Guia de Implementação do Symantec Network Access Control Enforcer

(1)

Guia de Implementação do

Symantec™ Network Access

Control Enforcer

(2)

Guia de Implementação do Symantec Network Access

Control Enforcer

O software descrito neste livro é fornecido sob um contrato de licença e deve ser usado somente de acordo com os termos desse contrato.

Versão da documentação 11.00.03.01.00

Aviso legal

Symantec, o logotipo da Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan, Bloodhound, Confidence Online, Digital Immune System e Norton são marcas comerciais ou marcas registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Este produto da Symantec pode conter software de terceiros para o qual são necessárias atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou livre. O contrato de licença que acompanha o software não altera nenhum direito ou obrigação que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP que acompanha este produto da Symantec para obter mais informações sobre os Programas de terceiros.

O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia, a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma a reprodução de qualquer seção deste documento sem a autorização prévia escrita da Symantec Corporation e dos concessores de licenças, se houver algum.

A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÃO SEM PRÉVIO AVISO.

O Software licenciado e a documentação são considerados software comercial para computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou documentação de software comercial para computadores", conforme aplicável, e todas regulamentações sucessoras. Qualquer uso, modificação, reprodução, apresentação, exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA deve ser feita exclusivamente de acordo com os termos deste Contrato.

(3)

Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.br

(4)

Suporte técnico

O suporte técnico da Symantec mantém centros de suporte globais. A função principal do Suporte técnico é responder a consultas específicas sobre recursos e funcionalidades do produto. A equipe de Suporte técnico cria também conteúdo para a Base de conhecimento on-line. A equipe de Suporte técnico trabalha em colaboração com as outras áreas funcionais dentro da Symantec para responder as suas perguntas de maneira oportuna. Por exemplo, a equipe de Suporte técnico trabalha com o Product Engineering e o Symantec Security Response para fornecer serviços de alerta e atualizações das definições de vírus.

As ofertas de manutenção da Symantec incluem o seguinte:

■ Uma variedade de opções de suporte que oferecem flexibilidade para selecionar a quantidade adequada de serviço para empresas de qualquer porte

■ Suporte telefônico e com base na Web que fornece resposta rápida e informações atualizadas por minuto

■ Garantia de upgrade que fornece proteção automática de upgrade de software

■ Suporte global disponível às 24 horas do dia, 7 dias da semana

■ Recursos avançados, incluindo Account Management Services (Serviços de gerenciamento de conta)

Para obter informações sobre os programas de manutenção da Symantec, consulte nosso site no seguinte URL:

www.symantec.com/techsupp/

Como contatar o Suporte técnico

Os clientes com um contrato de manutenção atual podem acessar as informações do Suporte técnico no seguinte URL:

Antes de contatar o Suporte técnico, certifique-se de satisfazer os requisitos do sistema relacionados na documentação do produto. Além disso, é necessário estar no computador em que o problema ocorreu, caso seja necessário replicar o problema.

Quando contatar o Suporte técnico, tenha as seguintes informações disponíveis:

■ Nível de versão do produto

■ Informações de hardware

■ Memória disponível, espaço em disco e informações do NIC

(5)

■ Versão e nível de patch

■ Topologia da rede

■ Informações do roteador, gateway e do endereço IP

■ Descrição do problema:

■ Mensagens de erro e arquivos de log

■ Soluções executadas antes de contatar a Symantec

■ Mudanças de configuração do software e mudanças da rede recentes

Licenciamento e registro

Se seus produtos Symantec exigem registro ou um código de licença, acesse a página da Web do Suporte técnico no seguinte URL:

Atendimento ao cliente

As informações de atendimento ao cliente estão disponíveis no seguinte URL:

O Atendimento ao cliente está disponível para ajudá-lo com os seguintes tipos de problemas:

■ Perguntas referentes ao licenciamento ou à serialização do produto

■ Atualizações do registro do produto, tais como alterações de endereço ou de nome

■ Informações gerais sobre o produto (recursos, disponibilidade de idioma, revendedores locais)

■ Informações mais recentes sobre atualizações do produto e upgrades

■ Informações sobre contratos de garantia de upgrade e de manutenção

■ Informação sobre o Symantec Buying Programs (Programas de compra da Symantec)

■ Conselhos sobre as opções de suporte técnico da Symantec

■ Perguntas não técnicas de pré-venda

(6)

Recursos do contrato de manutenção

Se deseja contatar a Symantec a respeito de um contrato de manutenção existente, contate a equipe de administração do contrato de manutenção para sua região da seguinte forma:

contractsadmin@symantec.com Pacífico-Asiático e Japão

semea@symantec.com Europa, Oriente Médio e África

supportsolutions@symantec.com America do Norte e América Latina

Serviços corporativos adicionais

A Symantec oferece um conjunto abrangente de serviços que permitem maximizar seu investimento nos produtos Symantec e desenvolver seus conhecimentos, perícia e introspecção global, o que permite que você gerencie riscos comerciais de forma proativa.

Os serviços corporativos disponíveis incluem:

Essas soluções fornecem alertas preventivos de ataques pela Internet, análise de ameaça detalhada e medidas defensivas para impedir ataques antes que ocorram.

Symantec Early Warning Solutions (Soluções de alertas preventivos da Symantec)

Esses serviços removem a carga de gerenciar e monitorar dispositivos e eventos de segurança, garantindo resposta rápida a ameaças reais.

Managed Security Services (Serviços de segurança gerenciados)

Os Symantec Consulting Services (Serviços de consultoria da Symantec) fornecem a perícia técnica no local da Symantec e de seus parceiros confiáveis. Os Symantec Consulting Services (Serviços de consultoria da Symantec) oferecem uma variedade de opções prontas e personalizáveis que incluem recursos de avaliação, design, implementação, monitoramento e de gerenciamento. Cada um desses recursos está concentrado em estabelecer e manter a integridade e disponibilidade de seus recursos de TI.

Consulting Services (Serviços de consultoria)

Os Educational Services (Serviços educacionais) fornecem uma variedade completa de treinamento técnico, instrução de segurança, certificação de segurança e de programas de comunicação para conscientização. Educational Services (Serviços

educacionais)

Para acessar mais informações sobre os Serviços corporativos, consulte nosso site no seguinte URL:

www.symantec.com

(7)

Suporte técnico

... 4

Seção 1

Instalação e configuração dos appliances

do Symantec Network Access Control

Enforcer

... 25

Capítulo 1

Apresentação do appliance Enforcer

... 27

Sobre os appliances Symantec Enforcer ... 27

Público-alvo ... 28

Tipos de aplicações ... 29

O que pode ser feito com os appliances Symantec Network Access Control Enforcer ... 31

Sobre as políticas de integridade do host e o appliance Enforcer ... 32

Comunicação entre um appliance Enforcer e um Symantec Endpoint Protection Manager ... 33

Comunicação entre o appliance Enforcer e os clientes ... 34

Como funciona o appliance Gateway Enforcer ... 35

Como funciona o appliance DHCP Enforcer ... 36

Como funciona o appliance LAN Enforcer ... 37

Como funciona a configuração básica do LAN Enforcer ... 38

Como funciona o modo transparente do LAN Enforcer ... 39

Sobre a autenticação 802.1x ... 40

Suporte para soluções de aplicação de terceiros ... 41

Onde obter mais informações sobre os appliances Symantec Enforcer ... 41

Capítulo 2

Planejamento para a instalação do appliance

Enforcer

... 43

Planejamento da instalação para appliances Enforcer ... 43

Planejamento da instalação para um appliance Gateway Enforcer ... 44

Onde colocar o appliance Gateway Enforcer ... 45

(8)

