Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer

Transkrypt

1 Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer

2 Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer Oprogramowanie opisane w niniejszym podręczniku jest dostarczane w ramach umowy licencyjnej i może być używane jedynie zgodnie z postanowieniami tej umowy. Wersja dokumentacji Informacje prawne Copyright 2008 Symantec Corporation. Wszystkie prawa zastrzeżone. Nazwa i logo Symantec oraz logo Symantec, nazwy LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton i TruScan są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej filii w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli. Ten produkt firmy Symantec może zawierać oprogramowanie innych firm, w przypadku którego firma Symantec musi wskazać odpowiednią inną firmę ( Programy innych firm ). Niektóre z Programów innych firm są dostępne na mocy bezpłatnych licencji na oprogramowanie lub licencji typu open source. Umowa licencyjna towarzysząca Oprogramowaniu nie zmienia żadnych praw ani zobowiązań użytkownika wynikających z tych bezpłatnych licencji na oprogramowanie lub licencji typu open source. Szczegółowe informacje na temat Programów innych firm zawiera dodatek do niniejszej dokumentacji Uwagi prawne dotyczące podmiotów trzecich lub plik Readme TPIP towarzyszący temu produktowi firmy Symantec. Produkt opisany w tym dokumencie jest dystrybuowany na licencji ograniczającej jego używanie, kopiowanie, dystrybucję i dekompilację/inżynierię odwrotną. Żadnej części tego dokumentu nie wolno powielać w jakiejkolwiek postaci za pomocą jakichkolwiek środków bez wcześniejszej pisemnej zgody firmy Symantec Corporation i jej filii. TA DOKUMENTACJA JEST DOSTARCZANA W STANIE, W JAKIM JEST I WSZELKIE JAWNE LUB DOROZUMIANE WARUNKI, ZOBOWIĄZANIA I GWARANCJE, WŁĄCZNIE Z DOROZUMIANYMI GWARANCJAMI PRZYDATNOŚCI HANDLOWEJ, PRZYDATNOŚCI DO JAKIEGOKOLWIEK OKREŚLONEGO CELU I GWARANCJAMI NIENARUSZANIA PRAW WŁASNOŚCI INTELEKTUALNEJ SĄ WYKLUCZONE W STOPNIU DOPUSZCZALNYM PRZEZ OBOWIĄZUJĄCE PRAWO. FIRMA SYMANTEC CORPORATION W ŻADNYCH OKOLICZNOŚCIACH NIE PONOSI ODPOWIEDZIALNOŚCI W ZWIĄZKU ZE SZKODAMI BEZPOŚREDNIMI, POŚREDNIMI LUB WTÓRNYMI POWSTAŁYMI WSKUTEK LUB W ZWIĄZKU Z UŻYTKOWANIEM TEJ DOKUMENTACJI. FIRMA SYMANTEC ZASTRZEGA SOBIE PRAWO WPROWADZANIA BEZ UPRZEDZENIA ZMIAN W INFORMACJACH ZAWARTYCH W TEJ DOKUMENTACJI. Licencjonowane Oprogramowanie i Dokumentacja są uważane za komercyjne oprogramowanie komputerowe według definicji FAR, artykuł i podlegają ograniczeniom zgodnie z definicją FAR, sekcja Komercyjne oprogramowanie komputerowe ograniczone prawa oraz DFARS, artykuł , odpowiednio Prawa w

3 komercyjnym oprogramowaniu komputerowym lub dokumentacji komercyjnego oprogramowania komputerowego i wszelkimi późniejszymi regulacjami. Wszelkie użytkowanie, modyfikacja, powielenie, eksploatacja, wyświetlenie lub ujawnienie Licencjonowanego oprogramowania przez administrację państwową USA musi odbyć się w pełnej zgodzie z warunkami niniejszej Umowy. Symantec Corporation Stevens Creek Blvd. Cupertino, CA

4 Pomoc techniczna Kontakt z pomocą techniczną Pomoc techniczna firmy Symantec prowadzi centra obsługi na całym świecie. Podstawowym zadaniem pomocy technicznej jest odpowiadanie na określone pytania dotyczące funkcji produktu oraz jego działania. Grupa pomocy technicznej opracowuje również zawartość naszej internetowej bazy wiedzy. Grupa pomocy technicznej współpracuje z innymi działami firmy Symantec, aby w możliwie krótkim czasie odpowiadać na pytania użytkowników. Grupa pomocy technicznej współpracuje na przykład z projektantami produktów oraz z centrum Symantec Security Response, aby udostępniać obsługę alertów i aktualizacje definicji wirusów. Oferta firmy Symantec w zakresie wsparcia technicznego obejmuje: Zróżnicowany zakres opcji pomocy technicznej umożliwiających dobranie poziomu usług do rozmiaru organizacji. Telefoniczną i internetową pomoc techniczną zapewniającą szybką reakcję i dostęp do najnowszych informacji. Ubezpieczenie aktualizacyjne, umożliwiające automatyczne uaktualnienie oprogramowania do nowszej wersji. Globalną pomoc techniczną dostępną 24 godziny na dobę, 7 dni w tygodniu. Funkcje zaawansowane, w tym usługi zarządzania kontami. Informacje na temat oferowanych przez firmę Symantec programów wsparcia technicznego można znaleźć w naszej witrynie internetowej pod następującym adresem URL: Klienci posiadający aktualną umowę dotyczącą wsparcia technicznego mogą uzyskać dostęp do informacji o pomocy technicznej pod następującym adresem URL: Przed skontaktowaniem się z pomocą techniczną należy się upewnić, że spełnione są wymagania systemowe podane w dokumentacji produktu. Ponadto komputer, na którym wystąpił problem powinien być włączony, aby w razie potrzeby można było ten problem odtworzyć. Kontaktując się z pomocą techniczną, należy mieć przygotowane następujące informacje: numer wersji produktu,

