable et si le propriétaire de la stratégie la modifie, les modifications s'appliqueront à tous les systèmes auxquels cette stratégie est affectée.

Verrouillage de l'affectation de stratégieUn administrateur global peut verrouiller l'affectation d'une stratégie à n'importe quel emplacement du Répertoire. Le verrouillage de l'affectation de stratégie empêche les autres utilisateurs de transférer l'affectation d'une stratégie à une autre. Il est hérité avec la stratégie.

Le verrouillage de l'affectation d'une stratégie est utile lorsque l'administrateur global configure et affecte une stratégie spécifique au niveau supérieur du Répertoire, pour s'assurer qu'aucun autre utilisateur ne la remplace à aucun niveau du Répertoire.

Figure 2-2 Profil de deux instances de stratégie d'application sécurisée

Conseil

Pour utiliser et contrôler une stratégie appartenant à un autre administrateur, dupliquez la stratégie, puis affectez cette copie.

Remarque

Cela n'empêche en aucun cas le propriétaire de la stratégie de modifier les paramètres de la stratégie nommée. Par conséquent, si vous envisagez de verrouiller l'affectation d'une stratégie, assurez-vous que vous en êtes le propriétaire.

20

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseDéploiement et gestion

2

Déploiement et gestionLe déploiement et la gestion des clients Host Intrusion Prevention sont pris en charge par ePolicy Orchestrator. Dans l'arborescence de la console ePO, vous pouvez regrouper les clients de façon hiérarchique par attributs. Par exemple, vous pouvez regrouper un premier niveau de clients par emplacement géographique et un deuxième par plate-forme de système d'exploitation ou par adresse IP. Nous vous recommandons de regrouper les clients selon les critères de configuration de Host Intrusion Prevention, notamment le type de système (serveur ou poste), les applications principalement utilisées (Web, base de données ou serveur de messagerie) et les emplacements stratégiques (DMZ ou Intranet). Vous pouvez placer les clients correspondant à un profil d'usage commun dans un groupe commun de l'arborescence de la console. En fait, vous pouvez nommer un groupe d'après son profil d'usage, par exemple, serveurs Web.Une fois les ordinateurs regroupés selon leur type, fonction ou emplacement dans l'arborescence de la console, vous pouvez organiser de la même manière les fonctions administratives. À l'aide de Host Intrusion Prevention, vous avez également la possibilité de répartir les tâches administratives selon les fonctions du produit, telles que IPS ou pare-feu.Dans cette version de Host Intrusion Prevention et d'ePolicy Orchestrator, les stratégies sont des entités indépendantes pouvant être partagées entre plusieurs nœuds. Vous affectez une stratégie pour chaque catégorie dans une fonction de Host Intrusion Prevention. Certaines catégories, telles que les règles IPS, peuvent contenir plusieurs stratégies, soit héritées d'un nœud parent, soit appliquées au nœud lui-même. Dans cette instance, Host Intrusion Prevention règle les conflits en appliquant en premier la règle la plus stricte. Dans la fonction Héritage d'ePolicy Orchestrator, lorsque vous affectez les stratégies appropriées au nœud de groupe, chaque système placé sous ce nœud hérite automatiquement de la configuration de son parent. Il est facile de déployer les clients Host Intrusion Prevention sur des milliers de systèmes car la plupart des clients correspondent à quelques profils d'usage. La gestion d'un déploiement étendu se réduit à la gestion de quelques règles de stratégies. Lorsque le déploiement s'élargit, les nouveaux systèmes ajoutés doivent correspondre à un ou plusieurs profils existants et peuvent être placés dans le nœud de groupe correct de l'arborescence de la console.

Protection programméeHost Intrusion Prevention offre une protection de base grâce aux paramètres de stratégie McAfee par défaut. Cette protection prête à l'emploi ne demande aucun réglage et génère peu d'événements. Les clients peuvent être déployés à grande échelle, avant même que le déploiement ne soit configuré. Pour beaucoup d'environnements, dans lesquels le client est installé sur des stations de travail ou des ordinateurs portables, cette protection de base peut suffire.La protection avancée est également disponible à partir de stratégies IPS et de pare-feu programmées. Par exemple, un profil pour serveurs requiert une protection plus importante que celle de base offerte pour les stations de travail. Vous pouvez également utiliser les stratégies de protection avancée programmées pour créer des stratégies personnalisées.

Mode spéculatif et mode d'apprentissagePour affiner les paramètres de protection, les clients Host Intrusion Prevention peuvent créer, côté client, des règles d'exceptions aux stratégies imposées par le serveur qui bloquent une activité légitime. La création de règles du client est autorisée lorsque les clients sont en mode Spéculatif ou Apprentissage. En mode spéculatif, disponible pour les fonctions IPS, de pare-feu et de blocage d'application, les règles du client sont créées sans interaction de la part de l'utilisateur. En mode d'apprentissage, disponible pour les fonctions de pare-feu et de blocage d'application, l'utilisateur doit indiquer au système si une règle du client doit être créée ou non.

21

McAfee® Host Intrusion Prevention 6.1 Guide produit Concepts de baseDéploiement et gestion

2

Dans les deux modes, les événements sont tout d'abord analysés pour les attaques les plus dangereuses, telles que le Buffer Overflow. Si l'activité est considérée comme normale et nécessaire pour l'entreprise, les clients Host Intrusion Prevention créent des règles du client pour autoriser des opérations qui seraient normalement bloquées. En plaçant les clients en mode spéculatif ou en mode d'apprentissage, vous avez la possibilité de personnaliser leur configuration. Host Intrusion Prevention vous permet d'adopter une, plusieurs, toutes ou aucune des règles du client pour les convertir en stratégies autorisées par le serveur. Les modes spéculatif et d'apprentissage peuvent être désactivés à tout moment afin de renforcer la protection de prévention des intrusions du système.

Dans les grandes organisations, la poursuite des activités professionnelles sans aucune perturbation prend souvent le pas sur les préoccupations de sécurité. Par exemple, vous pouvez, de temps à autre, avoir besoin d'installer de nouvelles applications sur les ordinateurs clients et il est probable que vous ne disposiez pas du temps et des ressources nécessaires pour les configurer directement. Host Intrusion Prevention vous permet de placer des clients spécifiques en mode spéculatif pour une protection IPS. Ces ordinateurs peuvent personnaliser ces nouvelles applications et transférer au serveur les règles du client qui en résultent. L'administrateur peut promouvoir ces règles du client sur une stratégie nouvelle ou existante, puis appliquer cette stratégie à d'autres ordinateurs pour prendre en charge le nouveau logiciel.

Réglage finPour le déploiement de Host Intrusion Prevention, vous devez identifier quelques profils d'usage et leur créer des stratégies. La meilleure manière d'y parvenir consiste à installer un déploiement test, puis à commencer à réduire le nombre de faux positifs et d'événements générés. Ce processus est appelé réglage fin.

Des règles IPS plus strictes, par exemple, offrent des signatures supplémentaires pour cibler une gamme plus vaste de violations et générer bien plus d'événements que dans un environnement de base. Si vous appliquez la protection avancée, nous vous recommandons d'en décaler l'impact en utilisant la stratégie de protection IPS. Cela suppose d'appliquer un niveau de gravité (Élevé, Moyen, Faible et Information) à chaque réaction (Empêcher, Consigner ou Ignorer). En définissant un niveau de gravité pour chaque réaction, excepté Élevé pour Ignorer, seules les signatures d'un niveau de gravité élevé s'appliqueront. Les autres niveaux pourront être progressivement augmentés lors des processus de réglage fin.

Vous pouvez réduire le nombre de faux positifs en créant des règles d'exception, des applications sécurisées et desrègles de pare-feu. Les règles d'exception permettent de ne pas prendre en compte une stratégie de sécurité dans des circonstances spécifiques. Les applications sécurisées sont des processus d'application toujours autorisés. Les règles de pare-feu autorisent ou non le trafic et définissent l'autorisation ou le blocage des transmissions de paquets.

RapportsLes rapports fournissent des informations sur des éléments spécifiques et pouvant être filtrées en sous-ensembles ; par exemple, les événements de niveau de gravité élevé signalés par des clients particuliers sur une période spécifiée. Les rapports peuvent être planifiés et envoyés sous forme de courrier électronique.

22

3 Utilisation d'ePolicy Orchestrator

Utilisez ePolicy Orchestrator pour configurer et gérer Host Intrusion Prevention, qui comprend les tâches de base suivantes :

Installer/ archiver les fichiers de serveur et le package client de Host Intrusion

Prevention.

Utilisez le programme d'installation de Host Intrusion Prevention pour archiver les fichiers de serveur, y compris un fichier NAP, le contenu avec les règles et signatures par défaut et les rapports dans le Répertoire d'ePolicy Orchestrator. Archivez le package client de Host Intrusion Prevention dans le Répertoire d'ePolicy Orechestrator. Pour plus de détails, référez-vous au Guide d'installation de Host Intrusion Prevention 6.0.

Déployer des clients Host Intrusion Prevention.

Utilisez la console ePolicy Orchestrator pour déployer des clients Host Intrusion Prevention sur les ordinateurs de l'arborescence de la console du Répertoire. Pour plus de détails, référez-vous au Guide produit ePolicy Orchestrator 3.6.

Configurer les stratégies Host Intrusion Prevention.

Configurez les stratégies IPS, de pare-feu, de blocage d'application et les stratégies générales à appliquer aux clients. Les paramètres par défaut de chaque stratégie fournissent une protection de base, mais, pour une sécurité plus stricte, vous devez régler le déploiement et configurer les stratégies selon les exigences de votre environnement. Reportez-vous aux chapitres correspondants de ce guide pour plus de détails.

Affecter des propriétaires à des stratégies dans le Catalogue des stratégies.

La propriété est affectée dans le Catalogue des stratégies. Pour plus de détails, référez-vous au Guide produit ePolicy Orchestrator 3.6.

Envoyer des informations de mise à jour de stratégie Host Intrusion

Prevention à des clients.

ePolicy Orchestrator envoie des informations mises à jour aux clients Host Intrusion Prevention. Les clients appliquent les stratégies, collectent les informations d'événements et retransmettent ces informations à ePolicy Orchestrator. L'interaction entre le client et le serveur est déterminée par les paramètres de stratégie d'agent ePolicy Orchestrator. Pour plus de détails, référez-vous au Guide produit ePolicy Orchestrator 3.6.

Configurer des notifications dans ePolicy Orchestrator pour les événements

Host Intrusion Prevention.

Pour plus de détails, référez-vous au Guide produit ePolicy Orchestrator 3.6.

Exécuter des rapports dans ePolicy Orchestrator pour afficher les résultats des

événements et de la protection.

Les informations d'activité des clients Host Intrusion Prevention sont envoyées à ePolicy Orchestrator et stockées dans sa base de données. Utilisez la console pour exécuter des rapports relatifs à la protection Host Intrusion Prevention.

23

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations d'ePolicy Orchestrator utilisées avec Host Intrusion Prevention

3

Vous trouverez plus d'informations sur l'utilisation de Host Intrusion Prevention avec ePolicy Orchestrator dans les rubriques suivantes :

Opérations d'ePolicy Orchestrator utilisées avec Host Intrusion Prevention

Opérations de Host Intrusion Prevention

Opérations d'ePolicy Orchestrator utilisées avec Host Intrusion Prevention

Certaines fonctionnalités de base de Host Intrusion Prevention sont prises en charge par ePolicy Orchestrator. L'utilisation de ces fonctions est détaillée dans la documentation d'ePolicy Orchestrator. Ce document propose une brève présentation de ces fonctions, avec des explications plus détaillées pour les thèmes spécifiques à Host Intrusion Prevention.

Console ePolicy OrchestratorUtilisez la console ePolicy Orchestrator pour gérer Host Intrusion Prevention. Pour plus de détails, référez-vous au Guide produit ePolicy Orchestrator 3.6.

La console ePolicy Orchestrator comprend deux éléments principaux : une arborescence de console et un volet de détails.

L'arborescence de console est le volet de navigation qui vous permet de sélectionner les nœuds ePolicy Orchestrator (ordinateurs, groupes et sites) dans le Répertoire et d'appliquer les stratégies Host Intrusion Prevention. En outre, l'arborescence contient des liens vers les autres principales fonctions de l'interface de la console, notamment le Catalogue des stratégies, les Notifications et les Rapports.

Le volet de détails affiche les paramètres de fonctionnalité du nœud sélectionné dans l'arborescence de la console.

Figure 3-1 Console ePolicy Orchestrator

24

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations d'ePolicy Orchestrator utilisées avec Host Intrusion Prevention

3

Gestion des stratégiesUne stratégie est un ensemble de paramètres de logiciel que vous pouvez créer, configurer et appliquer. Vous pouvez appliquer des stratégies par défaut ou créer et appliquer des stratégies personnalisées à tout nœud du Répertoire auquel vous avez accès. Vous pouvez configurer et affecter des stratégies avant ou après le déploiement d'un produit. Chaque catégorie de stratégie indique si la stratégie s'applique uniquement à un client Windows (Windows) ou à tous les clients Windows, Solaris et Linux (Toutes les plates-formes).

Vous pouvez choisir d'appliquer toutes les sélections de stratégie à un nœud du Répertoire ou de n'en appliquer aucune.

La page Affecter les stratégies, qui s'affiche lors de la sélection d'un nœud, permet d'appliquer des stratégies à des produits ou à des fonctions de produit.

La page Catalogue des stratégies permet d'afficher les affectations et les propriétaires de stratégie.

Figure 3-2 Page Affecter les stratégies

Figure 3-3 Catalogue des stratégies

25

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

Affectation de propriétaires aux stratégiesToutes les stratégies Host Intrusion Prevention auxquelles vous avez accès sont disponibles depuis la page Catalogue des stratégies. Pour empêcher tout utilisateur de modifier des stratégies appartenant à d'autres utilisateurs, un propriétaire est affecté à chaque stratégie : l'administrateur global ou l'administrateur de site qui l'a créée.

Seul le créateur ou l'administrateur global d'une stratégie peut modifier ou supprimer celle-ci. Tout administrateur peut appliquer une stratégie dans la page Catalogue des stratégies, mais seul le propriétaire ou l'administrateur global peut la modifier.

Génération de notificationsLes notifications par e-mail, récepteur et service de piège SNMP vous alertent de tout événement se produisant sur les clients Host Intrusion Prevention ou sur le serveur lui-même. Vous pouvez configurer ces règles pour envoyer des messages, des pièges SNMP ou pour exécuter des commandes externes lors de la réception d'événements spécifiques Host Intrusion Prevention et de leur traitement sur le serveur ePolicy Orchestrator. La fonction de notification, presque entièrement configurable, permet de spécifier les catégories d'événement générant un message de notification et la fréquence d'envoi des notifications.

Génération des rapportsLes clients Host Intrusion Prevention présents sur les systèmes clients envoient des informations utiles au serveur. Ces informations sont stockées dans une base de données de rapports. Elles peuvent faire l'objet de rapports et de requêtes compilés par vos soins. Il existe 8 rapports prédéfinis, qui peuvent être classés en deux catégories principales : les rapports IPS et les rapports de pare-feu. Pour plus d'informations, consultez la section Exécution de rapports, page 125.

Opérations de Host Intrusion PreventionVous trouverez ci-après une brève présentation des caractéristiques spécifiques de Host Intrusion Prevention. L'utilisation des fonctions est détaillée dans ce document.

Installation du serveur Host Intrusion Prevention Vous devez installer le serveur d'administration avant de pouvoir déployer des clients. Pour obtenir des instructions détaillées, référez-vous au Guide d'installation de Host Intrusion Prevention.

Conseil

Si vous affectez une stratégie qui ne vous appartient pas à des segments du Répertoire, soyez conscient que, si le propriétaire de la stratégie la modifie, les modifications s'appliqueront à tous les nœuds auxquels cette stratégie est affectée. Pour utiliser une stratégie appartenant à un autre administrateur, dupliquez la stratégie, puis affectez cette copie au nœud.

26

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

Déploiement des clients Host Intrusion Prevention.Les clients constituent l'élément qui fournit la protection lors d'un déploiement Host Intrusion Prevention. L'idéal serait que chaque entreprise dispose d'un logiciel client pour protéger ses systèmes. Nous vous recommandons d'effectuer un déploiement par phase :

Déterminez votre plan de déploiement de clients initial. Même si vous déployez des clients Host Intrusion Prevention pour chaque hôte (serveurs et postes de travail) de votre entreprise, nous vous recommandons de commencer par installer des clients sur un nombre limité de systèmes représentatifs et de régler leur configuration. Une fois le déploiement affiné, vous pourrez déployer un plus grand nombre de clients et renforcer les stratégies, les exceptions et les règles client créées dans le déploiement initial.

Établissez une convention de nommage de vos clients. Les clients sont identifiés par nom dans l'arborescence de la console, dans certains rapports et dans les données d'événement générées par activité sur le client. Les clients peuvent porter le nom de l'hôte sur lequel ils sont installés ou vous pouvez affecter un nom spécifique au client lors de l'installation. Nous vous recommandons d'établir une convention de nommage des clients facile à interpréter par toute personne travaillant au déploiement Host Intrusion Prevention.

Installer les clients. Les clients sont installés avec un ensemble par défaut de stratégies générales de règles IPS, de pare-feu et de blocage d'application. Les nouvelles stratégies contenant des règles mises à jour peuvent être, par la suite, extraites du serveur.

Regrouper les clients de manière logique. Les clients peuvent être regroupés selon n'importe quel critère correspondant à la hiérarchie de l'arborescence de la console. Par exemple, vous pouvez regrouper les clients selon leur emplacement géographique, leur fonction ou les caractéristiques du système.

Pour obtenir des instructions détaillées, référez-vous au Guide d'installation de Host Intrusion Prevention.

Affichage et utilisation des données du client Après l'installation et le regroupement de vos clients, votre déploiement est terminé. Vous devez commencer à voir les événements déclenchés par les activités sur les clients en cas de violation de la stratégie de sécurité IPS définie. Si vous avez configuré les clients en Mode spéculatif, vous devez pouvoir visualiser les règles du client indiquant les règles d'exceptions du client en cours de création. L'analyse de ces données marque le début du réglage du déploiement.

Pour analyser les données d'événement, affichez l'onglet Événement IPS dans la fonction IPS. Vous pouvez développer les détails d'un événement, tels que son processus déclencheur, sa date de génération et son client générateur. Analysez l'événement et prenez les mesures adaptées pour régler le déploiement Host Intrusion Prevention et répondre de manière plus efficace aux diverses attaques. L'onglet Événement IPSaffiche les signatures par défaut de prévention des intrusions sur la base des clients et du réseau, ainsi que les signatures personnalisées sur la base des hôtes.

Pour analyser les règles du client, affichez l'onglet Règles du client. Les règles du client s'affichent également dans les fonctions de pare-feu et de blocage d'application. Vous pouvez visualiser les règles en cours de création, les agréger afin de trouver les règles communes les plus répandues et en déplacer une directement dans une stratégie pour l'appliquer à d'autres clients

27

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

En outre, la fonction Rapport fournit des rapports détaillés basés sur les événements, les règles du client et la configuration de Host Intrusion Prevention. Utilisez ces rapports pour transmettre l'activité d'environnement à d'autres membres de votre équipe ou à vos supérieurs.

Définition des clients en Mode spéculatif ou d'apprentissageL'une des principales étapes du processus de réglage consiste à définir les clients Host Intrusion Prevention en Mode spéculatif pour IPS, le pare-feu et le blocage d'application ou en Mode d'apprentissage pour le pare-feu et le blocage d'application. Ces modes permettent aux clients de créer des règles d'exception du client pour les stratégies d'administration. Le Mode spéculatif effectue cette opération automatiquement sans interaction de l'utilisateur, alors que le Mode d'apprentissage requiert l'intervention de ce dernier afin qu'il transmette des ordres au système lorsqu'un événement est généré.

Ces deux modes analysent d'abord les événements pour les attaques les plus dangereuses, telles que le Buffer overflow. Si l'activité est considérée comme normale et nécessaire pour l'entreprise, des règles d'exception du client sont créées. En définissant des clients représentatifs en Mode spéculatif ou en Mode d'apprentissage, vous avez la possibilité de personnaliser leur configuration. Host Intrusion Prevention vous permet d'adopter une, plusieurs, toutes ou aucune des règles du client pour les convertir en stratégies autorisées par le serveur. Une fois ce réglage terminé, désactivez les deux modes afin de renforcer la protection système de prévention des intrusions.

Exécuter les clients en Mode spéculatif ou d'apprentissage pendant au moins une semaine. Cela permet aux clients d'être confrontés à toutes les activités prévues. Essayez d'effectuer cette opération lors d'une activité planifiée, telle qu'une sauvegarde ou un processus de script.

Chaque activité étant prise en compte, les événements IPS sont générés et les exceptions créées. Les exceptions sont des activités considérées comme des comportements légitimes. Par exemple, une stratégie peut juger certains processus de script indésirables mais certains systèmes utilisés par vos groupes techniques doivent effectuer de telles tâches. Autorisez la création de ces exceptions pour ces systèmes afin qu'ils puissent continuer à fonctionner normalement tout en conservant le blocage de cette activité sur d'autres systèmes. Ensuite, stockez ces exceptions dans une stratégie autorisée par le serveur afin de couvrir uniquement le groupe technique.

Vous pouvez avoir des applications de logiciel, nécessaires pour les activités de certains services de votre entreprise, mais interdites pour d'autres. Par exemple, vous pouvez autoriser le système de messagerie instantanée dans vos services d'ingénierie et de support technique et bloquer son utilisation dans vos services financiers et de ressources humaines. L'application peut être définie comme une application sécurisée sur les systèmes de vos services d'ingénierie et de support technique afin que les utilisateurs puissent y accéder en intégralité.

La fonction de pare-feu agit comme un filtre entre le système et le réseau ou Internet. Le pare-feu analyse tout le trafic entrant et sortant, sous forme de paquets. Parallèlement à l'examen des paquets entrants et sortants, le pare-feu vérifie sa liste de règles de pare-feu, qui est un ensemble de critères accompagnés d'actions associées. Si un paquet correspond à tous les critères d'une règle, le pare-feu entreprend l'action spécifiée par cette dernière : l'autorisation ou le blocage.

28

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

Configuration des stratégiesLes stratégies sont les règles définies pour chaque ordinateur sur un réseau protégé par Host Intrusion Prevention. Le client Host Intrusion Prevention des systèmes clients reçoit les mises à jour de ces stratégies à intervalles réguliers.

Sélectionnez un nœud dans l'arborescence de la console, plus précisément dans le Répertoire, pour afficher les fonctions disponibles dans le volet de détails, sur l'onglet Stratégies. Elles comprennent :

Stratégies générales

Stratégies IPS

Stratégies de pare-feu

Stratégies de blocage d'application

Cliquez sur la flèche bas pour faire apparaître les catégories disponibles pour chaque fonction. Référez-vous aux sections correspondantes de ce guide pour obtenir des détails sur chacune de ces fonctions.

Alertes d'affichage de stratégieLorsque vous affichez les détails d'une stratégie Host Intrusion Prevention, il peut vous être demandé de faire confiance à une applet Java signée, requise pour afficher le contenu de la stratégie. Si cette alerte s'affiche, cliquez sur Oui (ou sur Toujours) pour afficher les détails de la stratégie.

Figure 3-4 Avertissement de sécurité de l'applet Java

29

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

Certaines stratégies de la fonction de pare-feu requièrent un contrôle ActiveX. Lors l'ouverture de l'une de ces stratégies, il peut vous être demandé d'exécuter le contrôle requis pour afficher le contenu de la stratégie. Si cette alerte s'affiche, cliquez sur Oui pour afficher les détails de la stratégie.

Réglage finUne fois le logiciel Host Intrusion Prevention installé, McAfee recommande de le directement afin que la sécurité soit la plus stricte possible sans créer de conflits avec les activités quotidiennes. Les stratégies par défaut de Host Intrusion Prevention sont adaptées à une large gamme d'environnements clients et peuvent répondre à vos besoins. Pour affiner le réglage des stratégies de manière à ce qu'elles soient adaptées à votre configuration, nous vous recommandons d'observer la méthode suivante :

Définissez clairement votre configuration de sécurité Host Intrusion Prevention. Définissez des responsables pour configurer chaque partie spécifique du système et attribuez-leur l'accès approprié.

Modifiez la protection IPS par défaut ou les stratégies de règles de pare-feu, fournissant des niveaux croissants de protection programmée.

Modifiez les degrés de gravité des signatures spécifiques. Par exemple, lorsqu'une signature est déclenchée quotidiennement par des utilisateurs, il est préférable d'abaisser son degré de gravité. Pour plus d'informations, consultez la section Configuration de la stratégie Protection IPS, page 38.

Configurez les notifications visant à alerter des utilisateurs spécifiques lorsqu'un événement particulier se produit. Par exemple, une notification peut être envoyée lorsqu'une activité, entraînant un événement de gravité élevée, se produit sur un serveur spécifique. Pour plus d'informations, consultez la section Configuration des notifications pour les événements, page 123.

Figure 3-5 Avertissement de sécurité du contrôle Active X

30

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

Utilisation de l'aideePolicy Orchestrator et Host Intrusion Prevention fournissent une aide en ligne. Cliquez sur le bouton Aide de la barre d'outils d'ePolicy Orchestrator ou des volets de détails de la console pour activer l'aide d'ePolicy Orchestrator. Cliquez sur le bouton Aide de la page Paramètres de stratégie ou des boîtes de dialogue de l'application pour activer l'aide de Host Intrusion Prevention.

La fenêtre d'Aide de Host Intrusion Prevention fournit des informations sur la stratégie ou la boîte de dialogue depuis laquelle elle a été activée. Les liens de rubriques associées vous permettent d'accéder à des instructions pour exécuter certaines tâches. Vous pouvez obtenir des informations supplémentaires en consultant la table des matières, l'index ou la fonction de recherche.

Procédures de navigation dans l'aide

Pour... Faites cela...

Retourner à la page d'origine ou à celle à partir de laquelle vous avez sélectionné un lien.

Cliquez sur Précédente dans le menu de raccourci.

Remarque : N'utilisez pas les boutons Précédente ou Suivante. Ils sont utilisés pour pouvoir naviguer dans l'ordre linéaire des pages de la table des matières.

Afficher la table des matières, l'index et effectuer une recherche à partir de l'écran d'aide

Cliquez sur (Afficher la navigation).

Indiquer l'emplacement de la page dans la table des matières.

Cliquez sur (Afficher dans le sommaire).

Remarque : Certaines pages sont spécifiques à l'aide et n'apparaissent pas dans la table des matières.

Naviguer page à page dans l'Aide, dans l'ordre de la table des matières Cliquez sur (Précédente et Suivante).

Afficher les rubriques d'aide associées. Cliquez sur (Liens associés).

Rechercher un élément par ordre alphabétique dans l'index

Cliquez sur Index dans le volet gauche.

Imprimer une page

Cliquez sur (Imprimer) ou cliquez sur Imprimer dans le menu de raccourci.

Créer un signet sur une page de navigateur HTML Cliquez sur (Signet).

Mener une recherche Cliquez sur Rechercher dans le volet de navigation, saisissez le ou les mots à rechercher, puis cliquez sur OK.

Supprimer le texte en surbrillance sur une page après une recherche

Cliquez sur Actualiser dans le menu de raccourci.

31

McAfee® Host Intrusion Prevention 6.1 Guide produit Utilisation d'ePolicy OrchestratorOpérations de Host Intrusion Prevention

3

Aide dans l'interface utilisateurUne brève description du rôle d'un onglet ou d'une boîte de dialogue apparaît sur l'élément lui-même.

Une description de chaque bouton de la barre d'outils apparaît lorsque vous placez le de la souris dessus. Pour connaître les icônes qui renferment des informations, consultez le tableau suivant :

Tableau 3-1 Icones Host Intrusion Prevention

Événements IPS/Signatures

Degré de gravité : Informatif

Degré de gravité : Faible

Degré de gravité : Moyen.

Degré de gravité : Élevé

Degré de gravité : Désactivé

Règles d'exception IPS

État : activé

État : désactivé

Réaction : Autoriser

Réaction : Bloquer

Note jointe

Règles de signature IPSProtection contre les intrusions réseau

Protection personnalisée contre les intrusions au niveau des hôtes

Règles de pare-feu/ de quarantaine/ de blocage d'application

Direction : Entrant

Direction : Sortant

Direction : Entrant et sortant

Action : Autoriser

Action : Bloquer

Considérer une correspondance à la règle comme une intrusion

Limiter la règle à la fréquence définie

32

4 Stratégies IPS

La fonction IPS (Intrusion Prevention System) de Host Intrusion Prevention protège les ordinateurs grâce à une technologie de prévention des intrusions des hôtes. Les stratégies IPS activent et désactivent la protection IPS, fixent le niveau de réaction en fonction des événements et fournissent des détails sur les exceptions, les signatures, les règles de protection d'applications, les événements et les exceptions engendrées par les clients.

Cette section décrit le fonctionnement de la fonction IPS de Host Intrusion Prevention et comprend les rubriques suivantes :

Présentation

Configuration de la stratégie Options IPS

Configuration de la stratégie Protection IPS

Configuration de la stratégie Règles IPS

Description détaillée de la stratégie Règles IPS

Événements IPS

Règles IPS du client

Recherche de règles d'exception IPS

Présentation Les clients de Host Intrusion Prevention disposent d'une base de données des règles de signature IPS qui détermine si l'activité de l'ordinateur client est bienveillante ou malveillante. Lorsqu'une activité malveillante est détectée, des alertes identifiées comme des événements sont envoyées à la console ePO et apparaissent dans la stratégie Règles IPS de Host Intrusion Prevention.

Le niveau de protection des signatures défini dans la stratégie de Protection IPS détermine quelle action un client entreprend lorsqu'un événement se produit. Les réponses ou les réactions incluent, ignorent, consignent ou empêchent l'activité.

Les événements constituant de faux positifs qui résultent d'une activité légitime peuvent être annulés par la création d'une exception à la règle de signature ou par la dénomination d'applications comme sécurisées. Des clients en mode spéculatif créent automatiquement des exceptions, appelées règles du client. Des administrateurs peuvent créer manuellement des exceptions à n'importe quel moment.

La surveillance des événements se produisant et les règles d'exception du client créées aident à déterminer comment régler le déploiement pour une meilleure protection IPS.

33

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSPrésentation

4

Règles de signature IPS hôte et réseauLes attaques peuvent suivre un modèle de signature de caractères. Cette signature peut identifier et empêcher des activités malveillantes. Par exemple, une signature est définie pour chercher la chaîne ../ dans une URL Web. Lorsque la signature est activée et que le système rencontre cette chaîne, un événement est déclenché.

L'approche basée sur les signatures, avec à la fois les signatures IPS de l'hôte et du réseau, est le procédé de détection le plus utilisé dans la détection des intrusions et constitue l'un des mécanismes utilisés par Host Intrusion Prevention. Une base de données des règles de signature est installée avec chaque client et mise à jour dès la découverte de nouveaux types d'attaques.

Les signatures sont classées par niveau de gravité et par description du danger entraîné par une attaque. Elles sont conçues pour des applications et des systèmes d'exploitation spécifiques. La majeure partie des signatures protègent l'ensemble du système d'exploitation, alors que d'autres sont destinées à des applications spécifiques.

Host Intrusion Prevention dispose de la plupart des signatures IPS et de quelques signatures IPS réseau supplémentaires.

HIPS (IPS hôte)La protection HIPS s'applique à des systèmes individuels tels que des serveurs, des postes de travail et des ordinateurs portables. Le client Host Intrusion Prevention assure la protection du système en inspectant le trafic entrant et sortant et en étudiant le comportement des applications et du système d'exploitation, à la recherche d'une attaque. Lorsqu'une attaque est détectée, le client la bloque au niveau de la connexion au segment de réseau ou émet des commandes vers l'application ou le système d'exploitation pour mettre fin au comportement induit par l'attaque. Par exemple, il est possible d'empêcher le Buffer Overflow en bloquant les programmes malveillants insérés dans l'espace d'adresse exploité par une attaque. L'installation de programmes de backdoor (porte dérobée) en même temps que des applications telles qu'Internet Explorer peut être bloquée, en interceptant et en refusant la commande d'écriture du fichier dans l'application.

Avantages de l'IPS hôte :Protège des attaques, mais également des conséquences d'une attaque, telles que le blocage de l'écriture d'un fichier dans un programme.

Protège les ordinateurs portables contre les attaques lorsqu'ils se trouvent hors du réseau protégé.

Protège contre les attaques locales introduites via un CD, une carte mémoire ou une disquette. Ces attaques consistent généralement à changer les privilèges de l'utilisateur en « racine » ou « administrateur », afin de mettre en péril d'autres systèmes au sein du réseau.

Représente une dernière ligne de défense contre les attaques non détectées par les autres outils de sécurité.

Empêche les attaques internes ou une utilisation inappropriée des périphériques situés sur le même segment de réseau.

Protège contre les attaques dans lesquelles le flux de données cryptées s'arrête au niveau du système protégé, par l'examen des données cryptées et du comportement.

Structure indépendante de l'architecture réseau, ce qui permet une protection des systèmes sur les architectures réseau obsolètes ou inhabituelles, de type Token Ring ou FDDI.

34

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSPrésentation

4

NIPS (IPS réseau)La protection NIPS est également appliquée à des systèmes individuels. Toutes les données transmises entre le système protégé et le reste du réseau sont examinées, à la recherche d'une éventuelle attaque. Lorsqu'une attaque est identifiée, les données malveillantes sont supprimées ou bloquées.

Avantages de l'IPS réseau :Protège les systèmes situés en aval dans un segment de réseau.

Protège les serveurs et les systèmes qui y sont connectés.

Protège des attaques réseau de type déni de service et les attaques orientées bande passante, qui bloquent ou altèrent le trafic du réseau.

Règles comportementalesLes règles comportementales définissent un profil des activités légitimes. Une activité qui ne correspond pas au profil déclenche un événement. Par exemple, vous pouvez déterminer une règle comportementale définissant que seul un processus de serveur Web peut accéder à des fichiers Web. Si une autre procédure tente d'accéder au fichier Web, cette règle comportementale déclenche un événement.

Host Intrusion Prevention combine l'utilisation des règles de signature et des règles comportementales câblées. Cette méthode hybride d'identification des attaques détecte les attaques les plus connues ainsi que les attaques inconnues précédemment.

Stratégies IPS prédéfiniesLa fonction IPS Host Intrusion Prevention présente trois catégories de stratégies :

Options IPS : Cette stratégie active ou désactive à la fois la protection IPS de l'hôte et du réseau. Les stratégies prédéfinies comprennent Activé (valeur McAfee par défaut), Désactivé, Spéculatif.

Protection IPS : Cette stratégie détermine la réaction en fonction des événements. Les stratégies prédéfinies comprennent Base (par défaut pour McAfee), Préparer pour l'amélioration, Amélioration, Préparer pour le maximum, Maximum, Avertissement.

Règles IPS : Cette stratégie peut disposer d'une ou plusieurs instances de stratégie. La stratégie prédéfinie est la stratégie par défaut (valeur McAfee par défaut).

35

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSConfiguration de la stratégie Options IPS

4

Accès rapideLa fonction IPS offre des liens (*) pour un accès rapide afin de surveiller et de gérer les événements IPS, les règles IPS et les règles du client IPS.

Configuration de la stratégie Options IPSLa stratégie Options IPS joue le rôle d'interrupteur Marche/ Arrêt basique pour la protection IPS ; elle permet également d'activer le Mode spéculatif pour un client, d'autoriser le client à conserver les exceptions qu'il crée et de bloquer automatiquement les intrusions réseau. Vous pouvez sélectionner l'une des stratégies prédéfinies ou en créer une nouvelle.

Pour configurer la stratégie Options IPS :1 Développez la fonction IPS et cliquez sur Modifier, dans la ligne de catégorie

Options IPS.

2 Pour appliquer une stratégie prédéfinie, sélectionnez-la dans la liste des stratégies. Cliquez sur l'icône d'une stratégie pour afficher ses paramètres :

Figure 4-1 fonction IPS

*

Sélectionnez cette stratégie...

Pour ces options...

(Activé (valeur McAfee par défaut))

Activer l'IPS hôte

Activer l'IPS réseauBloquer automatiquement les intrus sur le réseau pendant 10 minutesConserver les hôtes bloquésConserver les règles du client

(Désactivé) Conserver les hôtes bloqués Conserver les règles du client

(Spéculatif) Activer l'IPS hôte

Activer l'IPS réseauConserver les hôtes bloquésActiver le mode spéculatifConserver les règles du client

36

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSConfiguration de la stratégie Options IPS

4

3 Cliquez sur Appliquer.

Pour créer une nouvelle stratégie Options IPS :1 Cliquez sur Modifier dans la ligne de catégorie Options IPS, puis sélectionnez Nouvelle

stratégie dans la liste des stratégies.

2 Dans la boîte de dialogue Créer une stratégie, sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Options IPS s'affiche.

3 Sélectionnez l'une des options suivantes :

Remarque

Créez et dupliquez une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

Figure 4-2 Options IPS

Sélectionnez... Pour activer...

Activer l'IPS hôte La protection IPS hôte.

Activer l'IPS réseau La protection IPS réseau

Bloquer automatiquement les intrus sur le réseau

Le blocage automatique par un client des intrusions sur le réseau pendant un laps de temps donné. Sélectionnez Jusqu'à suppression pour bloquer le trafic entrant et sortant jusqu'à ce qu'il soit manuellement supprimé de la liste bloquée sur le client ou pendant (minutes) pour un nombre de minutes spécifié.

37

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSConfiguration de la stratégie Protection IPS

4

4 Cliquez sur Appliquer, puis sur Fermer.

5 Cliquez sur Appliquer dans la ligne de catégorie Options IPS.

Configuration de la stratégie Protection IPSLa stratégie Protection IPS définit le comportement de protection pour les différents niveaux de gravité de signature. Les paramètres de cette stratégie indiquent aux clients la réaction à adopter en cas d'attaque ou de comportement suspect. L'un des quatre niveaux de gravité est affecté à chaque signature :

Élevé (rouge) : signature des menaces de sécurité ou des actions malveillantes clairement identifiables. Ces signatures sont spécifiques aux exploits bien identifiés et sont principalement de nature non comportementale. Ces signatures doivent être bloquées sur tous les systèmes.

Moyen (orange) : signature d'une activité comportementale où les applications fonctionnent en-dehors de leur champ d'action normal. Ces signatures doivent être bloquées sur les systèmes critiques, ainsi que sur les serveurs Web et les serveurs SQL.

Faible (jaune) : signatures d'activités comportementales où les ressources applicatives et système sont verrouillées et ne peuvent être modifiées. Le blocage de ces signatures améliore la sécurité du système sous-jacent, mais une configuration détaillée complémentaire est requise.

Information (bleu) : signature d'une activité comportementale où les ressources applicatives et système sont modifiées et peuvent indiquer un faible risque pour la sécurité ou une tentative d'accès à des informations système sensibles. À ce niveau, les événements se produisent lors de l'activité système normale et ne témoignent d'aucune attaque.

Ces niveaux indiquent un danger potentiel pour le système et vous permettent de définir des réactions spécifiques pour les différents niveaux de menace potentielle. Vous pouvez modifier ces niveaux de gravité et les réactions associées à chaque signature. Par exemple, lorsqu'une activité suspecte est détectée, mais qu'elle ne risque pas de causer de problème, vous pouvez choisir la réaction Ignorer. Lorsqu'une activité paraît dangereuse, vous pouvez choisir la réaction Bloquer.

Conserver les hôtes bloqués

Le blocage d'un hôte (adresse IP) par un client conformément aux paramètres définis dans Bloquer automatiquement les intrus sur le réseau. En cas d'absence de sélection, l'hôte est bloqué jusqu'à la prochaine actualisation des stratégies.

Activer le mode spéculatif La création automatique par un client de règles du client.

Ajouter automatiquement les applications à haut risque à la liste de protection d'applications

L'ajout automatique par un client à la liste des applications protégées, des applications qui sont ouvertes aux injections de code et qui, par conséquent, sont à haut risque.

Conserver les règles du client

La conservation par un client des règles du client qu'il a créées.

Remarque

Vous pouvez supprimer des stratégies uniquement dans la page Catalogue des stratégies de ePolicy Orchestrator, et seulement si vous êtes administrateur global.

Sélectionnez... Pour activer...

38

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSConfiguration de la stratégie Protection IPS

4

La stratégie Protection IPS contient plusieurs stratégies prédéfinies, parmi lesquelles vous pouvez faire votre choix. Si les stratégies prédéfinies ne contiennent pas la combinaison d'options souhaitée, créez une nouvelle stratégie et sélectionnez vous-mêmes les options de votre choix. Les options disponibles dans la boîte de dialogue Protection IPS varient en fonction de la stratégie sélectionnée.

Pour configurer la stratégie Protection IPS :1 Développez la fonction IPS et cliquez sur Modifier, dans la ligne de catégorie

Protection IPS.

2 Pour appliquer une stratégie prédéfinie, sélectionnez-la dans la liste des stratégies. Cliquez sur l'icône d'une stratégie pour afficher ses paramètres :

3 Cliquez sur Appliquer.

Pour créer une nouvelle stratégie de protection IPS :1 Cliquez sur Modifier dans la ligne de catégorie Gravité IPS, puis sélectionnez Nouvelle

stratégie dans la liste des stratégies.

2 Dans la boîte de dialogue Créer une stratégie, sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

Sélectionnez cette stratégie...

Pour ces options...

(Protection de base (valeur McAfee par défaut))

Bloquer les signatures ayant un niveau de gravité élevé et ignorer le reste.

(Protection améliorée) Bloquer les signatures ayant un niveau de gravité élevé et moyen et ignorer le reste.

(Protection maximum) Bloquer les signatures ayant un niveau de gravité élevé, moyen et faible et ignorer le reste.

(Préparer pour la protection améliorée)

Bloquer les signatures ayant un niveau de gravité élevé, consigner celles ayant un niveau moyen et ignorer le reste.

(Préparer pour la protection maximum)

Bloquer les signatures ayant un niveau de gravité élevé et moyen, consigner celles ayant un niveau faible et ignorer le reste.

(Avertissement) Consigner les signatures ayant un niveau de gravité élevé et ignorer le reste.

Remarque

Créez et dupliquez une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

39

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSConfiguration de la stratégie Protection IPS

4

La boîte de dialogue Options IPS s'affiche.

3 Sélectionnez le type de réaction pour chaque niveau de gravité :

4 Cliquez sur Appliquer, puis sur Fermer.

5 Cliquez sur Appliquer dans la ligne de catégorie Protection IPS.

Figure 4-3 Protection IPS

Pour cette option...

Sélectionnez...

Élevé Ignorer pour autoriser l'événement sans le consigner.

Consigner pour autoriser l'événement et le consigner.

Bloquer pour bloquer l'événement et le consigner.

Moyen Ignorer pour autoriser l'événement sans le consigner.

Consigner pour autoriser l'événement et le consigner.

Bloquer pour bloquer l'événement et le consigner.

Faible Ignorer pour autoriser l'événement sans le consigner.

Consigner pour autoriser l'événement et le consigner.

Bloquer pour bloquer l'événement et le consigner.

Information Ignorer pour autoriser l'événement sans le consigner.

Consigner pour autoriser l'événement et le consigner.

Remarque

Vous pouvez supprimer des stratégies uniquement dans la page Catalogue des stratégies de ePolicy Orchestrator, et seulement si vous êtes administrateur global.

40

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSConfiguration de la stratégie Règles IPS

4

Configuration de la stratégie Règles IPSContrairement à la plupart des catégories de stratégies, la stratégie Règles IPS peut avoir plusieurs profils de stratégies associés. Cette fonction vous permet de créer plusieurs stratégies définissant l'usage d'un client, son emplacement ou le type de système sur lequel il est installé, pour appliquer plus facilement les mesures de prévention contre les intrusions. Par exemple, pour un serveur IIS, vous pouvez appliquer une stratégie générale par défaut, une stratégie de serveur et une stratégie IIS, ces deux dernières étant configurées pour cibler spécifiquement les systèmes fonctionnant comme serveurs IIS. En outre, vous pouvez créer facilement de nouvelles stratégies si les nombreuses stratégies ne répondent pas à vos besoins.

Pour affecter des stratégies Règles IPS :1 Développez la fonction IPS et cliquez sur Modifier, dans la ligne de nom de stratégies

Règles IPS.

2 Pour appliquer une stratégie existante, sélectionnez-la dans la liste des stratégies. Cliquez sur le nom de la stratégie pour afficher ses détails.

3 Cliquez sur Appliquer.

4 Pour ajouter une autre stratégie, cliquez sur Affecter une stratégie supplémentaire, en haut de la section Règles IPS.

Une nouvelle ligne de stratégie apparaît.

5 Répétez les étapes 1 à 3.

Pour créer une nouvelle stratégie Règles IPS :1 Effectuez l'une des actions suivantes :

Cliquez sur Modifier sur la ligne de nom de stratégies Règles IPS.

Cliquez sur Affecter une stratégie supplémentaire, en haut de la liste Règles IPS.

2 Sélectionnez Nouvelle stratégie dans la liste de stratégies

3 Dans la boîte de dialogue Créer une stratégie, sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

4 Dans l'onglet Règles IPS, modifiez les éléments appropriés :

Exceptions (consultez la section Règles d'exception, page 42.)

Signatures (consultez la section Signatures, page 46.)

Règles de protection d'applications (consultez la section Signatures, page 46.)

5 Cliquez sur Fermer pour fermer la boîte de dialogue de stratégies Règles IPS.

6 Cliquez sur Appliquer sur la ligne de nom de stratégies Règles IPS.

Remarque

Vous pouvez supprimer des stratégies uniquement dans la page Catalogue des stratégies de ePolicy Orchestrator, et seulement si vous êtes administrateur global.

41

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Description détaillée de la stratégie Règles IPSLa stratégie Règles IPS vous permet de créer et d'appliquer une ou plusieurs stratégies qui définissent la configuration IPS. Ces stratégies doivent être basées sur l'usage courant, l'emplacement ou les droits et privilèges d'accès. Par exemple, vous pouvez affecter à un serveur IIS une stratégie globale, une stratégie du client de serveur et une stratégie IIS.

Chaque stratégie comprend :

Règles d'exception

Signatures

Règles de protection d'applications

Toutes les stratégies IPS disponibles sont répertoriées dans la liste de la boîte de dialogue Paramètres des stratégies des Règles IPS. Les stratégies appliquées au nœud sélectionné s'affichent en gras. Cliquez sur Stratégie en cours pour afficher toutes les règles d'exception, signatures et inclure/ exclure les règles associées au nœud sélectionné.

La boîte de dialogue Paramètres des stratégies des Règles IPS permet également d'accéder aux fonctions de stratégie IPS suivantes :

Événements IPS

Règles IPS du client

Recherche de règles d'exception IPS

Règles d'exceptionParfois, le comportement normal d'un utilisateur, dans le cadre de son travail, peut être interprété comme une menace ou une attaque. Cela s'appelle une fausse alerte. Pour éviter de fausses alertes, créez une exception pour ce comportement spécifique.

La fonction d'exceptions vous permet d'éliminer les fausses alertes, de réduire les transferts de données inutiles vers la console et de garantir que les alertes correspondent à des menaces véritables.

Par exemple, lors des procédures de test des clients, un client reconnaît la signature Outlook – Module exécutable suspect. Cette signature indique que l'application de messagerie électronique Outlook tente de modifier une application en-dehors de son champ d'action et de ses ressources habituels. Ainsi, un événement déclenché par cette signature est la cause d'une alerte, car il est possible qu'Outlook soit en train de modifier une application n'étant généralement pas associée à la messagerie électronique, par exemple Notepad.exe. Dans ce cas, vous pouvez raisonnablement suspecter qu'un cheval de Troie a pénétré le système. Toutefois, si le processus qui a déclenché l'événement est normalement responsable de l'envoi des messages électroniques, par exemple, la sauvegarde d'un fichier avec Outlook.exe, vous devez créer une exception autorisant cette action.

Vous pouvez afficher une liste des exceptions, puis les modifier ou en créer de nouvelles dans l'onglet Exceptions de la boîte de dialogue Règles IPS.

42

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Création de règles d'exceptionLorsque vous créez une règle d'exception, vous devez définir l'exception et indiquer la signature à laquelle elle s'applique. Vous pouvez créer une exception totalement nouvelle, dupliquer une exception existante ou utiliser un événement comme base.

Pour créer une exception :1 Effectuez l'une des actions suivantes :

Dans l'onglet Règles d'exception, cliquez sur Créer, dans le menu de raccourci ou dans la barre d'outils. Une boîte de dialogue vide Nouvelle exception s'affiche.

Dans l'onglet Règles d'exception, sélectionnez une exception existante et cliquez sur Dupliquer, dans le menu de raccourci ou dans la barre d'outils. Une boîte de dialogue pré-renseignée Dupliquer l'exception s'affiche.

Dans l'onglet Événements IPS, sélectionnez l'événement pour lequel vous souhaitez créer une exception, puis cliquez sur Créer une exception, dans le menu de raccourci ou dans la barre d'outils. Sélectionnez la stratégie dans laquelle vous souhaitez créer l'exception, puis cliquez sur OK. Une boîte de dialogue pré-renseignée Nouvelle exception s'affiche.

Figure 4-4 Onglet Règles IPS—Exceptions

43

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

2 Saisissez les données demandées dans chaque onglet, puis cliquez sur l'un des boutons suivants :

OK pour enregistrer les modifications et fermer la boîte de dialogue.

Appliquer pour enregistrer les modifications et laisser la boîte de dialogue ouverte pour créer une autre règle d'exception.

Annuler pour supprimer les modifications et fermer la boîte de dialogue.

Aide fournit plus de détails.

Modification des règles d'exceptionVous pouvez afficher et modifier les paramètres d'une exception existante.

Pour modifier une règle d'exception :1 Sélectionnez l'exception souhaitée, puis cliquez sur Propriétés, dans le menu de

raccourci ou dans la barre d'outils, ou bien double-cliquez sur l'exception souhaitée.

La boîte de dialogue Propriétés de l'exception s'affiche.

2 Modifiez les données souhaitées dans chaque onglet, puis cliquez sur OK. Cliquez sur Aide pour obtenir des informations.

Figure 4-5 Boîte de dialogue Nouvelle exception

44

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Activation et désactivation des règles d'exceptionAu lieu de supprimer les exceptions inutilisées, vous pouvez les désactiver temporairement, puis les réactiver lorsque vous en avez besoin.

Pour désactiver/activer une exception :Dans l'onglet Règles d'exception, sélectionnez une règle puis cliquez sur Désactiver/ Activer, dans le menu de raccourci ou dans la barre d'outils.

Le statut de l'exception sélectionnée change en fonction de l'option choisie.

Suppression des règles d'exceptionPour supprimer définitivement une exception, sélectionnez-la dans l'onglet Règles d'exception, puis cliquez sur Supprimer, dans le menu de raccourci ou dans la barre d'outils. L'exception disparaît de l'onglet Exceptions.

Transfert de règles d'exception vers une autre stratégieVous pouvez facilement transférer une exception d'une stratégie à une autre, à l'aide de l'onglet Règles d'exception.

Pour transférer une règle d'exception vers une autre stratégie :1 Sélectionnez la règle d'exception que vous souhaitez transférer et cliquez sur

Déplacer vers une autre stratégie, dans le menu de raccourci ou dans la barre d'outils.

2 Dans la liste Sélectionner une stratégie, sélectionnez la stratégie puis cliquez sur OK.

Une copie de la règle d'exception apparaît dans la stratégie sélectionnée.

45

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

SignaturesLes signatures décrivent des menaces de sécurité, des méthodes d'attaque et des intrusions réseau. Chaque signature possède un niveau de gravité par défaut, qui indique le danger potentiel représenté par une attaque :

Élevé (rouge) : signatures qui protègent contre les menaces de sécurité ou les actions malveillantes clairement identifiables. La plupart de ces signatures sont spécifiques aux exploits bien identifiés et sont principalement de nature non comportementale. Elles doivent être bloquées sur tous les hôtes.

Moyen (orange) : signatures de nature comportementale et empêchant les applications d'effectuer des actions en-dehors de leur environnement (pertinent pour les clients protégeant les serveurs Web et Microsoft SQL Server 2000). Sur les serveurs critiques, vous pouvez choisir de bloquer ces signatures après un réglage fin.

Faible (jaune) : signatures de nature comportementale et concernant le verrouillage des applications. Il s'agit du verrouillage des ressources applicatives et système afin qu'elles ne puissent pas être modifiées. Le blocage des signatures jaunes améliore la sécurité du système sous-jacent, mais une configuration détaillée complémentaire est requise.

Information (bleu) : signale une modification de la configuration du système entraînant un faible risque pour la sécurité ou bien une tentative d'accès aux informations système sensibles. À ce niveau, les événements se produisent lors de l'activité système normale et ne témoignent d'aucune attaque.

Types de signaturesLa stratégie Règles IPS peut contenir trois types de signatures :

Les signatures hôte : signatures Host Intrusions Prevention par défaut (HIPS).

Les signatures hôte personnalisées : HIPS personnalisées que vous créez.

Les signatures réseau : signatures Network Intrusions Prevention par défaut (NIPS).

Signatures hôteLes signatures d'intrusion hôte (HIPS) détectent et bloquent les attaques contre le système et contiennent les règles Fichier, Registre, Service et HTTP. Elles sont développées par les experts en sécurité Host Intrusion Prevention et fournies avec le produit.

Chaque signature possède une description et un niveau de gravité par défaut. S'il possède les privilèges appropriés, l'administrateur peut modifier le niveau de gravité d'une signature ou la désactiver pour un groupe de clients.

Lors de leur activation, les signatures hôte génèrent un événement IPS qui apparaît dans l'onglet Événements IPS.

Signatures hôte personnaliséesLes signatures personnalisées sont des signatures hôte que vous pouvez créer pour améliorer la protection du système afin de répondre à vos besoins. Par exemple, lorsque vous créez un nouveau répertoire contenant des fichiers importants, vous pouvez créer une signature personnalisées pour le protéger.

46

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Signatures réseauLes signatures de prévention d'intrusion réseau (NIPS) détectent et bloquent les attaques de réseau connues survenant sur le système hôte.

Les signatures réseau s'affichent dans la console, dans la même liste de signatures que les signatures hôte. Elles ont leur propre icône dans la colonne Type et sont signalées comme IPS réseau dans la boîte de dialogue Propriétés générales des signatures.

Chaque signature possède une description et un niveau de gravité par défaut. S'il possède les privilèges appropriés, l'administrateur peut modifier le niveau de gravité d'une signature ou la désactiver.

Chaque signature réseau peut être désactivée, même si elle est associée à une réaction Consigner ou Bloquer dans le cadre de la stratégie active. Cependant, dans le cas d'une réaction Bloquer, l'opération est tout de même bloquée, même si l'événement n'est pas consigné.

Vous pouvez créer des exceptions pour les signatures réseau ; cependant, vous ne pouvez pas spécifier d'attributs supplémentaires tels que l'utilisateur du système d'exploitation ou le nom du processus. Les détails avancés contiennent les paramètres spécifiques au réseau, tels que les adresse IP, que vous pouvez choisir individuellement.

Les événements générés par les signatures réseau s'affichent en même temps que les événements hôte, dans l'onglet Événements IPS ; ils présentent également le même comportement que les événements hôte.

Affichage des signaturesHost Intrusion Prevention fournit trois affichages de signatures dans l'onglet Signatures. Le listage par défaut inclut uniquement les signatures actives. Vous pouvez également afficher uniquement les signatures désactivées, ou une combinaison de signatures actives et désactivées.

Remarque

Les signatures réseau personnalisées ne sont pas prises en charge.

Figure 4-6 Onglet Règles IPS—Signatures

47

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Pour modifier l'affichage des signatures :Cliquez sur le bouton droit de la souris dans la liste de signatures et sélectionnez l'affichage que vous souhaitez :

Modification des signatures hôte et réseauVous pouvez afficher et modifier les signatures par défaut dans l'onglet Signatures de la stratégie Règles IPS. Cette option vous permet de modifier le niveau de gravité de la signature, si celle-ci entraîne l'émission de faux positifs.

Pour modifier les signatures par défaut :1 Double-cliquez sur la signature que vous souhaitez modifier.

La boîte de dialogue Propriétés de la signature s'affiche.

2 Dans l'onglet Général, modifiez les paramètres Niveau de gravité, Autoriser les exceptions client et Consigner le statut, le cas échéant, puis saisissez vos éventuels commentaires sur la modification dans la section Note.

3 L'onglet Description indique quel élément la signature protège et sa fonction. S'il y a un lien, cliquez dessus pour ouvrir une page de navigateur et consulter des informations détaillées sur la menace de sécurité concernée.

4 Cliquez sur OK.

Création de signatures personnaliséesHost Intrusion Prevention vous donne la possibilité de créer et de gérer vos propres signatures et de les partager entre plusieurs stratégies. La fonction de création de signatures personnalisées, recommandée aux utilisateurs expérimentés uniquement, offre davantage de flexibilité dans la gestion de votre environnement. Référez-vous à Écriture des signatures personnalisées, page 164 pour plus de détails.

Il existe deux méthodes pour créer des signatures :

Assistant de création de signature : cette méthode est très simple, mais elle ne vous permet pas de changer les activités protégées par la signature.

Mode standard : cette méthode plus sophistiquée vous permet d'ajouter ou de supprimer des activités protégées par la signature.

Sélectionnez... Pour afficher...

Afficher les signatures actives Uniquement les signatures qui sont actives pour la stratégie Règles IPS. Il s'agit de l'affichage par défaut.

Afficher les signatures désactivées

Uniquement les signatures dont le niveau de gravité est défini sur désactivé.

Afficher toutes les signatures Une combinaison de signatures actives et désactivées.

Remarque

Vous pouvez modifier le niveau de gravité de plusieurs signatures à un moment donné en sélectionnant les signatures et en cliquant sur Modification du niveau de gravité. Dans la boîte de dialogue qui s'affiche, sélectionnez Modifié et le nouveau niveau de gravité sera appliqué aux signatures, ou sélectionnez Par défaut pour revenir au niveau de gravité par défaut des signatures. Cliquez sur OK pour enregistrer les modifications. Les paramètres de niveau de gravité incluent Haut, Moyen, Bas, Information et Désactivé.

48

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Utilisation de l'Assistant pour créer des signaturesL'Assistant de création de signature est la méthode recommandée si vous êtes débutant dans cette activité. L'Assistant se compose de deux boîtes de dialogue, dans lesquelles vous entrez les informations nécessaires à la création de votre signature ; il ne vous offre cependant aucune flexibilité quant aux activités protégées par la signature, car vous ne pouvez ni les modifier, ni les supprimer, ni en créer de nouvelles.

Pour créer des signatures à l'aide de l'Assistant :1 Dans la barre d'outils Signature, cliquez sur Assistant de création de signature.

2 Dans la boîte de dialogue Assistant de création de signature – Étape 1 sur 2, saisissez un nom et une description, sélectionnez la plate-forme et le niveau de gravité, puis cliquez sur Suivant.

3 Dans la boîte de dialogue Assistant de création de signature – Étape 2 sur 2, sélectionnez l'élément à protéger contre toute modification, saisissez les détails afférents, puis cliquez sur Terminer.

Figure 4-7 Assistant de création de signature—Étape 1 sur 2

49

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

La nouvelle signature apparaît dans la liste, accompagnée de l'icône des signatures personnalisées.

Utilisation du Mode standard pour créer des signaturesUtilisez cette méthode uniquement si vous êtes un utilisateur expérimenté. Elle offre la possibilité de choisir les activités protégées par la signature, en permettant notamment de les modifier, de les supprimer et d'en ajouter de nouvelles. Vous pouvez créer une signature totalement nouvelle, dupliquer une signature existante ou utiliser une signature personnalisée comme base.

Pour créer une signature en Mode standard :1 Effectuez l'une des actions suivantes :

Dans l'onglet Signatures, cliquez sur Créer, dans le menu de raccourci ou dans la barre d'outils. Une boîte de dialogue vide Nouvelle signature personnalisée s'affiche.

Dans l'onglet Signatures, sélectionnez une signature personnalisée, puis cliquez sur Dupliquer, dans le menu de raccourci ou dans la barre d'outils. Une boîte de dialogue pré-renseignée Dupliquer la signature personnalisée s'affiche.

2 Dans l'onglet Général, entrez un nom et sélectionnez la plate-forme, le niveau de gravité, consignez le statut et s'il faut permettre la création de règles du client.

Figure 4-8 Assistant de création de signature — Étape 2 sur 2

50

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

3 Dans l'onglet Description, saisissez une description de l'élément protégé par la signature. Cette description s'affiche dans la boîte de dialogue Événement IPS lorsque la signature est déclenchée.

4 Dans l'onglet Sous-règle, sélectionnez Méthode standard ou Méthode expert, pour créer la règle.

Figure 4-9 Nouvelle signature personnalisée — onglet Général

Figure 4-10 Nouvelle signature personnalisée – onglet Sous-règles

51

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

.

5 Cliquez sur Appliquer pour appliquer les nouveaux paramètres, puis sur OK.

Modification des signatures personnaliséesVous pouvez modifier les signatures personnalisées en ajoutant, supprimant ou modifiant des règles ou d'autres données contenues dans la signature.

Pour modifier une signature personnalisée :1 Dans l'onglet Signature, double-cliquez sur la signature personnalisée que vous

souhaitez modifier.

La boîte de dialogue Propriétés de la signature personnalisée s'affiche.

2 Apportez les modifications souhaitées dans chaque onglet. Cliquez sur Aide pour obtenir des informations.

3 Cliquez sur OK pour enregistrer les modifications.

Suppression de signatures personnaliséesAprès avoir créé et modifié des signatures personnalisées, vous pouvez également en supprimer. Lorsque vous supprimez une signature personnalisée, le nom de tous les événements existants déclenchés par cette signature apparaît accompagné de l'ID de la signature, dans l'onglet Événements IPS.

Pour utiliser la Méthode standard : Pour utiliser la Méthode expert :La Méthode standard limite le nombre de types que vous pouvez inclure dans la règle de signature.

La Méthode expert, recommandée uniquement aux utilisateurs expérimentés, vous permet de créer la syntaxe de la règle sans limiter le nombre de types à inclure dans la règle de la signature. Avant d'écrire une règle, assurez-vous de bien connaître la syntaxe appropriée. Reportez-vous à Écriture des signatures personnalisées, page 164.

1 Cliquez sur Ajouter. La boîte de dialogue Nouvelle règle standard s'affiche.

2 Dans l'onglet Général, saisissez un nom pour la signature et choisissez un type.

3 Dans l'onglet Opérations, indiquez les opérations qui déclencheront la règle sélectionnée.

4 Dans l'onglet Paramètres, incluez ou excluez les paramètres de votre choix dans la règle.

5 L'onglet Syntaxe de la règle contient la syntaxe de la règle qui a été générée pour la signature créée.

6 Cliquez sur OK. La règle est compilée et la syntaxe est vérifiée. S'il y a une erreur et si la règle échoue lors de la vérification, une boîte de dialogue décrivant l'erreur s'affiche. Vous pouvez alors résoudre le problème et vérifier de nouveau la règle.

1 Dans l'onglet Règles de la boîte de dialogue Signature personnalisée, sélectionnez Expert.

2 Cliquez sur Ajouter. La boîte de dialogue Nouvelle règle expert s'affiche.

3 Dans l'onglet Général, saisissez un nom dans le champ Nom de la règle, puis inscrivez vos éventuels commentaires dans la section Note.

4 Dans l'onglet Syntaxe de la règle, saisissez le texte de la règle. Les règles sont écrites au format ANSI et en syntaxe TCL. Pour plus de détails, consultez la section Écriture des signatures personnalisées, page 164.

5 Cliquez sur OK. La règle est compilée et la syntaxe est vérifiée. S'il y a une erreur et si la(les) règle(s) échoue(nt) lors de la vérification, une boîte de dialogue décrivant l'erreur s'affiche. Vous pouvez alors résoudre le problème et vérifier de nouveau la règle.

Remarque

Vous pouvez inclure plusieurs règles dans une signature.

52

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Pour supprimer une signature personnalisée :1 Dans l'onglet Signature, sélectionnez la signature personnalisée que vous souhaitez

supprimer, puis cliquez sur Supprimer, dans le menu de raccourci ou dans la barre d'outils.

2 Dans la boîte de dialogue demandant confirmation de la suppression, cliquez sur OK.

Règles de protection d'applicationsLes règles de protection d'applications permettent de réduire les problèmes de compatibilité et de stabilité impliquant l'accrochage de processus. Cela autorise ou bloque le raccordement API au niveau de l'utilisateur pour des listes de processus définies et générées. L'accrochage de fichiers et de répertoires au niveau du noyau n'est pas affecté.

Host Intrusion Prevention fournit une liste statique de processus autorisés ou bloqués. La liste est mise à jour avec les versions de mise à jour du contenu. De plus, les processus autorisés ou bloqués peuvent être ajoutés de façon dynamique à la liste lorsque l'analyse des processus est activée. Cette analyse est effectuée :

À chaque fois que le client est lancé et que les processus en cours d'exécution sont énumérés.

À chaque fois qu'un processus démarre.

À chaque fois que la liste de surveillance des processus est mise à jour par le serveur ePolicy Orchestrator.

À chaque fois que la liste des processus qui écoutent sur un port réseau est mise à jour.

Cette analyse implique de vérifier au préalable si le processus est dans la liste bloquée. Si ce n'est pas le cas, la liste autorisée est vérifiée. S'il ne se trouve pas dans cette liste, le processus est analysé pour définir s'il écoute sur un port réseau ou s'il s'exécute comme un service. Si ce n'est pas le cas, il est bloqué ; s'il écoute sur un port ou s'il s'exécute comme un service, il est autorisé à s'accrocher.

Figure 4-11 Analyse des règles de protection d'applications

53

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

Le composant IPS garde en mémoire cache les informations concernant les processus en cours d'exécution, permettant ainsi de suivre les informations d'accrochage. Le composant pare-feu détermine si un processus écoute sur un port réseau, appelle une API exportée par le composant IPS et passe les informations à l'API pour les ajouter à la liste surveillée. Lorsqu'il appelle l'API, le composant IPS localise l'entrée correspondante dans sa liste des processus en cours d'exécution. Un processus qui n'est pas déjà accroché et qui ne fait pas partie de la liste bloquée statique est alors accroché. Le pare-feu fournit le PID (ID de processus), essentiel pour rechercher un processus dans la mémoire cache.

L'API exportée par le composant IPS permet également à l'Interface utilisateur du client de récupérer la liste des processus actuellement accrochés, mise à jour dès qu'un processus est accroché ou décroché. Un processus accroché sera décroché si la console envoie une liste de processus mise à jour, qui spécifie que le processus accroché ne doit pas le rester. Lorsque la liste d'accrochage des processus est mise à jour, chaque processus répertorié dans la mémoire cache des processus en cours d'exécution est comparé avec la nouvelle liste. Si la liste indique qu'un processus doit être accroché et qu'il ne l'est pas encore, ce processus est alors accroché. Si la liste indique qu'un processus ne doit pas être accroché et qu'il l'est déjà, ce processus est alors décroché.

Les listes d'accrochage des processus peuvent être affichées et modifiées dans l'onglet Règles de protection d'applications. L'interface utilisateur du client, contrairement à l'affichage dans la stratégie Règles IPS, affiche une liste de tous les processus d'application accrochés.

Pour créer une règle de protection d'applications :1 Effectuez l'une des actions suivantes :

Dans l'onglet Règles de protection d'applications, cliquez sur Créer dans la barre d'outils ou le menu de raccourci. La boîte de dialogue Nouvelles règles de protection d'applications s'affiche.

Dans l'onglet Règles de protection d'applications, sélectionnez une application et cliquez sur Dupliquer dans la barre d'outils ou le menu de raccourci. Une boîte de dialogue Dupliquer Règles de protection d'applications IPS préremplie s'affiche.

Figure 4-12 Règles IPS—Règles de protection d'applications

54

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSDescription détaillée de la stratégie Règles IPS

4

2 Dans l'onglet Général, entrez le nom, l'état et si l'application est incluse ou non. Pour plus de détails, cliquez sur Aide.

.

3 Dans l'onglet Processus, indiquez les processus auxquels vous souhaitez appliquer la règle. Pour plus de détails, cliquez sur Aide.

.

4 Cliquez sur OK.

Figure 4-13 Boîte de dialogue Nouvelle application sécurisée – Onglet Général

Figure 4-14 Boîte de dialogue Nouvelle application sécurisée – Onglet Processus

55

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

Modification des règles de protection d'applicationsVous pouvez afficher et modifier les propriétés d'une règle d'application existante, inclure ou exclure son état.

Pour modifier les propriétés d'une règle d'application :1 Dans l'onglet Règles de protection d'applications, sélectionnez une application et cliquez

sur Propriétés dans la barre d'outils ou le menu de raccourci, ou double-cliquez sur l'application sécurisée sélectionnée.

La boîte de dialogue Propriétés des règles de protection d'applications s'affiche.

2 Modifiez les données souhaitées dans les deux onglets, puis cliquez sur OK.

Activation et désactivation des règles de protection d'applicationsAu lieu de supprimer les règles d'applications non utilisées, vous pouvez les désactiver temporairement, puis les activer ultérieurement pour les exécuter.

Pour désactiver/activer une règle d'applications :1 Dans l'onglet Règles de protection d'applications, sélectionnez la règle activée que vous

souhaitez désactiver ou la règle désactivée que vous souhaitez activer.

2 Cliquez sur Désactiver ou Activer dans la barre d'outils ou le menu de raccourci.

L'état de l'application dans l'onglet Règles de protection d'applications change en fonction de votre choix.

Suppression des règles de protection d'applicationsPour supprimer définitivement une règle de protection d'applications, sélectionnez-la dans l'onglet Règles de protection d'applications, puis cliquez sur Supprimer dans la barre d'outils ou le menu de raccourci. La règle est supprimée de l'onglet.

Événements IPSUn événement IPS est déclenché lorsqu'une violation de sécurité, telle que définie par une signature, est détectée. Par exemple, Host Intrusion Prevention compare le démarrage d'une application à la signature correspondant à cette opération, qui peut représenter une attaque. Si les deux concordent, un événement est généré. Si ce n'est pas le cas, peut-être en raison d'une exception de la signature ou si l'application est considérée comme sûre, aucun événement n'est généré.

Lorsque Host Intrusion Prevention reconnaît un événement IPS, il l'inscrit dans l’onglet Événements IPS en lui affectant l'un des quatre niveaux de gravité : Élevé, Moyen, Faible et Information.

Remarque

Lorsque deux événements sont déclenchés par la même opération, la réaction la plus forte est mise en œuvre.

56

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

À partir de la liste des événements générés, vous pouvez déterminer les événements pouvant être autorisés et ceux qui indiquent un comportement suspect. Pour autoriser des événements, configurez le système comme suit :

Exceptions : règles ignorant une règle de signature. Pour créer une exception spécifique à l'événement, consultez la section Création et application de stratégies Applications sécurisées, page 112.

Applications sécurisées : autorisent les applications internes dont le fonctionnement peut être bloqué par une signature. Pour créer une application sécurisée spécifique à l'événement, consultez la section Création et application de stratégies Applications sécurisées, page 112.

Ce processus d'affinage du réglage minimise le nombre d'événements de sécurité, libérant du temps pour analyser les événements sérieux qui se produisent.

Affichage des événementsPour analyser les événements IPS, Host Intrusion Prevention vous permet d'affecter à chacun des événements l'un des trois statuts disponibles (Non lu, Lu, Masqué), puis de filtrer les événements dans l'un des différents affichages.

Pour afficher des événements IPS :1 Dans l'arborescence de la console, sélectionnez le noeud pour lequel vous

souhaitez afficher les événements IPS.

2 Cliquez sur le lien d'accès rapide Événements IPS, en haut de l'écran IPS, dans le volet de la stratégie ; ou bien, si la fenêtre Administration IPS est ouverte, cliquez sur l'onglet Événements IPS.

Une liste contenant tous les événements associés au client s'affiche. Par défaut, tous les événements ne s'affichent pas dans cette liste. Pour plus de détails sur la configuration de l'affichage des événements, consultez la section Configuration de l'affichage des événements, page 58.

Figure 4-15 Onglet Événements IPS

57

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

Configuration de l'affichage des événementsPar défaut, tous les événements ne s'affichent pas dans cette liste. Par défaut, les événements apparaissent uniquement pendant 30 jours. Vous pouvez choisir d'afficher les événements survenus pendant un nombre de jours spécifique ou bien les événements survenus avant une certaine date/ heure.

Pour modifier l'affichage des événements :1 Dans l'onglet Événements IPS, cliquez sur Configurer l'affichage des événements, dans

la barre d'outils ou le menu de raccourci.

La boîte de dialogue Configurer l'affichage des événements s'affiche.

2 Saisissez le nombre de jours d'affichage des événements.

3 Sélectionnez Événements avant (date), puis saisissez une date et une heure, afin d'afficher les événements survenus avant ce marqueur date.

4 Cliquez sur OK.

Filtrage des événementsLes événements que vous voyez sont déterminés par le type d'affichage sélectionné. Sélectionnez la commande appropriée dans le menu de raccourci :

Afficher tous les événements : cet affichage contient tous les événements. Les événements lus s'affichent normalement, les événements non lus s'affichent en gras, les événements masqués s'affichent en grisé et les événements masqués agrégés s'affichent en bleu clair.

Afficher les événements lus et non lus : contient tous les événements dont le statut est lu ou non lu, mais n'affiche pas les événements masqués.

Afficher les événements non lus : cet affichage contient tous les événements non lus. Ils s'affichent en gras. Les événements lus et masqués n'apparaissent pas dans cet affichage.

Afficher les événements lus : cet affichage contient tous les événements lus. Ils s'affichent sans mise en forme particulière. Les événements non lus et masqués n'apparaissent pas dans cet affichage.

Afficher les événements masqués : cet affichage contient tous les événements masqués. Ils s'affichent en grisé.

Figure 4-16 Boîte de dialogue Configurer l'affichage des événements

58

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

Marquage des événementsLes événements sont marqués de l'un des trois statuts disponibles, afin de faciliter leur filtrage, pour affichage :

Non lu : paramètre par défaut pour tous les événements. Il indique que l'événement n'a pas été consulté. Il s'affiche en gras.

Lu : l'événement a été consulté et marqué comme Lu. Il s'affiche sans mise en forme particulière.

Masqué : les événements sont supprimés du mode d'affichage normal. Ils s'affichent en grisé, uniquement dans les vues Événements masqués et Tous les événements, sauf s'ils sont marqués comme Lu ou Non lu.

Pour marquer un événement comme Lu :1 Dans l'onglet Événements IPS, sélectionnez les événements que vous souhaitez

marquer comme Lu.

2 Cliquez sur le bouton Marquer comme ludans le menu de raccourci ou la barre d'outils.

La police de l'événement passe de gras à normal.

Pour marquer un événement comme Non lu :1 Dans l'onglet Événements IPS, sélectionnez les événements que vous souhaitez

marquer comme Non lu.

2 Cliquez sur Marquer comme non ludans le menu de raccourci ou la barre d'outils.

La police de l'événement passe de normal à gras.

Pour masquer un événement :1 Dans l'onglet Événements IPS, sélectionnez les événements que vous

souhaitez masquer.

2 Cliquez sur Masquer (marquer comme masqué) dans le menu de raccourci ou la barre d'outils.

Les événements sélectionnés sont retirés de la vue courante.

3 Pour afficher les événements masqués, cliquez sur Afficher les événements masqués, dans le menu de raccourci ou la barre d'outils.

Pour annuler le statut Masqué d'un événement : 1 Cliquez sur Afficher les événements masqués, dans le menu de raccourci ou la barre

d'outils.

Les événements masqués s’affichent de nouveau.

2 Sélectionnez les événements que vous souhaitez afficher de nouveau.

3 Cliquez sur Marquer comme lu ou Marquer comme non lu.

Les événements sélectionnés sont retirés de la vue Masqué.

4 Cliquez sur Afficher les événements lus et non lus ou sur Afficher tous les événements, dans le menu de raccourci.

Remarque

Lorsque vous marquez des événements, le marquage s'affiche pour tous les utilisateurs connectés au serveur d'administration.

59

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

Marquage d'événements similairesAu vu du nombre important d'événements IPS qui se produisent, vous pouvez limiter le nombre d'événements affichés ou la manière dont ils s'affichent. Pour ce faire, vous pouvez réorganiser votre vue en marquant individuellement des événements comme lus, non lus ou masqués, mais cette opération prend du temps.

L'option Marquer les événements similaires comme lus/non lus/masqués vous permet d'effectuer un même marquage en une seule opération. Toutefois, les nouveaux événements déclenchés après cette opération ne seront pas marqués automatiquement.

Les critères de correspondance que vous choisissez sont basés sur les attributs associés aux événements ; ils peuvent inclure un ou plusieurs des critères suivants :

AgentSignaturesUtilisateurProcessusDegré de gravité

Pour marquer des événements similaires :1 Sélectionnez un événement, puis cliquez sur Marquer les événements similaires, dans

le menu de raccourci ou dans la barre d'outils.

La boîte de dialogue Marquer les événements similaires s'affiche.

2 Dans la liste Marquer les événements comme, sélectionnez l'un des trois statuts d'événement : Non lu, Lu ou Masqué.

3 Cochez la case située à côté de chaque attribut à utiliser comme critère de marquage des événements.

La valeur affichée à côté de chaque case à cocher est automatiquement sélectionnée. Pour sélectionner une autre valeur, cliquez sur Sélectionner. Dans la boîte de dialogue Liste de sélection qui s'affiche, sélectionnez la valeur souhaitée, puis cliquez sur OK.

Figure 4-17 Boîte de dialogue Marquer les événements similaires

60

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

4 Lorsque vous revenez à la boîte de dialogue initiale, cliquez sur OK. Tous les événements qui correspondent aux critères sélectionnés prennent le statut souhaité.

Affichage détaillé des événements La boîte de dialogue Propriétés de l'événement PS contient des informations sur l'événement sélectionné. Ces données peuvent être utiles pour affiner le réglage de votre système car elles permettent de créer des exceptions ou des applications sécurisées ou de rechercher des exceptions existantes à partir d'un événement.

Pour afficher le détail d'un événement :Double-cliquez sur l'événement, ou sélectionnez-le et cliquez sur Propriétés dans le menu de raccourci ou la barre d'outils.

La boîte de dialogue Propriétés de l'événement IPS s'affiche ; elle comporte quatre onglets : Général, Description, Détails avancés et Résumé. Cliquez sur Aide dans la boîte de dialogue pour obtenir des informations.

Création d'exceptions et d'applications sécurisées sur la base d'événements

Dans certaines circonstances, le comportement normal d'un utilisateur, dans le cadre de son travail, peut être interprété comme une menace ou une attaque. Lorsque ceci se produit, vous pouvez créer une règle d'exception ou créer une règle d'application sécurisée pour le comportement en question.

Remarque

Si vous ne choisissez pas de critère spécifique, tous les événements seront pris en compte lorsque vous cliquerez sur OK.

Figure 4-18 Boîte de dialogue Événement IPS – onglet Général

61

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSÉvénements IPS

4

Vous pouvez créer des exceptions ou des applications sécurisées directement à partir d'un événement, afin d'éviter que cet événement ne se reproduise ; ou bien vous pouvez créer des exceptions ou des applications sécurisées sans vous référer à un événement spécifique. Si vous choisissez cette dernière solution, consultez les sections Règles d'exception, page 42 et Création et application de stratégies Applications sécurisées, page 112.

La fonction de création d'exceptions et d'applications sécurisées vous permet d'éviter les faux positifs et garantit que les notifications que vous recevez sont pertinentes.

Exemple :Lors de la procédure de test des clients, il est possible que certains reconnaissent la signature d'accès à la messagerie électronique. Dans certaines circonstances, un événement déclenché par cette signature est la cause d'une alerte. Des pirates peuvent installer des applications de cheval de Troie utilisant le Port 25 TCP/IP généralement réservé aux applications de messagerie électronique, et cette action serait alors détectée par la signature affectée à l'activité du Port 25 TCP/IP (SMTP). D'un autre côté, un trafic normal de courrier électronique peut également correspondre à cette signature. Lorsque cette signature est activée, examinez en détail le processus qui a déclenché l'événement. Si ce processus n'est pas habituellement associé à la messagerie électronique, par exemple Notepad.exe, vous pouvez raisonnablement suspecter l'implantation d'un cheval de Troie. Si le processus qui a déclenché l'événement est habituellement responsable de l'envoi des courriers électroniques (Eudora, Netscape, Outlook), créez une exception pour cet événement.

Il est également possible qu'un certain nombre de clients déclenchent une signature de programmes de démarrage, ce qui indique soit une modification soit la création d'une valeur dans les clés de registre :

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

Étant donné que les valeurs stockées dans ces clés indiquent des programmes lancés au démarrage de l'ordinateur, l'activation de cette signature peut indiquer que quelqu'un tente d'altérer votre système. Cela peut également vouloir dire tout simplement que l'un des employés de la société est en train d'installer RealAudio sur son ordinateur. L'installation de RealAudio ajoute en effet la valeur RealTray à la clé de registre Run.

Pour éliminer les événements déclenchés à chaque fois que quelqu'un installe un logiciel autorisé, vous pouvez créer des exceptions pour ces événements. Le client ne générera plus d'événement pour ces installations autorisées.

Pour créer une exception sur la base d'un événement :1 Sélectionnez un événement et cliquez sur Créer une exception, dans le menu

de raccourci ou dans la barre d'outils.

Une boîte de dialogue pré-renseignée Nouvelle exception s'affiche.

2 Observez les instructions de création d'une exception dans Règles d'exception, page 42.

Pour créer une application sécurisée sur la base d'un événement :1 Sélectionnez un événement et cliquez sur Créer une application sécurisée, dans le menu

de raccourci ou dans la barre d'outils.

Une boîte de dialogue pré-renseignée Nouvelle application sécurisée s'affiche.

2 Observez les instructions de création d'une application sécurisée dans Création et application de stratégies Applications sécurisées, page 112.

62

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSRègles IPS du client

4

Recherche d'exceptions associéesUn événement peut être un faux positif, c'est-à-dire une opération légitime s'affichant incorrectement comme une intrusion. Pour les faux positifs, vous pouvez créer une exception et empêcher la consignation d'éventuels événements identiques; cependant, vous pouvez avoir déjà créé plusieurs exceptions pour des événements similaires. Au lieu de créer une nouvelle exception, vous pouvez modifier une exception existante pour la faire appliquer à l'événement de faux positif. Organiser et limiter le nombre d'exceptions les rend plus faciles à gérer.

La fonction Recherche d'exceptions associées vous permet de rechercher des exceptions existantes qui correspondent à un ou plusieurs attributs appartenant à un événement. Par exemple, vous pouvez rechercher des exceptions correspondant à la signature d'événements ou au processus ou aux deux. Vous pouvez également rechercher des exceptions qui sont déjà déployées sur un client sur lequel l'événement se produit, ou peut-être celles qui sont appliquées à l'utilisateur associé à l'événement.

Rechercher une exception associée :1 Dans l'onglet Événements IPS, sélectionnez l'événement pour lequel vous souhaitez

trouver une exception associée, puis cliquez sur Rechercher des exceptions associées dans le menu de raccourci ou dans la barre d'outils.

La boîte de dialogue des critères de recherche Recherche des règles d'exception IPS s'affiche avec une procédure, une signature et des informations sur l'utilisateur pré-renseignées.

2 Sélectionnez la case pour chaque critère à ajouter. Vous pouvez modifier les valeurs en cliquant sur Modification.

3 Cliquez sur OK.

L'onglet Recherche d'exceptions IPS affiche les résultats de la recherche. Consultez Recherche de règles d'exception IPS, page 66 pour plus de détails sur l'utilisation de cette fonction de recherche.

Règles IPS du clientLorsque des clients sont en Mode spéculatif, des règles d'exception client sont créées automatiquement pour autoriser les opérations qui, sans cela, seraient bloquées par les stratégies administrateur. Des règles du client peuvent également être créées manuellement, sous réserve que l'option de stratégie de l'interface utilisateur du client permettant la création manuelle des règles du client soit activée. Les règles du client créées à la fois automatiquement et manuellement s'affichent dans l'onglet Règles du client IPS. Une partie ou toutes les règles d'exception client générées pour un client représentatif peuvent être promues dans l'onglet général Règles d'exception d'une stratégie particulière de règles du client, ce qui permet un déploiement plus facile.

