Guia de Implementação do
Symantec™ Network Access
Control Enforcer
Guia de Implementação do Symantec Network Access
Control Enforcer
O software descrito neste livro é fornecido sob um contrato de licença e deve ser usado somente de acordo com os termos desse contrato.
Versão da documentação 11.00.03.01.00
Aviso legal
Copyright © 2008 Symantec Corporation. Todos os direitos reservados.
Symantec, o logotipo da Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan, Bloodhound, Confidence Online, Digital Immune System e Norton são marcas comerciais ou marcas registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Este produto da Symantec pode conter software de terceiros para o qual são necessárias atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou livre. O contrato de licença que acompanha o software não altera nenhum direito ou obrigação que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP que acompanha este produto da Symantec para obter mais informações sobre os Programas de terceiros.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia, a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma a reprodução de qualquer seção deste documento sem a autorização prévia escrita da Symantec Corporation e dos concessores de licenças, se houver algum.
A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÃO SEM PRÉVIO AVISO.
O Software licenciado e a documentação são considerados software comercial para computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou documentação de software comercial para computadores", conforme aplicável, e todas regulamentações sucessoras. Qualquer uso, modificação, reprodução, apresentação, exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA deve ser feita exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.br
Suporte técnico
O suporte técnico da Symantec mantém centros de suporte globais. A função principal do Suporte técnico é responder a consultas específicas sobre recursos e funcionalidades do produto. A equipe de Suporte técnico cria também conteúdo para a Base de conhecimento on-line. A equipe de Suporte técnico trabalha em colaboração com as outras áreas funcionais dentro da Symantec para responder as suas perguntas de maneira oportuna. Por exemplo, a equipe de Suporte técnico trabalha com o Product Engineering e o Symantec Security Response para fornecer serviços de alerta e atualizações das definições de vírus.
As ofertas de manutenção da Symantec incluem o seguinte:
■ Uma variedade de opções de suporte que oferecem flexibilidade para selecionar a quantidade adequada de serviço para empresas de qualquer porte
■ Suporte telefônico e com base na Web que fornece resposta rápida e informações atualizadas por minuto
■ Garantia de upgrade que fornece proteção automática de upgrade de software
■ Suporte global disponível às 24 horas do dia, 7 dias da semana
■ Recursos avançados, incluindo Account Management Services (Serviços de gerenciamento de conta)
Para obter informações sobre os programas de manutenção da Symantec, consulte nosso site no seguinte URL:
www.symantec.com/techsupp/
Como contatar o Suporte técnico
Os clientes com um contrato de manutenção atual podem acessar as informações do Suporte técnico no seguinte URL:
www.symantec.com/techsupp/
Antes de contatar o Suporte técnico, certifique-se de satisfazer os requisitos do sistema relacionados na documentação do produto. Além disso, é necessário estar no computador em que o problema ocorreu, caso seja necessário replicar o problema.
Quando contatar o Suporte técnico, tenha as seguintes informações disponíveis:
■ Nível de versão do produto
■ Informações de hardware
■ Memória disponível, espaço em disco e informações do NIC
■ Versão e nível de patch
■ Topologia da rede
■ Informações do roteador, gateway e do endereço IP
■ Descrição do problema:
■ Mensagens de erro e arquivos de log
■ Soluções executadas antes de contatar a Symantec
■ Mudanças de configuração do software e mudanças da rede recentes
Licenciamento e registro
Se seus produtos Symantec exigem registro ou um código de licença, acesse a página da Web do Suporte técnico no seguinte URL:
www.symantec.com/techsupp/
Atendimento ao cliente
As informações de atendimento ao cliente estão disponíveis no seguinte URL:
www.symantec.com/techsupp/
O Atendimento ao cliente está disponível para ajudá-lo com os seguintes tipos de problemas:
■ Perguntas referentes ao licenciamento ou à serialização do produto
■ Atualizações do registro do produto, tais como alterações de endereço ou de nome
■ Informações gerais sobre o produto (recursos, disponibilidade de idioma, revendedores locais)
■ Informações mais recentes sobre atualizações do produto e upgrades
■ Informações sobre contratos de garantia de upgrade e de manutenção
■ Informação sobre o Symantec Buying Programs (Programas de compra da Symantec)
■ Conselhos sobre as opções de suporte técnico da Symantec
■ Perguntas não técnicas de pré-venda
Recursos do contrato de manutenção
Se deseja contatar a Symantec a respeito de um contrato de manutenção existente, contate a equipe de administração do contrato de manutenção para sua região da seguinte forma:
contractsadmin@symantec.com Pacífico-Asiático e Japão
semea@symantec.com Europa, Oriente Médio e África
supportsolutions@symantec.com America do Norte e América Latina
Serviços corporativos adicionais
A Symantec oferece um conjunto abrangente de serviços que permitem maximizar seu investimento nos produtos Symantec e desenvolver seus conhecimentos, perícia e introspecção global, o que permite que você gerencie riscos comerciais de forma proativa.
Os serviços corporativos disponíveis incluem:
Essas soluções fornecem alertas preventivos de ataques pela Internet, análise de ameaça detalhada e medidas defensivas para impedir ataques antes que ocorram.
Symantec Early Warning Solutions (Soluções de alertas preventivos da Symantec)
Esses serviços removem a carga de gerenciar e monitorar dispositivos e eventos de segurança, garantindo resposta rápida a ameaças reais.
Managed Security Services (Serviços de segurança gerenciados)
Os Symantec Consulting Services (Serviços de consultoria da Symantec) fornecem a perícia técnica no local da Symantec e de seus parceiros confiáveis. Os Symantec Consulting Services (Serviços de consultoria da Symantec) oferecem uma variedade de opções prontas e personalizáveis que incluem recursos de avaliação, design, implementação, monitoramento e de gerenciamento. Cada um desses recursos está concentrado em estabelecer e manter a integridade e disponibilidade de seus recursos de TI.
