Loading...

FAQ sur Network Security Platform
Articles techniques ID:   KB75269
Date de la dernière modification :  03/08/2017
Noté :


Environnement

McAfee Network Security Platform (NSP) 8.x

Synthèse

Sommaire
Général Documentation du produit et rubriques diverses
Compatibilité Interaction entre les autres produits et logiciels
Installation/Mise à niveau Informations sur l'installation, la mise à niveau, la migration et la suppression
Configuration Inclut les meilleures pratiques, l'optimisation, la configuration et la personnalisation
Fonctionnalité  Caractéristiques et fonctions du produit
Clé secrète partagée Questions fréquentes sur la clé secrète partagée et SSL, notamment sur le renouvellement de la clé SSL
NSP et GTI Questions fréquentes sur le fonctionnement de NSP et Global Threat Intelligence (GTI), ainsi que sur leur interaction
Couverture des attaques Informations sur la couverture d'attaques spécifiques
NSP et NAC Questions et réponses sur l'utilisation conjointe de NSP et de Network Access Control (NAC)
Jeu de signatures hétérogène Informations sur le jeu de signatures hétérogène
Redémarrage de capteurs sans perturbation Fonctionnalité réduisant l'impact des cycles de capteur
Détection avancée des logiciels malveillants Questions concernant la détection avancée des logiciels malveillants
Network Security Platform 8.3 Questions sur les fonctionnalités ajoutées dans NSP 8.3


Général

A quelle fréquence le capteur et le gestionnaire échangent-ils des informations pour vérifier que le capteur est en marche ?
L'intervalle d'interrogation est habituellement de deux minutes. Cependant, lorsque le capteur détecte un dysfonctionnement, l'intervalle d'interrogation est réduit à 30 secondes. Cela évite des problèmes tels qu'une alerte d'échec due à la perte d'un paquet. Si le capteur est encore inaccessible après 10 minutes, la fréquence d'interrogation revient à sa valeur normale de deux minutes.

 
Quel est le volume de données transférées pour cette interrogation ?
L'interrogation est effectuée via un paquet UDP SNMP et quatre variables MIB sont interrogées. L'intégralité de la charge active de la demande d'application SNMP représente environ 100 octets.

 
Combien de temps le gestionnaire peut-il mettre à signaler un capteur déconnecté sur le moniteur Intégrité du système ?
Etant donné que l'interrogation initiale est effectuée toutes les deux minutes et que le délai d'expiration normal est de 60 secondes, un échec sera au mieux signalé au bout de 60 secondes, mais le délai peut atteindre 180 secondes (120 + 60).


Le kit de prévention de défaillance exécute-t-il le mode Auto-MDIX ?
Non. Il s'agit d'une fonctionnalité inhérente à Auto-MDIX du connecteur McAfee installé dans le capteur.


Le kit de prévention de défaillance cuivre fonctionne-t-il de la même manière que les kits de contournement optique mono-mode et multi-mode ?
Le kit de prévention de défaillance (commutateur de contournement fibre) ne traverse pas les paires TX/RX. Reportez-vous au guide de démarrage rapide du kit de prévention de défaillance par contournement optique 1 Gigabit correspondant à la version de votre capteur ou de son logiciel. Ce dernier comprend un schéma d'installation ainsi que des informations complémentaires sur l'installation et la connectivité.

 
Lorsque je passe le kit de contournement cuivre 10/100/1000 du mode Inline au mode TAP, le système de prévention de défaillance active (AFO) est redémarré. Le mode TAP est alors désactivé. Pourquoi ?
L'AFO fonctionne normalement. Les paramètres du mode TAP ne sont pas enregistrés sur l'AFO. Lorsque vous redémarrez l'AFO, le paramètre par défaut, TAP mode Off (Mode TAP désactivé) est restauré. Il s'agit là d'une volonté de conception.


L'alerte « ARP: MAC Address Flip-Flop » (ARP : bascule d'adresse MAC) n'est affichée qu'au niveau de l'interface CIDR. Pourquoi cette alerte ne montre-t-elle pas le nom de la sous-interface ?
La recherche de la sous-interface via CIDR est effectuée uniquement pour les paquets IPv4 (PTYPE = 0x800). Etant donné que le protocole ARP ne relève pas de cette catégorie, seule la classification de l'interface fondée sur le port et le niveau du réseau local virtuel (VLAN) est enregistrée pour les paquets ARP. Il s'agit d'un comportement prévu.


Pourquoi les fichiers journaux du capteur sont-ils chiffrés ?
L'objectif principal des fichiers journaux du capteur est de consigner les informations dont les équipes de support technique et de développement ont besoin pour la résolution des problèmes. Etant donné que ces fichiers sont principalement à usage interne chez McAfee, ils contiennent parfois des données confidentielles ou propriétaires. Ils doivent donc être chiffrés. NSP fournit tous les événements critiques que vous devez connaître en utilisant les commandes de l'interface de ligne de commande du capteur. McAfee vous invite à soumettre des demandes d'amélioration de produit (PER) pour toute information dont vous avez besoin qui n'est pour l'instant pas disponible. Ces demandes sont ensuite regroupées dans des versions de maintenance de NSP.


NSP compense-t-il la latence du réseau pendant la synchronisation de l'heure ?
Non. NSP ne compense pas la latence du réseau pendant la synchronisation de l'heure.

S'il existe un retard de 100 ms entre le capteur et le gestionnaire, l'heure du capteur retardera de 100 ms par rapport à l'heure réelle sur le gestionnaire. Le capteur est doté d'une horloge interne qui est réglée en fonction de l'heure du gestionnaire afin que le capteur et le gestionnaire restent synchronisés. Si le capteur est déconnecté du gestionnaire, l'horloge interne met régulièrement à jour l'heure du capteur. Le délai entre le capteur et le gestionnaire est le délai de latence du réseau entre ce capteur spécifique et le gestionnaire. Des délais plus longs ou plus courts peuvent exister entre le gestionnaire et d'autres capteurs déployés.

Le capteur enregistre l'heure dans sa propre mémoire flash, car il n'est pas équipé d'une horloge de secours fonctionnant sur batterie. En cas de panne de courant, lorsque le capteur redémarre et revient en ligne, il est possible qu'il soit incapable de se connecter immédiatement à son gestionnaire. Dans ce cas, le capteur utilise la dernière heure enregistrée en mémoire flash. C'est la seule situation où le capteur récupère l'heure à partir de la mémoire flash. Le reste du temps, l'heure enregistrée en mémoire flash est inutile.


Comment le capteur gère-t-il le trafic des hôtes mis en quarantaine ?
La fonctionnalité de quarantaine IPS permet au capteur de mettre en quarantaine les hôtes non conformes tout en offrant une correction. Lorsque la fonctionnalité de quarantaine IPS est activée et qu'une attaque est détectée sur un port de surveillance Inline du capteur, ce dernier crée une règle de quarantaine pour l'adresse IP source de l'hôte, mais uniquement si l'hôte en question ne se trouve pas sur la liste d'exclusion NAC. Le capteur ne bloque jamais le trafic des hôtes inscrits sur la liste d'exclusion NAC. Si l'hôte n'est pas sur la liste d'exclusion NAC, il est placé dans la table de quarantaine pour une durée déterminée.

Le capteur contrôle tout le trafic qui traverse les ports à l'aide de la table de quarantaine et bloque les paquets envoyés par des hôtes mis en quarantaine. Cela empêche les hôtes non conformes de nuire à d'autres systèmes sur le réseau. Vous pouvez configurer une zone d'accès au réseau IPS en définissant des adresses IP spécifiques auxquelles l'hôte est autorisé à accéder pendant sa mise en quarantaine (par exemple, Remediation Portal ou le serveur DNS). L'hôte mis en quarantaine peut ainsi accéder aux ressources de correction sans compromettre la sécurité globale du réseau. Il est possible d'ajouter un hôte à la table de quarantaine en utilisant une stratégie NAC ou une signature dont l'option de réponse à la quarantaine est activée.


Lorsque NSM est installé avec deux gestionnaires configurés dans la reprise sur sinistre du gestionnaire (MDR), les deux gestionnaires doivent être mis à jour avec les données d'alerte du capteur. Comment les capteurs communiquent-ils avec NSM pour mettre à jour les informations d'alerte ?
Le capteur tente d'envoyer des alertes aux deux gestionnaires NSM dans une configuration MDR. Si l'alerte a été correctement envoyée à un gestionnaire, vous pouvez la supprimer de la mémoire tampon du capteur. Si le capteur ne peut envoyer l'alerte à aucun des NSM, elle est enregistrée dans la mémoire tampon du capteur. Lors de leur communication suivante, les gestionnaires synchronisent leurs bases de données pour mettre à jour les alertes qui pourraient ne pas avoir été reçues par l'un ou l'autre. Chaque alerte est marquée avec des attributs uniques afin de faciliter la synchronisation.


En quoi les fonctionnalités de quarantaine IPS et de liste de contrôle d'accès (ACL) dans NSP diffèrent-elles ?

  • Les règles de quarantaine IPS sont traitées indépendamment des règles ACL et évaluées avant.
  • Une règle de quarantaine IPS supprime tout le trafic issu d'une adresse IP source, alors qu'une règle ACL peut supprimer un type de trafic spécifique.
  • Les règles de quarantaine IPS sont créées dynamiquement. Vous devez ajouter explicitement les règles ACL lorsque vous créez une stratégie.
  • Vous pouvez éliminer dynamiquement les règles de quarantaine IPS après un délai prédéfini. Vous devez supprimer les règles ACL explicitement via une mise à jour de stratégie.


Comment les attaques de réseaux de robots (botnet) sont-elles affichées dans Threat Analyzer ?
Lorsque du trafic est détecté, les adresses utilisées sont recherchées dans le fichier DAT de réseau de robots pour déterminer si une IP ou un nom de domaine est une adresse de botnet connue.

Si les données correspondent, une alerte est déclenchée et l'IP ou le domaine de commande et contrôle (C&C) est signalé(e) comme attaquant. L'adresse de l'attaquant est placée dans la colonne d'adresses IP source de Threat Analyzer. L'adresse de l'hôte qui se connecte à l'adresse C&C est désignée comme victime. La victime apparaît dans la colonne des adresses IP de destination dans Threat Analyzer.

La direction du flux, entrant ou sortant, se réfère à l'entité qui a initié la connexion.


Pourquoi les paramètres d'action du gestionnaire sont-ils activés immédiatement, sans mise à jour de la configuration ?
Lorsqu'un administrateur système modifie les paramètres d'action du gestionnaire (tel que Auto ACK, SNMP et Syslog) sur l'éditeur de stratégie, une mise à jour de configuration est requise. Toutefois, ces paramètres sont activés immédiatement sans cette mise à jour. Il s'agit du comportement prévu. Le système NSP actuel recherche les modifications de configuration au niveau de la stratégie : toute modification apportée à la stratégie indique qu'un fichier de signatures doit être envoyé en mode Push pour le capteur. Des efforts considérables ont été faits dans NSP pour améliorer la mise à jour du fichier de signatures pour le capteur, notamment avec l'ajout de fonctions de mise en cache et de mise à jour incrémentielle. Notre priorité actuelle est de renforcer l'efficacité de l'envoi des fichiers de signatures en mode Push, plutôt que d'améliorer la granularité pour le suivi des modifications de stratégie.

Eléments immédiatement activés Gravité de l'attaque*, notifications, e-mails, script, Auto-Ack, Pager, SNMP, Syslog
Eléments requérant une mise à jour de la configuration Gravité de l'attaque*, actions de capteur, journalisation

*Les modifications relatives à la gravité de l'attaque sont utilisées à la fois par le gestionnaire et le capteur. Les modifications relevant du gestionnaire, tels que celles indiqués dans Threat Analyzer, prennent effet immédiatement. Celles qui relèvent du capteur, comme pour NAC, nécessitent une mise à jour du capteur.


Pourquoi les alertes informationnelles et de faible gravité ne sont-elles pas affichées dans le Real Time Threat Analyzer (RTTA) ?
Il s'agit là d'une volonté de conception. Utilisez Historical Threat Analyzer pour afficher les alertes informationnelles et de faible gravité. 


Sachant que je peux configurer les attaques à bloquer dans l'éditeur de stratégie, pourquoi le capteur envoie-t-il une alerte au gestionnaire, même si l'option « Send Alert to the Manager » (Envoyer une alerte au gestionnaire) est désélectionnée pour l'attaque ?
Il s'agit là d'une volonté de conception. Etant donné que l'attaque est bloquée, le capteur envoie l'alerte indépendamment du paramètre Send alert to the Manager afin que l'administrateur sache quel capteur a bloqué l'attaque.


Dans RTTA, la section DoS Analysis (Analyse des attaques par déni de service) de l'écran de détails de l'alerte « Inbound/Outbound UDP Packet Volume Too High » (Volume de paquet UDP entrant/sortant trop élevé) indique l'intervalle IP pour les attaques par déni de service et les intervalles IP correspondant aux trois principaux types d'attaque. Pourquoi cette section est-elle parfois vide et n'affiche aucun intervalle IP ?
Il s'agit là d'une volonté de conception. Lorsque le capteur voit l'attaque, il commence immédiatement la collecte des adresses IP. Le capteur attend un moment avant de lancer l'alerte afin d'envoyer également les informations d'adresses IP. Cependant, si l'attaque s'arrête immédiatement après, le capteur n'obtient aucune adresse IP et déclenche une alerte sans la fournir.


Quels sont les paramètres par défaut du capteur NSP ou du matériel NSP ?
Matériel Débit en bauds Données Parité Arrêter Contrôle de flux Utilisateur par défaut Mot de passe par défaut Port SSH
Série I 9600 8 aucune 1 aucune admin admin123 22
Série M 38400 8 aucune 1 aucune admin admin123 22
Série N 38400 8 aucune 1 aucune admin admin123 22
Série NS 115200 8 aucune 1 aucune admin admin123 22
NTBA 9600 8 aucune 1 aucune admin admin123 22
XC240 115200 8 aucune 1 aucune admin admin123 22
Kit AFO 19200 8 aucune 1 aucune McAfee McAfee  


Pourquoi le cookie SYN ne fonctionne-t-il pas lorsqu'il y a du trafic MPLS sur le réseau ?
Le cookie SYN ne peut pas être pris en charge sur le trafic MPLS, car NSP ne sait pas quel marqueur MPLS utiliser dans le sens de retour lorsque le proxy du capteur répond aux paquets SYN.

 
Le capteur empêchera-t-il une possible saturation SYN lorsque vous activerez le cookie SYN sur un capteur où un port est configuré en mode SPAN pour voir le trafic MPLS et l'autre est configuré en mode Inline et ne voit pas le trafic MPLS ?
Oui. Le cookie SYN continuera de fonctionner pour le trafic normal sur la paire de ports Inline.

