Tanium Client-Subnetze konfigurieren

Separierte Subnetze und isolierte Subnetze bieten Methoden zur Änderung des Standard-Peering-Verhaltens von Tanium Clients. Standardeinstellungen für Peering definieren die Grenzen der Client-Subnetze in der linearen Kettenarchitektur von Tanium™. Stellen Sie vor der Konfiguration separierter oder isolierter Subnetze sicher, dass Sie das Verhalten verstehen, welches die Standardeinstellungen festlegen, sowie die Auswirkungen Ihrer Änderungen: siehe Benutzerhandbuch für Tanium Client Management: Konfigurieren von Tanium Client-Peering.

Die Berechtigungen zum Anzeigen und Verwalten der Tanium Client-Subnetzkonfigurationen finden Sie unter Tanium Client-Subnetze konfigurieren .

In der Tanium Core Platform 7.4.3 oder höher schreiben Tanium Server Subnetzkonfigurationen in die Tanium-Datenbank und synchronisieren sie automatisch in einer aktiv-aktiv-Verteilung. Auf Zonenservern müssen Sie die Dateien SeparatedSubnets.txt und IsolatedSubnets.txt manuell konfigurieren und pflegen.

In den meisten Umgebungen sind die getrennten und isolierten Subnetzkonfigurationen für alle Zonenserver und Tanium Server gleich. Halten Sie die Konfigurationen über Server hinweg synchronisiert, um Verwirrung zu vermeiden. In komplexen Umgebungen mit überlappenden Subnetzen müssen Sie Subnetze möglicherweise unterschiedlich für Zoneserver trennen. Falls erforderlich, modifizieren Sie die Subnetz-Konfiguration auf jedem Zonenserver, der eine eindeutige Konfiguration erfordert.

Die folgende Abbildung veranschaulicht eine Verteilung mit bei der sich interne Tanium Clients mit Tanium Servern in einer aktiv-aktiv-Verteilung verbinden und externe Clients mit dem Zonenserver verbinden. Dieses Beispiel zeigt separierte Subnetze und isolierte Subnetze innerhalb der linearen Ketten, die die Standard-Peering-Einstellungen definieren.

Die folgende Abbildung zeigt die Tanium-Datenbank auf einem dedizierten Host in einer Windows-Verteilung. In einer Tanium Appliance-Verteilung befindet sich die Datenbank jedoch auf demselben Host wie die Tanium-Server.

Abbildung 1:  Tanium Client Peering

Separierte Subnetze konfigurieren

Tanium Clients in einem separierten Subnetz können nur mit anderen Clients kommunizieren, die sich ebenfalls in diesem Subnetz befinden. Konfigurieren Sie separierte Subnetze, um detailliertere Ausnahmen für Tanium Client Peering als die standardmäßigen /24 Subnetzgrenzen anzugeben, die die Einstellungen für Adressmaske oder Präfix definieren (siehe Benutzerhandbuch für Tanium Client Management: Einstellungen für Adressmaske und Präfix). Clients verwenden die Konfiguration für separierte Subnetze für das Peering, basierend darauf, ob sie eine Verbindung zum Tanium Server oder Zoneserver aufbauen. Jeder Server verwendet die Konfiguration, um die Peer-Listen für Clients zu verwalten, die sich über ihn registrieren. Nach der Konfiguration von separierten Subnetzen müssen Sie die Server nicht neu starten.

Nach der Konfiguration von separierten Subnetzen benötigen Tanium Clients zwei bis sechs Stunden (das randomisierte Client-Reset-Intervall), um die Anwendung aller Änderungen im Zusammenhang mit der neuen Konfiguration abzuschließen. Um zu überprüfen, ob die getrennten Subnetze nach der Registrierung der Clients wie erwartet funktionieren, siehe Tanium Client Management Benutzerhandbuch: Verifizieren von Tanium Client Peering und Leader-Verbindungen.

Konfigurieren separierter Subnetze auf dem Tanium Server

  1. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Subnets (Subnetze).
  2. Klicken Sie im Abschnitt Separated Subnets (Separierte Subnetze) auf New Subnets (Neue Subnetze).
  3. Geben Sie jedes separierte Subnetz im CIDR-Format (wie 192.168.2.0/26) mit einer Zeile pro Eintrag ein. Verwenden Sie das Zeichen ; oder # vor optionalen Kommentaren.

    Die Tanium Core Platform 7.3 oder höher unterstützt IPv6-Subnetze (kontaktieren Sie den Tanium Support unter [email protected] für nähere Informationen). Sie müssen IPv6-Subnetze in eckigen Klammern eingeben, gefolgt vom Präfix (wie: [2001:db8::]/32).