Consulting Services (Serviços de consultoria)
Os Educational Services (Serviços educacionais) fornecem uma variedade completa de treinamento técnico, instrução de segurança, certificação de segurança e de programas de comunicação para conscientização. Educational Services (Serviços
educacionais)
Para acessar mais informações sobre os Serviços corporativos, consulte nosso site no seguinte URL:
www.symantec.com
Suporte técnico
... 4Seção 1
Instalação e configuração dos appliances
do Symantec Network Access Control
Enforcer
... 25Capítulo 1
Apresentação do appliance Enforcer
... 27Sobre os appliances Symantec Enforcer ... 27
Público-alvo ... 28
Tipos de aplicações ... 29
O que pode ser feito com os appliances Symantec Network Access Control Enforcer ... 31
Sobre as políticas de integridade do host e o appliance Enforcer ... 32
Comunicação entre um appliance Enforcer e um Symantec Endpoint Protection Manager ... 33
Comunicação entre o appliance Enforcer e os clientes ... 34
Como funciona o appliance Gateway Enforcer ... 35
Como funciona o appliance DHCP Enforcer ... 36
Como funciona o appliance LAN Enforcer ... 37
Como funciona a configuração básica do LAN Enforcer ... 38
Como funciona o modo transparente do LAN Enforcer ... 39
Sobre a autenticação 802.1x ... 40
Suporte para soluções de aplicação de terceiros ... 41
Onde obter mais informações sobre os appliances Symantec Enforcer ... 41
Capítulo 2
Planejamento para a instalação do appliance
Enforcer
... 43Planejamento da instalação para appliances Enforcer ... 43
Planejamento da instalação para um appliance Gateway Enforcer ... 44
Onde colocar o appliance Gateway Enforcer ... 45
Diretrizes para endereços IP em um appliance Gateway
Enforcer ... 47
Sobre dois appliances Gateway Enforcer em série ... 47
Proteção do acesso à VPN através de um appliance Gateway Enforcer ... 48
Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer ... 48
Proteção dos servidores através de um appliance Gateway Enforcer ... 48
Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer ... 49
Requisitos para a permissão de clientes que não sejam Windows sem autenticação ... 50
Planejamento de failover para appliances Gateway Enforcer ... 51
Como o failover funciona com os appliances Gateway Enforcer na rede ... 51
Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs ... 52
Configuração de appliances do Gateway Enforcer para failover ... 54
Planejamento da instalação para um appliance DHCP Enforcer ... 54
Onde colocar os appliances DHCP Enforcer em uma rede ... 54
Endereços IP do appliance DHCP Enforcer ... 56
Proteção de clientes que não sejam Windows com aplicação de DHCP ... 57
Sobre o servidor DHCP ... 58
Planejamento de failover para appliances DHCP Enforcer ... 59
Como o failover funciona com os appliances DHCP Enforcer na rede ... 59
Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs ... 60
Configuração de appliances DHCP Enforcer para failover ... 62
Planejamento da instalação para um appliance LAN Enforcer ... 63
Onde colocar appliances LAN Enforcer ... 63
Planejamento de failover para appliances LAN Enforcer ... 66
Onde colocar os appliances LAN Enforcer para failover em uma rede ... 66
Sumário 8
Capítulo 3
Upgrade e migração de imagens do appliance
Enforcer
... 69Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000 ... 69
Como determinar a versão atual de uma imagem do appliance Enforcer ... 70
Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 ... 71
Migração da imagem do appliance Enforcer de 5.1.x para 11.0.3000 ... 71
Geração de imagens do appliance Enforcer ... 72
Capítulo 4
Instalação do appliance Enforcer pela primeira
vez
... 75Antes da instalação do appliance Enforcer ... 75
Sobre a instalação do appliance Gateway Enforcer ... 76
Sobre a instalação do appliance DHCP Enforcer ... 76
Sobre a instalação do appliance LAN Enforcer ... 77
Sobre os indicadores e os controles do appliance Enforcer ... 77
Configurações da NIC dos appliances Gateway Enforcer ou DHCP Enforcer ... 79
Instalação de um appliance Enforcer ... 80
Sobre a trava do appliance Enforcer ... 85
Capítulo 5
Execução de tarefas básicas no console de um
appliance Enforcer
... 87Sobre a execução de tarefas básicas no console de um appliance Enforcer ... 87
Logon em um appliance Enforcer ... 88
Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager ... 89
Verificação do status de comunicação de um appliance Enforcer no console do Enforcer ... 91
Acesso remoto a um appliance Enforcer ... 92
Relatórios e registros de depuração do Enforcer ... 92
9 Sumário
Capítulo 6
Configuração do appliance Symantec Gateway
Enforcer no console do Symantec Endpoint
Protection Manager
... 93 Sobre a configuração do appliance Symantec Gateway Enforcer noconsole do Symantec Endpoint Protection Manager ... 94 Alteração das definições de configuração do appliance Gateway
Enforcer em um servidor de gerenciamento ... 94 Uso das configurações gerais ... 98
Adição ou edição da descrição de um grupo do appliance Gateway Enforcer ... 99 Adição ou edição da descrição de um appliance Gateway
Enforcer ... 99 Adição ou edição do endereço IP ou nome do host de um appliance
Gateway Enforcer ... 100 Estabelecimento da comunicação entre o appliance Gateway
Enforcer e o Symantec Endpoint Protection Manager através de uma lista do servidor de gerenciamento ... 100 Uso das definições de autenticação ... 101 Sobre o uso das configurações de autenticação ... 101 Sobre as sessões de autenticação em um Gateway Enforcer
appliance ... 105 Sobre a autenticação do cliente em um Gateway Enforcer
appliance ... 106 Especificação do número máximo de pacotes de desafio durante
uma sessão de autenticação ... 107 Especificação da freqüência de envio dos pacotes de desafio aos
clientes ... 108 Especificação do período de tempo durante o qual um cliente é
bloqueado depois de a autenticação falhar ... 109 Especificação do período de tempo durante o qual um cliente tem
permissão para reter sua conexão de rede sem nova
autenticação ... 109 Permissão para todos os clientes com registros contínuos de
clientes não autenticados ... 110 Permissão para que clientes que não sejam Windows se conectem
à rede sem autenticação ... 111 Como fazer com que o appliance Gateway Enforcer verifique o
número de série da política em um cliente ... 112 Envio de uma mensagem de não-conformidade de um appliance
Gateway Enforcer a um cliente ... 113 Redirecionamento de solicitações HTTP para uma página da
Web ... 115
Sumário 10
Configurações de intervalo de autenticação ... 116 Intervalos de IP do cliente comparados a endereços IP externos
e confiáveis ... 117 Quando usar os intervalos de IP de cliente ... 117 Sobre os endereços IP confiáveis ... 118 Adição de intervalos de endereço IP do cliente à lista de endereços
que necessitam de autenticação ... 120 Edição de intervalos de endereço IP de cliente na lista de
endereços que necessitam de autenticação ... 121 Remoção de intervalos de endereço IP do cliente da lista de
endereços que necessitam de autenticação ... 122 Adição de um endereço IP interno e confiável para clientes em
um servidor de gerenciamento ... 122 Especificação de endereços IP externos e confiáveis ... 123 Edição de endereço IP interno e confiável ou endereço IP interno
e confiável ... 124 Remoção de um endereço IP interno e confiável ou um endereço
IP externo e confiável ... 125 Ordem de verificação do intervalo de IP ... 126 Uso das configurações avançadas do appliance Gateway
Enforcer ... 126 Especificação dos tipos de pacote e protocolos ... 127 Permissão para um cliente legado se conectar à rede com um
appliance Gateway Enforcer ... 128 Ativação da autenticação local em um appliance Gateway
Enforcer ... 129
Capítulo 7
Configuração do appliance Symantec DHCP
Enforcer no console do Symantec Endpoint
Protection Manager
... 131 Sobre a configuração do appliance Symantec DHCP Enforcer noconsole do Symantec Endpoint Protection Manager ... 132 Alteração das configurações do appliance DHCP Enforcer em um
