Configuration des sous-réseaux des clients Tanium

Des sous-réseaux séparés et des sous-réseaux isolés permettent de modifier le comportement de peering par défaut des clients Tanium. Les paramètres de peering par défaut définissent les limites des sous-réseaux client dans l’architecture de chaîne linéaire Tanium™. Avant de configurer des sous-réseaux séparés ou isolés, assurez-vous que vous comprenez le comportement que les paramètres par défaut définissent et l’impact de vos modifications : reportez-vous à la section Guide d’utilisation de Tanium Client Management : configuration du peering des Tanium Clients.

Pour connaître les permissions à avoir pour pouvoir afficher et gérer les configurations de sous-réseau de Tanium Client, reportez-vous à la section Configurer les sous-réseaux du Tanium Client .

Dans la version 7.4.3 ou ultérieure de Tanium Core Platform, les serveurs Tanium écrivent des configurations de sous-réseau dans la base de données Tanium et les synchronisent automatiquement dans le cadre d’un déploiement actif-actif. Sur les Zone Servers, vous devez configurer et gérer manuellement un fichier SeparatedSubnets.txt et un fichier IsolatedSubnets.txt.

Dans la plupart des environnements, les configurations de sous-réseaux séparés et isolés sont les mêmes pour tous les Zone Servers et serveurs Tanium. Gardez les configurations synchronisées entre les serveurs pour éviter toute confusion. Dans les environnements complexes avec des sous-réseaux se chevauchant, il se peut que vous deviez séparer les sous-réseaux différemment pour les Zone Servers. Dans de tels cas, modifiez la configuration de sous-réseaux sur chaque Zone Server exigeant une configuration unique.

La figure suivante illustre un déploiement avec où les Tanium Clients internes se connectent aux serveurs Tanium dans le cadre d’un déploiement actif-actif et les clients externes se connectent au Zone Server. Cet exemple montre des sous-réseaux séparés et des sous-réseaux isolés au sein des chaînes linéaires que les paramètres de peering par défaut définissent.

La figure suivante montre la base de données Tanium sur un hôte dédié dans le cadre d’un déploiement Windows. Toutefois, dans le cadre d’un déploiement d’appliance Tanium, la base de données est sur le même hôte que les serveurs Tanium.

Configurer des sous-réseaux séparés

Les Tanium Clients sur un sous-réseau séparé peuvent uniquement effectuer un peering avec d’autres clients qui se trouvent sur ce même sous-réseau. Configurez des sous-réseaux séparés pour spécifier des exceptions plus granulaires pour le peering du Tanium Client que les limites de sous-réseau /24 par défaut que les paramètres de masque d’adresse ou de préfixe définissent (reportez-vous à la section Guide d’utilisation pour la gestion du Tanium Client : paramètres de masque d’adresse et de préfixe). Les clients utilisent la configuration des sous-réseaux séparés pour s’apparier (peer) en fonction de leur connexion au serveur Tanium ou au Zone Server. Chaque serveur utilise cette configuration pour gérer les peer lists pour les clients qui s’enregistrent par ce biais. Après avoir configuré des sous-réseaux séparés, vous n’avez pas besoin de redémarrer les serveurs.

Après avoir configuré des sous-réseaux séparés, il faut deux à six heures aux Tanium Clients (l’intervalle de réinitialisation de client randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration. Pour vérifier que les sous-réseaux séparés fonctionnent comme prévu après l’enregistrement des clients, reportez-vous au Guide d’utilisation pour la gestion du Tanium Client : vérifier les connexions de leader et le peering Tanium Client.