63

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSRègles IPS du client

4

Affichage normalLes règles d'exception client apparaissent dans l'Affichage normal et dans l'Affichage agrégé. Dans l'Affichage normal, vous pouvez trier et filtrer la liste des règles pour rechercher des exceptions spécifiques et en afficher le détail. Vous pouvez également transférer des règles du client vers des règles d'exception du serveur d'une stratégie Règles IPS.

Migrer des règles du client vers une stratégie Règles IPS :1 Sélectionnez une règle d'exception du client dans l'onglet Affichage normal et cliquez

sur Créer une règle d'exception.

2 Sélectionnez la stratégie vers laquelle vous souhaitez migrer la règle du client puis cliquez sur OK.

3 Dans la boîte de dialogue pré-renseignée Règle d'exception, vérifiez ou modifiez les informations puis cliquez sur OK.

La nouvelle règle d'exception s'affiche dans l'onglet Règles d'exception de la stratégie Règles IPS sélectionnée lors de la procédure de migration.

Pour plus de détails, consultez la section Règles d'exception, page 42.

Figure 4-19 Règle du client IPS : affichage normal

64

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSRègles IPS du client

4

Affichage agrégéDans l'Affichage agrégé, vous pouvez regrouper des exceptions de règles du client sur la base de la signature, de l'utilisateur, du processus, du statut, de la réaction et du nœud, afin de déterminer la fréquence de règles d'exception similaires, créées sur l'ensemble des clients.

Pour gérer les exceptions apparaissant dans l'onglet Règles client IPS, servez-vous de l'Affichage agrégé. Cette vue permet en effet de combiner les exceptions possédant les mêmes attributs, afin qu'une seule exception agrégée s'affiche, tout en indiquant le nombre de fois où les exceptions se sont produites. Ces informations vous permettent d'affiner le déploiement du système, par exemple en transférant certaines règles d'exception client dans les règles d'exception administrateur, pour réduire le nombre de faux positifs dans un environnement système spécifique.

Les exceptions agrégées s'affichent en bleu et sont associées à un chiffre, dans la colonne Nombre. Pour agréger des exceptions, vous devez sélectionner des critères d'agrégation lors de l'affichage des exceptions.

Agréger des règles du client :1 Cliquez sur l'onglet Affichage agrégé, dans l'onglet Règles client IPS.

2 Dans la boîte de dialogue Règles du client agrégées, sélectionnez les critères d'agrégation des exceptions des règles du client. Les options suivantes sont disponibles : Signature, Utilisateur, Processus, Activée, Réaction et Nœud.

3 Cliquez sur OK.

Une liste des signatures s'affiche, ainsi que le nombre de règles d'exception créées pour chacune d'elles.

4 Sélectionnez une ligne, puis cliquez sur Afficher les règles individuelles pour afficher le détail de chaque règle d'exception associée à la sélection.

Vous êtes renvoyé vers l'onglet Affichage normal avec des détails sur chaque règle dans l'ensemble agrégé.

Figure 4-20 Règles du client IPS : affichage agrégé basé sur le processus

65

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSRecherche de règles d'exception IPS

4

Recherche de règles d'exception IPSVous pouvez rechercher des exceptions dans n'importe quelle stratégie Règles IPS, à l'aide de l’onglet Rechercher des règles d'exception IPS. Cette fonction de recherche vous permet de déterminer si une exception est requise pour une règle de signature. Elle vous permet également de gérer des exceptions en supprimant les règles d'exception dupliquées ou en créant des applications sécurisées pour autoriser un processus bloqué. Les critères de recherche comprennent les processus qui déclenchent un événement, les signatures qui provoquent le déclenchement de l'événement et les utilisateurs concernés par la règle d'exception. Lorsque vous avez trouvé les règles d'exception recherchées, il est conseillé d'assurer la maintenance de cette liste afin de réduire au minimum le nombre total d'exceptions. Pour ce faire, vous pouvez supprimer les exceptions en double pour un même processus ou une même signature, ou bien dupliquer et modifier une exception afin d'en remplacer plusieurs similaires. L'onglet Recherche d'exceptions IPS vous permet également de désactiver des exceptions au lieu de les supprimer définitivement et de rechercher des exceptions correspondant à un profil, afin de les copier dans d'autres stratégies IPS.

Pour rechercher des exceptions et gérer la liste des exceptions :1 Dans l'onglet Recherche de règles d'exception IPS, cliquez sur Rechercher.

La boîte de dialogue Recherche de règles d'exception IPS s'affiche.

2 Sélectionnez les critères appropriés puis effectuez l'une des opérations suivantes :

Sélectionnez Tous (par défaut) pour tous les processus.

Sélectionnez Spécifique et cliquez sur Modifier pour indiquer les processus souhaités. Dans la boîte de dialogue Recherche spécifique [Critères], transférez les éléments disponibles souhaités dans la liste des éléments sélectionnés, puis cliquez sur OK.

Figure 4-21 Recherche de règles d'exception IPS

66

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies IPSRecherche de règles d'exception IPS

4

3 Cliquez sur OK.

La liste des exceptions correspondant aux critères de recherche s'affiche.

4 Sélectionnez une exception dans la liste et utilisez les commandes dans le menu de raccourci ou dans la barre d'outils afin de l'activer/ la désactiver, déplacez-la d'une stratégie à une autre, créez une nouvelle exception en la dupliquant, ou supprimez-la. Pour plus de détails, consultez la section Règles d'exception, page 42.

Figure 4-22 Onglet Recherche de règles d'exception IPS

Remarque

Lorsque vous sélectionnez plusieurs critères, les résultats contiennent les éléments correspondant à n'importe quel critère sélectionné, et non à tous les critères. Par exemple, si vous choisissez deux processus spécifiques, les exceptions données en résultat correspondent à l'un des processus, et non pas aux deux.

67

5 Stratégies de pare-feu

La fonction de pare-feu de Host Intrusion Prevention protège les ordinateurs en filtrant la totalité du trafic réseau. Le passage du trafic légitime par le pare-feu est autorisé et le reste est bloqué. Ceci s'effectue par le biais de règles de pare-feu. Dans la version actuelle du produit, le filtrage et l'inspection avec état ont été ajoutés pour gérer les clients de la version 6.1. Les règles de pare-feu statiques héritées, qualifiées de règles HIP 6.0, sont également disponibles, mais elles s'appliquent uniquement aux clients de la version 6.0. Pour faciliter la transition de règles statiques vers des règles avec état, un utilitaire de migration des règles de pare-feu est disponible.

Cette section décrit le fonctionnement de la fonction de pare-feu et comprend les rubriques suivantes :

Présentation

Configuration de la stratégie d'options de pare-feu

Configuration de la stratégie de règles de pare-feu

Configuration de la stratégie d'options de quarantaine

Configuration de la stratégie de règles de quarantaine

68

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Présentation Le pare-feu Host Intrusion Prevention protège un ordinateur en réseau des intrusions susceptibles de compromettre les données, les applications ou le système d'exploitation. Il fournit cette protection en travaillant sur plusieurs couches de l'architecture réseau, où différents critères sont utilisés pour limiter le trafic réseau. Cette architecture réseau est conçue sur le modèle OSI (Open System Interconnection) comportant sept couches, où chaque couche gère les protocoles réseau spécifiques.

Règles HIP 6.0Le pare-feu de Host Intrusion Prevention 6.0 fonctionnait sur les couches réseau 3 et 4, en routant les paquets réseau jusqu'à leur destination. Sur ces couches, le pare-feu utilise le filtrage statique des paquets avec une correspondance de règle descendante. Lorsqu'un paquet est analysé et qu'il correspond à une règle de pare-feu, des critères comme l'adresse IP, le numéro de port et le type de paquet sont utilisés pour autoriser ou bloquer le paquet. En l'absence de correspondance, le paquet est rejeté. Des règles de pare-feu bidirectionnelles sont nécessaires, notamment pour les protocoles UDP et ICMP.

Règles HIP 6.1 Le pare-feu de Host Intrusion Prevention 6.1 introduit un pare-feu avec état, offrant le filtrage et l'inspection des paquets avec état.

Figure 5-1 Couches et protocoles du réseau

69

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Filtrage des paquets avec étatLe filtrage des paquets avec état est le suivi avec état des informations de protocole TCP/UDP/ICMP sur la couche transport 4 et inférieure de la pile réseau OSI. Chaque paquet est examiné et, s'il correspond à une règle de pare-feu existante, il est autorisé et une entrée est créée dans une table d'état. La table d'état suit de façon dynamique les connexions correspondant précédemment à un ensemble de règles statique et reflète l'état actuel de connexion des protocoles TCP/UDP/ICMP. Si un paquet inspecté correspond à une entrée existante dans la table d'état, il est autorisé sans plus de vérification. Lorsqu'une connexion est fermée ou arrive à expiration, l'entrée correspondante est supprimée de la table d'état.

Inspection des paquets avec étatL'inspection des paquets avec état est le processus des commandes de filtrage et de suivi des paquets avec état sur la couche application 7 de la pile réseau. Cette association propose une définition efficace de l'état de connexion de l'ordinateur. L'accès aux commandes au niveau application permet une inspection sans erreur et la sécurisation des protocoles FTP, DHCP et DNS.

Table d'étatUn pare-feu avec état comporte une fonction de table d'état qui stocke de façon dynamique les informations sur les connexions actives créées par des règles d'autorisation. Chaque entrée de la table définit une connexion basée sur les éléments suivants :

Protocole : La méthode prédéfinie de communication d'un service avec un autre inclut les protocoles TCP, UDP et ICMP.

Adresses IP d'ordinateur local et distant : Chaque ordinateur dispose d'une adresse IP unique, à savoir un nombre 32 bits exprimé sous la forme de quatre octets séparés par des points, comme 192.168.1.100.

Numéros de port d'ordinateur local et distant : Un ordinateur envoie et reçoit des services par le biais de ports numérotés. Par exemple, le service HTTP est généralement disponible sur le port 80 et les services FTP sur le port 21. Les numéros de port vont de 0 à 65 535.

ID de processus (PID) : identifiant unique pour le processus associé au trafic d'une connexion.

Horodatage : heure du dernier paquet entrant ou sortant associé à la connexion.

Délai d'expiration : limite de temps (en secondes), définie avec la stratégie d'options de pare-feu, après laquelle l'entrée est supprimée de la table si aucun paquet correspondant à la connexion n'est reçu. Le délai d'expiration pour les connexions TCP est appliqué uniquement lorsque la connexion n'est pas établie.

Direction : direction du trafic (entrant ou sortant) ayant déclenché l'entrée. Une fois une connexion établie, le trafic bidirectionnel est autorisé, même avec des règles unidirectionnelles, à condition que l'entrée corresponde aux paramètres de la connexion dans la table d'état.

Remarque

Les clients Host Intrusion Prevention 6.0 utilisent uniquement le pare-feu statique, même s'ils fonctionnent dans un environnement mixte avec un serveur et des clients Host Intrusion Prevention 6.1. Pour utiliser le pare-feu avec état, vous devez mettre à niveau le client de la version 6.0 à la version 6.1. Pour simplifier la mise à niveau, vous pouvez convertir des règles statiques existantes en règles avec état grâce à l'outil de migration de règles de pare-feu. Consultez la section Migration de règles de pare-feu 6.0 personnalisées vers des règles 6.1, page 78.

70

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Fonctions de la table d'étatSi les ensembles de règles de pare-feu changent, toutes les connexions actives sont comparées au nouvel ensemble de règles. En l'absence de règle correspondante, l'entrée de la connexion est supprimée de la table d'état.

Si un adaptateur obtient une nouvelle adresse IP, le pare-feu reconnaît la nouvelle configuration IP et supprime toutes les entrées de la table d'état avec une adresse IP locale non valide.

Toutes les entrées de la table d'état associées à un processus sont supprimées lorsque celui-ci prend fin.

Fonctionnement des règles de pare-feuLes règles de pare-feu déterminent la gestion du trafic réseau. Chaque règle fournit un ensemble de conditions que le trafic doit satisfaire et dispose d'une action qui lui est associée : soit autoriser, soit bloquer le trafic. Si Host Intrusion Prevention détecte un trafic correspondant aux conditions d'une règle, il procède à l'action associée.

Host Intrusion Prevention utilise la précédence pour appliquer les règles : la règle figurant en tête de la liste de règles de pare-feu prime.

Si le trafic répond aux conditions de cette règle, Host Intrusion Prevention l'autorise ou le bloque. Il n'essaye pas d'appliquer d'autres règles de la liste.

En revanche, si le trafic ne répond pas aux conditions de la première règle, Host Intrusion Prevention passe à la deuxième règle de la liste. Et ainsi de suite dans la liste de règles de pare-feu, jusqu'à ce qu'il trouve une règle correspondant au trafic. S'il n'en trouve aucune, le pare-feu bloque automatiquement le trafic. Si le Mode d'apprentissage est activé, il faut choisir l'action à appliquer ; si le Mode spéculatif est activé, une règle d'autorisation est créée pour le trafic.

Parfois, le trafic intercepté correspond à plusieurs règles de la liste. Dans ce cas, la précédence implique que Host Intrusion Prevention applique uniquement la première règle correspondante.

Classement de la liste de règles de pare-feuLorsque vous créez ou personnalisez une stratégie de règles de pare-feu, placez les règles les plus spécifiques en tête de liste et les règles plus générales à la fin. Ainsi, Host Intrusion Prevention filtre correctement le trafic et ne rate pas les règles basées sur des exceptions en donnant la priorité à des règles plus générales.

Par exemple, pour bloquer toutes les requêtes HTTP sauf celles de l'adresse IP 10.10.10.1, vous devez créer deux règles :

Règle Autoriser : Autoriser le trafic HTTP de l'adresse IP 10.10.10.1. Cette règle est la plus spécifique.

Règle Bloquer : Bloquer la totalité du trafic qui utilise le service HTTP. Cette règle est plus générale.

Vous devez placer la Règle Autoriser, plus spécifique, plus haut dans la liste de règles de pare-feu que la Règle Bloquer, plus générale. Ainsi, lorsque le pare-feu intercepte une requête HTTP provenant de l'adresse 10.10.10.1, la première règle applicable est celle qui autorise le passage du trafic par le pare-feu.

Remarque

Toutefois, Host Intrusion Prevention gère la précédence différemment pour les règles basées sur les domaines et les règles sans fil. Si une règle spécifie une adresse distante comme nom de domaine ou comme connexion 802.11 sans fil, elle est appliquée en premier, quelle que soit sa position dans la liste de règles.

71

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Si vous aviez placé la Règle Bloquer, plus générale, plus haut dans la liste que la Règle Autoriser, plus spécifique, Host Intrusion Prevention aurait associé la requête HTTP de 10.10.10.1 à la Règle Bloquer avant de trouver l'exception. Le trafic aurait donc été bloqué, même si vous vouliez en fait autoriser les requêtes HTTP de cette adresse.

Fonctionnement du filtrage avec étatLe filtrage avec état implique le traitement d'un paquet par deux ensembles de règles, un ensemble de règles de pare-feu configurables et un ensemble de règles de pare-feu dynamiques, ou table d'état.

Les règles configurables peuvent agir de deux manières :

Autoriser : le paquet est autorisé et une entrée est créée dans la table d'état.Bloquer : le paquet est bloqué et aucune entrée n'est créée dans la table d'état.

Les entrées de la table d'état résultent de l'activité du réseau et reflètent l'état de la pile réseau. Chaque règle de la table d'état n'a qu'une seule action, Autoriser, de sorte qu'un paquet correspondant à une règle dans la table d'état est automatiquement autorisé.

Le processus de filtrage comprend les étapes suivantes :

1 Le pare-feu compare un paquet entrant avec les entrées de la table d'état. Si le paquet correspond à une entrée de la table, il est immédiatement autorisé. Si ce n'est pas le cas, la liste des règles de pare-feu configurables est examinée.

2 Si le paquet correspond à une règle d'autorisation, il est autorisé et une entrée est créée dans la table d'état.

3 Si le paquet correspond à une règle de blocage, il est bloqué.

4 Si le paquet ne correspond pas à une règle configurable, il est bloqué.

Remarque

Une entrée de la table d'état est considérée comme correspondante si le protocole, l'adresse locale, l'adresse distante et le port distant correspondent à ceux du paquets.

Figure 5-2 Processus de filtrage avec état

72

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Fonctionnement de l'inspection des paquets avec étatL'inspection des paquets avec état associe le filtrage avec état et l'accès aux commandes au niveau application, en sécurisant des protocoles comme FTP, DHCP et DNS.

Le protocole FTP implique deux connexions : contrôle pour les commandes et données pour les informations. Lorsqu'un client se connecte sur un serveur FTP, le canal de contrôle est établi en arrivant sur le port de destination FTP 21 et une entrée est créée dans la table d'état. Lorsque le pare-feu trouve une connexion ouverte sur le port 21, il est capable d'effectuer une inspection des paquets avec état sur les paquets entrant grâce au canal de contrôle FTP, si l'option d'inspection FTP a été définie avec la stratégie d'options de pare-feu.

Si le canal de contrôle est ouvert, le client communique avec le serveur FTP. Le pare-feu analyse la commande PORT dans le paquet envoyé sur la connexion et crée une deuxième entrée dans la table d'état pour autoriser la connexion des données.

Lorsque le serveur FTP est en mode actif, il ouvre la connexion de données ; en mode passif, le client initie la connexion. Lorsque le serveur reçoit la première commande de transfert de données (LIST), il ouvre la connexion de données vers le client et transfère les données. Le canal de données est fermé une fois la transmission achevée.

L'association de la connexion de contrôle et d'une ou plusieurs connexions de données est appelée session et les règles dynamiques FTP sont parfois qualifiées de règles de session. La session reste établie jusqu'à ce que l'entrée de son canal de contrôle soit supprimée de la table d'état. Lors du nettoyage périodique de la table, si le canal de contrôle d'une session a été supprimé, toutes les connexions de données sont supprimées à leur tour.

Suivi de protocole avec état Le résumé ci-après concerne les types de connexions surveillés par le pare-feu avec état et leur gestion.

Protocole Description de la gestion

UDP Une connexion UDP est ajoutée à la table d'état lorsqu'une règle statique correspondante est trouvée et que l'action de la règle est Autoriser. Les connexions UDP génériques, qui acheminent les protocoles au niveau application inconnus du pare-feu, restent dans la table d'état tant que la connexion n'est pas inactive plus longtemps que le délai d'expiration spécifié.

ICMP Seuls les types de messages Requête d'écho et Réponse d'écho ICMP sont suivis. Les autres connexions ICMP sont gérées comme des connexions UDP génériques.

Remarque : À la différence du protocole TCP orienté connexion et fiable, les protocoles UDP et ICMP sont des protocoles moins fiables, sans connexion. Pour sécuriser ces protocoles, le pare-feu considère les connexions UDP et ICMP génériques comme des connexions virtuelles, maintenues tant que la connexion n'est pas inactive plus longtemps que le délai d'expiration spécifié pour la connexion. Le délai d'expiration pour les connexions virtuelles est défini avec la stratégie d'options de pare-feu.

73

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

TCP Le protocole TCP fonctionne sur la « poignée de main en trois temps ». Lorsqu'un ordinateur client initie une nouvelle connexion, il envoie un paquet à sa cible avec un bit SYN défini et indiquant une nouvelle connexion. La cible répond en envoyant un paquet au client avec un ensemble de bits SYN-ACK. Ensuite, le client répond en envoyant un paquet avec un ensemble de bits ACK et la connexion avec état est établie. Tous les paquets sortants sont autorisés, mais seuls les paquets entrants faisant partie de la connexion établie sont autorisés. Une exception se produit lorsque le pare-feu envoie d'abord une requête au protocole TCP et qu'il ajoute toutes les connexions pré-existantes qui correspondent aux règles statiques. Les connexions pré-existantes dépourvues de règle statique correspondante sont bloquées.

Le délai d'expiration de la connexion TCP, défini avec la stratégie d'options de pare-feu, est appliqué uniquement lorsque la connexion n'est pas établie.

Un deuxième délai d'expiration TCP ou un délai d'expiration TCP forcé s'applique aux connexions TCP établies uniquement. Ce délai d'expiration est contrôlé par un paramètre du registre et a une valeur par défaut d'une heure. Toutes les quatre minutes, le pare-feu envoie une requête à la pile TCP et supprime les connexions non signalées par le protocole TCP.

DNS Il y a correspondance entre la requête et la réponse pour garantir que les réponses DNS sont autorisées uniquement sur le port local à l'origine de la requête et uniquement depuis une adresse IP distante ayant reçu une requête dans l'intervalle du délai de connexion virtuelle UDP. Les réponses DNS entrantes sont autorisées si :

La connexion dans la table d'état n'a pas expiré.

La réponse provient de la même adresse IP distante et du même port que ceux d'où la requête a été envoyée.

DHCP Il y a correspondance entre la requête et la réponse pour garantir que les paquets de retour sont autorisés uniquement pour les requêtes légitimes. Ainsi, les réponses DHCP entrantes sont autorisées si :

La connexion dans la table d'état n'a pas expiré.

L'ID de transaction de la réponse correspond à celui de la requête.

FTP Le pare-feu effectue une inspection des paquets avec état sur les connexions TCP ouvertes sur le port 21. L'inspection a lieu uniquement sur le canal de contrôle, soit la première connexion ouverte sur ce port.

L'inspection FTP est effectuée uniquement sur les paquets acheminant de nouvelles informations. Les paquets retransmis sont ignorés.

Les règles dynamiques sont créées en fonction de la direction (client/serveur) et du mode (actif/passif) :

-- Mode actif FTP client : le pare-feu crée une règle entrante dynamique après avoir analysé la commande PORT entrante, sous réserve de conformité de la commande PORT RFC 959. La règle est supprimée lorsque le serveur initie la connexion de données ou lorsque la règle expire.

-- Mode actif FTP serveur : le pare-feu crée une règle sortante dynamique après avoir analysé la commande PORT entrante.

-- Mode passif FTP client : le pare-feu crée une règle sortante dynamique lorsqu'il lit la réponse de la commande PASV envoyée par le serveur FTP, à condition qu'il ait précédemment vu la commande PASV du client FTP et que la commande PASV soit conforme à RFC 959. La règle est supprimée lorsque le client initie la connexion de données ou lorsque la règle expire.

-- Mode passif FTP serveur : le pare-feu crée une règle entrante dynamique.

Protocole Description de la gestion

74

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Groupes de règles de pare-feu et groupes de reconnaissance de connexion

Vous pouvez regrouper les règles pour simplifier la gestion. Les groupes de règles normaux n'affectent en rien la manière dont Host Intrusion Prevention gère les règles au sein des groupes ; elles sont toujours traitées de haut en bas.

Host Intrusion Prevention prend également en charge un type de groupe de règles qui affecte la gestion de ces dernières. Ce sont les groupes de reconnaissance de connexion. Les règles au sein de ces groupes de reconnaissance de connexion sont traitées uniquement lorsque certains critères sont remplis.

Les groupes de reconnaissance de connexion vous permettent de gérer des règles qui s'appliquent uniquement lorsque vous vous connectez à un réseau grâce à une connexion filaire, à une connexion sans fil ou à une connexion non spécifique avec des paramètres particuliers. De plus, ces groupes de reconnaissance d'adaptateur réseau permettent aux ordinateurs affichant plusieurs interfaces réseau d'appliquer des règles spécifiques aux adaptateurs. Les paramètres des connexions autorisées peuvent inclure, pour chaque adaptateur réseau, un ou tous les éléments suivants :

Adresse IP

Suffixe DNS

Couple IP/MAC passerelle

Couple IP/MAC DHCP

Serveur DNS recevant les requêtes pour résoudre les URL

Serveur WINS utilisé

Si deux groupes de reconnaissance de connexion s'appliquent à une même connexion, Host Intrusion Prevention utilise la précédence normale et traite le premier groupe de reconnaissance de connexion applicable dans sa liste de règles. Si aucune règle ne correspond dans le premier groupe de reconnaissance de connexion, le traitement de règles continue et cherche une correspondance dans le groupe suivant.

Si Host Intrusion Prevention trouve une connexion active correspondant aux paramètres d'un groupe de reconnaissance de connexion, il applique les règles du groupe de connexion. Il traite les règles comme un petit ensemble et utilise la précédence normale. Si certaines règles ne correspondent pas au trafic intercepté, le pare-feu les ignore.

Une connexion est autorisée lorsque toutes les conditions suivantes s'appliquent à un adaptateur réseau :

Si le type de connexion est LAN.

ou

Si le type de connexion est Sans fil (802.11).ou

Si le type de connexion est Tous et si la liste de suffixes DNS ou la liste d'adresses IP est remplie.

Si l'option Vérifier la liste des adresses IP est sélectionnée, l'adresse IP de l'adaptateur doit correspondre à l'une des entrées de la liste.

Si l'option Vérifier la liste des suffixes DNS est sélectionnée, le suffixe DNS de l'adaptateur doit correspondre à l'une des entrées de la liste (la correspondance du nom DNS est sensible à la casse).

Si l'option Vérifier la liste des passerelles par défaut est sélectionnée, le couple IP/MAC passerelle de l'adaptateur par défaut doit correspondre au moins à l'une des entrées de la liste.

75

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

Si l'option Vérifier la liste des serveurs DHCP est sélectionnée, le couple IP/MAC du serveur DHCP de l'adaptateur doit correspondre au moins à l'une des entrées de la liste. Remarque : L'adresse MAC est facultative et utilisée uniquement en cas de spécification.

Si l'option Vérifier la liste des serveurs DNS primaires est sélectionnée, l'adresse IP du serveur DNS de l'adaptateur doit correspondre à l'une des entrées de la liste.

Si l'option Vérifier les listes des serveurs DNS secondaires est sélectionnée, l'adresse IP du serveur DNS de l'adaptateur doit correspondre à l'une des entrées de la liste.

Si l'option Vérifier la liste des serveurs WINS primaires est sélectionnée, l'adresse IP du serveur WINS primaire de l'adaptateur doit correspondre au moins à l'une des entrées de la liste.

Si l'option Vérifier la liste des serveurs WINS secondaires est sélectionnée, l'adresse IP du serveur WINS secondaire de l'adaptateur doit correspondre au moins à l'une des entrées de la liste.

Modes spéculatif et d'apprentissage du pare-feuLorsque vous activez la fonction de pare-feu, Host Intrusion Prevention surveille en permanence le trafic réseau envoyé et reçu par un ordinateur. Il autorise ou bloque le trafic, conformément à la stratégie de règles de pare-feu. Si le trafic ne satisfait aucune règle existante, il est automatiquement bloqué, à moins que le Mode d'apprentissage ou le Mode spéculatif du pare-feu ne soit activé.

Vous pouvez activer le Mode d'apprentissage pour les communications entrantes uniquement, pour les communications sortantes uniquement, ou les deux.

En Mode d'apprentissage, Host Intrusion Prevention affiche une alerte du Mode d'apprentissage à chaque interception de trafic réseau inconnu. Cette boîte de dialogue d'alerte invite l'utilisateur à autoriser ou à bloquer tout trafic ne correspondant à aucune règle existante et crée automatiquement des règles dynamiques pour ce type de trafic.

En Mode spéculatif, Host Intrusion Prevention crée automatiquement une règle Autoriser pour autoriser la totalité du trafic qui ne correspond à aucune règle Bloquer existante et crée automatiquement des règles Autoriser dynamiques pour ce type de trafic.

Par mesure de sécurité, en Mode d'apprentissage comme en Mode spéculatif, les pings entrants sont bloqués à moins qu'une règle Autoriser n'ait été créée explicitement pour le trafic ICMP entrant. De plus, le trafic entrant vers un port qui n'est pas ouvert sur l'hôte sera bloqué, à moins qu'une règle Autoriser n'ait été explicitement créée pour le trafic. Par exemple, si l'hôte n'a pas démarré le service Telnet, le trafic TCP entrant sur le port 23 (Telnet) sera bloqué, même si aucune règle ne le bloque explicitement. Vous pouvez créer une règle Autoriser explicite pour n'importe quel trafic souhaité.

Host Intrusion Prevention affiche toutes les règles créées sur les clients à partir du Mode d'apprentissage ou du Mode spéculatif et permet à ces règles d'être enregistrées et migrées vers les règles d'administration.

Filtrage avec état Si le Mode spéculatif ou le Mode d'apprentissage est appliqué avec le pare-feu avec état, le processus de filtrage change légèrement pour autoriser la création spéculative d'une nouvelle règle pour gérer le paquet entrant. Ce processus de filtrage se déroule comme indiqué ci-après :

1 Le pare-feu compare un paquet entrant avec les entrées de la table d'état et ne trouve aucune correspondance, puis il examine la liste des règles statiques et ne trouve aucune correspondance.

76

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

2 Aucune entrée n'est créée dans la table d'état, mais s'il s'agit d'un paquet TCP, il est placé dans une liste d'attente. Si ce n'est pas le cas, le paquet est supprimé.

3 Si les nouvelles règles sont autorisées, une règle d'autorisation statique et unidirectionnelle est créée. S'il s'agit d'un paquet TCP, une entrée est créée dans la table d'état.

4 Si les nouvelle règle ne sont pas autorisées, le paquet est rejeté.

Stratégies et règles de quarantaineLorsqu'un client est de retour sur le réseau après une absence prolongée, les stratégies de quarantaine restreignent sa capacité à communiquer avec le réseau jusqu'à ce que ePolicy Orchestrator constate que le client dispose des stratégies, des mises à jour logicielles et des fichiers DAT les plus récents.

Les stratégies et fichiers obsolètes peuvent créer des failles de sécurité et rendre les systèmes vulnérables aux attaques. Placer les utilisateurs en quarantaine en attendant que ePolicy Orchestrator les mette à jour permet d'éviter une prise de risque inutile. Une stratégie de quarantaine s'avère utile notamment pour les ordinateurs portables dont les stratégies et les fichiers peuvent expirer lorsqu'ils se déconnectent du réseau de l'entreprise pour leurs déplacements.

Lorsque vous activez la stratégie d'options de quarantaine, ePolicy Orchestrator et Host Intrusion Prevention agissent de concert. ePolicy Orchestrator détecte si l'utilisateur dispose de toutes les informations récentes dont il a besoin. Host Intrusion Prevention le met en quarantaine jusqu'à ce que le client ait toutes les stratégies et fichiers nécessaires.

Lorsque vous configurez la stratégie d'options de quarantaine, vous indiquez une liste d'adresses IP et de sous-réseaux mis en quarantaine. Tout utilisateur qui s'est vu attribuer l'une de ces adresses est mis en quarantaine par Host Intrusion Prevention lorsqu'il est de retour sur le réseau.

Lorsqu'une stratégie d'options de quarantaine est appliquée à un client, Host Intrusion Prevention utilise l'agent ePolicy Orchestrator pour vérifier s'il dispose des stratégies et fichiers les plus récents. Ceci implique la vérification de l'exécution correcte de toutes les tâches ePolicy Orchestrator.

Si l'utilisateur est à jour, Host Intrusion Prevention libère immédiatement le client de sa quarantaine.

Remarque

Host Intrusion Prevention applique les règles de quarantaine à toutes les applications gérées par ePolicy Orchestrator. Si vous utilisez ePolicy Orchestrator pour gérer des clients avec VirusScan Enterprise, Host Intrusion Prevention mettra tous les clients de retour sur le réseau en quarantaine si les tâches VirusScan Enterprise n'ont pas pu être exécutées, si, par exemple, une tâche de mise à jour ne fournit pas les derniers fichiers DAT.

Remarque

Si votre utilisateur se connecte au réseau via un logiciel VPN (réseau privé virtuel), assurez-vous que les règles de quarantaine autorisent le trafic requis à la fois pour se connecter et s'authentifier sur le réseau privé virtuel.

77

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuPrésentation

5

En revanche, si une ou plusieurs tâches ePolicy Orchestrator n'ont pas été exécutées, l'utilisateur n'est pas à jour et Host Intrusion Prevention ne le libère pas automatiquement de sa quarantaine. Le client peut rester en quarantaine pendant quelques minutes, le temps que l'agent ePolicy Orchestrator procède à la mise à jour des stratégies et des fichiers. Host Intrusion Prevention peut poursuivre ou mettre un terme à la quarantaine, en fonction des paramètres définis pour la stratégie d'options de quarantaine. Si vous avez configuré Host Intrusion Prevention pour qu'il continue à appliquer la quarantaine, les clients resteront en quarantaine pendant une période prolongée.

Avec la stratégie de quarantaine, Host Intrusion Prevention applique un ensemble strict de règles de quarantaine de pare-feu qui définissent avec qui les clients mis en quarantaine peuvent communiquer.

Migration de règles de pare-feu 6.0 personnalisées vers des règles 6.1

L'utilitaire de migration de règles de pare-feu de Host Intrusion Prevention permet de migrer les stratégies de règles 6.0 personnalisées vers les stratégies de la version 6.1 correspondantes. Les noms des stratégies migrées apparaissent dans les règles de pare-feu ou les règles de quarantaine, précédées de la mention [Migrée]. Elles sont automatiquement attribuées aux mêmes clients que les stratégies 6.0 correspondantes.

Il existe deux méthodes pour migrer les règles de pare-feu 6.0 :

Convertir modifie les règles afin de tirer parti de la fonctionnalité pare-feu avec état.

Copier copie les règles sans les modifier.

Les deux méthodes permettent d'attribuer automatiquement les stratégies de règles de pare-feu migrées aux mêmes clients des stratégies 6.0 correspondantes.

Pour migrer les règles :1 Double-cliquez sur le lien de l'utilitaire de migration dans le dossier McAfee ePO

installé (C:\Program Files\McAfee\ePO\3.6.x\Host IPS Firewall Rule Migrator).

2 Entrez un nom d'utilisateur et un mot de passe d'administrateur global ePO, puis cliquez sur Connexion.

3 Sélectionnez la méthode de migration, Convertir ou Copier, et cliquez sur Migrer.

4 Une fois la migration terminée, examinez la liste des nouvelles stratégies sous Règles de pare-feu et Règles de quarantaine, puis renommez-les et réattribuez-les si besoin.

Stratégies de pare-feu prédéfiniesLa fonction de pare-feu de Host Intrusion Prevention présente quatre catégories de stratégies :

Options de pare-feu : Active ou désactive la protection du pare-feu. Les stratégies prédéfinies comprennent Désactivé (par défaut pour McAfee), Activé, Spéculatif, Apprentissage.

Remarque

Pour le mode de quarantaine, le pare-feu doit être activé. Même si le mode de quarantaine est activé, la quarantaine ne prend effet que lorsque le pare-feu est lui aussi activé.

Remarque

Les clients de la version 6.0 reconnaissent uniquement les stratégies de règles de pare-feu 6.0 et de règles de quarantaine 6.0 ; les clients de la version 6.1 reconnaissent uniquement les stratégies de règles de pare-feu et de règles de quarantaine.

78

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie d'options de pare-feu

5

Règles de pare-feu 6.0 (clients 6.0 uniquement) : Définit les règles de pare-feu. Les stratégies prédéfinies comprennent Minimale (par défaut pour McAfee), Démarreur d'apprentissage, Élevée – client, Moyenne – client, Élevée – serveur, Moyenne – serveur.

Règles de pare-feu (clients 6.1 uniquement) : Définit les règles de pare-feu. Les stratégies prédéfinies comprennent Minimale (par défaut pour McAfee), Démarreur d'apprentissage, Élevée – client, Moyenne – client, Élevée – serveur, Moyenne – serveur.

Options de quarantaine : Active ou désactive le mode de quarantaine. La stratégie prédéfinie est Désactivé (par défaut pour McAfee).

Règles de quarantaine 6.0 (clients 6.0 uniquement) : Définit les règles de pare-feu appliquées pendant la quarantaine. La stratégie prédéfinie est la stratégie par défaut (valeur McAfee par défaut).

Règles de quarantaine (clients 6.1 uniquement) : Définit les règles de pare-feu appliquées pendant la quarantaine. La stratégie prédéfinie est la stratégie par défaut (valeur McAfee par défaut).

Accès rapideLa fonction de pare-feu dispose de liens (*) pour un accès rapide afin de surveiller et gérer les règles de pare-feu et les règles du client de pare-feu.

Configuration de la stratégie d'options de pare-feuLa stratégie d'options de pare-feu vous permet d'activer ou de désactiver le pare-feu et d'appliquer le Mode spéculatif ou le Mode d'apprentissage pour les clients. Vous pouvez choisir parmi quatre stratégies préconfigurées ou en créer une nouvelle et l'appliquer.

Pour configurer la stratégie d'options de pare-feu :1 Dans l'arborescence de la console, sélectionnez le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Dans l'onglet Stratégies, développez la fonction Pare-feu Host Intrusion Prevention.

3 Dans la ligne Options de pare-feu, cliquez sur Modifier.

La liste des noms de stratégies est activée.

4 Effectuez l'une des actions suivantes :

Figure 5-3 Fonction de pare-feu

*

79

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie d'options de pare-feu

5

Sélectionnez une stratégie préconfigurée dans la liste et cliquez sur Appliquer :

Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

5 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Options de pare-feu s'affiche.

6 Sélectionnez les paramètres appropriés. Pour plus de détails, cliquez sur Aide.

7 Cliquez sur Appliquer et fermez la boîte de dialogue.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

8 Cliquez sur Appliquer.

Sélectionnez... Pour ces paramètres...

Désactivé (par défaut pour McAfee)

Tous désactivés

Activé Activer le pare-feu

Activer la protection normale

Conserver les règles du client

Spéculatif Activer le pare-feu

Activer le Mode spéculatif

Conserver les règles du client

Apprentissage Activer le pare-feu

Activer le Mode d'apprentissage, entrant et sortant

Conserver les règles du client

Remarque

Vous pouvez créer et dupliquer une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

Figure 5-4 Options de pare-feu

80

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Configuration de la stratégie de règles de pare-feuLes règles de pare-feu déterminent les actions d'un système lorsqu'il intercepte un trafic réseau, c'est-à-dire l'autoriser ou le bloquer. Vous pouvez créer et gérer des règles de pare-feu en appliquant une stratégie de Règles de pare-feu et en la configurant selon vos besoins.

La stratégie de Règles de pare-feu permet d'accéder aux actions suivantes :

Création de nouvelles stratégies de règles de pare-feu

Affichage et modification de règles de pare-feu

Création d'une nouvelle règle de pare-feu ou d'un groupe de pare-feu

Suppression d'une règle de pare-feu ou d'un groupe

Affichage des règles du client de pare-feu

Création de nouvelles stratégies de règles de pare-feuPour ajouter une nouvelle stratégie sans qu'elle soit spécifique à un nœud, créez-la dans le Catalogue des stratégies. Pour plus de détails, consultez la section Catalogue des stratégies, page 119. Pour ajouter une nouvelle stratégie spécifique à un nœud, suivez les instructions décrites dans cette section.

Pour créer une stratégie de règles de pare-feu :1 Dans l'arborescence de la console, sélectionnez le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Dans l'onglet Stratégies, développez la fonction de pare-feu.

3 Dans la ligne Règles de pare-feu, cliquez sur Modifier.

La liste des noms de stratégies est activée.

4 Effectuez l'une des actions suivantes :

Sélectionnez l'une des stratégies préconfigurées dans la liste et cliquez sur Appliquer.

81

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Sélectionnez cette stratégie...

Pour cette protection...

Minimale (par défaut) Bloque tout le trafic ICMP entrant susceptible d'être utilisé par l'auteur d'une attaque pour rassembler des informations sur votre ordinateur. Host Intrusion Prevention autorise le reste du trafic ICMP.

Autorise les requêtes de partage de fichiers Windows provenant d'ordinateurs du même sous-réseau que le vôtre et bloque les requêtes de partage de toute autre origine (l'option Inclure un sous-réseau local automatiquement doit être sélectionnée pour la stratégie Réseaux sécurisés).

Vous autorise à parcourir les domaines, les groupes de travail et les ordinateurs Windows.

Autorise tout trafic UDP supérieur, entrant ou sortant.

Autorise le trafic qui utilise les ports UDP BOOTP, DNS et Net Time.

Démarreur d'apprentissage

Bloque le trafic ICMP entrant susceptible d'être utilisé par l'auteur d'une attaque pour rassembler des informations sur votre ordinateur. Host Intrusion Prevention autorise le reste du trafic ICMP.

Autorise les requêtes de partage de fichiers Windows provenant d'ordinateurs du même sous-réseau que le vôtre et bloque les requêtes de partage de toute autre origine (l'option Inclure un sous-réseau local automatiquement doit être sélectionnée pour la stratégie Réseaux sécurisés).

Vous autorise à parcourir les domaines, les groupes de travail et les ordinateurs Windows.

Autorise le trafic qui utilise les ports UDP BOOTP, DNS et Net Time.

Moyenne – client Autorise uniquement le trafic ICMP requis pour la gestion de réseau IP (y compris les pings sortants, les routages de traçage et les messages ICMP entrants). Host Intrusion Prevention bloque le reste du trafic ICMP.

Autorise le trafic UDP nécessaire pour accéder aux informations IP (votre adresse IP ou l'heure du réseau, par exemple). Ce niveau de protection autorise également le trafic sur les ports UDP supérieurs (1024 ou plus).

Autorise le partage de fichiers Windows, mais uniquement pour un sous-réseau local. Vous ne pouvez pas naviguer hors de votre sous-réseau local et cette protection empêche quiconque se trouvant à l'extérieur de votre sous-réseau d'accéder aux fichiers de votre ordinateur (l'option Inclure un sous-réseau local automatiquement doit être sélectionnée pour la stratégie Réseaux sécurisés).

Élevée – client Utilisez ce niveau de protection en cas d'attaque ou lorsque le risque est élevé. Ce niveau de protection autorise le trafic entrant et sortant minimal pour votre système.

Autorise uniquement le trafic ICMP nécessaire pour une gestion de réseau appropriée. Cette protection bloque les pings entrants et sortants.

Autorise uniquement le trafic UDP nécessaire pour accéder aux informations IP (votre adresse IP ou l'heure du réseau, par exemple).

Bloque le partage de fichiers Windows.

82

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Sélectionnez Nouvelle stratégie pour créer une nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

5 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Règles de pare-feu s'affiche et la nouvelle stratégie est sélectionnée dans le volet de la liste de stratégies.

Moyenne – serveur Utilisez ce niveau de protection pour un serveur réseau.

Autorise le trafic ICMP destiné à faciliter la communication entre le serveur et ses clients. Cette protection bloque le reste du trafic ICMP.

Autorise le trafic UDP nécessaire pour accéder aux informations IP. Cette protection autorise également le trafic sur les ports UDP supérieurs (1024 ou plus).