 
Puis-je utiliser le cookie SYN si j'utilise un marqueur de réseau local virtuel (VLAN) dans le trafic ? Par exemple, si l'ensemble du trafic contient un marqueur VLAN et que le capteur ne voit que le trafic issu d'un VLAN, mais ne reçoit de trafic d'aucun autre VLAN, le cookie SYN fonctionnera-t-il toujours ? Ou faut-il que le marqueur VLAN soit totalement absent du trafic Inline pour que le cookie SYN fonctionne ?
Le cookie SYN fonctionne pour le trafic marqué VLAN. Même un mélange de trafic marqué VLAN et non-VLAN fonctionne. Il existe certaines restrictions si les paquets reviennent via la même interface.


Lorsque les interfaces du capteur sont configurées en mode Inline, peut-il y avoir des interférences entre les ports lorsque le trafic traverse le capteur ?
Non. Le capteur n'effectue ni de commutation ni de routage du trafic. Les deux interfaces appariées (1A/1B, 2A/2B et ainsi de suite) sont liées l'une à l'autre de manière fixe. Le trafic entrant sur une interface (par exemple, 1A) ne peut quitter le capteur que par l'autre interface de la paire (par exemple, 1B). Il s'agit d'un principe de conception fondamental du logiciel du capteur et dans la mesure où le capteur ne prend pas de décisions de routage ou de commutation, il ne peut transférer de paquets à aucune autre interface de l'équipement.


La somme de l'ensemble du trafic, aussi bien entrant que sortant, peut-elle à un moment ou un autre excéder les capacités d'inspection d'un capteur donné (par exemple, le système de prévention des intrusions du NS9100 peut traiter un volume de 10 Gbit/s) ?
Non. Les capacités d'inspection seront communes à tous les ports du capteur.  Ce sont ces capacités d'inspection qui déterminent la capacité nominale du capteur.


Comment puis-je définir la détection de déni de service du capteur sur le mode d'apprentissage ?
Sélectionnez Denial of Service (Déni de service), Data Management (Gestion des données) et Rebuild DoS Profile (Recréer un profil de déni de service) (reprenez la formation de zéro).


Quelle est la différence entre une attaque de reconnaissance « par corrélation » et une attaque de reconnaissance « par signature » ? Ces deux types d'attaque de reconnaissance relèvent-ils de la stratégie de reconnaissance par défaut ?
Cela dépend de la version NSP/NSM utilisée. Pour la version 8.1 et les versions antérieures, les stratégies IPS et les stratégies de reconnaissance sont utilisées. Les stratégies IPS contiennent les attaques par signature et les stratégies de reconnaissance contiennent les attaques par corrélation. Cependant, à partir de la version 8.2 les stratégies de reconnaissance n'existent plus et les attaques de reconnaissance par signature et par corrélation se trouvent dans les stratégies IPS.
Pour les différencier dans l'éditeur de stratégie IPS, McAfee a créé des catégories d'attaque spécifiques (attaque de reconnaissance par corrélation et attaque de reconnaissance par signature).


La consommation d'énergie maximale du capteur NS7x00 est de 250 W. Pourquoi le bloc d'alimentation fourni a-t-il une consommation nominale de 650 W ?
McAfee utilise ce bloc d'alimentation de 650 W en raison des exigences de facteur d'encombrement des appliances de la série NS7x00.


Le navigateur web d'un hôte mis en quarantaine manuellement n'affiche aucun message ou avis signalant cette quarantaine, et ne redirige pas l'utilisateur vers Remediation Portal. Pourquoi ?
Lorsque vous configurez un capteur de manière à afficher un message de navigateur sur un client mis en quarantaine ou à rediriger vers Remediation Portal, cette configuration est uniquement appliquée aux les hôtes mis en quarantaine automatiquement par le capteur. Il s'agit d'un choix de conception. Quand un utilisateur met manuellement un hôte en quarantaine à partir de Threat Analyzer, aucun message de navigateur ni aucune redirection ne sont proposés ; l'hôte est simplement placé dans la zone de quarantaine correspondante.

Retour au sommaire

 

Compatibilité

Quels sont les XFP compatibles avec les capteurs de la série M ?
Seuls les XFP suivants sont pris en charge sur les capteurs de la série M :

  • IAC-1550-CG1 (portée étendue, mode unique, XFP de 1 550 nm)
  • IAC-1310-CG1 (longue portée, mode unique, XFP de 1 310 nm)
  • IAC-X850-CG1 (portée courte, multimode, XFP de 850 nm)

IMPORTANT : les XFP tiers ne sont pas pris en charge.


Un dongle à fermeture en cas de d'échec est-il nécessaire pour configurer les ports de surveillance des capteurs M-1250 et M-1450 en mode de fermeture en cas d'échec ou SPAN ?
Non. Contrairement à ceux de la série I, les capteurs les capteurs M-1250 et M-1450 ne requièrent pas de placer des dongles à fermeture en cas d'échec sur les ports de surveillance, même en mode de fermeture en cas d'échec ou SPAN. La fonctionnalité de dongle est désormais intégrée aux ports de surveillance eux-mêmes.


Pourquoi ne puis-je pas accéder à NSM à partir d'un appareil mobile utilisant une langue autre que l'anglais ?
NSM ne fonctionnera pas correctement si vous accédez à NSM à partir d'un appareil mobile non anglais, car seuls les équipements définis en langue anglaise sont pris en charge. Pour accéder au gestionnaire, définissez le paramètre de langue du système d'exploitation sur l'anglais.


Quelle version de Nessus NSM prend-il en charge ?
Les rapports Nessus générés à l'aide des analyseurs Nessus 4 et Nessus 5.x peuvent être importés sans problème dans NSM. Si le rapport généré contient des adresses IP hôtes sous forme de noms de domaine complets (FQDN) ou de noms NetBIOS, NSM ne parvient pas à résoudre les adresses IP hôtes cibles du rapport et à importer les vulnérabilités de ces hôtes dans la base de données du gestionnaire. Un rapport Nessus 4 ou Nessus 5.x au format .nessus, contenant des adresses IP hôtes valides au format décimal à point, peut être importé sans problème dans la base de données du gestionnaire.


Pourquoi le capteur ne peut-il détecter aucune attaque lorsque le trafic est encapsulé avec PPPoE ?
Le protocole PPPoE n'est pas pris en charge. Tous les paquets encapsulés avec PPPoE sont transmis par le capteur sans détection. Il s'agit d'un choix de conception.


Lorsque NSM est configuré pour déployer automatiquement les sigsets téléchargés sur tous les équipements, le déploiement automatique fonctionne pour les capteurs NSP, mais pas pour les capteurs NTBA (Network Threat Behavior Analysis). Pourquoi ?
Le déploiement automatique pour NTBA est pris en charge par les versions NSM 8.1 et ultérieures. Pour effectuer un déploiement automatique, vous devez mettre à niveau NSM vers la version 8.1.3.6 ou une version ultérieure.


L'analyse avec GTP est-elle prise en charge pour les capteurs de la série M ?
Non. L'analyse avec GTP n'est prise en charge que sur les capteurs de la série NS.

 
NSP peut-il inspecter le trafic encapsulé avec GRE et détecter les attaques qui utilisent ce protocole ?
NSP peut inspecter le trafic encapsulé avec GRE et détecter les attaques. Cependant, cette fonctionnalité doit être activée, car la configuration par défaut du capteur est de ne pas inspecter le trafic mis en tunnel avec GRE.

 
NSP prend-il en charge l'analyse du nouveau protocole HTTP/2 (HTTP 2.0) ?
NSP ne prend actuellement pas en charge HTTP/2, mais devrait le faire dans une version future de NSP.


Lorsqu'un commutateur réseau prend en charge AutoMDI/MDI-X, un capteur peut-il utiliser AutoMDI/MDI-X pour établir un lien entre le commutateur et le capteur ?
Oui, cependant AutoMDI/MDI-X ne fonctionnera pas correctement si l'autonégociation est désactivée sur le port du capteur.  Vous devez activer l'autonégociation sur le port du capteur avant de configurer le lien entre le commutateur et le capteur en utilisant AutoMDI/MDI-X.

Retour au sommaire

 

Installation/Mise à niveau

Puis-je effectuer une installation du logiciel de l'appliance NSM via le logiciel RMM de l'appliance ?
Non. L'utilisation du DVD d'installation de l'appliance NSM via le logiciel RMM de l'appliance n'est pas prise en charge. Si vous essayez d'utiliser le DVD d'installation de l'appliance NSM via le logiciel Intel RMM fourni avec l'appliance, vous risquez de rencontrer des résultats inattendus et indésirables. Vous devez accéder à l'interface du support d'installation à l'aide d'un clavier et d'une souris branchés directement sur le serveur, à son emplacement physique.

Puis-je agréger ou combiner plusieurs licences NSM dans une seule installation ? Par exemple, si j'ai une licence standard, puis-je acheter un pack de démarrage pour obtenir huit équipements managés ?
Non, car les licences NSM ne sont pas cumulatives. Pour gérer plus de six capteurs à partir d'un même gestionnaire NSM, vous devez acheter une licence NSM globale.


Après avoir mis à niveau le gestionnaire, le système affiche un processus de mise à jour du capteur qui n'a pas été actionné manuellement. Les capteurs ne montrent aucun téléchargement actif lorsque j'exécute la commande downloadstatus et le dernier jeu de signatures est présent sur le gestionnaire. Si je redémarre le gestionnaire, le processus de mise à jour redémarre après un certain temps, le fichier Ems.log ne montre aucun envoi en mode Push évident et le journal Sudit n'indique aucune activité d'utilisateur consistant à envoyer une configuration mise à jour aux capteurs. Quelle est la cause de ce processus de mise à jour ?
Après une mise à niveau du gestionnaire, le NSM compile le dernier jeu de signatures et l'envoie automatiquement aux capteurs en mode Push.

REMARQUE : cette mise à jour échoue si les capteurs disposent déjà du dernier jeu de signatures.
 
Retour au sommaire



Configuration

Puis-je exécuter une paire de basculement de capteur si les ports de moniteur sont en mode SPAN ?
Non. Vous pouvez créer uniquement une paire de basculement lorsque les ports de moniteur sont en mode En ligne. Après avoir créé la paire, vous ne pouvez pas changer ni modifier le mode des ports.


Quelles stratégies de contrôle d'accès basé sur l'identité par défaut ne peuvent pas être supprimées dans NSM ?
Vous ne pouvez pas supprimer les stratégies suivantes, mais vous pouvez modifier leurs paramètres pour spécifier si l'intégrité du système doit être prise en compte pour accorder l'accès au réseau, ainsi que le niveau réel d'accès à accorder :

  • Par défaut
  • Utilisateur invité
  • Auto-enregistré

Puis-je créer une règle de contournement sans ajouter de nom d'attaque ?
Non. Les règles de contournement de type « Ignore » (Ignorer) doivent avoir un nom d'attaque, car le capteur ne comprend pas ce type de filtre d'alerte. 


Comment puis-je exclure une adresse IP spécifique de l'inspection ?
Ajoutez une règle de pare-feu avec l'action définie sur Stateless Ignore (Ignorer si sans état). Cette opération transfère tous les paquets qui correspondent à la règle sans effectuer d'inspection, à l'exception de celle de la règle de pare-feu.


Puis-je mettre en place une haute disponibilité en mode actif-actif avec les capteurs NSP ?
Le capteur est toujours en mode de haute disponibilité actif-actif. Ce sont les équipements réseau homologues qui déterminent si le capteur est utilisé en mode actif-passif (un chemin réseau est bloqué) ou actif-actif.


Comment bloquer le trafic de Tor et de ses variantes ?
McAfee recommande d'utiliser la stratégie de pare-feu pour créer des règles d'accès afin de définir des aspects/objets à bloquer, à autoriser ou à ne pas inspecter. Dans les objets de règles existantes, plusieurs applications Tor et variantes de ces applications sont déjà définies. Vous pouvez créer votre propre groupe d'applications à partir de ces dernières et toute application OTHER P2P que vous ne souhaitez pas autoriser.

Utilisez ce groupe d'applications, ainsi que les paramètres sources/cibles pour arrêter la majorité des connexions effectués par Tor ou ses variantes.


Je crée ces règles de contournement afin d'ignorer les attaques de reconnaissance (analyses par des analyseurs de vulnérabilités) en utilisant le réseau interne comme source (attaquant) et "Any" (Tout) comme cible, mais je vois toujours des alertes dans RTTA. Pourquoi ?
L'emploi de règles « Ignore » n'est pas la bonne façon d'utiliser les analyseurs de vulnérabilités. Ajoutez plutôt une règle d'accès à la stratégie de pare-feu afin d'ignorer tout le trafic (avec le paramètre Stateless Ignore [Ignorer si sans état]) qui entre sur l'analyseur de vulnérabilités et une autre règle pour tout le trafic qui sort de l'analyseur (deux règles).



Fonctionnalité

L'éditeur de signatures définies par l'utilisateur NSP prend-il en charge l'opération NOT ?
Non. L'éditeur de signatures définies par l'utilisateur ne prend pas en charge l'opération NOT. Le matériel d'accélération de recherche de modèles utilisé par le capteur devrait effectuer une recherche sur toutes les chaînes autres que celles spécifiées avec l'expression NOT.
McAfee recommande de ne pas effectuer ce type de recherche, car cela peut causer de graves problèmes de performances et n'est pas une solution efficace.


L'éditeur de signatures définies par l'utilisateur prend-il en charge les recherches avec des caractères génériques ?
Non. Ce type de recherche n'est pas pris en charge, car le fait d'utiliser uniquement un caractère générique dans une recherche renverrait tous les enregistrements de la base de données.


Le service DCOM peut-il être désactivé sur le serveur hébergeant NSP ?
Oui. Le service DCOM peut être désactivé sans incidence sur le fonctionnement du gestionnaire NSP. Pour plus d'informations sur la désactivation du service DCOM et les conséquences pour d'autres programmes et services, accédez à la page http://support.microsoft.com/default.aspx?kbid=825750.


Comment détecter un espace unique à l'aide de l'éditeur de signatures définies par l'utilisateur ?
Si vous devez détecter un espace unique dans une expression (par exemple, xyz xyz), vous pouvez effectuer la recherche de chaîne en saisissant xyz xyz. McAfee vous recommande de ne pas lancer de recherches sur un seul espace ou sur des chaînes très courtes, car cela peut provoquer des problèmes de performances et générer des faux positifs.


Puis-je utiliser un émetteur-récepteur (GBIC) Fibre et un émetteur-récepteur Cuivre Inline sur la même paire d'interfaces du capteur ?
Non. Vous ne pouvez pas utiliser des GBIC différents sur la même paire d'interfaces.


Le capteur peut-il prendre en charge un canal Etherchannel composé de deux connexions de modules SFP+ différents (connexions par fibre SR et LR) ?
Oui, le capteur peut prendre en charge un canal Etherchannel composé de ces connexions.