5 informacje o sprzęcie, ilość dostępnej pamięci i miejsca na dysku oraz informacje o karcie sieciowej, System operacyjny numer wersji i poprawki do programu, topologia sieci, informacje o routerze, bramie i adresie IP. Opis problemu: komunikaty o błędach i pliki dziennika, próby rozwiązania problemu podjęte przed skontaktowaniem się z firmą Symantec, ostatnie zmiany w konfiguracji oprogramowania i sieci. Licencja i rejestracja Centrum obsługi klientów Jeśli produkt firmy Symantec wymaga rejestracji lub klucza licencji, należy odwiedzić stronę internetową naszej pomocy technicznej pod następującym adresem URL: Informacje na temat centrum obsługi klientów są dostępne pod następującym adresem URL: Centrum obsługi klientów służy pomocą w następujących kwestiach: pytania dotyczące licencji lub numerów seryjnych produktów, aktualizacje rejestracji produktów, takie jak zmiana adresu lub nazwy, ogólne informacje o produkcie (funkcje, dostępne wersje językowe, miejscowi dostawcy), najnowsze informacje o aktualizacjach i uaktualnieniach produktów, informacje dotyczące umów o zabezpieczenia aktualizacji i wsparcie techniczne, informacje o programach Symantec Buying Programs, porady dotyczące opcji pomocy technicznej firmy Symantec, pytania inne niż techniczne, dotyczące sprzedaży produktów, kwestie związane z dyskami CD-ROM lub podręcznikami.

6 Informacje na temat umowy dotyczącej wsparcia technicznego W celu uzyskania informacji o istniejącej umowie dotyczącej wsparcia technicznego należy kontaktować się z firmą Symantec przy użyciu następujących adresów regionalnych zespołów administrujących tą umową: Azja Pacyficzna i Japonia Europa, Bliski Wschód i Afryka Ameryka Północna i Ameryka Łacińska contractsadmin@symantec.com semea@symantec.com supportsolutions@symantec.com Dodatkowe usługi dla przedsiębiorstw Firma Symantec oferuje pełen zestaw usług umożliwiających zmaksymalizowanie korzyści z inwestycji w produkty firmy Symantec oraz poszerzanie wiedzy, umiejętności i ogólnego zrozumienia odpowiednich zagadnień w celu aktywnego zarządzania zabezpieczeniami firmy przed zagrożeniami. Dostępne usługi dla przedsiębiorstw obejmują: Rozwiązania wczesnego ostrzegania firmy Symantec Usługi Managed Security Services Usługi konsultingowe Usługi szkoleniowe Rozwiązania te zapewniają wczesne ostrzeganie o cyberatakach, pełną analizę zagrożenia i środki zaradcze umożliwiające zapobieganie atakom przed ich wystąpieniem. Usługi te eliminują konieczność zarządzania urządzeniami zabezpieczającymi i zdarzeniami dotyczącymi zabezpieczeń oraz ich monitorowania, zapewniając szybką odpowiedź na rzeczywiste zagrożenia. Usługi konsultingowe firmy Symantec obejmują analizy techniczne firmy Symantec i jej zaufanych partnerów na miejscu u klienta. W ramach usług konsultingowych firmy Symantec oferowane są różne skonfigurowane fabrycznie i niestandardowe opcje umożliwiające ocenianie, projektowanie, wdrażanie, monitorowanie i zarządzanie, pozwalające na uzyskanie i utrzymywanie integralności i dostępności zasobów informatycznych przedsiębiorstwa. Usługi szkoleniowe to pełen zestaw szkoleń technicznych i dotyczących bezpieczeństwa, certyfikowanie w dziedzinie zabezpieczeń i programy komunikacyjne budujące świadomość zagrożeń. Więcej informacji na temat usług dla przedsiębiorstw można uzyskać w naszej witrynie internetowej pod następującym adresem URL: Z indeksu w witrynie należy wybrać kraj lub język.

7 Spis treści Pomoc techniczna... 4 Sekcja 1 Instalowanie i konfigurowanie urządzeń Symantec Network Access Control Enforcer Rozdział 1 Urządzenie Enforcer wprowadzenie Moduły Symantec Enforcer informacje Grupa docelowa Typy egzekwowania Zastosowania urządzeń Symantec Network Access Control Enforcer Zasady integralności hosta a urządzenie Enforcer informacje Komunikacja między urządzeniem Enforcer a serwerem Symantec Endpoint Protection Manager Komunikacja między urządzeniem Enforcer a klientami Sposób działania urządzenia Gateway Enforcer Sposób działania urządzenia DHCP Enforcer Sposób działania urządzenia LAN Enforcer Sposób działania modułu LAN Enforcer w konfiguracji podstawowej Sposób działania modułu LAN Enforcer w trybie przeźroczystym Uwierzytelnianie 802.1x informacje Obsługa rozwiązań egzekwujących innych producentów Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Rozdział 2 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzeń Enforcer Planowanie instalacji urządzenia Gateway Enforcer Rozmieszczanie urządzeń Gateway Enforcer... 46

