Dépanner l’Application de TDR Host Sensor

Pour dépanner TDR Host Sensor Enforcement, vérifiez les paramètres des configurations suivantes :

Compte TDR

  • Se Connecter à TDR et vérifiez que Activer l'Application du Host Sensor pour les connexions VPN au Firebox est configuré sur Activé.
  • Vérifiez que la clé d'authentification TDR est identique à celle spécifiée sur le Firebox dans le menu Services d'Abonnement > Threat Detection.

Firebox

Configuration TDR

Sur le Firebox dans le menu Services d'Abonnement> Threat Detection :

  • Vérifiez que Host Sensor Enforcement est activé.
  • Vérifiez que la clé d'authentification TDR est identique à celle de votre compte TDR.
  • Si des exigences de système d'exploitation ont été spécifiées, déterminez si le périphérique de l'utilisateur y répond.

Host Sensor Enforcement prend en charge les systèmes d'exploitation Windows et macOS figurant dans la section Tableau de Compatibilité des Systèmes d'Exploitation des Notes de Version de Fireware.

Si vous sélectionnez une option de système d'exploitation différente de Tout, les périphériques mobiles doivent exécuter ce système d'exploitation ou une version ultérieure pour se connecter à votre Firebox via le mobile VPN.

Le contrôle du système d'exploitation ne s'applique pas aux systèmes d'exploitation Windows Server. Si un utilisateur se connecte à un mobile VPN depuis un système d'exploitation Windows Server pris en charge, le Firebox autorise la connexion, quels que soient les paramètres de contrôle du système d'exploitation, si le système Windows Server satisfait aux autres exigences de TDR Host Sensor Enforcement.

Configuration Mobile VPN

Dans les configurations Mobile VPN with IKEv2, Mobile VPN with L2TP et Mobile VPN with SSL suivantes :

  • Vérifiez que Host Sensor Enforcement a été activé pour au moins un groupe mobile VPN.
  • Vérifiez que l'utilisateur est membre de ce groupe.

Pour Mobile VPN with IPSec, dans Authentification > Utilisateurs et Groupes :

  • Vérifiez que Host Sensor Enforcement a été activé pour au moins un groupe mobile VPN.
  • Vérifiez que l'utilisateur est membre de ce groupe.

Pour les groupes mobile VPN, veuillez noter les points suivants :

  • Si un utilisateur appartient à plusieurs groupes appartenant à la même configuration mobile VPN et que vous activez Host Sensor Enforcement pour l'un de ces groupes, l'application s'applique à cet utilisateur. À titre d'exemple, si un utilisateur appartient à deux groupes Mobile VPN with IKEv2, mais que vous activez l'application pour un seul de ces groupes, l'application s'applique à cet utilisateur.
  • Si un utilisateur appartient à plusieurs groupes appartenant à différentes configurations mobile VPN et que vous activez Host Sensor Enforcement pour certains de ces groupes, l'application s'applique à cet utilisateur uniquement pour les types de connexion VPN ayant activé l'application. À titre d'exemple, si un utilisateur appartient aux groupes Utilisateur-IKEv2 et Utilisateurs-SSLVPN et que vous activez l'application uniquement pour Utilisateurs-IKEv2, l'application s'applique à cet utilisateur uniquement pour les connexions Mobile VPN with IKEv2. L'application ne s'applique pas à cet utilisateur pour connexions Mobile VPN with SSL.

Si vous cochez la case Sélectionner pour un groupe, le Firebox ajoute ce groupe au groupe par défaut (Utilisateurs-IKEv2, Utilisateurs-SSLVPN, Utilisateurs-L2TP ou Utilisateurs-IPSec). Si vous n'activez Host Sensor Enforcement que pour certains groupes appartenant au groupe par défaut, ne l'activez pas pour le groupe par défaut.

Pour modifier le niveau de consignation et afficher les messages de journal :

  1. Remplacez le niveau de consignation par Déboguer.
  2. Affichez les messages de journal dans Web UI ou Firebox System Manager.
  3. Recherchez vpn_enforcer (le processus gérant Host Sensor Enforcement pour les connexions VPN).

Périphérique Mobile

Windows

À partir d'un périphérique Windows connecté au mobile VPN, vérifiez les points suivants :

  • Le système d'exploitation est Windows ou macOS, et la version du système d'exploitation répond aux exigences spécifiées dans les paramètres Host Sensor Enforcement du Firebox.
  • Le TDR Host Sensor de l'hôte est associé à un UUID de compte TDR spécifié dans les paramètres Host Sensor Enforcement sur le Firebox.
  • Le service TDRSensorService est en cours d'exécution.
  • Le pare-feu Windows possède une règle « WatchGuard HostSensor » autorisant les connexions entrantes au port TCP 33000.
  • Le cas échéant, le pare-feu tiers utilisé par le périphérique autorise les connexions entrantes au port TCP 33000.
  • Le TDR Host Sensor écoute sur le port TCP 33000. Pour vérifier ce point, nous vous recommandons d'utiliser TCPView, un outil Windows indiquant l'état des terminaux TCP. Dans TCPView, triez la colonne Processus et recherchez host_sensor.exe.

