Configuration des sous-réseaux des clients Tanium

Des sous-réseaux séparés, des sous-réseaux intentionnels et des sous-réseaux isolés permettent de modifier le comportement de peering par défaut des Tanium Clients. Les paramètres de peering par défaut définissent les limites des sous-réseaux client dans l’architecture de chaîne linéaire Tanium™. Avant de configurer des sous-réseaux, assurez-vous que vous comprenez le comportement que les paramètres par défaut définissent et l’impact de vos modifications. Voir le Guide d’utilisation de Tanium Client Management : configuration du peering des Tanium Clients.

Pour connaître les permissions à avoir pour pouvoir afficher et gérer les configurations de sous-réseau de Tanium Client, reportez-vous à la section Configurer les sous-réseaux du Tanium Client.

Pour résoudre les problèmes de peering client, reportez-vous à la section Résoudre les problèmes du Tanium Client.

Examinez les configurations des sous-réseaux client chaque mois pour tenir compte de tout sous-réseau ajouté ou supprimé sur votre réseau. Reportez-vous au Guide d’utilisation de Tanium Maintenance : Examinez et mettez à jour les sous-réseaux de Tanium Clients.

Dans la version 7.4.3 ou ultérieure de Tanium Core Platform, les Tanium Servers écrivent des configurations de sous-réseau dans la base de données Tanium et les synchronisent automatiquement dans le cadre d’un déploiement actif-actif. Dans Tanium Core Platform 7.4.6 ou version ultérieure, les configurations de sous-réseau dans la base de données sont également synchronisées entre les Tanium Zone Servers. Dans la plupart des environnements, les configurations de sous-réseaux séparés et isolés sont les mêmes pour tous les Zone Servers et Tanium Servers. Dans les environnements complexes avec des sous-réseaux se chevauchant, il se peut que vous deviez séparer les sous-réseaux différemment pour les Zone Servers. Dans ce cas, vous pouvez ajouter des fichiers SeparatedSubnets.txt et IsolatedSubnets.txt aux Zone Servers pour remplacer les configurations de base de données synchronisées. Les configurations de sous-réseaux intentionnels sont toujours synchronisées sur tous les Zone Servers et Tanium Servers.

La figure suivante illustre un déploiement avec où les Tanium Clients internes se connectent aux Tanium Servers dans le cadre d’un déploiement actif-actif et les clients externes se connectent au Zone Server. Cet exemple montre des sous-réseaux séparés, des sous-réseaux intentionnels et des sous-réseaux isolés au sein des chaînes linéaires que les paramètres de peering par défaut définissent.

La figure suivante montre la base de données Tanium sur un hôte dédié dans le cadre d’un déploiement Windows. Toutefois, dans le cadre d’un déploiement d’appliance Tanium, la base de données est sur le même hôte que les Tanium Servers.

Figure 1 : Peering du Tanium Client (cliquez sur l’image pour l’agrandir)

Configurer des sous-réseaux séparés

Les Tanium Clients sur un sous-réseau séparé peuvent uniquement effectuer un peering avec d’autres clients qui se trouvent sur ce même sous-réseau. Configurez des sous-réseaux séparés pour spécifier des exceptions plus granulaires pour le peering du Tanium Client que les limites de sous-réseau /24 par défaut que les paramètres de masque d’adresse ou de préfixe définissent (reportez-vous à la section Guide d’utilisation pour la gestion du Tanium Client : paramètres de masque d’adresse et de préfixe). Les clients utilisent la configuration des sous-réseaux séparés pour s’apparier (peer) en fonction de leur connexion au Tanium Server ou au Zone Server. Chaque serveur utilise cette configuration pour gérer les peer lists pour les clients qui s’enregistrent par ce biais. Après avoir configuré des sous-réseaux séparés, vous n’avez pas besoin de redémarrer les serveurs.

