Configuration des paramètres de serveur proxy

Les déploiements Tanium en tant que service incluent un serveur proxy spécifique au client qui permet aux destinations requises pour les modules Tanium de fonctionner. Contacter l’assistance Tanium pour demander des destinations autorisées supplémentaires.

Certaines organisations utilisent des serveurs proxy pour le trafic entre les serveurs internes et Internet. Si votre organisation utilise des serveurs proxy et que sa politique de sécurité ne permet pas aux serveurs Tanium Core Platform d’accéder directement aux sites Internet, vous pouvez configurer l’accès via les proxies. Le serveur Tanium se connecte à Internet pour télécharger les mises à jour du contenu Tanium et les fichiers nécessaires auprès d’autres fournisseurs de confiance. Le serveur de module Tanium se connecte à Internet pour télécharger les mises à jour logicielles du module de solution depuis Tanium. Les modules de solution individuels peuvent également avoir des exigences pour accéder à Internet.

Pour configurer Tanium Client version 7.4 ou ultérieure de se connecter via un serveur proxy HTTPS (Hypertext Transfer Protocol Secure) au serveur Tanium ou Tanium Zone Server, reportez-vous au Guide d’utilisation de Tanium Client Management : Se connecter via un serveur proxy HTTPS.

Seuls les utilisateurs avec le rôle réservé Administrateur peuvent voir et utiliser la page Configuration (Configuration) > Common (Commune) > Proxy Settings (Paramètres proxy).

Pour consulter une liste des sites externes auxquels les serveurs Tanium Core Platform accèdent, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : URL Internet requises.

Un serveur de destination peut avoir ses propres exigences, telles que l’authentification de certificat ou l’authentification utilisateur. Pour plus d’informations sur la configuration des options avancées pour ces exigences, reportez-vous à la section Assistance Tanium KB: téléchargeur Tanium.

F : Figure 1 :  Déploiement Tanium avec serveur proxy

Types de serveurs proxy

La plateforme Tanium Core prend en charge deux types de proxies :

  • Basique : Un serveur proxy strictement basé sur l’adresse IP permet à une liste de serveurs spécifiée de traverser le proxy et d’accéder au réseau ou à Internet. Ajoutez les adresses IP ou les noms de domaine complets du TaaS serveur Tanium et du serveur du module à la liste d’accès du serveur proxy. Si le serveur proxy requiert une authentification, configurez l’ID de compte et le mot de passe.
  • NTLM : Si le serveur proxy est configuré pour utiliser Microsoft NT LAN Manager (NTLM) et que vous avez configuré le service TaaSde serveur Tanium pour une exécution dans le cadre d’un compte de service disposant de permissions suffisantes pour traverser le serveur proxy, vous n’avez pas à configurer l’ID de compte et le mot de passe.

Configurer les paramètres du serveur proxy

Dans la plupart des cas, la meilleure pratique consiste à utiliser la console Tanium pour configurer les paramètres proxy. Cependant, si vous devez configurer les paramètres de proxy avant d’avoir accès à la console Tanium, vous pouvez configurer les paramètres proxy sur l’hôte du serveur Tanium ou du serveur de module, comme décrit dans le Guide de référence du déploiement Tanium Core Platform : Paramètres du serveur proxy.

La configuration du serveur proxy est stockée dans les fichiers de configuration sur l’hôte du serveur Tanium. Les serveurs Tanium ne synchronisent pas automatiquement les fichiers de configuration dans un déploiement actif/actif. Si vous modifiez ces paramètres, assurez-vous d’effectuer la procédure sur les deux serveurs Tanium du cluster actif/actif.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Common (Commun) > Proxy Settings (Paramètres proxy).
  2. Configurez les Tanium Server Proxy Settings (Paramètres proxy du serveur Tanium) suivants et cliquez sur Save (Enregistrer).
  3. Configuration Description
    Serveur proxy Adresse IP du serveur proxy.
    ID utilisateur proxy Nom d’utilisateur du compte pour établir la connexion avec le serveur proxy. Ce champ est obligatoire si le type de proxy est Basic (Basique). Les serveurs NTLM utilisent les informations d’identification du contexte utilisateur qui exécute le service du serveur Tanium.
    Type de proxy Sélectionnez le type de proxy :
    • None (Aucun) (désactive les paramètres du serveur proxy)
    • Basic (Basique)
    • NTLM (NTLM)
    Numéro de port Numéro de port du serveur proxy.
    Mot de passe proxy Mot de passe pour établir la connexion avec le serveur proxy. Le mot de passe est stocké en texte simple dans le registre.
    Contourner la liste d’hôtes proxy Si vous configurez un serveur proxy, vous devrez peut-être configurer des exceptions, afin que les connexions aux hôtes spécifiés ne traversent pas le serveur proxy.

    Par exemple, n’utilisez pas de serveur proxy pour le trafic entre serveurs Tanium dans un cluster actif/actif.

    Un serveur proxy peut causer des problèmes avec d’autres trafics vers un serveur Tanium de destination. Par exemple, une configuration de package peut spécifier des URL de fichier qui sont locales au serveur Tanium. Il est important de contourner le serveur proxy pour ces URI.

    Utilisez ce paramètre pour spécifier des destinations qui n’utilisent pas les serveurs proxy. Dans la plupart des cas, spécifiez localhost, 127.0.0.1 et tous les noms et adresses IP du serveur Tanium.

    Par exemple :

    ts1.example.com, ts2.example.com,localhost,127.0.0.1,10.10.10.11,10.10.10.15

    Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques.

    Contourner la liste d’hôtes de vérification CRL Utilisez ce paramètre pour répertorier les serveurs que le serveur Tanium peut approuver sans vérifier la liste CRL (liste de révocation de certificats). À moins qu’un serveur ne soit spécifié dans cette liste, le serveur Tanium effectue la vérification de la CRL et ne télécharge pas les fichiers d’un serveur qui échoue.
    Liste des hôtes approuvés Par défaut, le serveur Tanium valide le certificat SSL/TLS des serveurs distants lors de l’établissement des connexions à ceux-ci (par ex. pour télécharger des fichiers). Pour contourner la validation du certificat pour des serveurs spécifiques, saisissez leur adresse FQDN ou IP. Tanium Core Platform 7.0.314.6242 et ses versions ultérieures prennent en charge les caractères génériques. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).

    Dans un déploiement actif/actif, vous n’avez pas besoin d’ajouter les serveurs Tanium à la liste. Les serveurs s’approuvent automatiquement entre eux, ainsi que le trafic de 127.0.0.1 ou localhost.

    Contacter l’assistance Tanium avant de modifier ce paramètre.

    Mirror all changes to Module Server except Trusted Host List and Bypass CRL Check Host List (Reproduire toutes les modifications apportées au serveur de module à l’exception de la liste des hôtes approuvés et de la liste des hôtes de contrôle de contournement CRL) Cette option apparaît uniquement si le serveur de module se trouve sur un hôte dédié qui n’est pas partagé avec le serveur Tanium. Activez l’option si vous souhaitez copier les valeurs des paramètres de proxy du serveur Tanium vers Module Server Proxy Settings (Paramètres proxy du serveur de module). Les seules valeurs non copiées sont Bypass CRL Check Host List (Contourner la liste d’hôtes de vérification CRL) et Trusted Host List (Liste des hôtes approuvés).
  4. Configurez les Module Server Proxy Settings (Paramètres proxy du serveur du module) et cliquez sur Save (Enregistrer).
  5. Testez les paramètres en configurant les champs Validate Proxy Settings (Valider les paramètres de proxy) et cliquez sur Start Download (Démarrer le téléchargement).
    ConfigurationDescription
    ComposantServeur Tanium ou Serveur du module.
    Fichier source
    • Depuis Tanium — Utilisez les paramètres prédéfinis pour une connexion à content.tanium.com.
    • Depuis un site aléatoire — Utilisez les paramètres prédéfinis pour une connexion à www.msftncsi.com.
    • Spécifier URL/Hash — Configurez vos propres paramètres de test.
    URLSi vous avez sélectionné Specify URL/Hash (Spécifier URL/Hash), spécifiez l’URL.
    HashSi vous avez sélectionné Specify URL/Hash (Spécifier URL/Hash), spécifiez le hash.
    Durée de téléchargementSi vous sélectionnez Specify URL/Hash (Spécifier URL/Hash), spécifiez un temps de téléchargement maximum avant le renvoi d’un message d’échec.

    La console Tanium renvoie un message de réussite ou d’échec. Si le test échoue, vérifiez que le serveur proxy est opérationnel et configuré comme prévu. Vérifiez également que les paramètres de la console Tanium que vous avez spécifiés correspondent aux paramètres que le serveur proxy attend. Le journal du téléchargeur Tanium ont des messages d’événements détaillés (reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Journaux).