Guia de Implementação do Symantec Network Access Control Enforcer
Guia de Implementação do Symantec Network Access Control Enforcer O software descrito neste livro é fornecido sob um contrato de licença e deve ser usado somente de acordo com os termos desse contrato. Versão da documentação 11.00.03.01.00 Aviso legal Copyright 2008 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan, Bloodhound, Confidence Online, Digital Immune System e Norton são marcas comerciais ou marcas registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Este produto da Symantec pode conter software de terceiros para o qual são necessárias atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou livre. O contrato de licença que acompanha o software não altera nenhum direito ou obrigação que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP que acompanha este produto da Symantec para obter mais informações sobre os Programas de terceiros. O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia, a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma a reprodução de qualquer seção deste documento sem a autorização prévia escrita da Symantec Corporation e dos concessores de licenças, se houver algum. A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÃO SEM PRÉVIO AVISO. O Software licenciado e a documentação são considerados software comercial para computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou documentação de software comercial para computadores", conforme aplicável, e todas regulamentações sucessoras. Qualquer uso, modificação, reprodução, apresentação, exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA deve ser feita exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.br
Suporte técnico O suporte técnico da Symantec mantém centros de suporte globais. A função principal do Suporte técnico é responder a consultas específicas sobre recursos e funcionalidades do produto. A equipe de Suporte técnico cria também conteúdo para a Base de conhecimento on-line. A equipe de Suporte técnico trabalha em colaboração com as outras áreas funcionais dentro da Symantec para responder as suas perguntas de maneira oportuna. Por exemplo, a equipe de Suporte técnico trabalha com o Product Engineering e o Symantec Security Response para fornecer serviços de alerta e atualizações das definições de vírus. As ofertas de manutenção da Symantec incluem o seguinte: Uma variedade de opções de suporte que oferecem flexibilidade para selecionar a quantidade adequada de serviço para empresas de qualquer porte Suporte telefônico e com base na Web que fornece resposta rápida e informações atualizadas por minuto Garantia de upgrade que fornece proteção automática de upgrade de software Suporte global disponível às 24 horas do dia, 7 dias da semana Recursos avançados, incluindo Account Management Services (Serviços de gerenciamento de conta) Para obter informações sobre os programas de manutenção da Symantec, consulte nosso site no seguinte URL: www.symantec.com/techsupp/ Como contatar o Suporte técnico Os clientes com um contrato de manutenção atual podem acessar as informações do Suporte técnico no seguinte URL: www.symantec.com/techsupp/ Antes de contatar o Suporte técnico, certifique-se de satisfazer os requisitos do sistema relacionados na documentação do produto. Além disso, é necessário estar no computador em que o problema ocorreu, caso seja necessário replicar o problema. Quando contatar o Suporte técnico, tenha as seguintes informações disponíveis: Nível de versão do produto Informações de hardware Memória disponível, espaço em disco e informações do NIC Sistema operacional
Versão e nível de patch Topologia da rede Informações do roteador, gateway e do endereço IP Descrição do problema: Mensagens de erro e arquivos de log Soluções executadas antes de contatar a Symantec Mudanças de configuração do software e mudanças da rede recentes Licenciamento e registro Atendimento ao cliente Se seus produtos Symantec exigem registro ou um código de licença, acesse a página da Web do Suporte técnico no seguinte URL: www.symantec.com/techsupp/ As informações de atendimento ao cliente estão disponíveis no seguinte URL: www.symantec.com/techsupp/ O Atendimento ao cliente está disponível para ajudá-lo com os seguintes tipos de problemas: Perguntas referentes ao licenciamento ou à serialização do produto Atualizações do registro do produto, tais como alterações de endereço ou de nome Informações gerais sobre o produto (recursos, disponibilidade de idioma, revendedores locais) Informações mais recentes sobre atualizações do produto e upgrades Informações sobre contratos de garantia de upgrade e de manutenção Informação sobre o Symantec Buying Programs (Programas de compra da Symantec) Conselhos sobre as opções de suporte técnico da Symantec Perguntas não técnicas de pré-venda Problemas relacionados aos CD-ROMs ou manuais
Recursos do contrato de manutenção Se deseja contatar a Symantec a respeito de um contrato de manutenção existente, contate a equipe de administração do contrato de manutenção para sua região da seguinte forma: Pacífico-Asiático e Japão Europa, Oriente Médio e África America do Norte e América Latina contractsadmin@symantec.com semea@symantec.com supportsolutions@symantec.com Serviços corporativos adicionais Symantec Early Warning Solutions (Soluções de alertas preventivos da Symantec) Managed Security Services (Serviços de segurança gerenciados) A Symantec oferece um conjunto abrangente de serviços que permitem maximizar seu investimento nos produtos Symantec e desenvolver seus conhecimentos, perícia e introspecção global, o que permite que você gerencie riscos comerciais de forma proativa. Os serviços corporativos disponíveis incluem: Essas soluções fornecem alertas preventivos de ataques pela Internet, análise de ameaça detalhada e medidas defensivas para impedir ataques antes que ocorram. Esses serviços removem a carga de gerenciar e monitorar dispositivos e eventos de segurança, garantindo resposta rápida a ameaças reais. Consulting Services (Serviços de consultoria) Educational Services (Serviços educacionais) Os Symantec Consulting Services (Serviços de consultoria da Symantec) fornecem a perícia técnica no local da Symantec e de seus parceiros confiáveis. Os Symantec Consulting Services (Serviços de consultoria da Symantec) oferecem uma variedade de opções prontas e personalizáveis que incluem recursos de avaliação, design, implementação, monitoramento e de gerenciamento. Cada um desses recursos está concentrado em estabelecer e manter a integridade e disponibilidade de seus recursos de TI. Os Educational Services (Serviços educacionais) fornecem uma variedade completa de treinamento técnico, instrução de segurança, certificação de segurança e de programas de comunicação para conscientização. Para acessar mais informações sobre os Serviços corporativos, consulte nosso site no seguinte URL: www.symantec.com Selecione seu país ou idioma do índice do site.
Sumário Suporte técnico... 4 Seção 1 Instalação e configuração dos appliances do Symantec Network Access Control Enforcer... 25 Capítulo 1 Apresentação do appliance Enforcer... 27 Sobre os appliances Symantec Enforcer... 27 Público-alvo... 28 Tipos de aplicações... 29 O que pode ser feito com os appliances Symantec Network Access Control Enforcer... 31 Sobre as políticas de integridade do host e o appliance Enforcer... 32 Comunicação entre um appliance Enforcer e um Symantec Endpoint Protection Manager... 33 Comunicação entre o appliance Enforcer e os clientes... 34 Como funciona o appliance Gateway Enforcer... 35 Como funciona o appliance DHCP Enforcer... 36 Como funciona o appliance LAN Enforcer... 37 Como funciona a configuração básica do LAN Enforcer... 38 Como funciona o modo transparente do LAN Enforcer... 39 Sobre a autenticação 802.1x... 40 Suporte para soluções de aplicação de terceiros... 41 Onde obter mais informações sobre os appliances Symantec Enforcer... 41 Capítulo 2 Planejamento para a instalação do appliance Enforcer... 43 Planejamento da instalação para appliances Enforcer... 43 Planejamento da instalação para um appliance Gateway Enforcer... 44 Onde colocar o appliance Gateway Enforcer... 45
8 Sumário Diretrizes para endereços IP em um appliance Gateway Enforcer... 47 Sobre dois appliances Gateway Enforcer em série... 47 Proteção do acesso à VPN através de um appliance Gateway Enforcer... 48 Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer... 48 Proteção dos servidores através de um appliance Gateway Enforcer... 48 Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer... 49 Requisitos para a permissão de clientes que não sejam Windows sem autenticação... 50 Planejamento de failover para appliances Gateway Enforcer... 51 Como o failover funciona com os appliances Gateway Enforcer na rede... 51 Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs... 52 Configuração de appliances do Gateway Enforcer para failover... 54 Planejamento da instalação para um appliance DHCP Enforcer... 54 Onde colocar os appliances DHCP Enforcer em uma rede... 54 Endereços IP do appliance DHCP Enforcer... 56 Proteção de clientes que não sejam Windows com aplicação de DHCP... 57 Sobre o servidor DHCP... 58 Planejamento de failover para appliances DHCP Enforcer... 59 Como o failover funciona com os appliances DHCP Enforcer na rede... 59 Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs... 60 Configuração de appliances DHCP Enforcer para failover... 62 Planejamento da instalação para um appliance LAN Enforcer... 63 Onde colocar appliances LAN Enforcer... 63 Planejamento de failover para appliances LAN Enforcer... 66 Onde colocar os appliances LAN Enforcer para failover em uma rede... 66
Sumário 9 Capítulo 3 Capítulo 4 Capítulo 5 Upgrade e migração de imagens do appliance Enforcer... 69 Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000... 69 Como determinar a versão atual de uma imagem do appliance Enforcer... 70 Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000... 71 Migração da imagem do appliance Enforcer de 5.1.x para 11.0.3000... 71 Geração de imagens do appliance Enforcer... 72 Instalação do appliance Enforcer pela primeira vez... 75 Antes da instalação do appliance Enforcer... 75 Sobre a instalação do appliance Gateway Enforcer... 76 Sobre a instalação do appliance DHCP Enforcer... 76 Sobre a instalação do appliance LAN Enforcer... 77 Sobre os indicadores e os controles do appliance Enforcer... 77 Configurações da NIC dos appliances Gateway Enforcer ou DHCP Enforcer... 79 Instalação de um appliance Enforcer... 80 Sobre a trava do appliance Enforcer... 85 Execução de tarefas básicas no console de um appliance Enforcer... 87 Sobre a execução de tarefas básicas no console de um appliance Enforcer... 87 Logon em um appliance Enforcer... 88 Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager... 89 Verificação do status de comunicação de um appliance Enforcer no console do Enforcer... 91 Acesso remoto a um appliance Enforcer... 92 Relatórios e registros de depuração do Enforcer... 92
10 Sumário Capítulo 6 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager... 93 Sobre a configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager... 94 Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento... 94 Uso das configurações gerais... 98 Adição ou edição da descrição de um grupo do appliance Gateway Enforcer... 99 Adição ou edição da descrição de um appliance Gateway Enforcer... 99 Adição ou edição do endereço IP ou nome do host de um appliance Gateway Enforcer... 100 Estabelecimento da comunicação entre o appliance Gateway Enforcer e o Symantec Endpoint Protection Manager através de uma lista do servidor de gerenciamento... 100 Uso das definições de autenticação... 101 Sobre o uso das configurações de autenticação... 101 Sobre as sessões de autenticação em um Gateway Enforcer appliance... 105 Sobre a autenticação do cliente em um Gateway Enforcer appliance... 106 Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação... 107 Especificação da freqüência de envio dos pacotes de desafio aos clientes... 108 Especificação do período de tempo durante o qual um cliente é bloqueado depois de a autenticação falhar... 109 Especificação do período de tempo durante o qual um cliente tem permissão para reter sua conexão de rede sem nova autenticação... 109 Permissão para todos os clientes com registros contínuos de clientes não autenticados... 110 Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação... 111 Como fazer com que o appliance Gateway Enforcer verifique o número de série da política em um cliente... 112 Envio de uma mensagem de não-conformidade de um appliance Gateway Enforcer a um cliente... 113 Redirecionamento de solicitações HTTP para uma página da Web... 115
Sumário 11 Configurações de intervalo de autenticação... 116 Intervalos de IP do cliente comparados a endereços IP externos e confiáveis... 117 Quando usar os intervalos de IP de cliente... 117 Sobre os endereços IP confiáveis... 118 Adição de intervalos de endereço IP do cliente à lista de endereços que necessitam de autenticação... 120 Edição de intervalos de endereço IP de cliente na lista de endereços que necessitam de autenticação... 121 Remoção de intervalos de endereço IP do cliente da lista de endereços que necessitam de autenticação... 122 Adição de um endereço IP interno e confiável para clientes em um servidor de gerenciamento... 122 Especificação de endereços IP externos e confiáveis... 123 Edição de endereço IP interno e confiável ou endereço IP interno e confiável... 124 Remoção de um endereço IP interno e confiável ou um endereço IP externo e confiável... 125 Ordem de verificação do intervalo de IP... 126 Uso das configurações avançadas do appliance Gateway Enforcer... 126 Especificação dos tipos de pacote e protocolos... 127 Permissão para um cliente legado se conectar à rede com um appliance Gateway Enforcer... 128 Ativação da autenticação local em um appliance Gateway Enforcer... 129 Capítulo 7 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager... 131 Sobre a configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager... 132 Alteração das configurações do appliance DHCP Enforcer em um servidor de gerenciamento... 132 Uso das configurações gerais... 134 Adição ou edição do nome de um grupo do Enforcer com um DHCP Enforcer... 134 Adição ou edição da descrição de um grupo do Enforcer com um DHCP Enforcer... 134 Adição ou edição do endereço IP ou nome de host de um DHCP Enforcer... 135 Adição ou edição da descrição de um DHCP Enforcer... 135
12 Sumário Conexão do DHCP Enforcer a um Symantec Endpoint Protection Manager... 136 Uso das definições de autenticação... 137 Sobre o uso das configurações de autenticação... 137 Sobre as sessões de autenticação... 139 Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação... 141 Especificação da freqüência de envio dos pacotes de desafio aos clientes... 142 Permissão para todos os clientes com registros contínuos de clientes não autenticados... 143 Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação... 144 Como fazer com que o DHCP Enforcer verifique o número de série da política em um cliente... 145 Envio de uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente... 146 Uso de configurações de servidores DHCP... 147 Sobre o uso de configurações de servidores DHCP... 147 Combinação de servidores DHCP normal e em quarentena no computador... 148 Ativação de servidores DHCP normais e em quarentena separados... 149 Adição de um servidor DHCP normal... 149 Adição de um servidor DHCP em quarentena... 150 Uso das configurações avançadas do appliance DHCP Enforcer... 151 Configuração de uma quarentena automática para um cliente cuja autenticação falha... 152 Especificação do período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede... 152 Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação... 153 Como impedir o spoofing de DNS... 154 Permissão para um cliente legado conectar-se à rede com um appliance DHCP Enforcer... 155 Ativação da autenticação local no appliance DHCP Enforcer... 156