Après avoir configuré des sous-réseaux séparés, il faut deux à six heures aux Tanium Clients (l’intervalle de réinitialisation de client randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration. Pour vérifier que les sous-réseaux séparés fonctionnent comme prévu après l’enregistrement des clients, reportez-vous au Guide d’utilisation pour la gestion du Tanium Client : vérifier les connexions de leader et le peering Tanium Client.

Tanium Core Platform 7.3 ou version ultérieure prend en charge les sous-réseaux IPv6, tels que : 2001:db8::/32. Pour plus de détails, contactez l’assistance Tanium.

Configurer les sous-réseaux séparés qui sont les mêmes pour les Tanium Servers et les Zone Servers

Ajouter des sous-réseaux

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Dans la section Separated Subnets (Sous-réseaux séparés), cliquez sur New Subnets (Nouveaux sous-réseaux).
  3. Saisissez chaque sous-réseau au format CIDR en utilisant des lignes séparées ou des virgules comme délimiteurs. Utilisez le caractère ; ou # avant tout commentaire facultatif.

    Voir l’exemple suivant :

    192.168.0.0/26 #Il s’agit d’un sous-réseau de centre de données.
    192.168.2.0/26 ; il s’agit d’un sous-réseau de filiale.
    2001:db8::/32

    Si votre déploiement inclut des Zone Servers qui nécessitent des sous-réseaux séparés différents de ceux des Tanium Servers, copiez les entrées du champ de texte dans le presse-papiers pour les utiliser lorsque vous configurez des sous-réseaux séparés spécifiques aux Zone Servers.

  4. Cliquez sur Save (Enregistrer).

Modifier les sous-réseaux

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Sélectionnez l’un des Separated Subnets (Sous-réseaux séparés) et cliquez sur Edit (Modifier).
  3. Modifiez le sous-réseau (CIDR (CIDR)) et Comment (Commentaire), puis cliquez sur Save (Enregistrer).

Configurer des sous-réseaux séparés spécifiques aux Zone Servers

Si un déploiement inclut des Zone Servers qui nécessitent des sous-réseaux séparés différents de ceux des Tanium Servers, effectuez les étapes suivantes en fonction de votre Tanium Infrastructure pour ajouter une configuration personnalisée de sous-réseaux séparés à chaque serveur. Étant donné que les Zone Servers ne synchronisent pas les configurations de sous-réseau personnalisées, chaque serveur peut avoir une configuration unique.

Infrastructure Windows

  1. Créez un fichier texte brut nommé SeparatedSubnets.txt.
  2. Saisissez les sous-réseaux et les commentaires facultatifs que vous avez saisis pour le Tanium Server dans SeparatedSubnets.txt. Utilisez le formatage décrit dans Ajouter des sous-réseaux.
  3. Déplacez SeparatedSubnets.txt vers le répertoire d’installation de chaque Zone Server (le répertoire d’installation par défaut est \Program Files (x86)\Tanium\Tanium Zone Server). Si nécessaire, vous pouvez modifier le contenu du fichier pour chaque Zone Server qui nécessite une configuration unique.

Si vous supprimez SeparatedSubnets.txt du Zone Server, il revient à l’utilisation des sous-réseaux séparés qui sont configurés sur les Tanium Servers.

Infrastructure de Tanium Appliance

  1. Sur l’appliance Zone Server, connectez-vous à la console TanOS en tant qu’utilisateur avec le rôle tanadmin.
  2. Dans le menu tanadmin, entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium). FerméAfficher l’écran
  3. Entrez 2 pour accéder au menu Configuration Settings (Paramètres de configuration). FerméAfficher l’écran
  4. Entrez 12 pour modifier le fichier SeparatedSubnets.txt. FerméAfficher l’écran
  5. Utilisez le menu pour spécifier les sous-réseaux au format CIDR.

Configurer des sous-réseaux isolés

Configurez des sous-réseaux isolés pour désactiver le peering client pour une liste spécifiée d’adresses IP de sous-réseau et de endpoint. Si l’adresse IP d’un Tanium Client se trouve dans un sous-réseau isolé, Cloud Tanium le Tanium Server ou le zone Server envoie à ce client une peer list vide pour empêcher le client de participer au peering.

Après avoir configuré des sous-réseaux isolés, vous n’avez pas besoin de redémarrer les Tanium Servers ou les Zone Servers. Les Tanium Clients prennent deux à six heures (l’intervalle de réinitialisation du client randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration. Pour vérifier que les sous-réseaux isolés fonctionnent comme prévu après l’enregistrement des clients, reportez-vous au Guide d’utilisation pour la gestion du Tanium Client : vérifier les connexions de leader et le peering Tanium Client.

Configurez des sous-réseaux isolés pour les Tanium Clients qui sont dans des VPN. Les clients VPN ont des adresses IP locales dans un bloc d’adresses VPN spécial, mais leurs endpoints d’hôte ne sont en fait pas proches les uns des autres. Les clients VPN utiliseraient des liaisons WAN pour le peering et la latence serait nettement plus importante que pour les connexions client-serveur.

Dans d’autres cas, vous pouvez trouver pratique d’utiliser des sous-réseaux isolés pour désactiver le peering, par exemple pour tester ou déboguer le peering lorsque vous devez résoudre des problèmes de réseau. Notez que la désactivation du peering fait que les Tanium Clients consomment plus de ressources réseau en termes de bande passante et de connexions client-serveur sur le WAN. Pour le dépannage des cas, après avoir résolu les problèmes réseau, la meilleure pratique consiste à supprimer les clients de la configuration des sous-réseaux isolés afin qu’ils reprennent le peering.

Tanium Core Platform 7.3 ou version ultérieure prend en charge les sous-réseaux IPv6, tels que : 2001:db8::/32. Pour plus de détails, contactez l’assistance Tanium.

Configurer les sous-réseaux isolés qui sont les mêmes pour les Tanium Servers et les Zone Servers

Ajouter des sous-réseaux

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Dans la section Isolated Subnets (Sous-réseaux isolés), cliquez sur New Subnets (Nouveaux sous-réseaux).
  3. Saisissez chaque sous-réseau au format CIDR en utilisant des lignes séparées ou des virgules comme délimiteurs. Utilisez le caractère ; ou # avant tout commentaire facultatif.

    Voir l’exemple suivant :

    192.168.0.0/26 #Il s’agit d’un sous-réseau de centre de données.
    192.168.2.0/26 ; il s’agit d’un sous-réseau de filiale.
    2001:db8::/32

    Si votre déploiement inclut des Zone Servers qui nécessitent des sous-réseaux isolés différents de ceux des Tanium Servers, copiez les entrées du champ de texte dans le presse-papiers pour les utiliser lorsque vous configurez des sous-réseaux isolés spécifiques aux Zone Servers.

  4. Cliquez sur Save (Enregistrer).

Modifier les sous-réseaux

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Sélectionnez l’un des Isolated Subnets (Sous-réseaux isolés) et cliquez sur Edit (Modifier).
  3. Modifiez le sous-réseau (CIDR (CIDR)) et Comment (Commentaire), puis cliquez sur Save (Enregistrer).

Configurer des sous-réseaux isolés spécifiques aux Zone Servers

Si un déploiement inclut des Zone Servers qui nécessitent des sous-réseaux isolés différents de ceux des Tanium Servers, exécutez l’une des procédures suivantes en fonction de votre Tanium Infrastructure et selon que vous souhaitez isoler tous les clients ou les clients sur des sous-réseaux spécifiques. Étant donné que les Zone Servers ne synchronisent pas les configurations de sous-réseau personnalisées, chaque serveur peut avoir une configuration unique.

Le Zone Server applique la règle la plus restrictive pour déterminer le sous-réseau d’un client. Si vous configurez le paramètre zs_address_mask ou AddressMask pour isoler les clients, ce paramètre remplace toute isolation basée sur un sous-réseau qui est configurée dans un fichier IsolatedSubnets.txt.