Comment vérifier les codes d'erreur à partir de MySQL ?
Dans MySQL, vous pouvez vérifier les codes d'erreur générés en utilisant la commande perror. Ouvrez une session de ligne de commande (cliquez sur Démarrer, Exécuter, saisissez CMD et cliquez sur OK), puis, à partir du répertoire mysql\bin, saisissez la commande perror <code d'erreur> et appuyez sur ENTREE. Par exemple, perror 28 Code d'erreur 28 : Espace insuffisant sur le périphérique.


Comment le capteur ou le gestionnaire NSP définit-il les adresses internes ou externes pour les filtres d'alerte ?
Les adresses internes ou externes sont définies selon le mode configuré :

  • Mode TAP/INLINE : dans la configuration des ports, spécifiez quel port est interne et quel port est externe. Les filtres d'alerte utilisent les mêmes spécifications pour définir les ports internes ou externes.
  • Mode SPAN : pour détecter et signaler les adresses internes/externes pour SPAN, l'utilisateur doit configurer les interfaces virtuelles CIDR. S'il n'existe aucune interface virtuelle CIDR, le capteur marque les paquets comme inconnus.

Pourquoi les alertes de déni de service bidirectionnelles n'incluent-elles pas un onglet Packet Rate (Débit de paquets) ?
L'onglet Packet Rate est absent pour les alertes de déni de service statistiques catégorisées comme bidirectionnelles, car :
  • Ces alertes statistiques comportent plusieurs types de paquet.
  • Le débit de paquets entre les deux directions est différent.


Quelle est la différence entre Successful (A abouti) et Maybe Successful (A peut-être abouti) dans le statut de résultat de l'attaque de Threat Analyzer ?
Pour déterminer si une attaque a abouti ou non, NSP couvre à la fois les aspects de détection et de post-détection de l'attaque. NSP détermine si l'attaque a abouti en fonction des réactions observées sur le câble :

Successful (A abouti) L'attaque a abouti
Maybe Successful (A peut-être abouti) Résultats inconnus, NSP ne peut pas déterminer si l'attaque a abouti ou non


Le capteur permet-il la configuration d'un commutateur de contournement cuivre externe sur les ports RJ-45 ?
Oui. Le commutateur de contournement cuivre externe peut actuellement être configuré sur les ports RJ-45, dans la mesure où le port est configuré en mode de fermeture en cas d'échec sur les modèles de capteurs suivants :
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
Suivez la procédure ci-dessous pour configurer le mode de fermeture en cas d'échec :
  1. Dans le gestionnaire, sélectionnez Device List (Liste d'équipements), Sensor Name (Nom de capteur), Physical Sensor (Capteur physique) et Port Settings (Paramètres des ports).
  2. Dans les ports de surveillance, sélectionnez le port numéroté à configurer.
    La fenêtre Configure Monitoring Port (Configurer le port de surveillance) affiche les paramètres de port actuels.
  3. Dans la liste déroulante Operating Mode (Mode de fonctionnement), sélectionnez In-line Fail-Closed(Port Pair) (Inline, Fermeture en cas d'échec (Paire de ports)).

    REMARQUE : l'état du commutateur de contournement cuivre externe n'est pas affiché dans le gestionnaire. De même, le statut n'est pas affiché si vous exécutez la commande show intfport dans l'interface de ligne de commande du capteur.
Network Security Platform peut-il déterminer la véritable adresse IP client associée au trafic d'un réseau de diffusion de contenu tel qu'Akamai ?
Oui. Si vous activez les options XFF (X-forwarded-for), le capteur de sécurité réseau peut détecter et bloquer les attaques en fonction de la véritable adresse IP client.
REMARQUE : cette fonctionnalité est applicable uniquement pour HTTP.


NSP prend-il en charge l'utilisation des clés privées intégrées dans le certificat signé SHA-2 ?
Oui. Les certificats signés SHA-2 sont pris en charge. La fonctionnalité de déchiffrement du trafic SSL entrant effectue uniquement une détection de certificat de serveur sur la base des données brutes et ne valide pas le certificat. Par conséquent, NSP peut déchiffrer les données à l'aide des clés privées intégrées dans le certificat signé SHA-2.


Lorsque vous exécutez la commande clrstat pour effacer les statistiques du capteur, puis que vous exécutez la commande show sensor-load, cette dernière renvoie une valeur très élevée, par exemple 90 %, même si presque aucun trafic ne passe par le capteur. Pourquoi ?
Il s'agit d'un choix de conception. Les compteurs utilisés pour calculer la charge sur le capteur sont remis à zéro par clrstat. Pour que les compteurs soient à jour et indiquent la charge précise, attendez environ 20 à 30 secondes et exécutez à nouveau la commande show sensor-load.


L'intégration TIE/DXL est-elle prise en charge sur tous les modèles de capteurs ?
Non. Ces fonctionnalités ne sont prises en charge que sur les capteurs de la série NS.
 

Puis-je obtenir le numéro de série du bloc d'alimentation du capteur à partir de la ligne de commande ?
Non. Actuellement, aucune commande ne fournit le numéro de série du capteur.


Puis-je bloquer des fichiers en téléchargeant les hachages de fichiers MD5 vers NSP ?
Oui. Il s'agit d'une fonctionnalité inhérente à NSP qui ne nécessite pas la création d'une définition d'attaque personnalisée. Le capteur NSP gère à la fois une liste noire et une liste blanche des hachages, et les applique à des fichiers extraits des flux HTTP, SMTP et FTP lorsque la stratégie anti-logiciel malveillant le requiert. Pour obtenir des instructions sur la façon d'importer une valeur de hachage, consultez le chapitre Stratégies anti-logiciel malveillant avancées du Guide d'administration IPS correspondant à votre version.


Puis-je utiliser un port de réponse du capteur pour connecter le capteur à NTBA Appliance ?
Non. Vous ne pouvez pas utiliser le port de réponse comme port de moniteur.


NSP peut-il bloquer le trafic Skype ?
NSP ne bloque actuellement pas le trafic Skype. Cependant, une version future contiendra cette fonctionnalité.


Comment NSP détermine-t-il le type de fichier pour la stratégie anti-logiciel malveillant avancée ?
NSP s'appuie sur le type de contenu, l'extension et les propriétés des fichiers, ainsi que sur la technologie propriétaire McAfee.


Quand je débranche le câble réseau d'un port du capteur, le port est désactivé et doit être réactivé via le gestionnaire. Est-ce normal ?
Oui. Il s'agit d'un choix de conception. Etant donné que le capteur ne connaît pas le motif de la « défaillance » du port, ce dernier est marqué comme désactivé, et vous pouvez réactiver le port une fois cette défaillance résolue.
Si le capteur essayait d'activer automatiquement le port, le réseau risquerait de générer un routage instable : le port serait activé, rencontrerait une erreur, puis serait réactivé sans que le problème sous-jacent ne soit résolu.


Puis-je modifier ce comportement ?
Vous pouvez modifier ce comportement si un kit de prévention de défaillance passif est utilisé (externe ou intégré).
Pour plus d'informations, consultez les informations sur la commande setfailopencfg restore-inline dans le guide de l'interface de ligne de commande correspondant à votre version.


Lorsqu'un paquet d'attaque est bloqué par le capteur, pourquoi NSP ne récupère-t-il pas les informations de l'en-tête XX-Forwarded-For (XFF) ?
Lorsque le capteur NSP bloque un paquet d'attaque, il ne peut pas afficher les informations Layer7 transférées. Il s'agit là d'une volonté de conception.


Si je crée une signature définie par l'utilisateur personnalisée, est-elle placée au-dessus de toutes les autres signatures ou à la fin ?
Les signatures définies par l'utilisateur que vous personnalisez contribuent à la définition de l'attaque/signature et sont ajoutées à la liste de toutes les attaques. Cependant, contrairement aux règles de listes de contrôle d'accès de pare-feu, ces signatures ne sont pas utilisées dans un ordre particulier pour la détection des attaques.


Puis-je convertir une appliance de basculement en appliance de rechange ?
Non, cela est impossible. Vous pouvez convertir un modèle de basculement en modèle standard, mais vous ne pouvez pas convertir un modèle de basculement en simple modèle de rechange. Pour plus d'informations, contactez votre correspondant commercial.
 

Dans le rapport sur les 10 principaux pays sources d'attaques, l'une des entrées indique « AP ». Qu'est-ce que cela signifie ?
Ce terme est utilisé lorsque le pays d'origine est inconnu. Pour plus d'informations, consultez : http://dev.maxmind.com/geoip/legacy/codes/iso3166/


Le capteur de basculement peut-il fonctionner dans une configuration actif-actif ou fonctionne-t-il en mode actif-passif où la pulsation déclenche l'action de basculement ?
Les capteurs NSP sont toujours actifs-actifs. Le câble de basculement copie tout le trafic de chaque capteur vers l'autre en permanence. Cela permet au trafic de toujours circuler, même en cas de panne.


Les capteurs routent-ils le trafic ?
Non, les capteurs ne participent pas au routage/basculement du trafic. Cette opération est entièrement assurée par l'architecture de commutation/routage du réseau.

NSP peut-il envoyer des fichiers PNG, JPG ou d'autres types de fichiers image à ATD pour analyse ?
NSP ne peut pas extraire les fichiers image des flux. Ces fichiers peuvent faire partie d'un fichier ZIP que NSP extrait et envoie à ATD, mais NSP n'extrait pas de fichiers d'images autonomes.

Retour au sommaire


Clé secrète partagée

 

Dans quelles conditions puis-je utiliser l'option Re-Import (Réimporter) pour importer des clés SSL dans le gestionnaire ?
Utilisez uniquement Re-Import lorsque vous réimportez une clé qui existe déjà sur le gestionnaire. Vous pouvez utiliser Re-Import un certain nombre de fois pour remplacer la clé existante sur le gestionnaire lorsque les mises à jour SSL n'ont pas encore été envoyées au capteur en mode Push. N'utilisez pas la fonction Re-Import pour remplacer une ancienne clé SSL par une nouvelle clé.


La procédure de renouvellement est-elle correcte pour supprimer l'ancienne clé SSL du capteur et importer une nouvelle clé SSL après la suppression manuelle ?
Oui. McAfee vous recommande d'importer la nouvelle clé SSL sur le gestionnaire, puis d'envoyer la mise à jour SSL vers le capteur après que l'ancienne clé SSL a été supprimée.


Un redémarrage du capteur est-il nécessaire après qu'une nouvelle clé SSL a été importée/réimportée et envoyée au capteur en mode Push à partir du gestionnaire ?
Un redémarrage du capteur n'est requis que si vous activez ou désactivez la fonctionnalité SSL sur le capteur. Ce n'est pas nécessaire après l'importation ou la réimportation de clés SSL.


Pourquoi le message « SSL: Bad State Transition alerts(0x00006000) » apparaît-il dans Alert Manager après le remplacement d'une clé SSL ?
Vous pouvez voir ces alertes dans Alert Manager s'il existe des flux HTTP actifs lorsque le nouveau certificat SSL est envoyé au capteur en mode Push. Contactez le support technique si ce comportement continue et envoyez des captures de paquets pendant et après l'importation et le renouvellement de la clé SSL.

 
Pourquoi le message « SSL: Bad State Transition alerts(0x00006000) » apparaît-il dans Alert Manager ? S'agit-il de faux positifs ?
Collectez les rapports de preuves sur les alertes données, comme expliqué dans l'article KB55743, puis ouvrez le journal d'informations sur les paquets généré dans les rapports de preuves avec un renifleur de paquets tel que Wireshark et vérifiez la version TLS/SSL utilisée. Les capteurs NSP ne prennent actuellement pas en charge TLS v1.1 et v1.2 et déclenchent cette alerte. Créez un filtre d'attaque pour ignorer ce trafic ou utilisez une version prise en charge de SSL/TLS (SSLv2, SSLv3, TLSv1.0).
 

Existe-t-il une limite de taille pour la clé secrète partagée lorsqu'elle est définie via la commande Sharedsecretkey ?
La clé secrète partagée NSP doit comprendre entre 8 et 25 caractères. La clé ne peut pas commencer par un point d'exclamation ni contenir d'espaces.

Retour au sommaire
 

NSP et GTI

Qu'est-ce que GTI?
GTI est un moteur de corrélation de lutte contre les menaces globales et une base de renseignements sur les comportements mondiaux en matière de messagerie et de communication. Il permet de protéger des clients contre les menaces électroniques connues et émergentes à tous les niveaux.


Quels ports utilise GTI ?
 
Description
Protocole
Initiateur
Port source
Port de destination
Pour envoyer des informations de participation
TCP
Gestionnaire
Aléatoire
HTTPS/443
 
 
Description
Protocole
Initiateur
Port source
Port de destination
Adresse de destination
Pour envoyer des requêtes de réputation des adresses IP à McAfee
TCP
Gestionnaire ou capteur
Aléatoire
HTTPS/443
tunnel.web.trustedsource.org
Pour envoyer des requêtes de réputation des fichiers à McAfee UDP Capteur Aléatoire DNS/53 avqs.mcafee.com

REMARQUES :
  • Le système de réputation des adresses IP était anciennement appelé TrustedSource.
  • Le système de réputation des fichiers était anciennement appelé Artemis.

Quelles informations le capteur utilise-t-il dans une requête GTI ?
Le 5-tuple (adresse IP source, adresse IP de destination, port source, port de destination et protocole) de la connexion.


Quelles informations le gestionnaire NSP utilise-t-il dans une requête GTI ?
Le 5-tuple et les autres informations d'attaque qui peuvent être disponibles, à savoir : nom de l'attaque, heure de l'attaque, catégorie, nombre, système d'exploitation de destination, mécanisme de détection, direction de l'attaque, URL du logiciel malveillant, ID d'attaque NSP, résultat, ID de signature, système d'exploitation source, sous-catégorie et type d'attaque.

REMARQUE : consultez la page GTI Participation (Participation GTI) dans le gestionnaire pour obtenir un affichage détaillé de ce qui est envoyé. Sélectionnez Configure (Configurer), Integration (Intégration) et GTI Participation (Participation GTI).
 
Où les requêtes GTI sont-elles envoyées ?
Le capteur envoie une requête DNS spécialisée à mcafee.com. Les requêtes du gestionnaire sont traitées à l'adresse https://tunnel.web.trustedsource.org.
 
 
Comment puis-je voir la réputation d'un site ou d'une adresse spécifique ?
Utilisez l'outil de recherche disponible à l'adresse www.trustedsource.org.
 
 
Pourquoi l'adresse que je recherche affiche-t-elle une réputation différente ?
GTI utilise de nombreux facteurs pour déterminer la réputation d'une connexion spécifique. Si la connexion utilise le port 80 ou 8080, la réputation des sites web est utilisée. Si la connexion utilise le port 25, la réputation de messagerie est utilisée. Tous les autres ports utilisent la réputation d'adresses IP, qui peut être un composite de la réputation des sites web et de la messagerie, et acquérir une valeur unique au fil du temps, quand plus de données sont collectées.
 