Diretrizes para endereços IP em um appliance Gateway

Enforcer ... 47

Sobre dois appliances Gateway Enforcer em série ... 47

Proteção do acesso à VPN através de um appliance Gateway Enforcer ... 48

Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer ... 48

Proteção dos servidores através de um appliance Gateway Enforcer ... 48

Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer ... 49

Requisitos para a permissão de clientes que não sejam Windows sem autenticação ... 50

Planejamento de failover para appliances Gateway Enforcer ... 51

Como o failover funciona com os appliances Gateway Enforcer na rede ... 51

Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs ... 52

Configuração de appliances do Gateway Enforcer para failover ... 54

Planejamento da instalação para um appliance DHCP Enforcer ... 54

Onde colocar os appliances DHCP Enforcer em uma rede ... 54

Endereços IP do appliance DHCP Enforcer ... 56

Proteção de clientes que não sejam Windows com aplicação de DHCP ... 57

Sobre o servidor DHCP ... 58

Planejamento de failover para appliances DHCP Enforcer ... 59

Como o failover funciona com os appliances DHCP Enforcer na rede ... 59

Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs ... 60

Configuração de appliances DHCP Enforcer para failover ... 62

Planejamento da instalação para um appliance LAN Enforcer ... 63

Onde colocar appliances LAN Enforcer ... 63

Planejamento de failover para appliances LAN Enforcer ... 66

Onde colocar os appliances LAN Enforcer para failover em uma rede ... 66

Sumário 8

(9)

Capítulo 3

Upgrade e migração de imagens do appliance

Enforcer

... 69

Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000 ... 69

Como determinar a versão atual de uma imagem do appliance Enforcer ... 70

Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 ... 71

Migração da imagem do appliance Enforcer de 5.1.x para 11.0.3000 ... 71

Geração de imagens do appliance Enforcer ... 72

Capítulo 4

Instalação do appliance Enforcer pela primeira

vez

... 75

Antes da instalação do appliance Enforcer ... 75

Sobre a instalação do appliance Gateway Enforcer ... 76

Sobre a instalação do appliance DHCP Enforcer ... 76

Sobre a instalação do appliance LAN Enforcer ... 77

Sobre os indicadores e os controles do appliance Enforcer ... 77

Configurações da NIC dos appliances Gateway Enforcer ou DHCP Enforcer ... 79

Instalação de um appliance Enforcer ... 80

Sobre a trava do appliance Enforcer ... 85

Capítulo 5

Execução de tarefas básicas no console de um

appliance Enforcer

... 87

Sobre a execução de tarefas básicas no console de um appliance Enforcer ... 87

Logon em um appliance Enforcer ... 88

Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager ... 89

Verificação do status de comunicação de um appliance Enforcer no console do Enforcer ... 91

Acesso remoto a um appliance Enforcer ... 92

Relatórios e registros de depuração do Enforcer ... 92

9 Sumário

(10)

Capítulo 6

Configuração do appliance Symantec Gateway

Enforcer no console do Symantec Endpoint

Protection Manager

... 93 Sobre a configuração do appliance Symantec Gateway Enforcer no

console do Symantec Endpoint Protection Manager ... 94 Alteração das definições de configuração do appliance Gateway

Enforcer em um servidor de gerenciamento ... 94 Uso das configurações gerais ... 98

Adição ou edição da descrição de um grupo do appliance Gateway Enforcer ... 99 Adição ou edição da descrição de um appliance Gateway

Enforcer ... 99 Adição ou edição do endereço IP ou nome do host de um appliance

Gateway Enforcer ... 100 Estabelecimento da comunicação entre o appliance Gateway

Enforcer e o Symantec Endpoint Protection Manager através de uma lista do servidor de gerenciamento ... 100 Uso das definições de autenticação ... 101 Sobre o uso das configurações de autenticação ... 101 Sobre as sessões de autenticação em um Gateway Enforcer

appliance ... 105 Sobre a autenticação do cliente em um Gateway Enforcer

appliance ... 106 Especificação do número máximo de pacotes de desafio durante

uma sessão de autenticação ... 107 Especificação da freqüência de envio dos pacotes de desafio aos

clientes ... 108 Especificação do período de tempo durante o qual um cliente é

bloqueado depois de a autenticação falhar ... 109 Especificação do período de tempo durante o qual um cliente tem

permissão para reter sua conexão de rede sem nova

autenticação ... 109 Permissão para todos os clientes com registros contínuos de

clientes não autenticados ... 110 Permissão para que clientes que não sejam Windows se conectem

à rede sem autenticação ... 111 Como fazer com que o appliance Gateway Enforcer verifique o

número de série da política em um cliente ... 112 Envio de uma mensagem de não-conformidade de um appliance

Gateway Enforcer a um cliente ... 113 Redirecionamento de solicitações HTTP para uma página da

Web ... 115

Sumário 10

(11)

Configurações de intervalo de autenticação ... 116 Intervalos de IP do cliente comparados a endereços IP externos

e confiáveis ... 117 Quando usar os intervalos de IP de cliente ... 117 Sobre os endereços IP confiáveis ... 118 Adição de intervalos de endereço IP do cliente à lista de endereços

que necessitam de autenticação ... 120 Edição de intervalos de endereço IP de cliente na lista de

endereços que necessitam de autenticação ... 121 Remoção de intervalos de endereço IP do cliente da lista de

endereços que necessitam de autenticação ... 122 Adição de um endereço IP interno e confiável para clientes em

um servidor de gerenciamento ... 122 Especificação de endereços IP externos e confiáveis ... 123 Edição de endereço IP interno e confiável ou endereço IP interno

e confiável ... 124 Remoção de um endereço IP interno e confiável ou um endereço

IP externo e confiável ... 125 Ordem de verificação do intervalo de IP ... 126 Uso das configurações avançadas do appliance Gateway

Enforcer ... 126 Especificação dos tipos de pacote e protocolos ... 127 Permissão para um cliente legado se conectar à rede com um

appliance Gateway Enforcer ... 128 Ativação da autenticação local em um appliance Gateway

Enforcer ... 129

Capítulo 7

Configuração do appliance Symantec DHCP

Enforcer no console do Symantec Endpoint

Protection Manager

... 131 Sobre a configuração do appliance Symantec DHCP Enforcer no

console do Symantec Endpoint Protection Manager ... 132 Alteração das configurações do appliance DHCP Enforcer em um

servidor de gerenciamento ... 132 Uso das configurações gerais ... 134

Adição ou edição do nome de um grupo do Enforcer com um

DHCP Enforcer ... 134 Adição ou edição da descrição de um grupo do Enforcer com um

DHCP Enforcer ... 134 Adição ou edição do endereço IP ou nome de host de um DHCP

Enforcer ... 135 Adição ou edição da descrição de um DHCP Enforcer ... 135

11 Sumário

(12)

Conexão do DHCP Enforcer a um Symantec Endpoint Protection

Manager ... 136

Uso das definições de autenticação ... 137

Sobre o uso das configurações de autenticação ... 137

Sobre as sessões de autenticação ... 139

Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação ... 141

Especificação da freqüência de envio dos pacotes de desafio aos clientes ... 142

Permissão para todos os clientes com registros contínuos de clientes não autenticados ... 143

Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação ... 144

Como fazer com que o DHCP Enforcer verifique o número de série da política em um cliente ... 145

Envio de uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente ... 146

Uso de configurações de servidores DHCP ... 147

Sobre o uso de configurações de servidores DHCP ... 147

Combinação de servidores DHCP normal e em quarentena no computador ... 148

Ativação de servidores DHCP normais e em quarentena separados ... 149

Adição de um servidor DHCP normal ... 149

Adição de um servidor DHCP em quarentena ... 150

Uso das configurações avançadas do appliance DHCP Enforcer ... 151

Configuração de uma quarentena automática para um cliente cuja autenticação falha ... 152

Especificação do período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede ... 152

Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação ... 153

Como impedir o spoofing de DNS ... 154

Permissão para um cliente legado conectar-se à rede com um appliance DHCP Enforcer ... 155

Ativação da autenticação local no appliance DHCP Enforcer ... 156

Sumário 12

(13)

Capítulo 8

Configuração do appliance Symantec LAN Enforcer

no console do Symantec Endpoint Protection

Manager

... 157

Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager ... 158

Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer ... 158

Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer ... 159

Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager ... 160

Uso das configurações gerais ... 162

Adição ou edição do nome de um grupo do appliance LAN Enforcer com um LAN Enforcer ... 163

Especificação de uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer ... 163

Adição ou edição da descrição de um grupo do Enforcer com um LAN Enforcer ... 164

Adição ou edição do endereço IP ou nome do host de um LAN Enforcer ... 165

Adição ou edição da descrição de um LAN Enforcer ... 165

Conexão do LAN Enforcer a um Symantec Endpoint Protection Manager ... 166

Uso das configurações de grupo do servidor RADIUS ... 167

Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS ... 168

Edição do nome de um grupo de servidor RADIUS ... 169

Edição do nome amigável de um servidor RADIUS ... 170

Edição do nome do host ou endereço IP de um servidor RADIUS ... 171

Edição do número da porta de autenticação de um servidor RADIUS ... 171

Edição do segredo compartilhado de um servidor RADIUS ... 172

Exclusão do nome de um grupo de servidor RADIUS ... 173

Exclusão de um servidor RADIUS ... 173

Uso das configurações do alternador ... 174

Sobre o uso das configurações do alternador ... 174

Sobre o suporte a atributos dos modelos de alternador ... 176

Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente ... 179

Edição de informações básicas sobre a política de alternador e o alternador compatível com 802.1x ... 187

13 Sumário

(14)

Edição de informações sobre o alternador compatível com

802.1x ... 193

Edição de informações VLAN para a política de alternador ... 194

Edição de informações de ação para a política de alternador ... 197

Uso das configurações avançadas do appliance LAN Enforcer ... 201

Permissão para um cliente legado se conectar à rede com um appliance LAN Enforcer ... 201

Ativação da autenticação local no appliance LAN Enforcer ... 202

Uso da autenticação 802.1x ... 202

Sobre a reautenticação no computador-cliente ... 205

Capítulo 9

Configuração de conexões temporárias para

clientes do Symantec Network Access Control

On-Demand

... 207

Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand ... 207

Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer ... 208

Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede ... 211

Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand ... 213

Configuração da autenticação com um banco de dados local integrado ... 213

Configuração da autenticação com o Microsoft Windows 2003 Server Active Directory ... 214

Configuração do cliente On-Demand no Windows para autenticação com o protocolo dot1x ... 215

Configuração do cliente On-Demand no Windows para autenticação com o protocolo peap ... 216

Edição do banner na página Bem-vindo ... 217

Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand ... 217

Capítulo 10

Interface da linha de comando do appliance

Enforcer

... 221

Sobre a hierarquia de comandos da CLI do appliance Enforcer ... 221

Hierarquia de comandos da CLI ... 222

Sumário 14

(15)

Como navegar na hierarquia de comandos ... 225

Atalhos de combinação de teclas da CLI do appliance Enforcer ... 226

Obtenção de ajuda para os comandos da CLI ... 227

Capítulo 11

Referência de interface da linha de comando do

appliance Enforcer

... 231

Convenções de comandos ... 231

CLI do appliance Enforcer em referência alfabética ... 232

Comandos de nível superior ... 247

Clear ... 247 Date ... 248 Exit ... 248 Help ... 248 Hostname ... 249 Password ... 249 Ping ... 250 Reboot ... 250 Shutdown ... 251 Show ... 251 Start ... 252 Stop ... 252 Traceroute ... 252 Update ... 253 Comandos capture ... 253 Capture Compress ... 253 Capture Filter ... 254 Capture Show ... 255 Capture Start ... 255 Capture upload ... 256 Capture Verbose ... 257 Comandos configure ... 257

Comandos configure advanced ... 257

Configure DNS ... 264 Configure Interface ... 264 Configure Interface-role ... 265 Configure NTP ... 266 Configure redirect ... 267 Configure Route ... 267 Configure Show ... 268 Configure SPM ... 268 Comandos console ... 269 Console baud-rate ... 269 15 Sumário

(16)

Console SSH ... 269 Console SSHKEY ... 270 Console show ... 270 Comandos debug ... 270 Debug destination ... 271 Debug level ... 271 Debug show ... 272 Debug upload ... 272 Comandos MAB ... 272

Comando MAB disable ... 273

comando MAB enable ... 273

Comandos MAB LDAP ... 274

comando MAB show ... 276

Comandos monitor ... 277

Comando monitor refresh ... 277

Comando monitor show ... 277

Comando monitor show blocked-hosts ... 277

Comandos monitor show connected-guests ... 279

Comando monitor show connected-users ... 280

Comandos SNMP ... 281 Comando SNMP disable ... 281 Comando SNMP enable ... 281 Comando SNMP heartbeat ... 282 Comando SNMP receiver ... 282 Comando SNMP show ... 283 Comando SNMP trap ... 283 Comandos on-demand ... 284

Comandos on-demand authentication ... 284

Comando on-demand banner ... 290

Comando on-demand client-group ... 290

Comandos on-demand dot1x ... 291

Comando on-demand show ... 301

Comando on-demand spm-domain ... 301

Comandos on-demand mac-compliance ... 302

Capítulo 12

Solução de problemas de um appliance

Enforcer

... 307

Sobre como solucionar problemas em um appliance Enforcer ... 307

Soluções gerais de tópicos e problemas conhecidos ... 308

Sobre a transferência de informações de depuração na rede ... 309

Sumário 16

(17)

Capítulo 13

Perguntas freqüentes sobre os appliances Gateway,

DHCP ou LAN Enforcer

... 311 Perguntas sobre a aplicação ... 311

Quais produtos de software antivírus oferecem suporte à

integridade do host? ... 312 As políticas de integridade do host podem ser definidas em nível

de grupo ou em nível global? ... 313 Pode você criar uma mensagem personalizada de integridade do

host? ... 313 O que acontecerá se os appliances Enforcers não puderem se

comunicar com os Symantec Endpoint Protection

Managers? ... 313 É necessário ter um servidor RADIUS quando um appliance LAN

Enforcer é executado no modo transparente? ... 314 Como a aplicação gerencia computadores sem clientes? ... 315

Seção 2

Instalação do Symantec NAC Integrated

Enforcer para servidores DHCP da

Microsoft

... 317

Capítulo 14

Apresentação do Symantec NAC Integrated

Enforcer para servidores DHCP da

Microsoft

... 319 Sobre o Symantec Integrated Enforcer para servidores DHCP da

Microsoft ... 319 Como funciona o Integrated Enforcer para servidores DHCP da

Microsoft ... 320 Noções básicas sobre a instalação do Integrated Enforcer para

servidores DHCP da Microsoft ... 321 Onde encontrar mais informações sobre documentação relacionada

para o Integrated Enforcer para servidores DHCP da

Microsoft ... 322

17 Sumário

(18)

Capítulo 15

Planejamento da instalação do Symantec NAC

Integrated Enforcer para servidores DHCP da

Microsoft

... 325 Sobre como planejar a instalação de um Integrated Enforcer para

servidores DHCP da Microsoft ... 326 Componentes necessários para o Integrated Enforcer para servidores

DHCP da Microsoft ... 326 Requisitos de hardware para o Integrated Enforcer para servidores

DHCP da Microsoft ... 327 Requisitos do sistema operacional para o Integrated Enforcer para

servidores DHCP da Microsoft ... 327 Planejamento da colocação do Integrated Enforcer para servidores

DHCP da Microsoft ... 328

Capítulo 16

Instalação do Symantec NAC Integrated Enforcer

para servidores DHCP da Microsoft

... 329 Antes de instalar o Integrated Enforcer para servidores DHCP da

Microsoft ... 329 Instalação do Integrated Enforcer para servidores DHCP da

Microsoft ... 330 Como fazer upgrade do Integrated Enforcer para servidores DHCP

da Microsoft ... 333

Seção 3

Instalação do Symantec NAC Integrated

Enforcer para servidores DHCP da

Alcatel-Lucent VitalQIP

... 335

Capítulo 17

Introdução ao Symantec NAC Integrated Enforcer

para servidores DHCP da Alcatel-Lucent

VitalQIP

... 337 Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent

VitalQIP (Integrated Lucent Enforcer) ... 337 O que você pode fazer com o Integrated Lucent Enforcer ... 338 Como o Integrated Lucent Enforcer funciona ... 338 Onde encontrar mais informações sobre a documentação relacionada

para o Integrated Lucent Enforcer ... 340

Sumário 18

(19)

Capítulo 18

Planejamento da instalação do Symantec NAC

Integrated Lucent Enforcer

... 343

Sobre o planejamento da instalação de um Integrated Lucent Enforcer ... 343

Componentes necessários para um Integrated Lucent Enforcer ... 344

Planejamento da colocação de um Integrated Lucent Enforcer ... 345

Requisitos de hardware para um Integrated Lucent Enforcer ... 346

Requisitos do sistema operacional para um Integrated Lucent Enforcer ... 347

Capítulo 19

Instalação do Symantec NAC Integrated Enforcer

para Alcatel-Lucent VitalQIP Enterprise DHCP

Servers

... 349

Antes instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers pela primeira vez ... 349

Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers ... 350

Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers ... 352

Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server ... 353

Seção 4

Configuração dos Symantec NAC

Integrated Enforcers no console do

Enforcer

... 355

Capítulo 20

Configuração dos Symantec NAC Integrated

Enforcers no console do Enforcer

... 357

Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer ... 358

Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager ... 358

Configuração da quarentena automática ... 361

Definição das configurações básicas do Symantec Integrated Enforcer ... 363

Adição ou edição do nome de um grupo do Enforcer para o Symantec Integrated Enforcer ... 364

19 Sumário

(20)

Adição ou edição da descrição de um grupo do Enforcer com um

Symantec Integrated Enforcer ... 364

Adição ou edição do endereço IP ou nome do host de um Symantec Integrated Enforcer ... 365

Adição ou edição da descrição de um Symantec Integrated Enforcer ... 365

Conexão do Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager ... 366

Edição de uma conexão do Symantec Endpoint Protection Manager ... 367

Configuração de uma lista de fornecedor confiável ... 367

Exibição de registros do Enforcer no console ... 368

Configuração de registros do Symantec Integrated Enforcer ... 369

Definição das configurações de autenticação do Symantec Integrated Enforcer ... 369

Sobre o uso das configurações de autenticação ... 370

Sobre as sessões de autenticação ... 371

Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação ... 373

Especificação da freqüência de envio dos pacotes de desafio aos clientes ... 373

Permissão para todos os clientes com registro contínuo de clientes não autenticados ... 374

Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação ... 375

Como fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente ... 376

Envio de uma mensagem de não conformidade do Symantec Integrated Enforcer para um cliente ... 377

Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer ... 377

Definição das configurações avançadas do Symantec Integrated Enforcer ... 379

Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação ... 379

Permissão para um cliente legado se conectar à rede com um Integrated Enforcer ... 380

Ativação da autenticação local no Integrated Enforcer ... 381

Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento ... 382

Sumário 20

(21)

Como desconectar o Symantec NAC Lucent Integrated Enforcer de

um servidor de gerenciamento no console do Enforcer ... 383 Conexão a servidores legados do Symantec Endpoint Protection

Manager ... 384

Seção 5

Instalação e configuração do Symantec

NAC Integrated Enforcer para

Microsoft Network Access

Protection

... 385

Capítulo 21

Apresentação do Symantec NAC Integrated

Enforcer para Microsoft Network Access

Protection

... 387 Sobre o Integrated Enforcer para Microsoft Network Access

Protection ... 387

Capítulo 22

Planejamento da instalação do Symantec NAC

Integrated Enforcer para Microsoft Network

Access Protection

... 389 Sobre como planejar a instalação do Symantec Integrated NAP

Enforcer ... 389 Componentes necessários para o Symantec Integrated NAP

Enforcer ... 390 Requisitos de hardware do Symantec Integrated NAP Enforcer ... 391 Requisitos do sistema operacional para o Symantec Integrated NAP

Enforcer ... 391 Requisitos do sistema operacional para o cliente do Symantec Network

Access Control ... 392

Capítulo 23

Instalação do Symantec NAC Integrated Enforcer

para Microsoft Network Access Protection

... 393 Antes de instalar o Symantec Integrated NAP Enforcer ... 393 Instalação do Symantec Integrated NAP Enforcer ... 394

21 Sumário

(22)

Capítulo 24

Configuração do Symantec NAC Integrated Enforcer

para Microsoft Network Access Protection em

um console do Enforcer

... 397 Sobre como configurar o Symantec Integrated NAP Enforcer em um

console do Enforcer ... 398 Como conectar o Symantec Integrated NAP Enforcer a um servidor

de gerenciamento em um console do Enforcer ... 398 Como criptografar a comunicação entre o Symantec Integrated NAP

Enforcer e um servidor de gerenciamento ... 400 Configuração de um nome de grupo do Enforcer no console do

Symantec Integrated NAP Enforcer ... 401 Configuração de um protocolo de comunicação HTTP no console do

Symantec Integrated NAP Enforcer ... 402

Capítulo 25

Configuração do Symantec NAC Integrated Enforcer

para Microsoft Network Access Protection em

um console do Symantec Endpoint Protection

Manager

... 403 Sobre a configuração do Symantec Integrated NAP Enforcer no

console do Symantec Endpoint Protection Manager ... 404 Ativação da aplicação do NAP para clientes ... 404 Como verificar se o servidor de gerenciamento gerencia o

cliente ... 405 Verificação das políticas do Validador da integridade de

segurança ... 405 Como verificar se os clientes são aprovados na verificação de

integridade do host ... 406 Ativação da autenticação local no Symantec Integrated NAP

Enforcer ... 406 Configuração de registros para o Symantec Integrated NAP

Enforcer ... 407

Sumário 22

(23)

Seção 6

Gerenciamento de enforcers a partir do

console do Symantec Endpoint

Protection Manager

... 409

Capítulo 26

Gerenciamento de enforcers no console do

Symantec Endpoint Protection Manager

... 411 Sobre o gerenciamento de Enforcers no console do servidor de

gerenciamento ... 412 Sobre o gerenciamento de Enforcers na página Servidores ... 412 Sobre os grupos do Enforcer ... 413 Como o console determina o nome do grupo do Enforcer ... 413 Sobre os grupos de failover do Enforcer ... 413 Sobre a alteração de um nome de grupo ... 414 Sobre a criação de um grupo do Enforcer ... 414 Sobre as informações do Enforcer que são exibidas no console do

Enforcer ... 414 Exibição das informações sobre o Enforcer no console de

gerenciamento ... 415 Alteração do nome e da descrição de um Enforcer ... 416 Exclusão de um Enforcer ou de um grupo do Enforcer ... 416 Exportação e importação das configurações do grupo do

Enforcer ... 417 Mensagens pop-up para clientes bloqueados ... 418 Mensagens dos computadores que executam o cliente ... 418 Mensagens dos computadores com Windows que não estão

executando o cliente (somente Gateway ou DHCP

Enforcer) ... 419 Configuração das mensagens do Enforcer ... 419 Sobre as configurações do cliente e o Enforcer ... 420 Configuração de clientes para usar uma senha a fim de interromper

o serviço do cliente ... 420

Seção 7

Como trabalhar com relatórios e registros

do enforcer

... 421

Capítulo 27

Gerenciamento de relatórios e registros do

Enforcer

... 423 Sobre relatórios do Enforcer ... 423 Sobre registros do Enforcer ... 424

23 Sumário

(24)

Sobre o registro do servidor do Enforcer ... 424 Sobre o Registro do cliente do Enforcer ... 425 Sobre o registro de tráfego do Gateway Enforcer ... 426 Definição das configurações do registro do Enforcer ... 427

Desativação do registro do Enforcer no console do Symantec

Endpoint Protection Manager ... 427 Ativação do envio de registros do Enforcer de um Enforcer para

o Symantec Endpoint Protection Manager ... 428 Configuração do tamanho e do prazo dos registros do

Enforcer ... 428 Filtragem dos registros de tráfego de um Enforcer ... 429

Índice

... 431

Sumário 24

(25)

Instalação e configuração

dos appliances do Symantec

Network Access Control

Enforcer

■ Apresentação do appliance Enforcer

■ Planejamento para a instalação do appliance Enforcer

■ Upgrade e migração de imagens do appliance Enforcer

■ Instalação do appliance Enforcer pela primeira vez

■ Execução de tarefas básicas no console de um appliance Enforcer

■ Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager

■ Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager

■ Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager

1

(26)

■ Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand

■ Interface da linha de comando do appliance Enforcer

■ Referência de interface da linha de comando do appliance Enforcer

■ Solução de problemas de um appliance Enforcer

■ Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer 26

(27)

Apresentação do appliance

Enforcer

Este capítulo contém os tópicos a seguir:

■ Sobre os appliances Symantec Enforcer

■ Público-alvo

■ Tipos de aplicações

■ O que pode ser feito com os appliances Symantec Network Access Control Enforcer

■ Sobre as políticas de integridade do host e o appliance Enforcer

■ Como funciona o appliance Gateway Enforcer

■ Como funciona o appliance DHCP Enforcer

■ Como funciona o appliance LAN Enforcer

■ Suporte para soluções de aplicação de terceiros

■ Onde obter mais informações sobre os appliances Symantec Enforcer

Sobre os appliances Symantec Enforcer

Os Symantec Enforcers são quatro componentes opcionais de rede que funcionam com o Symantec Endpoint Protection Manager.

Para proteger a rede corporativa, três appliances Symantec Enforcers baseados em Linux funcionam com clientes gerenciados, como clientes do Symantec Endpoint Protection e clientes do Symantec Network Access Control.

1

(28)

■ Appliance Symantec Network Access Control Gateway Enforcer

■ Appliance Symantec Network Access Control DHCP Enforcer

■ Appliance Symantec Network Access Control LAN Enforcer

Os Symantec Enforcers baseados em Windows funcionam com clientes gerenciados, como os clientes do Symantec Endpoint Protection e do Symantec Network Access Control, para proteger a rede corporativa.

Nota:O Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection não funciona com clientes convidados, tais como clientes do Symantec Network Access Control On-Demand nas plataformas Windows e Macintosh.

As instruções de instalação, configuração e administração estão incluídas na documentação dos seguinte Enforcers baseados em Windows:

■ Symantec Network Access Control Integrated Enforcer para servidores DHCP da Microsoft

Consulte“Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft”na página 319.

■ Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection

Consulte“Sobre o Integrated Enforcer para Microsoft Network Access Protection”na página 387.

■ Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP

Consulte“Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer)”na página 337.

Público-alvo

A documentação é destinada aos responsáveis pela configuração e implementação de um appliance Enforcer opcional. É necessário ter bons conhecimentos dos conceitos de rede e estar familiarizados com a administração do Symantec Endpoint Protection Manager.

O appliance Enforcer opcional funciona somente com versões específicas de outros componentes.

Consulte“Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000”na página 69.

Apresentação do appliance Enforcer Público-alvo

(29)

Se você pretende usar um appliance Enforcer opcional com uma versão anterior do Symantec Network Access Control, consulte a documentação que acompanha o appliance Enforcer no momento da compra.

Tipos de aplicações

ATabela 1-1lista os appliances Enforcer opcionais e Enforcers baseados em Windows.

Tabela 1-1 Tipos de aplicações Descrição Tipo do appliance

Enforcer

Fornece aplicação em pontos de acesso dos computadores externos que se conectam remotamente por meio de um dos seguintes métodos:

■ Rede privada virtual (VPN) ■ LAN sem fio

■ Remote Access Server (RAS)

Também é possível configurar o appliance Gateway Enforcer para restringir o acesso a determinados servidores permitindo somente endereços IP especificados. O Symantec Gateway Enforcer é aceito no appliance Enforcer.

Consulte“Como funciona o appliance Gateway Enforcer” na página 35.

Consulte“Planejamento da instalação para um appliance Gateway Enforcer”na página 44.

Appliance Symantec Gateway Enforcer

Fornece aplicação para os clientes que se conectam à rede por meio de um alternador ou ponto de acesso sem fio compatível com a autenticação 802.1x. O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service). Ele pode funcionar com ou sem o servidor RADIUS, que fornece autenticação em nível de usuário. O Symantec LAN Enforcer é aceito no appliance Enforcer.

Consulte“Como funciona o appliance LAN Enforcer” na página 37.

Consulte“Planejamento da instalação para um appliance LAN Enforcer”na página 63.

Appliance Symantec LAN Enforcer

29 Apresentação do appliance Enforcer

(30)

Descrição Tipo do appliance

Enforcer

Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec DHCP Enforcer é suportado em um appliance Enforcer. Consulte“Como funciona o appliance DHCP Enforcer” na página 36.

Consulte“Planejamento da instalação para um appliance DHCP Enforcer”na página 54.

Appliance Symantec DHCP Enforcer

Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated Enforcer para servidores DHCP da Microsoft não é aceito em um appliance Enforcer.

Consulte“Como funciona o Integrated Enforcer para servidores DHCP da Microsoft”na página 320.