8 8 Spis treści Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer Dwa urządzenia Gateway Enforcer połączone szeregowo Ochrona dostępu przez sieć VPN za pomocą urządzenia Gateway Enforcer Ochrona bezprzewodowych punktów dostępu za pomocą urządzenia Gateway Enforcer Ochrona serwerów za pomocą urządzenia Gateway Enforcer Ochrona serwerów i klientów z systemami innymi niż Windows za pomocą urządzenia Gateway Enforcer Wymagania dotyczące umożliwiania dostępu klientom z systemami innymi niż Windows bez uwierzytelniania Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Sposób działania przełączania awaryjnego urządzeń Gateway Enforcer w sieci Rozmieszczanie urządzeń Gateway Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN Konfigurowanie urządzeń Gateway Enforcer do przełączania awaryjnego Planowanie instalacji urządzenia DHCP Enforcer Rozmieszczanie urządzeń DHCP Enforcer w sieci Adresy IP urządzenia DHCP Enforcer Ochrona klientów z systemem innym niż system Windows z egzekwowaniem DHCP Serwer DHCP informacje Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Sposób działania przełączania awaryjnego urządzeń DHCP Enforcer w sieci Rozmieszczanie urządzeń DHCP Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN Konfigurowanie urządzeń DHCP Enforcer do przełączania awaryjnego Planowanie instalacji urządzenia LAN Enforcer Rozmieszczanie urządzeń LAN Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer Rozmieszczanie urządzeń LAN Enforcer w sieci w celu przełączania awaryjnego... 70

9 Spis treści 9 Rozdział 3 Rozdział 4 Rozdział 5 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji Ustalanie bieżącej wersji obrazu urządzenia Enforcer Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub do wersji Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji Zmiana obrazu oprogramowania urządzenia Enforcer Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer Instalacja urządzenia Gateway Enforcer informacje Instalacja urządzenia DHCP Enforcer informacje Instalacja urządzenia LAN Enforcer informacje Wskaźniki i elementy sterujące urządzenia Enforcer Ustawienia karty NIC urządzenia Gateway Enforcer lub DHCP Enforcer Instalowanie urządzenia Enforcer Zamykanie urządzenia Enforcer informacje Wykonywanie podstawowych zadań w konsoli urządzenia Enforcer Wykonywanie podstawowych zadań w konsoli urządzenia Enforcer informacje Logowanie się do urządzenia Enforcer Konfigurowanie połączenia między urządzeniem Enforcer a serwerem Symantec Endpoint Protection Manager Sprawdzanie stanu komunikacji urządzenia Enforcer w konsoli urządzenia Enforcer Dostęp zdalny do urządzenia Enforcer Dzienniki debugowania i raporty urządzeń Enforcer... 94

10 10 Spis treści Rozdział 6 Konfigurowanie urządzenia Symantec Gateway Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie urządzenia Symantec Gateway Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje Zmienianie ustawień konfiguracyjnych urządzenia Gateway Enforcer na serwerze zarządzania Używanie ustawień ogólnych Dodawanie lub edytowanie opisu grupy urządzeń Gateway Enforcer Dodawanie lub edytowanie opisu urządzenia Gateway Enforcer Dodawanie lub edytowanie adresu IP lub nazwy hosta urządzenia Gateway Enforcer Nawiązywanie komunikacji między urządzeniem Gateway Enforcer a serwerem Symantec Endpoint Protection Manager za pomocą listy serwerów zarządzania Używanie ustawień uwierzytelniania Używanie ustawień uwierzytelniania informacje Sesje uwierzytelniania w module Gateway Enforcer informacje urządzenie Uwierzytelnianie klienta w module Gateway Enforcer informacje urządzenie Określanie maksymalnej liczby pakietów wezwania wysyłanych w sesji uwierzytelniania Określanie częstotliwości wysyłania pakietów wezwania do klientów Określanie czasu blokowania klienta po niepowodzeniu jego uwierzytelnienia Określanie czasu zezwolenia klientowi na utrzymanie połączenia z siecią bez ponownego uwierzytelnienia Zezwalanie na dostęp wszystkich klientów z dalszym rejestrowaniem klientów nieuwierzytelnionych Zezwalanie klientom z systemem innym niż system Windows na łączenie się z siecią bez uwierzytelniania Konfigurowanie urządzenia Gateway Enforcer do sprawdzania numeru seryjnego zasady na kliencie Wysyłanie komunikatu o niezgodności z urządzenia Gateway Enforcer do klienta Przekierowywanie żądań HTTP do strony internetowej Ustawienia zakresu uwierzytelniania