 
McAfee peut-il modifier la réputation d'une adresse IP spécifique ?
Une fois que vous avez envoyé une requête à www.trustedsource.org, vous disposez d'une option permettant de laisser des commentaires sur les menaces. Utilisez le formulaire fourni pour demander un examen. Vous pouvez aussi demander un examen pour une adresse IP spécifique par e-mail. Pour la réputation des sites web, contactez sites@mcafee.com. Pour la réputation du réseau et de la messagerie, contactez trusign-feedback@mcafee.com. Incluez toujours l'adresse IP, le port et le type de trafic utilisé.
 
Où puis-je trouver plus d'informations sur GTI ?
Consultez le Guide d'intégration Network Security Platform correspondant à votre version, ou rendez-vous sur le site www.trustedsource.org.


Le capteur NSP effectue-t-il la recherche IP GTI pour tout le trafic qu'il voit ?
Pas par défaut. Vous pouvez configurer le capteur pour effectuer une recherche GTI pour tout le trafic en activant l'analyse de réputation de terminal.
 
 
REMARQUE : NSP peut actuellement utiliser les informations de réputation des adresses IP avec les fonctionnalités Smart Blocking (Blocage intelligent) et Connection Limiting (Limitation des connexions). NSP n'a actuellement pas la capacité de détecter les rappels avec la réputation des adresses IP.


Je ne peux pas ouvrir un fichier détecté par GTI dans NSP pour effectuer une analyse plus approfondie. Quelle en est la raison et comment puis-je ouvrir les fichiers détectés par GTI ?
Ces fichiers sont chiffrés, même lorsqu'ils sont exportés via l'interface utilisateur graphique. Vous devez employer l'utilitaire MalwareDecrypter.bat pour les déchiffrer. L'emplacement de cet utilitaire est :

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

REMARQUE : si vous exécutez le fichier sans paramètres, les options disponibles sont affichées.
 
 
Où puis-je trouver des informations supplémentaires sur le déchiffrement de fichiers ?
Consultez les informations sur l'utilitaire MalwareDecryptor dans la section « Archive malware files » du Guide d'administration du gestionnaire Network Security Platform, ainsi que le Guide d'administration IPS Network Security Platform correspondant à votre version.
Couverture des attaques
La vulnérabilité décrite dans VU922681 (Exécution de code à distance pour les demandes SSDP sur le SDK libupnp) est-elle détectée par les signatures NSP IPS ?
Oui. La vulnérabilité VU922681 est couverte par l'attaque : 0x47a00100 « UPnP: Generic Buffer Overflow » (UPnP : Débordement de mémoire tampon générique).

Retour au sommaire
 

NSP et NAC

Quand la stratégie de contrôle d'accès basé sur l'identité par défaut est-elle utilisée dans NSP ?
La stratégie de contrôle d'accès basé sur l'identité par défaut (IBAC) est utilisée dans les cas suivants lorsque la stratégie IBAC est configurée dans NSP :
  • Lorsque le nom d'utilisateur en question ne correspond à aucune autre politique IBAC définie (non par défaut).
  • Dans un cas particulier, si la connectivité entre le capteur et le gestionnaire est perdue.
     


A quoi sert la mise en œuvre NAC et 802.11Q dans NSP ?
La mise en œuvre actuelle de NAC sur NSP prend en charge NAC sur le trafic provenant de plusieurs réseaux locaux virtuels (VLAN) vus sur le port de surveillance NAC. Le port de surveillance NAC du capteur est configuré avec un réseau local virtuel (VLAN). Cependant, l'infrastructure locale doit prendre en charge la communication inter-VLAN (routage inter-VLAN) entre le VLAN sur le port de surveillance NAC du capteur et tous les autres VLAN qui ont des hôtes nécessitant une surveillance NAC ou la mise en œuvre de NAC.


Quels sont les hôtes NAC NSP approuvés implicitement ?
Les adresses IP suivantes sont automatiquement exclues de la mise en œuvre de NAC par le capteur de sécurité réseau :

  • Adresse IP du port de surveillance du capteur
  • Adresse IP du port de gestion du capteur
  • Adresse IP NSM (en mode MDR, les deux gestionnaires sont ajoutés)
  • Adresse IP du serveur McAfee NAC
  • Adresse IP de Guest Client Portal
  • Adresse IP de Remediation Portal
  • Adresse IP du concentrateur du réseau privé virtuel (VPN)
     

Quelles sont les implémentations du serveur DHCP prises en charge par le mode DHCP NAC de NSP ?
Deux méthodes de mise en œuvre du serveur DHCP sont disponibles lorsque NSP est configuré pour fonctionner en mode DHCP NAC :

  • Serveur DHCP intégré
    Avec cette méthode, un seul serveur DHCP attribue des adresses IP à des hôtes conformes et non conformes. Le serveur DHCP est configuré avec des classes d'utilisateurs et attribue des adresses IP en fonction du champ de classe d'utilisateurs du paquet de découverte DHCP. Chaque classe d'utilisateurs peut avoir des paramètres définis qui lui sont propres, tels que l'adresse IP du DNS, la passerelle par défaut et les itinéraires statiques. Les classes d'utilisateurs peuvent être définies pour les réseaux de production, de mise en quarantaine et de pré-admission, chacun ayant son propre pool d'adresses IP et ses propres paramètres définis.
     
  • Serveur DHCP à part
    Avec cette méthode, deux serveurs DHCP distincts sont respectivement configurés pour les hôtes conformes (pool d'adresses IP de production) et non conformes (pré-admission et quarantaine). Chaque serveur DHCP a une configuration indépendante : un pour les hôtes conformes et l'autre pour les hôtes non conformes.
Retour au sommaire
 

Jeu de signatures hétérogène

Qu'est-ce qu'un jeu de signatures hétérogène (sigset) ?
Avec les anciennes versions de NSP, la version mineure du logiciel NSM (8.x, 7.x) devait être la même que celle de votre capteur. Si vous gériez plusieurs versions mineures du logiciel du capteur, il vous fallait alors un NSM distinct pour chacune d'entre elles. Pour résoudre ce problème, McAfee a ajouté une fonctionnalité au gestionnaire NSM afin qu'il puisse gérer les versions précédentes du logiciel du capteur. Par exemple, NSM 8.3 peut gérer des capteurs sur lesquels les logiciels 8.x et 7.x sont installés. Pour prendre en charge cette fonctionnalité, McAfee a développé un jeu de signatures (sigset) hétérogène qui contient les signatures correspondant à chaque version du logiciel du capteur.

Le sigset hétérogène est un format qui inclut toutes les versions majeures dans un seul et unique sigset. Les administrateurs téléchargent et appliquent un sigset unique que le gestionnaire utilise pour contrôler tous les capteurs. 

NSM 7.x et les versions ultérieures n'acceptent que les sigsets hétérogènes et ne prennent pas en charge les sigsets homogènes (version unique).


Les sigsets publiés seront-ils tous hétérogènes, dorénavant ?
McAfee a-t-il cessé de publier des sigsets homogènes ?
Oui. McAfee a cessé de publier des sigsets homogènes, et tous les sigsets sont maintenant hétérogènes.


Que contient un sigset hétérogène, quel est le schéma de numérotation des sigsets et quelles autres informations pouvez-vous obtenir à partir du numéro du sigset ?
Le sigset hétérogène contient les sigsets d'au moins versions majeures individuelles dans un nouveau format unifié. Le schéma de numérotation est le suivant : sigsetW.X.Y.Z où :
  • W indique la plus haute version du logiciel du capteur prise en charge.
  • X indique la plus petite version du logiciel du capteur prise en charge.
  • Y indique le numéro de version du sigset.
  • Z indique la version de build.