    Siehe das folgende Beispiel:

    192.168.0.0/26 #Dies ist ein Subnetz für Rechenzentren.
    192.168.2.0/26 ;Dies ist ein Subnetz der Zweigstelle.
    [2001:db8::]/32

    Wenn eine Verteilung Zonenserver umfasst, kopieren Sie Einträge aus dem Textfeld in die Zwischenablage, um sie zu verwenden, wenn Sie separierte Subnetze auf einem Zonenserver konfigurieren.

  4. Klicken Sie auf Save (Speichern).

Konfigurieren separierter Subnetze auf einem Zonenserver

Wenn eine Verteilung Zonenserver enthält, führen Sie die folgenden Schritte auf der Grundlage Ihrer Tanium-Infrastruktur aus, um jedem Server eine separierte Subnetzkonfiguration hinzuzufügen.

Windows-Infrastruktur

  1. Erstellen Sie eine Klartextdatei mit dem Namen SeparatedSubnets.txt.
  2. Kopieren und fügen Sie die Informationen zu separierten Subnetzen, die Sie für den Tanium Server eingegeben haben, in SeperatedSubnets.txt ein.

    Wenn Sie die Informationen nicht bereits in die Zwischenablage kopiert haben, gehen Sie zu Administration > Configuration (Konfiguration) > Subnets (Subnetze), wählen Sie die Konfiguration der separierten Subnetze aus, klicken Sie auf Edit (Bearbeiten) und kopieren Sie die Einträge aus dem Textfeld.

  3. Verschieben Sie SeparatedSubnets.txt in das Installationsverzeichnis jedes Zonenservers (das Standard-Installationsverzeichnis ist \Program Files (x86)\Tanium\Tanium Zone Server). Falls erforderlich, können Sie den Dateiinhalt für jeden Zonenserver ändern, der eine einzigartige Konfiguration erfordert.

Infrastruktur der Tanium-Appliance

  1. Melden Sie sich auf der Zonenserver-Appliance bei der TanOS-Konsole als Benutzer mit der Rolle Tanadmin an.
  2. Geben Sie im tanadmin-Menü 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen. GeschlossenBildschirm anzeigen
  3. Geben Sie 2 ein, um zum Menü Configuration Settings (Konfigurationseinstellungen) zu gelangen. GeschlossenBildschirm anzeigen
  4. Geben Sie 12 ein, um die Datei SeparatedSubnets.txt zu bearbeiten. GeschlossenBildschirm anzeigen
  5. Verwenden Sie das Menü, um Subnetze im CIDR-Format anzugeben.

Isolierte Subnetze konfigurieren

Konfigurieren Sie isolierte Subnetze, um Client-Peering für eine angegebene Liste von IP-Adressen für Subnetz und Endpunkt zu deaktivieren. Wenn sich die IP-Adresse eines Tanium Client in einem isolierten Subnetz befindet, sendet TaaS der Tanium Server oder Zonenserver diesem Client eine leere Peer-Liste, um zu verhindern, dass der Client am Peering teilnimmt.

Sie müssen die Tanium Server oder Zonenserver nach der Konfiguration isolierter Subnetze nicht neu starten. Tanium Clients benötigen zwei bis sechs Stunden (das randomisierte Client-Reset-Intervall), um die Anwendung aller Änderungen im Zusammenhang mit der neuen Konfiguration abzuschließen. Um zu überprüfen, ob die isolierten Subnetze nach der Registrierung der Clients wie erwartet funktionieren, siehe Tanium Client Management Benutzerhandbuch: Verifizieren von Tanium Client Peering und Leader-Verbindungen.

Konfigurieren Sie isolierte Subnetze für Tanium Clients, die sich in VPNs befinden. VPN-Clients haben lokale IP-Adressen in einem speziellen VPN-Adressblock, aber ihre Host-Endpunkte sind tatsächlich nicht nahe beieinander. VPN-Clients würden WAN-Links für Peering verwenden und die Latenz wäre deutlich größer als bei Client-zu-Server-Verbindungen.

Möglicherweise finden Sie es einfach, isolierte Subnetze zu verwenden, um Peering in anderen Fällen zu deaktivieren, z. B. zum Testen oder Debuggen von Peering, wenn Sie Netzwerkprobleme beheben müssen. Beachten Sie, dass das Deaktivieren von Peering dazu führt, dass Tanium Clients mehr Netzwerkressourcen in Bezug auf Bandbreite und Client-Server-Verbindungen über das WAN verbrauchen. Bei der Fehlerbehebung ist es die beste Methode, die Clients aus der Konfiguration isolierter Subnetze zu entfernen, nachdem Sie die Netzwerkprobleme gelöst haben, damit sie wieder Peering durchführen.