11 Spis treści 11 Zakresy adresów IP klienta w porównaniu z zaufanymi zewnętrznymi adresami IP Kiedy należy używać zakresów adresów IP klienta Zaufane adresy IP informacje Dodawanie zakresów adresów IP klienta do listy adresów wymagających uwierzytelniania Edytowanie zakresów adresów IP klienta na liście adresów wymagających uwierzytelniania Usuwanie zakresów adresów IP klienta z listy adresów wymagających uwierzytelniania Dodawanie zaufanego wewnętrznego adresu IP dla klientów na serwerze zarządzania Określanie zaufanych zewnętrznych adresów IP Edytowanie zaufanego wewnętrznego lub zewnętrznego adresu IP Usuwanie zaufanego wewnętrznego lub zewnętrznego adresu IP Kolejność sprawdzania zakresów adresów IP Używanie ustawień zaawansowanych urządzenia Gateway Enforcer Określanie protokołów i typów pakietów Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem urządzenia Gateway Enforcer Włączanie uwierzytelniania lokalnego na urządzeniu Gateway Enforcer Rozdział 7 Konfigurowanie urządzenia Symantec DHCP Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie urządzenia Symantec DHCP Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje Zmienianie ustawień konfiguracyjnych urządzenia DHCP Enforcer na serwerze zarządzania Używanie ustawień ogólnych Dodawanie lub edytowanie nazwy grupy modułów Enforcer z modułem DHCP Enforcer Dodawanie lub edytowanie opisu grupy modułów Enforcer z modułem DHCP Enforcer Dodawanie lub edytowanie adresu IP lub nazwy hosta modułu DHCP Enforcer Dodawanie lub edytowanie opisu modułu DHCP Enforcer

12 12 Spis treści Podłączanie modułu DHCP Enforcer do serwera Symantec Endpoint Protection Manager Używanie ustawień uwierzytelniania Używanie ustawień uwierzytelniania informacje Sesje uwierzytelniania informacje Określanie maksymalnej liczby pakietów wezwania wysyłanych w sesji uwierzytelniania Określanie częstotliwości wysyłania pakietów wezwania do klientów Zezwalanie na dostęp wszystkich klientów z dalszym rejestrowaniem klientów nieuwierzytelnionych Zezwalanie klientom z systemem innym niż system Windows na łączenie się z siecią bez uwierzytelniania Konfigurowanie modułu DHCP Enforcer do sprawdzania numeru seryjnego zasady na kliencie Wysyłanie komunikatu o niezgodności z urządzenia DHCP Enforcer do klienta Używanie ustawień serwerów DHCP Używanie ustawień serwerów DHCP informacje Instalowanie normalnego serwera DHCP i serwera DHCP kwarantanny na jednym komputerze Włączanie oddzielnych serwerów DHCP kwarantanny i normalnych serwerów DHCP Dodawanie normalnego serwera DHCP Dodawanie serwera DHCP kwarantanny Używanie ustawień zaawansowanych urządzenia DHCP Enforcer Konfigurowanie automatycznej kwarantanny dla klientów, którzy nie przejdą uwierzytelniania Określanie okresu oczekiwania urządzenia DHCP Enforcer przed udzieleniem klientowi dostępu do sieci Zezwalanie serwerom, klientom i urządzeniom na łączenie się z siecią jako zaufane hosty bez uwierzytelniania Zapobieganie fałszowaniu danych DNS Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem urządzenia DHCP Enforcer Włączanie uwierzytelniania lokalnego na urządzeniu DHCP Enforcer

13 Spis treści 13 Rozdział 8 Konfigurowanie urządzenia Symantec LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie modułu Symantec LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje Konfigurowanie serwerów RADIUS na urządzeniu LAN Enforcer informacje Konfigurowanie bezprzewodowych punktów dostępu 802.1x na urządzeniu LAN Enforcer informacje Zmienianie ustawień konfiguracyjnych modułu LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager Używanie ustawień ogólnych Dodawanie lub edytowanie nazwy grupy urządzeń LAN Enforcer za pomocą modułu LAN Enforcer Określanie portu nasłuchu używanego do komunikacji między przełącznikiem sieci VLAN a modułem LAN Enforcer Dodawanie lub edytowanie opisu grupy modułów Enforcer przy użyciu modułu LAN Enforcer Dodawanie lub edytowanie adresu IP lub nazwy hosta modułu LAN Enforcer Dodawanie lub edytowanie opisu modułu LAN Enforcer Podłączanie modułu LAN Enforcer do serwera Symantec Endpoint Protection Manager Używanie ustawień grupy serwerów RADIUS Dodawanie nazwy grupy serwerów RADIUS i serwera RADIUS Edytowanie nazwy grupy serwerów RADIUS Edytowanie przyjaznej nazwy serwera RADIUS Edytowanie nazwy hosta lub adresu IP serwera RADIUS Edytowanie numeru portu uwierzytelniania serwera RADIUS Edytowanie wspólnego hasła serwera RADIUS Usuwanie nazwy grupy serwerów RADIUS Usuwanie serwera RADIUS Używanie ustawień przełącznika Używanie ustawień przełącznika informacje Obsługa atrybutów modeli przełączników informacje Dodawanie zasady przełącznika 802.1x dla urządzenia LAN Enforcer przy użyciu kreatora Edytowanie podstawowych informacji o zasadzie przełącznika i przełączniku zgodnym ze standardem 802.1x