    Par exemple, « sigset 8.7.1.1 » signifie que ce sigset prend en charge les capteurs 8.x et 7.x.
     
Comment McAfee teste-t-il le sigset hétérogène ?
McAfee dispose de méthodologies de test complètes pour tester les sigsets hétérogènes et s'assurer ainsi qu'ils sont compatibles avec toutes les versions du logiciel du capteur. En plus de ceux effectués avec des sigsets normaux, McAfee effectue des tests supplémentaires pour s'assurer que le sigset hétérogène fonctionne bien dans un environnement hétérogène où plusieurs versions du logiciel du capteur sont utilisées.


Dois-je modifier la configuration du gestionnaire pour utiliser le sigset hétérogène ?
Non.


Existe-t-il un sigset hétérogène différent pour chaque version majeure (par exemple : 7.x, 8.x) ?
Il n'existe qu'un sigset hétérogène, qui contient toutes les signatures pour toutes les versions du capteur actuellement prises en charge (par exemple, 8.7.1.1 prend en charge tous les capteurs qui exécutent les versions 8.x et 7.x).

Retour au sommaire
 


Redémarrage du capteur sans perturbation
Qu'est-ce que le redémarrage du capteur sans perturbation ?
NSP prend désormais en charge le redémarrage et la mise à niveau sans perturbation. Cette fonction réduit le temps requis pour qu'un capteur redémarre et évite toute interruption du trafic.


Comment fonctionne un redémarrage sans perturbation ?
Un redémarrage sans perturbation ne redémarre que les processus sélectionnés sur le capteur. Le capteur passe en mode d'intercommunication de couche 2 et redémarre tandis que le chemin d'accès de données continue de transmettre le trafic. Le temps de redémarrage est également considérablement réduit, car l'intégralité du capteur n'est pas arrêtée.


Dans quelles conditions un redémarrage sans perturbation survient-il ?
Le capteur tente toujours un redémarrage sans perturbation s'il doit récupérer d'erreurs internes. Vous pouvez également lancer un redémarrage sans perturbation à partir de la ligne de commande du capteur ou de NSM. Si un redémarrage sans perturbation n'est pas possible, une notification est envoyée au gestionnaire et un redémarrage complet est effectué.


Les mises à jour du capteur sont-elles toutes des mises à jour sans perturbation ?
Cela dépend de si la modification du logiciel du capteur nécessite ou non un redémarrage complet. Lorsque la mise à niveau du capteur est terminée, l'option de redémarrage sans perturbation apparaît ou non, en fonction de la version du logiciel.


Quelles sont les limites d'un redémarrage sans perturbation ?
Le redémarrage sans perturbation n'est pas possible lors des mises à niveau si des modifications sont apportées au commutateur interne ou au noyau dans le code du logiciel. En outre, si le capteur n'est pas en mesure de résoudre des erreurs internes et que trois tentatives de récupération automatique ont été effectuées dans un délai de 15 minutes, lors de la prochaine tentative de récupération automatique, le capteur reste sur la couche 2 ou s'éteint, requérant alors un redémarrage complet.


Quelles sont les causes courantes des échecs de redémarrage sans perturbation ?
Le redémarrage sans perturbation échoue si les chemins d'accès aux données ne peuvent pas être initialisés sur le capteur et si ces chemins d'accès n'ont pas le statut « Prêt ».
 
 

Détection avancée des logiciels malveillants

Un transfert de fichiers FTP peut-il être bloqué ?
Non, le capteur ne peut pas toujours bloquer les transferts de fichiers FTP. Pour FTP, le blocage est effectué au mieux des capacités du système et est le résultat d'une limitation du protocole FTP.

Les informations de taille de fichier ne sont pas disponibles pour le transfert FTP, de sorte que le capteur ne sait pas de manière fiable quand le transfert est terminé.
Le capteur peut uniquement déterminer la taille du fichier lorsque la connexion de données est terminée (réception de l'indicateur TCP FIN). Cependant, cela signifie que le fichier aura déjà été transféré.

Indépendamment du résultat de l'attaque dans Threat Analyzer, le blocage n'est pas pris en charge pour les transferts de fichiers FTP. Cela n'est pas considéré comme un problème, mais une limitation en raison du protocole FTP. Le capteur extrait le fichier, l'analyse pour y détecter des logiciels malveillants et génère des alertes.

Retour au sommaire


Network Security Platform 8.3
Comment puis-je activer Real Time Threat Analyzer dans NSM 8.3 ?
Pour NSM 8.3 et ses versions ultérieures, Real Time Threat Analyzer a été remplacé par Threat Explorer. Si vous devez activer Real Time Threat Analyzer, procédez comme suit :
  1. Sur le serveur du gestionnaire, utilisez l'explorateur Windows pour accéder au dossier C:\Program Files\McAfee\Network Security Manager\App\config.
    REMARQUE : ce chemin d'accès peut être différent si vous avez installé NSM dans un autre emplacement.
  2. Cherchez le fichier ems.properties et ouvrez-le à l'aide du Bloc-notes Windows.
  3. Ajoutez l'entrée suivante :

    iv.ui.ta.display.isEnabled=true
     
  4. Enregistrez le fichier et redémarrez le service NSM.

Quels sont les modèles de capteurs pris en charge par NSM 8.3 et quels sont ceux qui prennent en charge le déploiement d'un jeu de signatures par NSM 8.3 ?
NSM 8.3 prend en charge et peut déployer les derniers segments de signature automatiquement vers les capteurs des séries M, NS et VM.
REMARQUE : les capteurs de série I ne sont pas pris en charge et sont en fin de vie.


Comment puis-je importer des règles de contournement précédemment exportées ?
Cette fonctionnalité a été mise à jour dans NSM 8.3 et les étapes à suivre pour importer les règles de contournement ont changé depuis les versions précédentes. Pour importer les règles de contournement précédemment ignorées dans NSM 8.3, sélectionnez Policy (Stratégie), Intrusion Prevention (Prévention des intrusions), Advanced (Avancé), Policy Import (Importation de stratégie) et Ignore Rules (Règles Ignore).


Comment puis-je importer des attaques personnalisées précédemment exportées ?
Cette fonctionnalité a été mise à jour dans NSM 8.3. Pour importer des attaques personnalisées précédemment exportées, sélectionnez Policy (Stratégie), Policy Types (Types de stratégie), IPS Policies (Stratégies IPS), Custom Attacks (Attaques personnalisées), Other Actions (Autres actions) et Import (Importation).


Après la mise à niveau vers NSM 8.3, le journal d'attaque n'affiche plus les anciennes alertes. Comment puis-je les consulter ?
Si un message d'avertissement vous demande d'exécuter des scripts supplémentaires (cela se produit si votre base de données dépasse un million d'alertes) lorsque vous effectuez la mise à niveau, exécutez les scripts de la façon indiquée dans la section « Run additional scripts » (Exécuter des scripts supplémentaires) du Guide d'installation Network Security Platform 8.3 (PD26343), sinon, vous ne verrez pas les anciens journaux d'attaque.
 
Si vous ne voyez aucun avertissement concernant le dépassement du nombre de données d'alerte ou que vous rencontrez des problèmes lors de l'affichage des journaux d'attaque, ouvrez un dossier auprès du Support technique pour obtenir de l'aide.
 
 

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document

Beta Translate with

Select a desired language below to translate this page.