Isoler tous les clients connectés à n’importe quel Zone Server

Définissez le paramètre de plateforme zs_address_mask sur le Tanium Server (Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés)) sur 4294967295, qui spécifie /32 limites de sous-réseau (hôtes uniques) pour tous les Zone Servers.

Pour plus d’informations, voir Guide d’utilisation de Tanium Client Management : Paramètres du masque d’adresse et du préfixe.

Isoler tous les clients connectés à un Zone Server particulier

  1. Connectez-vous à l’hôte du Zone server en tant qu’utilisateur administrateur.
  2. Accédez à la CLI (voir Guide de référence du déploiement de Tanium Core Platform : CLI].
  3. Accédez au dossier d’installation de Zone Server :

    > cd <Zone Server>

  4. Configurez le paramètre local AddressMask pour spécifier /32 limites de sous-réseau (hôtes uniques) :

    > TaniumZoneServer config set AddressMask 4294967295

Pour plus d’informations, voir Guide d’utilisation de Tanium Client Management : Paramètres du masque d’adresse et du préfixe.

Isoler les clients sur des sous-réseaux spécifiques avec une infrastructure Windows

  1. Créez un fichier texte brut nommé IsolatedSubnets.txt.
  2. Saisissez les sous-réseaux et les commentaires facultatifs que vous avez saisis pour le Tanium Server dans IsolatedSubnets.txt. Utilisez le formatage décrit dans Ajouter des sous-réseaux.
  3. Déplacez IsolatedSubnets.txt vers le répertoire d’installation de chaque serveur Zone Server (le répertoire d’installation par défaut est \Program Files (x86)\Tanium\Tanium Zone Server). Si nécessaire, vous pouvez modifier le contenu du fichier pour chaque Zone Server qui nécessite une configuration unique.

Si vous supprimez IsolatedSubnets.txt du Zone Server, il revient à l’utilisation des sous-réseaux isolés qui sont configurés sur les Tanium Servers.

Isoler les clients sur des sous-réseaux spécifiques avec une infrastructure Tanium Appliance

  1. Sur l’appliance Zone Server, connectez-vous à la console TanOS en tant qu’utilisateur avec le rôle tanadmin.
  2. Dans le menu tanadmin, entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium). FerméAfficher l’écran
  3. Entrez 2 pour accéder au menu Configuration Settings (Paramètres de configuration). FerméAfficher l’écran
  4. Entrez 11 pour modifier le fichier IsolatedSubnets.txt. FerméAfficher l’écran
  5. Utilisez le menu pour spécifier les sous-réseaux au format CIDR.

Configurer les sous-réseaux intentionnels

Vue d’ensemble des sous-réseaux intentionnels

Dans une configuration réseau qui utilise la traduction d’adresses réseau (NAT), les adresses IP locales des Tanium Clients dans le même réseau local (sous-réseau) sont mappées à différentes adresses IP NAT pour la communication avec Cloud Taniumle Tanium Server ou le Tanium Zone Server. Les paramètres de peering Tanium par défaut permettent aux clients de ce sous-réseau d’être peers les uns avec les autres uniquement s’ils partagent la même adresse IP NAT. Si des clients du même sous-réseau sont attribués à différentes adresses IP NAT, ils peuvent être peers les uns avec les autres uniquement si vous les attribuez à un site de sous-réseau intentionnel qui spécifie la plage complète d’adresses IP NAT pour ce sous-réseau. Sans sous-réseau intentionnel, chaque client avec une adresse IP NAT différente établit une connexion de leader Cloud Taniumau serveur. Le trafic réseau est plus élevé dans le cadre d’un déploiement avec plusieurs connexions de leader, en particulier lorsque les clients téléchargent des fichiers de package pour exécuter des actions. Par conséquent, la configuration de sous-réseaux intentionnels peut augmenter le peering et réduire le trafic, en particulier dans le cadre de déploiements où de nombreux clients utilisent NAT lors de connexion Cloud Taniumau serveur sur Internet.

Les sous-réseaux intentionnels nécessitent Tanium Core Platform 7.5.3 ou version ultérieure et Tanium Client 7.4.7.1130 ou version ultérieure.

Tanium Core Platform 7.3 ou version ultérieure prend en charge les sous-réseaux IPv6, tels que : 2001:db8::/32. Pour plus de détails, contactez l’assistance Tanium.

Le tableau suivant présente des exemples de Tanium Clients qui nécessitent ou non des sous-réseaux intentionnels pour permettre le peering. Les adresses IP d’exemple sont répertoriées telles qu’elles apparaîtraient sur la page Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client), où la colonne Network Location (from client) (Emplacement du réseau (depuis le client)) affiche les adresses IP pré-NAT et où la colonne Network Location (from server) (Emplacement du réseau (depuis le serveur)) affiche les adresses IP NAT. Dans cet exemple, le paramètre de plateforme AddressMask (MasqueAdresse) spécifie un masque de sous-réseau /24, qui est la plage de peering par défaut (reportez-vous au Guide d’utilisation de Tanium Client Management : Vue d’ensemble des paramètres de peering du Tanium Client).

Tableau 1 : Exemple d’exigences de peering du Tanium Client
Tanium Client Emplacement du réseau (depuis le client) Emplacement du réseau (depuis le serveur) Sous-réseau intentionnel requis pour le peering ?
TC‑UK‑1 31.0.0.11 31.0.0.11 Non : Les clients n’utilisent pas NAT. Par conséquent, même si leurs adresses IP diffèrent, le peering entre elles est possible parce qu’elles se trouvent sur le même sous-réseau dans la plage de peering par défaut (AddressMask (MasqueAdresse) = /24).
TC‑UK‑2 31,0.0.12 31,0.0.12
TC‑US‑1 172.16.0.11 14.0.0.11 Non : Le peering des clients est possible car ils utilisent la même adresse NAT.
TC‑US‑2 172.16.0.12 14.0.0.11
TC‑HQ‑1 10.0.0.11 98.0.0.1 Oui : Les clients sont sur le même sous-réseau dans la plage de peering par défaut, mais le paramètre AddressMask (MasqueAdresse) ne s’applique pas, car leurs adresses IP NAT diffèrent. Sans sous-réseau intentionnel, Cloud Taniumle Tanium Server interprète les différentes adresses IP NAT comme une indication que les clients se trouvent sur des sous-réseaux différents et cela empêche donc le peering.
TC‑HQ‑2 10.0.0.12 98.0.0.2

Avant de commencer

Cloud Tanium Le Tanium Server identifie chaque sous-réseau intentionnel par le nom que vous spécifiez dans Site (Site) et permet le peering entre tous les Tanium Clients qui se trouvent sur les sous-réseaux que vous ajoutez à ce Site (Site). Pour déterminer les noms de Site (Site) et les valeurs CIDR de sous-réseau appropriés :

  1. Dans le menu principal, allez dans Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client) et identifiez les endpoints qui se trouvent sur le même sous-réseau [en fonction de leur valeur dans Network Location (from client) (Emplacement du réseau (depuis le client)] mais dont le peering ne s’effectue pas car leurs adresses IP NAT [Network Location (from server) (Emplacement du réseau (depuis le serveur)] diffèrent.

    Cloud Tanium Le Tanium Server considère que les adresses IP pré-NAT se trouvent sur le même sous-réseau en fonction du paramètre AddressMask (MasqueAdresse) (IPv4) ou AddressPrefixIPv6 (PréfixeAdresseIPv6).

  2. Choisissez les noms de Site (Site) appropriés pour les endpoints que vous avez identifiés. Par exemple, vous pouvez avoir un site SiègeSocial pour les endpoints sur le sous-réseau du siège social et un site AMN pour les endpoints sur le sous-réseau d’une filiale en Amérique du Nord.

  3. Faites l’inventaire des adresses IP NAT de chaque site pour déterminer les valeurs CIDR de sous-réseau appropriées à saisir. La best practice consiste à saisir les plus petites plages de sous-réseaux possibles qui incluent les endpoints identifiés, tout en permettant des modifications potentielles de leurs adresses IP NAT. Par exemple, pour les clients TC-HQ-1 (98.0.0.1) et TC-HQ-2 (98.0.0.2) dans le Tableau 1, vous pouvez configurer un Site (Site) nommé SiègeSocial avec l’un des sous-réseaux suivants, qui sont répertoriés par ordre décroissant en termes de taille de leur plage d’adresses IP :

    • 98.0.0.0/24 : le peering est autorisé pour tous les Tanium Clients avec des adresses IP NAT comprises entre 98.0.0.0 et 98.0.0.255. Si les clients TC-HQ-1 et TC-HQ-2 sont attribués à de nouvelles adresses IP NAT dans cette plage, leur peering est toujours possible.

    • 98.0.0.0/30 : le peering est autorisé pour tous les Tanium Clients avec des adresses IP NAT comprises entre 98.0.0.0 et 98.0.0.3. Si l’adresse IP NAT du client TC-HQ-1 devient 98.0.0.3 et que le client TC-HQ-2 conserve l’adresse 98.0.0.2, leur peering est toujours possible. Cependant, si le client TC-HQ-1 passe à l’adresse 98.0.0.4, son peering avec le client TC-HQ-2 n’est plus possible.

    • 98.0.0.1/32 et 98.0.0.2/32 : le peering est autorisé uniquement pour les Tanium Clients avec les adresses IP NAT 98.0.0.1 et 98.0.0.2. Le peering des clients TC-HQ-1 et TC-HQ-2 n’est pas possible si leurs adresses IP NAT changent.

Après avoir configuré des sous-réseaux intentionnels, il faut deux à six heures aux Tanium Clients (l’intervalle de réinitialisation d’inscription randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration.

Les configurations de sous-réseaux intentionnels sont toujours synchronisées sur tous les Zone Servers et Tanium Servers.

Ajouter des sous-réseaux

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Dans la section Intentional Subnets (Sous-réseaux intentionnels), cliquez sur New Subnets (Nouveaux sous-réseaux).
  3. Saisissez un nom pour identifier le Site (Site) qui comprend les sous-réseaux intentionnels.
  4. (Facultatif) Saisissez un commentaire pour aider les autres utilisateurs à comprendre la fonction du sous-réseau dans votre organisation.
  5. Dans le champ New subnet CIDRs (Nouveaux CIDR de sous-réseau), saisissez chaque sous-réseau au format CIDR en utilisant des lignes séparées ou des virgules comme délimiteurs.

    Voir l’exemple suivant :

    192.168.0.0/26
    192.168.2.0/26
    2001:db8::/32

  6. Cliquez sur Save (Enregistrer).

Modifier les sous-réseaux

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
  2. Sélectionnez l’un des Intentional Subnets (Sous-réseaux intentionnels) et cliquez sur Edit (Modifier).
  3. Modifiez le sous-réseau (CIDR (CIDR)) et Comment (Commentaire), puis cliquez sur Save (Enregistrer).

Vérifier les sous-réseaux intentionnels

Après avoir configuré des sous-réseaux intentionnels, attendez l’intervalle de réinitialisation de l’inscription du client suivant avant de vérifier que les sous-réseaux fonctionnent comme prévu. Reportez-vous à la section Vérifier ou corriger les connexions de peering et de leadership du Tanium Client. Dans la page Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client), la colonne Network Location (from client) (Emplacement du réseau (depuis le client)) affiche les adresses IP pré-NAT et la colonne Network Location (from server) (Emplacement du réseau (depuis le serveur)) affiche les adresses IP NAT.