Konfigurieren isolierter Subnetze auf dem Tanium Server

  1. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Subnets (Subnetze).
  2. Klicken Sie im Abschnitt Isolated Subnets (Isolierte Subnetze) auf New Subnets (Neue Subnetze).
  3. Geben Sie jedes isolierte Subnetz im CIDR-Format (wie 192.168.2.0/26) mit einer Zeile pro Eintrag ein. Verwenden Sie das Zeichen ; oder # vor optionalen Kommentaren.

    Die Tanium Core Platform 7.3 oder höher unterstützt IPv6-Subnetze (kontaktieren Sie den Tanium Support unter [email protected]). Sie müssen IPv6-Subnetze in eckigen Klammern eingeben, gefolgt vom Präfix (wie [2001:db8::]/32).

    Siehe das folgende Beispiel:

    192.168.0.0/26 #Dies ist ein Subnetz für Rechenzentren.
    192.168.2.0/26 ;Dies ist ein Subnetz der Zweigstelle.
    [2001:db8::]/32

    Wenn die Verteilung Zonenserver umfasst, kopieren Sie Einträge aus dem Textfeld in die Zwischenablage, um sie zu verwenden, wenn Sie isolierte Subnetze auf einem Zonenserver konfigurieren.

  4. Klicken Sie auf Save (Speichern).

Konfigurieren isolierter Subnetze auf einem Zonenserver

Wenn die Bereitstellung Zonenserver umfasst, führen Sie eines der folgenden Verfahren durch, je nachdem, ob Sie alle Clients oder Clients in bestimmten Subnetzen und Ihrer Tanium-Infrastruktur isolieren möchten.

Der Zonenserver wendet die restriktivste Regel an, um das Subnetz für einen Client zu bestimmen. Wenn Sie die Einstellung zs_address_mask oder AddressMask so konfigurieren, dass Clients isoliert werden, überschreibt diese Einstellung jede subnetzbasierte Isolierung, die in einer Datei IsolatedSubnets.txt konfiguriert ist.

Alle mit jedem Zonenserver verbundenen Clients isolieren

Setzen Sie die globale Einstellung zs_address_mask auf dem Tanium Server (>Administration > Management Global Settings (Globale Einstellungen)) auf 4294967295, die /32 Subnetzgrenzen (Einzelhosts) für alle Zonenserver festlegt.

Für weitere Informationen siehe Tanium Client Management Benutzerhandbuch: Einstellungen für Adressmaske und Präfix.

Alle mit einem bestimmten Zonenserver verbundenen Clients isolieren

  1. Melden Sie sich als Administratorbenutzer bei dem Zonenserver-Host an.
  2. Öffnen Sie die CLI (siehe Referenzhandbuch zur Bereitstellung der Tanium Core Platform: CLI).

  3. Navigieren Sie zum Zoneserver-Installationsordner:

    > cd <Zoneserver>

  4. Konfigurieren Sie die lokale Einstellung von AddressMask, um /32 Subnetzgrenzen (einzelne Hosts) festzulegen:

    > TaniumZoneServer config set AddressMask 4294967295

Für weitere Informationen siehe Tanium Client Management Benutzerhandbuch: Einstellungen für Adressmaske und Präfix.

Kunden auf bestimmten Subnetzen mit Windows Infrastruktur isolieren

  1. Erstellen Sie eine Klartextdatei namens IsolatedSubnets.txt.
  2. Kopieren und fügen Sie die Informationen zu isolierten Subnetzen, die Sie für den Tanium Server eingegeben haben, in IsolatedSubnets.txt ein.

    Wenn Sie die Informationen nicht bereits in die Zwischenablage kopiert haben, gehen Sie zu Administration > Configuration (Konfiguration) > Subnets (Subnetze), wählen Sie die Konfiguration der isolierten Subnetze aus, klicken Sie auf Edit (Bearbeiten)und kopieren Sie die Einträge aus dem Textfeld.

  3. Verschieben Sie IsolatedSubnets.txt in das Installationsverzeichnis jedes Zonenservers (das Standard-Installationsverzeichnis ist \Program Files (x86)\Tanium\Tanium Zone Server). Falls erforderlich, können Sie den Dateiinhalt für jeden Zonenserver ändern, der eine einzigartige Konfiguration erfordert.

Clients auf bestimmten Subnetzen mit Tanium Appliance-Infrastruktur isolieren

  1. Melden Sie sich auf der Zonenserver-Appliance bei der TanOS-Konsole als Benutzer mit der Rolle Tanadmin an.
  2. Geben Sie im tanadmin-Menü 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen. GeschlossenBildschirm anzeigen
  3. Geben Sie 2 ein, um zum Menü Configuration Settings (Konfigurationseinstellungen) zu gelangen. GeschlossenBildschirm anzeigen
  4. Geben Sie 11 ein, um die Datei IsolatedSubnets.txt zu bearbeiten. GeschlossenBildschirm anzeigen
  5. Verwenden Sie das Menü, um Subnetze im CIDR-Format anzugeben.