Quando um cliente tenta acessar a rede interna, o appliance DHCP Enforcer verifica primeiramente se o cliente está executando um cliente. Caso esteja, o appliance DHCP Enforcer encaminha a mensagem do DHCP do cliente para o servidor DHCP para obter um endereço IP de quarentena com um tempo de concessão curto. Esse processo é usado internamente pelo appliance DHCP Enforcer para seu processo de autenticação.
139 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager
O appliance DHCP Enforcer inicia, então, a sessão de autenticação com o cliente. Uma sessão de autenticação é um conjunto de pacotes de desafio que o appliance DHCP Enforcer envia para cada cliente.
Durante a sessão de autenticação, o appliance DHCP Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada.
A configuração padrão é a cada três segundos.
O appliance DHCP Enforcer continua a enviar pacotes até que uma das seguintes condições tenham sido satisfeitas:
■ O appliance DHCP Enforcer receba uma resposta do cliente
■ O appliance DHCP Enforcer envie o número máximo de pacotes especificados. A configuração padrão é 10.
A freqüência (3 segundos) vezes o número de pacotes (10) é o valor que é usado para a pulsação do appliance DHCP Enforcer. A pulsação é o intervalo que o appliance DHCP Enforcer permite que o cliente continue conectado antes de iniciar uma nova sessão de autenticação.
A configuração padrão é 30 segundos.
O cliente envia informações que contêm os seguintes itens para o appliance DHCP Enforcer:
■ Identificador único (UID)
■ O número de série do perfil atual
■ Os resultados da verificação de integridade do host
O appliance DHCP Enforcer verifica o UID e o número de série da política do cliente com o Symantec Endpoint Protection Manager. Se o cliente foi atualizado com as últimas políticas de segurança, o número de série da política corresponderá ao número que o appliance DHCP Enforcer recebeu do servidor de gerenciamento. Os resultados da verificação de integridade do host mostram se o cliente está ou não em conformidade com as políticas atuais de segurança.
Se as informações do cliente passarem nos requisitos de autenticação, o appliance DHCP Enforcer encaminha a solicitação DHCP ao servidor DHCP. O appliance DHCP Enforcer espera receber uma configuração de rede DHCP normal. Do contrário, o appliance DHCP Enforcer as encaminha para o servidor DHCP em quarentena para receber uma configuração de rede de quarentena.
É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena Consulte“Planejamento da instalação para um appliance DHCP Enforcer”
na página 54.
Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação
Após o intervalo de pulsação, ou sempre que o cliente tentar renovar seu endereço IP, o appliance DHCP Enforcer começa uma nova sessão de autenticação. O cliente deve responder para manter a conexão à rede interna.
O appliance DHCP Enforcer desconecta os clientes que não responderem. Para os clientes que foram previamente autenticados, mas que agora falham na autenticação, o appliance DHCP Enforcer envia uma mensagem para o servidor DHCP. A mensagem é uma solicitação de liberação do endereço IP atual. Depois, o appliance DHCP Enforcer envia uma mensagem do DHCP para o cliente. O cliente envia uma solicitação para obter um endereço IP e uma configuração de rede novos para o appliance DHCP Enforcer. O DHCP Enforcer encaminha a solicitação ao servidor DHCP em quarentena.
Especificação do número máximo de pacotes de desafio durante uma
sessão de autenticação
Durante a sessão de autenticação, o appliance DHCP Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada.
O appliance DHCP Enforcer continua a enviar pacotes até que as seguintes condições tenham sido satisfeitas:
■ O appliance DHCP Enforcer receba uma resposta do cliente
■ O appliance DHCP Enforcer envie o número máximo de pacotes especificados. A configuração padrão do número máximo de pacotes de desafio durante uma sessão de autenticação é 10.
Para especificar o número máximo de pacotes de desafio durante uma sessão de autenticação
1
No console do Symantec Endpoint Protection Manager, clique em Admin.2
Na página Admin, clique em Servidores.3
Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers.O grupo do appliance Enforcer deve incluir o DHCP Enforcer para o qual deseja especificar o número máximo de pacotes de desafio durante uma sessão de autenticação.
4
Na página Admin, em Tarefas, clique em Editar propriedades do grupo.141 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager
5
Na guia Autenticação, em Parâmetros de autenticação, digite o número máximo de pacotes de desafio que deseja permitir durante uma sessão de autenticação no campo Número máximo de pacotes por sessão autenticada. A configuração padrão é 10.6
Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.Especificação da freqüência de envio dos pacotes de desafio aos
clientes
Durante a sessão de autenticação, o appliance DHCP Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada.