Consulte“Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft”na página 328. Symantec Integrated

Enforcer para servidores DHCP da Microsoft

Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated NAP Enforcer é aceito na plataforma Windows Server 2008. O Symantec Integrated Enforcer para Microsoft Network Access Protection não é aceito no appliance Enforcer.

Symantec Integrated Enforcer para Microsoft Network Access Protection

Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated DHCP Enforcer para servidores DHCP da

Alcatel-Lucent VitalQIP não é aceito no appliance Enforcer. Symantec Integrated

Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Apresentação do appliance Enforcer

Tipos de aplicações 30

(31)

O que pode ser feito com os appliances Symantec

Network Access Control Enforcer

O appliance Enforcer opcional é instalado nos endpoints da rede para clientes externos ou internos.

Por exemplo, um appliance Enforcer pode ser instalado entre a rede e o servidor VPN ou em frente a um servidor DHCP. Ele também pode ser instalado para aplicação nos computadores-cliente que se conectam à rede por um alternador compatível com 802.1x ou ponto de acesso sem fio.

Um appliance Enforcer executa a autenticação do host, em vez da autenticação em nível de usuário. Ele assegura que os computadores-cliente que tentam se conectar à rede empresarial estejam em conformidade com as políticas de segurança da empresa. Você pode configurar as políticas de segurança de uma empresa no Symantec Endpoint Protection Manager.

Se o cliente não estiver em conformidade com as políticas de segurança, o appliance Enforcer poderá efetuar as seguintes ações:

■ Bloquear seu acesso à rede.

■ Permitir acesso somente a recursos limitados.

O appliance Enforcer opcional pode redirecionar o cliente para a área de quarentena com um servidor de correção. O cliente pode então obter o software, os aplicativos, os arquivos de assinatura ou os patches necessários no servidor de correção.

Por exemplo, parte da rede pode já estar configurada para os clientes que se conectam à LAN por meio de alternadores compatíveis com 802.1x. Se esse for o caso, você pode usar um appliance LAN Enforcer para estes clientes.

Você também pode usar um appliance LAN Enforcer para os clientes que se conectam através de um ponto de acesso sem fio compatível com 802.1x. Consulte“Como funciona o appliance LAN Enforcer”na página 37. Consulte“Planejamento da instalação para um appliance LAN Enforcer”

na página 63.

Pode haver outras partes da rede que não estejam configuradas para suporte a 802.1x. É possível usar um appliance DHCP Enforcer para gerenciar a aplicação nesses clientes.

Consulte“Como funciona o appliance DHCP Enforcer”na página 36. Consulte“Planejamento da instalação para um appliance DHCP Enforcer”

na página 54.

31 Apresentação do appliance Enforcer O que pode ser feito com os appliances Symantec Network Access Control Enforcer

(32)

Se houver funcionários que trabalhem remotamente, conectando-se por meio de uma VPN ou de dial-up, é possível usar o appliance Gateway Enforcer para esses clientes.

Você também pode usar o appliance Gateway Enforcer se um ponto de acesso sem fio não for compatível com 802.1x.

Consulte“Como funciona o appliance Gateway Enforcer”na página 35. Consulte“Planejamento da instalação para um appliance Gateway Enforcer”

na página 44.

Se for necessária alta disponibilidade, dois ou mais appliances Gateway Enforcer, DHCP ou LAN Enforcer poderão ser instalados no mesmo local para fornecer recursos de failover.

Consulte“Planejamento de failover para appliances Gateway Enforcer”

na página 51.

Consulte“Planejamento de failover para appliances DHCP Enforcer”na página 59. Consulte“Planejamento de failover para appliances LAN Enforcer”na página 66. Se quiser implementar alta disponibilidade para appliances LAN Enforcer, devem ser instalados vários appliances LAN Enforcer e o alternador compatível com 802.1x. A alta disponibilidade pode ser alcançada pela adição do alternador compatível com 802.1x. Se forem instalados vários appliances LAN Enforcer sem um alternador compatível com 802.1x, a alta disponibilidade falhará. É possível configurar um alternador compatível com 802.1x para alta disponibilidade. Para obter informações sobre a configuração de um alternador compatível com 802.1x para alta disponibilidade, consulte a documentação que acompanha o alternador.

Em algumas configurações de rede, um cliente pode conectar-se a uma rede através de mais de um appliance Enforcer. Depois que o primeiro appliance Enforcer fornecer a autenticação ao cliente, todos os appliances Enforcer restantes autenticarão o cliente para que este possa conectar-se à rede.

Sobre as políticas de integridade do host e o appliance

Enforcer

As políticas de segurança que todos os appliances Enforcer verificam em computadores-cliente são denominadas políticas de integridade do host. Você cria e gerencia políticas de integridade do host no console do Symantec Endpoint Protection Manager.

Apresentação do appliance Enforcer

Sobre as políticas de integridade do host e o appliance Enforcer 32

(33)

As políticas de integridade do host especificam o software necessário para executar em um cliente. Por exemplo, você pode especificar que o seguinte software de segurança localizado em um computador-cliente deve estar em conformidade com determinados requisitos: ■ Software antivírus ■ Software anti-spyware ■ Software de firewall ■ Patches ■ Service packs

Se os requisitos predefinidos não atenderem às suas necessidades, também é possível personalizá-los.

Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec

Network Access Control para obter mais informações sobre como configurar e

personalizar políticas de integridade do host.

É possível configurar clientes para executar verificações de integridade do host em vários momentos. Quando um cliente tenta conectar-se à rede, ele executa uma verificação de integridade do host e envia os resultados a um appliance Enforcer.

Geralmente, o appliance Enforcer é configurado para, antes de conceder acesso à rede ao cliente, averiguar se ele passa na verificação de integridade do host. Se o cliente passar na verificação de integridade do host, ele estará em conformidade com a política de integridade do host da empresa. Entretanto, cada tipo de appliance Enforcer define os critérios de acesso à rede de maneira diferente. Consulte“Como funciona o appliance Gateway Enforcer”na página 35. Consulte“Como funciona o appliance DHCP Enforcer”na página 36. Consulte“Como funciona o appliance LAN Enforcer”na página 37.

Comunicação entre um appliance Enforcer e um Symantec Endpoint

Protection Manager

O appliance Enforcer permanece conectado ao Symantec Endpoint Protection Manager. Em intervalos regulares (pulsação), o appliance Enforcer recupera configurações do servidor de gerenciamento que controla seu modo de

funcionamento. Quando são realizadas alterações no servidor de gerenciamento, que afetam o appliance Enforcer, ele receberá a atualização durante a próxima pulsação. O appliance Enforcer transmite suas informações de status ao servidor de gerenciamento. Ele pode registrar os eventos que encaminha a esse servidor

33 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer

(34)

de gerenciamento. Desta forma, as informações aparecerão nos registros do servidor de gerenciamento.

O Symantec Endpoint Protection Manager mantém uma lista dos servidores de gerenciamento com informações replicadas de bancos de dados. Ele transfere por download a lista do servidor de gerenciamento para Enforcers conectados e gerenciados, bem como clientes convidados. Se o appliance Enforcer perder a comunicação com um servidor de gerenciamento, ele poderá conectar-se a outro servidor que esteja incluído na lista de servidores de gerenciamento. Se o appliance Enforcer for reiniciado, ele usará a lista de servidores de gerenciamento para restabelecer a conexão com um deles.