14 14 Spis treści Edytowanie informacji o przełączniku zgodnym ze standardem 802.1x Edytowanie informacji dotyczących sieci VLAN dla zasady przełącznika Edytowanie informacji dotyczących działań dla zasady przełącznika Używanie ustawień zaawansowanych urządzenia LAN Enforcer Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem urządzenia LAN Enforcer Włączanie uwierzytelniania lokalnego na urządzeniu LAN Enforcer Używanie uwierzytelniania 802.1x Ponowne uwierzytelnianie komputera klienckiego informacje Rozdział 9 Konfigurowanie tymczasowych połączeń dla klientów Symantec Network Access Control On-Demand Konfigurowanie tymczasowych połączeń dla klientów Symantec Network Access Control On-Demand informacje Przed skonfigurowaniem klientów Symantec Network Access Control On-Demand w konsoli urządzenia Gateway Enforcer lub DHCP Enforcer Umożliwianie klientom Symantec Network Access Control On-Demand tymczasowego łączenia się z siecią Konfigurowanie uwierzytelniania klientów Symantec Network Access Control On-Demand w konsoli urządzenia Gateway Enforcer lub DHCP Enforcer Konfigurowanie uwierzytelniania przy użyciu lokalnej bazy danych urządzenia Konfigurowanie uwierzytelniania za pomocą usługi Active Directory systemu Microsoft Windows 2003 Server Konfigurowanie klientów On-Demand instalowanych w systemie Windows do uwierzytelniania przy użyciu protokołu dot1x Konfigurowanie klientów On-Demand instalowanych w systemie Windows do uwierzytelniania przy użyciu protokołu peap Edytowanie transparentu na stronie powitalnej Rozwiązywanie problemów z połączeniem między modułem a klientami On-Demand

15 Spis treści 15 Rozdział 10 Rozdział 11 Interfejs wiersza polecenia urządzenia Enforcer Hierarchia poleceń interfejsu CLI urządzenia Enforcer informacje Hierarchia poleceń interfejsu CLI Przechodzenie w górę i w dół hierarchii Skróty klawiaturowe interfejsu CLI urządzenia Enforcer Uzyskiwanie pomocy dotyczącej poleceń interfejsu CLI Wykaz poleceń interfejsu wiersza polecenia urządzenia Enforcer Składnia poleceń Alfabetyczny wykaz poleceń interfejsu CLI urządzenia Enforcer Polecenia najwyższego poziomu Polecenie clear Polecenie date Polecenie exit Polecenie help Polecenie hostname Polecenie password Polecenie ping Polecenie reboot Polecenie shutdown Polecenie show Polecenie start Polecenie stop Polecenie traceroute Polecenie update Polecenia z grupy capture Polecenie capture compress Polecenie capture filter Polecenie capture show Polecenie capture start Polecenie capture upload Polecenie capture verbose Polecenia z grupy configure Polecenia advanced z grupy configure Polecenie configure DNS Polecenie configure interface Polecenie configure interface-role Polecenie configure ntp

16 16 Spis treści Polecenie configure redirect Polecenie configure route Polecenie configure show Polecenie configure SPM Polecenia z grupy console Polecenie console baud-rate Polecenie console ssh Polecenie console sshkey Polecenie console show Polecenia z grupy debug Polecenie debug destination Polecenie debug level Polecenie debug show Polecenie debug upload Polecenia z grupy MAB Polecenie MAB disable Polecenie MAB enable Polecenia MAB LDAP Polecenie MAB show Polecenia z grupy monitor Polecenie monitor refresh Polecenie monitor show Polecenie monitor show blocked-hosts Polecenie monitor show connected-guests Polecenie monitor show connected-users Polecenia z grupy SNMP Polecenie SNMP disable Polecenie SNMP enable Polecenie SNMP heartbeat Polecenie SNMP receiver Polecenie SNMP show Polecenie SNMP trap Polecenia z grupy On-Demand Polecenie on-demand authentication Polecenie on-demand banner Polecenie on-demand client-group Polecenia on-demand dot1x Polecenie on-demand show Polecenie on-demand spm-domain Polecenia on-demand mac-compliance

17 Spis treści 17 Rozdział 12 Rozdział 13 Sekcja 2 Rozdział 14 Rozwiązywanie problemów z urządzeniem Enforcer Rozwiązywanie problemów z urządzeniem Enforcer informacje Ogólne tematy dotyczące rozwiązywania problemów i znanych problemów Transfer informacji o debugowaniu przez sieć informacje Często zadawane pytania dotyczące urządzeń Gateway Enforcer, DHCP Enforcer i LAN Enforcer Pytania dotyczące egzekwowania zasad Które oprogramowanie antywirusowe obsługuje funkcje integralności hosta? Czy zasady integralności hosta można konfigurować na poziomie grupy lub poziomie globalnym? Czy można utworzyć niestandardowy komunikat funkcji sprawdzania integralności hosta? Co się dzieje, gdy urządzenia Enforcer nie mogą się skomunikować z serwerami Symantec Endpoint Protection Manager? Czy serwer RADIUS jest wymagany, gdy urządzenie LAN Enforcer działa w trybie przeźroczystym? Jak są egzekwowane zasady w przypadku komputerów bez klientów? Instalowanie modułu Symantec NAC Integrated Enforcer for Microsoft DHCP Servers Moduł Symantec NAC Integrated Enforcer for Microsoft DHCP Servers wprowadzenie Moduł Symantec NAC Integrated Enforcer for Microsoft DHCP Servers informacje Sposób działania modułu Integrated Enforcer for Microsoft DHCP Servers Rozpoczynanie instalacji modułu Integrated Enforcer for Microsoft DHCP Servers

