Configuration des paramètres de serveur proxy

Les déploiements Cloud Tanium incluent un serveur proxy spécifique au client qui autorise les destinations qui sont requises pour assurer le bon fonctionnement des solutions Tanium. Pour ajouter des destinations autorisées, reportez-vous au Guide de déploiement de Tanium Cloud : Configurer des règles de liste d’autorisations de sortie du réseau sur le CMP.

Présentation des serveurs proxy

Certaines organisations utilisent des serveurs proxy pour le trafic entre les serveurs internes et Internet. Si votre organisation utilise des serveurs proxy et que sa politique de sécurité ne permet pas aux Tanium Servers Core Platform d’accéder directement aux sites Internet, configurez l’accès via les serveurs proxy. Le Tanium Server et le Tanium Module Server se connectent à Internet pour télécharger du contenu et des mises à jour logicielles de module depuis Tanium, et pour télécharger les fichiers nécessaires à partir d’autres sources distantes. Les modules de solution individuels peuvent également avoir des exigences pour accéder à Internet.

Pour configurer Tanium Client version 7.4 ou ultérieure de se connecter via un serveur proxy HTTPS (Hypertext Transfer Protocol Secure) au Tanium Server ou Tanium Zone Server, reportez-vous au Guide d’utilisation de Tanium Client Management : Se connecter via un serveur proxy HTTPS.

Seuls les utilisateurs ayant le rôle réservé Administrator (Administrateur) peuvent voir et utiliser la page Administration (Administration) > Configuration (Configuration) > Proxy Settings (Paramètres proxy).

Pour consulter une liste des sites externes auxquels les Tanium Servers Core Platform accèdent, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : URL Internet requises.

Une source distante peut avoir ses propres exigences, telles que l’authentification de certificat ou l’authentification utilisateur. Voir Gérez l’authentification des téléchargements.

Figure 1 : Déploiement Tanium avec serveur proxy

Types de serveurs proxy

La plateforme Tanium Core prend en charge deux types de proxies :

  • Basique : un serveur proxy strictement basé sur l’adresse IP permet à une liste de serveurs spécifiée de traverser le proxy et d’accéder au réseau ou à Internet. Ajoutez les adresses IP ou les noms de domaine complets du Cloud Tanium Tanium Server et du Module Server à la liste d’accès du serveur proxy. Si le serveur proxy requiert une authentification, configurez l’ID de compte et le mot de passe.
  • NTLM : si le serveur proxy est configuré pour utiliser Microsoft NT LAN Manager (NTLM) et que vous avez configuré le service Cloud TaniumTanium Server pour une exécution dans le cadre d’un compte de service disposant de permissions suffisantes pour traverser le serveur proxy, vous n’avez pas à configurer l’ID de compte et le mot de passe.

Configurer les paramètres du serveur proxy

Dans la plupart des cas, la meilleure pratique consiste à utiliser la Tanium Console pour configurer les paramètres proxy. Cependant, si vous devez configurer les paramètres de proxy avant d’avoir accès à la Tanium Console, vous pouvez configurer les paramètres proxy sur l’hôte du Tanium Server ou du serveur de module, comme décrit dans le Guide de référence du déploiement Tanium Core Platform : Paramètres du serveur proxy.

La configuration du serveur proxy est stockée dans les fichiers de configuration sur l’hôte du Tanium Server. Les Tanium Servers ne synchronisent pas automatiquement les fichiers de configuration dans un déploiement actif/actif. Si vous modifiez ces paramètres, assurez-vous d’effectuer la procédure sur les deux Tanium Servers du cluster actif/actif.

  1. Dans le menu principal, allez dans Administration (Administration) > Configuration (Configuration) > Proxy Settings (Paramètres proxy).
  2. Configurez les Tanium Server Proxy Settings (Paramètres proxy du Tanium Server) suivants et cliquez sur Save (Enregistrer).
    3. Configuration Description
    Type de proxy Sélectionnez le type de proxy :
    • None (Aucun) (désactive les paramètres du serveur proxy)
    • Basique
    • NTLM
    Serveur proxy Adresse IP du serveur proxy.
    Numéro de port Numéro de port du serveur proxy.
    ID utilisateur proxy Nom d’utilisateur du compte pour établir la connexion avec le serveur proxy. Ce champ est obligatoire si le type de proxy est Basic (Basique). Les serveurs NTLM utilisent les informations d’identification du contexte utilisateur qui exécute le service du Tanium Server.
    Mot de passe proxy Mot de passe pour établir la connexion avec le serveur proxy. Le mot de passe est stocké en texte simple dans le registre.
    Contourner la liste d’hôtes proxy Si vous configurez un serveur proxy, vous devrez peut-être configurer des exceptions, afin que les connexions aux hôtes spécifiés ne traversent pas le serveur proxy. Saisissez les hôtes sous forme de liste séparée par des virgules de FQDN ou d’adresses IP. Vous n’avez pas besoin de saisir 127.0.0.1, localhost ou le Tanium Module Server, mais saisissez les Tanium Servers actifs/actifs si nécessaire. Toutes les versions prises en charge de Tanium Core Platform autorisent les caractères génériques.
    Contourner la liste d’hôtes de vérification CRL Utilisez ce paramètre pour répertorier les serveurs que le Tanium Server peut approuver sans vérifier la liste CRL (liste de révocation de certificats). À moins qu’un serveur ne soit spécifié dans cette liste, le Tanium Server effectue la vérification de la CRL et ne télécharge pas les fichiers d’un serveur qui échoue.
    Liste d’hôtes approuvés