Sumário 13 Capítulo 8 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager... 157 Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager... 158 Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer... 158 Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer... 159 Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager... 160 Uso das configurações gerais... 162 Adição ou edição do nome de um grupo do appliance LAN Enforcer com um LAN Enforcer... 163 Especificação de uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer... 163 Adição ou edição da descrição de um grupo do Enforcer com um LAN Enforcer... 164 Adição ou edição do endereço IP ou nome do host de um LAN Enforcer... 165 Adição ou edição da descrição de um LAN Enforcer... 165 Conexão do LAN Enforcer a um Symantec Endpoint Protection Manager... 166 Uso das configurações de grupo do servidor RADIUS... 167 Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS... 168 Edição do nome de um grupo de servidor RADIUS... 169 Edição do nome amigável de um servidor RADIUS... 170 Edição do nome do host ou endereço IP de um servidor RADIUS... 171 Edição do número da porta de autenticação de um servidor RADIUS... 171 Edição do segredo compartilhado de um servidor RADIUS... 172 Exclusão do nome de um grupo de servidor RADIUS... 173 Exclusão de um servidor RADIUS... 173 Uso das configurações do alternador... 174 Sobre o uso das configurações do alternador... 174 Sobre o suporte a atributos dos modelos de alternador... 176 Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente... 179 Edição de informações básicas sobre a política de alternador e o alternador compatível com 802.1x... 187
14 Sumário Edição de informações sobre o alternador compatível com 802.1x... 193 Edição de informações VLAN para a política de alternador... 194 Edição de informações de ação para a política de alternador... 197 Uso das configurações avançadas do appliance LAN Enforcer... 201 Permissão para um cliente legado se conectar à rede com um appliance LAN Enforcer... 201 Ativação da autenticação local no appliance LAN Enforcer... 202 Uso da autenticação 802.1x... 202 Sobre a reautenticação no computador-cliente... 205 Capítulo 9 Capítulo 10 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand... 207 Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand... 207 Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer... 208 Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede... 211 Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand... 213 Configuração da autenticação com um banco de dados local integrado... 213 Configuração da autenticação com o Microsoft Windows 2003 Server Active Directory... 214 Configuração do cliente On-Demand no Windows para autenticação com o protocolo dot1x... 215 Configuração do cliente On-Demand no Windows para autenticação com o protocolo peap... 216 Edição do banner na página Bem-vindo... 217 Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand... 217 Interface da linha de comando do appliance Enforcer... 221 Sobre a hierarquia de comandos da CLI do appliance Enforcer... 221 Hierarquia de comandos da CLI... 222
Sumário 15 Como navegar na hierarquia de comandos... 225 Atalhos de combinação de teclas da CLI do appliance Enforcer... 226 Obtenção de ajuda para os comandos da CLI... 227 Capítulo 11 Referência de interface da linha de comando do appliance Enforcer... 231 Convenções de comandos... 231 CLI do appliance Enforcer em referência alfabética... 232 Comandos de nível superior... 247 Clear... 247 Date... 248 Exit... 248 Help... 248 Hostname... 249 Password... 249 Ping... 250 Reboot... 250 Shutdown... 251 Show... 251 Start... 252 Stop... 252 Traceroute... 252 Update... 253 Comandos capture... 253 Capture Compress... 253 Capture Filter... 254 Capture Show... 255 Capture Start... 255 Capture upload... 256 Capture Verbose... 257 Comandos configure... 257 Comandos configure advanced... 257 Configure DNS... 264 Configure Interface... 264 Configure Interface-role... 265 Configure NTP... 266 Configure redirect... 267 Configure Route... 267 Configure Show... 268 Configure SPM... 268 Comandos console... 269 Console baud-rate... 269
16 Sumário Console SSH... 269 Console SSHKEY... 270 Console show... 270 Comandos debug... 270 Debug destination... 271 Debug level... 271 Debug show... 272 Debug upload... 272 Comandos MAB... 272 Comando MAB disable... 273 comando MAB enable... 273 Comandos MAB LDAP... 274 comando MAB show... 276 Comandos monitor... 277 Comando monitor refresh... 277 Comando monitor show... 277 Comando monitor show blocked-hosts... 277 Comandos monitor show connected-guests... 279 Comando monitor show connected-users... 280 Comandos SNMP... 281 Comando SNMP disable... 281 Comando SNMP enable... 281 Comando SNMP heartbeat... 282 Comando SNMP receiver... 282 Comando SNMP show... 283 Comando SNMP trap... 283 Comandos on-demand... 284 Comandos on-demand authentication... 284 Comando on-demand banner... 290 Comando on-demand client-group... 290 Comandos on-demand dot1x... 291 Comando on-demand show... 301 Comando on-demand spm-domain... 301 Comandos on-demand mac-compliance... 302 Capítulo 12 Solução de problemas de um appliance Enforcer... 307 Sobre como solucionar problemas em um appliance Enforcer... 307 Soluções gerais de tópicos e problemas conhecidos... 308 Sobre a transferência de informações de depuração na rede... 309
Sumário 17 Capítulo 13 Seção 2 Capítulo 14 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer... 311 Perguntas sobre a aplicação... 311 Quais produtos de software antivírus oferecem suporte à integridade do host?... 312 As políticas de integridade do host podem ser definidas em nível de grupo ou em nível global?... 313 Pode você criar uma mensagem personalizada de integridade do host?... 313 O que acontecerá se os appliances Enforcers não puderem se comunicar com os Symantec Endpoint Protection Managers?... 313 É necessário ter um servidor RADIUS quando um appliance LAN Enforcer é executado no modo transparente?... 314 Como a aplicação gerencia computadores sem clientes?... 315 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft... 317 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft... 319 Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft... 319 Como funciona o Integrated Enforcer para servidores DHCP da Microsoft... 320 Noções básicas sobre a instalação do Integrated Enforcer para servidores DHCP da Microsoft... 321 Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft... 322
18 Sumário Capítulo 15 Capítulo 16 Seção 3 Capítulo 17 Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft... 325 Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft... 326 Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft... 326 Requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft... 327 Requisitos do sistema operacional para o Integrated Enforcer para servidores DHCP da Microsoft... 327 Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft... 328 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft... 329 Antes de instalar o Integrated Enforcer para servidores DHCP da Microsoft... 329 Instalação do Integrated Enforcer para servidores DHCP da Microsoft... 330 Como fazer upgrade do Integrated Enforcer para servidores DHCP da Microsoft... 333 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP... 335 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP... 337 Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer)... 337 O que você pode fazer com o Integrated Lucent Enforcer... 338 Como o Integrated Lucent Enforcer funciona... 338 Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer... 340
Sumário 19 Capítulo 18 Capítulo 19 Seção 4 Capítulo 20 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer... 343 Sobre o planejamento da instalação de um Integrated Lucent Enforcer... 343 Componentes necessários para um Integrated Lucent Enforcer... 344 Planejamento da colocação de um Integrated Lucent Enforcer... 345 Requisitos de hardware para um Integrated Lucent Enforcer... 346 Requisitos do sistema operacional para um Integrated Lucent Enforcer... 347 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 349 Antes instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers pela primeira vez... 349 Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 350 Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 352 Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server... 353 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer... 355 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer... 357 Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer... 358 Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager... 358 Configuração da quarentena automática... 361 Definição das configurações básicas do Symantec Integrated Enforcer... 363 Adição ou edição do nome de um grupo do Enforcer para o Symantec Integrated Enforcer... 364
20 Sumário Adição ou edição da descrição de um grupo do Enforcer com um Symantec Integrated Enforcer... 364 Adição ou edição do endereço IP ou nome do host de um Symantec Integrated Enforcer... 365 Adição ou edição da descrição de um Symantec Integrated Enforcer... 365 Conexão do Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager... 366 Edição de uma conexão do Symantec Endpoint Protection Manager... 367 Configuração de uma lista de fornecedor confiável... 367 Exibição de registros do Enforcer no console... 368 Configuração de registros do Symantec Integrated Enforcer... 369 Definição das configurações de autenticação do Symantec Integrated Enforcer... 369 Sobre o uso das configurações de autenticação... 370 Sobre as sessões de autenticação... 371 Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação... 373 Especificação da freqüência de envio dos pacotes de desafio aos clientes... 373 Permissão para todos os clientes com registro contínuo de clientes não autenticados... 374 Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação... 375 Como fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente... 376 Envio de uma mensagem de não conformidade do Symantec Integrated Enforcer para um cliente... 377 Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer... 377 Definição das configurações avançadas do Symantec Integrated Enforcer... 379 Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação... 379 Permissão para um cliente legado se conectar à rede com um Integrated Enforcer... 380 Ativação da autenticação local no Integrated Enforcer... 381 Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento... 382
Sumário 21 Como desconectar o Symantec NAC Lucent Integrated Enforcer de um servidor de gerenciamento no console do Enforcer... 383 Conexão a servidores legados do Symantec Endpoint Protection Manager... 384 Seção 5 Capítulo 21 Capítulo 22 Capítulo 23 Instalação e configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection... 385 Apresentação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection... 387 Sobre o Integrated Enforcer para Microsoft Network Access Protection... 387 Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection... 389 Sobre como planejar a instalação do Symantec Integrated NAP Enforcer... 389 Componentes necessários para o Symantec Integrated NAP Enforcer... 390 Requisitos de hardware do Symantec Integrated NAP Enforcer... 391 Requisitos do sistema operacional para o Symantec Integrated NAP Enforcer... 391 Requisitos do sistema operacional para o cliente do Symantec Network Access Control... 392 Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection... 393 Antes de instalar o Symantec Integrated NAP Enforcer... 393 Instalação do Symantec Integrated NAP Enforcer... 394
22 Sumário Capítulo 24 Capítulo 25 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer... 397 Sobre como configurar o Symantec Integrated NAP Enforcer em um console do Enforcer... 398 Como conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer... 398 Como criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento... 400 Configuração de um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer... 401 Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer... 402 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager... 403 Sobre a configuração do Symantec Integrated NAP Enforcer no console do Symantec Endpoint Protection Manager... 404 Ativação da aplicação do NAP para clientes... 404 Como verificar se o servidor de gerenciamento gerencia o cliente... 405 Verificação das políticas do Validador da integridade de segurança... 405 Como verificar se os clientes são aprovados na verificação de integridade do host... 406 Ativação da autenticação local no Symantec Integrated NAP Enforcer... 406 Configuração de registros para o Symantec Integrated NAP Enforcer... 407
Sumário 23 Seção 6 Capítulo 26 Seção 7 Capítulo 27 Gerenciamento de enforcers a partir do console do Symantec Endpoint Protection Manager... 409 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager... 411 Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento... 412 Sobre o gerenciamento de Enforcers na página Servidores... 412 Sobre os grupos do Enforcer... 413 Como o console determina o nome do grupo do Enforcer... 413 Sobre os grupos de failover do Enforcer... 413 Sobre a alteração de um nome de grupo... 414 Sobre a criação de um grupo do Enforcer... 414 Sobre as informações do Enforcer que são exibidas no console do Enforcer... 414 Exibição das informações sobre o Enforcer no console de gerenciamento... 415 Alteração do nome e da descrição de um Enforcer... 416 Exclusão de um Enforcer ou de um grupo do Enforcer... 416 Exportação e importação das configurações do grupo do Enforcer... 417 Mensagens pop-up para clientes bloqueados... 418 Mensagens dos computadores que executam o cliente... 418 Mensagens dos computadores com Windows que não estão executando o cliente (somente Gateway ou DHCP Enforcer)... 419 Configuração das mensagens do Enforcer... 419 Sobre as configurações do cliente e o Enforcer... 420 Configuração de clientes para usar uma senha a fim de interromper o serviço do cliente... 420 Como trabalhar com relatórios e registros do enforcer... 421 Gerenciamento de relatórios e registros do Enforcer... 423 Sobre relatórios do Enforcer... 423 Sobre registros do Enforcer... 424
24 Sumário Sobre o registro do servidor do Enforcer... 424 Sobre o Registro do cliente do Enforcer... 425 Sobre o registro de tráfego do Gateway Enforcer... 426 Definição das configurações do registro do Enforcer... 427 Desativação do registro do Enforcer no console do Symantec Endpoint Protection Manager... 427 Ativação do envio de registros do Enforcer de um Enforcer para o Symantec Endpoint Protection Manager... 428 Configuração do tamanho e do prazo dos registros do Enforcer... 428 Filtragem dos registros de tráfego de um Enforcer... 429 Índice... 431
Seção 1 Instalação e configuração dos appliances do Symantec Network Access Control Enforcer Apresentação do appliance Enforcer Planejamento para a instalação do appliance Enforcer Upgrade e migração de imagens do appliance Enforcer Instalação do appliance Enforcer pela primeira vez Execução de tarefas básicas no console de um appliance Enforcer Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
26 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Interface da linha de comando do appliance Enforcer Referência de interface da linha de comando do appliance Enforcer Solução de problemas de um appliance Enforcer Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer
Capítulo 1 Apresentação do appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre os appliances Symantec Enforcer Público-alvo Tipos de aplicações O que pode ser feito com os appliances Symantec Network Access Control Enforcer Sobre as políticas de integridade do host e o appliance Enforcer Como funciona o appliance Gateway Enforcer Como funciona o appliance DHCP Enforcer Como funciona o appliance LAN Enforcer Suporte para soluções de aplicação de terceiros Onde obter mais informações sobre os appliances Symantec Enforcer Sobre os appliances Symantec Enforcer Os Symantec Enforcers são quatro componentes opcionais de rede que funcionam com o Symantec Endpoint Protection Manager. Para proteger a rede corporativa, três appliances Symantec Enforcers baseados em Linux funcionam com clientes gerenciados, como clientes do Symantec Endpoint Protection e clientes do Symantec Network Access Control.