servidor de gerenciamento ... 132 Uso das configurações gerais ... 134
Adição ou edição do nome de um grupo do Enforcer com um
DHCP Enforcer ... 134 Adição ou edição da descrição de um grupo do Enforcer com um
DHCP Enforcer ... 134 Adição ou edição do endereço IP ou nome de host de um DHCP
Enforcer ... 135 Adição ou edição da descrição de um DHCP Enforcer ... 135
11 Sumário
Conexão do DHCP Enforcer a um Symantec Endpoint Protection
Manager ... 136
Uso das definições de autenticação ... 137
Sobre o uso das configurações de autenticação ... 137
Sobre as sessões de autenticação ... 139
Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação ... 141
Especificação da freqüência de envio dos pacotes de desafio aos clientes ... 142
Permissão para todos os clientes com registros contínuos de clientes não autenticados ... 143
Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação ... 144
Como fazer com que o DHCP Enforcer verifique o número de série da política em um cliente ... 145
Envio de uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente ... 146
Uso de configurações de servidores DHCP ... 147
Sobre o uso de configurações de servidores DHCP ... 147
Combinação de servidores DHCP normal e em quarentena no computador ... 148
Ativação de servidores DHCP normais e em quarentena separados ... 149
Adição de um servidor DHCP normal ... 149
Adição de um servidor DHCP em quarentena ... 150
Uso das configurações avançadas do appliance DHCP Enforcer ... 151
Configuração de uma quarentena automática para um cliente cuja autenticação falha ... 152
Especificação do período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede ... 152
Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação ... 153
Como impedir o spoofing de DNS ... 154
Permissão para um cliente legado conectar-se à rede com um appliance DHCP Enforcer ... 155
Ativação da autenticação local no appliance DHCP Enforcer ... 156
Sumário 12
Capítulo 8
Configuração do appliance Symantec LAN Enforcer
no console do Symantec Endpoint Protection
Manager
... 157Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager ... 158
Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer ... 158
Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer ... 159
Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager ... 160
Uso das configurações gerais ... 162
Adição ou edição do nome de um grupo do appliance LAN Enforcer com um LAN Enforcer ... 163
Especificação de uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer ... 163
Adição ou edição da descrição de um grupo do Enforcer com um LAN Enforcer ... 164
Adição ou edição do endereço IP ou nome do host de um LAN Enforcer ... 165
Adição ou edição da descrição de um LAN Enforcer ... 165
Conexão do LAN Enforcer a um Symantec Endpoint Protection Manager ... 166
Uso das configurações de grupo do servidor RADIUS ... 167
Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS ... 168
Edição do nome de um grupo de servidor RADIUS ... 169
Edição do nome amigável de um servidor RADIUS ... 170
Edição do nome do host ou endereço IP de um servidor RADIUS ... 171
Edição do número da porta de autenticação de um servidor RADIUS ... 171
Edição do segredo compartilhado de um servidor RADIUS ... 172
Exclusão do nome de um grupo de servidor RADIUS ... 173
Exclusão de um servidor RADIUS ... 173
Uso das configurações do alternador ... 174
Sobre o uso das configurações do alternador ... 174
Sobre o suporte a atributos dos modelos de alternador ... 176
Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente ... 179
Edição de informações básicas sobre a política de alternador e o alternador compatível com 802.1x ... 187
13 Sumário
Edição de informações sobre o alternador compatível com
802.1x ... 193
Edição de informações VLAN para a política de alternador ... 194
Edição de informações de ação para a política de alternador ... 197
Uso das configurações avançadas do appliance LAN Enforcer ... 201
Permissão para um cliente legado se conectar à rede com um appliance LAN Enforcer ... 201
Ativação da autenticação local no appliance LAN Enforcer ... 202
Uso da autenticação 802.1x ... 202
Sobre a reautenticação no computador-cliente ... 205
Capítulo 9
Configuração de conexões temporárias para
clientes do Symantec Network Access Control
On-Demand
... 207Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand ... 207
Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer ... 208
Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede ... 211
Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand ... 213
Configuração da autenticação com um banco de dados local integrado ... 213
Configuração da autenticação com o Microsoft Windows 2003 Server Active Directory ... 214
Configuração do cliente On-Demand no Windows para autenticação com o protocolo dot1x ... 215
Configuração do cliente On-Demand no Windows para autenticação com o protocolo peap ... 216
Edição do banner na página Bem-vindo ... 217
Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand ... 217
Capítulo 10
Interface da linha de comando do appliance
Enforcer
... 221Sobre a hierarquia de comandos da CLI do appliance Enforcer ... 221
Hierarquia de comandos da CLI ... 222
Sumário 14
Como navegar na hierarquia de comandos ... 225
Atalhos de combinação de teclas da CLI do appliance Enforcer ... 226
Obtenção de ajuda para os comandos da CLI ... 227
Capítulo 11
Referência de interface da linha de comando do
appliance Enforcer
... 231Convenções de comandos ... 231
CLI do appliance Enforcer em referência alfabética ... 232
Comandos de nível superior ... 247
Clear ... 247 Date ... 248 Exit ... 248 Help ... 248 Hostname ... 249 Password ... 249 Ping ... 250 Reboot ... 250 Shutdown ... 251 Show ... 251 Start ... 252 Stop ... 252 Traceroute ... 252 Update ... 253 Comandos capture ... 253 Capture Compress ... 253 Capture Filter ... 254 Capture Show ... 255 Capture Start ... 255 Capture upload ... 256 Capture Verbose ... 257 Comandos configure ... 257
Comandos configure advanced ... 257
Configure DNS ... 264 Configure Interface ... 264 Configure Interface-role ... 265 Configure NTP ... 266 Configure redirect ... 267 Configure Route ... 267 Configure Show ... 268 Configure SPM ... 268 Comandos console ... 269 Console baud-rate ... 269 15 Sumário
Console SSH ... 269 Console SSHKEY ... 270 Console show ... 270 Comandos debug ... 270 Debug destination ... 271 Debug level ... 271 Debug show ... 272 Debug upload ... 272 Comandos MAB ... 272
Comando MAB disable ... 273
comando MAB enable ... 273
Comandos MAB LDAP ... 274
comando MAB show ... 276
Comandos monitor ... 277
Comando monitor refresh ... 277
Comando monitor show ... 277
Comando monitor show blocked-hosts ... 277
Comandos monitor show connected-guests ... 279
Comando monitor show connected-users ... 280
Comandos SNMP ... 281 Comando SNMP disable ... 281 Comando SNMP enable ... 281 Comando SNMP heartbeat ... 282 Comando SNMP receiver ... 282 Comando SNMP show ... 283 Comando SNMP trap ... 283 Comandos on-demand ... 284
Comandos on-demand authentication ... 284
Comando on-demand banner ... 290
Comando on-demand client-group ... 290
Comandos on-demand dot1x ... 291
Comando on-demand show ... 301
Comando on-demand spm-domain ... 301
Comandos on-demand mac-compliance ... 302
Capítulo 12
Solução de problemas de um appliance
Enforcer
... 307Sobre como solucionar problemas em um appliance Enforcer ... 307
Soluções gerais de tópicos e problemas conhecidos ... 308
Sobre a transferência de informações de depuração na rede ... 309
Sumário 16
Capítulo 13
Perguntas freqüentes sobre os appliances Gateway,
DHCP ou LAN Enforcer
... 311 Perguntas sobre a aplicação ... 311Quais produtos de software antivírus oferecem suporte à
integridade do host? ... 312 As políticas de integridade do host podem ser definidas em nível
de grupo ou em nível global? ... 313 Pode você criar uma mensagem personalizada de integridade do
host? ... 313 O que acontecerá se os appliances Enforcers não puderem se
comunicar com os Symantec Endpoint Protection
Managers? ... 313 É necessário ter um servidor RADIUS quando um appliance LAN
Enforcer é executado no modo transparente? ... 314 Como a aplicação gerencia computadores sem clientes? ... 315
Seção 2
Instalação do Symantec NAC Integrated
Enforcer para servidores DHCP da
Microsoft
... 317Capítulo 14
Apresentação do Symantec NAC Integrated
Enforcer para servidores DHCP da
Microsoft
... 319 Sobre o Symantec Integrated Enforcer para servidores DHCP daMicrosoft ... 319 Como funciona o Integrated Enforcer para servidores DHCP da
Microsoft ... 320 Noções básicas sobre a instalação do Integrated Enforcer para
servidores DHCP da Microsoft ... 321 Onde encontrar mais informações sobre documentação relacionada
para o Integrated Enforcer para servidores DHCP da
Microsoft ... 322
17 Sumário
Capítulo 15
Planejamento da instalação do Symantec NAC
Integrated Enforcer para servidores DHCP da
Microsoft
... 325 Sobre como planejar a instalação de um Integrated Enforcer paraservidores DHCP da Microsoft ... 326 Componentes necessários para o Integrated Enforcer para servidores
DHCP da Microsoft ... 326 Requisitos de hardware para o Integrated Enforcer para servidores
DHCP da Microsoft ... 327 Requisitos do sistema operacional para o Integrated Enforcer para
servidores DHCP da Microsoft ... 327 Planejamento da colocação do Integrated Enforcer para servidores
DHCP da Microsoft ... 328
Capítulo 16
Instalação do Symantec NAC Integrated Enforcer
para servidores DHCP da Microsoft
... 329 Antes de instalar o Integrated Enforcer para servidores DHCP daMicrosoft ... 329 Instalação do Integrated Enforcer para servidores DHCP da
Microsoft ... 330 Como fazer upgrade do Integrated Enforcer para servidores DHCP
da Microsoft ... 333
Seção 3
Instalação do Symantec NAC Integrated
Enforcer para servidores DHCP da
Alcatel-Lucent VitalQIP
... 335Capítulo 17
Introdução ao Symantec NAC Integrated Enforcer
para servidores DHCP da Alcatel-Lucent
VitalQIP
... 337 Sobre o Integrated Enforcer para servidores DHCP da Alcatel-LucentVitalQIP (Integrated Lucent Enforcer) ... 337 O que você pode fazer com o Integrated Lucent Enforcer ... 338 Como o Integrated Lucent Enforcer funciona ... 338 Onde encontrar mais informações sobre a documentação relacionada
para o Integrated Lucent Enforcer ... 340
Sumário 18
Capítulo 18
Planejamento da instalação do Symantec NAC
Integrated Lucent Enforcer
... 343Sobre o planejamento da instalação de um Integrated Lucent Enforcer ... 343
Componentes necessários para um Integrated Lucent Enforcer ... 344
Planejamento da colocação de um Integrated Lucent Enforcer ... 345
Requisitos de hardware para um Integrated Lucent Enforcer ... 346
Requisitos do sistema operacional para um Integrated Lucent Enforcer ... 347
Capítulo 19
Instalação do Symantec NAC Integrated Enforcer
para Alcatel-Lucent VitalQIP Enterprise DHCP
Servers
... 349Antes instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers pela primeira vez ... 349
Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers ... 350
Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers ... 352
Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server ... 353
Seção 4
Configuração dos Symantec NAC
Integrated Enforcers no console do
Enforcer
... 355Capítulo 20
Configuração dos Symantec NAC Integrated
Enforcers no console do Enforcer
... 357Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer ... 358
Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager ... 358
Configuração da quarentena automática ... 361
Definição das configurações básicas do Symantec Integrated Enforcer ... 363
Adição ou edição do nome de um grupo do Enforcer para o Symantec Integrated Enforcer ... 364
19 Sumário
Adição ou edição da descrição de um grupo do Enforcer com um
Symantec Integrated Enforcer ... 364
Adição ou edição do endereço IP ou nome do host de um Symantec Integrated Enforcer ... 365
Adição ou edição da descrição de um Symantec Integrated Enforcer ... 365
Conexão do Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager ... 366
Edição de uma conexão do Symantec Endpoint Protection Manager ... 367
Configuração de uma lista de fornecedor confiável ... 367
Exibição de registros do Enforcer no console ... 368
Configuração de registros do Symantec Integrated Enforcer ... 369
Definição das configurações de autenticação do Symantec Integrated Enforcer ... 369
Sobre o uso das configurações de autenticação ... 370
Sobre as sessões de autenticação ... 371
Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação ... 373
Especificação da freqüência de envio dos pacotes de desafio aos clientes ... 373
Permissão para todos os clientes com registro contínuo de clientes não autenticados ... 374
Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação ... 375
Como fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente ... 376
Envio de uma mensagem de não conformidade do Symantec Integrated Enforcer para um cliente ... 377
Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer ... 377
Definição das configurações avançadas do Symantec Integrated Enforcer ... 379
Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação ... 379
Permissão para um cliente legado se conectar à rede com um Integrated Enforcer ... 380
Ativação da autenticação local no Integrated Enforcer ... 381
Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento ... 382
Sumário 20
Como desconectar o Symantec NAC Lucent Integrated Enforcer de
um servidor de gerenciamento no console do Enforcer ... 383 Conexão a servidores legados do Symantec Endpoint Protection
Manager ... 384
Seção 5
Instalação e configuração do Symantec
NAC Integrated Enforcer para
Microsoft Network Access
Protection
... 385Capítulo 21
Apresentação do Symantec NAC Integrated
Enforcer para Microsoft Network Access
Protection
... 387 Sobre o Integrated Enforcer para Microsoft Network AccessProtection ... 387
Capítulo 22
Planejamento da instalação do Symantec NAC
Integrated Enforcer para Microsoft Network
Access Protection
... 389 Sobre como planejar a instalação do Symantec Integrated NAPEnforcer ... 389 Componentes necessários para o Symantec Integrated NAP
Enforcer ... 390 Requisitos de hardware do Symantec Integrated NAP Enforcer ... 391 Requisitos do sistema operacional para o Symantec Integrated NAP
Enforcer ... 391 Requisitos do sistema operacional para o cliente do Symantec Network
Access Control ... 392
Capítulo 23
Instalação do Symantec NAC Integrated Enforcer
para Microsoft Network Access Protection
... 393 Antes de instalar o Symantec Integrated NAP Enforcer ... 393 Instalação do Symantec Integrated NAP Enforcer ... 39421 Sumário
Capítulo 24
Configuração do Symantec NAC Integrated Enforcer
para Microsoft Network Access Protection em
um console do Enforcer
... 397 Sobre como configurar o Symantec Integrated NAP Enforcer em umconsole do Enforcer ... 398 Como conectar o Symantec Integrated NAP Enforcer a um servidor
de gerenciamento em um console do Enforcer ... 398 Como criptografar a comunicação entre o Symantec Integrated NAP
Enforcer e um servidor de gerenciamento ... 400 Configuração de um nome de grupo do Enforcer no console do
Symantec Integrated NAP Enforcer ... 401 Configuração de um protocolo de comunicação HTTP no console do
Symantec Integrated NAP Enforcer ... 402
Capítulo 25
Configuração do Symantec NAC Integrated Enforcer
para Microsoft Network Access Protection em
um console do Symantec Endpoint Protection
Manager
... 403 Sobre a configuração do Symantec Integrated NAP Enforcer noconsole do Symantec Endpoint Protection Manager ... 404 Ativação da aplicação do NAP para clientes ... 404 Como verificar se o servidor de gerenciamento gerencia o
cliente ... 405 Verificação das políticas do Validador da integridade de
segurança ... 405 Como verificar se os clientes são aprovados na verificação de
integridade do host ... 406 Ativação da autenticação local no Symantec Integrated NAP
Enforcer ... 406 Configuração de registros para o Symantec Integrated NAP
Enforcer ... 407
Sumário 22
Seção 6
Gerenciamento de enforcers a partir do
console do Symantec Endpoint
Protection Manager
... 409Capítulo 26
Gerenciamento de enforcers no console do
Symantec Endpoint Protection Manager
... 411 Sobre o gerenciamento de Enforcers no console do servidor degerenciamento ... 412 Sobre o gerenciamento de Enforcers na página Servidores ... 412 Sobre os grupos do Enforcer ... 413 Como o console determina o nome do grupo do Enforcer ... 413 Sobre os grupos de failover do Enforcer ... 413 Sobre a alteração de um nome de grupo ... 414 Sobre a criação de um grupo do Enforcer ... 414 Sobre as informações do Enforcer que são exibidas no console do
Enforcer ... 414 Exibição das informações sobre o Enforcer no console de
gerenciamento ... 415 Alteração do nome e da descrição de um Enforcer ... 416 Exclusão de um Enforcer ou de um grupo do Enforcer ... 416 Exportação e importação das configurações do grupo do
Enforcer ... 417 Mensagens pop-up para clientes bloqueados ... 418 Mensagens dos computadores que executam o cliente ... 418 Mensagens dos computadores com Windows que não estão
executando o cliente (somente Gateway ou DHCP
Enforcer) ... 419 Configuração das mensagens do Enforcer ... 419 Sobre as configurações do cliente e o Enforcer ... 420 Configuração de clientes para usar uma senha a fim de interromper
o serviço do cliente ... 420
Seção 7
Como trabalhar com relatórios e registros
do enforcer
... 421Capítulo 27
Gerenciamento de relatórios e registros do
Enforcer
... 423 Sobre relatórios do Enforcer ... 423 Sobre registros do Enforcer ... 42423 Sumário
Sobre o registro do servidor do Enforcer ... 424 Sobre o Registro do cliente do Enforcer ... 425 Sobre o registro de tráfego do Gateway Enforcer ... 426 Definição das configurações do registro do Enforcer ... 427
Desativação do registro do Enforcer no console do Symantec
Endpoint Protection Manager ... 427 Ativação do envio de registros do Enforcer de um Enforcer para
o Symantec Endpoint Protection Manager ... 428 Configuração do tamanho e do prazo dos registros do
Enforcer ... 428 Filtragem dos registros de tráfego de um Enforcer ... 429
Índice
... 431Sumário 24
Instalação e configuração
dos appliances do Symantec
Network Access Control
Enforcer
■ Apresentação do appliance Enforcer
■ Planejamento para a instalação do appliance Enforcer
■ Upgrade e migração de imagens do appliance Enforcer
■ Instalação do appliance Enforcer pela primeira vez
■ Execução de tarefas básicas no console de um appliance Enforcer
■ Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager
■ Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager
■ Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
1
■ Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand
■ Interface da linha de comando do appliance Enforcer
■ Referência de interface da linha de comando do appliance Enforcer
■ Solução de problemas de um appliance Enforcer
■ Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer 26
Apresentação do appliance
Enforcer
Este capítulo contém os tópicos a seguir:
■ Sobre os appliances Symantec Enforcer
■ Público-alvo
■ Tipos de aplicações
■ O que pode ser feito com os appliances Symantec Network Access Control Enforcer
■ Sobre as políticas de integridade do host e o appliance Enforcer
■ Como funciona o appliance Gateway Enforcer
■ Como funciona o appliance DHCP Enforcer
■ Como funciona o appliance LAN Enforcer
■ Suporte para soluções de aplicação de terceiros
■ Onde obter mais informações sobre os appliances Symantec Enforcer
Sobre os appliances Symantec Enforcer
Os Symantec Enforcers são quatro componentes opcionais de rede que funcionam com o Symantec Endpoint Protection Manager.
Para proteger a rede corporativa, três appliances Symantec Enforcers baseados em Linux funcionam com clientes gerenciados, como clientes do Symantec Endpoint Protection e clientes do Symantec Network Access Control.
1
■ Appliance Symantec Network Access Control Gateway Enforcer
■ Appliance Symantec Network Access Control DHCP Enforcer
■ Appliance Symantec Network Access Control LAN Enforcer
Os Symantec Enforcers baseados em Windows funcionam com clientes gerenciados, como os clientes do Symantec Endpoint Protection e do Symantec Network Access Control, para proteger a rede corporativa.
Nota:O Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection não funciona com clientes convidados, tais como clientes do Symantec Network Access Control On-Demand nas plataformas Windows e Macintosh.
As instruções de instalação, configuração e administração estão incluídas na documentação dos seguinte Enforcers baseados em Windows:
■ Symantec Network Access Control Integrated Enforcer para servidores DHCP da Microsoft
Consulte“Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft”na página 319.
■ Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection
Consulte“Sobre o Integrated Enforcer para Microsoft Network Access Protection”na página 387.
■ Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP
Consulte“Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer)”na página 337.
Público-alvo
A documentação é destinada aos responsáveis pela configuração e implementação de um appliance Enforcer opcional. É necessário ter bons conhecimentos dos conceitos de rede e estar familiarizados com a administração do Symantec Endpoint Protection Manager.
O appliance Enforcer opcional funciona somente com versões específicas de outros componentes.
Consulte“Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000”na página 69.
Apresentação do appliance Enforcer Público-alvo
Se você pretende usar um appliance Enforcer opcional com uma versão anterior do Symantec Network Access Control, consulte a documentação que acompanha o appliance Enforcer no momento da compra.
Tipos de aplicações
ATabela 1-1lista os appliances Enforcer opcionais e Enforcers baseados em Windows.
Tabela 1-1 Tipos de aplicações Descrição Tipo do appliance
Enforcer
Fornece aplicação em pontos de acesso dos computadores externos que se conectam remotamente por meio de um dos seguintes métodos:
■ Rede privada virtual (VPN) ■ LAN sem fio
■ Remote Access Server (RAS)
Também é possível configurar o appliance Gateway Enforcer para restringir o acesso a determinados servidores permitindo somente endereços IP especificados. O Symantec Gateway Enforcer é aceito no appliance Enforcer.
Consulte“Como funciona o appliance Gateway Enforcer” na página 35.
Consulte“Planejamento da instalação para um appliance Gateway Enforcer”na página 44.
Appliance Symantec Gateway Enforcer
Fornece aplicação para os clientes que se conectam à rede por meio de um alternador ou ponto de acesso sem fio compatível com a autenticação 802.1x. O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service). Ele pode funcionar com ou sem o servidor RADIUS, que fornece autenticação em nível de usuário. O Symantec LAN Enforcer é aceito no appliance Enforcer.
Consulte“Como funciona o appliance LAN Enforcer” na página 37.
Consulte“Planejamento da instalação para um appliance LAN Enforcer”na página 63.
Appliance Symantec LAN Enforcer
29 Apresentação do appliance Enforcer
Descrição Tipo do appliance
Enforcer
Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec DHCP Enforcer é suportado em um appliance Enforcer. Consulte“Como funciona o appliance DHCP Enforcer” na página 36.
Consulte“Planejamento da instalação para um appliance DHCP Enforcer”na página 54.
Appliance Symantec DHCP Enforcer
Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated Enforcer para servidores DHCP da Microsoft não é aceito em um appliance Enforcer.
Consulte“Como funciona o Integrated Enforcer para servidores DHCP da Microsoft”na página 320.
Consulte“Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft”na página 328. Symantec Integrated
Enforcer para servidores DHCP da Microsoft
Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated NAP Enforcer é aceito na plataforma Windows Server 2008. O Symantec Integrated Enforcer para Microsoft Network Access Protection não é aceito no appliance Enforcer.
Symantec Integrated Enforcer para Microsoft Network Access Protection
Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated DHCP Enforcer para servidores DHCP da
Alcatel-Lucent VitalQIP não é aceito no appliance Enforcer. Symantec Integrated
Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Apresentação do appliance Enforcer
Tipos de aplicações 30
O que pode ser feito com os appliances Symantec
Network Access Control Enforcer
O appliance Enforcer opcional é instalado nos endpoints da rede para clientes externos ou internos.
Por exemplo, um appliance Enforcer pode ser instalado entre a rede e o servidor VPN ou em frente a um servidor DHCP. Ele também pode ser instalado para aplicação nos computadores-cliente que se conectam à rede por um alternador compatível com 802.1x ou ponto de acesso sem fio.
Um appliance Enforcer executa a autenticação do host, em vez da autenticação em nível de usuário. Ele assegura que os computadores-cliente que tentam se conectar à rede empresarial estejam em conformidade com as políticas de segurança da empresa. Você pode configurar as políticas de segurança de uma empresa no Symantec Endpoint Protection Manager.
Se o cliente não estiver em conformidade com as políticas de segurança, o appliance Enforcer poderá efetuar as seguintes ações:
■ Bloquear seu acesso à rede.
■ Permitir acesso somente a recursos limitados.
O appliance Enforcer opcional pode redirecionar o cliente para a área de quarentena com um servidor de correção. O cliente pode então obter o software, os aplicativos, os arquivos de assinatura ou os patches necessários no servidor de correção.
Por exemplo, parte da rede pode já estar configurada para os clientes que se conectam à LAN por meio de alternadores compatíveis com 802.1x. Se esse for o caso, você pode usar um appliance LAN Enforcer para estes clientes.
Você também pode usar um appliance LAN Enforcer para os clientes que se conectam através de um ponto de acesso sem fio compatível com 802.1x. Consulte“Como funciona o appliance LAN Enforcer”na página 37. Consulte“Planejamento da instalação para um appliance LAN Enforcer”
na página 63.
Pode haver outras partes da rede que não estejam configuradas para suporte a 802.1x. É possível usar um appliance DHCP Enforcer para gerenciar a aplicação nesses clientes.
Consulte“Como funciona o appliance DHCP Enforcer”na página 36. Consulte“Planejamento da instalação para um appliance DHCP Enforcer”
na página 54.
31 Apresentação do appliance Enforcer O que pode ser feito com os appliances Symantec Network Access Control Enforcer
Se houver funcionários que trabalhem remotamente, conectando-se por meio de uma VPN ou de dial-up, é possível usar o appliance Gateway Enforcer para esses clientes.
Você também pode usar o appliance Gateway Enforcer se um ponto de acesso sem fio não for compatível com 802.1x.
Consulte“Como funciona o appliance Gateway Enforcer”na página 35. Consulte“Planejamento da instalação para um appliance Gateway Enforcer”
na página 44.
Se for necessária alta disponibilidade, dois ou mais appliances Gateway Enforcer, DHCP ou LAN Enforcer poderão ser instalados no mesmo local para fornecer recursos de failover.
Consulte“Planejamento de failover para appliances Gateway Enforcer”
na página 51.
Consulte“Planejamento de failover para appliances DHCP Enforcer”na página 59. Consulte“Planejamento de failover para appliances LAN Enforcer”na página 66. Se quiser implementar alta disponibilidade para appliances LAN Enforcer, devem ser instalados vários appliances LAN Enforcer e o alternador compatível com 802.1x. A alta disponibilidade pode ser alcançada pela adição do alternador compatível com 802.1x. Se forem instalados vários appliances LAN Enforcer sem um alternador compatível com 802.1x, a alta disponibilidade falhará. É possível configurar um alternador compatível com 802.1x para alta disponibilidade. Para obter informações sobre a configuração de um alternador compatível com 802.1x para alta disponibilidade, consulte a documentação que acompanha o alternador.
Em algumas configurações de rede, um cliente pode conectar-se a uma rede através de mais de um appliance Enforcer. Depois que o primeiro appliance Enforcer fornecer a autenticação ao cliente, todos os appliances Enforcer restantes autenticarão o cliente para que este possa conectar-se à rede.
Sobre as políticas de integridade do host e o appliance
Enforcer
As políticas de segurança que todos os appliances Enforcer verificam em computadores-cliente são denominadas políticas de integridade do host. Você cria e gerencia políticas de integridade do host no console do Symantec Endpoint Protection Manager.
Apresentação do appliance Enforcer
Sobre as políticas de integridade do host e o appliance Enforcer 32
As políticas de integridade do host especificam o software necessário para executar em um cliente. Por exemplo, você pode especificar que o seguinte software de segurança localizado em um computador-cliente deve estar em conformidade com determinados requisitos: ■ Software antivírus ■ Software anti-spyware ■ Software de firewall ■ Patches ■ Service packs
Se os requisitos predefinidos não atenderem às suas necessidades, também é possível personalizá-los.
Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec
Network Access Control para obter mais informações sobre como configurar e
personalizar políticas de integridade do host.
É possível configurar clientes para executar verificações de integridade do host em vários momentos. Quando um cliente tenta conectar-se à rede, ele executa uma verificação de integridade do host e envia os resultados a um appliance Enforcer.
Geralmente, o appliance Enforcer é configurado para, antes de conceder acesso à rede ao cliente, averiguar se ele passa na verificação de integridade do host. Se o cliente passar na verificação de integridade do host, ele estará em conformidade com a política de integridade do host da empresa. Entretanto, cada tipo de appliance Enforcer define os critérios de acesso à rede de maneira diferente. Consulte“Como funciona o appliance Gateway Enforcer”na página 35. Consulte“Como funciona o appliance DHCP Enforcer”na página 36. Consulte“Como funciona o appliance LAN Enforcer”na página 37.
Comunicação entre um appliance Enforcer e um Symantec Endpoint
Protection Manager
O appliance Enforcer permanece conectado ao Symantec Endpoint Protection Manager. Em intervalos regulares (pulsação), o appliance Enforcer recupera configurações do servidor de gerenciamento que controla seu modo de
funcionamento. Quando são realizadas alterações no servidor de gerenciamento, que afetam o appliance Enforcer, ele receberá a atualização durante a próxima pulsação. O appliance Enforcer transmite suas informações de status ao servidor de gerenciamento. Ele pode registrar os eventos que encaminha a esse servidor
33 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer
de gerenciamento. Desta forma, as informações aparecerão nos registros do servidor de gerenciamento.
O Symantec Endpoint Protection Manager mantém uma lista dos servidores de gerenciamento com informações replicadas de bancos de dados. Ele transfere por download a lista do servidor de gerenciamento para Enforcers conectados e gerenciados, bem como clientes convidados. Se o appliance Enforcer perder a comunicação com um servidor de gerenciamento, ele poderá conectar-se a outro servidor que esteja incluído na lista de servidores de gerenciamento. Se o appliance Enforcer for reiniciado, ele usará a lista de servidores de gerenciamento para restabelecer a conexão com um deles.
Quando um cliente tenta conectar-se à rede por meio do appliance Enforcer, ele autentica o identificador único do cliente (UID). O appliance Enforcer envia o UID ao servidor de gerenciamento e recebe uma resposta de aceitação ou rejeição. Se o appliance Enforcer estiver configurado para autenticar o UID, ele poderá recuperar as informações do servidor de gerenciamento. O appliance Enforcer pode, então, determinar se o perfil do cliente foi atualizado com as políticas de segurança mais recentes. Se as informações do cliente, como o identificador ou o perfil do cliente, forem alteradas no servidor de gerenciamento, este poderá enviar as informações ao appliance Enforcer. O appliance Enforcer poderá executar novamente a autenticação do host no cliente.
Comunicação entre o appliance Enforcer e os clientes
A comunicação entre o appliance Enforcer e um cliente começa quando o cliente tenta se conectar à rede. O appliance Enforcer pode detectar se um cliente está em execução. Se um cliente estiver em execução, o Enforcer iniciará o processo de autenticação com o cliente. O cliente responderá executando uma verificação de integridade do host e enviando os resultados, juntamente com suas informações de perfil, ao Enforcer.
O cliente também envia seu identificador único (UID), que o Enforcer transmite para o gerenciador para autenticação. O appliance Enforcer usa as informações do perfil para verificar se o cliente está atualizado com as políticas de segurança mais recentes. Se não estiver, o Enforcer notificará o cliente a atualizar seu perfil. Após o appliance DHCP Enforcer ou Gateway Enforcer permitir que o cliente se conecte à rede, eles continuarão a se comunicar com o cliente em um intervalo regular predefinido. Essa comunicação permite que o appliance Enforcer continue a autenticar o cliente. No appliance LAN Enforcer, o alternador 802.1x trata dessa autenticação periódica. Por exemplo, o alternador 802.1 inicia uma nova sessão de autenticação quando é o momento de reautenticação.
O appliance Enforcer precisa ser executado sempre. Caso contrário, os clientes que tentam se conectar à rede corporativa tentarão ser bloqueados.
Apresentação do appliance Enforcer
Sobre as políticas de integridade do host e o appliance Enforcer 34
Como funciona o appliance Gateway Enforcer
Os appliances Gateway Enforcer realizam verificações unidirecionais. Eles verificam clientes que tentam conectar-se à rede da empresa por meio da NIC externa do appliance Gateway Enforcer.
Um appliance Gateway Enforcer usa os seguintes processos para autenticar um cliente:
■ Quando um cliente tenta acessar a rede, o appliance Gateway Enforcer verifica primeiramente se ele está executando o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Se o cliente estiver executando qualquer um dos produtos de software-cliente, o appliance Gateway Enforcer inicia o processo de autenticação do host.
■ O cliente executado em um computador do usuário realiza uma verificação de integridade do host. Então, ele transmite os resultados ao appliance Gateway Enforcer juntamente com as informações de identificação e do status de sua política de segurança.
■ O appliance Gateway Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada.
■ O appliance Gateway Enforcer verifica se o cliente foi aprovado na verificação de integridade do host, estando, portanto, em conformidade com as políticas de segurança.
■ Se todos os processos forem aprovados, o appliance Gateway Enforcer permitirá que o cliente conecte-se à rede.
Se um cliente não satisfizer os requisitos para acesso, configure o appliance Gateway Enforcer para realizar as seguintes ações:
■ Monitorar e registrar determinados eventos.
■ Bloquear usuários se houver falha na verificação de integridade do host.
■ Exibir uma mensagem pop-up no cliente.
■ Fornecer ao cliente acesso limitado à rede para permitir o uso de recursos da rede para correção.
Para definir a autenticação do appliance Gateway Enforcer, é possível configurar quais endereços IP do cliente serão verificados. Você pode especificar os endereços IP e externos confiáveis que o appliance Gateway Enforcer permitirá sem autenticação. Para correção, é possível configurar o appliance Gateway Enforcer para permitir aos clientes acesso a endereços IP internos e confiáveis. Por exemplo, você pode permitir que os clientes tenham o acesso a um servidor de atualização ou a um servidor de arquivos que contenha arquivos de antivírus DAT.
35 Apresentação do appliance Enforcer Como funciona o appliance Gateway Enforcer
Em clientes que não tenham o software-cliente da Symantec, é possível redirecionar as solicitações do cliente HTTP para um servidor da Web. Por exemplo, você pode fornecer instruções adicionais sobre onde obter o software de correção ou permitir que um cliente faça o download do software-cliente.
Também é possível configurar o appliance Gateway Enforcer para permitir a clientes que não sejam Windows o acesso à rede. Um appliance Gateway Enforcer funciona como uma ponte em vez de um roteador. Assim que o cliente é
autenticado, o appliance Gateway Enforcer encaminha os pacotes para permitir ao cliente o acesso à rede.
Como funciona o appliance DHCP Enforcer
O appliance DHCP Enforcer é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede interna. Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP para um endereço IP dinâmico. O alternador ou roteador, que atua como um cliente de retransmissão DHCP, roteia a solicitação DHCP ao appliance DHCP Enforcer. O appliance DHCP Enforcer é configurado em linha em frente ao servidor DHCP. Antes de encaminhar a solicitação do DHCP ao servidor DHCP, o appliance Enforcer verifica se os clientes estão em conformidade com as políticas de segurança.
Se o cliente estiver em conformidade com as políticas de segurança, o appliance DHCP Enforcer enviará a solicitação do cliente de um endereço IP ao servidor DHCP normal. Se o agente não estiver em conformidade com as políticas de segurança, o Enforcer se conectará ao servidor de quarentena DHCP. O servidor de quarentena atribuirá uma configuração de rede de quarentena para o cliente. É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena. Para completar a solução do appliance DHCP Enforcer, o administrador precisa definir um servidor de correção. O servidor de reparo restringe o acesso de clientes em quarentena para que esses clientes possam interagir apenas com o servidor de reparo. Se alta disponibilidade for requerida, você poderá instalar dois ou mais appliances DHCP Enforcers para fornecer recursos de failover.
O DHCP Enforcer aplica políticas de segurança a clientes que tentam acessar um servidor DHCP. Ele bloqueia a solicitação do DHCP se o cliente falha na
autenticação. O appliance DHCP Enforcer encaminha a solicitação do DHCP a um servidor DHCP em quarentena com uma configuração de rede de intervalo restrito e curto prazo.
Quando o cliente envia a solicitação de DHCP pela primeira vez, o appliance DHCP Enforcer a encaminha para o servidor DHCP em quarentena, para um endereço
Apresentação do appliance Enforcer Como funciona o appliance DHCP Enforcer 36
IP temporário com um tempo de concessão curto. O appliance DHCP Enforcer pode então iniciar o processo de autenticação com o cliente.
O appliance DHCP Enforcer autentica clientes usando os seguintes métodos:
■ Quando um cliente tentar acessar a rede de empresa, o appliance Enforcer verificará primeiro se o computador-cliente executa o software-cliente do Symantec Network Access Control. Se o computador-cliente executa o software-cliente do Symantec Network Access Control, o appliance Enforcer inicia o processo para a autenticação do host.
■ O software-cliente do Symantec que é executado no computador-cliente executa uma verificação de integridade do host. O cliente passa então os resultados ao appliance Enforcer, juntamente com as informações de identificação e as informações sobre o status de sua política de segurança.
■ O appliance DHCP Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada.
■ O appliance DHCP Enforcer verifica se o cliente foi aprovado na verificação de integridade do host e, portanto, está em conformidade com as políticas de segurança.
■ Se todas as etapas forem aprovadas, o appliance DHCP Enforcer se certificará de que o endereço IP de quarentena seja liberado. O appliance DHCP Enforcer roteará a solicitação do cliente DHCP ao servidor DHCP normal. Então, o cliente recebe um endereço IP e configuração de rede normais.
Se o cliente não corresponder aos requisitos de segurança, o appliance DHCP Enforcer se certificará de que a solicitação de DHCP seja renovada com o servidor DHCP de quarentena. O cliente recebe uma configuração de rede de quarentena, que deve ser configurada para permitir acesso a um servidor de reparo.
O appliance DHCP Enforcer pode ser configurado para permitir que clientes que não sejam Windows tenham acesso ao servidor DHCP normal.
Como funciona o appliance LAN Enforcer
O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service).
É possível usar o appliance LAN Enforcer com um servidor RADIUS para realizar as seguintes ações:
■ Fazer a autenticação de usuário 802.1x/EAP tradicional.
Você nega o acesso a computadores não autorizados. Todos os usuários que tentarem conectar-se à rede deverão autenticar-se através do RADIUS primeiro.
37 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer
■ Verificar se os computadores-cliente estão em conformidade com as políticas de segurança definidas no servidor de gerenciamento (autenticação do host). Você pode aplicar políticas de segurança, como certificar-se de que o computador tenha o software antivírus, os patches ou outros produtos de software corretos. É possível confirmar se o computador-cliente está executando o cliente da Symantec e se ele foi aprovado na verificação de integridade do host.
Nas redes que não usam um servidor RADIUS, o appliance LAN Enforcer realiza apenas a autenticação do host.
Um appliance LAN Enforcer comunica-se com um alternador ou com um ponto de acesso sem fio que suporte autenticação EAP/802.1x. O alternador ou o ponto de acesso sem fio são normalmente configurados em dois ou mais VLANs. Os clientes Symantec em computadores-cliente transmitem as informações de EAP ou de integridade do host para o alternador por meio do protocolo EAPOL (EAP sobre LANs). O alternador encaminha as informações para o appliance LAN Enforcer para autenticação.
Você pode configurar o appliance LAN Enforcer com um conjunto de possíveis respostas a uma falha de autenticação. As respostas dependem do tipo de falha de autenticação: autenticação de host ou de usuário EAP.
Se você usar um alternador ou um ponto de acesso sem fio, é possível definir o appliance LAN Enforcer para direcionar um cliente autenticado para diferentes VLANs. O alternador ou o ponto de acesso sem fio deve oferecer recurso de alternação de VLAN dinâmica. Os VLANs podem incluir um VLAN de correção. Se você usa um LAN Enforcer com servidor RADIUS, é possível configurar várias conexões de servidor RADIUS para o Enforcer. Se uma conexão de servidor RADIUS estiver desativada, o appliance LAN Enforcer pode alternar para uma conexão diferente. Além disso, vários appliances LAN Enforcers podem ser definidos para conectarem-se ao alternador. Se um appliance LAN Enforcer falhar na resposta, outro LAN Enforcer poderá lidar com a autenticação.
Como funciona a configuração básica do LAN Enforcer
Se você estiver familiarizado com a autenticação 802.1x, poderá exibir detalhes sobre os clientes que tentarem acessar a rede usando a configuração básica. Você pode usar estas informações para solucionar problemas de conexões de rede. A configuração básica do LAN Enforcer 802.1x funciona assim:
■ Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x).
■ O alternador vê o computador e solicita a identificação.
Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 38
■ O suplicante 802.1x no computador solicita o nome de usuário e senha e responde com essa identificação.
■ O alternador encaminha essas informações ao LAN Enforcer, que as encaminha ao servidor RADIUS.
■ O servidor RADIUS gera um estímulo EAP selecionando um tipo de EAP de acordo com sua configuração.
■ O LAN Enforcer recebe esse estímulo, adiciona um desafio de integridade do host e o encaminha para o alternador.
■ O alternador encaminha os estímulos EAP e de integridade do host para o cliente.
■ O cliente recebe os estímulos e envia uma resposta.
■ O alternador recebe a resposta e a encaminha para o LAN Enforcer.
■ O LAN Enforcer examina o resultado da verificação de integridade do host e as informações sobre o status do cliente e as encaminha para o servidor RADIUS.
■ O servidor RADIUS executa a autenticação EAP e envia o resultado de volta ao LAN Enforcer.
■ O LAN Enforcer recebe os resultados da autenticação e encaminha os resultados e a ação a ser tomada.
■ O alternador seleciona a ação apropriada e permite acesso normal à rede, bloqueando ou permitindo o acesso a uma VLAN alternativa conforme os resultados.
Como funciona o modo transparente do LAN Enforcer
O modo transparente do LAN Enforcer funciona da seguinte forma:
■ Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x).
■ O autenticador vê o computador e envia um pacote de autenticação EAP (somente o tráfego EAP é permitido).
■ O cliente que atua como suplicante EAP vê o pacote de autenticação e responde com a autenticação da integridade do host.
■ O alternador encaminha os resultados da autenticação da integridade do host ao appliance LAN Enforcer (executado como servidor proxy RADIUS).
■ O appliance LAN Enforcer responde ao alternador com informações sobre as atribuições da VLAN baseadas em resultados da autenticação.
39 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer
Sobre a autenticação 802.1x
IEEE 802.1X-2001 é um padrão que define o controle de acesso para LANs com e sem fio. O padrão oferece um sistema para autenticação e controle do tráfego de usuários em uma rede protegida. O padrão especifica o uso do Extensible Authentication Protocol (EAP), que usa um servidor de autenticação centralizado, como o RADIUS (Remote Authentication Dial-In User Service).
O servidor autentica cada usuário que tenta acessar a rede. O padrão 802.1x inclui especificações para EAP sobre LAN (EAPOL). O EAPOL é usado para mensagens EAP encapsuladas em estruturas da camada link (Ethernet, por exemplo) e também oferece funções de controle.
A arquitetura 802.1x inclui os seguintes componentes principais:
A entidade que faz a intermediação da autenticação, como um alternador LAN compatível com 802.1x ou um ponto de acesso sem fio
Autenticador
A entidade que fornece a autenticação real, validando as credenciais fornecidas em resposta ao estímulo, como um servidor RADIUS.
Servidor de autenticação
A entidade que busca acesso à rede e tenta efetuar a autenticação com êxito, como um computador
Suplicante
Quando um dispositivo suplicante estiver conectado a um autenticador de alternador de rede com 802.1x ativado, ocorre o seguinte processo:
■ O alternador envia uma solicitação de identidade EAP.
■ O software suplicante EAP reage com uma resposta de identidade EAP, que é encaminhada ao servidor de autenticação (RADIUS, por exemplo) pelo alternador.
■ O servidor de autenticação emite um estímulo EAP, que é encaminhado ao suplicante pelo alternador.
■ O usuário insere as credenciais de autenticação (nome de usuário e senha, token, etc.).
■ O suplicante envia uma resposta ao estímulo EAP, inclusive as credenciais fornecidas pelo usuário, ao alternador, que encaminhará a resposta ao servidor de autenticação.
■ O servidor de autenticação valida as credenciais e responde com um resultado EAP ou de autenticação do usuário, que indica o êxito ou a falha na autenticação.
Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 40