Élevée – serveur Utilisez ce niveau de protection pour un serveur connecté directement à Internet et exposé à un risque d'attaque élevé. Utilisez ce niveau de protection comme base pour créer votre propre ensemble de règles personnalisé.

Autorise le trafic ICMP spécifique destiné à faciliter les communications entre le serveur et ses clients. Host Intrusion Prevention bloque le reste du trafic ICMP.

Autorise le trafic UDP nécessaire pour accéder aux informations IP. Host Intrusion Prevention bloque le reste du trafic UDP.

Sélectionnez cette stratégie...

Pour cette protection...

Figure 5-5 Boîte de dialogue Créer une stratégie

Figure 5-6 Onglet Règles de pare-feu

83

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

6 Effectuez l'une des actions suivantes :

Ajouter des règles ou des groupes (consultez la section Création d'une nouvelle règle de pare-feu ou d'un groupe de pare-feu, page 85).

Modifier des règles (consultez la section Affichage et modification de règles de pare-feu).

Supprimer des règles (consultez la section Suppression d'une règle de pare-feu ou d'un groupe, page 88).

7 Cliquez sur Fermer.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

8 Cliquez sur Appliquer.

Affichage et modification de règles de pare-feuVous pouvez afficher le détail d'une règle ou modifier une règle pour changer les options. Pour cela, accédez à l'onglet Règles de pare-feu dans la stratégie de règles de pare-feu.

Pour afficher et modifier une règle de pare-feu :1 Dans l'onglet Règles de pare-feu, sélectionnez la stratégie dans la liste des Stratégies,

puis la règle à afficher ou à modifier dans le volet de détails.

2 Cliquez sur Propriétés dans le menu de raccourci ou la barre d'outils.

La boîte de dialogue Règle de pare-feu s'affiche.

3 Modifiez les paramètres de la règle. Pour plus de détails, cliquez sur Aide.

4 Cliquez sur OK pour enregistrer les modifications.

Remarque

Vous pouvez également créer une stratégie à partir de la boîte de dialogue Règles de pare-feu, en cliquant sur Ajouter une stratégie ou Dupliquer stratégie.

84

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Création d'une nouvelle règle de pare-feu ou d'un groupe de pare-feu

Deux possibilités s'offrent à vous : créer une nouvelle règle ou en dupliquer une qui existe déjà et la modifier. Vous pouvez également créer un groupe pour un ensemble de règles, un groupe de reconnaissance de connexion ou encore ajouter des règles prédéfinies. Créez de nouvelles règles et de nouveaux groupes à partir de l'onglet Règles de pare-feu dans la stratégie de règles de pare-feu.

Pour créer une règle de pare-feu :1 Dans l'onglet Règles de pare-feu de la stratégie de règles de pare-feu, cliquez sur

Ajouter, puis sur Nouvelle règle.

La boîte de dialogue Règle de pare-feu s'affiche.

2 Sélectionnez les paramètres appropriés.

3 Cliquez sur OK.

Figure 5-7 Boîte de dialogue Nouvelle règle de pare-feu

Remarque

Vous pouvez également créer des règles en ajoutant des règles prédéfinies et des groupes de règles à la stratégie. Cliquez sur Ajouter, puis sur Règles prédéfinies. Dans la boîte de dialogue Sélectionner des règles prédéfinies, sélectionnez le groupe ou les règles individuelles que vous souhaitez ajouter, puis cliquez sur OK.

85

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Pour créer un nouveau groupe de règles :1 Dans l'onglet Règles de pare-feu de la stratégie de règles de pare-feu, cliquez sur

Ajouter, puis sur Nouveau groupe.

La boîte de dialogue Groupe de règles de pare-feu s'affiche.

2 Dans le champ Nom, saisissez le nom du groupe.

3 Cliquez sur OK pour ajouter le groupe.

Vous pouvez maintenant créer de nouvelles règles dans ce groupe ou y déplacer des règles existantes à partir de la liste de règles de pare-feu.

Pour créer un groupe de reconnaissance de connexion :1 Dans l'onglet Règles de pare-feu de la stratégie de règles de pare-feu, cliquez sur

Ajouter, puis sur Nouveau groupe de reconnaissance de connexion.

La boîte de dialogue Nouveau groupe de reconnaissance de connexion s'affiche.

2 Dans le champ Nom, saisissez le nom du groupe.

3 Dans Type de connexion, sélectionnez le type de connexion (LAN, Sans fil (802.11), Tous) auquel les règles de ce groupe doivent s'appliquer.

Figure 5-8 Boîte de dialogue Nouveau groupe de règles de pare-feu

Figure 5-9 Boîte de dialogue Nouveau groupe de reconnaissance de connexion

86

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

4 Cochez la case Informations sur la connexion pour définir le groupe, puis cliquez sur l'option Modifier la liste correspondante pour ajouter un ou plusieurs suffixes DNS ou adresses.

5 Cliquez sur OK.

Vous pouvez maintenant créer de nouvelles règles dans ce groupe ou y déplacer des règles existantes à partir de la liste de règles de pare-feu. Les trois groupes de reconnaissance de connexion apparaissent dans la liste de règles de pare-feu avec la même icône et le type de connexion s'affichant entre parenthèses.

Pour plus d'informations sur les groupes de reconnaissance de connexion, consultez la section Groupes de règles de pare-feu et groupes de reconnaissance de connexion, page 75.

Pour ajouter des règles prédéfinies :1 Dans l'onglet Règles de pare-feu de la stratégie de règles de pare-feu, cliquez sur

Ajouter, puis sur Règles prédéfinies.

La boîte de dialogue Sélectionner des règles prédéfinies s'affiche.

2 Sélectionnez au moins un groupe ou une règle au sein d'un groupe.

3 Cliquez sur OK pour ajouter les règles et groupes sélectionnés.

Remarque

Si vous sélectionnez le type de connexion Tous, vous devez sélectionner Vérifier la liste des adresses IP ou Vérifier la liste des suffixes DNS et modifier la liste correspondante.

Précisez une adresse MAC de serveur DHCP uniquement pour les serveurs DHCP se trouvant sur le même sous-réseau que le client. Identifiez les serveurs DHCP distants uniquement à l'aide de leur adresse IP.

Figure 5-10 Boîte de dialogue Sélectionner des règles prédéfinies

87

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Suppression d'une règle de pare-feu ou d'un groupeSupprimez des règles et des groupes dans l'onglet Règles de pare-feu de la stratégie de règles de pare-feu.

Pour supprimer une règle de pare-feu ou un groupe :1 Sélectionnez l'onglet Règles de pare-feu de la stratégie de règles de pare-feu,

puis sélectionnez les règles ou les groupes à supprimer.

2 Cliquez sur Supprimer.

3 Cliquez sur Oui dans la boîte de dialogue de confirmation pour supprimer les éléments de la liste.

Affichage des règles du client de pare-feuL'onglet Règles du client de pare-feu affiche toutes les règles de pare-feu créées sur les systèmes du client. L'Affichage normal montre toutes les règles, y compris les doublons ; l'Affichage agrégé montre les règles regroupées selon les caractéristiques que vous avez spécifiées.

Pour afficher toutes les règles du client de pare-feu :1 Sélectionnez l'onglet Règles du client de pare-feu de la stratégie de règles de pare-feu,

puis cliquez sur l'onglet Affichage normal.

2 Pour modifier l'affichage, effectuez l'une des actions suivantes :

Figure 5-11 Règles du client de pare-feu – Affichage normal

Pour... Faites cela...

Afficher les détails d'une règle

Sélectionnez la règle et cliquez sur Propriétés.

Transférer une règle vers une stratégie

Sélectionnez la règle et cliquez sur Ajouter à la stratégie.

88

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de pare-feu

5

Pour afficher les règles agrégées du client de pare-feu :1 Sélectionnez l'onglet Règles du client de pare-feu de la stratégie de règles de pare-feu,

puis cliquez sur l'onglet Affichage agrégé.

Cliquez sur Sélectionner une colonne pour afficher la boîte de dialogue Agréger une règle de pare-feu si elle n'est pas encore ouverte.

2 Cochez une ou plusieurs cases pour déterminer les critères d'agrégation des règles du client à afficher, puis cliquez sur OK.

Pour afficher le détail d'une règle de pare-feu agrégée et la modifier :Dans l'onglet Affichage agrégé, sélectionnez une règle agrégée et cliquez sur Afficher les règles individuelles.

Toutes les règles individuelles de la règle agrégée s'affichent dans l'onglet Affichage normal.

Faire défiler la liste de règles

Cliquez sur les boutons de navigation de la barre d'outils.

Filtrer la liste de règles

Cliquez sur Définir un filtre. Dans la boîte de dialogue Définir un filtre d'application, cochez une ou plusieurs cases et entrez une valeur dans le champ correspondant pour définir un filtre.

Pour... Faites cela...

Figure 5-12 Règles de pare-feu du client – Affichage agrégé

89

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie d'options de quarantaine

5

Configuration de la stratégie d'options de quarantaineLa stratégie d'options de quarantaine vous permet d'activer ou de désactiver le mode de quarantaine, de créer un message de notification de quarantaine, de définir des réseaux mis en quarantaine et de configurer des options d'échec.

Pour configurer la stratégie d'options de quarantaine :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Développez la fonction de pare-feu, puis, dans la ligne Options de quarantaine, cliquez sur Modifier.

La liste des noms de stratégies est activée.

3 Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

4 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Options de quarantaine s'affiche.

5 Sélectionnez les paramètres appropriés.

6 Cliquez sur Appliquer et fermez la boîte de dialogue.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

7 Cliquez sur Appliquer.

Remarque

Vous pouvez créer et dupliquer une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

Figure 5-13 Options de quarantaine

90

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de quarantaine

5

Configuration de la stratégie de règles de quarantaineLa stratégie de règles de quarantaine est un ensemble spécial de règles de pare-feu, appliqué lorsque le Mode de quarantaine est activé. Vous pouvez créer et gérer des règles de quarantaine en appliquant une stratégie de règles de quarantaine et en la configurant selon vos besoins.

La stratégie de Règles de quarantaine permet d'accéder à :

Création de nouvelles stratégies de règles de quarantaine

Affichage et modification de règles de quarantaine

Création d'une nouvelle règle de quarantaine ou d'un groupe

Suppression d'une règle de quarantaine ou d'un groupe

Création de nouvelles stratégies de règles de quarantainePour ajouter une nouvelle stratégie sans qu'elle soit spécifique à un nœud, créez-la dans le Catalogue des stratégies. Pour plus de détails, consultez la section Catalogue des stratégies, page 119. Pour ajouter une nouvelle stratégie spécifique à un nœud, suivez les instructions décrites dans cette section.

Pour créer une stratégie de règles de quarantaine :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Développez la fonction de pare-feu, puis, dans la ligne Règles de quarantaine, cliquez sur Modifier.

La liste des noms de stratégies est activée.

3 Effectuez l'une des actions suivantes :

Sélectionnez l'une des stratégies préconfigurées dans la liste et cliquez sur Appliquer.

Sélectionnez Nouvelle stratégie pour créer une nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

4 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Règles de quarantaine s'affiche et la nouvelle stratégie est sélectionnée dans le volet de la liste de stratégies.

Remarque

Si des utilisateurs se connectent au réseau via un logiciel VPN (réseau privé virtuel), assurez-vous que les règles de quarantaine autorisent le trafic requis pour se connecter et s'authentifier sur le réseau privé virtuel.

Vous pouvez utiliser la fonction de pare-feu normale pour déterminer les règles associées au réseau privé virtuel (VPN) dont vous avez besoin pour le mode de quarantaine. Activez le Mode d'apprentissage ou le Mode spéculatif du pare-feu et connectez-vous à l'aide du logiciel VPN. Host Intrusion Prevention génère automatiquement les règles correspondant au réseau privé virtuel (VPN), que vous pouvez ensuite réutiliser dans vos règles de quarantaine.

91

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de quarantaine

5

5 Effectuez l'une des actions suivantes :

Ajouter des règles (consultez la section Création d'une nouvelle règle de quarantaine ou d'un groupe, page 93).

Modifier des règles (consultez la section Affichage et modification de règles de quarantaine).

Supprimer des règles (consultez la section Suppression d'une règle de quarantaine ou d'un groupe, page 93).

6 Cliquez sur Fermer pour fermer la boîte de dialogue.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

7 Cliquez sur Appliquer.

Affichage et modification de règles de quarantaineVous pouvez afficher les détails d'une règle ou modifier les options de cette dernière. Pour cela, accédez à la boîte de dialogue Règles de quarantaine.

Pour afficher et modifier une règle de quarantaine :1 Sélectionnez une stratégie dans la liste des Stratégies, puis, dans le volet de détails,

sélectionnez la règle à afficher ou à modifier.

2 Cliquez sur Propriétés.

La boîte de dialogue Règle de quarantaine s'affiche.

3 Modifiez les paramètres de la règle.

4 Cliquez sur OK pour enregistrer les modifications.

Figure 5-14 Boîte de dialogue Règles de quarantaine

Remarque

Vous pouvez également créer une stratégie à partir de la boîte de dialogue Règles de quarantaine, en cliquant sur Ajouter une stratégie ou Dupliquer stratégie.

92

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de pare-feuConfiguration de la stratégie de règles de quarantaine

5

Création d'une nouvelle règle de quarantaine ou d'un groupeDeux possibilités s'offrent à vous : créer une nouvelle règle ou en dupliquer une qui existe déjà et la modifier. Vous pouvez également créer un groupe pour un ensemble de règles ou ajouter des règles prédéfinies. Vous pouvez créer des règles et des groupes dans la boîte de dialogue Règles de quarantaine.

Pour créer une règle de quarantaine :1 Dans l'onglet Règles de quarantaine de la stratégie de règles de quarantaine, cliquez

sur Ajouter, puis sur Nouvelle règle.

La boîte de dialogue Règle de pare-feu de quarantaine s'affiche.

2 Sélectionnez les paramètres appropriés.

3 Cliquez sur OK.

Pour créer un nouveau groupe de règles :1 Dans l'onglet Règles de quarantaine de la stratégie de règles de quarantaine, cliquez

sur Ajouter, puis sur Nouveau groupe.

La boîte de dialogue Groupe de règles de pare-feu de quarantaine s'affiche.

2 Dans le champ Nom, saisissez le nom du groupe.

3 Cliquez sur OK pour ajouter le groupe.

Vous pouvez désormais créer de nouvelles règles dans ce groupe ou y déplacer des règles existantes dans la liste de règles de pare-feu de quarantaine.

Pour ajouter des règles prédéfinies :1 Dans l'onglet Règles de quarantaine de la stratégie de règles de quarantaine, cliquez

sur Ajouter, puis sur Règles prédéfinies.

La boîte de dialogue Sélectionner des règles prédéfinies s'affiche.

2 Sélectionnez au moins un groupe ou une règle au sein d'un groupe.

3 Cliquez sur OK pour ajouter les règles et groupes sélectionnés.

Suppression d'une règle de quarantaine ou d'un groupeVous pouvez supprimer des règles et des groupes dans la boîte de dialogue Règles de quarantaine.

Pour supprimer une règle de quarantaine ou un groupe :1 Dans l'onglet Règles de quarantaine de la stratégie de règles de quarantaine,

sélectionnez les règles ou les groupes à supprimer.

2 Cliquez sur Supprimer.

3 Cliquez sur Oui dans la boîte de dialogue de confirmation pour supprimer les éléments de la liste.

Remarque

Vous pouvez également créer des règles en ajoutant des règles prédéfinies et des groupes de règles à la stratégie. Cliquez sur Ajouter, puis sur Règles prédéfinies. Dans la boîte de dialogue Sélectionner des règles prédéfinies, sélectionnez le groupe ou les règles individuelles que vous souhaitez ajouter, puis cliquez sur OK.

93

6 Stratégies de blocage d'application

La fonction de blocage d'application de Host Intrusion Prevention gère un ensemble d'applications que vous autorisez à s'exécuter (création d'application) ou à se lier (accrochage d'application) à d'autres applications.

Cette section décrit le fonctionnement de la fonction de blocage d'application et comprend les rubriques suivantes :

Présentation

Configuration de la stratégie d'options de blocage d'application

Configuration de la stratégie Règles de blocage d'application

Présentation La fonction de blocage d'application active ou désactive le blocage d'application et configure les règles de blocage d'application. Le blocage d'application vous permet de bloquer la création d'application, l'accrochage d'application ou ces deux actions. Vous pouvez également indiquer s'il faut conserver les règles de blocage créées sur des clients manuellement ou par le biais des modes spéculatif ou d'apprentissage.

Création d'applicationBloquez la création d'application lorsque vous souhaitez empêcher l'exécution de programmes spécifiques ou inconnus. Par exemple, certaines attaques par des chevaux de Troie peuvent lancer des applications malveillantes sur un ordinateur sans que l'utilisateur le sache. Si vous bloquez la création d'application, vous pouvez empêcher de telles attaques en n'autorisant que l'exécution d'applications spécifiques et légitimes. Vous pouvez également activer le mode spéculatif automatique ou le mode d'apprentissage interactif pour établir de façon dynamique un ensemble d'applications autorisées.

94

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationPrésentation

6

Accrochage d'application Bloquez l'accrochage d'application pour empêcher la liaison d'applications inconnues à d'autres programmes. Ce type d'accrochage, qui se déroule au niveau du noyau de l'API, est nécessaire pour certaines applications légitimes, mais peut également signaler une attaque. Par exemple, une application malveillante peut tenter de se distribuer par e-mail en s'accrochant à l'application de messagerie. Vous pouvez empêcher ces attaques en bloquant l'accrochage d'application ou en le configurant pour que seules certaines applications bien précises se lient à d'autres programmes. Vous pouvez également activer le mode spéculatif automatique ou le mode d'apprentissage interactif pour gérer les applications inconnues tentant de s'accrocher à d'autres applications.

Stratégies de blocage d'application prédéfiniesLa fonction de blocage d'application contient deux catégories de stratégies :

Options de blocage d'application : Active ou désactive le blocage de création ou d'accrochage d'application. Les stratégies prédéfinies comprennent Désactivé (par défaut pour McAfee), Activé, Spéculatif, Apprentissage.

Règles de blocage d'application : Définit les paramètres de blocage d'application. La stratégie prédéfinie est la stratégie par défaut (par défaut pour McAfee).

Accès rapideLa fonction de blocage d'application présente des liens (*) pour un accès rapide, afin de surveiller et de gérer les règles de blocage d'application et les règles du client de blocage d'application.

Figure 6-1 Fonction de blocage d'application

*

95

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie d'options de blocage d'application

6

Configuration de la stratégie d'options de blocage d'application

La stratégie Options de blocage d'application propose quatre stratégies préconfigurées parmi lesquelles choisir. Vous pouvez également créer une nouvelle stratégie et l'appliquer.

Pour appliquer une stratégie d'options de blocage d'application :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Développez la fonction Blocage d'application, puis cliquez sur Modifier dans la ligne Options de blocage d'application.

La liste des noms de stratégies est activée.

3 Effectuez l'une des actions suivantes :

Sélectionnez l'une des stratégies préconfigurées dans la liste, puis cliquez sur Appliquer :

Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

4 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Options de blocage d'application s'affiche.

Sélectionnez cette stratégie...

Pour ces paramètres...

désactivé (par défaut pour McAfee)

Tous les paramètres sont désactivés.

activé Blocage de la création d'application, protection normale

Blocage de l'accrochage d'application, protection normale

Spéculatif Blocage de la création d'application, mode spéculatif

Blocage de l'accrochage d'application, mode spéculatif

Apprentissage Blocage de la création d'application, mode d'apprentissage

Blocage de l'accrochage d'application, mode d'apprentissage

Remarque

Vous pouvez créer et dupliquer une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

96

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie d'options de blocage d'application

6

5 Sélectionnez les paramètres appropriés.

6 Cliquez sur Appliquer et fermez la boîte de dialogue.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

7 Cliquez sur Appliquer.

Figure 6-2 Options de blocage d'application

97

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie Règles de blocage d'application

6

Configuration de la stratégie Règles de blocage d'application

Les règles déterminent la façon dont le blocage d'application traite les différentes applications. Créez et gérez des règles en appliquant une stratégie de Règles de blocage d'application et en la configurant selon vos besoins.

La stratégie de Règles de blocage d'application permet d'accéder à :

Création de nouvelles stratégies de règles de blocage d'application

Affichage et modification des règles de blocage d'application

Création de nouvelles règles de blocage d'application

Suppression d'une règle de blocage d'application

Affichage des règles de client d'application

Création de nouvelles stratégies de règles de blocage d'application

Pour ajouter une nouvelle stratégie sans qu'elle soit spécifique à un nœud, créez-la dans le Catalogue des stratégies. Pour plus d'informations, consultez la section Onglet Stratégies, page 117. Pour ajouter une nouvelle stratégie spécifique à un nœud, suivez les instructions décrites dans cette section.

Pour créer une stratégie de règles de blocage d'application :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Développez la fonction Blocage d'application, puis cliquez sur Modifier dans la ligne Règles de blocage d'application.

La liste des noms de stratégies est activée.

3 Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

4 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Règles de blocage d'application s'affiche et la nouvelle stratégie est sélectionnée dans le volet de la liste de stratégies.

Figure 6-3 Boîte de dialogue Créer une stratégie

98

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie Règles de blocage d'application

6

5 Effectuez l'une des actions suivantes :

Ajouter des règles (consultez la section Création de nouvelles règles de blocage d'application, page 100).

Modifier les règles (consultez la section Affichage et modification des règles de blocage d'application).

Supprimer des règles (consultez la section Suppression d'une règle de blocage d'application, page 101).

6 Cliquez sur Fermer pour fermer la boîte de dialogue.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

7 Cliquez sur Appliquer.

Affichage et modification des règles de blocage d'applicationVous pouvez afficher le détail d'une règle ou la modifier pour la désactiver, la personnaliser et changer les options d'application. Pour cela, accédez à l'onglet Règles de blocage d'application de la stratégie Règles de blocage d'application.

Pour afficher et modifier une règle de blocage d'application :1 À partir de l'onglet Règles de blocage d'application, sélectionnez la stratégie dans

la liste des Stratégies, puis, dans le volet de détails, la règle à afficher ou à modifier.

2 Cliquez sur Propriétés.

La boîte de dialogue Règle d'application s'affiche.

3 Modifiez les paramètres de la règle, au choix. Consultez la section Création de nouvelles règles de blocage d'application, page 100, pour plus d'informations sur chaque paramètre :

4 Cliquez sur OK pour enregistrer les modifications.

Figure 6-4 Boîte de dialogue Règles de blocage d'application

Remarque

Vous pouvez également créer une stratégie à partir de la boîte de dialogue Règles de blocage d'application en utilisant les boutons Ajouter une stratégie ou Dupliquer stratégie.

99

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie Règles de blocage d'application

6

Création de nouvelles règles de blocage d'applicationDeux possibilités s'offrent à vous : créer une nouvelle règle ou en dupliquer une qui existe déjà et la modifier. Vous pouvez créer de nouvelles règles à partir de l'onglet Règles d'application de la boîte de dialogue Règles de blocage d'application.

Pour créer une nouvelle règle de blocage d'application :1 À partir de l'onglet Règles de blocage d'application de la stratégie Règles de blocage

d'application, cliquez sur Ajouter.

La boîte de dialogue Règle d'application s'affiche.

2 Sélectionnez l'application à laquelle appliquer cette règle dans la liste Application. Si l'application n'apparaît pas dans cette liste, cliquez sur Parcourir pour rechercher le fichier exécutable de l'application.

3 Cliquez sur Personnaliser pour déterminer de quelle manière l'application remplit les critères de la règle, puis sélectionnez l'une des options suivantes :

Empreinte de l'application : Calcule un hachage de l'application sur le serveur qui sera uniquement admis si l'application du client est de la même version que celle référencée sur le serveur.

D'abord le chemin, puis l'empreinte : Au premier lancement de l'application, cette dernière sera comparée au chemin spécifié par l'utilisateur. Si elle est validée, l'empreinte sera calculée sur le client. À partir de là, la règle sera uniquement comparée à l'empreinte de l'application.

Toujours le chemin et pas l'empreinte : Au lancement de l'application, cette dernière sera uniquement comparée au chemin spécifié par l'utilisateur.

4 Sélectionnez les Options d'application :

5 Cliquez sur OK pour ajouter la nouvelle règle à la liste Règles d'application.

Remarque

Vous pouvez également créer une nouvelle règle en sélectionnant une règle existante, en cliquant sur Dupliquer, en modifiant la règle et en l'enregistrant.

Figure 6-5 Boîte de dialogue Règle d'application

Remarque

Cliquez sur Parcourir pour rechercher les applications du serveur ePO. Dans la plupart des cas, vous devez cliquer sur Personnaliser et sélectionner les options souhaitées pour que l'application appropriée soit bien appliquée sur le système client.

Sélectionnez cette option... Pour...

Règle d'application active Active cette règle.

Application autorisée à être créée Autorise l'application à s'exécuter.

Application autorisée à lancer d'autres applications

Autorise l'application à se lier à d'autres applications.

100

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie Règles de blocage d'application

6

Suppression d'une règle de blocage d'applicationSupprimez des règles à partir de l'onglet Règles de blocage d'application de la stratégie Règles de blocage d'application.

Pour supprimer une règle de blocage d'application :1 Dans l'onglet Règles de blocage d'application de la stratégie Règles de blocage

d'application, sélectionnez une ou plusieurs règles à supprimer.

2 Cliquez sur Supprimer.

3 Cliquez sur Oui dans la boîte de dialogue de confirmation pour supprimer la (les) règle(s) de la liste.

Affichage des règles de client d'applicationL'onglet Règles du client de blocage d'application affiche toutes les règles, créées sur les systèmes clients, qui autorisent ou bloquent des applications. L'Affichage normal affiche toutes les règles, y compris celles en double. L'Affichage agrégé affiche les règles groupées selon leurs caractéristiques.

Pour afficher toutes les règles d'application du client :1 Cliquez sur l'onglet Règles du client de blocage d'application dans la stratégie Règles

de blocage d'application, puis cliquez sur l'onglet Affichage normal.

Conseil

La suppression d'une règle est définitive. Nous vous recommandons de modifier la règle et de désélectionner Active pour désactiver la règle.

Figure 6-6 Onglet Affichage normal

101

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies de blocage d'applicationConfiguration de la stratégie Règles de blocage d'application

6

2 Pour modifier l'affichage, effectuez l'une des actions suivantes :

Pour afficher les règles d'application agrégées du client :1 Cliquez sur l'onglet Règles du client de blocage d'application dans la stratégie Règles

de blocage d'application, puis cliquez sur l'onglet Affichage agrégé.

2 Cliquez sur Sélectionner une colonne pour afficher la boîte de dialogue Agréger une règle d'application si elle n’est pas encore ouverte.

3 Sélectionnez au moins une option pour déterminer les critères d'agrégation des règles du client, puis cliquez sur OK.

Pour afficher le détail d'une règle d'application du client agrégée :Dans l'onglet Affichage agrégé, sélectionnez une règle agrégée et cliquez sur Afficher les règles individuelles sur le menu de raccourci ou dans la barre d'outils.

Toutes les règles individuelles de la règle agrégée s'affichent dans l'onglet Affichage normal.

:

Pour... Faites cela...

Afficher le détail d'une règle

Sélectionnez la règle et cliquez sur Propriétés.

Transférer une règle vers une stratégie

Sélectionnez la règle et cliquez sur Ajouter à la stratégie.

Faire défiler la liste de règles

Cliquez sur les boutons de navigation de la barre d'outils.

Filtrer la liste de règles

Cliquez sur Définir un filtre. Dans la boîte de dialogue Définir un filtre d'application, activez au moins une case à cocher et entrez une valeur dans le champ correspondant pour définir un filtre.

Figure 6-7 Onglet affichage agrégé

102

7 Stratégies générales

La fonction Général de Host Intrusion Prevention permet d'accéder aux stratégies générales, non spécifiques à une fonction.

Cette section décrit le fonctionnement de la fonction Général et comprend les rubriques suivantes :

Présentation

Configuration de la stratégie Appliquer les stratégies

Configuration de la stratégie Interface utilisateur du client

Configuration de la stratégie Réseaux sécurisés

Configuration de la stratégie Applications sécurisées

Présentation Les stratégies générales s'appliquent aux paramètres IPS et de pare-feu, et priment sur les paramètres des stratégies IPS et de pare-feu individuelles.

La stratégie Appliquer les stratégies est l'interrupteur de base pour l'application des stratégies d'administration Host Intrusion Prevention sur le client.

La stratégie Interface utilisateur du client détermine les options disponibles pour un ordinateur client avec un client Host Intrusion Prevention, y compris l'affichage ou non de l'icône du client dans la barre d'état système, les types d'alertes d'intrusion et les mots de passe permettant d'accéder à l'interface du client.

La stratégie Réseaux sécurisés répertorie les adresses IP et les sous-réseaux sûrs pour la communication. Les réseaux sécurisés peuvent inclure des sous-réseaux, des adresses IP individuelles ou des séries d'adresses IP. Le marquage des réseaux comme sécurisés élimine ou réduit la nécessité d'exceptions IPS et de règles de pare-feu supplémentaires.

La stratégie Règles d'applications sécurisées répertorie les applications sûres, dépourvues de toute vulnérabilité connue et autorisées à effectuer n'importe quelle opération. Le marquage des applications comme sécurisées élimine ou réduit la nécessité d'exceptions IPS et de règles de pare-feu et de blocage d'application supplémentaires. Comme la stratégie Règles IPS (consultez la section Configuration de la stratégie Règles IPS, page 41), cette catégorie de stratégie peut contenir de nombreuses instances de stratégie.

Les paramètres des stratégies Réseaux sécurisés et Applications sécurisées peuvent réduire ou éliminer les faux positifs, ce qui facilite le réglage du déploiement.

103

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesPrésentation

7

Stratégies générales prédéfiniesLa fonction Général contient quatre catégories de stratégies :

Appliquer les stratégies : Active ou désactive l'application des stratégies d'administration. Les stratégies prédéfinies comprennent Oui (par défaut pour McAfee) et Non.

Interface utilisateur du client : Définit l'accès à l'interface utilisateur du client Host Intrusion Prevention. La stratégie prédéfinie est la stratégie par défaut (valeur McAfee par défaut).

Réseaux sécurisés : Définit les réseaux sécurisés. La stratégie prédéfinie est la stratégie par défaut (valeur McAfee par défaut).

Applications sécurisées : Définit les applications sécurisées. La stratégie prédéfinie est la stratégie par défaut (valeur McAfee par défaut).

Figure 7-1 Fonction Général

104

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Appliquer les stratégies

7

Configuration de la stratégie Appliquer les stratégies Cette stratégie est l'interrupteur de base pour l'application de stratégies. Cette stratégie ne peut être supprimée ou modifiée, et aucune nouvelle stratégie ne peut être créée.

Pour modifier les paramètres de la stratégie :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Développez la fonction Général et cliquez sur Modifier dans la ligne Appliquer les stratégies.

La liste des noms de stratégies est activée.

3 Sélectionnez Non ou Oui.

La valeur par défaut Oui permet l'application des stratégies d'administration sur des clients ; la valeur Non empêche l'application des stratégies d'administration.

4 Cliquez sur Appliquer.

Configuration de la stratégie Interface utilisateur du client

La stratégie Interface utilisateur du client détermine les options disponibles pour un ordinateur client Windows protégé par Host Intrusion Prevention. Celles-ci comprennent les paramètres d'affichage des icônes, les réactions aux événements d'intrusion et l'accès administrateur et utilisateur du client. Les options de cette stratégie permettent de satisfaire les exigences de trois fonctions types :

Utilisateur normal Il s'agit de l'utilisateur moyen, qui a installé le client Host Intrusion Prevention sur un poste de travail ou un ordinateur portable. La stratégie Interface utilisateur du client permet à cet utilisateur :

d'afficher l'icône du client Host Intrusion Prevention dans la barre d'état système et de lancer l'interface utilisateur du client.

d'obtenir des alertes d'intrusion contextuelles ou de les désactiver après qu'elles ont commencé à s'afficher ;

de créer d'autres règles IPS, de pare-feu et de blocage d'application.

Remarque

Sélectionner Non ne désactive pas le client et sa protection de l'hôte ; cela empêche simplement l'application des mises à jour de stratégies sur le client.

Figure 7-2 Appliquer les stratégies

105

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Interface utilisateur du client

7

Utilisateur déconnectéIl s'agit d'un utilisateur, peut-être avec un ordinateur portable, déconnecté du serveur Host Intrusion Prevention pendant un certain temps. Cet utilisateur rencontre peut-être des problèmes techniques avec Host Intrusion Prevention ou a besoin d'effectuer des opérations sans interaction avec Host Intrusion Prevention. La stratégie Interface utilisateur du client permet à cet utilisateur d'obtenir un mot de passe temporaire et spécifique à son ordinateur pour effectuer des tâches d'administration ou pour activer ou désactiver des fonctions de protection.

Utilisateur administrateurIl s'agit d'un administrateur informatique pour tous les ordinateurs, qui doit effectuer des opérations spéciales sur un ordinateur client, sans tenir compte des stratégies autorisées par l'administrateur. La stratégie Interface utilisateur du client permet à cet utilisateur d'obtenir un mot de passe administrateur illimité pour effectuer des tâches d'administration.

Les tâches d'administration pour les utilisateurs déconnectés et administrateurs incluent :

l'activation ou la désactivation de stratégies IPS, de pare-feu et d'options de blocage d'application ;

la création d'autres règles IPS, de pare-feu et de blocage d'application si certaines activités légitimes sont bloquées.

Création et application d'une stratégie Interface utilisateur du client

Si la stratégie Interface utilisateur du client par défaut n'a pas les paramètres souhaités, créez une nouvelle stratégie et sélectionnez les options appropriées. Vous pouvez ensuite appliquer la stratégie à un ordinateur ou à un groupe d'ordinateurs.

Pour configurer une stratégie Interface utilisateur du client :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la nouvelle stratégie.

2 Développez la fonction Général et cliquez sur Modifier dans la ligne Interface utilisateur du client.

La liste des noms de stratégies est activée.

3 Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

4 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Interface utilisateur du client s'affiche.

Remarque

Les modifications de stratégie d'administration effectuées à partir de la console ePolicy Orchestrator ne seront appliquées qu'après expiration du mot de passe. Les règles client créées pendant ce temps sont conservées si les règles d'administration l'autorisent.

Remarque

Créez et dupliquez une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

106

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Interface utilisateur du client

7

5 Modifiez les paramètres si nécessaire. Pour des détails généraux, cliquez sur Aide. Pour des détails sur les mots de passe, consultez la section Définition des mots de passe, page 107 ; pour des détails sur le contrôle de la barre des tâches, consultez la section Contrôle de la barre des tâches, page 109.

6 Cliquez sur OK pour enregistrer les modifications.

Pour des détails sur le travail avec l'interface du client, consultez la section Client Host Intrusion Prevention, page 132.

Définition des mots de passeDans la stratégie Interface utilisateur du client, vous pouvez créer le mot de passe nécessaire pour déverrouiller l'interface utilisateur du client si celle-ci apparaît sur un ordinateur client. Lorsque cette stratégie est appliquée au client, le mot de passe est activé.

Deux types de mots de passe sont disponibles :

Un mot de passe administrateur, qu'un administrateur peut configurer et qui reste valide tant que la stratégie est appliquée au client. L'interface utilisateur du client reste déverrouillée jusqu'à ce qu'elle soit fermée. Pour rouvrir l'interface utilisateur du client, entrez à nouveau le mot de passe administrateur. Pour créer et appliquer un mot de passe administrateur, sélectionnez un site, un groupe ou un ordinateur dans l'arborescence de répertoires.

Un mot de passe temporaire, généré automatiquement, qui s'applique uniquement à un ordinateur précis et qui possède une date et une heure d'expiration. L'interface utilisateur du client reste déverrouillée, même si elle est fermée, pendant toute la durée de validité du mot de passe temporaire. Pour créer et appliquer un mot de passe temporaire, sélectionnez un ordinateur dans l'arborescence de répertoires.

Figure 7-3 Interface utilisateur du client – Onglet Options d'affichage

Remarque

Les stratégies sont appliquées sur le client uniquement lorsque celui-ci est fermé, qu'il soit verrouillé ou déverrouillé.

107

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Interface utilisateur du client

7

Pour des détails sur l'utilisation d'un mot de passe pour déverrouiller l'interface utilisateur du client, consultez la section Déverrouillage de l'interface du client, page 134.

Pour créer un mot de passe administrateur :1 Cliquez sur l'onglet Options avancées dans la stratégie Interface utilisateur du client.

2 Saisissez un mot de passe dans la zone de texte Mot de passe. Il doit compter au moins dix caractères.

3 Saisissez à nouveau le mot de passe dans la zone de texte Confirmer le mot de passe.

4 Cliquez sur Appliquer.

Figure 7-4 Interface utilisateur du client – Onglet Options avancées

Remarque

Lorsque vous utilisez le mot de passe administrateur sur le client, cochez toujours la case Mot de passe administrateur.

108

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Interface utilisateur du client

7

Pour créer un mot de passe temporaire :1 Cliquez sur l'onglet Options avancées dans la boîte de dialogue de la stratégie Interface

utilisateur du client, puis cliquez sur Calculer un mot de passe temporaire.

La boîte de dialogue Mot de passe temporaire s'affiche.

2 Entrez la date et l'heure d'expiration du mot de passe, puis cliquez sur Calculer le mot de passe.

Un mot de passe codé apparaît dans la zone de texte Mot de passe.

Contrôle de la barre des tâchesSi des utilisateurs ont ponctuellement besoin de désactiver la fonction Host Intrusion Prevention de manière temporaire afin d'accéder à une application légitime mais bloquée ou à un site réseau, par exemple, ils peuvent utiliser la barre des tâches Host Intrusion Prevention pour désactiver une fonction sans ouvrir l'interface utilisateur du client, qui nécessite un mot de passe.

Pour des détails sur l'utilisation du menu de la barre des tâches, consultez la section Icône de la barre des tâches, page 133.

Pour contrôler la barre des tâches de l'interface utilisateur Windows :1 Sélectionnez Afficher la barre des tâches sur l'onglet Options d'affichage.

2 Sélectionnez Autoriser la désactivation de fonctions de la barre des tâches sur l'onglet Options avancées, puis sélectionnez la ou les fonctions à désactiver.

Après l'application de la stratégie au client, l'icône Host Intrusion Prevention apparaît dans la barre d'état système et son menu se développe pour inclure les options de désactivation et de restauration des fonctions. La fonction désactivée reste désactivée jusqu'à ce qu'elle soit restaurée par la commande du menu ou par une nouvelle stratégie (avec la fonction activée) envoyée au client.

Figure 7-5 Boîte de dialogue Mot de passe temporaire

Remarque

Remarque :

La déactivation d'IPS désactive à la fois la protection IPS de l'hôte et du réseau.

La désactivation du blocage d'application désactive la protection par blocage de création et d'accrochage d'application.

Si l'interface utilisateur du client est ouverte, les commandes du menu n'ont aucun effet.

109

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Réseaux sécurisés

7

Configuration de la stratégie Réseaux sécurisésLa stratégie Réseaux sécurisés vous permet de garder une liste d'adresses réseau et de sous-réseaux que vous pouvez marquer comme sécurisés. La stratégie vous permet :

De configurer des options de réseaux sécurisés.

D'ajouter ou de supprimer des adresses ou des sous-réseaux dans une liste sécurisée.

Pour configurer des options de réseaux sécurisés :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur auquel

vous souhaitez appliquer la stratégie.

2 Développez la fonction Général et cliquez sur Modifier dans la ligne Réseau sécurisé.

La liste des noms de stratégies est activée.

3 Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

4 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La boîte de dialogue Réseaux sécurisés s'affiche.

Remarque

Si un réseau sécurisé fait confiance à une adresse IP spécifique pour l'IPS réseau et si un autre réseau sécurisé ne fait pas confiance à la même adresse IP pour l'IPS réseau, comme les règles de pare-feu, la première entrée répertoriée prime.

Remarque

Créez et dupliquez une nouvelle stratégie lorsque vous affichez les détails d'une stratégie prédéfinie en cliquant sur Dupliquer au bas de la boîte de dialogue de la stratégie. Saisissez le nom de la nouvelle stratégie et indiquez s'il faut affecter la stratégie immédiatement au nœud actuel.

Figure 7-6 Réseaux sécurisés

110

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Réseaux sécurisés

7

5 Effectuez l'une des actions suivantes :

6 Cliquez sur Appliquer et fermez la boîte de dialogue.

Le nom de la nouvelle stratégie s'affiche dans la liste de stratégies.

7 Cliquez sur Appliquer.

Sélectionnez... Pour...

Ajouter Ajoute une adresse de réseau sécurisé à la liste. Sélectionnez le type d'adresse (seule, série, sous-réseau), entrez l'adresse appropriée, puis choisissez de marquer ou non l'adresse comme sécurisée pour l'IPS réseau.

Modifier Modifie les données dans une adresse de réseau sécurisé sélectionnée.

Supprimer Supprime une adresse de réseau sécurisé sélectionnée.

Inclure un sous-réseau local automatiquement

Traite automatiquement tous les utilisateurs d'un même sous-réseau comme sécurisés, même ceux qui ne sont pas dans la liste.

Ne pas inclure de sous-réseau local automatiquement

Traite uniquement les utilisateurs de la liste comme sécurisés, même s'ils font tous partie du même sous-réseau sécurisé.

111

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Applications sécurisées

7

Configuration de la stratégie Applications sécuriséesLa stratégie Applications sécurisées vous permet de créer une liste d'applications sécurisées. Mettez en place une ou plusieurs stratégies basées sur les profils avec ces paramètres d'application pour réduire ou éliminer la plupart des faux positifs.

Création et application de stratégies Applications sécuriséesCréez et appliquez une stratégie Applications sécurisées qui définit les applications sécurisées. Vous pouvez créer une stratégie tout à fait nouvelle ou une stratégie basée sur une stratégie existante.

Pour créer une nouvelle stratégie :1 Développez la fonction Général et cliquez sur Modifier dans la ligne Règles d'application.

La liste des noms de stratégies est activée.

2 Sélectionnez Nouvelle stratégie.

La boîte de dialogue Créer une stratégie s'affiche.

3 Sélectionnez la stratégie à dupliquer, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

L'onglet Application sécurisée s'affiche.

4 Modifiez les paramètres si nécessaire. Pour plus de détails, cliquez sur Aide.

5 Cliquez sur Fermer pour enregistrer les modifications.

Figure 7-7 Onglet Applications sécurisées

112

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Applications sécurisées

7

Création d'applications sécuriséesPour régler un déploiement, la création de règles d'exception IPS est un moyen de réduire les faux positifs. Ce n'est pas toujours pratique lorsque plusieurs milliers de clients sont impliqués ou lorsque le temps et les ressources sont limités. Une solution plus efficace consiste à créer une liste d'applications sécurisées, connues pour être sûres dans un environnement particulier. Par exemple, lorsque vous lancez une application de sauvegarde, de nombreux événements de faux positifs peuvent être déclenchés. Pour éviter cela, faites de l'application de sauvegarde une application sécurisée.

Pour créer une application sécurisée :1 Effectuez l'une des actions suivantes dans l'onglet Application sécurisée :

Cliquez sur Créer dans la barre d'outils ou le menu de raccourci. La boîte de dialogue Nouvelle application sécurisée s'affiche.

Sélectionnez une application dans la liste et cliquez sur Dupliquer dans la barre d'outils ou le menu raccourci. Une boîte de dialogue Dupliquer application sécurisée préremplie s'affiche.

2 Dans l'onglet Général, entrez le nom, l'état et si l'application est sécurisée pour IPS, le pare-feu et l'accrochage d'application. Pour plus de détails, cliquez sur Aide.

.

3 Dans l'onglet Processus, sélectionnez les processus auxquels appliquer l'application sécurisée. Pour plus de détails, cliquez sur Aide.

Remarque

Une application sécurisée est sensible à des vulnérabilités courantes, comme le Buffer Overflow et l'utilisation illégale. Ainsi, une application sécurisée est toujours surveillée et peut déclencher des événements pour empêcher les exploits.

Remarque

Vous pouvez également créer des applications sécurisées basées sur un événement. Pour plus de détails, consultez la section Création d'exceptions et d'applications sécurisées sur la base d'événements, page 61.

Figure 7-8 Boîte de dialogue Nouvelle application sécurisée – Onglet Général

113

McAfee® Host Intrusion Prevention 6.1 Guide produit Stratégies généralesConfiguration de la stratégie Applications sécurisées

7

.

4 Cliquez sur OK.

Modification d'applications sécuriséesVous pouvez afficher et modifier les propriétés d'une application sécurisée existante.

Pour modifier les propriétés d'une application sécurisée :1 Dans l'onglet Application sécurisée, double-cliquez sur une application sécurisée.

La boîte de dialogue Propriétés de l'application sécurisée s'affiche.

2 Modifiez les données dans les onglets Général et Processus, puis cliquez sur OK.

Activation et désactivation d'applications sécuriséesAu lieu de supprimer des applications sécurisées non utilisées, vous pouvez les désactiver temporairement, puis les activer ultérieurement.

Pour désactiver/activer une application sécurisée :1 Dans l'onglet Application sécurisée, sélectionnez l'application sécurisée à désactiver

ou activer.

2 Cliquez sur Désactiver ou Activer dans la barre d'outils ou le menu de raccourci.

L'état de l'application dans l'onglet Application sécurisée change en fonction de votre choix.

Suppression d'applications sécuriséesPour supprimer définitivement une application sécurisée, sélectionnez-la dans l'onglet Application sécurisée, puis cliquez sur Supprimer dans la barre d'outils ou le menu de raccourci.

Figure 7-9 Boîte de dialogue Nouvelle application sécurisée – Onglet Processus

114

8 Maintenance

Cette section décrit les activités utiles pour la maintenance et le réglage fin d'un déploiement Host Intrusion Prevention et comprend les rubriques suivantes :

Réglage fin d'un déploiement

Maintenance des stratégies et tâches

Exécution de tâches serveur

Configuration des notifications pour les événements

Exécution de rapports

Mise à jour

Réglage fin d'un déploiementAprès le déploiement de clients paramétrés par défaut, vous pouvez affiner le réglage de la sécurité et la renforcer pour une protection optimale. Le réglage fin d'un déploiement comprend :

Analyse des événements IPS.

Création de règles d'exception et de règles d'application sécurisée.

Utilisation des règles d'exception du client.

Création et application de nouvelles stratégies.

Analyse des événements IPSUn événement IPS est déclenché lorsqu'une violation de sécurité, telle que définie par une signature, est détectée. Il apparaît sur l'onglet Événements IPS avec un degré de gravité Élevé, Moyen, Faible ou Informatif qui correspond à une réaction.

Remarque

Lorsqu'une seule opération déclenche deux événements, l'événement dont la réaction est la plus forte est pris en compte.

115

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceRéglage fin d'un déploiement

8

À partir de la liste des événements générés, déterminez ceux qui ne signalent aucun risque et ceux qui indiquent un comportement suspect. Pour autoriser des événements, configurez le système comme suit :

Exceptions : autorisent ou bloquent les règles qui ignorent une règle de signature.

Applications sécurisées : autorisent les applications internes dont le fonctionnement pourrait être bloqué par une signature.

Ce processus de réglage fin permet de minimiser les faux positifs et libère du temps pour analyser les événements sérieux. Pour plus de détails, consultez la section Événements IPS, page 56.

Création de règles d'exception et de règles d'application sécurisée

Après avoir analysé la liste des événements IPS, vous pouvez créer des règles d'exception ou des règles d'application sécurisée pour chaque événement de faux positif, par profil d'utilisateur. Cela réduit au minimum la liste des événements, permet de mieux comprendre les types d'attaques malveillantes et garantit que les systèmes sont protégés contre de telles attaques.

À partir de l'onglet Événements IPS, vous pouvez créer une exception ou une application sécurisée basée sur un événement particulier. Pour plus de détails, consultez la section Création d'exceptions et d'applications sécurisées sur la base d'événements, page 61.

Utilisation des règles d'exception du clientUn moyen simple de créer des exceptions consiste à placer les clients en mode spéculatif et à leur permettre de créer automatiquement des règles d'exception du client, afin de permettre les comportements non malveillants. Toutes les règles du client apparaissent dans l'onglet Règles du client de la stratégie Règles IPS. Les stratégies Règles de pare-feu et Règles de blocage d'application affichent également les règles du client créées en mode spéculatif ou d'apprentissage.

Pour obtenir les règles générées le plus souvent, utilisez l'affichage agrégé des règles de client, qui regroupe les règles similaires. Ces règles peuvent ensuite être déplacées vers les stratégies d'administration.

Pour des détails sur l'utilisation des règles du client, consultez les sections :

Règles IPS du client, page 63.

Configuration de la stratégie de règles de pare-feu, page 81.

Configuration de la stratégie Règles de blocage d'application, page 98.

Création et application de nouvelles stratégiesAprès avoir créé de nouvelles règles d'exception et applications sécurisées, ajoutez-les aux stratégies existantes, si nécessaire. Vous pouvez également créer de nouvelles stratégies IPS et d'applications sécurisées, basées sur celle qui nécessitait la création d'exceptions et d'applications sécurisées.

Pour des détails sur la création et l'application de nouvelles stratégies, consultez les sections :

Configuration de la stratégie Règles IPS, page 41.

Configuration de la stratégie de règles de pare-feu, page 81.

Configuration de la stratégie Règles de blocage d'application, page 98.

116

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMaintenance des stratégies et tâches

8

Maintenance des stratégies et tâchesePolicy Orchestrator propose deux emplacements dans l'arborescence de la console pour afficher et gérer les stratégies et tâches Host Intrusion Prevention :

Onglet Stratégies d'un nœud sélectionné de l'arborescence de la console.

La page Catalogue des stratégies.

Onglet StratégiesUtilisez l'onglet Stratégies pour afficher, modifier ou créer les informations des stratégies liées à un nœud sélectionné. Pour plus d'informations, consultez la section :

Stratégies IPS, page 33.

Stratégies de pare-feu, page 68.

Stratégies de blocage d'application, page 94.

Stratégies générales, page 103.

Héritage et affectation des stratégiesL'onglet Stratégies vous permet de verrouiller ou de déverrouiller l'héritage des stratégies, d'afficher et de réinitialiser un héritage bloqué et de copier les affectations des stratégies d'un nœud à l'autre.

Pour verrouiller l'affectation d'une stratégie personnalisée :1 Sélectionnez dans l'arborescence de la console un groupe ou un ordinateur

et cliquez sur l'onglet Stratégies.

2 Développez une fonction Host Intrusion Prevention pour afficher les stratégies affectées au nœud.

3 Cliquez sur Modifier pour une stratégie personnalisée.

4 Sélectionnez Verrouiller, puis cliquez sur Appliquer.

Pour afficher et réinitialiser un héritage bloqué sous un nœud spécifique :1 Sélectionnez dans l'arborescence de la console un groupe ou un ordinateur

et cliquez sur l'onglet Stratégies.

2 Développez une fonction Host Intrusion Prevention pour afficher les stratégies affectées au nœud.

Remarque

Seuls les administrateurs peuvent verrouiller une stratégie nommée.

Figure 8-1 Héritage de stratégie

117

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMaintenance des stratégies et tâches

8

Sous Hérité par figure le nombre de nœuds où l'héritage de cette stratégie a été bloqué.

3 Cliquez sur le texte en bleu indiquant le nombre de nœuds enfants qui n'héritent pas.

La page Afficher les héritages bloqués apparaît avec la liste des noms de ces nœuds.

4 Pour réinitialiser l'héritage de l'un de ces nœuds, cochez la case en regard de son nom et cliquez sur Réinitialiser l'héritage.

Pour copier et coller les affectations de stratégie d'un nœud :1 Sélectionnez dans l'arborescence de la console le groupe ou l'ordinateur à partir

duquel vous souhaitez copier les affectations de stratégie, puis cliquez sur l'onglet Stratégies.

2 Cliquez sur Copier les affectations de stratégie.

3 Sélectionnez les fonctions dont vous souhaitez copier les affectations de stratégie et cliquez sur OK.

4 Sélectionnez dans l'arborescence de la console un groupe ou un ordinateur et cliquez sur Coller les affectations de stratégies.

5 Cliquez sur OK pour confirmer le remplacement des affectations.

Remarque

Ce nombre représente le nombre de nœuds pour lesquels l'héritage de stratégie a été bloqué et non le nombre de systèmes qui n'héritent pas de la stratégie. Par exemple, si seul un groupe de nœuds n'hérite pas de la stratégie, cet état est représenté par 1 n'hérite pas, indépendamment du nombre de systèmes présents dans le groupe.

Figure 8-2 Page Afficher les héritages bloqués

118

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMaintenance des stratégies et tâches

8

Catalogue des stratégiesUtilisez le nœud Catalogue des stratégies de l'arborescence de la console pour afficher, créer et modifier des stratégies sans référence à un nœud particulier.

Affichage des informations des stratégiesLe Catalogue des stratégies vous permet d'afficher toutes les stratégies Host Intrusion Prevention, leur affectation et leur propriétaire.

Pour afficher toutes les stratégies créées :1 Dans l'arborescence de la console, sélectionnez Catalogue des stratégies.

2 Développez Host Intrusion Prevention afin d'afficher les catégories de stratégies.

3 Développez une catégorie de stratégies pour afficher les stratégies de cette catégorie.

Pour afficher les nœuds où une stratégie est affectée :1 À la page Catalogue des stratégies, développez Host Intrusion Prevention, puis développez

une catégorie de stratégies.

2 Sous Affectations, dans la ligne de la stratégie nommée de votre choix, cliquez sur le texte en bleu qui indique le nombre de nœuds auxquels la stratégie est affectée (par exemple, 1 affectations).

À la page Afficher les affectations, chaque nœud accompagné de la stratégie affectée est affiché avec le Nom de nœud et le Type de nœud. Cette liste répertorie uniquement les points d'affectation ; elle ne répertorie pas chacun des nœuds qui héritent de la stratégie.

Figure 8-3 Catalogue de stratégies pour Host Intrusion Prevention

Figure 8-4 Stratégies de catégories de règles IPS

119

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMaintenance des stratégies et tâches

8

3 Cliquez sur le nom de nœud pour voir la page Affecter les stratégies de ce nœud.

Pour afficher les paramètres et le propriétaire d'une stratégie :1 À la page Catalogue des stratégies, développez Host Intrusion Prevention, puis développez

une catégorie de stratégies.

Le propriétaire de la stratégie nommée s'affiche sous Propriétaire.

2 Cliquez sur le nom d'une stratégie pour afficher ses paramètres.

Pour afficher les affectations pour lesquelles l'application des stratégies est désactivée :1 À la page Catalogue des stratégies, cliquez sur le texte en bleu en regard de la mention

Application, qui indique le nombre d'affectations pour lesquelles l'application est désactivée.

La page Afficher les affectations lorsque l'application des stratégies est désactivée s'affiche.

2 Cliquez sur un nœud de la liste afin d'ouvrir la page Affecter les stratégies pour ce nœud.

Modification des informations des stratégiesÀ partir de la page Catalogue des stratégies, vous pouvez créer de nouvelles stratégies nommées, qui ne sont pas affectées par défaut à un nœud particulier.

Figure 8-5 Afficher les affectations pour une stratégie

120

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMaintenance des stratégies et tâches

8

Pour modifier une stratégie :1 À la page Catalogue des stratégies, développez Host Intrusion Prevention, puis développez

une catégorie de stratégies.

2 Effectuez l'une des actions suivantes :

Pour des détails sur l'une de ces fonctions, reportez-vous au Guide produit ePolicy Orchestrator ou à l'aide en ligne.

Pour... Faites cela...

Créer une stratégie Cliquez sur Définir une nouvelle stratégie, nommez-la et modifiez les paramètres.

Renommer une stratégie Cliquez sur Renommer et changez le nom de la stratégie (non disponible pour la stratégie par défaut).

Dupliquer une stratégie Cliquez sur Dupliquer, changez le nom de la stratégie et modifiez les paramètres.

Supprimer une stratégie Cliquez sur Supprimer. (non disponible pour la stratégie par défaut).

Remarque : Lorsque vous supprimez une stratégie, tous les nœuds auxquels elle s'applique actuellement héritent, depuis leurs nœuds parents, de la stratégie de cette catégorie. Avant de supprimer une stratégie, vous devez examiner tous les nœuds auxquels elle est affectée et leur affecter une autre stratégie si vous ne souhaitez pas qu'ils héritent de la stratégie du nœud parent.

Si vous supprimez une stratégie appliquée au niveau du Répertoire, la stratégie par défaut de cette catégorie s'applique.

Affecter un propriétaire de stratégie

Cliquez sur le propriétaire de la stratégie et sélectionnez un autre propriétaire dans une liste (non disponible pour la stratégie par défaut).

Exporter une stratégie Cliquez sur Exporter, puis nommez et enregistrez la stratégie (un fichier XML) à l'emplacement souhaité.

Exporter toutes les stratégies Cliquez sur Exporter toutes les stratégies, puis nommez et enregistrez le fichier XML de stratégie à l'emplacement souhaité.

Importer des stratégies Cliquez sur Importer la stratégie en haut de la page Catalogue des stratégies, sélectionnez le fichier XML de la stratégie, puis cliquez sur OK.

121

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceExécution de tâches serveur

8

Exécution de tâches serveurHost Intrusion Prevention propose des tâches serveur pour gérer et conserver le niveau de sécurité des clients. Elles comprennent :

La mise à jour des listes de domaines utilisateur (Passerelle de répertoires)

L'archivage et la suppression d'événements dans la base de données (Archiveur d'événements)

La traduction des propriétés du client pour faciliter la gestion (Traducteur de propriétés)

Pour plus d'informations sur l'exécution des tâches serveur, consultez l'aide en ligne ou le Guide produit ePolicy Orchestrator.

Passerelle de répertoires La tâche serveur Passerelle de répertoires met à jour la liste des domaines où un client s'exécute. Cette liste mise à jour est nécessaire lors de la création de règles d'exception IPS, car celles-ci s'appliquent uniquement aux domaines répertoriés dans la base de données. Dans le temps, des domaines sont ajoutés et supprimés. La liste doit donc être mise à jour de temps à autre pour assurer l'application adéquate des exceptions.

Pour cette tâche, sélectionnez dans la liste qui s'affiche un domaine à mettre à jour et entrez les informations d'authentification requises pour ce domaine (nom d'utilisateur et mot de passe). Les serveurs de répertoire adéquats sont ensuite interrogés pour les mises à jour du domaine. Cette tâche peut être planifiée à intervalle quotidien ou hebdomadaire en fonction de la taille de l'environnement, car des déploiements plus importants nécessitent des mises à jour plus fréquentes.

Archiveur d'événements La tâche serveur Archiveur d'événements archive les événements de la base de données pour que celle-ci affiche des performances optimales. Au cours du temps, Host Intrusion Prevention génère des milliers d'événements, ce qui augmente fortement le volume de la base de données. Archivez périodiquement les événements les plus anciens et supprimez-les, afin de contrôler l'accroissement de la base de données et de permettre le fonctionnement correct de l'application.

Pour ce faire, entrez le chemin d'accès au répertoire du fichier d'archives et l'âge minimal, en jours, des événements à archiver. Un fichier XML zippé et nommé à la date actuelle est créé à l'’emplacement indiqué et les événements sont supprimés de la base de données.

Traducteur de propriétés La tâche serveur Traducteur de propriétés traduit les données Host Intrusion Prevention stockées dans la base de données ePolicy Orchestrator afin de permettre à Host Intrusion Prevention de trier, regrouper et filtrer ces données. Elle s'exécute automatiquement toutes les 15 minutes et ne doit pas être modifiée ; toutefois, vous pouvez la désactiver, si nécessaire.

Remarque

Pour modifier cette fréquence de 15 minutes, désactivez la tâche initiale et créez une nouvelle tâche serveur avec une autre fréquence.

122

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceConfiguration des notifications pour les événements

8

Configuration des notifications pour les événementsLa fonction Notifications vous alerte de tout événement se produisant sur les clients Host Intrusion Prevention ou le serveur lui-même. Vous pouvez configurer ces règles pour envoyer des messages électroniques, SMS, récepteur ou des pièges SNMP, ou encore pour exécuter des commandes externes lors de la réception d'événements spécifiques et de leur traitement sur le serveur ePolicy Orchestrator. Vous pouvez définir les catégories d'événements qui génèrent un message de notification, ainsi que la fréquence d'envoi de ces notifications. Pour davantage d'informations, consultez l'aide en ligne ou le Guide produit ePolicy Orchestrator.

Fonctionnement des notificationsLorsque des événements se produisent dans l'environnement Host Intrusion Prevention, ils sont livrés au serveur ePolicy Orchestrator. Les règles de notification sont associées au groupe ou au site contenant les systèmes touchés et elles sont appliquées aux événements. Si les conditions d'une règle sont satisfaites, un message de notification est envoyé ou une commande externe est exécutée, comme spécifié par la règle.

Vous pouvez configurer des règles indépendantes à différents niveaux du Répertoire. Vous pouvez également configurer le moment auquel sont envoyés les messages de notification, en définissant des seuils basés sur l'agrégation et l'étranglement.

ePolicy Orchestrator fournit des règles par défaut, que vous pouvez activer pour une utilisation immédiate. Avant d'activer l'une de ces règles par défaut :

1 Spécifiez le serveur de messagerie à partir duquel les messages de notification sont envoyés.

2 Vérifiez que l'adresse e-mail du destinataire est bien celle à laquelle vous souhaitez envoyer les messages e-mail.

Création de règlesVous pouvez créer des règles pour de nombreuses catégories d'événements. Elles comprennent :

Violation de la règle de protection d'accès détectée et bloquée

Violation de la règle de protection d'accès détectée et NON bloquée

Ordinateur placé en mode de quarantaine

Contenu des e-mails filtré ou bloqué

Intrusion détectée

Ordinateur non conforme détecté

Fonctionnement normal

Échec de l'application des stratégies

Échec de la mise à jour ou de la réplication du Répertoire

Échec du déploiement du logiciel

Déploiement du logiciel réussi

Échec ou erreur du logiciel

Catégorie inconnue

Échec de la mise à jour/ à niveau

Mise à jour/ à niveau réussie

123

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceConfiguration des notifications pour les événements

8

Toutes les règles sont créées selon la même procédure de base :

1 Décrivez la règle.

2 Définissez des filtres pour cette règle.

3 Définissez des seuils pour cette règle.

4 Créez le message à envoyer et le type de remise.

Notifications Host Intrusion PreventionHost Intrusion Prevention prend en charge les catégories suivantes de notifications spécifiques au produit :

Intrusion hôte détectée et traitée

Intrusion réseau détectée et traitée

Application bloquée

Ordinateur placé en mode de quarantaine

Les notifications peuvent être configurées uniquement pour toutes les signatures IPS hôte (ou réseau), ou pour aucune. Entercept 5.x prenait en charge des notifications basées sur des ensembles d'ID de signatures ou sur des degrés de gravité individuels. Host Intrusion Prevention prend en charge la définition d'un ID de signature IPS unique dans le champ Nom de la menace ou Nom de la règle dans la configuration de la règle de notification. En interne, l'attribut ID de signature d'un événement est associé au nom de la menace et une règle est ainsi créée pour identifier de façon unique une signature IPS.

Les associations spécifiques des paramètres Host Intrusion Prevention autorisés dans l'objet/ le corps d'un message comprennent :

Paramètres Valeurs d'événements IPS

hôte et réseau

Valeurs d'événements d'application bloquée

Valeurs d'événements de quarantaine

ReceivedThreatNames SignatureID aucun aucun

SourceComputers Adresse IP distante nom de l'ordinateur nom de l'ordinateur

AffectedObjects Nom du processus Nom de l'application adresse IP de l'ordinateur

EventTimestamp Heure de l'incident Heure de l'incident Heure de l'incident

EventID application ePO de l'ID d'événement

application ePO de l'ID d'événement

application ePO de l'ID d'événement

AdditionalInformation Nom de signature localisé (depuis l'ordinateur client)

Chemin d'accès complet à l'application

aucun

124

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceExécution de rapports

8

Exécution de rapportsLe Logiciel Host Intrusion Prevention comporte une fonctionnalité de rapport grâce à ePolicy Orchestrator. Vous pouvez produire plusieurs rapports et requêtes utiles à partir de propriétés et d'événements envoyés par le client au serveur et stockés dans la base de données.

Le Logiciel Host Intrusion Prevention comprend des modèles de rapports et de requêtes prédéfinis, enregistrés dans le référentiel de rapports et le référentiel de requêtes sous Notification dans l'arborescence de la console. Pour plus d’informations, consultez le Guide de rapports ePolicy Orchestrator 3.6.

Vous pouvez créer des rapports et des requêtes pour un groupe de systèmes clients sélectionnés ou limiter le nombre de résultats du rapport au moyen d'un critère de produit ou de système. Vous pouvez exporter les rapports sous différents formats de fichiers, dont HTML et Microsoft Excel.

Vous pouvez :

Définir un filtre de répertoire pour collecter uniquement des informations sélectionnées. Choisir le segment du Répertoire à inclure dans le rapport.

Configurer un filtre de données utilisant des opérateurs logiques, afin de limiter avec précision les données retournées par le rapport.

Générer des rapports graphiques à partir des informations de la base de données et filtrer les rapports en fonction de vos besoins. Vous pouvez imprimer les rapports et les exporter vers d'autres logiciels.

Exécuter des requêtes sur des ordinateurs, des événements et des installations.

Rapports prédéfinis Les clients Host Intrusion Prevention présents sur les systèmes clients envoient les informations serveurs qui sont ensuite enregistrées dans une base de données de rapports. Les rapports et les requêtes que vous exécutez consultent ces données enregistrées.

Il existe huit rapports Host Intrusion Prevention prédéfinis, qui peuvent être classés en deux catégories principales : les rapports IPS et les rapports de pare-feu. Vous pouvez également créer vos propres modèles de rapports, à l'aide de Crystal Reports 8.5.

Référentiel de rapportsLe référentiel de rapports contient les rapports et les requêtes prédéfinis proposés par Host Intrusion Prevention, ainsi que les éventuels rapports et requêtes personnalisés que vous avez créés.

Vous pouvez organiser et gérer le référentiel de rapports, afin qu'il réponde à vos besoins. Ainsi, vous pouvez ajouter des rapports exportés sous forme de modèles (par exemple, pour enregistrer des sélections personnalisées, effectuées lors la création du rapport), ou encore ajouter des modèles de rapport personnalisés. Vous pouvez également organiser les modèles de rapport en groupes logiques. Par exemple, vous pouvez rassembler les rapports que vous exécutez chaque jour, chaque semaine et chaque mois dans des groupes de rapports portant un nom descriptif correspondant.

Remarque

Pour afficher des rapports, vous devez vous connecter à la base de données en utilisant des informations d'authentification ePO. Les informations d'authentification NT ne sont pas prises en charge.

125

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceExécution de rapports

8

Informations de synthèse et détailsAprès la génération d'un rapport, vous affichez les informations de synthèse, telles que déterminées par le filtre (le cas échéant) que vous avez configuré. À partir des informations de synthèse, vous pouvez développer les informations détaillées sur un ou deux niveaux, dans le même rapport.

Contrôle du contenu du rapportVous pouvez contrôler la nature et le nombre d'informations de rapport accessibles aux différents utilisateurs, comme les administrateurs globaux ou les administrateurs de site. Les administrateurs et réviseurs de site peuvent uniquement générer des rapports sur les systèmes clients présents dans les sites où ils disposent d'autorisations. Les informations contenues dans les rapports sont également contrôlées au moyen de filtres.

Rapports Host Intrusion PreventionLes modèles de rapport Host Intrusion Prevention comprennent :

Résumé des événements IPS par signatureUtilisez ce rapport pour afficher les événements IPS par signature. Les détails incluent :

Filtres sur la signature, la date/heure d'enregistrement, le degré de gravité, l'utilisateur du SE, la réaction, le processus et l'adresse IP source.

Rapports IPS Rapports de pare-feu

Résumé des événements IPS par signature

Résumé des événements IPS par cible

Résumé des intrusions sur le réseau par adresse IP source

10 principaux nœuds attaqués pour l'IPS

10 principales signatures déclenchées

Résumé des applications bloquées

10 principales applications bloquées

Mises à jour de quarantaine échouées

Affichage initial Développement niveau 1

Développement niveau 2

Nom de la

signature >

Nombre d'événements

Nom de la signature

Processus >

Nombre

Utilisateur du SE

Réaction

Nom du nœud

Adresse IP source

Date/ heure de l'incident

Date/ heure d'enregistrement

Degré de gravité

Description de l'événement

Détails avancés

126

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceExécution de rapports

8

Résumé des événements IPS par cibleUtilisez ce rapport pour afficher les événements IPS par hôte. Les détails incluent :

Filtres sur la signature, la date/heure d'enregistrement, le degré de gravité, l'utilisateur du SE, la réaction, le processus et l'adresse IP source.

Résumé des intrusions sur le réseau par adresse IP sourceUtilisez ce rapport pour afficher les événements d'intrusion sur le réseau par adresse IP source. Les détails incluent :

Filtres sur l'adresse IP source, la signature, l'utilisateur du SE, la réaction, la date/ heure d'enregistrement, le degré de gravité et le nom d'hôte.

Affichage initial Développement niveau 1

Développement niveau 2

Nom d'hôte >

Nombre d'événements

Nom d'hôte

Signature >

Nombre

Utilisateur du SE

Réaction

Processus

Adresse IP source

Date/ heure de l'incident

Date/ heure d'enregistrement

Degré de gravité

Description de l'événement

Détails avancés

Affichage initial Développement niveau 1

Développement niveau 2

Adresse IP source >

Nombre d'événements

Adresse IP source

Nom de la

signature >

Nombre

Utilisateur du SE

Réaction

Processus

Nom du nœud

Adresse IP source

Date/ heure de l'incident

Date/ heure d'enregistrement

Degré de gravité

Description de l'événement

Détails avancés

127

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceExécution de rapports

8

10 principaux nœuds attaqués pour l'IPS Utilisez ce rapport pour afficher un graphique à barres des 10 principaux hôtes où des événements IPS sont déclenchés. Les détails incluent :

Filtres sur le type de plate-forme et de signature.

10 principales signatures déclenchéesUtilisez ce rapport pour afficher un graphique à barres des 10 signatures IPS les plus déclenchées. Les détails incluent :

Filtres sur le type de plate-forme et de signature.

Résumé des applications bloquéesUtilisez ce rapport pour afficher un résumé des événements d'applications bloquées par application. Les détails incluent :

Filtres sur la description de l'application et l'heure de l'événement.

Affichage initial Développement niveau 1

Développement niveau 2

Nom d'hôte >

Nombre d'événements

Nom d'hôte

Signature >

Nombre

Utilisateur du SE

Réaction

Processus

Adresse IP source

Date/ heure de l'incident

Date/ heure d'enregistrement

Degré de gravité

Description de l'événement

Détails avancés

Affichage initial Développement niveau 1

Développement niveau 2

Nom de la

signature >

Nombre d'événements

Nom de la signature

Processus >

Nombre

Utilisateur du SE

Réaction

Nom du nœud

Adresse IP source

Date/ heure de l'incident

Date/ heure d'enregistrement

Degré de gravité

Description de l'événement

Détails avancés

Affichage initial Développement

Description de

l'application >

Nombre d'événements

Nom d'hôte

IP hôte

Heure de l'événement

Nom du processus

Chemin de l'application

Version de l'application

Hachage de l'application

128

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceExécution de rapports

8

10 principales applications bloquéesUtilisez ce rapport pour afficher un graphique à barres des 10 applications les plus bloquées. Les détails incluent :

Filtres sur la description de l'application, le nom d'hôte et l'heure de l'événement.

Mises à jour de quarantaine échouéesUtilisez ce rapport pour afficher les mises à jour de quarantaine échouées par hôte. Les détails incluent :

Filtres sur le nom d'hôte de l'application, l'adresse IP de l'hôte et l'heure de l'événement.

Affichage initial Développement

Description de

l'application >

Nombre d'événements

Nom d'hôte

IP hôte

Heure de l'événement

Nom du processus

Chemin de l'application

Version de l'application

Hachage de l'application

Affichage initial Développement

Nom d'hôte >

Nombre d'événements

Nom d'hôte

IP hôte

Heure de l'événement

129

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMise à jour

8

Mise à jourLa base de données ePO contient des données de contenu de sécurité Host Intrusion Prevention, comme les signatures, qui sont affichées dans les stratégies Host Intrusion Prevention. Host Intrusion Prevention prend en charge de nombreuses versions de contenu et de code de clients, le contenu disponible le plus récent apparaissant sur la console ePO. Le nouveau contenu est toujours pris en charge par les versions successives, si bien que les mises à jour de contenu contiennent surtout de nouvelles informations ou des modifications mineures d'informations existantes.

Les mises à jour sont traitées par un package de mise à jour de contenu. Ce package contient des informations de version de contenu et des scripts de mise à jour. Lors de l'archivage, la version du package est comparée à la version des informations de contenu les plus récentes dans la base de données. Si le package est plus récent, les scripts qu'il contient sont extraits et exécutés. Les nouvelles informations de contenu sont transmises aux clients à la prochaine communication agent-serveur.

La procédure de base consiste à archiver le package de mise à jour dans le référentiel ePO, puis à envoyer les informations mises à jour aux clients.

Archivage du package de mise à jourVous pouvez soit créer une tâche serveur ePO qui archive automatiquement les packages de mises à jour de contenu dans le référentiel ePO, soit télécharger un package de mise à jour et l'archiver manuellement.

Pour ajouter automatiquement des packages de mises à jour : 1 Sélectionnez le nom du serveur ePO dans l'arborescence de la console ePO, puis

cliquez sur l'onglet Tâches planifiées.

2 Cliquez sur Créer une tâche.

3 Dans le volet Configurer une nouvelle tâche, saisissez le nom de la tâche, par exemple Mises à jour de contenu HIP.

4 Dans la liste Type de tâche, sélectionnez Extraction du référentiel.

5 Dans la liste Type de planification, sélectionnez une fréquence.

6 Cliquez sur Suivant.

7 Sélectionnez le référentiel source (McAfeeHttp ou McAfeeFtp) et toute autre option disponible.

8 Cliquez sur Terminer.

La tâche télécharge le package de mise à jour de contenu, directement depuis McAfee et à la fréquence indiquée, puis elle l'ajoute au référentiel et met à jour la base de données avec le nouveau contenu Host Intrusion Prevention.

Remarque

Les mises à jour de contenu Host Intrusion Prevention doivent être archivées dans le référentiel ePO pour être distribuées aux clients. Les clients Host Intrusion Prevention doivent obtenir les mises à jour uniquement au moyen de communications avec le serveur ePO, et non directement à l'aide de FTP ou des protocoles HTTP.

130

McAfee® Host Intrusion Prevention 6.1 Guide produit MaintenanceMise à jour

8

Pour ajouter manuellement des packages de mises à jour :1 Sélectionnez le référentiel dans l'arborescence de la console ePO, puis cliquez

sur Archiver un package.

2 Cliquez sur Suivant, puis sélectionnez Produits ou mises à jour.

3 Cliquez sur Suivant, puis entrez le chemin d'accès complet au fichier PkgCatalog.z.

4 Cliquez sur Suivant, puis sur Terminer.

Mise à jour des clientsUne fois que le package de mise à jour est archivé dans le référentiel, vous pouvez envoyer les mises à jour au client, soit en exécutant une tâche de mise à jour, soit en envoyant un appel de réactivation de l'agent. Un client peut également demander des mises à jour.

Pour exécuter une tâche de mise à jour :1 Sur l'arborescence de la console ePO, sélectionnez l'ordinateur, le groupe ou le site

auquel vous souhaitez envoyer des mises à jour de contenu, puis sélectionnez l'onglet Tâches.

2 Sélectionnez Planifier la tâche dans le menu de raccourci.

3 Saisissez le nom de la tâche, sélectionnez Mise à jour de l'agent ePolicy Orchestrator, puis cliquez sur OK.

4 Cliquez avec le bouton droit de la souris sur la tâche et sélectionnez Modifier la tâche.

5 Dans la boîte de dialogue Planificateur ePolicy Orchestrator, cliquez sur Paramètres.

6 Dans la boîte de dialogue qui s'affiche, sélectionnez Contenu HIP, puis cliquez sur OK. (Cette option est disponible uniquement si un package de contenu est archivé dans le référentiel).

7 Dans la boîte de dialogue Planificateur ePolicy Orchestrator, cliquez sur l'onglet Planification, puis configurez la tâche pour qu'elle s'exécute immédiatement.

8 Dans l'onglet Tâche, désélectionnez Hériter et sélectionnez Activer.

9 Cliquez sur Appliquer, puis sur OK.

Pour envoyer un appel de réactivation de l'agent :1 Sur l'arborescence de la console ePO, cliquez avec le bouton droit de la souris sur

le site, le groupe ou l'ordinateur auquel vous souhaitez envoyer des mises à jour de contenu, puis sélectionnez Appel de réactivation de l'agent.

2 Définissez le traitement aléatoire sur 0 minute, puis cliquez sur OK.

Les mises à jour de contenu sont envoyées et appliquées au client.

Pour qu'un client demande une mise à jour :(Valide uniquement si une icone d'agent ePO apparaît dans la barre d'état système.)

Cliquez avec le bouton droit de la souris sur l'icone ePO dans la barre d'état système, puis sélectionnez Mettre à jour.

La boîte de dialogue Progression de McAfee AutoUpdate s'affiche. Les mises à jour de contenu sont extraites et appliquées au client.

131

9 Client Host Intrusion Prevention

Le client Host Intrusion Prevention peut être installé sur les plates-formes Windows, Solaris et Linux. Seule la version Windows du client dispose d'une interface, mais toutes les versions comprennent une fonctionnalité de dépannage. Cette section décrit les fonctions de base de chaque version de client.

Client Windows

Client Solaris

Client Linux

Client WindowsUne gestion directe côté client du client Host Intrusion Prevention Windows est disponible grâce à une interface du client. Pour afficher la console du client, double-cliquez sur l'icone du client dans la barre d'état système ou, dans le menu Démarrer, sélectionnez Programmes | McAfee | Host Intrusion Prevention.

Lorsque la console du client s'affiche pour la première fois, la plupart des options sont verrouillées. Lorsque la console est en mode verrouillé, vous pouvez uniquement afficher les paramètres actuels et créer manuellement des règles du client si la stratégie Interface utilisateur du client permet la création manuelle de règles du client. Pour contrôler l'ensemble des paramètres dans la console, déverrouillez l'interface avec un mot de passe créé dans la stratégie Interface utilisateur du client appliquée. Pour des détails sur ces paramètres de la stratégie Interface utilisateur du client, consultez la section Création et application d'une stratégie Interface utilisateur du client, page 106.

132

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Icône de la barre des tâchesSi les icônes Host Intrusion Prevention s'affichent dans la barre d'état système, elles permettent d'accéder à la console du client et indiquent l'état du client.

Une description de l'état apparaît lorsque vous placez le pointeur de la souris sur l'icône. Cliquez avec le bouton droit de la souris sur l'icône pour accéder au menu de raccourci :

Si l'option Autoriser la désactivation de fonctions à partir de la barre des tâchesest appliquée au client, les commandes suivantes sont disponibles, en totalité ou en partie :

Console du clientLa console du client Host Intrusion Prevention vous permet d'accéder à différentes options de configuration. Pour ouvrir la console, effectuez l'une des actions suivantes :

Double-cliquez sur l'icone de la barre d'état système.

Cliquez avec le bouton droit de la souris sur l'icône et sélectionnez Configurer.

Dans le menu Démarrer, sélectionnez Programmes | McAfee | Host Intrusion Prevention.

Icône État de Host Intrusion Prevention

Fonctionne correctement

Une attaque potentielle a été détectée

Désactivé ou ne fonctionne pas correctement

Cliquez sur… Pour...

Configurer Ouvrez la console du client Host Intrusion Prevention.

À propos de... Ouvrez la boîte de dialogue À propos de Host Intrusion Prevention, qui affiche le numéro de version et d'autres informations sur le produit.

Cliquez sur… Pour...

Restaurer les paramètres Activer toutes les fonctions désactivées. Disponible uniquement si une ou plusieurs fonctions ont été désactivées.

Désactiver Tous Désactiver les fonctions IPS, de pare-feu, de blocage d'application. Disponible uniquement si toutes les fonctions sont activées.

Désactiver IPS Désactiver la fonction IPS. Cela inclut les fonctionnalités IPS hôte et IPS réseau. Disponible uniquement si la fonction est activée.

Désactiver Pare-feu Désactiver la fonction Pare-feu. Disponible uniquement si la fonction est activée.

Désactiver Blocage d'application

Désactiver la fonction de blocage d'application. Cela comprend les options Blocage de la création d'application et Blocage de l'accrochage d'application. Disponible uniquement si la fonction est activée.

133

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

La console vous permet de configurer et d'afficher des informations sur les fonctions Host Intrusion Prevention. Elle contient plusieurs onglets, qui correspondent à une fonction Host Intrusion Prevention spécifique. Pour plus d'informations, consultez la section :

Onglet Stratégie IPS, page 142.

Onglet Stratégie de pare-feu, page 144.

Onglet Stratégie d'application, page 146.

Onglet Hôtes bloqués, page 148.

Onglet Protection d'applications, page 150.

Onglet Journal d'activité, page 151.

Déverrouillage de l'interface du clientUn administrateur gérant Host Intrusion Prevention à distance grâce à ePolicy Orchestrator peut protéger l'interface avec un mot de passe afin d'éviter toute modification accidentelle. Avec un mot de passe temporaire et spécifique à l'ordinateur, l'administrateur ou l'utilisateur peut verrouiller temporairement l'interface et effectuer des modifications.

Pour déverrouiller l'interface Host Intrusion Prevention :1 Obtenez un mot de passe auprès de l'administrateur Host Intrusion Prevention.

2 Dans le menu Tâche, sélectionnez Déverrouiller l'interface utilisateur.

La boîte de dialogue Connexion s'affiche.

3 Saisissez le mot de passe et cliquez sur OK. S'il s'agit d'un mot de passe administrateur et non d'un mot de passe temporaire, sélectionnez Mot de passe de l'administrateur avant de cliquer sur OK.

Configuration des optionsLa console du client Host Intrusion Prevention vous permet d'accéder à certains paramètres fournis par la stratégie Interface utilisateur du client et de les personnaliser individuellement pour chaque client.

Pour personnaliser les options du client :1 Dans le menu Édition, cliquez sur Options.

La boîte de dialogue Options Host Intrusion Prevention s'affiche.

2 Sélectionnez et désélectionnez les options souhaitées.

Remarque

Pour des détails sur la création de mots de passe, consultez la section Définition des mots de passe, page 107.

Sélectionnez... Pour cela...

Afficher une alerte contextuelle Une boîte de dialogue d'alerte s'affiche en cas d'attaque. Pour plus de détails, consultez la section Alertes, page 137.

Émettre un signal sonore Un signal sonore est émis en cas d'attaque.

Faire clignoter l'icône dans la barre des tâches

L'icône oscille entre l'état normal et l'état d'attaque en cas d'attaque.

134

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Notification d'erreursHost Intrusion Prevention comporte un utilitaire de notification d'erreurs qui surveille et consigne les erreurs du logiciel. Lorsque cet utilitaire est activé, il invite l'utilisateur à transférer les données du problème au support technique de McAfee si elles peuvent être utilisées pour ouvrir un cas de support par exemple.

Si McAfee Alert Manager est installé sur le réseau où un ordinateur est en échec, il informe l'administrateur réseau qu'un problème a été détecté. L'administrateur réseau peut guider l'utilisateur afin de résoudre le problème.

Lorsque l'utilitaire détecte un échec, l'utilisateur sélectionne une option :

Soumettre les données : connecte au site Web du support technique de McAfee et envoie les données.

Ignorer l'erreur : aucune connexion n'est créée.

Lorsque des données sont soumises au site Web du support technique de McAfee, l'utilisateur peut se voir demander des informations supplémentaires. Si le problème a une cause connue, l'utilisateur peut être orienté vers une page Web fournissant des informations sur le problème et ses solutions.

DépannageHost Intrusion Prevention propose une option Dépannage dans le menu Aide, option disponible lorsque l'interface est déverrouillée. Ces options incluent l'activation de la consignation IPS et de pare-feu et la désactivation des moteurs systèmes.

ConsignationDans le dépannage, vous pouvez créer des journaux d'activité IPS et de pare-feu pouvant être analysés sur le système ou envoyés au support de McAfee pour vous aider à résoudre les problèmes.