O appliance DHCP Enforcer continua a enviar pacotes até que as seguintes condições tenham sido satisfeitas:
■ O appliance DHCP Enforcer receba uma resposta do cliente
■ O appliance DHCP Enforcer envie o número máximo de pacotes especificados. A configuração padrão é a cada três segundos.
Para especificar a freqüência de pacotes de desafio a serem enviados aos clientes
1
No console do Symantec Endpoint Protection Manager, clique em Admin.2
Na página Admin, clique em Servidores.3
Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers.O grupo do appliance DHCP Enforcer deve incluir o appliance DHCP Enforcer para o qual deseja especificar a freqüência de pacotes de desafio a serem enviados aos clientes.
4
Na página Admin, em Tarefas, clique em Editar propriedades do grupo.5
Na guia Autenticação, em Parâmetros de autenticação, digite o número máximo de pacotes de desafio que deseja que o DHCP Enforcer continue a enviar a um cliente durante uma sessão de autenticação no campo Períodode tempo entre pacotes em sessão de autenticação.
A configuração padrão é 10.
6
Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação
Permissão para todos os clientes com registros contínuos de clientes
não autenticados
Pode levar algum tempo para implantar todo o software-cliente. É possível configurar o appliance DHCP Enforcer para permitir que todos os clientes se conectem à rede após a distribuição do pacote de clientes para todos os usuários. Todos esses usuários se conectam a um servidor DHCP no local desse appliance DHCP Enforcer.
O appliance DHCP Enforcer ainda autentica todos os usuários, verificando se estão executando um cliente, efetuando a verificação de integridade do host e registrando os resultados. Ele encaminha solicitações DHCP para receber a configuração de rede do servidor DHCP normal, em vez da configuração de rede de quarentena. Esse processo ocorre independentemente da aprovação ou falha das verificações de integridade do host.
A configuração padrão é não ativada.
Use as seguintes diretrizes quando aplicar as definições de configuração:
■ Essa configuração deve ser uma medida temporária, uma vez que torna a rede menos segura.
■ Enquanto essa configuração estiver ativa, você poderá analisar os registros do Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à rede naquele local.
Por exemplo, o registro de atividades do cliente pode ser analisado para verificar se algum dos clientes não tem o software-cliente instalado. Depois, você pode certificar-se de que o software-cliente esteja instalado nesses clientes antes de desativar essa opção.
Para permitir todos os clientes com registros contínuos de clientes não autenticados
1
No console do Symantec Endpoint Protection Manager, clique em Admin.2
Na página Admin, clique em Servidores.3
Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers.O grupo do Enforcer deve incluir o DHCP Enforcer para o qual deseja permitir todos os clientes enquanto continua o registro de clientes não autenticados.
4
Na página Admin, em Tarefas, clique em Editar propriedades do grupo.143 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager
5
Na caixa de diálogo Configurações, na guia Autenticação, selecione Permitirtodos os clientes, mas continuar a registrar quais clientes não são autenticados
A configuração padrão é não ativada.
6
Clique em OK.Permissão para que clientes que não sejam Windows se conectem à
rede sem autenticação
O appliance DHCP Enforcer não pode autenticar um cliente que executa um sistema operacional que não seja Windows. Portanto, os clientes que não sejam Windows não podem se conectar à rede, a menos que seja permitido, especificamente, que se conectem à rede sem autenticação.
A configuração padrão é não ativada.
É possível usar um dos seguintes métodos para ativar os clientes compatíveis com plataformas que não sejam Windows para conectar-se à rede:
■ Especificar cada cliente que não seja Windows como host confiável.
■ Todos os clientes com sistemas operacionais que não sejam Windows. O appliance DHCP Enforcer detecta o sistema operacional do cliente e autentica clientes Windows. No entanto, ele não permite que clientes que não sejam Windows se conectem ao servidor DHCP normal sem autenticação.
Para permitir que clientes que não sejam Windows conectem-se a uma rede sem autenticação
1
No console do Symantec Endpoint Protection Manager, clique em Admin.2
Na página Admin, clique em Servidores.3
Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers.O grupo do appliance DHCP Enforcer deve incluir o appliance DHCP Enforcer para o qual deseja permitir que todos os clientes que não sejam Windows se conectem a uma rede.
4
Na página Admin, em Tarefas, clique em Editar propriedades do grupo.5
Na caixa de diálogo Configurações, na guia Autenticação, selecione Todos osclientes com sistemas operacionais que não sejam Windows.
A configuração padrão é não ativada.
6
Clique em OK.Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação