Ports réseau Tanium
Pour les ports requis dans un déploiement de Tanium en tant que service, reportez-vous au Guide d’utilisation de Tanium en tant que service : Exigences de sécurité réseau et hôte.
Les exigences de port réseau pour les serveurs de Tanium Core Platform dépendent si vous avez un déploiement Appliance Tanium ou Windows. Tanium Client a ses propres exigences de port. Pour plus d’informations sur les exigences pour chaque port, reportez-vous à la section Détails de l’utilisation des ports de la Tanium Core Platform.
Configurez les politiques de pare-feu pour ouvrir des ports pour le trafic Tanium avec des règles basées sur TCP au lieu de règles basées sur l’identité de l’application. Par exemple, sur un pare-feu Palo Alto Networks, configurez les règles avec des objets de service ou des groupes de services au lieu d’objets d’application ou de groupes d’applications.
Exigences de port spécifiques au module et au service
Pour voir les exigences de port supplémentaires qui sont spécifiques aux modules Tanium™ et aux services partagés, cliquez sur les liens suivants pour accéder aux guides d’utilisation associés :
- Actifs
- Gestion des clients
- Conformité : Aucune exigence de port supplémentaire
- Connexion
- Déploiement
- Connexion directe
- Découverte
- Configuration Endpoint
- Notifications de l’utilisateur final
- Enforce
- Contrôle d’intégrité
- Impact
- Réponse aux incidents
- Monitoring d’intégrité : Aucune exigence de port supplémentaire
- Interact : Aucune exigence de port supplémentaire
- Carte : Aucune exigence de port supplémentaire
- Quarantaine du réseau
- Correctif : Aucune exigence de port supplémentaire
- Performances
- Protection : Aucune exigence de port supplémentaire
- Réputation
- Révélation
- Threat Response
- Tendances
Appliance Tanium
Le tableau suivant récapitule les processus Tanium et les valeurs par défaut des ports utilisés dans les communications de Tanium Core Platform :
L’installation et la gestion de l’appliance Tanium nécessitent une communication sur les ports de service réseau courants. Le tableau suivant répertorie les ports par défaut pour ces services :
| Services | Port d’entrée | Port de destination |
|---|---|---|
| DNS | 53/tcp, 53/udp | |
| ESP (IPsec pour cluster) | 50/ip | 50/ip |
| IKE (IPSec pour cluster) | 500/udp, 4500/udp | 500/udp, 4500/udp |
| LDAP (facultatif) | 389/tcp, 636/tcp | |
| NTP | 123/udp | |
| SSH, SCP, SFTP | 22/tcp1 | 22/tcp1 |
| SNMP (facultatif) | 161/udp | |
| syslog (facultatif) | 514/udp, 514/tcp | |
| iDrac (recommandé) | 443/tcp2, 5900/tcp2 | |
|
1 En plus de l’accès à distance aux appliances, le port 22 est utilisé pour un canal de communication sécurisé entre les appliances. 2 Ces ports doivent être ouverts uniquement pour l’adresse IP du port iDRAC dédié (le cas échéant). Le port iDrac a une adresse IP différente des interfaces réseau TanOS. Reportez-vous au Guide de déploiement des appliances Tanium : configurer l’interface iDRAC. |
||
La figure suivante illustre comment Tanium Core Platform utilise ces ports dans un déploiement actif/actif avec une infrastructure Appliance.
Windows
Le tableau suivant récapitule les processus Tanium et les valeurs par défaut des ports utilisés dans les communications de la Tanium Core Platform.
| Composant | Processus | Port d’entrée | Port de destination |
|---|---|---|---|
| Serveur Tanium | TaniumReceiver.exe | 443, 17472 | 80, 443 (actif/actif), 1433 ou 5432, 17472 (actif/actif), 17477 |
| SQL Server ou PostgreSQL Server | Sqlservr.exe ou postgres.exe | 1433 ou 5432 | |
| Serveur de module Tanium | TaniumModuleServer.exe | 17477 | 80, 443 |
| Tanium Zone Server | TaniumZoneServer.exe | *17472 | |
| Hub Tanium Zone Server | TaniumZoneServer.exe | *17472 | |
| Tanium Client | TaniumClient.exe | 17472 | *17472 |
| *En tant que meilleure pratique pour améliorer la sécurité du zone Server, configurez des ports séparés pour le trafic des hubs de zone serveur et des clients Tanium. Pour connaître les étapes, reportez-vous au Guide de déploiement de Tanium Core Platform pour Windows : configurer les ports du trafic provenant des hubs de zone serveur et des clients de Tanium. | |||
La figure suivante illustre comment Tanium Core Platform utilise ces ports dans un déploiement actif/actif avec une infrastructure Windows :
Tanium Client
Vous pouvez utiliser le module de gestion client Tanium™ pour déployer toute version du client Tanium. Pour les ports que la direction client exige pour la communication, reportez-vous au Guide d’utilisation de Tanium Client Management : connectivité réseau, ports et pare-feu.
Détails de l’utilisation des ports de la Tanium Core Platform
Les sections suivantes répertorient des détails sur les ports que les composants de Tanium Core Platform utilisent, et indiquent les ports par défaut.
Pour modifier les ports par défaut pour les serveurs de plateforme, reportez-vous à la section Paramètres du serveur de Tanium Core Platform. Pour modifier les ports par défaut pour Tanium Clients, reportez-vous au Guide d’utilisation de Tanium Client Management : Connectivité réseau, ports et pare-feu.
Serveur Tanium
Le serveur Tanium joue le rôle de hub central de communication dans l’environnement Tanium. Le serveur reçoit le trafic que Tanium Clients et Tanium Console initient. Le serveur initie des connexions au serveur de base de données Tanium ainsi qu’à tous les Zone Servers.
Entrant (Client Tanium vers serveur Tanium)
Résumé des règles
Autoriser le trafic vers le port TCP 17472 du serveur Tanium depuis tout endpoint à gérer sur le réseau interne.
Détails
Le flux de communication entre les clients Tanium et le serveur Tanium est contre-intuitif. Par exemple, si vous posez une question via la console Tanium, l’intuition peut faire penser que le serveur initie des connexions pour interroger les clients. Cependant, dans la plateforme Tanium, les clients spéciaux connus comme leaders sont les seuls qui initient des connexions au serveur Tanium.
De plus, tous les clients Tanium initient des connexions lorsqu’ils s’inscrivent. Lors de l’inscription, le client Tanium rapporte des informations sur lui-même et rassemble des mises à jour de configuration, ceci incluant des modifications des peer lists.
Entrant (Console Tanium)
Résumé des règles
Autoriser le trafic depuis des hôtes approuvés (par exemple une adresse de sous-réseau de gestion) vers le port TCP 443 du serveur Tanium.
Détails
Aux fins de sécurité, la communication TCP et SOAP vers le serveur Tanium est cryptée par cryptage TLS, de sorte que le programme d’installation du serveur Tanium configure le serveur pour écouter les requêtes TCP et SOAP sur le port 443. Si une autre application installée écoute le port 443, vous pouvez désigner un port différent.
Sortant (serveur Tanium vers serveur de base de données)
Résumé des règles
Autoriser le trafic depuis le serveur Tanium sur le port 1433 ou 5432 (TCP) vers le serveur de base de données.
Détails
Le serveur Tanium initie des connexions au serveur de base de données sur le port 1433 (SQL Server) ou 5432 (PostGreSQL).
Sortant (serveur Tanium vers serveur du module)
Résumé des règles
Autoriser le trafic depuis le serveur Tanium vers le port TCP 17477 du serveur du module.
Détails
Le serveur Tanium initie les connexions au serveur du module sur le port 17477.
Sortant (serveur du module vers Internet)
Résumé des règles
Autoriser le trafic depuis le serveur Tanium vers les ports de destination 80 et 443 (TCP) sur Internet.
L’utilisation du port 443 est une meilleure pratique de sécurité, car le trafic sur ce port est crypté via le protocole Transfer Protocol Secure (HTTPS).
Détails
Le serveur Tanium initie des connexions à https://content.tanium.com et http://*.digicert.com lors de l’importation des mises à jour des composants et modules de Tanium Core Platform. Le serveur peut également initier des connexions à d’autres sites Internet tels que https://update.microsoft.com pour d’autres opérations.
Entrant/sortant (déploiement actif/actif)
Résumé des règles
Autoriser le trafic vers et depuis les serveurs Tanium dans un cluster actif/actif sur le port TCP 17472.
Détails
Tout membre de cluster peut initier une connexion à l’autre membre. Les fichiers de package chargés vers un membre sont synchronisés avec l’autre membre de cluster. De plus, chaque membre transmet les messages de Tanium (par exemple, réponses aux questions) à l’autre membre de cluster.
Serveur de module Tanium
Entrant (serveur Tanium vers serveur du module)
Résumé des règles
Autoriser le trafic depuis le serveur Tanium vers le port TCP 17477 du serveur du module.
Détails
Vérifiez la documentation pour les modules Tanium particuliers que vous planifiez d’utiliser pour voir s’ils nécessitent des ports entrants supplémentaires : reportez-vous à la section Exigences de port spécifiques au module et au service.
Sortant (serveur du module vers Internet)
Résumé des règles
Autoriser le trafic depuis le serveur du module vers les ports de destination 80 et 443 (TCP) sur Internet.
L’utilisation du port 443 est une meilleure pratique de sécurité, car le trafic sur ce port est crypté via le protocole Transfer Protocol Secure (HTTPS).
Détails
Le serveur du module n’initie pas lui-même de connexions. Cependant, lorsqu’un module est importé, le serveur du module peut avoir besoin de se connecter à Tanium et d’autres adresses Internet pour télécharger le contenu requis, et les services de module installés peuvent initier des connexions. Vérifiez la documentation pour les modules particuliers que vous planifiez d’utiliser pour voir s’ils nécessitent des ports sortants supplémentaires : reportez-vous à la section Exigences de port spécifiques au module et au service.
Sortant (services du module vers serveur Tanium)
Résumé des règles
Autoriser le trafic depuis le serveur du module vers le port de destination 443 (TCP) sur le serveur Tanium.
Détails
Le serveur du module n’initie pas lui-même de connexions. Cependant, un module peut initier une connexion au serveur Tanium.
Hub Tanium Zone Server
Sortant (hub Tanium Zone Server vers zone Server)
Résumé des règles
Autoriser le trafic depuis le hub Zone Server vers le port TCP de destination 17472 sur les machines DMZ qui hébergent les Zone Servers. Dans un déploiement d’appliance, le hub est toujours installé sur l’appliance du serveur Tanium. Dans un déploiement Windows, le hub est généralement installé sur l’hôte du serveur Tanium, mais peut également être installé sur un hôte dédié.
Détails
Si vous utilisez le Zone Server pour le trafic proxy depuis les ordinateurs gérés par Tanium sur des segments de réseau moins fiables vers le serveur Tanium sur le réseau principal, le hub de Tanium Zone Servers doit être en mesure de se connecter au ou aux Zone Servers de la DMZ. Dans Tanium Core Platform version 7.3 ou antérieure, le fichier de configuration ZoneServerList.txt situé dans le dossier d’installation du Hub identifie les adresses des Zone Servers de destination. Dans les versions ultérieures, les mappages entre le hub et le Zone Server déterminent les Zone Servers de destination : reportez-vous au Guide d’utilisation de Tanium Console : gestion des Zone Servers et des hubs.
Tanium Zone Server
Entrant (Client Tanium vers zone Server)
Résumé des règles
Autoriser le trafic depuis tout ordinateur sur Internet vers le port TCP 17472 sur les Zone Servers dans la DMZ.
Détails
Tanium Clients initient des connexions à un Zone Server comme s’il s’agissait d’un serveur Tanium.
Entrant (hub Tanium Zone Server vers zone Server)
Résumé des règles
Autoriser le trafic depuis le hub Zone Server vers le port TCP 17472 sur les Zone Servers dans la DMZ. Dans un déploiement d’appliance, le hub est toujours installé sur l’appliance du serveur Tanium. Dans un déploiement Windows, le hub est généralement installé sur l’hôte du serveur Tanium, mais peut également être installé sur un hôte dédié.
Détails
Si vous utilisez le Tanium Zone Server pour le trafic proxy depuis les endpoints gérés sur des segments de réseau moins fiables vers le serveur Tanium sur le réseau principal, le hub Tanium Zone Server doit être en mesure de se connecter aux Zone Servers de la DMZ.
Tanium Client
Entrant/Sortant (Client Tanium vers client)
Résumé des règles
Autoriser le trafic vers et depuis les peers Tanium Client sur le port d’écoute TCP 17472.
Détails
En plus de la communication TCP entre le client et le serveur ayant lieu sur le port 17472, Tanium Clients communiquent également vers leurs peers sur le port 17472. Les paramètres de peering client par défaut garantissent que les clients forment des chaînes linéaires uniquement dans les limites des réseaux locaux (LAN). Par conséquent, vous devez permettre une communication TCP bidirectionnelle sur le port d’écoute entre les clients qui se trouvent sur le même LAN, mais pas nécessairement entre tous les clients sur votre réseau étendu (WAN) d’entreprise. Pour plus de détails sur les paramètres de peering client, reportez-vous au Guide d’utilisation de Tanium Client Management : configuration du peering des Tanium Clients.
Sortant (Client Tanium vers zone Server)
Résumé des règles
Autoriser le trafic depuis tout endpoint sur Internet vers le port TCP 17472 sur les Zone Servers dans la DMZ.
Détails
Dans les déploiements avec un Zone Server, un Tanium Client peut se connecter à un Zone Server au lieu d’un serveur Tanium. Les exigences de communication pour ces clients sont identiques aux exigences des communications serveur Tanium à client Tanium.
Dernière mise à jour : 10/09/2021 11:07 | Commentaires