18 18 Spis treści Źródła dodatkowych informacji o dokumentacji związanej z modułem Integrated Enforcer for Microsoft DHCP Servers Rozdział 15 Rozdział 16 Sekcja 3 Rozdział 17 Planowanie instalacji modułu Symantec NAC Integrated Enforcer for Microsoft DHCP Servers Planowanie instalacji modułu Integrated Enforcer for Microsoft DHCP Servers informacje Składniki wymagane dla modułu Integrated Enforcer for Microsoft DHCP Servers Wymagania sprzętowe modułu Integrated Enforcer for Microsoft DHCP Servers Wymagania modułu Integrated Enforcer for Microsoft DHCP Servers dotyczące systemu operacyjnego Planowanie umieszczenia modułu Integrated Enforcer for Microsoft DHCP Servers Instalowanie modułu Symantec NAC Integrated Enforcer for Microsoft DHCP Servers Przed zainstalowaniem modułu Integrated Enforcer for Microsoft DHCP Servers Instalowanie modułu Integrated Enforcer for Microsoft DHCP Servers Uaktualnianie modułu Integrated Enforcer for Microsoft DHCP Servers Instalowanie modułu Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Instalowanie modułu Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Moduł Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers (Integrated Lucent Enforcer) informacje Zastosowania modułu Integrated Lucent Enforcer Sposób działania modułu Integrated Lucent Enforcer Źródła dodatkowych informacji o dokumentacji związanej z modułem Integrated Lucent Enforcer

19 Spis treści 19 Rozdział 18 Rozdział 19 Sekcja 4 Rozdział 20 Planowanie instalacji modułu Symantec NAC Integrated Lucent Enforcer Planowanie instalacji modułu Integrated Lucent Enforcer informacje Składniki wymagane dla modułu Integrated Lucent Enforcer Planowanie umieszczenia modułu Integrated Lucent Enforcer Wymagania sprzętowe modułu Integrated Lucent Enforcer Wymagania modułu Integrated Lucent Enforcer dotyczące systemu operacyjnego Instalowanie modułu Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers Przed zainstalowaniem modułu Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers po raz pierwszy Instalowanie modułu Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers Dezinstalacja modułu Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers Zatrzymywanie i uruchamianie serwera VitalQIP Enterprise DHCP firmy Lucent Konfigurowanie modułów Symantec NAC Integrated Enforcer w konsoli modułu Enforcer Konfigurowanie modułów Symantec NAC Integrated Enforcer w konsoli modułu Enforcer Konfigurowanie modułu Symantec NAC Integrated Enforcer w konsoli modułu Enforcer informacje Nawiązywanie lub zmienianie komunikacji między modułem Integrated Enforcer a serwerami Symantec Endpoint Protection Manager Konfigurowanie automatycznej kwarantanny Konfigurowanie ustawień podstawowych modułu Symantec Integrated Enforcer Dodawanie lub edytowanie nazwy grupy modułów Enforcer przy użyciu modułu Symantec Integrated Enforcer

20 20 Spis treści Dodawanie lub edytowanie opisu grupy modułów Enforcer przy użyciu modułu Symantec Integrated Enforcer Dodawanie lub edytowanie adresu IP lub nazwy hosta modułu Symantec Integrated Enforcer Dodawanie lub edytowanie opisu modułu Symantec Integrated Enforcer Łączenie modułu Symantec Integrated Enforcer z programem Symantec Endpoint Protection Manager Edycja połączenia z programem Symantec Endpoint Protection Manager Konfigurowanie listy zaufanych producentów Wyświetlanie dzienników modułu Enforcer w konsoli modułu Enforcer Konfigurowanie dzienników modułu Symantec Integrated Enforcer Konfigurowanie ustawień uwierzytelniania modułu Symantec Integrated Enforcer Używanie ustawień uwierzytelniania informacje Sesje uwierzytelniania informacje Określanie maksymalnej liczby pakietów wezwania wysyłanych w sesji uwierzytelniania Określanie częstotliwości wysyłania pakietów wezwania do klientów Zezwalanie na dostęp wszystkich klientów z dalszym rejestrowaniem klientów nieuwierzytelnionych Zezwalanie klientom z systemem innym niż system Windows na łączenie się z siecią bez uwierzytelniania Konfigurowanie modułu Symantec Integrated Enforcer do sprawdzania numeru seryjnego zasady na kliencie Wysyłanie komunikatu o niezgodności z modułu Symantec Integrated Enforcer do klienta Nawiązywanie komunikacji między modułem Symantec Integrated Enforcer a urządzeniem Network Access Control Scanner w konsoli modułu Enforcer Konfigurowanie ustawień zaawansowanych modułu Symantec Integrated Enforcer Zezwalanie serwerom, klientom i urządzeniom na łączenie się z siecią jako zaufane hosty bez uwierzytelniania Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem modułu Integrated Enforcer Włączanie uwierzytelniania lokalnego w module Integrated Enforcer