Quando um cliente tenta conectar-se à rede por meio do appliance Enforcer, ele autentica o identificador único do cliente (UID). O appliance Enforcer envia o UID ao servidor de gerenciamento e recebe uma resposta de aceitação ou rejeição. Se o appliance Enforcer estiver configurado para autenticar o UID, ele poderá recuperar as informações do servidor de gerenciamento. O appliance Enforcer pode, então, determinar se o perfil do cliente foi atualizado com as políticas de segurança mais recentes. Se as informações do cliente, como o identificador ou o perfil do cliente, forem alteradas no servidor de gerenciamento, este poderá enviar as informações ao appliance Enforcer. O appliance Enforcer poderá executar novamente a autenticação do host no cliente.

Comunicação entre o appliance Enforcer e os clientes

A comunicação entre o appliance Enforcer e um cliente começa quando o cliente tenta se conectar à rede. O appliance Enforcer pode detectar se um cliente está em execução. Se um cliente estiver em execução, o Enforcer iniciará o processo de autenticação com o cliente. O cliente responderá executando uma verificação de integridade do host e enviando os resultados, juntamente com suas informações de perfil, ao Enforcer.

O cliente também envia seu identificador único (UID), que o Enforcer transmite para o gerenciador para autenticação. O appliance Enforcer usa as informações do perfil para verificar se o cliente está atualizado com as políticas de segurança mais recentes. Se não estiver, o Enforcer notificará o cliente a atualizar seu perfil. Após o appliance DHCP Enforcer ou Gateway Enforcer permitir que o cliente se conecte à rede, eles continuarão a se comunicar com o cliente em um intervalo regular predefinido. Essa comunicação permite que o appliance Enforcer continue a autenticar o cliente. No appliance LAN Enforcer, o alternador 802.1x trata dessa autenticação periódica. Por exemplo, o alternador 802.1 inicia uma nova sessão de autenticação quando é o momento de reautenticação.

O appliance Enforcer precisa ser executado sempre. Caso contrário, os clientes que tentam se conectar à rede corporativa tentarão ser bloqueados.

Apresentação do appliance Enforcer

Sobre as políticas de integridade do host e o appliance Enforcer 34

(35)

Como funciona o appliance Gateway Enforcer

Os appliances Gateway Enforcer realizam verificações unidirecionais. Eles verificam clientes que tentam conectar-se à rede da empresa por meio da NIC externa do appliance Gateway Enforcer.

Um appliance Gateway Enforcer usa os seguintes processos para autenticar um cliente:

■ Quando um cliente tenta acessar a rede, o appliance Gateway Enforcer verifica primeiramente se ele está executando o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Se o cliente estiver executando qualquer um dos produtos de software-cliente, o appliance Gateway Enforcer inicia o processo de autenticação do host.

■ O cliente executado em um computador do usuário realiza uma verificação de integridade do host. Então, ele transmite os resultados ao appliance Gateway Enforcer juntamente com as informações de identificação e do status de sua política de segurança.

■ O appliance Gateway Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada.

■ O appliance Gateway Enforcer verifica se o cliente foi aprovado na verificação de integridade do host, estando, portanto, em conformidade com as políticas de segurança.

■ Se todos os processos forem aprovados, o appliance Gateway Enforcer permitirá que o cliente conecte-se à rede.

Se um cliente não satisfizer os requisitos para acesso, configure o appliance Gateway Enforcer para realizar as seguintes ações:

■ Monitorar e registrar determinados eventos.

■ Bloquear usuários se houver falha na verificação de integridade do host.

■ Exibir uma mensagem pop-up no cliente.

■ Fornecer ao cliente acesso limitado à rede para permitir o uso de recursos da rede para correção.

Para definir a autenticação do appliance Gateway Enforcer, é possível configurar quais endereços IP do cliente serão verificados. Você pode especificar os endereços IP e externos confiáveis que o appliance Gateway Enforcer permitirá sem autenticação. Para correção, é possível configurar o appliance Gateway Enforcer para permitir aos clientes acesso a endereços IP internos e confiáveis. Por exemplo, você pode permitir que os clientes tenham o acesso a um servidor de atualização ou a um servidor de arquivos que contenha arquivos de antivírus DAT.

35 Apresentação do appliance Enforcer Como funciona o appliance Gateway Enforcer

(36)

Em clientes que não tenham o software-cliente da Symantec, é possível redirecionar as solicitações do cliente HTTP para um servidor da Web. Por exemplo, você pode fornecer instruções adicionais sobre onde obter o software de correção ou permitir que um cliente faça o download do software-cliente.

Também é possível configurar o appliance Gateway Enforcer para permitir a clientes que não sejam Windows o acesso à rede. Um appliance Gateway Enforcer funciona como uma ponte em vez de um roteador. Assim que o cliente é

autenticado, o appliance Gateway Enforcer encaminha os pacotes para permitir ao cliente o acesso à rede.

Como funciona o appliance DHCP Enforcer

O appliance DHCP Enforcer é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede interna. Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP para um endereço IP dinâmico. O alternador ou roteador, que atua como um cliente de retransmissão DHCP, roteia a solicitação DHCP ao appliance DHCP Enforcer. O appliance DHCP Enforcer é configurado em linha em frente ao servidor DHCP. Antes de encaminhar a solicitação do DHCP ao servidor DHCP, o appliance Enforcer verifica se os clientes estão em conformidade com as políticas de segurança.

Se o cliente estiver em conformidade com as políticas de segurança, o appliance DHCP Enforcer enviará a solicitação do cliente de um endereço IP ao servidor DHCP normal. Se o agente não estiver em conformidade com as políticas de segurança, o Enforcer se conectará ao servidor de quarentena DHCP. O servidor de quarentena atribuirá uma configuração de rede de quarentena para o cliente. É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena. Para completar a solução do appliance DHCP Enforcer, o administrador precisa definir um servidor de correção. O servidor de reparo restringe o acesso de clientes em quarentena para que esses clientes possam interagir apenas com o servidor de reparo. Se alta disponibilidade for requerida, você poderá instalar dois ou mais appliances DHCP Enforcers para fornecer recursos de failover.

O DHCP Enforcer aplica políticas de segurança a clientes que tentam acessar um servidor DHCP. Ele bloqueia a solicitação do DHCP se o cliente falha na

autenticação. O appliance DHCP Enforcer encaminha a solicitação do DHCP a um servidor DHCP em quarentena com uma configuração de rede de intervalo restrito e curto prazo.

Quando o cliente envia a solicitação de DHCP pela primeira vez, o appliance DHCP Enforcer a encaminha para o servidor DHCP em quarentena, para um endereço

Apresentação do appliance Enforcer Como funciona o appliance DHCP Enforcer 36

(37)

IP temporário com um tempo de concessão curto. O appliance DHCP Enforcer pode então iniciar o processo de autenticação com o cliente.

O appliance DHCP Enforcer autentica clientes usando os seguintes métodos:

■ Quando um cliente tentar acessar a rede de empresa, o appliance Enforcer verificará primeiro se o computador-cliente executa o software-cliente do Symantec Network Access Control. Se o computador-cliente executa o software-cliente do Symantec Network Access Control, o appliance Enforcer inicia o processo para a autenticação do host.

■ O software-cliente do Symantec que é executado no computador-cliente executa uma verificação de integridade do host. O cliente passa então os resultados ao appliance Enforcer, juntamente com as informações de identificação e as informações sobre o status de sua política de segurança.

■ O appliance DHCP Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada.