    Par défaut, le Tanium Server valide le certificat SSL/TLS des serveurs distants lors de l’établissement des connexions à ceux-ci, par ex. pour télécharger des fichiers. Pour contourner la validation du certificat pour des serveurs spécifiques, saisissez leur adresse FQDN ou IP. Vous n’avez pas besoin de saisir 127.0.0.1, localhost ou le Tanium Module Server, ou des Tanium Servers (autonomes ou actifs-actifs). Toutes les versions prises en charge de Tanium Core Platform autorisent les caractères génériques. Vous devez saisir les adresses IPv6 entre crochets (par exemple, [2001:db8::1]).

    Contactez l’assistance Tanium avant de modifier ce paramètre.
    Mirror all changes to Module Server except Trusted Host List and Bypass CRL Check Host List (Reproduire toutes les modifications apportées au serveur de module à l’exception de la liste des hôtes approuvés et de la liste des hôtes de contrôle de contournement CRL) Cette option apparaît uniquement si le serveur de module se trouve sur un hôte dédié qui n’est pas partagé avec le Tanium Server. Activez l’option si vous souhaitez copier les valeurs des paramètres de proxy du Tanium Server vers Module Server Proxy Settings (Paramètres proxy du serveur de module). Les seules valeurs non copiées sont Bypass CRL Check Host List (Contourner la liste d’hôtes de vérification CRL) et Trusted Host List (Liste des hôtes approuvés).
  3. Configurez les Module Server Proxy Settings (Paramètres proxy du serveur du module) et cliquez sur Save (Enregistrer).
  4. Testez les paramètres en configurant les champs Validate Proxy Settings (Valider les paramètres de proxy) et cliquez sur Start Download (Démarrer le téléchargement).
    ConfigurationDescription
    ComposantTanium Server ou Serveur du module.
    Source du fichier
    • Depuis Tanium — Utilisez les paramètres prédéfinis pour une connexion à content.tanium.com.
    • Depuis un site aléatoire — Utilisez les paramètres prédéfinis pour une connexion à www.msftncsi.com.
    • Spécifier URL/Hash — Configurez vos propres paramètres de test.
    URLSi vous avez sélectionné Specify URL/Hash (Spécifier URL/Hash), spécifiez l’URL.
    HashSi vous avez sélectionné Specify URL/Hash (Spécifier URL/Hash), spécifiez le hash.
    Durée de téléchargementSi vous sélectionnez Specify URL/Hash (Spécifier URL/Hash), spécifiez un temps de téléchargement maximum avant le renvoi d’un message d’échec.

    La Tanium Console renvoie un message de réussite ou d’échec. Si le test échoue, vérifiez que le serveur proxy est opérationnel et configuré comme prévu. Vérifiez également que les paramètres de la Tanium Console que vous avez spécifiés correspondent aux paramètres que le serveur proxy attend. Le journal du téléchargeur Tanium inclut des messages d’événements détaillés. Voir Guide de référence du déploiement de Tanium Core Platform : Journaux du téléchargeur Tanium.

  5. Activez le paramètre global authenticate_api_token_with_x_forwarded_for_ip uniquement si tous les accès par jetons d’API au Tanium Server doivent passer par un serveur proxy inversé. Si le paramètre est désactivé dans le cadre de tels déploiements, vous ne pouvez pas restreindre les systèmes qui se sont vus autoriser un accès par jeton.

    1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
    2. Dans la colonne Name (Nom), cliquez sur authenticate_api_token_with_x_forwarded_for_ip.
    3. Réglez la valeur sur 1 et cliquez sur Save (Enregistrer).

    6. Pour configurer les systèmes qui ont un accès par jeton API au Tanium Server, reportez-vous à la section Permettre aux systèmes d’utiliser des jetons d’API.

  6. Si le serveur proxy possède une adresse IPv6, configurez le paramètre ForceIPV6.

    Contactez l’assistance Tanium pour obtenir des conseils avant de configurer ce paramètre.

    1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
    2. Cliquez sur Add Setting (Ajouter un paramètre), spécifiez les valeurs suivantes et cliquez sur Save (Enregistrer) :

      • Setting Type (Type de paramètre) : serveur

      • Value Type (Type de valeur) : Numeric (Numérique)
      • Value (Valeur)1