Créer une récupération par renifleur, si disponible

Une colonne Récupération par renifleur est ajoutée au journal d'activité pour indiquer que les données du paquet d'intrusion ont été récupérées. Enregistrez ces données dans un fichier McAfee Sniffer.cap pour analyse.

Afficher la barre des tâches L'icône Host Intrusion Prevention apparaît dans la barre d'état système.

Notification d'erreurs L'utilitaire logiciel de notification d'erreurs est activé pour soumettre les erreurs à McAfee. Pour plus de détails, consultez la section Notification d'erreurs.

Sélectionnez... Pour cela...

Remarque

Pour utiliser l'utilitaire de notification d'erreurs, un ordinateur doit avoir accès à Internet et à un navigateur Web fonctionnant avec Java Script.

135

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Pour définir des options de consignation IPS :1 Cochez la case Activer l'écriture dans le journal IPS.

2 Sélectionnez le type de message (Tous ou une combinaison d'Informations, d'Avertissement, d'Informations de débogage, d'Erreur et de Violations de sécurité).

Vous devez sélectionner au minimum Erreur et Violations de sécurité.

3 Cliquez sur OK.

Les informations sont écrites dans le fichier CSlog.txt du dossier Program Files\McAfee\Host Intrusion Prevention.

Pour définir des options de consignation de pare-feu :1 Cochez la case Activer l'écriture dans le journal de pare-feu.

2 Sélectionnez le type de message (Tous ou une combinaison d'Informations, d'Avertissement, d'Erreur et de Noyau).

3 Cliquez sur OK.

Les informations sont écrites dans le fichier FireSvc.dbg du dossier Program Files\McAfee\Host Intrusion Prevention.

Moteurs IPS hôtesDans le dépannage, vous pouvez également désactiver les moteurs qui protègent un client. McAfee recommande que seuls les administrateurs en communication avec le support de McAfee utilisent cette procédure de dépannage.

Pour y accéder, cliquez sur Fonctionnalités dans la boîte de dialogue Options de dépannage. Dans la boîte de dialogue Moteurs HIPS qui s'affiche, désactivez un ou plusieurs moteurs systèmes du client en décochant la case en regard du moteur. Après avoir résolu le problème et pour revenir à un environnement de travail normal, assurez-vous que tous les moteurs sont sélectionnés.

Figure 9-1 Options de dépannage

136

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

AlertesUn utilisateur peut être confronté à plusieurs types de messages d'alerte et doit réagir en conséquence. Ces alertes peuvent concerner la détection des intrusions, le pare-feu, la quarantaine, le blocage d'applications et la détection d'usurpation. Les alertes de pare-feu et de blocage d'applications se produisent lorsque le client est en mode d'apprentissage pour ces fonctions.

Alertes d'intrusionSi vous activez la protection IPS et l'option Afficher une alerte contextuelle, cette alerte apparaît automatiquement lorsque Host Intrusion Prevention détecte une attaque potentielle. Si le client est en mode spéculatif, cette alerte apparaît uniquement si l'option Autoriser les règles du client est désactivée pour la signature ayant entraîné l'événement.

L'onglet Informations sur l'intrusion détaille l'attaque qui a généré l'alerte, y compris la description de l'attaque, l'ordinateur du client/ de l'utilisateur où s'est produite l'attaque, le processus impliqué dans l'attaque et la date/ l'heure à laquelle Host Intrusion Prevention a intercepté l'attaque. De plus, un message générique spécifié par l'administrateur peut apparaître.

Figure 9-2 Moteurs HIPS

Figure 9-3 Boîte de dialogue Alerte : Intrusion détectée

137

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Vous pouvez ignorer l'événement en cliquant sur Ignorer ou créer une règle d'exception pour cet événement en cliquant sur Créer une exception. Le bouton Créer une exception est actif uniquement si l'option Autoriser les règles du client est activée pour la signature ayant entraîné l'événement.

Si l'alerte résulte d'une signature HIP, la boîte de dialogue de la règle d'exception est préremplie avec le nom du processus, l'utilisateur et la signature. Vous pouvez sélectionner Toutes les signatures ou Tous les processus, mais pas les deux. Le nom d'utilisateur sera toujours inclus dans l'exception.

Si l'alerte résulte d'une signature NIP, la boîte de dialogue de la règle d'exception est préremplie avec le nom de la signature et l'adresse IP de l'hôte. Si vous le souhaitez, vous pouvez sélectionner Tous les hôtes.

De plus, vous pouvez cliquer sur Notifier l'administrateur pour envoyer des informations sur l'événement à l'administrateur Host Intrusion Prevention. Ce bouton est actif uniquement si l'option Permettre à l'utilisateur de notifier l'administrateur est activée dans la stratégie Interface utilisateur du client appliquée.

Sélectionnez N'afficher aucune alerte pour les événements IPS pour cesser d'afficher des alertes pour les événements IPS. Pour faire réapparaître les alertes après avoir sélectionné cette option, sélectionnez Afficher une alerte contextuelle dans la boîte de dialogue Options.

Alertes de pare-feuSi vous activez la protection du pare-feu et le mode d'apprentissage pour le trafic entrant ou sortant, une alerte de pare-feu apparaît. L'onglet Informations sur l'application affiche des informations sur l'application tentant d'accéder au réseau, y compris le nom, le chemin d'accès et la version de l'application. L'onglet Informations sur la connexion affiche des informations sur le protocole, l'adresse et les ports du trafic.

Pour répondre à une alerte du mode d'apprentissage du pare-feu1 Dans l'onglet Informations sur l'application de la boîte de dialogue d'alerte, effectuez

l'une des actions suivantes :

Cliquez sur Refuser pour bloquer ce trafic et tout trafic similaire.

Cliquez sur Autoriser pour autoriser le passage de ce trafic et de tout trafic similaire par le pare-feu.

2 Facultatif : Dans l'onglet Informations sur la connexion, sélectionnez les options possibles pour la nouvelle règle de pare-feu :

Remarque

Cette alerte d'intrusion apparaît également pour les intrusions de pare-feu si une règle de pare-feu avec l'option Considérer une correspondance à la règle comme une intrusion sélectionnée est admise.

Sélectionnez... Pour...

Créer une règle d'application du pare-feu pour tous les ports et services

Créer une règle pour autoriser ou bloquer le trafic d'une application sur n'importe quel port ou service. Si vous ne sélectionnez pas cette option, la nouvelle règle de pare-feu autorise ou bloque uniquement certains ports :

Si le trafic intercepté utilise un port inférieur à 1024, la nouvelle règle autorise ou bloque uniquement ce port-là.Si le trafic utilise le port 1024 ou un port supérieur, la nouvelle règle autorise ou bloque les ports compris entre 1024 et 65535.

Supprimer cette règle à l'arrêt de l'application

Créer une règle d'autorisation ou de blocage temporaire qui sera supprimée lorsque vous quitterez l'application. Si vous ne sélectionnez pas ces options, la nouvelle règle de pare-feu sera créée comme une règle permanente pour le client.

138

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Host Intrusion Prevention crée une nouvelle règle de pare-feu en fonction des options sélectionnées, l'ajoute à la liste des Règles de pare-feu et autorise ou bloque automatiquement tout trafic similaire.

Alertes de blocage d'applicationsLorsque la création ou l'accrochage d'application est activé(e) dans la stratégie Options de blocage d'application, Host Intrusion Prevention surveille les activités d'application et les autorise ou les bloque, selon les règles de la stratégie Règles de blocage d'application.

Si vous avez activé le mode d'apprentissage pour le blocage de la création ou de l'accrochage, Host Intrusion Prevention affiche une Alerte de création d'application ou une Alerte d'accrochage d'application lorsqu'il détecte une application inconnue tentant d'exécuter ou de se lier à un autre programme.

L'onglet Informations sur l'application affiche des informations sur l'application tentant d'exécuter (création) ou de lancer (accrocher) un autre processus, y compris le nom, le chemin d'accès et la version de l'application.

Utilisez cette boîte de dialogue pour sélectionner une action :

Cliquez sur Autoriser pour laisser l'application terminer son action :

Pour une Alerte de création d'application, cliquer sur Autoriser laisse l'application s'exécuter.

Pour une Alerte d'accrochage d'application, cliquer sur Autoriser laisse l'application se lier à un autre programme.

Cliquez sur Refuser pour bloquer l'application :

Pour une Alerte de création d'application, cliquer sur Refuser empêche l'exécution de l'application.

Pour une Alerte d'accrochage d'application, cliquer sur Refuser empêche l'application de se lier à un autre programme.

Lorsque vous cliquez sur Autoriser ou Refuser, Host Intrusion Prevention crée une nouvelle règle d'application en fonction de votre choix. Après avoir rassemblé les propriétés du client, cette règle est ajoutée à l'onglet Règle du client d'application de la stratégie Règles d'application. L'application est ensuite autorisée ou bloquée automatiquement.

Figure 9-4 Alerte du pare-feu – Onglets Informations sur l'application et Informations

sur la connexion

139

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Alertes de quarantaineSi vous activez le mode de quarantaine et si vous incluez l'adresse IP du client pour la mise en quarantaine dans la stratégie Options de quarantaine, une alerte de quarantaine apparaît dans les situations suivantes :

Modification de l'adresse IP de l'ordinateur client

Déconnexion et reconnexion de la connexion Ethernet du client

Redémarrage du client

Alertes : Usurpation détectée Si vous activez la fonction IPS, cette alerte s'affiche automatiquement si Host Intrusion Prevention détecte qu'une application sur votre ordinateur envoie un trafic réseau usurpé. Cela signifie que l'application tente de faire croire que le trafic de votre ordinateur provient en réalité d'un autre ordinateur. Elle y parvient en modifiant l'adresse IP des paquets sortants. L'usurpation est toujours une activité suspecte. Si cette boîte de dialogue s'affiche, examinez immédiatement l'application qui a envoyé le trafic usurpé.

La boîte de dialogue Alerte : Usurpation détectée ressemble beaucoup à l'alerte Mode d'apprentissage de la fonction de pare-feu. Elle affiche des informations concernant le trafic intercepté dans deux onglets : l'onglet Informations sur l'application et l'onglet Informations sur la connexion.

Figure 9-5 Alertes de création et d'accrochage de blocage d'applications

Figure 9-6 Alerte de quarantaine

Remarque

La boîte de dialogue Alerte : Usurpation détectée ne s'affiche que si vous sélectionnez l'option Afficher un message de notification en cas d'attaque. Si vous ne sélectionnez pas cette option, Host Intrusion Prevention bloque automatiquement le trafic usurpé sans vous le signaler.

140

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

L'onglet Informations sur l'application affiche :

L'adresse IP dont le trafic prétend provenir.

Des informations sur le programme générateur du trafic usurpé.

L'heure et la date auxquelles Host Intrusion Prevention a intercepté le trafic.

L'onglet Informations sur la connexion fournit d'autres informations sur le réseau. Notamment, Adresse locale affiche l'adresse IP que l'application prétend avoir, alors que Adresse distante affiche votre adresse IP réelle.

Lorsque Host Intrusion Prevention détecte un trafic réseau usurpé, il tente de bloquer le trafic et l'application qui l'a généré en ajoutant une nouvelle règle à la fin de la liste des règles de pare-feu. Cette règle Bloquer attaquant par usurpation bloque particulièrement tout le trafic créé par l'application suspecte, à moins qu'une autre règle de la liste des règles ne la supplante.

Figure 9-7 Boîte de dialogue Alerte : Usurpation IP détectée

141

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Onglet Stratégie IPSUtilisez l'onglet Stratégie IPS pour configurer la fonction IPS qui protège des attaques d'intrusion de l'hôte basées sur des règles de signature et comportementales. À partir de cet onglet, vous pouvez activer ou désactiver les fonctionnalités et configurer des règles d'exception du client. Pour plus de détails sur les stratégies IPS, consultez la section Chapitre 4, Stratégies IPS.

Options de la stratégie IPSLes options en haut de l'onglet contrôlent les paramètres fournis par les stratégies IPS côté serveur après déverrouillage de l'interface du client.

Pour personnaliser les options de la Stratégie IPS :1 Cliquez sur l'onglet Stratégie IPS.

2 Sélectionnez ou désélectionnez une option souhaitée.

Figure 9-8 Onglet Stratégie IPS

Sélectionnez... Pour...

Activer l'IPS hôte Activer la protection Host Intrusion Prevention.

Activer l'IPS réseau Activer la protection de prévention des intrusions au niveau du réseau.

Activer le mode spéculatif Activer le mode spéculatif pour créer automatiquement des exceptions aux signatures de prévention des intrusions.

Bloquer automatiquement les pirates

Bloque automatiquement les intrusions sur le réseau, pour un laps de temps défini. Sélectionnez Jusqu'à suppression pour bloquer une attaque jusqu'à sa suppression ou Pendant X min. pour bloquer une attaque pendant le nombre de minutes spécifié (valeur par défaut : 30).

142

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Règles d'exception de la stratégie IPSLa liste des règles d'exception IPS affiche les règles d'exception du client que vous pouvez afficher et modifier.

Pour modifier les règles d'exception :1 Cliquez sur Ajouter pour ajouter une règle.

La boîte de dialogue Règle d'exception s'affiche.

2 Saisissez une description pour la règle.

3 Sélectionnez l'application à laquelle la règle s'applique à partir de la liste ou cliquez sur Parcourir pour rechercher l'application.

4 Sélectionnez Règle d'exception active pour activer la règle.

L'exception s'applique à toutes les signatures, ni activée ni sélectionnée par défaut, applique l'exception à toutes les signatures.

5 Cliquez sur OK.

La nouvelle règle apparaît dans la liste.

6 Pour d'autres modifications, effectuez l'une des actions suivantes :

Liste des règles d'exceptionLa liste des règles d'exception affiche les règles d'exception relatives au client et fournit un résumé et des informations détaillées pour chaque règle.

Pour... Faites cela...

Afficher les détails d'une règle ou modifier une règle

Double-cliquez sur une règle ou sélectionnez une règle et cliquez sur Propriétés. La boîte de dialogue Règle d'exception s'affiche et indique les informations de règle pouvant être modifiées.

Activer/ désactiver une règle

Cochez ou décochez la case Règle d'exception active dans la boîte de dialogue Règle d'exception. Vous pouvez également cocher ou décocher la case en regard de l'icône de la règle dans la liste.

Supprimer une règle

Sélectionnez une règle et cliquez sur Supprimer.

Cette colonne... Affiche

Exception Nom de l'exception.

Signature Nom de la signature grâce à laquelle l'exception est créée.

Application Application à laquelle cette règle s'applique, y compris le nom du programme et le nom du fichier exécutable.

143

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Onglet Stratégie de pare-feuUtilisez l'onglet Stratégie de pare-feu pour configurer la fonction de pare-feu, qui autorise ou bloque la communication réseau sur la base des règles que vous avez définies. À partir de cet onglet, vous pouvez activer ou désactiver les fonctionnalités et configurer des règles de pare-feu du client. Pour plus de détails sur les stratégies de pare-feu, consultez la section Chapitre 5, Stratégies de pare-feu.

Options de la Stratégie de pare-feuLes options en haut de l'onglet contrôlent les paramètres fournis par les stratégies de pare-feu côté serveur.

Pour personnaliser les options de la Stratégie de pare-feu :1 Cliquez sur l'onglet Stratégie IPS.

2 Sélectionnez ou désélectionnez une option souhaitée.

Figure 9-9 Onglet Stratégie de pare-feu

Sélectionnez... Pour...

Activer le pare-feu Active la protection de la stratégie de pare-feu.

Mode d'apprentissage entrant activé

Active le mode d'apprentissage pour le trafic entrant.

Mode d'apprentissage sortant activé

Active le mode d'apprentissage pour le trafic sortant.

Sécurisé… Crée des réseaux sécurisés. Pour plus de détails, consultez la section Configuration de la stratégie Réseaux sécurisés, page 110.

144

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Règles de la Stratégie de pare-feuLa liste des règles de pare-feu affiche les règles du client que vous pouvez afficher et modifier. Pour des détails sur l'utilisation des règles de pare-feu, consultez les sections :

Affichage et modification de règles de pare-feu, page 84.

Création d'une nouvelle règle de pare-feu ou d'un groupe de pare-feu, page 85.

Suppression d'une règle de pare-feu ou d'un groupe, page 88.

Liste de règles de pare-feuLa liste des règles de pare-feu affiche les règles et les groupes de règles relatifs au client et fournit un résumé et des informations détaillées pour chaque règle.

Remarque

Vous ne pouvez pas ajouter de groupes de reconnaissance de connexion de pare-feu à partir du client. Cette fonctionnalité n'est disponible que dans la stratégie Règles de pare-feu, gérée à partir de la console ePolicy Orchestrator.

Cette colonne... Affiche…

Description Objectif de cette règle ou de ce groupe de règles.

Protocole À quel(s) protocole(s) la règle s'applique (TCP, UDP, ICMP).

Si la règle autorise le trafic ou le bloque :

Autorise le trafic.

Bloque le trafic.

Si la règle s'applique au trafic entrant, au trafic sortant ou aux deux :

Trafic entrant.

Trafic sortant.

Dans les deux sens.

Si Host Intrusion Prevention traite le trafic correspondant à cette règle comme une intrusion (attaque) sur votre système.

Si cette règle s'applique uniquement à des moments donnés.

Service (L) Services sur votre ordinateur auxquels s'applique cette règle. Si possible, cette colonne affiche les numéros des ports associés. Vous pouvez définir un seul service, une série de services, une liste de services spécifiques, ou spécifier tous les services (Tous) ou aucun service (N/A).

Service (R) Services auxquels cette règle s'applique sur l'ordinateur vers lequel vous envoyez du trafic ou duquel vous recevez du trafic. Si possible, cette colonne affiche les numéros des ports associés. Vous pouvez définir un seul service, une série de services, une liste de services spécifiques, ou spécifier tous les services (Tous) ou aucun service (N/A).

Adresse Adresse IP, sous-réseau, domaine ou autre identifiant spécifique auquel la règle s'applique.

Application Application à laquelle cette règle s'applique, y compris le nom du programme et le nom du fichier exécutable.

145

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Onglet Stratégie d'applicationUtilisez l'onglet Stratégie d'application pour configurer la fonction de blocage d'application. Vous pouvez spécifier si une application peut s'exécuter (création d'application) ou se lier à d'autres programmes (accrochage d'application), s'il faut activer le mode spéculatif pour la création et l'accrochage d'application et configurer les règles d'application du client. Pour plus de détails sur l'accrochage d'application, consultez la section Chapitre 6, Stratégies de blocage d'application.

Options de la Stratégie d'applicationLes options en haut de l'onglet contrôlent les paramètres fournis par les stratégies d'application côté serveur.

Pour personnaliser les options de la Stratégie d'application :1 Cliquez sur l'onglet Stratégie d'application.

2 Sélectionnez ou désélectionnez une option souhaitée.

Figure 9-10 Onglet Stratégie d'application

Sélectionnez... Pour...

Activer le blocage de la création d'application

Active le blocage de la création d'application. Les options Activer le mode d'apprentissage de création d'application sont activées.

Activer le blocage de l'accrochage d'application

Active le blocage de l'accrochage d'application. Les options Activer le mode d'apprentissage d'accrochage d'application sont activées.

Activer le mode d'apprentissage de création d'application

Active le mode d'apprentissage pour la création d'application, lorsque l'utilisateur est invité à autoriser ou bloquer la création d'application.

Activer le mode d'apprentissage pour l'accrochage d'application

Active le mode d'apprentissage pour l'accrochage d'application, lorsque l'utilisateur est invité à autoriser ou bloquer l'accrochage d'application.

146

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Règles de la Stratégie d'applicationLa liste des règles de la stratégie d'application affiche les règles du client que vous pouvez afficher et modifier. Pour des détails sur le travail avec les règles de blocage d'application, consultez les sections :

Affichage et modification des règles de blocage d'application, page 99.

Création de nouvelles règles de blocage d'application, page 100.

Suppression d'une règle de blocage d'application, page 101.

Liste de règles d'applicationLa liste des règles d'application affiche les règles relatives au client et fournit un résumé et des informations détaillées pour chaque règle.

Cette colonne... Affiche…

Description Objectif de cette règle.

Créer Autorise l'exécution de l'application.

Bloque l'exécution de l'application.

Accrocher

Autorise l'application à s'accrocher à d'autres programmes.

Empêche l'application de s'accrocher à d'autres

programmes.

Application Nom de fichier et chemin d'accès de l'application à laquelle cette règle s'applique.

147

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Onglet Hôtes bloquésUtilisez l'onglet Hôtes bloqués pour contrôler une liste d'hôtes (adresses IP) bloqués automatiquement créée lorsque la protection réseau IPS (NIPS) est activée (consultez la section Options de la stratégie IPS, page 142). Si Créer des règles du client est sélectionné dans la stratégie Options IPS dans la console ePolicy Orchestrator, vous pouvez ajouter des hôtes bloqués à la liste et la modifier.

Liste des Hôtes bloquésVous pouvez afficher et modifier la liste des adresses bloquées. Les modifications incluent l'ajout, la suppression et la modification des hôtes bloqués, ain150

si que l'affichage des détails des hôtes bloqués.

La liste des hôtes bloqués affiche tous les hôtes actuellement bloqués par Host Intrusion Prevention. Chaque ligne représente un hôte. Vous pouvez obtenir plus d'informations sur les hôtes en lisant les informations fournies dans chaque colonne.

Figure 9-11 Onglet Hôtes bloqués

Colonne Ce qu'elle affiche

Source Adresse IP que Host Intrusion Prevention bloque.

Motif du blocage Explique pourquoi Host Intrusion Prevention bloque cette adresse.

Si Host Intrusion Prevention a ajouté cette adresse à la liste en raison d'une tentative d'attaque sur votre système, cette colonne décrit le type d'attaque.

Si Host Intrusion Prevention a ajouté cette adresse parce que l'une de ses règles de pare-feu a utilisé l'option Considérer une correspondance à la règle comme une intrusion, cette colonne répertorie le nom de la règle de pare-feu applicable.

Si vous avez ajouté cette adresse manuellement, cette colonne répertorie uniquement l'adresse IP bloquée.

148

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Pour modifier la liste des Hôtes bloqués :1 Cliquez sur Ajouter pour ajouter un hôte.

La boîte de dialogue Hôte bloqué s'affiche.

2 Entrez l'adresse IP que vous souhaitez bloquer. Pour rechercher une adresse IPS par nom de domaine, cliquez sur Recherche DNS.

3 Déterminez la durée pendant laquelle l'adresse IP sera bloquée :

Sélectionnez Jusqu'à suppression pour bloquer l'hôte jusqu'à sa suppression.

Sélectionnez Pendant et saisissez le nombre de minutes (jusqu'à 60) pour bloquer l'hôte pendant la durée fixée.

4 Cliquez sur Tracer la source pour tracer l'adresse IP et collecter des informations comme les utilisateurs NetBIOS, l'adresse MAC, la page d'ouverture du serveur Telnet, la page d'ouverture du serveur HTTP, la page d'ouverture du serveur FTP, la page d'ouverture du serveur SMTP et les noms DNS des adresses proches.

5 Cliquez sur OK.

Le nouvel hôte bloqué apparaît dans la liste.

6 Pour d'autres modifications, effectuez l'une des actions suivantes :

Heure Heure et date auxquelles vous avez ajouté cette adresse à la liste des adresses bloquées.

Temps restant Durée pendant laquelle Host Intrusion Prevention continuera à bloquer cette adresse.

Si vous avez spécifié un délai d'expiration lorsque vous avez bloqué cette adresse, cette colonne affiche le nombre de minutes restantes avant que Host Intrusion Prevention supprime l'adresse de la liste.

Si vous avez spécifié que vous souhaitiez que cette adresse soit bloquée jusqu'à ce que vous la supprimiez manuellement de la liste, cette colonne affiche Jusqu'à suppression.

Colonne Ce qu'elle affiche

Remarque

Après avoir créé une adresse bloquée, Host Intrusion Prevention ajoute une nouvelle entrée à la liste dans l'onglet Protection d'applications. Il bloque toute tentative de communication depuis cette adresse IP jusqu'à suppression de cette adresse de la liste des adresses bloquées ou expiration de la durée.

Pour... Faites cela...

Afficher les détails d'un hôte bloqué ou modifier un hôte bloqué

Double-cliquez sur une entrée d'hôte ou sélectionnez un hôte et cliquez sur Propriétés. La boîte de dialogue Hôte bloqué affiche des informations pouvant être modifiées.

Supprimer un hôte bloqué

Sélectionnez un hôte et cliquez sur Supprimer.

149

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Onglet Protection d'applicationsL'onglet Protection d'applications affiche une liste d'applications protégées sur le client. Il s'agit d'une liste de stratégies d'administration en lecture seule et d'une liste d'applications spécifiques au client créée heuristiquement. Pour plus de détails, consultez la section Règles de protection d'applications, page 53.

Liste de protection d'applicationsCette liste montre tous les processus contrôlés sur le client.

Figure 9-12 Onglet Liste de protection d'applications

Colonne Ce qu'elle affiche

Processus Processus d'application.

PID ID de processus, essentiel pour rechercher un processus dans la mémoire cache.

Chemin d'accès complet du processus

Chemin d'accès complet du processus d'application.

150

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Onglet Journal d'activitéUtilisez l'onglet Journal d'activité pour configurer la fonction de consignation et suivre les actions de Host Intrusion Prevention.

Options du Journal d'activitéLes options en haut de l'onglet contrôlent les éléments à consigner et à afficher.

Pour personnaliser les options du Journal d'activité :1 Cliquez sur l'onglet Journal d'activité.

2 Sélectionnez ou désélectionnez une option souhaitée.

Figure 9-13 Onglet Journal d'activité

Sélectionnez... Pour...

Consignation du trafic – Consigner tous les éléments bloqués

Consigne tout le trafic de pare-feu bloqué.

Consignation du trafic – Consigner tous les éléments autorisés

Consigne tout le trafic de pare-feu autorisé.

Options de filtre – Trafic

Filtre les données pour afficher le trafic de pare-feu bloqué et autorisé.

Options de filtre – Applications

Filtre les données pour afficher les événements causés par des applications.

Options de filtre – Intrusions

Filtre les données pour afficher les intrusions.

Remarque

Vous pouvez activer et désactiver la consignation pour le trafic de pare-feu, mais pas pour les fonctions de blocage d'application ou IPS. Cependant, vous pouvez choisir de masquer ces événements dans le journal en les éliminant par filtrage.

151

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Windows

9

Liste du Journal d'activitéLe Journal d'activité contient un journal des activités en cours. Les activités les plus récentes apparaissent au bas de la liste.

Vous pouvez effacer la liste en supprimant le contenu du journal ou en l'enregistrant dans un fichier .txt.

Colonne Ce qu'elle affiche

Heure Date et heure de l'action Host Intrusion Prevention.

Événement Fonction qui a effectué l'action.

Trafic indique une action de pare-feu.

Application indique une action de blocage d'application.

Intrusion indique une action IPS.

Système indique un événement lié aux composants internes du logiciel.

Service indique un événement lié aux services ou aux pilotes du logiciel.

Source Adresse distante à laquelle cette communication a été envoyée ou de laquelle elle provient.

Données d'intrusion

Remarque : Cette colonne apparaît uniquement si vous sélectionnez Créer une récupération par renifleur... dans la boîte de dialogue Options McAfee Host Intrusion Prevention.

Une icône indiquant que Host Intrusion Prevention a enregistré les données du paquet associées à cette attaque (cette icône apparaît uniquement pour les entrées de journal IPS).

indique que vous pouvez exporter les données du paquet associées à cette entrée de journal. Cliquez sur l'entrée de journal avec le bouton droit de la souris pour enregistrer les données dans un fichier Renifleur.

Application Programme qui a causé l'action.

Message Description de l'action, avec autant de détails que possible.

Pour... Faites cela...

Supprimer définitivement le contenu du journal

Cliquez sur Effacer.

Enregistrer le contenu du journal avant de supprimer la liste de l'onglet

Cliquez sur Enregistrer. Dans la boîte de dialogue Enregistrer le fichier journal sous qui s'affiche, nommez et enregistrez le fichier .txt.

152

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Solaris

9

Client Solaris Le client Solaris Host Intrusion Prevention 6.1 identifie et prévient les attaques potentiellement nuisibles et susceptibles de compromettre le bon fonctionnement des fichiers et applications d'un serveur Solaris. Il protège le système d'exploitation du serveur et les serveurs Apache et Sun Web en s'axant particulièrement sur les attaques par Buffer Overflow.

Application des stratégies avec le client SolarisLes stratégies qui protègent un client Windows ne sont pas toutes applicables au client Linux. En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre pas de protection pare-feu. Les stratégies disponibles sont présentées ci-après.

DépannageUne fois installé et démarré, le client Solaris protège son hôte. Des dépannages peuvent cependant être nécessaires au niveau de l'installation ou du fonctionnement.

Problèmes liés à l'installation du clientSi un problème survient au moment de l'installation ou de la désinstallation du client, plusieurs choses sont à examiner. On peut notamment s'assurer que tous les fichiers nécessaires ont été installés dans le bon répertoire, désinstaller puis réinstaller le client et vérifier les journaux de processus.

Avec cette stratégie... Ces options sont disponibles...

HIP 6.1 GÉNÉRAL :Interface utilisateur du client Aucune sauf admin ou mot de passe temporaire pour

permettre l'utilisation de l'outil de dépannage.Réseaux sécurisés Aucun

Applications sécurisées Uniquement Marquer comme sécurisée pour IPS et Nouveau nom de processus pour ajouter des applications sécurisées.

HIP 6.1 IPS :Options IPS Activer HIPS

Activer le mode spéculatifRetenir les règles clients existantes

Protection IPS Tous

Règles IPS Règles d'exceptionSignatures (valeurs par défaut et règles HIPS personnalisées seulement)

Remarque : Les signatures et règles de protection d'applications NIPS ne sont pas disponibles.

Événements IPS Tous

Règles IPS du client Tous

Recherche de règles d'exception IPS

Tous

PARE-FEU HIP 6.1 Aucun

BLOCAGE D'APPLICATIONS HIP 6.1

Aucun

153

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Solaris

9

Vérification des fichiers d'installationAprès une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire du client. Le répertoire /opt/McAfee/hip doit contenir les fichiers et répertoires essentiels mentionnés ci-après :

Les historiques d'installation figurent dans /opt/McAfee/etc/hip-install.log. Reportez-vous à ce fichier pour toute question concernant le processus d'installation ou de suppression du client Host Intrusion Prevention.

Vérification de l'exécution du clientLe client est correctement installé, mais vous pouvez rencontrer des problèmes au moment de son fonctionnement. Si le client n'apparaît pas sur la console ePO par exemple, vérifiez qu'il est bien en cours d'exécution à l'aide de l'une de ces commandes :

/etc/rc2.d/SS99hip status

ps –ef | grep hip

Problèmes liés au fonctionnement du clientLe client Solaris ne possède pas d'interface utilisateur pour le dépannage des problèmes liés au fonctionnement. Il propose un outil de dépannage de ligne de commande, hipts, situé dans le répertoire /opt/McAfee/hip. Pour utiliser cet outil, vous devez donner le mot de passe du client Host Intrusion Prevention. Utilisez le mot de passe par défaut du client (abcde12345) ou envoyez une stratégie d'interface utilisateur au client avec un mot de passe administrateur ou un mot de passe temporaire définis avec la stratégie et utilisez ce mot de passe.

L'outil de dépannage permet de :

Indiquer les paramètres de consignation et le statut du moteur du client.

Activer et désactiver la consignation des messages.

Activer et désactiver les moteurs.

Se connecter en tant qu'administrateur et exécuter les commandes d'aide au dépannage décrites ci-dessous.

Nom du répertoire/fichier Description

HipClient

HipClient-bin

client Solaris

HipClientPolicy.xml Règles de stratégies

hipts

hipts-bin

Outil de dépannage

*.so Host Intrusion Prevention et modules d'objets partagés de l'agent ePO

log directory Contient les fichiers journaux : HIPShield.log et HIPClient.log

Exécutez cette commande... Pour...

hipts status Obtenir l'état actuel du client indiquant quel type de consignation est activée et quels moteurs sont en cours d'exécution.

hipts logging on Activer la consignation de types de messages spécifiques.

hipts logging off Désactiver la consignation de tous les types de messages. La consignation est désactivée par défaut.

154

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Solaris

9

Démarrage et arrêt du clientDans le cadre d'un dépannage, vous pouvez être amené à arrêter un client en cours d'exécution puis à le redémarrer.

Pour arrêter un client Solaris :1 Désactivez la protection IPS en utilisant l'une de ces procédures :

Définissez Options IPS sur Désactivé sur la console ePO et appliquez la stratégie au client.

Exécutez la commande : hipts engines MISC:off.

2 Exécutez la commande : /etc/rc2.d/S99hip stop.

Pour redémarrer un client Solaris :1 Exécutez la commande : /etc/rc2.d/S99hip restart.

2 Activez la protection IPS. Utilisez l'une des procédures suivantes en fonction de celle utilisée pour arrêter le client :

Définissez Options IPS sur Activé sur la console ePO et appliquez la stratégie au client.

Exécutez la commande : hipts engines MISC:on.

hipts message <nom du message>:on Afficher le type de message indiqué lorsque la consignation est activée. Ces messages comprennent :

error

warning

debug

info

violations

hipts message <nom du message>:off

Masquer le type de message indiqué lorsque la consignation est activée. Les erreurs de message sont désactivées par défaut.

hipts message all:on Afficher tous les types de message lorsque la consignation est activée.

hipts message all:off Masquer tous les types de message lorsque la consignation est activée.

hipts engines <nom du moteur>:on Activer le moteur indiqué. Le moteur est activé par défaut. Les moteurs comprennent :

MISCFILESGUIDMMAPBOENVHTTP

hipts engines <nom du moteur>:off Désactiver le moteur indiqué.

hipts engines all:on Activer tous les moteurs.

hipts engines all:off Désactiver tous les moteurs.

Conseil

En plus de l'utilisation de l'outil de dépannage, consultez les fichiers HIPShield.log et HIPClient.log dans le répertoire /opt/McAfee/hip/log pour vérifier les opérations ou suivre les problèmes.

Exécutez cette commande... Pour...

155

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Linux

9

Client Linux Le client Linux Host Intrusion Prevention 6.1 identifie et prévient les attaques potentiellement nuisibles et susceptibles de compromettre le bon fonctionnement des fichiers et applications d'un serveur Linux. Il s'appuie sur le mécanisme de protection SELinux natif en traduisant les stratégies IPS en règles SELinux et les événements SELinux en événements IPS et offre une gestion facile à partir de la console ePO.

Application des stratégies avec le client LinuxLes stratégies qui protègent un client Windows ne sont pas toutes applicables au client Linux. En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre pas de protection en matière d'intrusion sur le réseau, y compris en cas de Buffer Overflow. Les stratégies disponibles sont présentées ci-après.

Remarques concernant le client LinuxSi vous disposez d'une stratégie SELinux et utilisez les paramètres de protection par défaut, l'installation d'un client Linux entraîne le remplacement de la stratégie SELinux par la stratégie McAfee Host Intrusion Prevention par défaut. En désinstallant le client Linux, vous reviendrez à la stratégie SELinux antérieure.

Le client Linux nécessite l'installation et l'activation de SELinux (définie sur enforce ou permissive) S'il est installé mais désactivé, activez-le, définissez-le sur stratégie ciblée, puis redémarrez l'ordinateur avant d'installer le client Linux.

Avec cette stratégie... Ces options sont disponibles...

HIP 6.1 GÉNÉRAL :Interface utilisateur du client Aucune sauf admin ou mot de passe temporaire pour

permettre l'utilisation de l'outil de dépannage.Réseaux sécurisés Aucun

Applications sécurisées Uniquement Marquer comme sécurisée pour IPS et Nouveau nom de processus pour ajouter des applications sécurisées.

HIP 6.1 IPS :Options IPS Activer HIPS

Activer le mode spéculatifRetenir les règles clients existantes

Protection IPS Tous

Règles IPS Règles d'exceptionSignatures (valeurs par défaut et règles HIPS personnalisées seulement)

Remarque : Les signatures et règles de protection d'applications NIPS ne sont pas disponibles.

Événements IPS Tous

Règles IPS du client Tous

Recherche de règles d'exception IPS

Tous

PARE-FEU HIP 6.1 Aucun

BLOCAGE D'APPLICATIONS HIP 6.1

Aucun

156

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Linux

9

Linux contrôle les modifications des attributs de fichiers avec une seule autorisation SELinux (file:setattr). Il n'y a pas de contrôle individuel de chdir ou symlink, de contrôle de changement de répertoire ou contrôle de création d'un lien symbolique.

SELinux utilise un mécanisme de contrôle d'accès obligatoire implémenté au niveau du noyau de Linux avec l'environnement Linux Security Modules (LSM). Cet environnement s'assure que les opérations sont autorisées après vérification des contrôles d'accès discrétionnaires standard de Linux. Le client Linux utilisant LSM, tout autre application qui utilise LSM ne fonctionnera pas à moins d'implémenter une fonction de commandes multiples.

DépannageUne fois installé et démarré, le client Linux protège son hôte. Des dépannages peuvent cependant être nécessaires au niveau de l'installation ou du fonctionnement.

Problèmes liés à l'installation du clientSi un problème survient au moment de l'installation ou de la désinstallation du client, plusieurs choses sont à examiner. On peut notamment s'assurer que tous les fichiers nécessaires ont été installés dans le bon répertoire, désinstaller puis réinstaller le client et vérifier les journaux de processus.

Vérification des fichiers d'installationAprès une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire du client. Le répertoire opt/McAfee/hip doit contenir les fichiers et répertoires essentiels mentionnés ci-dessous :

Les historiques d'installation figurent dans /opt/McAfee/etc/hip-install.log. Reportez-vous à ce fichier pour toute question concernant le processus d'installation ou de suppression du client Host Intrusion Prevention.

Vérification de l'exécution du clientSi le client n'apparaît pas sur la console ePO, par exemple, vérifiez qu'il est bien lancé. Pour ce faire, exécutez la commande :

ps –ef | grep hip

Problèmes liés au fonctionnement du clientLe client est correctement installé, mais vous pouvez rencontrer des problèmes au moment de son fonctionnement. Vérifiez que le client est bien en cours d'exécution puis arrêtez-le puis relancez-le.

Nom du fichier Description

HipClient

HipClient-bin

client Linux

HipClientPolicy.xml Règles de stratégies

hipts

hipts-bin

Outil de dépannage

*.so Host Intrusion Prevention et modules d'objets partagés de l'agent ePO

log directory Contient les fichiers journaux : HIPShield.log et HIPClient.log

157

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Linux

9

Outil de dépannageLe client Linux ne possède pas d'interface utilisateur pour le dépannage des problèmes liés au fonctionnement. Il propose un outil de dépannage de ligne de commande, hipts, situé dans le répertoire opt/McAfee/hip. Pour utiliser cet outil, vous devez donner le mot de passe du client Host Intrusion Prevention. Utilisez le mot de passe par défaut du client (abcde12345) ou envoyez une stratégie d'interface utilisateur au client avec un mot de passe administrateur ou un mot de passe temporaire défini avec la stratégie et utilisez ce mot de passe.

L'outil de dépannage permet de :

Indiquer les paramètres de consignation et le statut du moteur du client.

Activer et désactiver la consignation des messages.

Activer et désactiver les moteurs.

Se connecter en tant qu'administrateur et exécuter les commandes d'aide au dépannage décrites ci-dessous.

Exécutez cette commande... Pour...

hipts status Obtenir l'état actuel du client indiquant quel type de consignation est activée et quels moteurs sont en cours d'exécution.

hipts logging on Activer la consignation de types de messages spécifiques.

hipts logging off Désactiver la consignation de tous les types de messages. La consignation est désactivée par défaut.

hipts message <nom du message>:on Afficher le type de message indiqué lorsque la consignation est activée. Ces messages comprennent :

error

warning

debug

info

violations

hipts message <nom du message>:off Masquer le type de message indiqué lorsque la consignation est activée. Les erreurs de message sont désactivées par défaut.

hipts message all:on Afficher tous les types de message lorsque la consignation est activée.

hipts message all:off Masquer tous les types de message lorsque la consignation est activée.

hipts engines <nom du moteur>:on Activer le moteur indiqué. Le moteur est activé par défaut. Les moteurs comprennent :

MISC

FILES

hipts engines <nom du moteur>:off Désactiver le moteur indiqué.

hipts engines all:on Activer tous les moteurs.

hipts engines all:off Désactiver tous les moteurs.

Conseil

En plus de l'utilisation de l'outil de dépannage, consultez les fichiers HIPShield.log et HIPClient.log dans le répertoire McAfee/hip/log pour vérifier les opérations et suivis.

158

McAfee® Host Intrusion Prevention 6.1 Guide produit Client Host Intrusion PreventionClient Linux

9

Démarrage et arrêt du clientDans le cadre d'un dépannage, vous pouvez être amené à arrêter un client en cours d'exécution puis à le redémarrer.

Pour arrêter un client Linux :1 Désactivez la protection IPS en utilisant l'une de ces procédures :

Définissez Options IPS sur Désactivé sur la console ePO et appliquez la stratégie au client.

Exécutez la commande : hipts engines MISC:off.

2 Exécutez la commande : hipts agent off.

Pour redémarrer un client Linux :1 Exécutez la commande : hipts agent on.

2 Activez la protection IPS. Utilisez l'une des procédures suivantes en fonction de celle utilisée pour arrêter le client :

Définissez Options IPS sur Activé sur la console ePO et appliquez la stratégie au client.

Exécutez la commande : hipts engines MISC:on.

159

10 Foire aux questions

Cette section répond à quelques questions pratiques concernant l'utilisation de Host Intrusion Prevention 6.0.

Qu'est-ce qu'une stratégie ?

Qu'est-ce que la stratégie McAfee par défaut ?

Que se passe-t-il au niveau des nœuds du répertoire situés en dessous du nœud où une nouvelle stratégie est créée ?

En quoi les nœuds auxquels la stratégie est appliquée sont-ils affectés lorsque celle-ci est modifiée ?

Pourquoi la nouvelle stratégie Host Intrusion Prevention que j'ai créée n'est-elle pas appliquée ?

Puis-je déléguer l'administration des stratégies IPS et de pare-feu à d'autres administrateurs situés sur des sites géographiquement distincts ?

Puis-je appliquer la même configuration de sécurité à différents systèmes ?

Puis-je afficher ou modifier les stratégies appliquées à un nœud ou à un client spécifique ?

Comment faire pour afficher toutes les stratégies disponibles et les nœuds auxquels elles sont affectées ?

Comment faire pour afficher les événements IPS déclenchés par les clients ?

Comment faire pour créer une exception sur la base d'un événement IPS ?

Comment faire pour affiner les stratégies Règles IPS existantes à l'aide de mécanismes automatisés ?

Comment faire pour créer des signatures personnalisées pour une stratégie IPS ?

Comment réorganiser les exceptions existantes et les signatures personnalisées au sein d'une nouvelle stratégie ?

Comment faire pour trouver les stratégies existantes correspondant à un profil donné ?

Qu'est-ce qu'une stratégie ?Une stratégie est un sous-ensemble personnalisé de paramètres produit, correspondant à une catégorie de stratégie. Vous pouvez créer, modifier ou supprimer autant de stratégies nommées que nécessaire pour chaque catégorie de stratégie.

Qu'est-ce que la stratégie McAfee par défaut ?À l'installation, chaque catégorie de stratégie contient au moins une stratégie nommée, Stratégie McAfee par défaut. Les stratégies McAfee par défaut ne peuvent être ni modifiées, ni renommées ou supprimées.

160

McAfee® Host Intrusion Prevention 6.1 Guide produit Foire aux questions 10

Que se passe-t-il au niveau des nœuds du répertoire situés en dessous du nœud où une nouvelle stratégie est créée ?Tous les nœuds affichant un héritage activé pour cette catégorie de stratégie spécifique héritent de la stratégie appliquée au nœud parent.

En quoi les nœuds auxquels la stratégie est appliquée sont-ils affectés lorsque celle-ci est modifiée ?Tous les nœuds auxquels une stratégie est appliquée reçoivent les modifications apportées à la stratégie, lors de la communication agent-serveur suivante ou lors de l'exécution d'un appel de réactivation de l'agent. La stratégie est donc appliquée à chaque intervalle d'application des stratégies.

Pourquoi la nouvelle stratégie Host Intrusion Prevention que j'ai créée n'est-elle pas appliquée ?Les nouvelles stratégies créées sont appliquées uniquement au moment de la communication agent-serveur suivante ou lors de l'exécution d'un appel de réactivation de l'agent. De même, si l'interface utilisateur du client est déverrouillée avec un mot de passe, aucune nouvelle stratégie créée n'est appliquée.

Puis-je déléguer l'administration des stratégies IPS et de pare-feu à d'autres administrateurs situés sur des sites géographiquement distincts ? Oui. Host Intrusion Prevention vous permet de déléguer la responsabilité de tout ou partie des fonctions du produit, notamment IPS ou pare-feu. L'amélioration de la granularité des rôles au sein du produit, par exemple la gestion des clients et la création d'exceptions, n'est pas prise en charge.

Si vous affectez des droits utilisateur au niveau du site (un niveau en dessous du répertoire racine), tous les droits seront hérités par les nœuds contenus dans ce site. Les autorisations utilisateur explicites pour les nœuds situés en dessous du niveau du site ne sont pas prises en charge. Pour déléguer l'administration en fonction du site géographique, vous devez désigner un emplacement géographique pour le nœud du site, puis appliquer les droits utilisateur appropriés.

Puis-je appliquer la même configuration de sécurité à différents systèmes ? L'arborescence de la console organise les nœuds de manière hiérarchique. Vous affectez des stratégies aux nœuds, si bien que les nœuds situés au niveau du site présentent généralement des groupements par profil, tels que Tous les serveurs, Tous les postes de bureau, Serveurs IIS ou Serveurs SQL. Ce schéma de regroupement peut être répliqué sous chaque nœud de site.

ePolicy Orchestrator permet la création de stratégies indépendantes pour chaque nœud, mais pouvant également être partagées sur l'ensemble des nœuds. Lorsque vous affectez une stratégie à un nœud, elle est automatiquement héritée par ses enfants, sauf si une autre stratégie a priorité. Vous pouvez créer une stratégie correspondant à chaque profil, par exemple une stratégie serveur IIS, et l'appliquer à chacun des groupes de nœuds correspondant, par exemple le groupe Serveurs IIS.

Placez un ordinateur ayant un nouveau client Host Intrusion Prevention dans le groupe de profil approprié, afin que les stratégies de sécurité adéquates lui soient affectées. Si cela n'est pas possible, vous pouvez définir la stratégie pour chaque client, en modifiant les stratégies au niveau de chaque nœud. La plupart des stratégies héritées peuvent être remplacées, à moins qu'elles ne soient en héritage forcé.

Remarque

Si les nœuds de l'arborescence ePolicy Orchestrator ont déjà été organisés de manière à prendre en charge d'autres produits dont l'organisation ne correspond pas à celle de Host Intrusion Prevention, il peut être difficile de réorganiser l'arborescence. En effet, une réorganisation risquerait d'annuler les stratégies actuellement affectées ; il est donc indispensable de connaître parfaitement les différents produits utilisés et de posséder les autorisations nécessaires.

161

McAfee® Host Intrusion Prevention 6.1 Guide produit Foire aux questions 10

Puis-je afficher ou modifier les stratégies appliquées à un nœud ou à un client spécifique ? Oui. Les stratégies Host Intrusion Prevention sont regroupées en catégories, telles que Règles IPS et Protection IPS, chacune possédant des paramètres spécifiques. Dans chaque fonction Host Intrusion Prevention, vous pouvez consulter les catégories disponibles pour le nœud sélectionné dans l'onglet Stratégies. Chaque catégorie affiche le nom de la ou des stratégies qui lui sont affectées. La plupart des catégories, telles que Protection IPS, contiennent une seule stratégie, alors que les catégories Règles IPS et Applications sécurisées contiennent une ou plusieurs instances de stratégie. Pour afficher les détails de chaque stratégie, cliquez sur le nom de la stratégie.

Comment faire pour afficher toutes les stratégies disponibles et les nœuds auxquels elles sont affectées ?L'arborescence ePolicy Orchestrator possède un nœud Catalogue des stratégies, qui contient une liste de toutes les stratégies de chaque catégorie, ainsi que le nombre de fois où chaque stratégie est utilisée. Cliquez sur le chiffre pour afficher une liste de tous les nœuds où la stratégie est appliquée directement. Le chiffre n'inclut pas les nœuds où la stratégie a été héritée.

Comment faire pour afficher les événements IPS déclenchés par les clients ?ePolicy Orchestrator ne possède pas d'écran d'affichage des événements ; ceux-ci sont donc gérés par l'onglet Événements de Host Intrusion Prevention, dans la stratégie Règles IPS. Pour afficher la liste des événements associés au nœud sélectionné, cliquez sur l'onglet Stratégies, puis sur le lien Événements IPS. L'onglet Événements IPS affiche les différents événements IPS générés par les clients dans le nœud sélectionné, pendant le nombre de jours spécifié. L'affichage s'actualise automatiquement à mesure que de nouveaux événements se déclenchent et propose les opérations suivantes :

Tri des événements sur la base d'un attribut unique et filtrage sur plusieurs attributs.

Affichage détaillé des événements.

Marquage des événements comme lus ou masqués et affichage des événements en groupes Lus, Non lus et Masqués.

Création d'exceptions ou d'applications sécurisées sur la base des événements.

Comment faire pour créer une exception sur la base d'un événement IPS ?Sélectionnez l'événement de votre choix dans l'onglet Événements IPS, puis cliquez sur Créer une exception. Une boîte de dialogue Nouvelle exception s'affiche, pré-renseignée sur la base de l'événement sélectionné. Un onglet de la boîte de dialogue Nouvelle exception affiche une liste des instances de stratégie Règles IPS ciblées, dans lesquelles vous souhaitez appliquer l'exception nouvellement créée.

Remarque

La nouvelle exception peut être appliquée uniquement à une stratégie existante pouvant être modifiée. Appliquez une exception à un client spécifique ou à plusieurs clients ; la stratégie ciblée par l'exception peut être soit une stratégie spécifique à un client, soit une stratégie correspondant à un profil commun. Cependant, notez que toutes les stratégies peuvent être partagées par défaut et qu'elles apparaissent dans la liste d'affectation de chaque nœud. Il est recommandé de ne créer qu'un minimum de stratégies et d'en assurer la maintenance, afin qu'elles puissent satisfaire collectivement aux besoins de tous les clients.Au lieu de créer une nouvelle exception, vous pouvez rechercher et modifier une exception existante possédant des attributs similaires, à l'aide de la fonction Rechercher les exceptions associées.

162

McAfee® Host Intrusion Prevention 6.1 Guide produit Foire aux questions 10

Comment faire pour affiner les stratégies Règles IPS existantes à l'aide de mécanismes automatisés ?Host Intrusion Prevention offre une option Mode spéculatif, qui permet aux clients de créer, de manière automatique et transparente, des règles client autorisant l'exécution des activités bloquées, mais non malveillantes. Lorsque les clients sont en Mode spéculatif depuis un moment, l'administrateur peut effectuer l'une des actions suivantes :

Afficher une liste des règles client créées par un groupe de clients ayant un profil similaire, puis créer une nouvelle stratégie sur la base de ces informations. Cette nouvelle stratégie peut ensuite être appliquée à un plus grand nombre de clients ayant le même profil.

Déterminer quelles règles client spécifiques représentent des violations de sécurité et bloquer ces règles dans le cadre de la stratégie Règles IPS.

Afficher une liste agrégée des exceptions pour avoir une idée de la prévalence de la même opération sur différents clients ayant le même profil.

Déplacer une règle d'exception client vers la liste des exceptions.

Rechercher des exceptions de stratégie existantes pour trouver une exception similaire à une exception client pouvant être modifiée.

Comment faire pour créer des signatures personnalisées pour une stratégie IPS ?Les signatures personnalisées font partie de la stratégie Règles IPS ; vous pouvez en créer pour répondre aux besoins spécifiques d'un profil en matière de sécurité. Un assistant Signatures personnalisées est disponible pour les signatures simples et les Modes standard et expert sont disponibles pour les utilisateurs avancés.

Comment réorganiser les exceptions existantes et les signatures personnalisées au sein d'une nouvelle stratégie ?En tant qu'administrateur, vous avez identifié plusieurs fausses alertes sur des clients et créé les exceptions correspondantes. Étant donné que ces fausses alertes semblaient isolées, vous avez initialement placé ces exceptions dans diverses stratégies. En examinant plus attentivement les exceptions, vous voyez un nouveau schéma apparaître, qui peut justifier la création d'une stratégie spécifique.

Pour réorganiser ces exceptions en une nouvelle stratégie unique, créez tout d'abord une nouvelle stratégie Règles IPS, puis ajoutez-la à la liste des stratégies Règles IPS pour le nœud approprié. Affichez la liste de toutes les exceptions pour les différentes stratégies affectées au nœud. Sélectionnez une ou plusieurs exceptions appropriées, puis déplacez-les dans la nouvelle stratégie.

Celle-ci peut ensuite être appliquée à d'autres clients correspondant au nouveau profil identifié, individuellement ou en groupe.

Comment faire pour trouver les stratégies existantes correspondant à un profil donné ?En général, une organisation possède plusieurs stratégies Règles IPS, une par profil de client, telles que Serveur IIS et Serveur SQL. Étant donné que les différentes sections du système sont généralement gérées par plusieurs administrateurs, travaillant parfois suivant des horaires différents, il est essentiel de mettre en place un petit nombre de stratégies bien organisées. Ceci vous aidera, en tant qu'administrateur, à comprendre rapidement l'organisation des stratégies et à trouver facilement ce que vous recherchez.

Vous pouvez utiliser la fonction Recherche d'exceptions IPS pour rechercher des exceptions en fonction de leurs attributs, puis leurs stratégies parentes. Cette fonction de recherche vous permet de :

Rechercher des stratégies contenant une exception spécifique à une application.

Rechercher les exceptions créées pour une signature.

Rechercher les stratégies contenant des exceptions correspondant à un ou plusieurs attributs d'un événement de faux positif.

163

A Écriture des signatures personnalisées

Cette section décrit la structure des signatures personnalisées et fournit des informations sur la méthode d'écriture des signatures personnalisées pour les différentes plates-formes de clients. Rubriques :

Structure d'une règle

Signatures personnalisées Windows

Signatures personnalisées Solaris

Signatures personnalisées Linux

Structure d'une règleChaque signature contient une ou plusieurs règles écrites au format ANSI Tool Command Language (TCL). Chaque règle contient des sections obligatoires et facultatives, avec une section par ligne. Les sections facultatives varient selon le système d'exploitation et la classe de la règle. Chaque section définit une catégorie de règle et sa valeur. Une section identifie toujours la classe de la règle, définissant le comportement global de cette dernière.

Une règle se structure comme suit :

Rule {

SectionA value

SectionB value

SectionC value

...

}

Remarque

Veillez à vérifier les règles d'écriture de chaînes et de séquences d'échappement dans TCL avant de tenter d'écrire des règles personnalisées. La consultation rapide d'une référence standard sur TCL devrait assurer que vous entrez les valeurs appropriées correctement.

164

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesStructure d'une règle

A

Une règle, visant à bloquer une requête vers le serveur Web, qui contient « subject » dans la partie « query » de la requête, a le format suivant :

Rule {

Class Isapi

Id 4001

level 4

query { Include “*subject*” }

method { Include “GET” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d isapi:request

}

Consultez la section Signatures personnalisées Windows, page 170 pour plus d'informations sur les diverses sections et valeurs.

Sections communes obligatoires Les sections obligatoires d'une règle et leurs valeurs comprennent les éléments ci-dessous. Pour les sections obligatoires relatives à la section class sélectionnée, consultez la section class de Signatures personnalisées Windows, Unix et Linux. Les mots clés Include et Exclude sont utilisés pour toutes les sections, sauf pour Id, level et directives. Include signifie que la section travaille sur la valeur indiquée etExclude signifie que la section travaille sur toutes les valeurs sauf sur celle qui est indiquée.

Nom de la section

Valeur Description

Class Dépend du système d'exploitation.

Indique la classe à laquelle cette règle s'applique.

Consultez la section :

Signatures personnalisées Windows, page 170

Signatures personnalisées Solaris, page 181

Signatures personnalisées Linux, page 185

Id 4000 – 7999 Numéro d'ID unique de la signature. Les numéros disponibles sont les mêmes que pour les règles personnalisées.

level 0

1

2

3

4

Niveau de sécurité de la signature :

0 = Désactivé

1 = Blanc

2 = Jaune

3 = Orange

4 = Rouge

time {Include « * »} Cette section contient uniquement cette valeur unique.

165

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesStructure d'une règle

A

Utilisation des fonctions Include et ExcludeLorsque vous marquez une valeur de section sur Include, la section travaille sur la valeur indiquée, tandis que pour la fonction Exclude, la section travaille sur l'ensemble des valeurs, sauf sur celle indiquée. Lorsque vous utilisez ces mots clés, ils apparaissent entre parenthèses { ... } et leur valeur entre guillemets « ... ».

user_name {Include/Exclude « utilisateur ou compte système »}

Utilisateurs auxquels la règle s'applique. Spécifiez des utilisateurs particuliers ou l'ensemble des utilisateurs. Remarques pour Windows : Pour l'utilisateur local : utilisez <nom d'ordinateur>/<nom d'utilisateur local>.Pour l'utilisateur de domaine : utilisez <nom de domaine>/<nom d'utilisateur de domaine>. Pour le système local : utilisez Local/System, équivalent d'Autorité NT/système pour Windows NT et <domain>/<machine> pour Windows 2000. Certaines actions lancées à distance ne consignent pas l'ID de l'utilisateur distant mais utilisent plutôt le service local et son contexte utilisateur. Vous devez donc prendre cela en compte lorsque vous développez des règles. Lorsqu'un processus se lance sous une session nulle, l'utilisateur et le domaine sont « anonymes ». Si une règle s'applique à l'ensemble des utilisateurs, utilisez *. Sous Solaris, cette section est sensible à la casse.

application {Include/Exclude « chemin et nom d'application »}

Chemin d'accès complet du processus qui a effectué l'opération créatrice de l'instance. Lorsque l'opération est à distance, l'application est le service/ serveur local gestionnaire de l'opération. Certaines opérations locales sont gérées comme si elles étaient à distance. Par exemple, pour Windows, le nom d'application sera le service/ serveur local gestionnaire de l'opération. Si une règle s'applique à l'ensemble des applications, utilisez *. Sous Solaris, cette section est sensible à la casse.

directives -c -d type d'opération Les types d'opérations sont dépendants de la classe et sont répertoriés pour chaque classe dans les sections suivantes. Vous devez utiliser les aiguillages -c et -d.

Remarque

Vous pouvez créer une signature à règles multiples en ajoutant simplement une règle après l'autre. N'oubliez pas que chaque règle d'une même signature doit avoir la même valeur pour ses sections Id et level.

Nom de la section

Valeur Description

166

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesStructure d'une règle

A

Par exemple, pour contrôler tous les fichiers texte C:\test\:

files { Include “C:\\test\\*.txt” }

et pour contrôler tous les fichiers texte sauf ceux de C:\test\:

files { Exclude “C:\\test\\*.txt” }

Combinez les mots clés pour exclure des valeurs d'un ensemble de valeurs associées. Pour contrôler tous les fichiers texte du dossier C:\test\, sauf le fichier abc.txt:

files { Include “C:\\test\\*.txt” }

files { Exclude “C:\\test\\acb.txt” }

Chaque fois que vous ajoutez la même section avec le même mot clé, vous ajoutez une opération. Pour contrôler tout fichier texte du dossier C:\test\ dont le nom commence par la chaîne « abc » :

files { Include “C:\\test\\*.txt” }

files { Include “C:\\test\\acb*” }

Sections communes facultativesLes sections communes facultatives d'une règle et leurs valeurs comprennent l'élément ci-après. Pour les sections facultatives relatives à la section class sélectionnée, consultez la section class de Signatures personnalisées Windows, Unix et Linux. Les mots clés Include et Exclude sont utilisés pour les dépendances et les attributs. Include signifie que la section travaille sur la valeur indiquée etExclude signifie que la section travaille sur toutes les valeurs sauf sur celle qui est indiquée.

Utilisation de la section dependencies Ajoutez la section facultative dependencies pour empêcher qu'une règle plus générale ne se déclenche en même temps qu'une règle plus spécifique. Par exemple, si une règle est définie pour contrôler un seul fichier texte dans C:\test\ :

files { Include “C:\\test\\abc.txt” }

et une autre définie pour contrôler tous les fichiers texte dans C:\test\ :

files { Include “C:\\test\\*.txt” }

Ajoutez la section dependencies à la règle plus spécifique, ce qui commandera au système de ne pas déclencher la règle plus générale lors du déclenchement de la règle spécifique.

files { Include “C:\\test\\abc.txt” }

dependencies –c –d “the general rule”

Section Valeur Description

dependencies -c -d {Include/ Exclude « ID de règle »}

Définit les dépendances entre les règles et bloque le déclenchement de règles dépendantes. Seuls les aiguillages -c et -d sont utilisés.

167

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesStructure d'une règle

A

Variables de valeurs de sectionLes caractères génériques, les métasymboles et les variables prédéfinies peuvent être utilisés en tant que valeur dans les sections disponibles.

Utilisation des caractères génériques.

Utilisation des variables d'environnement.

Utilisation des variables prédéfinies.

Utilisation des caractères génériques Vous pouvez utiliser des caractères génériques pour certaines valeurs de section.

Utilisation des variables d'environnementUtilisez les variables d'environnement, c'est-à-dire la commande iEnv suivie d'un seul paramètre (le nom de la variable), pour abréger les noms de fichiers et de chemins de répertoire Windows.

Utilisation des variables prédéfinies Host Intrusion Prevention propose des variables prédéfinies pour l'écriture des règles. Ces variables sont précédées d'un « $ » et sont répertoriées ci-dessous.

Serveur Web IIS Windows

Caractère Ce qu'il représente

? (point d'interrogation) Caractère unique.

* (astérisque) Caractères multiples.

user_name { Include « * » }

& (esperluette) Caractères multiples, sauf / et \.. À utiliser pour représenter le contenu au niveau racine d'un dossier, mais pas des sous-dossiers.

files { Include « C:\\test\\&.txt » }

! (point d'exclamation) Caractère générique d'échappement.

files { Include « C:\\test\\yahoo!!.txt » }

Variable d'environnement

Ce qu'elle représente

iEnv SystemRoot C:\winnt\, où C représente le lecteur contenant le dossier Système Windows. Par exemple :

files {Include « [iEnv SystemRoot]\\system32\\abc.txt »}

iEnv SystemDrive C:\, où C représente le lecteur contenant le dossier Système Windows.Par exemple :files {Include « [iEnv System Root]\\system32\\abc.txt »}

Variable Signification

IIS_BinDir Répertoire où se situe inetinfo.exe

IIS_Computer Nom d'ordinateur sur lequel IIS est exécuté

IIS_Envelope Inclut tous les fichiers auxquels IIS a accès

IIS_Exe_Dirs Répertoires virtuels permettant l'exécution de fichiers, y compris les racines système et IIS

IIS_Ftp_Dir Répertoires racine du site FTP

168

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesStructure d'une règle

A

Serveur de base de données MS SQL

Solaris Apache et iPlanet

IIS_FTP_USR Nom du compte utilisateur anonyme FTP local

IIS_FtpLogDir Répertoire de fichiers journaux FTP

IIS_IUSR Nom du compte utilisateur anonyme Web local

IIS_IUSRD Nom du compte utilisateur anonyme Web de domaine

IIS_IWAM Nom du compte utilisateur du Gestionnaire d'applications Web IIS

IIS_LogFileDir Répertoire de fichiers journaux Web

IIS_LVirt_Root Tous les répertoires virtuels IIS

IIS_Processes Processus ayant des droits d'accès aux ressources IIS

IIS_Services Tous les services nécessaires au fonctionnement correct d'IIS

MSSQL_Allowed_Access_Paths Répertoires accessibles tels que \WINNT et \WINNT\System32

MSSQL_Allowed_Execution_Paths Répertoires exécutables tels que \WINNT et \WINNT\System32

MSSQL_Allowed_Modification_Paths Répertoires modifiables tels que \WINNT\Temp

MSSQL_Auxiliary_Services Services MS SQL auxiliaires détectés sur le système

MSSQL_Core_Services Services MS SQL principaux détectés sur le système

MSSQL_Data_Paths Tous les autres fichiers de données associés à MS SQL susceptibles de se trouver en dehors du répertoire MSSQL_DataRoot_Path

MSSQL_DataRoot_Paths Chemin d'accès aux fichiers de données MS SQL pour chaque instance

MSSQL_Instances Nom de chaque instance MS SQL installée

MSSQL_Registry_Paths Tous les emplacements du Registre associés à MS SQL

Variable Signification

UAPACHE_Bins Chemin d'accès aux fichiers binaires Apache

UAPACHE_CgiRoots Chemin d'accès aux racines CGI

UAPACHE_ConfDirs Répertoires contenant les fichiers de configuration Apache

UAPACHE_DocRoots Chemin d'accès aux racines du document

UAPACHE_Logs Fichiers journaux Apache

UAPACHE_Logs_dir Répertoire des fichiers journaux

UAPACHE_Roots Racines Web Apache

UAPACHE_Users Utilisateurs qu'Apache exécute en tant que

UAPACHE_VcgiRoots Chemin d'accès aux racines CGI des serveurs virtuels

UAPACHE_VdocRoots Racines du document virtuel

UAPACHE_Vlogs Fichiers journaux des serveurs virtuels

UAPACHE_Vlogs_dir Répertoires pour les fichiers journaux des serveurs virtuels

UIPLANET_BinDirs Chemin d'accès aux fichiers binaires iPlanet

UIPLANET_CgiDirs Chemin d'accès aux répertoires CGI

UIPLANET_DocDirs Chemin d'accès aux répertoires du document

UIPLANET_Process Chemin d'accès aux fichiers binaires ns-httpd iPlanet

UIPLANET_Roots Chemin d'accès à la racine iPlanet

Variable Signification

169

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Signatures personnalisées WindowsCette rubrique décrit le processus de création des signatures personnalisées Windows.

La valeur de section class dépend de la nature du problème de sécurité et de la protection offerte par les règles. Sous Windows, les valeurs suivantes sont disponibles :

Class Files Le tableau suivant répertorie les sections disponibles pour la classe Files.

Remarque

Les règles class Files de Windows utilisent une double barre oblique alors que les règles Class UNIX_Files de Solaris utilisent une simple barre oblique.

Class Conditions d'utilisation

Files Pour des opérations de fichier ou de répertoire. Consultez la section Class Files.

Isapi Pour le contrôle des requêtes transmises à IIS. Consultez la section Class Isapi, page 173.

Registry Pour des opérations de valeur et de clé de registre. Consultez la section Class Registry, page 176.

Services Pour des opérations de service. Consultez la section Class Services, page 178.

Section Valeurs Commentaires

Class Files

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user-name utilisateur ou compte système

application chemin + nom d'application

files Fichiers ou dossiers utilisés dans l'opération

Voir les notes 1 et 2.

dest_file Fichier de destination, si l'opération utilise des fichiers source et de destination

Cette section est facultative. Voir les notes 1 et 2.

directives -c -d files:create Créer des fichiers directement ou un fichier dans un répertoire

files:read Ouvrir un fichier en mode lecture.

files:write Ouvrir un fichier en mode écriture.

files:execute Exécuter un fichier (exécuter un répertoire signifie que ce répertoire devient le répertoire courant).

files:delete Supprimer un fichier du répertoire ou le déplacer vers un autre répertoire.

files:rename Renommer un fichier dans le même répertoire, voir la note 2.

files:attribute Modifier les attributs d'un fichier. Les attributs contrôlés sont « lecture seule », « masqué », « archive » et « système ». Les attributs « index », « compressé » et « crypté » de Windows 2000 ne sont pas contrôlés.

170

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Note 1Si la section files est utilisée, le chemin d'accès à un dossier ou à un fichier contrôlé peut être le chemin d'accès complet ou un caractère générique. Par exemple, voici quelques chemin d'accès valides :

files { Include “C:\\test\\abc.txt” }

files { Include “*\\test\\abc.txt” }

files { Include “*\\abc.txt” }

Si la section dest_file est utilisée, le chemin d'accès complet ne peut pas être utilisé et est nécessaire de placer un caractère générique en début de chemin pour représenter le lecteur. Par exemple, voici quelques chemin d'accès valides :

dest_file { Include “*\\test\\abc.txt” }

dest_file { Include “*\\abc.txt” }

Note 2La directive files:rename prend une signification différente lorsqu'elle est associée à la section files ou dest_file.

Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichier dans cette section est contrôlé. Par exemple, la règle suivante contrôle le changement de nom du fichier C:\test\abc.txt par tout autre nom :

Rule {

Class Files

Id 4001

level 1

files { Include “C:\\test\\abc.txt” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d files:rename

}

Lorsqu'elle est associée à la section dest_file, cela signifie qu'aucun fichier ne pourra être renommé avec le nom d'un fichier de cette section. Par exemple, la règle suivante contrôle le remplacement du nom de tout fichier par C:\test\abc.txt :

Rule {

Class Files

Id 4001

level 1

dest_file { Include “*\\test\\abc.txt” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d files:rename

}

Remarque

La section files n'est pas obligatoire lorsque la section dest_file est utilisée. Si la section files est utilisée, les sections files et dest_file doivent correspondre.

171

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Files. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.

La règle suivante empêche toute personne et tout processus de créer le fichier « abc.txt » dans le dossier C:\test\.

Rule {

Class Files

Id 4001

level 4

files { Include “C:\\test\\abc.txt” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d files:create

}

Les diverses sections de cette règle ont les significations suivantes :

Class Files : indique que la règle est associée à la classe des opérations de fichiers.

Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.

level 4 : affecte un niveau de sécurité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de sécurité.

files { Include « C:\\test\\abc.txt » } : indique que la règle couvre le fichier et le chemin spécifiques C:\test\abc.txt. Si la règle couvre plusieurs fichiers, ajoutez-les dans cette section sur différentes lignes. Par exemple, lors du contrôle des fichiers C:\test\abc.txt et C:\test\xyz.txt, la section est modifiée comme suit : files { Include « C:\\test\\abc.txt » « C:\\test\\xyz.txt » }.

time { Include « * » } : actuellement, cette section n'est pas utilisée mais elle doit être incluse de cette façon dans la règle.

application { Include « * »} : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec leur nom de chemin.

user_name { Include « * » } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté). Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/ utilisateur ou Domaine/ utilisateur. Consultez le paragraphe « Sections communes obligatoires » pour plus d'informations.

directives -c -d files:create : indique que cette règle couvre la création d'un fichier. Les aiguillages -c et -d doivent toujours être utilisés dans la section directives.

Nom IUG Explication

files Nom du fichier auquel vous avez eu accès

dest file Applicable uniquement pour le changement de nom de fichier : nouveau nom du fichier

172

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Class Isapi Le tableau suivant répertorie les sections disponibles pour la classe Isapi.

Note 1Une requête HTTP entrante peut être représentée comme suit : http://www.myserver.com/ {url}?{query}. Dans ce document, nous faisons référence à {url} comme la partie « url » de la requête HTTP et à {query} comme la partie « query » de celle-ci. Grâce à cette convention de nommage, la section « url » est comparée à {url} et la section « query » à {query}.

Par exemple, la règle suivante se déclenchera si la requête HTTP http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean est reçue par IIS :

Rule {

Class Isapi

Id 4001

level 1

url { Include “*abc*” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d isapi:request

}

Cette règle se déclenche car {url}=/search/abc.exe, ce qui correspond à la valeur de la section « url » (c.-à-d. abc).

Section Valeurs Commentaires

Class Isapi

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name utilisateur ou compte système

application chemin + nom d'application

url Cette section est facultative. Elle est comparée à la partie url d'une requête entrante ; voir les notes 1, 2, 3 et 4.

query Cette section est facultative. Elle est comparée à la partie query d'une requête entrante ; voir les notes 1, 2, 3 et 4.

method « GET », « POST », « INDEX » et toute autre méthode HTTP autorisée

Cette section est facultative. Voir la note 4.

directives -c -d isapi:request

173

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Note 2 Avant la comparaison, les sections « url » et « query » sont décodées et normalisées afin qu'il soit impossible de compléter des requêtes par du code ou des séquences d'échappement.

Note 3Une longueur maximum peut être définie pour les sections « url » et « query ». En ajoutant « ;number-of-chars » à la valeur de ces sections, la correspondance de la règle s'effectuera uniquement si {url} ou {query} comporte plus de caractères que « number-of-chars ». Par exemple, la correspondance de la règle suivante sera effective si la partie url de la requête contient « abc » et comporte plus de 500 caractères.

Rule {

Class Isapi

Id 4001

level 1

url { Include “*abc*;500” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d isapi:request}

}

Note 4 Une règle doit contenir au moins l'une des sections facultatives suivantes : url, query ou method.

Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Isapi. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.

Nom IUG explication

url Partie emplacement décodée et normalisée d'une requête HTTP entrante (avant le « ? »).

query Partie query décodée et normalisée d'une requête HTTP entrante (après le premier « ? »).

web server type Type et version de l'application de serveur Web utilisée.

method Méthode de la requête HTTP entrante (telles que Get, Put, Post, Query, etc.).

local file Nom physique du fichier récupéré ou en tentative de récupération par la requête. Décodé et normalisé sous IIS.

raw url Ligne de requête « brute » (non décodée et non normalisée) de la requête HTTP entrante. La ligne de requête est la suivante : « <method> <location[?query]> <http version> CRLF ».

user Nom d'utilisateur du client à l'origine de la requête ; disponible uniquement si la requête est authentifiée.

source Nom du client ou adresse IP de l'ordinateur d'origine de la requête HTTP.

server Informations sur le serveur Web où l'événement a été créé (ordinateur sur lequel le client est installé), présentées comme suit : <host name>:<IP address>:<port>. Le nom d'hôte est la variable hôte de l'en-tête HTTP (le champ est laissé vide si elle n'est pas disponible).

content len Nombre d'octets dans le corps du message de la requête.

174

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

La règle suivante vise à bloquer une requête vers le serveur Web qui contient « subject » dans la partie « query » de la requête HTTP :

Rule {

Class Isapi

Id 4001

level 4

query { Include “*subject*” }

method { Include “GET” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d isapi:request

}

Par exemple, la requête GET http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=ocean serait bloquée par cette règle.

Les diverses sections de cette règle ont les significations suivantes :

Class Isapi : indique que la règle est associée à la classe des opérations Isapi.

Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.

level 4 : affecte un niveau de sécurité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de sécurité.

query { Include « *subject* » } : indique que la règle correspond à toute requête (GET) contenant la chaîne « subject » dans la partie query de la requête HTTP. Si la règle couvre plusieurs fichiers de la partie query, ajoutez-les dans cette section sur différentes lignes.

method { Include « GET » } : indique que la règle peut uniquement correspondre aux requêtes GET.

time { Include « * » } : actuellement, cette section n'est pas utilisée mais elle doit être incluse de cette façon dans la règle.

application { Include « * »} : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec leur nom de chemin.

user_name { Include « * » } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté). Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/ utilisateur ou Domaine/ utilisateur. Consultez le paragraphe « Sections communes obligatoires » pour plus d'informations.

directives -c -d isapi:request : indique que cette règle couvre une requête HTTP. Les aiguillages -c et -d doivent toujours être utilisés dans la section directives.

175

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Class Registry Le tableau suivant répertorie les sections disponibles pour la classe Registry.

Note 1 HKEY_LOCAL_MACHINE, dans un chemin de registre, est remplacé par \REGISTRY\MACHINE\ et CurrentControlSet par ControlSet. Par exemple, la valeur de registre « abc » dans la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa apparaît comme suit : \\REGISTRY\\MACHINE\\ SYSTEM\\ControlSet\\Control\\Lsa\\abc.

Note 2Les données des sections old data et new data doivent être des valeurs hexadécimales. Par exemple, les données « def » de la valeur de registre « \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc » doivent apparaître comme suit : old_data { Include “%64%65%66”}.

Section Valeurs Commentaires

Class Registry

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name utilisateur ou compte système

application chemin + nom d'application

keys or values clé ou valeur de registre Voir la note 1.

old data Anciennes données de la valeur

Cette section est facultative. Elle est uniquement utilisée pour la <directive> Modify ; voir la note 2.

new data Nouvelles données de la valeur

Cette section est facultative. Elle est uniquement utilisée pour la <directive> Modify ou Create ; voir la note 2.

directives -c -d registry:delete Suppression d'une clé/ valeur de registre.

registry:modify Modification du contenu d'une valeur de registre ou des informations d'une clé de registre.

registry:permissions Modification des autorisations d'accès à une clé de registre.

registry:read Informations sur une clé de registre (nombre de sous-clés, etc.) ou contenu d'une valeur de registre.

registry:enumerate Énumération d'une clé de registre, c'est-à-dire la liste de toutes ses sous-clés et valeurs.

176

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Registry. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.

Exemple :

La règle suivante vise à empêcher toute personne ou tout processus de supprimer la valeur de registre « abc » dans la clé de registre « \HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa ».

Rule {

Class Registry

Id 4001

level 4

values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d registry:delete

}

Les diverses sections de cette règle ont les significations suivantes :

Class Registry : indique que cette règle est associée aux requêtes envoyées à IIS.

Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.

level 4 : affecte un niveau de sécurité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de sécurité.

values { Include « \\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc » } : indique que la règle contrôle la valeur de registre abc dans la clé de registre \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Si la règle couvre plusieurs valeurs, ajoutez-les dans cette section sur différentes lignes.

Nom IUG explication

Registry Key Nom de la clé de registre affectée, y compris le nom de chemin. Le préfixe \REGIS-TRY\MACHINE\ remplace HKEY_LOCAL_MACHINE\ et \REGISTRY\CURRENT_USER\ remplace \HKEY_USER\.

Registry Value(s) Nom de la valeur de registre concaténée avec le nom de clé complet.

old data New Data old data type new data type

Applicable uniquement pour les modifications de valeurs de registre : données d'une valeur de registre avant toute modification ou tentative de modification. Applicable uniquement pour les modifications de valeurs de registre : données d'une valeur de registre après modification réelle ou inachevée. Applicable uniquement pour les modifications de valeurs de registre : type de données d'une valeur de registre avant toute modification ou tentative de modification. Applicable uniquement pour les modifications de valeurs de registre : type de données d'une valeur de registre après modification réelle ou inachevée.

177

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

time { Include « * » } : actuellement, cette section n'est pas utilisée mais elle doit être incluse de cette façon dans la règle.

application { Include « * »} : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec leur nom de chemin.

user_name { Include « * » } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté). Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/ utilisateur ou Domaine/ utilisateur. Consultez le paragraphe « Sections communes obligatoires » pour plus d'informations.

directives -c -d registry:delete : indique que cette règle couvre la suppression d'une clé ou valeur de registre. Les aiguillages -c et -d doivent toujours être utilisés dans la section directives.

Class Services Le tableau suivant répertorie les sections disponibles pour la classe Services.

Note 1La section service doit contenir le nom du service de la clé de registre correspondante sous HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.

section valeurs signification/ commentaires

Class Services

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name utilisateur ou compte système

application chemin + nom d'application

services Nom du service représentant l'objet de l'opération créatrice de l'instance

L'une des sections « services » et « display_names » doit être utilisée ; le nom d'un service se trouve dans le registre, sous HKLM\SYSTEM\CurrentControlSet\Services\ ; voir la note 1.

display_names nom d'affichage du service

Ce nom apparaît dans le Panneau de configuration des services ; voir la note 1.

directives -c -d services:delete Suppression d'un service

services:create Création d'un service

services:start Commande de démarrage d'un service

services:stop Commande d'arrêt d'un service

services:pause Commande de pause d'un service

services:continue Commande de poursuite d'un service

services:startup Modification du mode de démarrage d'un service

services:profile_enable Activation d'un profil matériel

services:profile_disable Désactivation d'un profil matériel

services:logon Modification des informations de connexion d'un service

178

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

La section display_names doit contenir le nom d'affichage du service, qui apparaît dans le Panneau de configuration des services et qui se trouve dans la valeur de registre HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\DisplayName.

Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe Services.--- Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.

La règle suivante vise à bloquer la mise en sommeil du service d'alerte.

Rule {

Class Services

Id 4001

level 4

Service { Include “Alerter” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d service:stop

}

Nom IUG Explication Exemples de valeurs

display names Nom du service Windows tel qu'il apparaît dans le Panneau de configuration des services.

services Nom système du service Windows (affiché dans HKLM\CurrentControlSet\Services\) ; il peut être différent du nom affiché dans le Panneau de configuration des services.

params Applicables uniquement au démarrage d'un service. Paramètres transmis au service lors de l'activation.

old startup Applicable uniquement à la création ou aux modifications du mode de démarrage d'un service : spécifie le mode de démarrage avant toute modification ou tentative de modification.

Zone système, Système, Automatique, Manuel, Désactivé

new startup Applicable uniquement aux modifications du mode de démarrage d'un service : spécifie le mode de démarrage d'un service après modification réelle ou inachevée.

Zone système, Système, Automatique, Manuel, Désactivé

logon Applicable uniquement aux modifications du mode de connexion d'un service : informations de connexion (système ou compte utilisateur) utilisées par le service.

179

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Windows

A

Les diverses sections de cette règle ont les significations suivantes :

Class Services : indique que la règle est associée à la classe des opérations de fichiers.

Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit utiliser le même ID.

level 4 : affecte un niveau de sécurité « élevé » à cette règle. Si la signature personnalisée contient plusieurs règles, chacune de ces règles doit avoir le même niveau de sécurité.

Service { Include « Alerter » } : indique que la règle couvre le service d'alerte. Si la règle couvre plusieurs services, ajoutez-les dans cette section sur différentes lignes.

time { Include « * » } : actuellement, cette section n'est pas utilisée mais elle doit être incluse de cette façon dans la règle.

application { Include « * »} : indique que cette règle est valide pour l'ensemble des processus. Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier dans cette section, avec leur nom de chemin.

user_name { Include « * » } : indique que cette règle est valide pour l'ensemble des utilisateurs (ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté). Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les dans cette section sous la forme Local/ utilisateur ou Domaine/ utilisateur. Consultez le paragraphe « Sections communes obligatoires » pour plus d'informations.

directives -c -d service:stop : indique que cette règle couvre la mise en sommeil d'un service. Les aiguillages -c et -d doivent toujours être utilisés dans la section directives.

180

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Solaris

A

Signatures personnalisées Solaris Cette rubrique décrit le processus de création des signatures personnalisées Solaris.

La classe de la signature dépend de la nature du problème de sécurité et de la protection offerte par les règles. Le tableau ci-dessous répertorie les classes Solaris disponibles :

Class UNIX_file Le tableau suivant répertorie les sections disponibles pour la classe Files.

Remarque

Les règles class Files de Windows utilisent une double barre oblique alors que les règles Class UNIX_Files de Solaris utilisent une simple barre oblique.

class signification/ commentaires

UNIX_file Utilisé pour des opérations de fichier ou de répertoire. Consultez la section Class UNIX_file, page 181.

UNIX_apache Utilisé pour les opérations http. Consultez la section Class UNIX_apache, page 183.

section valeurs signification/ commentaires

Class UNIX_file

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name utilisateur ou compte système

application chemin d'utilisateur ou de compte système + nom d'application

files fichier(s) source Fichiers à rechercher. Facultatif, si section source est utilisé ; voir la note 1.

source noms des fichiers cible Facultatif. Voir la note 1.

file permission] liste des autorisations des noms de fichiers source

Facultatif. Voir la note 2.

new permission autorisation modifiée ou mode d'autorisation d'un fichier qui vient d'être créé

Facultatif. Voir la note 2.

directives unixfile:symlink Création d'un lien symbolique.

unixfile:link Création d'un lien physique. Voir la note 3.

unixfile:read Ouverture d'un fichier en mode lecture.

unixfile:write Ouverture d'un fichier en mode écriture.

unixfile:unlink Suppression d'un fichier dans un répertoire ou suppression du répertoire.

unixfile:rename Modification du nom du fichier. Voir la note 4.

unixfile:chmod Modification des autorisations du répertoire ou du fichier.

181

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Solaris

A

Note 1 Directives pertinentes (X) par section :

Note 2La valeur des sections file permissions et new permissions correspond à la liste de contrôle d'accès (Access Control List, acl). Les seules valeurs possibles sont « SUID » ou « SGID ».

Note 3 La directive Unixfile:link prend une signification différente lorsqu'elle est associée à la section files ou source :

Lorsqu'elle est associée à la section files, cela signifie que la création d'un lien vers un fichier de cette section est contrôlée.

Lorsqu'elle est associée à la section source, cela signifie qu'aucun lien d'un nom spécifié dans cette section ne peut être créé.

Note 4 La directive Unixfile:rename prend une signification différente lorsqu'elle est associée à la section files ou source :

Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichier dans cette section est contrôlé.

Lorsqu'elle est associée à la section source, cela signifie qu'aucun fichier ne pourra être renommé avec le nom d'un fichier de cette section.

unixfile:chown Modification du propriétaire du répertoire ou du fichier.

unixfile:create Création d'un fichier.

unixfile:mkdir Création d'un répertoire.

unixfile:rmdir Suppression d'un répertoire.

unixfile:chdir Modification du répertoire courant.

directive file source file permission new permission

symlink X X - X

read X - - -

write X - - -

unlink X - - -

rename X X - -

chmod X - X X

chown X - - -

create X - X X

mkdir X - - -

rmdir X - - -

chdir X - - -

section valeurs signification/ commentaires

182

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Solaris

A

Détails avancés Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détails avancés des événements de sécurité pour la classe UNIX_Files. Les valeurs de ces paramètres peuvent vous aider à comprendre le déclenchement d'une signature.

Class UNIX_apache Le tableau suivant répertorie les sections disponibles pour la classe Unix_apache. Cette classe peut être utilisée pour les serveurs Web Apache, iPlanet et Netscape Enterprise.

Note 1Une requête HTTP entrante peut être représentée comme suit : http://www.myserver.com/ {url}?{query}. Dans ce document, nous faisons référence à {url} comme la partie « url » de la requête HTTP et à {query} comme la partie « query » de celle-ci. Grâce à cette convention de nommage, la section « url » est comparée à {url} et la section « query » à {query}.

Nom IUG Explication

files Noms des fichiers ayant fait l'objet d'une tentative d'accès (réussie ou non).

source Applicable uniquement lors de la création d'un lien symbolique entre des fichiers : nom du nouveau lien ; ou lors du changement de nom d'un fichier : nouveau nom du fichier.

file permission Autorisations du fichier.

source permission Applicable uniquement lors de la création d'un lien symbolique entre des fichiers : autorisations du fichier cible (le fichier vers lequel pointe le lien).

new permission Applicable uniquement lors de la création d'un fichier ou d'une opération chmod : autorisations du nouveau fichier.

section valeurs signification/ commentaires

Class UNIX_apache

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name utilisateur ou compte système

application chemin + nom d'application

url Cette section est facultative. Elle est comparée à la partie url d'une requête entrante ; voir les notes 1, 2, 3 et 4.

query Cette section est facultative. Elle est comparée à la partie query d'une requête entrante ; voir les notes 1, 2, 3 et 4.

method « GET », « POST », « INDEX » et autres méthodes HTTP

Cette section est facultative. Voir la note 4.

directives -c -d apache:request

183

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Solaris

A

Par exemple, la règle suivante se déclenchera si la requête HTTP http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean est reçue par IIS :

Rule {

Class UNIX_apache

Id 4001

level 1

url { Include “*abc*” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d apache:request

}

Cette règle se déclenche car {url}=/search/abc.exe, ce qui correspond à la valeur de la section « url » (c.-à-d. abc).

Note 2 Avant la comparaison, les sections « url » et « query » sont décodées et normalisées afin qu'il soit impossible de compléter des requêtes par du code ou des séquences d'échappement.

Note 3Une longueur maximum peut être définie pour les sections « url » et « query ». En ajoutant « ;number-of-chars » à la valeur de ces sections, la correspondance de la règle s'effectuera uniquement si {url} ou {query} comporte plus de caractères que « number-of-chars ». Par exemple, la correspondance de la règle suivante sera effective si la partie url de la requête contient « abc » et comporte plus de 500 caractères.

Rule {

Class UNIX_Apache

Id 4001

level 1

url { Include “*abc*;500” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d apache:request}

}

Note 4 Une règle doit contenir au moins l'une des sections facultatives suivantes : url, query ou method.

184

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesSignatures personnalisées Linux

A

Signatures personnalisées LinuxCette rubrique décrit le processus de création des signatures personnalisées Linux.

La classe de la signature dépend de la nature du problème de sécurité et de la protection offerte par les règles. Le tableau ci-dessous répertorie les classes Linux disponibles :

Class UNIX_file Le tableau suivant répertorie les sections disponibles pour la classe Files.

class signification/ commentaires

UNIX_file Utilisé pour des opérations de fichier ou de répertoire. Consultez la section Class UNIX_file.

section valeurs signification/ commentaires

Class UNIX_file

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name utilisateur ou compte système

application chemin d'utilisateur ou de compte système + nom d'application

files fichier(s) source Fichiers à rechercher. Facultatif, si section source est utilisé ; voir la note 1.

directives unixfile:link Création de liens physiques.

unixfile:read Ouverture d'un fichier en mode lecture.

unixfile:write Ouverture d'un fichier en mode écriture.

unixfile:unlink Suppression d'un fichier dans un répertoire ou suppression du répertoire.

unixfile:rename Modification du nom du fichier.

unixfile:setattr Modification des autorisations et du propriétaire du répertoire ou du fichier.

unixfile:create Création d'un fichier.

unixfile:mkdir Création d'un répertoire.

unixfile:rmdir Suppression d'un répertoire.

185

McAfee® Host Intrusion Prevention 6.1 Guide produit Écriture des signatures personnaliséesRésumé des paramètres et des directives

A

Résumé des paramètres et des directives Le tableau ci-dessous résume les paramètres et les directives selon le type.

Liste de paramètres selon le type

Liste de directives selon le type

Type Paramètres

Fichiers, plate-forme Windows

Application, Fichier de destination, Fichiers, Nom d'utilisateur

HTTP, plate-forme Windows

Application, Méthode, Requête, URL, Nom d'utilisateur

Fichiers, plates-formes Solaris et Linux

Application, Source, Fichiers, Nom d'utilisateur

Registry Application, Clé de registre, Nom d'utilisateur, Valeur de registre

Services Application, Nom d'affichage, Service, Nom d'utilisateur

Apache, plate-forme Solaris

Application, URL, Requête, Méthode, Nom d'utilisateur

Type Directives

Fichiers, plate-forme Windows

create, read, write, execute, delete, rename, attribute

HTTP, plate-forme Windows

request

Fichiers, plate-forme Solaris

create, symlink, link, chown, chmod, write, rmdir, chdir, read, unlink, mkdir, rename

Fichiers, plate-forme Linux

create, link, setattr, write, rmdir, read, unlink, mkdir, rename

Registry create, read, delete, modify, permissions, enumerate, monitor, restore, replace, load

Services start, stop, pause, continue, startup, profile_enable, profile_disable, logon, create, delete

Apache, plate-forme Solaris

request

186

admiCompsur l'eà l'adde la

Comp

admiCompl'enseà l'us

Comp

affichAffich

agenProgrles reordina

agenTout a

alerteVoir é

analyTechndispoordina

appeProce

Voir é

appliSous mém

appliApplicexécu

Glossaire

nistrateur de sitete utilisateur disposant d'autorisations en lecture, en écriture et en suppression, ainsi que de droits nsemble des opérations sur le site spécifié (à l'exception de celles exclusivement réservées

ministrateur global) et sur tous les groupes et ordinateurs situés sous ce site dans l'arborescence console.

arer avec réviseur global, administrateur global et réviseur de site.

nistrateur globalte utilisateur disposant d'autorisations en lecture, en écriture et en suppression, ainsi que de droits sur mble des opérations, en particulier celles qui affectent l'installation tout entière et qui sont réservées

age exclusif de l'administrateur global.

arer avec réviseur global, administrateur de site et réviseur de site.

age agrégéage d'éléments identiques regroupés dans une entité unique.

t ePolicy Orchestratoramme qui effectue des tâches en arrière-plan sur des ordinateurs gérés, sert d'intermédiaire pour toutes quêtes entre le serveur ePolicy Orchestrator et les produits de sécurité et antivirus installés sur ces teurs et signale en retour au serveur l'état de ces tâches.

t inactif gent n'ayant pas communiqué avec le serveur ePolicy Orchestrator pendant une période spécifiée.

galement événement.

se de portsique de piratage utilisée pour contrôler des ports TCP/IP, d'une part pour déterminer les services nibles et planifier un exploit les impliquant, d'autre part pour identifier le système d'exploitation d'un teur particulier.

l de réactivation de l'agentssus permettant d'établir la communication agent-serveur à partir du serveur.

galement appel de réactivation du SuperAgent.

cation à haut risqueRègles de protection d'applications, application qui est ouverte aux injections de code dans son espace oire ou sa bibliothèque dynamique et qui nécessite donc une protection.

cation sécuriséeation connue comme étant sûre dans n'importe quel environnement, sans aucune vulnérabilité et pouvant ter toutes les opérations.

187

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

appliMise

arborConteaffich

archiAjout

ASCIVoir in

attaqTentade vodonné

attaqTentavos dferme

attaqTechnclientdonnéd'inon

attaqMéthà ess

attaqExploconnu

attaqMéthavec peuve

attaqType de réconne

attaqMéth

attaqTechnvers uentrabloca

quer, applicationen vigueur de paramètres prédéfinis sur des ordinateurs clients à intervalles prédéterminés.

escence de la consolenu de l'onglet Arborescence, dans le volet gauche de la console ePolicy Orchestrator. L'arborescence

e les éléments disponibles dans la console.

ver, archivage de fichiers au référentiel maître.

tervalle de communication agent-serveur.

uetive de brèche de la sécurité système. Les attaques vont d'un degré de gravité faible (visualisation s données par une personne non autorisée) à un degré de gravité élevé (destruction ou vol de vos es, fermeture de votre système).

uetive de brèche de la sécurité système. Les attaques vont d'un degré de gravité faible (visualisation de onnées par une personne non autorisée) à un degré de gravité élevé (destruction ou vol de vos données, ture de votre système).

ue de type SYN floodique de piratage destinée à provoquer un déni de service. Les paquets SYN sont envoyés à partir d'un avec une adresse IP usurpée, à une vitesse telle qu'elle ne peut être gérée par la pile TCP/ IP. Étant que l'adresse du client est usurpée, celui-ci n'envoie pas d'accusé de réception du SYN mais continue der l'hôte de paquets SYN, bloquant ainsi les ressources de ce dernier.

ue en forceode de piratage utilisée pour rechercher des mots de passe ou des clés de cryptage, qui consiste ayer toutes les combinaisons de caractères possibles jusqu'à ce que le code soit déchiffré.

ue inconnue précédemmentit qui profite d'une vulnérabilité de sécurité le jour même où cette vulnérabilité est généralement e.

ue par Buffer Overflowode consistant à trop remplir la mémoire tampon d'un logiciel afin d'insérer et d'exécuter d'autres codes des privilèges élevés. Il s'agit souvent d'un shell à partir duquel des commandes supplémentaires nt être lancées.

ue par déni de service (DoS)d'attaque ou d'intrusion perpétrée contre un ordinateur, un serveur ou un réseau et visant à l'empêcher pondre aux requêtes de connexion légitimes. Le but est de submerger la cible de fausses requêtes de xion, de sorte qu'elle finisse par ignorer les requêtes légitimes.

ue par pingode consistant à inonder un réseau à l'aide de commandes ping.

ue ping of deathique de piratage utilisée pour provoquer un déni de service en envoyant un paquet ICMP volumineux ne cible. Alors que le système cible tente de réassembler le paquet, la taille excessive de ce dernier

îne le dépassement de la capacité de la mémoire tampon, qui peut entraîner un redémarrage ou un ge du système.

188

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

attaqAttaqUne arequêest rereçoiv

BackOutil liens

backFaille

baseBase Orche

Voir é

blocaFonctsont d

brancEmplsélec

Voir é

campTechnà part

catégDivisila fon

chevaProgrcontiequ'ils

ClienModuune cbloqu

CommArchitcomm

commTouteau cocomm

ConsInterfordina

Voir é

ue Smurfue par déni de service visant à inonder les cibles par des réponses à des requêtes d'écho ICMP (ping). ttaque Smurf envoie des requêtes ping à des adresses de diffusion Internet, qui transfèrent ces tes ping à de nombreux hôtes (jusqu'à 255) d'un sous-réseau. L'adresse de retour de la requête ping mplacée par celle de la cible de l'attaque au moyen d'un procédé de falsification. Tous les hôtes qui ent les requêtes ping répondent à la cible de l'attaque, l'inondant ainsi de réponses.

Orificed'administration à distance pouvant fournir un accès illégitime et le contrôle d'un ordinateur grâce à ses Internet. Il fonctionne sous Windows 95, Windows 98 et Windows NT.

door (porte dérobée) de sécurité programmée dans une application pour permettre un accès non autorisé aux données.

de données ePolicy Orchestratorde données qui stocke toutes les données reçues des agents ePolicy Orchestrator par le serveur ePolicy strator, ainsi que tous les paramètres configurés sur le serveur lui-même.

galement serveur de base de données ePolicy Orchestrator.

ge d'applicationion qui permet d'autoriser ou de bloquer certaines applications. Deux types de blocage d'application isponibles : la création d'application et l'accrochage d'application.

heacement du référentiel maître qui permet de stocker et de distribuer différentes versions de mises à jour tionnées.

galement mise à jour sélective.

ingique de piratage qui consiste à pénétrer dans un système et ensuite à rechercher un emplacement sûr ir duquel il est possible de stocker des informations, de surveiller le système ou d'y accéder par la suite.

orieon d'une fonction Host Intrusion Prevention à laquelle vous pouvez affecter une stratégie. Par exemple, ction IPS comprend trois catégories : options, protection et règles.

l de Troieamme prétendant disposer, ou décrit comme disposant, de fonctions utiles ou souhaitables, mais qui nt en réalité une charge active nuisible. Techniquement, les chevaux de Troie ne sont pas des virus parce

ne se répliquent pas.

t Host Intrusion Prevention (HIP)le Host Intrusion Prevention installé sur chaque système hôte de votre réseau. Le client agit comme ouche protectrice autour du système d'exploitation et des applications d'un ordinateur, en identifiant et ant les brèches de sécurité et les attaques malveillantes suspectées.

on Frameworkecture permettant à différents produits McAfee de partager des composants et codes communs, e le Planificateur, AutoUpdate et l'agent ePolicy Orchestrator.

unication agent-serveur communication ayant lieu entre des agents ePolicy Orchestrator et le serveur ePolicy Orchestrator, urs de laquelle ceux-ci échangent des données. En règle générale, c'est l'agent qui établit toutes les unications avec le serveur.

ole ePolicy Orchestratorace utilisateur du logiciel ePolicy Orchestrator, utilisée pour contrôler et surveiller à distance les teurs gérés.

galement console distante ePolicy Orchestrator.

189

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

consoVoir c

ConsInterfOrche

Voir é

degréUn de

Informsensi

Faiblesensisuspe

Moyenutilisa

Élevé

déni Méthà l'em

déploProcecentr

distriVersio

élémVoir é

élémChacu

étatDesccommDésin

événeAlertedécle

Voir é

extraCopiepossiréfére

faux Événeintrus

fichieFichiela mis

le distanteonsole distante ePolicy Orchestrator.

ole distante ePolicy Orchestratorace utilisateur ePolicy Orchestrator, lorsqu'elle est installée sur un ordinateur distinct du serveur ePolicy strator.

galement console ePolicy Orchestrator.

de gravités quatre niveaux de risque affecté aux signatures :

atif (bleu) : modification de la configuration système ou tentative d'accès aux composants système bles, mais qui ne présentent généralement aucun danger.

(jaune) : modification de la configuration système ou tentative d'accès aux composants système bles, mais qui ne sont pas identifiées comme attaques connues et qui révèlent un comportement ct d'un utilisateur ou d'une application.

(orange) : attaque connue, avec un risque faible ou moyen, ou comportement très suspect d'un teur ou d'une application.

(rouge) : attaque qui représente une menace sérieuse pour la sécurité.

de serviceode consistant à submerger un ordinateur de fausses requêtes, de sorte à créer une panne ou pêcher de répondre aux requêtes légitimes.

yer, déploiementssus de distribution, d'installation et de configuration des ordinateurs clients depuis un emplacement alisé.

butions de HotFix (désormais appelés patchs)ns intermédiaires du produit, qui corrigent des problèmes spécifiques.

entlément de l'arborescence de la console.

ent de l'arborescence de la consolene des icônes de l'arborescence de la console ePolicy Orchestrator.

ription du fonctionnement actuel d'un client (état actuel) ou de son fonctionnement après unication avec le serveur (état demandé). La console reconnaît quatre états différents : Normal,

stallation, Aucune connexion et Aucune licence.

ment déclenchée lorsqu'une violation de sécurité, définie par une signature, se produit. Tous les événements

nchés sur un hôte sélectionné apparaissent dans la liste des événements IPS.

galement signature.

ction de fichiers d'un référentiel source ou de secours vers le référentiel maître. Dans la mesure où il est ble d'ajouter manuellement des fichiers au référentiel maître, seuls les fichiers correspondants du ntiel source ou de secours sont remplacés.

positifment déclenché par une opération légitime provenant d'un processus bienveillant et non pas d'une

ion.

r catalogue de packagesr contenant les détails de chaque package de mise à jour, y compris le nom du produit auquel s'applique e à jour, la langue et toutes les dépendances d'installation.

190

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

fichieFichie

Voir é

fichieVoir f

fichieEnsemserve

Voir é

fichieFichienouve

Voir é

fichieLes file réfé

fonctDivisiIPS, d

FRAMEVoir p

groupDansLes gintervde leuautom

groupGroupl'emp

hériteApplic

hôte Hôte Ce de

hôte Voir o

hôte,Voir o

instaVoir t

instaMéthde l'u

rs DATrs de définition de virus, parfois qualifiés de fichiers de signatures.

galement fichier EXTRA.DAT, fichiers DAT incrémentiels et SuperDAT.

rs de signaturesichiers DAT.

rs de stratégieble de paramètres de stratégie relatifs à un ou plusieurs produits et enregistrés sur le disque local du

ur ePolicy Orchestrator, mais auxquels il est impossible d'accéder via une console distante.

galement modèles de stratégies.

r EXTRA.DATr de définition de virus supplémentaire, créé en réponse à une attaque d'un nouveau virus ou d'une lle variante d'un virus existant.

galement fichiers DAT, fichiers DAT incrémentiels et SUPERDAT.

r NAP chiers portant l'extension NAP sont des fichiers programme du logiciel McAfee qui sont installés dans rentiel en vue d'être gérés par ePolicy Orchestrator.

ionon fonctionnelle d'un produit. Host Intrusion Prevention comprend les fonctions suivantes : générales, e pare-feu et de blocage d'application.

PKG.EXE ackage d'installation de l'agent.

e l'arborescence de la console, ensemble logique d'entités regroupées pour en faciliter la gestion. roupes peuvent contenir d'autres groupes ou des ordinateurs et vous pouvez leur assigner des alles d'adresses IP ou des masques de sous-réseau IP de façon à classer les ordinateurs en fonction r adresse IP. Si vous avez créé un groupe en important un domaine Windows NT, vous pouvez envoyer atiquement le package d'installation de l'agent à l'ensemble des ordinateurs importés du domaine.

e Lost&Founde où sont stockés temporairement les ordinateurs dont il n'est pas possible de déterminer lacement approprié dans le Répertoire.

r, héritageation à un élément des paramètres définis pour l'élément situé juste au-dessus de lui dans la hiérarchie.

bloquéspécifique à partir duquel Host Intrusion Prevention vous autorise à bloquer toute communication. rnier tente de tracer la source des paquets reçus à partir de l'hôte bloqué.

de l'agentrdinateur client.

ordinateur hôterdinateur client.

llation forcée, désinstallation forcéeâche client de déploiement de produits.

llation silencieuseode d'installation transparente d'un package logiciel sur un ordinateur, sans nécessiter une intervention tilisateur.

191

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

intervPériodCes p

intervDélai

IPS hRègleapplic

IPS réRègle

liste Liste l'entrcomm

Comp

miseProcedes p

miseMéthcorreimméOrchede rérécup

miseProcéordina

Voir é

modeParamaprèsfonct

modeIsolemstraté

modeParaminterv

MonitVoir M

nœudVoir é

ordinOrdin

alle d'application des stratégiese durant laquelle l'agent applique les paramètres qu'il a reçus du serveur ePolicy Orchestrator. aramètres s'appliquant localement, cet intervalle ne requiert pas de bande passante.

alle de communication agent-serveur (ASCI)qui sépare deux communications agent-serveur prédéfinies.

ôtes (HIPS)s de protection d'hôtes qui surveillent et bloquent les attaques du système d'exploitation et des ations du système hôte.

seau (NIPS)s de protection du réseau qui surveillent et bloquent les attaques réseau.

globale de blocagedes adresses e-mail ou des domaines, établie par l'administrateur en tant que référence pour eprise. Tout e-mail provenant de ces adresses ou domaines sur la liste globale de blocage sera traité e du spam.

arer avec liste globale d'autorisation ; voir également liste de blocage.

à jourssus d'installation des mises à jour de produits existants ou de mise à niveau vers de nouvelles versions roduits.

à jour globaleode suivant laquelle les mises à jour de produits sont déployées dès l'archivage des fichiers spondants dans le référentiel maître, sans aucune intervention de l'utilisateur. Les fichiers sont diatement répliqués sur tous les référentiels distribués globaux et SuperAgent, le serveur ePolicy strator envoie un appel de réactivation à tous les SuperAgents et ces derniers envoient un appel

activation de diffusion à tous les agents du même sous-réseau. Enfin, tous les ordinateurs clients èrent les fichiers mis à jour à partir du référentiel le plus proche.

à jour sélectivedé permettant de spécifier la version des mises à jour que vous souhaitez voir récupérée par les teurs clients depuis les référentiels de logiciels distribués.

galement branche.

d'apprentissageètre de protection Host Intrusion Prevention : les règles sont déduites et ajoutées automatiquement

la réponse d'un utilisateur à une invite pour autoriser ou bloquer une action. Ce mode s'applique aux ions de pare-feu et de blocage d'application.

de quarantaineent forcé d'un ordinateur jusqu'à ce qu'une action puisse être exécutée pour mettre à jour les

gies de protection.

spéculatifètre de protection pour un client HIP : les règles sont déduites et ajoutées automatiquement sans

ention de l'utilisateur. Ce mode s'applique aux règles IPS, de pare-feu et de blocage d'application.

eur d'étatoniteur de l'agent.

lément de l'arborescence de la console.

ateur clientateur sur lequel l'agent ePolicy Orchestrator et le client Host Intrusion Prevention sont installés.

192

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

ordinDanspouve

packFichieconsi

packPackavos s

pagePartieplanifne so

pare-Filtre pare-fle suicontr

paramVoir s

profilRegrodroits

produLogic

proprDonnchaqude str

proprEnsem

Voir é

proprEnsem

Voir é

réactRépol'opér(emp

RéférEmpl

référeRéférmaîtr

Voir é

ateurs l'arborescence de la console, ordinateurs physiques du réseau gérés via ePolicy Orchestrator. Vous z ajouter des ordinateurs dans des sites ou des groupes existants dans le Répertoire.

age de mise à jourrs de package McAfee, qui fournissent des mises à jour pour un produit. Tous les packages sont dérés comme des mises à jour du produit, à l'exception des fichiers binaires d'installation du produit.

age personnalisé d'installation de l'agentge d'installation de l'agent qui utilise, pour effectuer l'installation, les références utilisateur fournies par oins, au lieu de celles de l'utilisateur actuellement connecté.

s de stratégies de la console ePolicy Orchestrator qui permettent de définir des stratégies et de créer des tâches iées pour des produits. Ces pages sont stockées sur des serveurs ePolicy Orchestrator individuels (elles nt pas ajoutées au référentiel maître).

feuentre un ordinateur et des connexions réseau qui autorise ou bloque le trafic en fonction des règles de eu. Avec le filtrage avec état, le suivi de l'état des connexions est assuré ; avec une inspection avec état, vi des commandes qui se trouvent plus haut dans la pile réseau est assuré, ce qui permet un meilleur ôle et une meilleure sécurité des connexions.

ètres de configurationtratégie.

upement de stratégies basées sur l'utilisation courante d'applications, l'emplacement réseau ou les et privilèges d'accès.

its gérésiel de sécurité, comme Host Intrusion Prevention, géré via ePolicy Orchestrator.

iétésées échangées durant une communication agent-serveur et comprenant des informations au sujet de e ordinateur géré (par exemple, matériel et logiciels) et de ses produits gérés (par exemple, paramètres atégie spécifiques et numéro de version du produit).

iétés complètesble complet de propriétés échangées lors d'une communication agent-serveur.

galement propriétés incrémentielles.

iétés complètesble complet de propriétés échangées lors d'une communication agent-serveur.

galement propriétés minimales.

ionnse d'un client lorsqu'il intercepte une signature. Trois réactions sont possibles : Ignorer (ignore ation), Consigner (consigne l'opération en tant qu'intrusion dans la base de données) et Empêcher êche l'opération illégale spécifique de se produire et la consigne).

entielacement où sont stockées les pages de stratégie utilisées pour gérer les produits.

ntiel distribué globalentiel de logiciels distribué pouvant être tenu à jour automatiquement avec le contenu du référentiel e.

galement répliquer, réplication.

193

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

référeEnsemen opordina

Voir émaîtr

référeType leurs référe

Voir é

référeType

référeType référesuppl

Voir é

réglaProceà rédu

règleRègleun év

Voir é

règleRègle

règleRèglequi sepeuve

RépeDansinterf

réviseComple site

Comp

réviseCompl'insta

Comp

signaEnsemtrois tassoc

Voir é

ntiels de logiciels distribuésble de sites Web ou d'ordinateurs placés sur le réseau de façon à fournir l'accès aux ordinateurs clients

timisant la bande passante. Les référentiels de logiciels distribués stockent les fichiers dont les teurs clients ont besoin pour installer des produits pris en charge et leurs mises à jour.

galement référentiel de secours, référentiel distribué global, référentiel distribué local, référentiel e, référentiel distribué miroir, référentiel source et référentiel distribué SuperAgent.

ntiel de secoursde référentiel logiciel distribué, utilisé lorsque les ordinateurs clients sont dans l'incapacité de contacter référentiels distribués prédéfinis. Généralement, un autre référentiel source est défini comme ntiel de secours.

galement répliquer, réplication.

ntiel distribué localde référentiel de logiciels distribué dont le contenu est mis à jour manuellement.

ntiel maîtrede référentiel de logiciels distribué dont le contenu fait office de standard pour tous les autres ntiels distribués. En général, ce contenu combine le contenu du référentiel source et des fichiers émentaires qui sont ajoutés manuellement au référentiel maître.

galement extraction et répliquer, réplication.

ge finssus d'identification d'un certain nombre de profils et de création de stratégies pour ces derniers, visant ire le nombre de faux positifs et à empêcher la génération d'événements.

comportementale IPS qui définit un profil d'activité légitime. Une activité qui ne correspond pas au profil déclenche énement.

galement signature.

d'exception d'autorisation des activités légitimes qui seraient sinon bloquées par une signature.

s du client IPS, de pare-feu ou de blocage d'application créée sur un client afin d'autoriser les activités légitimes raient sinon bloquées. Les règles du client ne font pas partie d'une stratégie côté serveur, mais elles nt être déplacées vers une stratégie pour une application à d'autres clients.

rtoire l'arborescence de la console, liste de tous les ordinateurs à gérer via ePolicy Orchestrator ; lien vers les aces principales de gestion de ces ordinateurs.

ur de sitete utilisateur doté d'autorisations en lecture seule, habilité à afficher tous les paramètres du logiciel pour spécifié, mais ne pouvant modifier aucun de ces paramètres.

arer avec administrateur global, réviseur global et administrateur de site.

ur globalte utilisateur doté d'autorisations en lecture seule, habilité à afficher tous les paramètres du logiciel pour llation tout entière, mais ne pouvant modifier aucun de ces paramètres.

arer avec administrateur global, administrateur de site et réviseur de site.

tureble de règles décrivant les menaces et instructions de sécurité pour un hôte ou un réseau. Chacun des

ypes de signatures IPS, hôtes (HIPS), personnalisées (HIPS) et réseau (NIPS), a un niveau de sécurité ié indiquant le danger de l'attaque potentielle.

galement règle comportementale.

194

McAfee® Host Intrusion Prevention 6.1 Guide produit Glossaire

site DansLes sIP, ma

serveOrdinoù le

serveComp

Voir é

site dSite W

Voir é

straté

Ensemnommd'app

stratéRéunclient

stratéParam

stratéStraté

surveObse

tâcheVoir t

tâcheTâchepour l'inter

tâcheTâche

usurpFalsif

utilitaUtilitaassur

voletVolet l'arbo

l'arborescence de la console, ensemble logique d'entités regroupées pour en faciliter la gestion. ites peuvent contenir des groupes ou des ordinateurs et peuvent être organisés par intervalle d'adresse sque de sous-réseau IP, emplacement, service et autres.

ur de base de données ePolicy Orchestratorateur qui héberge la base de données ePolicy Orchestrator. Il peut s'agir du même ordinateur que celui serveur ePolicy Orchestrator est installé ou d'un ordinateur distinct.

ur ePolicy Orchestratorosant principal du logiciel ePolicy Orchestrator.

galement agent ePolicy Orchestrator et console ePolicy Orchestrator.

e téléchargementeb de McAfee sur lequel vous pouvez récupérer des mises à jour de produits ou de fichiers DAT.

galement site de mise à jour.

gie

ble de paramètres affectés à une catégorie de fonction d'un produit. En général, seule une stratégie ée est autorisée pour chaque catégorie. Les exceptions sont les règles IPS et de blocage

lication, où une ou plusieurs stratégies nommées peuvent être appliquées.

gie en coursion de toutes les stratégies Règles IPS et Règles d'application sécurisée qui s'appliquent aux ordinateurs s.

gie globale/ McAfee par défautètres de stratégie de base pour une catégorie qui offre une protection prête à l'emploi.

gie globalegie McAfee par défaut destinée à une catégorie.

illance de traficrvation passive d'un réseau.

âches client et tâches serveur.

client de déploiement de produits planifiée pour déployer simultanément tous les produits archivés dans le référentiel maître. Elle est utile

programmer l'installation et la suppression de produits pendant les heures creuses ou pendant valle d'application des stratégies.

s serveurs pouvant être exécutées sur le côté serveur du logiciel.

ationication d'un élément, par exemple une adresse IP, afin de masquer son emplacement et son identité.

ire de rapport d'erreurire conçu spécialement pour consigner les échecs du logiciel McAfee installé sur votre système et en er le suivi. Les informations ainsi obtenues peuvent être utilisées pour analyser des problèmes.

de détailsdroit de la console ePolicy Orchestrator qui présente les détails de l'élément sélectionné dans rescence de la console.

195

Index

Aaccès rapide

événements IPS, 36

Règles de blocage d'application, 95

règles de pare-feu, 79

Règles du client de blocage d'application, 95

règles du client de pare-feu, 79

règles IPS, 36

règles IPS du client, 36

aide

dans l'interface utilisateur, 32

explication de l'icône, 32

procédures de navigation, 31

utilisation, 31

alertes

Active X, 29

affichage de stratégie, 29

applet Java, 29

blocage d'application, 139

intrusion, 137

pare-feu, 138

quarantaine, 140

usurpation détectée, 140

alertes du client Windows

blocage d'application, 139

intrusion, 137

pare-feu, 138

quarantaine, 140

usurpation détectée, 140

application des stratégies

client Linux, 156

client Solaris, 153

applications sécurisées

activation, 114

création, 113

création basée sur un événement, 61

désactivation, 114

modification, 114

suppression, 114

Bbibliothèque d'informations sur les virus (Voir bibliothèque de menaces Avert Labs)

bibliothèque de menaces, 14

bibliothèque de menaces Avert Labs, 14

Blocage d'application

accès rapide, 95

Configuration d'Options, 96

présentation, 94

blocage d'application

accrochage, 95

création, 94

règles du client, 18

stratégies prédéfinies, 95

Ccentre de menaces (Voir Avert Labs)

centre de menaces Avert Labs, 14

client Linux

application des stratégies, 156

dépannage, 157

présentation, 156

remarques, 156

client Solaris

application des stratégies, 153

dépannage, 153

présentation, 153

Client Windows

icone de la barre d'état système, 109

icône de la barre des tâches, 133

présentation, 132

client Windows

alertes, 137

configuration des options, 134

console, 133

dépannage, 135

dépannage, consignation, 135

dépannage, moteurs IPS, 136

déverrouillage de l'interface utilisateur, 134

liste de l'onglet Journal d'activité, 152

liste de l'onglet Protection d'applications, 150

liste des Hôtes bloqués, 148

liste des règles de l'onglet Stratégie d'application, 147

liste des règles de l'onglet Stratégie de pare-feu, 145

liste des règles de l'onglet Stratégie IPS, 143

notification d'erreurs, 135

onglet Hôtes bloqués, 148

onglet Journal d'activité, 151

onglet Protection d'applications, 150

onglet Stratégie d'application, 146

onglet Stratégie de pare-feu, 144

onglet Stratégie IPS, 142

options de l'onglet Journal d'activité, 151

options de l'onglet Stratégie d'application, 146

options de l'onglet Stratégie de pare-feu, 144

options de l'onglet Stratégie IPS, 142

règles de l'onglet Stratégie d'application, 147

règles de l'onglet Stratégie de pare-feu, 145

règles de l'onglet Stratégie IPS, 143

Contrôle de l'interface utilisateur du client Windows

barre des tâches, 109

conventions du guide

typographie et symboles, 12

196

McAfee® Host Intrusion Prevention 6.1 Guide produit Index

Ddéfinition des termes (Voir glossaire)

dépannage

client Linux, 157

client Solaris, 153

déploiement

réglage fin, 22, 30, 115, 163

EePO

console, 24

gestion des stratégies, 25

notifications, 26

opérations utilisées avec Host Intrusion Prevention, 24

propriétaires de stratégie, 26

rapports, 26

évaluation des produits McAfee, site Web de téléchargement, 14

événements IPS, 56

affichage, 57, 162

détails, 61

affichage du filtrage, 58

afficher les événements masqués, 59

analyse, 115

configuration de l'affichage, 58

création d'applications sécurisées, 61

création d'exceptions, 61, 162

marquage, 59

marquage similaire, 60

marquer comme lu, 59

marquer comme non lu, 59

masquer, 59

présentation, 56

Ffichiers DAT

mises à jour, site Web, 14

service de notification Avert Labs pour les mises à jour, 14

filtrage avec état, 72

filtrage des paquets, 70

Fonction Général

présentation, 103

stratégies prédéfinies, 104

fonctions

Blocage d'application, 94

blocage d'application, 18

Général, 18

IPS, 15, 33

Pare-feu, 69

pare-feu, 17

formation, ressources McAfee, 14

Gglossaire, 187 to 195

groupe de reconnaissance de connexion

création, 85

groupes de quarantaine

suppression, 93

groupes de règles

pare-feu, 75

groupes de règles de pare-feu

création, 85

suppression, 88

groupes de règles de quarantaine

création, 93

HHost Intrusion Prevention

aide, 31

configuration, 23

déploiement, 21

déploiement des clients, 27

installation, 26

maintenance, 21

réglage fin, 30

utilisation d'ePO, 23 to 24

utilisation des clients, 27

Iinformations produit

ressources, 13

inspection des paquets avec état, 73

Inspection des paquets, pare-feu, 70

IPS

événements, 16

événements, analyse, 115

fonction, 15

présentation des fonctions, 33

réactions, 16

règles d'exception, 16

règles d'exception du client, 17

signatures, 15

Mmise à jour

archivage de mise à jour, 130

clients, 131

contenu, 130

processus, 130

mises à jour de la sécurité, fichiers DAT et moteur, 14

mises à niveau de produits, 14

mode d'apprentissage, 21, 28

blocage d'application, 28, 139

pare-feu, 28, 76

Mode spéculatif

blocage d'application, 96

mode spéculatif, 21, 28

blocage d'application, 28

IPS, 28, 36

pare-feu, 28, 76

mots de passe

administrateur, 108

pour l'interface utilisateur du client, 107

temporaire, 109

Nniveaux de sécurité

Élevé (rouge), 46

Faible (jaune), 46

Infos (bleu), 46

Moyen (orange), 46

notifications

génération, 26

types, 124

usage, 123

nouvelles fonctions, 10

Ppare-feu

filtrage des paquets, 70

groupes de reconnaissance de connexion, 75

groupes de règles, 75

Inspection des paquets, 70

migration vers des règles avec état, 78

mode d'apprentissage, 76

mode spéculatif, 76

présentation des fonctions, 69

règles, 17

règles de quarantaine, 77

règles de reconnaissance de connexion, 75

stratégie de règles de quarantaine, 91

stratégies prédéfinies, 78

table d'état, 70

personnalisé

signatures hôte, 46

signatures, informations complémentaires, 52

public visé par ce guide, 11

197

McAfee® Host Intrusion Prevention 6.1 Guide produit Index

Qquarantaine

stratégies et règles, 77

Rrapports, 22

10 principales applications bloquées, 129

10 principales signatures déclenchées, 128

10 principaux nœuds attaqués pour l'IPS, 128

exécution, 125

génération, 26

listing, 126

Mises à jour de quarantaine échouées, 129

prédéfinis, 125

Résumé des applications bloquées, 128

Résumé des événements IPS par cible, 127

Résumé des événements IPS par signature, 126

Résumé des intrusions sur le réseau par adresse IP source, 127

recherche dans la base de connaissances, 14

réglage fin

analyse d'événements, 115

application de nouvelles stratégies, 116

automatisé, 163

création d'applications sécurisées, 116

création d'exceptions, 116

création de nouvelles stratégies, 116

règles du client, 116

règles comportementales, 35

règles d'exception, 16

activation, 45

création, 43

création basée sur un événement, 61

déplacer vers une autre stratégie, 45, 66

désactivation, 45

modification, 44

recherche d'exceptions associées, 63

rechercher, 66

suppression, 45

règles de blocage d'application, 99

création, 100

suppression, 101

règles de pare-feu, 71

6.0, 69

6.1, 69

accès rapide, 79

affichage, 84

ajout, 85

avec état, 69

client, 17

création, 85

filtrage avec état, 72

fonctionnement, 71

inspection avec état, 73

migration vers avec état, 78

modification, 84

ordre, 71

statique, 69

suivi de protocole avec état, 73

suppression, 88

règles de protection d'applications, 53

activation, 56

création, 54

désactivation, 56

modification, 56

présentation, 53

suppression, 56

règles de quarantaine

affichage, 92

ajout, 93

création, 93

modification, 92

suppression, 93

règles du client

blocage d'application, 101

IPS, 64

pare-feu, 17, 88

règles du client de blocage d'application

affichage, 101

Affichage agrégé, 101

Affichage normal, 101

règles du client de pare-feu

accès rapide, 79

affichage, 88

affichage agrégé, 89

affichage normal, 88

agrégation, 89

règles IPS du client, 63

affichage agrégé, 65

affichage normal, 64

agrégation, 65

migrer vers une stratégie, 64

présentation, 63

Réseaux sécurisés

options, 110

ressources du guide

documentation produit, 13

Sservice clientèle, contacter, 14

ServicePortal, support technique, 14

services aux professionnels, ressources McAfee, 14

siège de la sécurité (Voir Avert Labs)

signatures, 46

création, 48

création avec l'Assistant, 49

création avec la Méthode expert, 52

création avec la Méthode standard, 52

création avec le mode standard, 50

création personnalisée, 163

hôte, 46

hôte personnalisé, 46

IPS hôte, 34

IPS réseau, 34

modification, 48

modification de l'affichage, 48

modification personnalisée, 52

niveaux de gravité, 46

personnalisé, 46, 48

réseau, 46 to 47

types, 46

signatures hôte, 46

signatures réseau, 46 to 47

site Web de mise à niveau, 14

site Web de téléchargement, 14

site Web du programme Bêta, 14

soumettre un échantillon, Avert Labs WebImmune, 14

Stratégie Applications sécurisées

application, 112

configuration, 112

création, 112

Stratégie Appliquer les stratégies

configuration, 105

stratégie d'options de pare-feu

configuration, 79

stratégies prédéfinies, 80

Stratégie d'options de quarantaine

configuration, 90

Stratégie de protection IPS

stratégies prédéfinies, 39

198

McAfee® Host Intrusion Prevention 6.1 Guide produit Index

stratégie de règles de pare-feu

configuration, 81

création, 81

stratégies prédéfinies, 81

stratégie de règles de quarantaine

configuration, 91

création, 91

Stratégie Interface utilisateur du client

application, 106

configuration, 105

création, 106

mots de passe, 107

Stratégie Options de blocage d'application

configuration, 96

stratégie Options IPS

configuration, 36

création, 37

stratégies prédéfinies, 36

Stratégie Règles de blocage d'application

configuration, 98

création, 98, 100

stratégie Règles IPS

affectation, 41

configuration, 41

création, 41

détails, 42

règles d'exception, 42

règles de protection d'applications, 53

signatures, 46

Stratégie Réseaux sécurisés, 110

configuration, 110

stratégies

administrateurs, 161

affectation, 20, 117, 161

affectation de propriétaires, 26

affectée à quel nœud, 119

affichage des informations, 119

affichage du propriétaire, 120

application, 19, 161

application désactivée, 120

catégories, 19

configuration, 29

correspondance avec un profil, 163

gestion, 19, 25

héritage, 20, 117

maintenance, 117

modification des informations, 120

propriété, 20

protection programmée, 21

tâches, 117

utilisation de l'onglet des stratégies, 117

utilisation du Catalogue des stratégies, 119

verrouillage d'affectation, 20

stratégies prédéfinies

Blocage d'application, 95

Général, 104

IPS, 35

options de pare-feu, 80

Options IPS, 36

pare-feu, 78

Protection IPS, 39

règles de pare-feu, 81

suivi de protocole avec état, 73

DHCP, 74

DNS, 74

FTP, 74

ICMP, 73

TCP, 74

support technique, contacter, 14

Ttable d'état, pare-feu, 70

tâches serveur, 122

Archiveur d'événements, 122

Passerelle de répertoires, 122

Traducteur de propriétés, 122

UUDP, 73

utilisation de ce guide, 11

Vversions de correctifs (pour produits et vulnérabilités de sécurité), 14

vulnérabilités de sécurité, versions pour, 14

WWebImmune, centre de menaces Avert Labs, 14

199

mcafee.com

Copyright © 2006 McAfee, Inc. Tous droits réservés.

700-1499-03