Pour remplacer le niveau de consignation par Tracer et afficher les journaux, dans Windows :

  1. Dans le Gestionnaire de Tâches, arrêtez le service TDRSensorService.
  2. À partir d'une invite de commandes d'administrateur, dans le dossier d'installation de Threat Detection and Response, saisissez les commandes suivantes pour remplacer le niveau de consignation par Tracer :
    host_sensor.exe /setLogLevel=trace
  3. Pour consulter le journal, dans la barre des tâches de Windows, faites un clic droit sur l'application TDR Host Sensor puis sélectionnez Afficher l'Emplacement du Fichier Journal. Le journal [nomdupériphérique]_host_sensor.log s'affiche dans le dossier d'installation de Threat Detection and Response.
  4. Dans le fichier journal, recherchez :
    sensor.query.server —Pour vérifier que la configuration du Host Sensor correspond aux valeurs escomptées de votre compte TDR.
    SensorQueryServer —Pour afficher l'activité de création de connexion comprenant les erreurs d'émission et réception des messages via la connexion.
    ConfigManager — Pour afficher les événements liés à la configuration.
    À titre d'exemple, consultez la section Exemples de Messages de Journal de cette section.
  5. Après le dépannage, réinitialisez le niveau de journalisation sur Info, qui est le paramètre par défaut.
    host_sensor.exe /setLogLevel=info
  6. Démarrez le service Threat Detection and Response.

macOS

Depuis un périphérique macOS connecté au mobile VPN :

  • Vérifiez que la version de macOS répond aux exigences spécifiées dans les paramètres Host Sensor Enforcement du Firebox.
  • Vérifiez que le TDR Host Sensor de l'hôte est associé à un UUID de compte TDR spécifié dans les paramètres Host Sensor Enforcement sur le Firebox.
  • Vérifiez que le service TDRSensorService est en cours d'exécution. À partir d'une invite de commande, saisissez :
    ps -ef | grep host_sensor
  • Vérifiez que le TDR Host Sensor écoute sur le port TCP 33000. À partir d'une invite de commande, saisissez :
    netstat -a -p tcp | grep 33000

Pour remplacer le niveau de consignation par Tracer et afficher les journaux, dans macOS :

  1. Arrêtez le service TDRSensorService. À partir d'une invite de commande, saisissez :
    sudo lauchnctl (un)load /Library/LaunchDaemons/com.watchguard.tdr.hostsensor.plist
  2. Paramétrez le niveau de consignation sur Tracer. À partir d'une invite de commande, saisissez :
    sudo /usr/local/watchguard/tdr/amd64/hostsensor  --setLogLevel=trace
  3. Dans le journal, recherchez :
    sensor.query.server —Pour vérifier que la configuration du Host Sensor correspond aux valeurs escomptées de votre compte TDR.
    SensorQueryServer —Pour afficher l'activité de création de connexion comprenant les erreurs d'émission et réception des messages via la connexion.
    ConfigManager — Pour afficher les événements liés à la configuration.
    À titre d'exemple, consultez la section Exemples de Messages de Journal de cette section.
  4. Après le dépannage, réinitialisez le niveau de journalisation sur Info, qui est le paramètre par défaut.
    sudo /usr/local/watchguard/tdr/amd64/hostsensor  --setLogLevel=info
  5. Démarrez le service TDRSensorService.

Exemples de messages de journal

Sur un périphérique Windows ou macOS, les messages suivants s'affichent si la clé d'authentification est valide :

2019-12-02 06:43:37.050 [Information] [thread:8980] [SensorQueryServer] Creating connection
2019-12-02 06:43:37.051 [Information] [thread:8980] [SensorQueryServer] readEchoRequest start
2019-12-02 06:43:37.109 [Information] [thread:8980] [SensorQueryServer] Received echo request
2019-12-02 06:43:37.118 [Information] [thread:8980] [SensorQueryServer] Echo response sent

Les messages suivants s'affichent si la clé d'authentification est invalide :

2019-12-02 06:48:52.158 [Information] [thread:8980] [SensorQueryServer] Creating connection
2019-12-02 06:48:52.158 [Information] [thread:8980] [SensorQueryServer] readEchoRequest start
2019-12-02 06:48:52.158 [Error] [thread:8980] [SensorQueryServer] HMAC verification failed

Voir Également

À propos de TDR Host Sensor Enforcement

Configurer l’Application de TDR Host Sensor

À Propos de TDR