28 Apresentação do appliance Enforcer Público-alvo Appliance Symantec Network Access Control Gateway Enforcer Appliance Symantec Network Access Control DHCP Enforcer Appliance Symantec Network Access Control LAN Enforcer Os Symantec Enforcers baseados em Windows funcionam com clientes gerenciados, como os clientes do Symantec Endpoint Protection e do Symantec Network Access Control, para proteger a rede corporativa. Nota: O Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection não funciona com clientes convidados, tais como clientes do Symantec Network Access Control On-Demand nas plataformas Windows e Macintosh. As instruções de instalação, configuração e administração estão incluídas na documentação dos seguinte Enforcers baseados em Windows: Symantec Network Access Control Integrated Enforcer para servidores DHCP da Microsoft Consulte Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft na página 319. Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection Consulte Sobre o Integrated Enforcer para Microsoft Network Access Protection na página 387. Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Consulte Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer) na página 337. Público-alvo A documentação é destinada aos responsáveis pela configuração e implementação de um appliance Enforcer opcional. É necessário ter bons conhecimentos dos conceitos de rede e estar familiarizados com a administração do Symantec Endpoint Protection Manager. O appliance Enforcer opcional funciona somente com versões específicas de outros componentes. Consulte Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000 na página 69.
Apresentação do appliance Enforcer Tipos de aplicações 29 Se você pretende usar um appliance Enforcer opcional com uma versão anterior do Symantec Network Access Control, consulte a documentação que acompanha o appliance Enforcer no momento da compra. Tipos de aplicações A Tabela 1-1 lista os appliances Enforcer opcionais e Enforcers baseados em Windows. Tabela 1-1 Tipos de aplicações Tipo do appliance Enforcer Appliance Symantec Gateway Enforcer Descrição Fornece aplicação em pontos de acesso dos computadores externos que se conectam remotamente por meio de um dos seguintes métodos: Rede privada virtual (VPN) LAN sem fio Remote Access Server (RAS) Também é possível configurar o appliance Gateway Enforcer para restringir o acesso a determinados servidores permitindo somente endereços IP especificados. O Symantec Gateway Enforcer é aceito no appliance Enforcer. Consulte Como funciona o appliance Gateway Enforcer na página 35. Consulte Planejamento da instalação para um appliance Gateway Enforcer na página 44. Appliance Symantec LAN Enforcer Fornece aplicação para os clientes que se conectam à rede por meio de um alternador ou ponto de acesso sem fio compatível com a autenticação 802.1x. O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service). Ele pode funcionar com ou sem o servidor RADIUS, que fornece autenticação em nível de usuário. O Symantec LAN Enforcer é aceito no appliance Enforcer. Consulte Como funciona o appliance LAN Enforcer na página 37. Consulte Planejamento da instalação para um appliance LAN Enforcer na página 63.
30 Apresentação do appliance Enforcer Tipos de aplicações Tipo do appliance Enforcer Appliance Symantec DHCP Enforcer Descrição Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec DHCP Enforcer é suportado em um appliance Enforcer. Consulte Como funciona o appliance DHCP Enforcer na página 36. Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54. Symantec Integrated Enforcer para servidores DHCP da Microsoft Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated Enforcer para servidores DHCP da Microsoft não é aceito em um appliance Enforcer. Symantec Integrated Enforcer para Microsoft Network Access Protection Symantec Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Consulte Como funciona o Integrated Enforcer para servidores DHCP da Microsoft na página 320. Consulte Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft na página 328. Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated NAP Enforcer é aceito na plataforma Windows Server 2008. O Symantec Integrated Enforcer para Microsoft Network Access Protection não é aceito no appliance Enforcer. Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP não é aceito no appliance Enforcer.
Apresentação do appliance Enforcer O que pode ser feito com os appliances Symantec Network Access Control Enforcer 31 O que pode ser feito com os appliances Symantec Network Access Control Enforcer O appliance Enforcer opcional é instalado nos endpoints da rede para clientes externos ou internos. Por exemplo, um appliance Enforcer pode ser instalado entre a rede e o servidor VPN ou em frente a um servidor DHCP. Ele também pode ser instalado para aplicação nos computadores-cliente que se conectam à rede por um alternador compatível com 802.1x ou ponto de acesso sem fio. Um appliance Enforcer executa a autenticação do host, em vez da autenticação em nível de usuário. Ele assegura que os computadores-cliente que tentam se conectar à rede empresarial estejam em conformidade com as políticas de segurança da empresa. Você pode configurar as políticas de segurança de uma empresa no Symantec Endpoint Protection Manager. Se o cliente não estiver em conformidade com as políticas de segurança, o appliance Enforcer poderá efetuar as seguintes ações: Bloquear seu acesso à rede. Permitir acesso somente a recursos limitados. O appliance Enforcer opcional pode redirecionar o cliente para a área de quarentena com um servidor de correção. O cliente pode então obter o software, os aplicativos, os arquivos de assinatura ou os patches necessários no servidor de correção. Por exemplo, parte da rede pode já estar configurada para os clientes que se conectam à LAN por meio de alternadores compatíveis com 802.1x. Se esse for o caso, você pode usar um appliance LAN Enforcer para estes clientes. Você também pode usar um appliance LAN Enforcer para os clientes que se conectam através de um ponto de acesso sem fio compatível com 802.1x. Consulte Como funciona o appliance LAN Enforcer na página 37. Consulte Planejamento da instalação para um appliance LAN Enforcer na página 63. Pode haver outras partes da rede que não estejam configuradas para suporte a 802.1x. É possível usar um appliance DHCP Enforcer para gerenciar a aplicação nesses clientes. Consulte Como funciona o appliance DHCP Enforcer na página 36. Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54.
32 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer Se houver funcionários que trabalhem remotamente, conectando-se por meio de uma VPN ou de dial-up, é possível usar o appliance Gateway Enforcer para esses clientes. Você também pode usar o appliance Gateway Enforcer se um ponto de acesso sem fio não for compatível com 802.1x. Consulte Como funciona o appliance Gateway Enforcer na página 35. Consulte Planejamento da instalação para um appliance Gateway Enforcer na página 44. Se for necessária alta disponibilidade, dois ou mais appliances Gateway Enforcer, DHCP ou LAN Enforcer poderão ser instalados no mesmo local para fornecer recursos de failover. Consulte Planejamento de failover para appliances Gateway Enforcer na página 51. Consulte Planejamento de failover para appliances DHCP Enforcer na página 59. Consulte Planejamento de failover para appliances LAN Enforcer na página 66. Se quiser implementar alta disponibilidade para appliances LAN Enforcer, devem ser instalados vários appliances LAN Enforcer e o alternador compatível com 802.1x. A alta disponibilidade pode ser alcançada pela adição do alternador compatível com 802.1x. Se forem instalados vários appliances LAN Enforcer sem um alternador compatível com 802.1x, a alta disponibilidade falhará. É possível configurar um alternador compatível com 802.1x para alta disponibilidade. Para obter informações sobre a configuração de um alternador compatível com 802.1x para alta disponibilidade, consulte a documentação que acompanha o alternador. Em algumas configurações de rede, um cliente pode conectar-se a uma rede através de mais de um appliance Enforcer. Depois que o primeiro appliance Enforcer fornecer a autenticação ao cliente, todos os appliances Enforcer restantes autenticarão o cliente para que este possa conectar-se à rede. Sobre as políticas de integridade do host e o appliance Enforcer As políticas de segurança que todos os appliances Enforcer verificam em computadores-cliente são denominadas políticas de integridade do host. Você cria e gerencia políticas de integridade do host no console do Symantec Endpoint Protection Manager.
Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer 33 As políticas de integridade do host especificam o software necessário para executar em um cliente. Por exemplo, você pode especificar que o seguinte software de segurança localizado em um computador-cliente deve estar em conformidade com determinados requisitos: Software antivírus Software anti-spyware Software de firewall Patches Service packs Se os requisitos predefinidos não atenderem às suas necessidades, também é possível personalizá-los. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre como configurar e personalizar políticas de integridade do host. É possível configurar clientes para executar verificações de integridade do host em vários momentos. Quando um cliente tenta conectar-se à rede, ele executa uma verificação de integridade do host e envia os resultados a um appliance Enforcer. Geralmente, o appliance Enforcer é configurado para, antes de conceder acesso à rede ao cliente, averiguar se ele passa na verificação de integridade do host. Se o cliente passar na verificação de integridade do host, ele estará em conformidade com a política de integridade do host da empresa. Entretanto, cada tipo de appliance Enforcer define os critérios de acesso à rede de maneira diferente. Consulte Como funciona o appliance Gateway Enforcer na página 35. Consulte Como funciona o appliance DHCP Enforcer na página 36. Consulte Como funciona o appliance LAN Enforcer na página 37. Comunicação entre um appliance Enforcer e um Symantec Endpoint Protection Manager O appliance Enforcer permanece conectado ao Symantec Endpoint Protection Manager. Em intervalos regulares (pulsação), o appliance Enforcer recupera configurações do servidor de gerenciamento que controla seu modo de funcionamento. Quando são realizadas alterações no servidor de gerenciamento, que afetam o appliance Enforcer, ele receberá a atualização durante a próxima pulsação. O appliance Enforcer transmite suas informações de status ao servidor de gerenciamento. Ele pode registrar os eventos que encaminha a esse servidor
34 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer de gerenciamento. Desta forma, as informações aparecerão nos registros do servidor de gerenciamento. O Symantec Endpoint Protection Manager mantém uma lista dos servidores de gerenciamento com informações replicadas de bancos de dados. Ele transfere por download a lista do servidor de gerenciamento para Enforcers conectados e gerenciados, bem como clientes convidados. Se o appliance Enforcer perder a comunicação com um servidor de gerenciamento, ele poderá conectar-se a outro servidor que esteja incluído na lista de servidores de gerenciamento. Se o appliance Enforcer for reiniciado, ele usará a lista de servidores de gerenciamento para restabelecer a conexão com um deles. Quando um cliente tenta conectar-se à rede por meio do appliance Enforcer, ele autentica o identificador único do cliente (UID). O appliance Enforcer envia o UID ao servidor de gerenciamento e recebe uma resposta de aceitação ou rejeição. Se o appliance Enforcer estiver configurado para autenticar o UID, ele poderá recuperar as informações do servidor de gerenciamento. O appliance Enforcer pode, então, determinar se o perfil do cliente foi atualizado com as políticas de segurança mais recentes. Se as informações do cliente, como o identificador ou o perfil do cliente, forem alteradas no servidor de gerenciamento, este poderá enviar as informações ao appliance Enforcer. O appliance Enforcer poderá executar novamente a autenticação do host no cliente. Comunicação entre o appliance Enforcer e os clientes A comunicação entre o appliance Enforcer e um cliente começa quando o cliente tenta se conectar à rede. O appliance Enforcer pode detectar se um cliente está em execução. Se um cliente estiver em execução, o Enforcer iniciará o processo de autenticação com o cliente. O cliente responderá executando uma verificação de integridade do host e enviando os resultados, juntamente com suas informações de perfil, ao Enforcer. O cliente também envia seu identificador único (UID), que o Enforcer transmite para o gerenciador para autenticação. O appliance Enforcer usa as informações do perfil para verificar se o cliente está atualizado com as políticas de segurança mais recentes. Se não estiver, o Enforcer notificará o cliente a atualizar seu perfil. Após o appliance DHCP Enforcer ou Gateway Enforcer permitir que o cliente se conecte à rede, eles continuarão a se comunicar com o cliente em um intervalo regular predefinido. Essa comunicação permite que o appliance Enforcer continue a autenticar o cliente. No appliance LAN Enforcer, o alternador 802.1x trata dessa autenticação periódica. Por exemplo, o alternador 802.1 inicia uma nova sessão de autenticação quando é o momento de reautenticação. O appliance Enforcer precisa ser executado sempre. Caso contrário, os clientes que tentam se conectar à rede corporativa tentarão ser bloqueados.
Apresentação do appliance Enforcer Como funciona o appliance Gateway Enforcer 35 Como funciona o appliance Gateway Enforcer Os appliances Gateway Enforcer realizam verificações unidirecionais. Eles verificam clientes que tentam conectar-se à rede da empresa por meio da NIC externa do appliance Gateway Enforcer. Um appliance Gateway Enforcer usa os seguintes processos para autenticar um cliente: Quando um cliente tenta acessar a rede, o appliance Gateway Enforcer verifica primeiramente se ele está executando o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Se o cliente estiver executando qualquer um dos produtos de software-cliente, o appliance Gateway Enforcer inicia o processo de autenticação do host. O cliente executado em um computador do usuário realiza uma verificação de integridade do host. Então, ele transmite os resultados ao appliance Gateway Enforcer juntamente com as informações de identificação e do status de sua política de segurança. O appliance Gateway Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada. O appliance Gateway Enforcer verifica se o cliente foi aprovado na verificação de integridade do host, estando, portanto, em conformidade com as políticas de segurança. Se todos os processos forem aprovados, o appliance Gateway Enforcer permitirá que o cliente conecte-se à rede. Se um cliente não satisfizer os requisitos para acesso, configure o appliance Gateway Enforcer para realizar as seguintes ações: Monitorar e registrar determinados eventos. Bloquear usuários se houver falha na verificação de integridade do host. Exibir uma mensagem pop-up no cliente. Fornecer ao cliente acesso limitado à rede para permitir o uso de recursos da rede para correção. Para definir a autenticação do appliance Gateway Enforcer, é possível configurar quais endereços IP do cliente serão verificados. Você pode especificar os endereços IP e externos confiáveis que o appliance Gateway Enforcer permitirá sem autenticação. Para correção, é possível configurar o appliance Gateway Enforcer para permitir aos clientes acesso a endereços IP internos e confiáveis. Por exemplo, você pode permitir que os clientes tenham o acesso a um servidor de atualização ou a um servidor de arquivos que contenha arquivos de antivírus DAT.
36 Apresentação do appliance Enforcer Como funciona o appliance DHCP Enforcer Em clientes que não tenham o software-cliente da Symantec, é possível redirecionar as solicitações do cliente HTTP para um servidor da Web. Por exemplo, você pode fornecer instruções adicionais sobre onde obter o software de correção ou permitir que um cliente faça o download do software-cliente. Também é possível configurar o appliance Gateway Enforcer para permitir a clientes que não sejam Windows o acesso à rede. Um appliance Gateway Enforcer funciona como uma ponte em vez de um roteador. Assim que o cliente é autenticado, o appliance Gateway Enforcer encaminha os pacotes para permitir ao cliente o acesso à rede. Como funciona o appliance DHCP Enforcer O appliance DHCP Enforcer é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede interna. Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP para um endereço IP dinâmico. O alternador ou roteador, que atua como um cliente de retransmissão DHCP, roteia a solicitação DHCP ao appliance DHCP Enforcer. O appliance DHCP Enforcer é configurado em linha em frente ao servidor DHCP. Antes de encaminhar a solicitação do DHCP ao servidor DHCP, o appliance Enforcer verifica se os clientes estão em conformidade com as políticas de segurança. Se o cliente estiver em conformidade com as políticas de segurança, o appliance DHCP Enforcer enviará a solicitação do cliente de um endereço IP ao servidor DHCP normal. Se o agente não estiver em conformidade com as políticas de segurança, o Enforcer se conectará ao servidor de quarentena DHCP. O servidor de quarentena atribuirá uma configuração de rede de quarentena para o cliente. É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena. Para completar a solução do appliance DHCP Enforcer, o administrador precisa definir um servidor de correção. O servidor de reparo restringe o acesso de clientes em quarentena para que esses clientes possam interagir apenas com o servidor de reparo. Se alta disponibilidade for requerida, você poderá instalar dois ou mais appliances DHCP Enforcers para fornecer recursos de failover. O DHCP Enforcer aplica políticas de segurança a clientes que tentam acessar um servidor DHCP. Ele bloqueia a solicitação do DHCP se o cliente falha na autenticação. O appliance DHCP Enforcer encaminha a solicitação do DHCP a um servidor DHCP em quarentena com uma configuração de rede de intervalo restrito e curto prazo. Quando o cliente envia a solicitação de DHCP pela primeira vez, o appliance DHCP Enforcer a encaminha para o servidor DHCP em quarentena, para um endereço
Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 37 IP temporário com um tempo de concessão curto. O appliance DHCP Enforcer pode então iniciar o processo de autenticação com o cliente. O appliance DHCP Enforcer autentica clientes usando os seguintes métodos: Quando um cliente tentar acessar a rede de empresa, o appliance Enforcer verificará primeiro se o computador-cliente executa o software-cliente do Symantec Network Access Control. Se o computador-cliente executa o software-cliente do Symantec Network Access Control, o appliance Enforcer inicia o processo para a autenticação do host. O software-cliente do Symantec que é executado no computador-cliente executa uma verificação de integridade do host. O cliente passa então os resultados ao appliance Enforcer, juntamente com as informações de identificação e as informações sobre o status de sua política de segurança. O appliance DHCP Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada. O appliance DHCP Enforcer verifica se o cliente foi aprovado na verificação de integridade do host e, portanto, está em conformidade com as políticas de segurança. Se todas as etapas forem aprovadas, o appliance DHCP Enforcer se certificará de que o endereço IP de quarentena seja liberado. O appliance DHCP Enforcer roteará a solicitação do cliente DHCP ao servidor DHCP normal. Então, o cliente recebe um endereço IP e configuração de rede normais. Se o cliente não corresponder aos requisitos de segurança, o appliance DHCP Enforcer se certificará de que a solicitação de DHCP seja renovada com o servidor DHCP de quarentena. O cliente recebe uma configuração de rede de quarentena, que deve ser configurada para permitir acesso a um servidor de reparo. O appliance DHCP Enforcer pode ser configurado para permitir que clientes que não sejam Windows tenham acesso ao servidor DHCP normal. Como funciona o appliance LAN Enforcer O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service). É possível usar o appliance LAN Enforcer com um servidor RADIUS para realizar as seguintes ações: Fazer a autenticação de usuário 802.1x/EAP tradicional. Você nega o acesso a computadores não autorizados. Todos os usuários que tentarem conectar-se à rede deverão autenticar-se através do RADIUS primeiro.
38 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer Verificar se os computadores-cliente estão em conformidade com as políticas de segurança definidas no servidor de gerenciamento (autenticação do host). Você pode aplicar políticas de segurança, como certificar-se de que o computador tenha o software antivírus, os patches ou outros produtos de software corretos. É possível confirmar se o computador-cliente está executando o cliente da Symantec e se ele foi aprovado na verificação de integridade do host. Nas redes que não usam um servidor RADIUS, o appliance LAN Enforcer realiza apenas a autenticação do host. Um appliance LAN Enforcer comunica-se com um alternador ou com um ponto de acesso sem fio que suporte autenticação EAP/802.1x. O alternador ou o ponto de acesso sem fio são normalmente configurados em dois ou mais VLANs. Os clientes Symantec em computadores-cliente transmitem as informações de EAP ou de integridade do host para o alternador por meio do protocolo EAPOL (EAP sobre LANs). O alternador encaminha as informações para o appliance LAN Enforcer para autenticação. Você pode configurar o appliance LAN Enforcer com um conjunto de possíveis respostas a uma falha de autenticação. As respostas dependem do tipo de falha de autenticação: autenticação de host ou de usuário EAP. Se você usar um alternador ou um ponto de acesso sem fio, é possível definir o appliance LAN Enforcer para direcionar um cliente autenticado para diferentes VLANs. O alternador ou o ponto de acesso sem fio deve oferecer recurso de alternação de VLAN dinâmica. Os VLANs podem incluir um VLAN de correção. Se você usa um LAN Enforcer com servidor RADIUS, é possível configurar várias conexões de servidor RADIUS para o Enforcer. Se uma conexão de servidor RADIUS estiver desativada, o appliance LAN Enforcer pode alternar para uma conexão diferente. Além disso, vários appliances LAN Enforcers podem ser definidos para conectarem-se ao alternador. Se um appliance LAN Enforcer falhar na resposta, outro LAN Enforcer poderá lidar com a autenticação. Como funciona a configuração básica do LAN Enforcer Se você estiver familiarizado com a autenticação 802.1x, poderá exibir detalhes sobre os clientes que tentarem acessar a rede usando a configuração básica. Você pode usar estas informações para solucionar problemas de conexões de rede. A configuração básica do LAN Enforcer 802.1x funciona assim: Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x). O alternador vê o computador e solicita a identificação.
Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 39 O suplicante 802.1x no computador solicita o nome de usuário e senha e responde com essa identificação. O alternador encaminha essas informações ao LAN Enforcer, que as encaminha ao servidor RADIUS. O servidor RADIUS gera um estímulo EAP selecionando um tipo de EAP de acordo com sua configuração. O LAN Enforcer recebe esse estímulo, adiciona um desafio de integridade do host e o encaminha para o alternador. O alternador encaminha os estímulos EAP e de integridade do host para o cliente. O cliente recebe os estímulos e envia uma resposta. O alternador recebe a resposta e a encaminha para o LAN Enforcer. O LAN Enforcer examina o resultado da verificação de integridade do host e as informações sobre o status do cliente e as encaminha para o servidor RADIUS. O servidor RADIUS executa a autenticação EAP e envia o resultado de volta ao LAN Enforcer. O LAN Enforcer recebe os resultados da autenticação e encaminha os resultados e a ação a ser tomada. O alternador seleciona a ação apropriada e permite acesso normal à rede, bloqueando ou permitindo o acesso a uma VLAN alternativa conforme os resultados. Como funciona o modo transparente do LAN Enforcer O modo transparente do LAN Enforcer funciona da seguinte forma: Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x). O autenticador vê o computador e envia um pacote de autenticação EAP (somente o tráfego EAP é permitido). O cliente que atua como suplicante EAP vê o pacote de autenticação e responde com a autenticação da integridade do host. O alternador encaminha os resultados da autenticação da integridade do host ao appliance LAN Enforcer (executado como servidor proxy RADIUS). O appliance LAN Enforcer responde ao alternador com informações sobre as atribuições da VLAN baseadas em resultados da autenticação.
40 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer Sobre a autenticação 802.1x IEEE 802.1X-2001 é um padrão que define o controle de acesso para LANs com e sem fio. O padrão oferece um sistema para autenticação e controle do tráfego de usuários em uma rede protegida. O padrão especifica o uso do Extensible Authentication Protocol (EAP), que usa um servidor de autenticação centralizado, como o RADIUS (Remote Authentication Dial-In User Service). O servidor autentica cada usuário que tenta acessar a rede. O padrão 802.1x inclui especificações para EAP sobre LAN (EAPOL). O EAPOL é usado para mensagens EAP encapsuladas em estruturas da camada link (Ethernet, por exemplo) e também oferece funções de controle. A arquitetura 802.1x inclui os seguintes componentes principais: Autenticador Servidor de autenticação Suplicante A entidade que faz a intermediação da autenticação, como um alternador LAN compatível com 802.1x ou um ponto de acesso sem fio A entidade que fornece a autenticação real, validando as credenciais fornecidas em resposta ao estímulo, como um servidor RADIUS. A entidade que busca acesso à rede e tenta efetuar a autenticação com êxito, como um computador Quando um dispositivo suplicante estiver conectado a um autenticador de alternador de rede com 802.1x ativado, ocorre o seguinte processo: O alternador envia uma solicitação de identidade EAP. O software suplicante EAP reage com uma resposta de identidade EAP, que é encaminhada ao servidor de autenticação (RADIUS, por exemplo) pelo alternador. O servidor de autenticação emite um estímulo EAP, que é encaminhado ao suplicante pelo alternador. O usuário insere as credenciais de autenticação (nome de usuário e senha, token, etc.). O suplicante envia uma resposta ao estímulo EAP, inclusive as credenciais fornecidas pelo usuário, ao alternador, que encaminhará a resposta ao servidor de autenticação. O servidor de autenticação valida as credenciais e responde com um resultado EAP ou de autenticação do usuário, que indica o êxito ou a falha na autenticação.
Apresentação do appliance Enforcer Suporte para soluções de aplicação de terceiros 41 Se a autenticação for efetuada com êxito, o alternador permitirá o acesso ao tráfego normal. Se a autenticação falhar, o acesso do dispositivo cliente será bloqueado. O suplicante será notificado sobre o resultado em ambos os casos. Apenas o tráfego EAP é permitido durante o processo de autenticação Para obter detalhes sobre EAP, consulte a RFC 2284 da IETF no seguinte URL: http://www.ietf.org/rfc/rfc2284.txt Para obter mais detalhes sobre o padrão IEEE 802.1x, consulte o texto do padrão no seguinte URL: http://standards.ieee.org/getieee802/download/802.1x-2001.pdf Suporte para soluções de aplicação de terceiros A Symantec fornece soluções de aplicação para os seguintes fornecedores terceirizados: API do Universal Enforcement A Symantec desenvolveu a API do Universal Enforcement para permitir que outros fornecedores, com tecnologia relacionada, integrem suas soluções a software da Symantec. Cisco Network Admissions Control Os clientes da Symantec tem compatibilidade com a solução de aplicação Cisco Network Admissions Control. Onde obter mais informações sobre os appliances Symantec Enforcer A Tabela 1-2 relaciona as várias fontes que fornecem informações sobre tarefas que você pode precisar executar antes ou depois da instalação de um Enforcer. Tabela 1-2 Documentação do Symantec Enforcer Documento do Enforcer Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control Utilização Descreve como instalar o Symantec Endpoint Protection Manager, o cliente do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Ele explica também como configurar o banco de dados interno e do Microsoft SQL, e como configurar a replicação.
42 Apresentação do appliance Enforcer Onde obter mais informações sobre os appliances Symantec Enforcer Documento do Enforcer Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control Guia do Cliente do Symantec Endpoint Protection e do Symantec Network Access Control Guia de Implementação do Symantec Network Access Control Enforcer Ajuda on-line Ajuda on-line para os clientes On-Demand Ajuda da interface da linha de comando do Enforcer arquivo leia-me.txt Utilização Descreve como configurar e administrar o Symantec Endpoint Protection Manager, os clientes do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Descreve também como configurar as políticas de integridade do host usadas por um Enforcer para implementar a conformidade em computadores-cliente. Descreve como usar os clientes do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Descreve como instalar e administrar todos os tipos de appliances Symantec Network Access Control e Integrated Enforcers. Explica também como usar os clientes On-Demand para Macintosh e Linux. Explica como usar o Symantec Endpoint Protection Manager, o cliente do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Explica também o uso de cada um dos Integrated Enforcers. Explica como usar os clientes On-Demand Macintosh e Linux. Fornece ajuda digitando a tecla? na linha de comando da interface da linha de comando (CLI, Command Line Interface). Inclui as informações mais recentes sobre as falhas críticas relacionadas ao Enforcer que podem também afetar o Symantec Endpoint Protection Manager.
Capítulo 2 Planejamento para a instalação do appliance Enforcer Este capítulo contém os tópicos a seguir: Planejamento da instalação para appliances Enforcer Planejamento da instalação para um appliance Gateway Enforcer Planejamento de failover para appliances Gateway Enforcer Planejamento da instalação para um appliance DHCP Enforcer Planejamento de failover para appliances DHCP Enforcer Planejamento da instalação para um appliance LAN Enforcer Planejamento de failover para appliances LAN Enforcer Planejamento da instalação para appliances Enforcer Você deve planejar onde integrar os seguintes appliances Symantec Network Access Control Enforcer baseados em Linux em uma rede: Appliance Symantec Network Access Control Gateway Enforcer Consulte Planejamento da instalação para um appliance Gateway Enforcer na página 44. Appliance Symantec Network Access Control DHCP Enforcer Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54.
44 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Appliance Symantec Network Access Control LAN Enforcer Consulte Planejamento da instalação para um appliance LAN Enforcer na página 63. Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Microsoft Consulte Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft na página 326. Symantec Network Access Control Integrated DHCP Enforcer para servidores Microsoft Network Access Protection Consulte Sobre como planejar a instalação do Symantec Integrated NAP Enforcer na página 389. Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Consulte Sobre o planejamento da instalação de um Integrated Lucent Enforcer na página 343. Planejamento da instalação para um appliance Gateway Enforcer Há diversos tipos de informações de planejamento que podem ajudar a implementar appliances Gateway Enforcer em uma rede. Você pode instalar o appliance Gateway Enforcer para proteger as seguintes áreas em uma rede: Colocação geral Consulte Onde colocar o appliance Gateway Enforcer na página 45. Consulte Diretrizes para endereços IP em um appliance Gateway Enforcer na página 47. Consulte Sobre dois appliances Gateway Enforcer em série na página 47. Consulte Proteção do acesso à VPN através de um appliance Gateway Enforcer na página 48. Consulte Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer na página 48. Consulte Proteção dos servidores através de um appliance Gateway Enforcer na página 48. Consulte Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer na página 49.
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer 45 Consulte Requisitos para a permissão de clientes que não sejam Windows sem autenticação na página 50. Onde colocar o appliance Gateway Enforcer É possível posicionar os Gateway Enforcers em locais pelos quais todo o tráfego deverá passar antes que um cliente possa realizar as seguintes ações: Conectar-se a uma rede corporativa. Acessar áreas seguras de uma rede. Consulte Diretrizes para endereços IP em um appliance Gateway Enforcer na página 47. Você geralmente pode colocar appliances Gateway Enforcer nos seguintes locais: VPN Entre concentradores de rede privada virtual (VPN) e a rede corporativa Ponto de acesso sem fio (WAP) Entre um ponto de acesso sem fio (WAP, Wireless Access Point) e a rede corporativa Servidores Em frente a servidores corporativos Organizações maiores podem precisar de um appliance Gateway Enforcer para proteger todos os pontos de entrada da rede. Os Gateway Enforcers estão geralmente localizados em sub-redes diferentes. Na maioria dos casos, é possível integrar appliances Gateway Enforcer a uma rede corporativa sem precisar realizar alterações na configuração do hardware. Também podem ser colocados appliances Gateway Enforcer perto de um ponto de acesso sem fio (WAP) e de uma rede privada virtual (VPN). Em uma rede corporativa, você também pode proteger servidores que contêm informações sigilosas. Os appliances Gateway Enforcer devem usar duas placas de interface de rede (NICs). A Figura 2-1 fornece um exemplo de onde podem ser colocados os appliances Gateway Enforcer na configuração geral de rede.
46 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Figura 2-1 Disposição de appliances Gateway Enforcer Clientes remotos VPN Conexão sem fio Internet Empresa externa Empresa interna Ponto de acesso sem fio NIC externa NIC interna Clientes internos sem fio Gateway Enforcer NIC externa NIC interna Firewall corporativo Servidor VPN Gateway Enforcer NIC externa NIC interna Backbone corporativo Clientes internos Gateway Enforcer NIC externa NIC interna Gateway Enforcer Clientes internos Servidores protegidos Symantec Endpoint Protection Manager Outro local onde o appliance Gateway Enforcer protege uma rede é em um servidor de acesso remoto (RAS, Remote Access Server). Os clientes podem discar para conectar-se a uma rede corporativa. Clientes RAS dial-up são configurados de
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer 47 maneira similar a clientes sem fio (wireless) e VPN. A NIC externa se conecta ao servidor RAS e a NIC externa se conecta à rede. Diretrizes para endereços IP em um appliance Gateway Enforcer Siga estas diretrizes ao configurar o endereço da NIC interna de um appliance Gateway Enforcer: A NIC interna de um appliance Gateway Enforcer deve ser capaz de comunicar-se com um Symantec Endpoint Protection Manager. Por padrão, a NIC interna deve direcionar-se ao Symantec Endpoint Protection Manager. Os clientes devem ser capazes de se comunicar com o endereço IP interno do appliance Gateway Enforcer. O servidor VPN ou AP sem fio pode estar em uma sub-rede diferente, caso os clientes possam ser roteados à mesma sub-rede do endereço IP interno do appliance Gateway Enforcer. Em um appliance Gateway Enforcer que protege servidores internos, a NIC interna conecta-se à VLAN, que, por sua vez, conecta-se aos servidores. Se você usar um grande número de appliances Gateway Enforcer em uma configuração de failover, o endereço IP da NIC interna em cada appliance Gateway Enforcer deve ter seu próprio endereço IP. O Gateway Enforcer gerará um endereço falso da NIC externa, com base no endereço interno da NIC. Você não precisa configurar isso novamente se instalar um outro Gateway Enforcer. Sobre dois appliances Gateway Enforcer em série Se você executar dois appliances Gateway Enforcer em série, de maneira que um cliente se conecte à rede por meio de mais de um appliance Gateway Enforcer, será preciso definir o appliance Enforcer mais perto do Symantec Endpoint Protection Manager como um endereço IP interno e confiável para o outro appliance Gateway Enforcer. Caso contrário, um atraso de cinco minutos poderá ocorrer antes que o cliente possa conectar-se à rede. Esse atraso pode ocorrer quando o cliente executar uma verificação de integridade do host, e a mesma falhar. Como parte da correção da integridade do host, o cliente faz o download das atualizações de software necessárias. Então, o cliente executa novamente a verificação de integridade do host. Nesse momento, a verificação de integridade do host é aprovada, mas o acesso sofre um atraso. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter informações sobre endereços IP internos e confiáveis.
48 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Proteção do acesso à VPN através de um appliance Gateway Enforcer A proteção do acesso à VPN é a razão mais comum e mais importante pela qual o appliance Gateway Enforcer é usado. Também podem ser colocados appliances Gateway Enforcer em pontos de entrada de VPN para proteger o acesso a uma rede corporativa. O appliance Gateway Enforcer é colocado entre o servidor VPN e a rede corporativa. Ele somente permitirá acesso a usuários autorizados e bloqueará o acesso a outros usuários. Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer Os appliances Enforcer protegem a rede corporativa nos pontos de acesso sem fio (WAP). O appliance Gateway Enforcer garante que qualquer usuário que se conectar à rede por meio de tecnologia sem fio estará executando o cliente e atenderá aos requisitos de segurança. Após atender a essas condições, o cliente tem o acesso à rede concedido. O appliance Gateway Enforcer é colocado entre o WAP e a rede corporativa. A NIC externa aponta em direção ao WAP e a NIC interna aponta em direção à rede corporativa. Proteção dos servidores através de um appliance Gateway Enforcer Os appliances Gateway Enforcer podem proteger os servidores corporativos que contêm informações confidenciais na rede corporativa. Uma organização pode colocar dados importantes em servidores localizados em uma sala de computadores trancada. Somente os administradores de sistemas podem ter o acesso a essa sala. O appliance Gateway Enforcer atua como um cadeado adicional na porta, permitindo que apenas os usuários que atendam a seus critérios tenham acesso aos servidores protegidos. Nessa configuração, os servidores localizam a NIC interna. Entretanto, os usuários que tentarem obter acesso deverão passar por meio da NIC externa. Para proteger estes servidores, é possível limitar o acesso somente aos clientes com endereços IP designados e configurar regras estritas de integridade do host. Por exemplo, um appliance Gateway Enforcer pode ser configurado para proteger os servidores em uma rede. Um appliance Gateway Enforcer pode estar localizado entre os clientes em uma LAN corporativa e os servidores que está protegendo. A NIC externa aponta para a LAN corporativa, dentro da empresa, e a NIC interna aponta na direção dos servidores protegidos. Essa configuração impede que usuários ou clientes não autorizados tenham acesso aos servidores.
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer 49 Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer Você pode instalar os servidores e os clientes em um sistema operacional diferente do Microsoft Windows. Porém, o appliance Gateway Enforcer não pode autenticar servidores e clientes que não são executados em um computador que não suporte Microsoft Windows. Se a organização incluir servidores e clientes com sistemas operacionais nos quais o software-cliente não está instalado, você deverá definir qual dos seguintes métodos será usado: Implementar suporte por meio de um appliance Gateway Enforcer. Consulte Implementação de suporte para clientes que não sejam Windows por meio de um appliance Gateway Enforcer na página 49. Implementar suporte sem um appliance Gateway Enforcer. Consulte Implementação de suporte para clientes que não sejam Windows sem um appliance Gateway Enforcer na página 49. Implementação de suporte para clientes que não sejam Windows por meio de um appliance Gateway Enforcer É possível implementar o suporte para clientes que não sejam Windows configurando o appliance Gateway Enforcer para permitir que todos esses clientes acessem a rede. Se configurar o appliance Gateway Enforcer desta maneira, ele realizará a detecção do sistema operacional para identificar os clientes que executam sistemas operacionais que não sejam Windows. Implementação de suporte para clientes que não sejam Windows sem um appliance Gateway Enforcer Também é possível implementar o suporte para clientes que não sejam Windows permitindo que eles acessem a rede por meio de um ponto de acesso separado. Os clientes que aceitam sistemas operacionais que não sejam Windows podem ser conectados por meio de um servidor VPN separado: Um servidor VPN pode oferecer suporte a clientes que têm o software-cliente instalado. Os computadores-cliente baseados em Windows podem conectar-se à rede corporativa através de um appliance Gateway Enforcer. Outro pode aceitar outros clientes que executem sistemas operacionais que não sejam Windows. O computador-cliente que não seja baseado em Windows pode então conectar-se à rede corporativa sem um appliance Gateway Enforcer.
50 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Requisitos para a permissão de clientes que não sejam Windows sem autenticação É possível configurar o appliance Gateway Enforcer para permitir clientes que não sejam Windows sem autenticação. Consulte Requisitos para clientes que não sejam Windows na página 50. Quando um cliente tentar acessar a rede corporativa através de um appliance Gateway Enforcer, o appliance Enforcer verificará primeiro se o software-cliente está instalado no computador-cliente. Se o cliente não for executado e a opção de permissão para clientes que não sejam Windows estiver definida, o appliance Gateway Enforcer verifica o sistema operacional. Ele verifica o sistema operacional enviando pacotes de informação para examinar o cliente e detectar o tipo de sistema operacional que ele está executando. Se o cliente estiver executando um sistema operacional que não seja Windows, ele terá acesso normal à rede. Requisitos para clientes Windows Quando um appliance Gateway Enforcer é configurado para permitir que clientes que não sejam Windows conectem-se a uma rede, ele tenta primeiro determinar o sistema. Se o sistema operacional é um sistema operacional baseado em Windows, o appliance Gateway Enforcer autentica o cliente. Caso contrário, o appliance Gateway Enforcer permite que o cliente se conecte à rede sem autenticação. Para que o appliance Gateway Enforcer detecte corretamente que um sistema operacional é Windows, os seguintes requisitos devem ser atendidos no cliente Windows: A opção Client for Microsoft Networks deve estar instalada e ativada no cliente. Consulte a documentação do Windows. A porta 137 UDP deve estar aberta no cliente. Ela deve ser acessível para o Gateway Enforcer. Se um cliente Windows não cumprir estes requisitos, o appliance Gateway Enforcer poderá interpretar o cliente Windows como sendo um cliente que não seja Windows. Conseqüentemente, o appliance Gateway Enforcer poderá permitir que o cliente que não seja Windows se conecte à rede sem autenticação. Requisitos para clientes que não sejam Windows O appliance Gateway Enforcer deve cumprir os seguintes requisitos antes de permitir que um cliente Macintosh conecte-se a uma rede: O compartilhamento do Windows deve estar ligado.
Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances Gateway Enforcer 51 Essa configuração fica ativada por padrão. O firewall integrado da Macintosh deve estar desligado. Essa é a configuração padrão O Gateway Enforcer apresenta o seguinte requisito para permitir um cliente Linux: O sistema Linux deve executar o serviço Samba. Planejamento de failover para appliances Gateway Enforcer Uma empresa pode aceitar dois appliances Gateway Enforcer que estão configurados para continuar as operações quando um dos appliances Gateway Enforcer falhar. Se um appliance Gateway Enforcer falhar em uma rede que não esteja configurada para failover, o acesso à rede nesse local será bloqueado automaticamente. Se um appliance Gateway Enforcer falhar em uma rede que não proporciona capacidade de failover, os clientes poderão não mais conectar-se à rede. Os clientes continuarão a ser bloqueados de conectar-se à rede até que o problema com o appliance Gateway Enforcer seja corrigido. Para um appliance Gateway Enforcer, o failover é implementado através do próprio appliance Gateway Enforcer, em vez dos alternadores de terceiros. Se a configuração for definida corretamente, o Symantec Endpoint Protection Manager sincronizará automaticamente as configurações para os appliances Gateway Enforcer de failover. Como o failover funciona com os appliances Gateway Enforcer na rede O appliance Gateway Enforcer que estiver operacional é chamado de appliance Gateway Enforcer ativo. O appliance Gateway Enforcer do backup é chamado de appliance Gateway Enforcer em modo de espera. O appliance Gateway Enforcer ativo é conhecido também como o appliance Gateway Enforcer principal. Se o appliance Gateway Enforcer ativo falhar, o appliance Gateway Enforcer em modo de espera assumirá as tarefas da aplicação. A seqüência em que os dois appliances Gateway Enforcer são iniciados é a seguinte: Quando o primeiro appliance Gateway Enforcer é iniciado, ele é executado no modo de espera. Enquanto estiver no modo de espera, ele consultará a rede para determinar se um outro appliance Gateway Enforcer está em execução. Ele envia três consultas para pesquisar um outro Gateway Enforcer. Conseqüentemente, ele pode levar alguns minutos para mudar seu status para on-line.
52 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances Gateway Enforcer Se o primeiro appliance Gateway Enforcer não detectar um outro appliance Gateway Enforcer, o primeiro appliance Gateway Enforcer será o appliance Gateway Enforcer ativo. Enquanto o appliance Gateway Enforcer ativo estiver em execução, ele transmitirá pacotes de failover para as redes internas e externas. Ele continuará transmitindo pacotes de failover. Assim que o segundo appliance Gateway Enforcer for iniciado, ele será executado no modo de espera. Ele consulta a rede para determinar se um outro appliance Gateway Enforcer está em execução. O segundo appliance Gateway Enforcer detecta então o appliance Gateway Enforcer ativo que está em execução e permanece, conseqüentemente, no modo de espera. Se o appliance Gateway Enforcer ativo falhar, ele interromperá parar a transmissão de pacotes de failover. O appliance Gateway Enforcer em espera não detectará um appliance Gateway Enforcer ativo. Conseqüentemente, transforma-se no appliance Gateway Enforcer ativo que controla as conexões de rede e a segurança neste local. Se você iniciar o outro appliance Gateway Enforcer, ele permanecerá sendo o appliance Gateway Enforcer em modo de espera, pois detectará que um outro appliance Gateway Enforcer está ativo. Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs Configure um appliance Gateway Enforcer para fazer failover pelo local físico e pela configuração definida no Symantec Endpoint Protection Manager. Se você usar um hub que suporta um grande número de VLANs, será possível usar somente uma VLAN, a menos que você integre um alternador compatível com 802.1q em vez de um hub. O appliance Gateway Enforcer para failover deve ser configurado no mesmo segmento de rede. Um roteador ou gateway não pode ser instalado entre os dois appliances Gateway Enforcer. O roteador ou gateway não encaminha o pacote de failover. As NICs internas devem conectar-se à rede interna com o mesmo alternador ou hub. As NICs externas devem conectar-se ao servidor VPN externo ou ao ponto de acesso com o mesmo alternador ou hub. Você usa processos semelhantes para configurar appliances Gateway Enforcer para failover em um AP sem fio, RAS dial-up ou outros pontos de acesso. As NICs externas de ambos appliances Gateway Enforcer se conectam à rede externa através de um servidor AP sem fio ou RAS. As NICs internas se conectam à rede interna ou à área protegida.
Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances Gateway Enforcer 53 A Figura 2-2 mostra como configurar dois appliances Gateway Enforcer para failover, a fim de proteger o acesso à rede em um concentrador do VPN. Figura 2-2 Disposição de dois appliances Gateway Enforcer Clientes remotos VPN Internet Fora da empresa Dentro da empresa Firewall corporativa Clientes internos Servidor VPN NIC externa NIC interna Gateway Enforcer 1 Hub/VLAN NIC externa NIC interna Gateway Enforcer 2 Hub/VLAN Backbone corporativo Clientes internos Servidores protegidos Symantec Endpoint Protection Manager
54 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer Configuração de appliances do Gateway Enforcer para failover Você deve familiarizar-se com os conceitos que estão envolvidos no failover do appliance Gateway Enforcer antes de configurar Enforcers em modo de espera. Consulte Como o failover funciona com os appliances Gateway Enforcer na rede na página 51. Para configurar appliances Gateway Enforcer para failover 1 Coloque os computadores na rede. Consulte Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs na página 52. 2 Configure as NIC internas. As NIC internas em um grande número de appliances Gateway Enforcer devem cada uma ter um endereço IP diferente. Consulte Diretrizes para endereços IP em um appliance Gateway Enforcer na página 47. Planejamento da instalação para um appliance DHCP Enforcer Há diversos tipos de informações de planejamento que podem ajudar a implementar appliances DHCP Enforcer em uma rede. Você pode instalar o appliance DHCP Enforcer para proteger as seguintes áreas em uma rede: Consulte Onde colocar os appliances DHCP Enforcer em uma rede na página 54. Consulte Endereços IP do appliance DHCP Enforcer na página 56. Consulte Proteção de clientes que não sejam Windows com aplicação de DHCP na página 57. Consulte Sobre o servidor DHCP na página 58. Onde colocar os appliances DHCP Enforcer em uma rede Se quiser garantir que o appliance DHCP Enforcer intercepte todas as mensagens DHCP entre clientes e servidores DHCP, você deverá instalar o DHCP Enforcer como um dispositivo em linha. O DHCP Enforcer deve ser instalado entre os clientes e o servidor DHCP.
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer 55 A NIC interna do appliance DHCP Enforcer conecta-se aos servidores DHCP. A NIC externa do DHCP Enforcer conecta-se aos clientes através de um roteador ou de um alternador, que atua como um agente de transmissão DHCP. O Symantec Endpoint Protection Manager também conecta-se à NIC externa do appliance DHCP Enforcer. Você pode configurar um appliance DHCP Enforcer para comunicar-se com vários servidores DHCP. Por exemplo, você pode ter diversos servidores DHCP na mesma sub-rede, para propósitos de failover. Se houver servidores DHCP em diferentes locais na rede, cada um necessitará de um appliance DHCP Enforcer individual. Para cada um dos locais de servidor DHCP, configure um servidor DHCP normal e um servidor DHCP de quarentena. Você pode configurar o Enforcer para reconhecer diversos servidores DHCP de quarentena, assim como vários servidores DHCP normais. Nota: É possível instalar um servidor DHCP em uma máquina e configurá-la para oferecer uma configuração normal e uma configuração de rede de quarentena. Também é necessário configurar um servidor de correção para que os clientes que receberem configurações de quarentena possam conectar-se a ele. Opcionalmente, o Symantec Endpoint Protection Manager pode ser executado no mesmo computador do servidor de correção. O Symantec Endpoint Protection Manager ou o servidor de correção não necessitam de nenhuma conexão direta com o appliance DHCP Enforcer ou com os servidores DHCP. Se o cliente atender aos requisitos de segurança, o appliance DHCP Enforcer atuará como um agente de transmissão DHCP. O appliance DHCP Enforcer conecta o cliente ao servidor DHCP normal e o cliente recebe uma configuração de rede regular. Se o cliente não atender aos requisitos de segurança, o appliance DHCP Enforcer o conectará ao servidor DHCP de quarentena. O cliente receberá, então, uma configuração de rede de quarentena. A Figura 2-3 mostra um exemplo dos vários componentes que são necessários para um appliance DHCP Enforcer e onde são colocados. Nota: Embora a ilustração mostre um servidor DHCP de quarentena em uma máquina separada, somente um computador é necessário. Se utilizar somente um computador, você deverá configurar o servidor DHCP para fornecer duas configurações diferentes de rede. Uma das configurações de rede deve ser uma configuração de rede de quarentena.
56 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer Figura 2-3 Colocação de um appliance DHCP Enforcer Symantec Endpoint Protection Manager Clientes Agente de relay Backbone corporativo Servidores Hub/Alternador NIC externa NIC interna Appliance DHCP Enforcer Hub/Alternador Servidor DHCP Endereços IP do appliance DHCP Enforcer Ao configurar um endereço IP para um appliance DHCP Enforcer, devem ser seguidas algumas diretrizes. Siga estas diretrizes ao configurar a NIC interna de um appliance DHCP Enforcer: O endereço IP interno do appliance DHCP Enforcer deve estar na mesma sub-rede dos servidores DHCP.
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer 57 Os clientes devem ser capazes de se comunicar com o endereço IP interno do appliance DHCP Enforcer. Se você usar diversos DHCP Enforcers em uma configuração de failover, o endereço IP da NIC interna deve ser diferente em cada appliance DHCP Enforcer. Se você usar diversos appliances DHCP Enforcer em uma configuração de failover, os clientes devem poder comunicar-se com o endereço IP interno de ambos os appliances DHCP Enforcer ativos e em modo de espera. Siga estas diretrizes ao configurar a NIC externa de um appliance DHCP Enforcer: O endereço IP externo do appliance DHCP Enforcer deve ser capaz de se comunicar com o Symantec Endpoint Protection Manager. Ele deve estar na mesma sub-rede do intervalo de IP da NIC interna. Neste caso, o Symantec Endpoint Protection Manager localiza-se em um lado do alternador, enquanto o appliance DHCP Enforcer é situado no lado oposto. Se usar diversos appliances DHCP Enforcer em uma configuração de failover, o endereço IP da NIC externa deve ser diferente em cada appliance Gateway Enforcer. Proteção de clientes que não sejam Windows com aplicação de DHCP Você poderá instalar o software Symantec Endpoint Protection ou o software Symantec Network Access Control em clientes que executem o sistema operacional Microsoft Windows. O DHCP Enforcer não consegue autenticar clientes sem o software Symantec Endpoint Protection. Se a organização incluir clientes com sistemas operacionais que não sejam compatíveis com o software, como Linux ou Solaris, seu planejamento deverá incluir como lidar com esses clientes. Se você pode implementar o suporte para clientes que não sejam Windows, também pode configurar o appliance DHCP Enforcer para permitir que todos os clientes que não sejam Windows se conectem à rede. Quando o appliance DHCP Enforcer for configurado desta maneira, o appliance DHCP Enforcer executará a detecção do sistema operacional para identificar os clientes que executem sistemas operacionais que não sejam Windows. Como método alternativo, é possível configurar um DHCP Enforcer para permitir que endereços específicos MAC acessem a rede corporativa. Quando um cliente com um endereço MAC confiável tenta se conectar à rede, o DHCP Enforcer encaminha a solicitação DHCP do cliente ao servidor DHCP normal sem autenticação.
58 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer Sobre o servidor DHCP É possível configurar um servidor DHCP em quarentena separadamente em outro computador. Também é possível configurar o mesmo servidor DHCP para fornecer ambas as configurações de rede normal e de quarentena. A configuração de rede de quarentena deve fornecer acesso aos seguintes componentes: Servidor de correção Symantec Endpoint Protection Manager Servidor DHCP Appliance DHCP Enforcer Se você usar diversos appliances DHCP Enforcer para failover, a configuração de rede de quarentena deverá dar acesso a esses componentes. O endereço IP de quarentena é usado durante a autenticação do DHCP Enforcer da seguinte maneira: O appliance DHCP Enforcer obtém, inicialmente, um endereço IP de quarentena temporário para que o cliente realize a autenticação com um cliente. Se a autenticação for bem sucedida, o appliance DHCP Enforcer envia uma mensagem de notificação ao cliente, solicitando a realização imediata de uma liberação e renovação do IP. Você pode atribuir um tempo de concessão curto à configuração da quarentena. A Symantec recomenda 2 minutos. Se usar dois servidores DHCP, configure um intervalo de endereços IP que não coincida com o intervalo dos endereços IP normais da rede. Você pode, então, usar todos os endereços IP do intervalo de endereço IP separado para a quarentena de clientes não autorizados. Porém, o intervalo de endereços IP usado para a quarentena deve estar localizado na mesma sub-rede que os endereços IP normais da rede. É possível atribuir alguns endereços IP restritos que podem ser usados pelo servidor DHCP em quarentena. Também pode usar um roteador ou um alternador compatível com ACL para evitar que esses endereços IP restritos acessem os recursos normais da rede. Se usar um servidor DHCP, deverá ser configurada uma classe de usuário chamada SYGATE_ENF, usada para a configuração da quarentena. Algumas das etapas de configuração são realizadas no servidor DHCP. Outras tarefas de configuração são realizadas no console do Enforcer, após a conclusão da instalação.
Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer 59 Servidor DHCP normal e em quarentena em um servidor DHCP É possível usar o mesmo servidor para os servidores DHCP normal e em quarentena. Recomenda-se que sejam usados dois servidores. Se deseja usar um servidor DHCP como servidor DCHP normal e em quarentena, é necessário considerar as seguintes orientações: Os servidores DHCP da Microsoft não aceitam várias sub-redes. Se você usar servidores DHCP da Microsoft, poderá ser necessário dois servidores DHCP. Se quiser usar somente um servidor DHCP da Microsoft, todos os computadores deverão usar a mesma sub-rede do endereço IP. Se estiver em um ambiente que usa duas sub-redes distintas, você deverá certificar-se de que os roteadores são capazes de gerenciar duas sub-redes em uma única interface de roteador. Por exemplo, os roteadores Cisco têm um recurso chamado IP secundário (IP secondary). Consulte a documentação do roteador para obter mais informações. Planejamento de failover para appliances DHCP Enforcer Uma empresa pode configurar dois appliances DHCP Enforcer em uma rede para continuar as operações caso um dos appliances de DHCP Enforcer falhe. Se um appliance DHCP Enforcer falhar em uma rede não configurada para failover, o acesso à rede nesse local será bloqueado automaticamente. Se um appliance DHCP Enforcer falhar em uma rede que não oferece capacidade de failover, os usuários não poderão mais conectar-se à rede. Isso continuará a ocorrer até que o problema com o appliance DHCP Enforcer esteja corrigido. Para um appliance DHCP Enforcer, o failover é implementado através do próprio appliance DHCP Enforcer em vez de alternadores de terceiros. Se a configuração de hardware for configurada corretamente, o Symantec Endpoint Protection Manager sincronizará automaticamente as configurações para os appliances DHCP Enforcer de failover. Como o failover funciona com os appliances DHCP Enforcer na rede O appliance DHCP Enforcer operacional é chamado de appliance DHCP Enforcer ativo. O appliance DHCP Enforcer de backup é chamado de appliance DHCP Enforcer em modo espera. O appliance DHCP Enforcer ativo é denominado também appliance DHCP Enforcer primário. Se o appliance DHCP Enforcer ativo falhar, o appliance DHCP Enforcer de modo espera assumirá as tarefas do aplicativo.
60 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer A seqüência em que os dois appliances DHCP Enforcer são iniciados é a seguinte: Quando o primeiro appliance DHCP Enforcer for iniciado, ele será executado em modo de espera enquanto consulta a rede para determinar se um outro appliance DHCP Enforcer está em execução. Ele envia três consultas para procurar outro DHCP Enforcer. Conseqüentemente, ele pode levar alguns minutos para mudar seu status para on-line. Se ele não detectar outro appliance DHCP Enforcer, ele o transformará no appliance DHCP Enforcer ativo. Enquanto o appliance DHCP Enforcer ativo estiver sendo executado, ele transmitirá pacotes de failover nas redes internas e externas. Ele continuará transmitindo pacotes de failover. O segundo appliance DHCP Enforcer será iniciado. Ele será executado no modo de espera enquanto consulta a rede para determinar se um outro appliance DHCP Enforcer está em execução. O segundo appliance DHCP Enforcer detectará o appliance DHCP Enforcer ativo que está sendo executado e permanecerá, conseqüentemente, no modo de espera. Se o appliance DHCP Enforcer ativo falhar, ele será interrompido para transmitir pacotes de failover. O appliance DHCP Enforcer em espera não detectará um appliance DHCP Enforcer ativo. Ele se transforma-se no appliance DHCP Enforcer ativo que controla as conexões de rede e a segurança neste local. Se você iniciar o outro appliance DHCP Enforcer, ele permanecerá como appliance DHCP Enforcer em modo de espera, pois detectará que outro appliance DHCP Enforcer está em execução. Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs Configure um appliance DHCP Enforcer para failover por seu local físico e pela configuração executada no Symantec Endpoint Protection Manager. Se você usar um hub que suporta um grande número de VLANs, será possível usar somente uma VLAN, a menos que você integre um alternador compatível com 802.1q em vez de um hub. O appliance DHCP Enforcer para failover deve ser configurado no mesmo segmento de rede. Um roteador ou um gateway não podem ser instalados entre dois appliances DHCP Enforcer. O roteador ou gateway não encaminha o pacote de failover. As NICs internas devem conectar-se à rede interna com o mesmo
Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer 61 alternador ou hub. As NICs externas devem conectar-se ao servidor VPN externo ou ao ponto de acesso com o mesmo alternador ou hub. A configuração de appliances DHCP Enforcer para failover em um AP sem fio, RAS dial-up ou em outros pontos de acesso é semelhante. As NICs externas de ambos appliances DHCP Enforcer se conectam à rede externa através de um servidor AP sem fio ou RAS. As NICs internas se conectam à rede interna ou à área protegida. A Figura 2-4 mostra como configurar dois appliances DHCP Enforcer para que o failover proteja o acesso à rede em um concentrador da VPN. Figura 2-4 Colocação de dois appliances DHCP Enforcer Clientes Symantec Endpoint Protection Manager Agente de relay Backbone corporativo Servidores NIC externa NIC interna Appliance DHCP Enforcer Hub/Alternador Hub/Alternador Appliance DHCP Enforcer sobressalente NIC externa NIC interna Servidor DHCP
62 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer Configuração de appliances DHCP Enforcer para failover Você deve familiarizar-se com os conceitos que estão envolvidos no failover do appliance DHCP Enforcer antes de configurar appliances DHCP Enforcer em modo de espera. Consulte Como o failover funciona com os appliances DHCP Enforcer na rede na página 59. Para configurar appliances DHCP Enforcer para failover 1 Coloque os computadores na rede. Consulte Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs na página 60. 2 Configure as NICs externas e internas. As NICs externas de vários appliances DHCP Enforcer devem cada uma ter um endereço IP diferente. As NICs internas de vários appliances DHCP Enforcer devem cada uma ter um endereço IP diferente. Consulte Endereços IP do appliance DHCP Enforcer na página 56. 3 Instale e inicie o appliance DHCP Enforcer primário. Se o appliance DHCP Enforcer primário não localizar outro DHCP Enforcer, ele tomará a função do appliance DHCP Enforcer ativo. 4 Instale e inicie o appliance DHCP Enforcer em modo de espera. 5 Conecte o appliance DHCP Enforcer em modo de espera no mesmo Symantec Endpoint Protection Manager que o appliance DHCP Enforcer ativo. Se ambos appliances DHCP Enforcers estiverem em execução durante a mesma quantidade de horas, então aquele com o endereço IP mais baixo será transformado no appliance DHCP Enforcer primário. O failover é ativado por padrão no Symantec Endpoint Protection Manager. O Symantec Endpoint Protection Manager atribui automaticamente o appliance DHCP Enforcer em modo de espera ao mesmo grupo de Enforcer. Conseqüentemente, as configurações dos appliances DHCP Enforcer primário e em espera são sincronizadas. As seguintes configurações de failover são ativadas por padrão: A configuração padrão para a porta UDP de failover é 39999. O appliance DHCP Enforcer de failover usa essa porta para se comunicar com outros. A configuração padrão para o nível de sensibilidade de failover é Alto (menos de 5 segundos).
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance LAN Enforcer 63 O nível de sensibilidade de failover determina como o appliance DHCP Enforcer em modo de espera se transforma no appliance DHCP Enforcer primário. O failover ocorre somente se o appliance DHCP Enforcer em modo de espera detecta que o appliance DHCP Enforcer primário não está mais ativo. Planejamento da instalação para um appliance LAN Enforcer Há diversos tipos de informações de planejamento que podem ajudar a implementar appliances LAN Enforcer em uma rede. Consulte Onde colocar appliances LAN Enforcer na página 63. Onde colocar appliances LAN Enforcer Um appliance LAN Enforcer atua como um proxy RADIUS. Os administradores geralmente usam o appliance LAN Enforcer com um servidor RADIUS para aplicar o protocolo de autenticação extensível (EAP, Extensible Authentication Protocol) 802.1x em uma rede corporativa. Se você usar um appliance LAN Enforcer nesta configuração, ele deverá ser capaz de se comunicar com o servidor RADIUS. Por exemplo, é possível conectar um appliance LAN Enforcer a um alternador de LAN compatível com 802.1x em uma VLAN interna com um Symantec Endpoint Protection Manager, um servidor RADIUS e clientes. O computador que não tiver o software-cliente não poderá se conectar à rede. No entanto, o cliente é direcionado ao servidor de correção do qual pode obter o software de que necessita para estar em conformidade. A Figura 2-5 mostra um exemplo de onde se pode colocar o appliance LAN Enforcer na configuração geral da rede interna.
64 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance LAN Enforcer Figura 2-5 Colocação de appliances LAN Enforcer Clientes VLAN de correção Alternador compatível com 802.1x com portas com dot1x ativado para clientes internos VLAN de correção Servidor RADIUS Appliance LAN Enforcer (proxy RADIUS) Backbone corporativo Servidores protegidos Symantec Endpoint Protection Manager Se o alternador oferecer suporte para alternação dinâmica de VLAN, será possível configurar VLANs adicionais no alternador compatível com 802.1x e acessá-las no appliance LAN Enforcer. O alternador compatível com 802.1x pode colocar dinamicamente o cliente em uma VLAN depois de receber uma resposta do servidor RADIUS. Alguns alternadores compatíveis com 802.1x também incluem um recurso
Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance LAN Enforcer 65 VLAN padrão ou convidado (guest VLAN). Se um cliente não tiver suplicante 802.1x, o alternador compatível com 802.1x pode colocar o cliente na VLAN padrão. É possível instalar o appliance LAN Enforcer para que possa ativar a autenticação EAP em toda a rede com equipamentos que já foram implementados. Os appliances LAN Enforcer podem operar com os servidores RADIUS, suplicantes 802.1x e alternadores compatíveis com 802.1x. Eles executam a autenticação em nível de computador. Ele certifica a conformidade do cliente com relação às políticas de segurança. Por exemplo, ele verifica se o software antivírus está atualizado com as atualizações mais recentes do arquivo de assinatura e dos patches de software necessários. O suplicante 802.1x e o servidor Radius executam a autenticação em nível de usuário. Ele verifica se os clientes que tentam se conectar à rede são aqueles que dizem ser. Como alternativa, o appliance LAN Enforcer também pode operar em modo transparente, eliminando a necessidade de um servidor RADIUS. Em modo transparente, o cliente passa informações de integridade do host para o alternador compatível com 802.1x em resposta ao estímulo EAP. O alternador encaminha as informações para o LAN Enforcer. O appliance LAN Enforcer envia os resultados da autenticação de volta ao alternador compatível com 802.1x. As informações que o appliance LAN Enforcer envia são baseadas nos resultados da validação de integridade do host. Portanto, o appliance LAN Enforcer não necessita comunicar-se com o servidor RADIUS. As seguintes configurações estão disponíveis para um appliance LAN Enforcer: Configuração básica Essa configuração exige um servidor RADIUS e um suplicante 802.1x de terceiros. Tanto a autenticação de usuário EAP tradicional quanto a validação de integridade do host Symantec são executadas. Modo transparente Essa configuração não exige um servidor RADIUS nem a utilização de suplicantes 802.1x de terceiros. Apenas a validação de integridade do host é realizada. Você pode considerar os seguintes problemas: Você pensa em instalar um suplicante 802.1x em cada computador? Se planeja instalar um suplicante 802.1x em cada computador, você pode utilizar a configuração básica. Você deseja executar uma autenticação em nível de usuário, além da verificação da integridade do host? Se deseja executar uma autenticação em nível de usuário, além da verificação da integridade do host, é necessário usar a configuração básica.
66 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances LAN Enforcer Você pensa em utilizar um servidor RADIUS na configuração da rede? Se pensa em usar o servidor RADIUS na configuração de rede, é possível usar tanto a configuração básica quanto o modo transparente. Se não pensa em usar um servidor RADIUS na configuração da rede, use o modo transparente. Planejamento de failover para appliances LAN Enforcer Se você instalou dois appliances LAN Enforcer em uma rede, o failover é controlado através do alternador compatível com 802.1x. Um alternador compatível com 802.1x pode aceitar um grande número de appliances LAN Enforcer. Você pode sincronizar facilmente as configurações de appliances LAN Enforcer no Symantec Endpoint Protection Manager com o uso de configurações de sincronização. Se você quer sincronizar as configurações de um appliance LAN Enforcer com um outro appliance LAN Enforcer, especifique o mesmo nome de grupo no console do Enforcer. Se você usar um servidor RADIUS em sua rede, poderá fazer com que o servidor RADIUS forneça a capacidade de failover, configurando o appliance LAN Enforcer para se conectar a um grande número de servidores RADIUS. Se todos os servidores RADIUS que estão configurados para esse appliance LAN Enforcer forem desabilitados, o alternador presumirá que o appliance LAN Enforcer está desabilitado. Conseqüentemente, o alternador compatível com 802.1x se conectará a um appliance LAN Enforcer diferente que forneça o suporte adicional de failover. Onde colocar os appliances LAN Enforcer para failover em uma rede A Figura 2-6 descreve como fornecer failover para appliances LAN Enforcer.
Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances LAN Enforcer 67 Figura 2-6 Colocação de dois appliances LAN Enforcer Clientes VLAN de correção Servidor de correção Alternador compatível com 802.1x com portas com dot1x ativado para clientes internos Servidor RADIUS Servidor RADIUS sobressalente Appliance LAN Enforcer (proxy RADIUS) Backbone corporativo Servidores protegidos Symantec Endpoint Protection Manager
68 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances LAN Enforcer
Capítulo 3 Upgrade e migração de imagens do appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000 Como determinar a versão atual de uma imagem do appliance Enforcer Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 Migração da imagem do appliance Enforcer de 5.1.x para 11.0.3000 Geração de imagens do appliance Enforcer Sobre upgrade e migração de imagens do appliance Enforcer para a versão 11.0.3000 É necessário determinar a versão do software do appliance Enforcer antes de planejar a atualização, migração ou a geração de imagens do software do appliance Enforcer. Consulte Como determinar a versão atual de uma imagem do appliance Enforcer na página 70. Talvez seja necessário fazer upgrade da imagem de um appliance Enforcer para a versão 11.0.3000 se você desejar se conectar à versão 11.0.3 do Symantec Endpoint Protection Manager. O upgrade permite aproveitar os recursos novos
70 Upgrade e migração de imagens do appliance Enforcer Como determinar a versão atual de uma imagem do appliance Enforcer fornecidos pela versão 11.0.3000 do appliance do Symantec Network Access Control Enforcer. Você pode selecionar alguns dos seguintes métodos para fazer upgrade da imagem do appliance Enforcer: Fazer upgrade da imagem atual do appliance Enforcer. Consulte Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 na página 71. Migrar a imagem do appliance Enforcer 5.1.x para a imagem 11.0.2000 do appliance Enforcer. Consulte Migração da imagem do appliance Enforcer de 5.1.x para 11.0.3000 na página 71. Instalar uma imagem diferente do appliance Enforcer sobre uma imagem anterior do appliance Enforcer. Consulte Geração de imagens do appliance Enforcer na página 72. A versão 11.0.3 do appliance Symantec Network Access Control Enforcer funciona com as seguintes versões do Symantec Endpoint Protection Manager: Versão 11.0.2 Versão 11.0.3 Como determinar a versão atual de uma imagem do appliance Enforcer Você deve determinar a versão atual da imagem que é suportada no appliance Enforcer. A versão mais recente é 11.0.3000. Se você tem uma versão que preceda a 11.0.3000, é necessário fazer um upgrade ou migrar. Por exemplo, se você determinar a versão de uma imagem do appliance DHCP Enforcer, o resultado poderá ser o seguinte: Symantec Network Access Control Enforcer 6100 Series - v11.0.1 build XXXX, 2007-11-29,19:09 DHCP Enforcer mode Para determinar a versão atual de uma imagem do appliance Enforcer Digite o comando a seguir na interface de linha de comando de um appliance Enforcer: show version
Upgrade e migração de imagens do appliance Enforcer Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 71 Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 Você pode usar o seguinte método para atualizar uma imagem do appliance Enforcer da versão 11.0 ou 11.0.2000 para a versão 11.0.3000. Para fazer o upgrade da imagem do appliance Enforcer de 11.0 ou 11.0.2000 para 11.0.3000 1 Insira o CD na unidade de CD-ROM do appliance Enforcer. 2 Digite o comando a seguir no console de um appliance Enforcer: Enforcer# update Migração da imagem do appliance Enforcer de 5.1.x para 11.0.3000 Você pode usar alguns dos seguintes métodos para atualizar uma imagem do appliance Enforcer da versão 5.1.x para a versão 11.0.3000: Migrar a imagem do appliance Enforcer de 5.1.x para 11.0.3000 com um disco USB (Universal Serial Bus). Migrar a imagem do appliance Enforcer de 5.1.x para 11.0.3000 de um servidor TFTP. Para migrar a imagem do appliance Enforcer de 5.1.x para 11.0.3 com um disco USB 1 Copiar os dois arquivos de atualização, initrd-enforcer.img.gpg e lista do pacote, para um disco USB. 2 Digite o comando a seguir para atualizar automaticamente o appliance Enforcer: Enforcer# update Consulte Update na página 253.
72 Upgrade e migração de imagens do appliance Enforcer Geração de imagens do appliance Enforcer Para migrar a imagem do appliance Enforcer de 5.1.x para 11.0.3000 com um servidor TFTP 1 Faça o upload dos dois arquivos de atualização, initrd-enforcer.img.gpg e a lista do pacote, para o servidor TFTP (Trivial File Transfer Protocol) ao qual o appliance Enforcer pode se conectar. 2 Execute o comando a seguir no console do appliance Enforcer: Enforcer:# update tftp://endereço IP do servidor TFTP Consulte Update na página 253. 3 Selecione Y quando você for solicitado a iniciar a nova imagem. 4 Selecione 1 para reiniciar o appliance Enforcer após ter aplicado a nova imagem. Não se recomenda que você inicie a nova imagem sem reiniciar o appliance Enforcer. 5 Faça o logon no appliance Enforcer. 6 Consulte Logon em um appliance Enforcer na página 88. Geração de imagens do appliance Enforcer O appliance Enforcer é fornecido com o software de geração de imagens para todos os appliances Enforcer: Gateway, LAN e DHCP. O software de geração de imagens inclui o sistema operacional Linux de alta segurança e o software appliance Enforcer para a substituição de uma imagem do appliance Enforcer. Ao iniciar a instalação a partir do CD, o processo de geração de imagens apaga a configuração existente no appliance Enforcer. Os arquivos novos são instalados sobre os arquivos existentes. Todas as configurações previamente definidas no appliance Enforcer são perdidas. É possível instalar um tipo diferente de appliance Enforcer se quiser mudar o tipo que está atualmente em uso. Se você mudar o tipo de imagem do appliance Enforcer, isso poderá envolver o remanejamento de um appliance Enforcer na rede corporativa. Consulte Planejamento da instalação para appliances Enforcer na página 43.
Upgrade e migração de imagens do appliance Enforcer Geração de imagens do appliance Enforcer 73 Ao gerar imagens de um appliance Enforcer 1 Insira o CD na unidade de CD-ROM do appliance Enforcer. 2 Na linha de comando, digite o comando a seguir: Enforcer:# reboot Esse comando reinicia o appliance Enforcer. 3 No menu Instalação, selecione Setup Symantec Enforcer from the CD (Instalar o Symantec Enforcer a partir do CD-ROM). Se você deixar o menu Setup (Instalação) passar, o appliance Enforcer reiniciará a partir do disco, em vez de iniciar pelo CD. Para gerar imagens, será necessário reiniciar a partir do CD. 4 Instale e configure o appliance Enforcer. Consulte Instalação de um appliance Enforcer na página 80.
74 Upgrade e migração de imagens do appliance Enforcer Geração de imagens do appliance Enforcer
Capítulo 4 Instalação do appliance Enforcer pela primeira vez Este capítulo contém os tópicos a seguir: Antes da instalação do appliance Enforcer Instalação de um appliance Enforcer Antes da instalação do appliance Enforcer O appliance Enforcer é um dispositivo de hardware que aplica o controle de acesso à rede aos clientes que tentam conectar-se. Se os clientes estiverem em conformidade com as políticas de segurança, eles receberão permissão para acessar os recursos na rede. O tipo de appliance Enforcer que você pode implementar depende do tipo de produto do Symantec Network Access Control que você adquiriu. Consulte o contrato de licença para obter mais informações. É possível implementar o appliance Enforcer operando com o Symantec Endpoint Protection Manager e com clientes. O Enforcer inclui os seguintes tipos: Appliance Gateway Enforcer Appliance DHCP Enforcer Appliance LAN Enforcer
76 Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer Sobre a instalação do appliance Gateway Enforcer O appliance Gateway Enforcer geralmente é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede corporativa contra intrusos externos. Antes de instalar um appliance Gateway Enforcer, é necessário analisar seu posicionamento correto na rede. Os appliances Gateway Enforcer podem ser colocados por toda a empresa para garantir que os limites de rede estejam em conformidade com a política de segurança. Você pode usar os appliances Gateway Enforcer para proteger servidores dentro da empresa. Eles podem assegurar que somente clientes confiáveis ou autenticados possam acessar os servidores. Os appliances Gateway Enforcer são geralmente usados nestes locais de rede: VPN Ponto de acesso sem fio (WAP) Dial-up (servidor de acesso remoto [RAS, Remote Access Server]) Segmentos de Ethernet (rede de área local [LAN, Local Area Network]) Consulte Onde colocar o appliance Gateway Enforcer na página 45. Sobre a instalação do appliance DHCP Enforcer O DHCP Enforcer é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede interna. Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP para um endereço IP dinâmico. O alternador ou roteador (que atua como um cliente de retransmissão DHCP) roteia a solicitação DHCP. A solicitação DHCP é enviada para o appliance DHCP Enforcer, configurado em linha em frente ao servidor DHCP. Antes que o appliance DHCP Enforcer encaminhe a solicitação DHCP ao servidor DHCP, o appliance DHCP Enforcer verifica se os clientes cumprem as políticas de segurança. Se o cliente estiver em conformidade com as políticas de segurança, o DHCP Enforcer enviará a solicitação do cliente de um endereço IP ao servidor DHCP normal. Se o cliente não estiver em conformidade com as políticas de segurança, o appliance DHCP Enforcer se conectará ao servidor de quarentena DHCP. O servidor de quarentena DHCP atribuirá uma configuração de quarentena na rede para o cliente. Para completar a configuração DHCP Enforcer, o administrador deve configurar um servidor de reparo e restringir o acesso dos clientes em quarentena. Os clientes restritos poderão interagir somente com o servidor de reparo.
Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer 77 Se alta disponibilidade for requerida, será possível instalar dois ou mais appliances DHCP Enforcer para fornecer recursos de failover. Consulte Onde colocar os appliances DHCP Enforcer em uma rede na página 54. Sobre a instalação do appliance LAN Enforcer O appliance LAN Enforcer pode executar a autenticação do host e agir como um pseudo-servidor RADIUS (mesmo sem um servidor RADIUS). O cliente do Enforcer atua como suplicante 802.1x. Ele responde com o status de integridade do host e com as informações do número da política ao estímulo do Extensible Authentication Protocol (EAP) do alternador. O endereço IP do servidor RADIUS é definido para 0 nesse caso e nenhuma autenticação de usuário EAP tradicional é executada. O appliance LAN Enforcer verifica a integridade do host. Ele poderá permitir, bloquear ou atribuir dinamicamente uma VLAN, conforme apropriado, de acordo com os resultados da verificação de integridade do host. Se você tiver o Symantec Endpoint Protection, outra configuração também estará disponível. É possível usar um appliance LAN Enforcer com um servidor RADIUS para aplicar a autenticação 802.1x EAP internamente em uma rede corporativa. Se um appliance LAN Enforcer for usado nesta configuração, será necessário posicioná-lo de modo que ele possa se comunicar com o servidor Radius. Se o alternador oferecer suporte para alternação dinâmica de VLAN, será possível configurar VLANs adicionais e acessá-las no appliance LAN Enforcer. O alternador pode colocar dinamicamente o cliente em uma VLAN, de acordo com a resposta do appliance LAN Enforcer. É possível adicionar VLANs para quarentena e reparo. Consulte Onde colocar appliances LAN Enforcer na página 63. Sobre os indicadores e os controles do appliance Enforcer O appliance Enforcer é instalado em um chassi montável em rack 1U com suporte para trilhos fixos. A Figura 4-1 mostra os controles, os indicadores e os conectores localizados atrás do painel opcional no painel frontal. Figura 4-1 Painel frontal do appliance Enforcer 1 Unidade de CD-ROM
78 Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer 2 3 4 5 6 7 Botão Liga/desliga Ícone de redefinição Portas USB Luz da unidade de disco rígido Monitor Reservado; não use A Figura 4-2 mostra o painel traseiro do sistema. Figura 4-2 Painel traseiro do appliance Enforcer (modelo de falha aberta exibido) 1 2 3 4 5 6 7 8 9 10 Conector do cabo de alimentação Conector do mouse Conector do teclado Portas USB Porta serial Monitor Reservado; não use Portas de rede reservadas; não use Porta de rede eth0 Porta de rede eth1 Use a porta e o cabo seriais fornecidos para conectar outro sistema conectado a um monitor e teclado. Como alternativa, é possível conectar o monitor ou teclado diretamente. Se a conexão usar a porta serial, a taxa de transmissão padrão definida no Enforcer será de 9600. É necessário configurar a conexão no outro sistema para que seja correspondente. A conexão pela porta serial é o método preferencial. Para solucionar problemas, ela permite transferir arquivos, como as informações de depuração, ao computador conectado.