Configurer les sous-réseaux séparés sur le serveur Tanium

Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
Dans la section Separated Subnets (Sous-réseaux séparés), cliquez sur New Subnets (Nouveaux sous-réseaux).
Entrez chaque sous-réseau séparé au format CIDR (tel que 192.168.2.0/26), avec une ligne par entrée. Utilisez le caractère ; ou # avant tout commentaire facultatif.
Tanium Core Platform 7.3 ou une version ultérieure prend en charge les sous-réseaux IPv6 (pour plus de détails, contactez l’assistance Tanium en envoyant un e-mail à [email protected]). Vous devez entrer les sous-réseaux IPv6 entre crochets suivis du préfixe (par ex. : [2001:db8::]/32).
Voir l’exemple suivant :
192.168.0.0/26 #Il s’agit d’un sous-réseau de centre de données.
192.168.2.0/26 ; il s’agit d’un sous-réseau de filiale.
[2001:db8::]/32
Si un déploiement inclut des Zone Servers, copiez les entrées du champ de texte dans le presse-papiers pour les utiliser lorsque vous configurez des sous-réseaux séparés sur un Zone Server.
Cliquez sur Save (Enregistrer).

Configurer les sous-réseaux séparés sur un Zone Server

Si un déploiement inclut des Zone Servers, effectuez les étapes suivantes en fonction de votre infrastructure Tanium pour ajouter une configuration de sous-réseaux séparés à chaque serveur.

Infrastructure Windows

Créez un fichier texte brut nommé SeparatedSubnets.txt.
Copiez et collez les informations des sous-réseaux séparés que vous avez saisies pour le serveur Tanium dans SeparatedSubnets.txt.
Si vous n’avez pas déjà copié les informations dans le presse-papiers, accédez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux), sélectionnez la configuration des sous-réseaux séparés, cliquez sur Edit (Modifier) et copiez les entrées du champ de texte.
Déplacez SeparatedSubnets.txt vers le répertoire d’installation de chaque Zone Server (le répertoire d’installation par défaut est \Program Files (x86)\Tanium\Tanium Zone Server). Si nécessaire, vous pouvez modifier le contenu du fichier pour chaque Zone Server qui nécessite une configuration unique.

Infrastructure de Tanium Appliance

Sur l’appliance Zone Server, connectez-vous à la console TanOS en tant qu’utilisateur avec le rôle tanadmin.

Dans le menu tanadmin, entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).

Afficher l’écran

------------------------------------------------------

             >>> Tanium Operations Menu <<< 

         1: Tanium Service Control
         2: Tanium Configuration Settings
         4: Install Custom SOAP Cert
         5: Manage Custom Signing Keys
         6: Download Public Key
         7: Download SOAP Certificate
         9: Import CAC Certificate

         A: Configure Remote Module Server
         B: Configure Tanium Cluster
         C: Manage Content
         M: Module Operations

         I: Import public key to Tanium Zone Server

         X: Advanced Operations

         H: Help
         R: Return to previous menu

------------------------------------------------------

Entrez 2 pour accéder au menu Configuration Settings (Paramètres de configuration).

Afficher l’écran

------------------------------------------------------

 >>> Tanium Operations -> Configuration Settings <<< 

Note: Some settings may require a service restart to take effect.

          1: Edit Tanium Server Settings
          2: Edit Tanium Server TDL Settings
          3: Add Tanium Server TDL Auth User
          4: Add Tanium Server TDL Auth Cert

          5: Edit Tanium Module Server Settings
          6: Edit Tanium Module Server TDL Settings
          7: Add Tanium Module Server TDL Auth User
          8: Add Tanium Module Server TDL Auth Cert

          9: Edit Tanium Zone Server Settings
          11: Edit isolated subnets list
          12: Edit separated subnets list

          13: Control Root CA Certs

          H: Help
          R: Return to previous menu

------------------------------------------------------

Entrez 12 pour modifier le fichier SeparatedSubnets.txt.

Afficher l’écran

>>> Tanium TanOS -> Tools (Outils) -> Edit Files (Modifier les fichiers) -> SeparatedSubnets.txt <<< 

          # : contenu de ligne

          1 : 192.168.1.0/24

          A : pour ajouter une ligne

          R : pour revenir au menu précédent

------------------------------------------------------

Utilisez le menu pour spécifier les sous-réseaux au format CIDR.