■ O appliance DHCP Enforcer verifica se o cliente foi aprovado na verificação de integridade do host e, portanto, está em conformidade com as políticas de segurança.

■ Se todas as etapas forem aprovadas, o appliance DHCP Enforcer se certificará de que o endereço IP de quarentena seja liberado. O appliance DHCP Enforcer roteará a solicitação do cliente DHCP ao servidor DHCP normal. Então, o cliente recebe um endereço IP e configuração de rede normais.

Se o cliente não corresponder aos requisitos de segurança, o appliance DHCP Enforcer se certificará de que a solicitação de DHCP seja renovada com o servidor DHCP de quarentena. O cliente recebe uma configuração de rede de quarentena, que deve ser configurada para permitir acesso a um servidor de reparo.

O appliance DHCP Enforcer pode ser configurado para permitir que clientes que não sejam Windows tenham acesso ao servidor DHCP normal.

Como funciona o appliance LAN Enforcer

O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service).

É possível usar o appliance LAN Enforcer com um servidor RADIUS para realizar as seguintes ações:

■ Fazer a autenticação de usuário 802.1x/EAP tradicional.

Você nega o acesso a computadores não autorizados. Todos os usuários que tentarem conectar-se à rede deverão autenticar-se através do RADIUS primeiro.

37 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer

(38)

■ Verificar se os computadores-cliente estão em conformidade com as políticas de segurança definidas no servidor de gerenciamento (autenticação do host). Você pode aplicar políticas de segurança, como certificar-se de que o computador tenha o software antivírus, os patches ou outros produtos de software corretos. É possível confirmar se o computador-cliente está executando o cliente da Symantec e se ele foi aprovado na verificação de integridade do host.

Nas redes que não usam um servidor RADIUS, o appliance LAN Enforcer realiza apenas a autenticação do host.

Um appliance LAN Enforcer comunica-se com um alternador ou com um ponto de acesso sem fio que suporte autenticação EAP/802.1x. O alternador ou o ponto de acesso sem fio são normalmente configurados em dois ou mais VLANs. Os clientes Symantec em computadores-cliente transmitem as informações de EAP ou de integridade do host para o alternador por meio do protocolo EAPOL (EAP sobre LANs). O alternador encaminha as informações para o appliance LAN Enforcer para autenticação.

Você pode configurar o appliance LAN Enforcer com um conjunto de possíveis respostas a uma falha de autenticação. As respostas dependem do tipo de falha de autenticação: autenticação de host ou de usuário EAP.

Se você usar um alternador ou um ponto de acesso sem fio, é possível definir o appliance LAN Enforcer para direcionar um cliente autenticado para diferentes VLANs. O alternador ou o ponto de acesso sem fio deve oferecer recurso de alternação de VLAN dinâmica. Os VLANs podem incluir um VLAN de correção. Se você usa um LAN Enforcer com servidor RADIUS, é possível configurar várias conexões de servidor RADIUS para o Enforcer. Se uma conexão de servidor RADIUS estiver desativada, o appliance LAN Enforcer pode alternar para uma conexão diferente. Além disso, vários appliances LAN Enforcers podem ser definidos para conectarem-se ao alternador. Se um appliance LAN Enforcer falhar na resposta, outro LAN Enforcer poderá lidar com a autenticação.

Como funciona a configuração básica do LAN Enforcer

Se você estiver familiarizado com a autenticação 802.1x, poderá exibir detalhes sobre os clientes que tentarem acessar a rede usando a configuração básica. Você pode usar estas informações para solucionar problemas de conexões de rede. A configuração básica do LAN Enforcer 802.1x funciona assim:

■ Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x).

■ O alternador vê o computador e solicita a identificação.

Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 38

(39)

■ O suplicante 802.1x no computador solicita o nome de usuário e senha e responde com essa identificação.

■ O alternador encaminha essas informações ao LAN Enforcer, que as encaminha ao servidor RADIUS.

■ O servidor RADIUS gera um estímulo EAP selecionando um tipo de EAP de acordo com sua configuração.

■ O LAN Enforcer recebe esse estímulo, adiciona um desafio de integridade do host e o encaminha para o alternador.

■ O alternador encaminha os estímulos EAP e de integridade do host para o cliente.

■ O cliente recebe os estímulos e envia uma resposta.

■ O alternador recebe a resposta e a encaminha para o LAN Enforcer.

■ O LAN Enforcer examina o resultado da verificação de integridade do host e as informações sobre o status do cliente e as encaminha para o servidor RADIUS.

■ O servidor RADIUS executa a autenticação EAP e envia o resultado de volta ao LAN Enforcer.

■ O LAN Enforcer recebe os resultados da autenticação e encaminha os resultados e a ação a ser tomada.

■ O alternador seleciona a ação apropriada e permite acesso normal à rede, bloqueando ou permitindo o acesso a uma VLAN alternativa conforme os resultados.

Como funciona o modo transparente do LAN Enforcer

O modo transparente do LAN Enforcer funciona da seguinte forma:

■ Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x).

■ O autenticador vê o computador e envia um pacote de autenticação EAP (somente o tráfego EAP é permitido).

■ O cliente que atua como suplicante EAP vê o pacote de autenticação e responde com a autenticação da integridade do host.

■ O alternador encaminha os resultados da autenticação da integridade do host ao appliance LAN Enforcer (executado como servidor proxy RADIUS).

■ O appliance LAN Enforcer responde ao alternador com informações sobre as atribuições da VLAN baseadas em resultados da autenticação.

39 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer

(40)

Sobre a autenticação 802.1x

IEEE 802.1X-2001 é um padrão que define o controle de acesso para LANs com e sem fio. O padrão oferece um sistema para autenticação e controle do tráfego de usuários em uma rede protegida. O padrão especifica o uso do Extensible Authentication Protocol (EAP), que usa um servidor de autenticação centralizado, como o RADIUS (Remote Authentication Dial-In User Service).

O servidor autentica cada usuário que tenta acessar a rede. O padrão 802.1x inclui especificações para EAP sobre LAN (EAPOL). O EAPOL é usado para mensagens EAP encapsuladas em estruturas da camada link (Ethernet, por exemplo) e também oferece funções de controle.

A arquitetura 802.1x inclui os seguintes componentes principais:

A entidade que faz a intermediação da autenticação, como um alternador LAN compatível com 802.1x ou um ponto de acesso sem fio

Autenticador

A entidade que fornece a autenticação real, validando as credenciais fornecidas em resposta ao estímulo, como um servidor RADIUS.

Servidor de autenticação

A entidade que busca acesso à rede e tenta efetuar a autenticação com êxito, como um computador

Suplicante

Quando um dispositivo suplicante estiver conectado a um autenticador de alternador de rede com 802.1x ativado, ocorre o seguinte processo:

■ O alternador envia uma solicitação de identidade EAP.

■ O software suplicante EAP reage com uma resposta de identidade EAP, que é encaminhada ao servidor de autenticação (RADIUS, por exemplo) pelo alternador.

■ O servidor de autenticação emite um estímulo EAP, que é encaminhado ao suplicante pelo alternador.

■ O usuário insere as credenciais de autenticação (nome de usuário e senha, token, etc.).

■ O suplicante envia uma resposta ao estímulo EAP, inclusive as credenciais fornecidas pelo usuário, ao alternador, que encaminhará a resposta ao servidor de autenticação.

■ O servidor de autenticação valida as credenciais e responde com um resultado EAP ou de autenticação do usuário, que indica o êxito ou a falha na autenticação.

Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 40