Configurer des sous-réseaux isolés

Configurez des sous-réseaux isolés pour désactiver le peering client pour une liste spécifiée d’adresses IP de sous-réseau et de endpoint. Si l’adresse IP d’un Tanium Client se trouve sur un sous-réseau isolé, le serveur Tanium ou le Zone Server TaaS envoie à ce client une peer list vide pour empêcher le client de participer au peering.

Après avoir configuré des sous-réseaux isolés, vous n’avez pas besoin de redémarrer les serveurs Tanium ou les Zone Servers. Les Tanium Clients prennent deux à six heures (l’intervalle de réinitialisation du client randomisé) pour terminer l’application de toutes les modifications associées à la nouvelle configuration. Pour vérifier que les sous-réseaux isolés fonctionnent comme prévu après l’enregistrement des clients, reportez-vous au Guide d’utilisation pour la gestion du Tanium Client : vérifier les connexions de leader et le peering Tanium Client.

Configurez des sous-réseaux isolés pour les Tanium Clients qui sont dans des VPN. Les clients VPN ont des adresses IP locales dans un bloc d’adresses VPN spécial, mais leurs endpoints d’hôte ne sont en fait pas proches les uns des autres. Les clients VPN utiliseraient des liaisons WAN pour le peering et la latence serait nettement plus importante que pour les connexions client-serveur.

Dans d’autres cas, vous pouvez trouver pratique d’utiliser des sous-réseaux isolés pour désactiver le peering, par exemple pour tester ou déboguer le peering lorsque vous devez résoudre des problèmes de réseau. Notez que la désactivation du peering fait que les Tanium Clients consomment plus de ressources réseau en termes de bande passante et de connexions client-serveur sur le WAN. Pour le dépannage des cas, après avoir résolu les problèmes réseau, la meilleure pratique consiste à supprimer les clients de la configuration des sous-réseaux isolés afin qu’ils reprennent le peering.

Configurer les sous-réseaux isolés sur le serveur Tanium

Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).
Dans la section Isolated Subnets (Sous-réseaux isolés), cliquez sur New Subnets (Nouveaux sous-réseaux).
Entrez chaque sous-réseau isolé au format CIDR (tel que 192.168.2.0/26), avec une ligne par entrée. Utilisez le caractère ; ou # avant tout commentaire facultatif.
Tanium Core Platform 7.3 ou une version ultérieure prend en charge les sous-réseaux IPv6 (contactez l’assistance Tanium en envoyant un e-mail à [email protected]). Vous devez entrer les sous-réseaux IPv6 entre crochets suivis du préfixe (par ex. [2001:db8::]/32).
Voir l’exemple suivant :
192.168.0.0/26 #Il s’agit d’un sous-réseau de centre de données.
192.168.2.0/26 ; il s’agit d’un sous-réseau de filiale.
[2001:db8::]/32
Si le déploiement inclut des Zone Servers, copiez les entrées du champ de texte dans le presse-papiers pour les utiliser lorsque vous configurez des sous-réseaux isolés sur un Zone Server.
Cliquez sur Save (Enregistrer).

Configurer les sous-réseaux isolés sur un Zone Server

Si le déploiement inclut des Zone Servers, exécutez l’une des procédures suivantes, selon que vous souhaitez isoler tous les clients ou les clients sur des sous-réseaux spécifiques, et votre infrastructure Tanium.

Le Zone Server applique la règle la plus restrictive pour déterminer le sous-réseau d’un client. Si vous configurez le paramètre zs_address_mask ou AddressMask pour isoler les clients, ce paramètre remplace toute isolation basée sur un sous-réseau qui est configurée dans un fichier IsolatedSubnets.txt.

Isoler tous les clients connectés à n’importe quel Zone Server

Définissez le paramètre global zs_address_mask sur le serveur Tanium (Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux)) 4294967295, qui spécifie /32 limites de sous-réseau (hôtes uniques) pour tous les Zone Servers.

Pour plus d’informations, voir Guide d’utilisation de Tanium Client Management : Paramètres du masque d’adresse et du préfixe.

Isoler tous les clients connectés à un Zone Server particulier

Connectez-vous à l’hôte du Zone server en tant qu’utilisateur administrateur.
Accéder à la CLI (voir Guide de référence du déploiement de Tanium Core Platform : CLI].
Accédez au dossier d’installation de Zone Server :

> cd <Zone Server>
Configurez le paramètre local AddressMask pour spécifier /32 limites de sous-réseau (hôtes uniques) :

> TaniumZoneServer config set AddressMask 4294967295

Pour plus d’informations, voir Guide d’utilisation de Tanium Client Management : Paramètres du masque d’adresse et du préfixe.

Isoler les clients sur des sous-réseaux spécifiques avec une infrastructure Windows

Créez un fichier texte brut nommé IsolatedSubnets.txt.
Copiez et collez les informations des sous-réseaux isolés que vous avez saisies pour le serveur Tanium dans IsolatedSubnets.txt.
Si vous n’avez pas déjà copié les informations dans le presse-papiers, accédez à Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux), sélectionnez la configuration des sous-réseaux isolés, cliquez sur Edit (Modifier) et copiez les entrées du champ de texte.
Déplacez IsolatedSubnets.txt vers le répertoire d’installation de chaque serveur Zone Server (le répertoire d’installation par défaut est \Program Files (x86)\Tanium\Tanium Zone Server). Si nécessaire, vous pouvez modifier le contenu du fichier pour chaque Zone Server qui nécessite une configuration unique.

Isoler les clients sur des sous-réseaux spécifiques avec une infrastructure Tanium Appliance

Sur l’appliance Zone Server, connectez-vous à la console TanOS en tant qu’utilisateur avec le rôle tanadmin.

Dans le menu tanadmin, entrez 2 pour accéder au menu Tanium Operations (Opérations Tanium).

Afficher l’écran

------------------------------------------------------

             >>> Tanium Operations Menu <<< 

         1: Tanium Service Control
         2: Tanium Configuration Settings
         4: Install Custom SOAP Cert
         5: Manage Custom Signing Keys
         6: Download Public Key
         7: Download SOAP Certificate
         9: Import CAC Certificate

         A: Configure Remote Module Server
         B: Configure Tanium Cluster
         C: Manage Content
         M: Module Operations

         I: Import public key to Tanium Zone Server

         X: Advanced Operations

         H: Help
         R: Return to previous menu

------------------------------------------------------

Entrez 2 pour accéder au menu Configuration Settings (Paramètres de configuration).

Afficher l’écran

------------------------------------------------------

 >>> Tanium Operations -> Configuration Settings <<< 

Note: Some settings may require a service restart to take effect.

          1: Edit Tanium Server Settings
          2: Edit Tanium Server TDL Settings
          3: Add Tanium Server TDL Auth User
          4: Add Tanium Server TDL Auth Cert

          5: Edit Tanium Module Server Settings
          6: Edit Tanium Module Server TDL Settings
          7: Add Tanium Module Server TDL Auth User
          8: Add Tanium Module Server TDL Auth Cert

          9: Edit Tanium Zone Server Settings
          11: Edit isolated subnets list
          12: Edit separated subnets list

          13: Control Root CA Certs

          H: Help
          R: Return to previous menu

------------------------------------------------------

Entrez 11 pour modifier le fichier IsolatedSubnets.txt.

Afficher l’écran

>>> Tanium TanOS -> Tools -> Edit Files -> IsolatedSubnets.txt <<< 

          #: Line Content

          1: 192.168.1.0/24

          A: Add a line

          R: Return to previous menu

------------------------------------------------------

Utilisez le menu pour spécifier les sous-réseaux au format CIDR.