21 Spis treści 21 Zatrzymywanie i uruchamianie usług komunikacji między modułem Symantec Integrated Enforcer a serwerem zarządzania Rozłączanie modułu Symantec NAC Lucent Integrated Enforcer i serwera zarządzania w konsoli modułu Enforcer Nawiązywanie połączenia ze starszymi serwerami Symantec Endpoint Protection Manager Sekcja 5 Rozdział 21 Rozdział 22 Rozdział 23 Instalowanie i konfigurowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection Moduł Symantec NAC Integrated Enforcer for Microsoft Network Access Protection wprowadzenie Moduł Integrated Enforcer for Microsoft Network Access Protection informacje Planowanie instalacji modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection Planowanie instalacji modułu Symantec Integrated NAP Enforcer informacje Składniki wymagane dla modułu Symantec Integrated NAP Enforcer Wymagania sprzętowe modułu Symantec Integrated NAP Enforcer Wymagania modułu Symantec Integrated NAP Enforcer dotyczące systemu operacyjnego Wymagania klienta Symantec Network Access Control dotyczące systemu operacyjnego Instalowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection Przed instalacją modułu Symantec Integrated NAP Enforcer Instalowanie modułu Symantec Integrated NAP Enforcer

22 22 Spis treści Rozdział 24 Rozdział 25 Konfigurowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection w konsoli modułu Enforcer Konfigurowanie modułu Symantec Integrated NAP Enforcer w konsoli modułu Enforcer informacje Łączenie modułu Symantec Integrated NAP Enforcer z serwerem zarządzania w konsoli modułu Enforcer Szyfrowanie komunikacji między modułem Symantec Integrated NAP Enforcer a serwerem zarządzania Konfigurowanie nazwy grupy modułów Enforcer w konsoli modułu Symantec Integrated NAP Enforcer Konfigurowanie komunikacyjnego protokołu HTTP w konsoli modułu Symantec Integrated NAP Enforcer Konfigurowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie modułu Symantec Integrated NAP Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje Włączanie egzekwowania NAP dla klientów Sprawdzanie, czy serwer zarządzania zarządza klientem Weryfikowanie zasad modułu sprawdzania poprawności stanu zabezpieczeń Sprawdzanie, czy klienci przeszli pomyślnie sprawdzanie integralności hosta Włączanie uwierzytelniania lokalnego w module Symantec Integrated NAP Enforcer Konfigurowanie dzienników modułu Symantec Integrated NAP Enforcer

23 Spis treści 23 Sekcja 6 Rozdział 26 Administrowanie modułami Enforcer za pomocą konsoli programu Symantec Endpoint Protection Manager Zarządzanie modułami Enforcer za pomocą konsoli programu Symantec Endpoint Protection Manager Zarządzanie modułami Enforcer za pomocą konsoli serwera zarządzania informacje Zarządzanie modułami Enforcer na stronie Serwery informacje Grupy modułów Enforcer informacje Sposób określania nazwy grupy modułów Enforcer w konsoli Grupy modułów Enforcer obsługujących przełączanie awaryjne informacje Zmienianie nazwy grupy informacje Tworzenie nowej grupy modułów Enforcer informacje Informacje o urządzeniu Enforcer wyświetlane w konsoli urządzenia Enforcer informacje Wyświetlanie informacji dotyczących modułu Enforcer w konsoli zarządzania Zmienianie nazwy i opisu modułu Enforcer Usuwanie modułu Enforcer lub grupy modułów Enforcer Eksportowanie i importowanie ustawień grupy modułów Enforcer Komunikaty wyskakujące dotyczące blokowania klientów Komunikaty dla komputerów z uruchomionym oprogramowaniem klienckim Komunikaty dla komputerów z systemem Windows bez uruchomionego oprogramowania klienckiego (tylko w przypadku modułów Gateway Enforcer lub DHCP Enforcer) Konfigurowanie komunikatów modułu Enforcer Ustawienia klienta a moduł Enforcer informacje Konfigurowanie klientów w celu stosowania hasła zatrzymania usługi klienta

24 24 Spis treści Sekcja 7 Rozdział 27 Praca z raportami i dziennikami modułów Enforcer Zarządzanie raportami i dziennikami modułów Enforcer Raporty modułu Enforcer informacje Dzienniki modułu Enforcer informacje Dziennik serwera modułu Enforcer informacje Dziennik klienta modułu Enforcer informacje Dziennik ruchu modułu Gateway Enforcer informacje Konfigurowanie ustawień dziennika modułu Enforcer Wyłączanie rejestrowania zdarzeń modułu Enforcer w konsoli programu Symantec Endpoint Protection Manager Włączanie przesyłania dzienników modułu Enforcer z modułu Enforcer do serwera Symantec Endpoint Protection Manager Ustawianie rozmiaru i okres przechowywania dzienników modułu Enforcer Filtrowanie dzienników ruchu modułu Enforcer Indeks

25 Sekcja 1 Instalowanie i konfigurowanie urządzeń Symantec Network Access Control Enforcer Urządzenie Enforcer wprowadzenie Planowanie instalacji urządzenia Enforcer Uaktualnianie i migrowanie obrazów urządzenia Enforcer Instalowanie urządzenia Enforcer po raz pierwszy Wykonywanie podstawowych zadań w konsoli urządzenia Enforcer Konfigurowanie urządzenia Symantec Gateway Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie urządzenia Symantec DHCP Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie urządzenia Symantec LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager

26 26 Konfigurowanie tymczasowych połączeń dla klientów Symantec Network Access Control On-Demand Interfejs wiersza polecenia urządzenia Enforcer Wykaz poleceń interfejsu wiersza polecenia urządzenia Enforcer Rozwiązywanie problemów z urządzeniem Enforcer Często zadawane pytania dotyczące urządzeń Gateway Enforcer, DHCP Enforcer i LAN Enforcer

27 Rozdział 1 Urządzenie Enforcer wprowadzenie Ten rozdział obejmuje następujące zagadnienia: Moduły Symantec Enforcer informacje Grupa docelowa Typy egzekwowania Zastosowania urządzeń Symantec Network Access Control Enforcer Zasady integralności hosta a urządzenie Enforcer informacje Sposób działania urządzenia Gateway Enforcer Sposób działania urządzenia DHCP Enforcer Sposób działania urządzenia LAN Enforcer Obsługa rozwiązań egzekwujących innych producentów Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Moduły Symantec Enforcer informacje Moduły Symantec Enforcer to opcjonalne składniki sieciowe współpracujące z programem Symantec Endpoint Protection Manager. Następujące urządzenia Symantec Enforcer oparte na systemie Linux współpracują z klientami zarządzanymi, takimi jak klienci Symantec Endpoint Protection i klienci Symantec Network Access Control w celu ochrony sieci firmowej: Urządzenie Symantec Network Access Control Gateway Enforcer

28 28 Urządzenie Enforcer wprowadzenie Grupa docelowa Urządzenie Symantec Network Access Control DHCP Enforcer Urządzenie Symantec Network Access Control LAN Enforcer Wszystkie urządzenia Symantec Enforcer oparte na systemie Windows współpracują z klientami zarządzanymi, takimi jak klienci Symantec Endpoint Protection i klienci Symantec Network Access Control, w celu ochrony sieci firmowej. Uwaga: Moduł Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection nie współpracuje z klientami-gośćmi, takimi jak klienci Symantec Network Access Control On-Demand na platformach Windows i Macintosh. Dokumentacja zawiera instrukcje instalacji, konfiguracji i administracji dotyczące następujących modułów Enforcer opartych na systemie Windows: Symantec Network Access Control Integrated Enforcer for Microsoft DHCP Servers Patrz Moduł Symantec NAC Integrated Enforcer for Microsoft DHCP Servers informacje na stronie 327 Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection Patrz Moduł Integrated Enforcer for Microsoft Network Access Protection informacje na stronie 397 Symantec Network Access Control Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Patrz Moduł Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers (Integrated Lucent Enforcer) informacje na stronie 345 Grupa docelowa Dokumentacja przeznaczona jest dla wszystkich osób odpowiedzialnych za instalację i wdrożenie opcjonalnego urządzenia Enforcer. Czytelnicy powinni dobrze znać podstawowe zagadnienia sieciowe oraz metody administrowania za pomocą programu Symantec Endpoint Protection Manager. Opcjonalne urządzenie Enforcer współpracuje jedynie z określonymi wersjami pozostałych składników. Patrz Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji na stronie 73

29 Urządzenie Enforcer wprowadzenie Typy egzekwowania 29 Jeśli opcjonalne urządzenie Enforcer ma być używane z poprzednią wersją programu Symantec Network Access Control, należy zapoznać się z dokumentacją dostarczoną z urządzeniem Enforcer w chwili zakupu. Typy egzekwowania Tabela 1-1 przedstawia listę opcjonalnych urządzeń Enforcer i modułów Enforcer instalowanych w systemie Windows. Tabela 1-1 Typy egzekwowania Typ urządzenia Enforcer Urządzenie Symantec Gateway Enforcer Opis Zapewnia egzekwowanie zasad w punktach dostępu komputerów zewnętrznych łączących się zdalnie z wykorzystaniem jednej z następujących metod: Sieć VPN (Virtual Private Network) Bezprzewodowa sieć LAN Serwer dostępu zdalnego (RAS) Urządzenie Gateway Enforcer można również skonfigurować do ograniczania dostępu do określonych serwerów przez zezwalanie na dostęp jedynie z określonych adresów IP. Moduł Symantec Gateway Enforcer jest obsługiwany na urządzeniu Enforcer. Patrz Sposób działania urządzenia Gateway Enforcer na stronie 34 Patrz Planowanie instalacji urządzenia Gateway Enforcer na stronie 46 Urządzenie Symantec LAN Enforcer Zapewnia egzekwowanie zasad na klientach łączących się z siecią za pośrednictwem przełącznika lub bezprzewodowego punktu dostępu obsługującego uwierzytelnianie w standardzie 802.1x. Urządzenie LAN Enforcer działa jako serwer proxy usługi RADIUS (Remote Authentication Dial-In User Service). Moduł ten może współpracować z serwerem RADIUS lub pracować bez serwera RADIUS zapewniającego uwierzytelnianie na poziomie użytkownika. Moduł Symantec LAN Enforcer jest obsługiwany na urządzeniu Enforcer. Patrz Sposób działania urządzenia LAN Enforcer na stronie 37 Patrz Planowanie instalacji urządzenia LAN Enforcer na stronie 67

30 30 Urządzenie Enforcer wprowadzenie Zastosowania urządzeń Symantec Network Access Control Enforcer Typ urządzenia Enforcer Urządzenie Symantec DHCP Enforcer Opis Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP za pośrednictwem serwera DHCP. Moduł Symantec DHCP Enforcer jest obsługiwany na urządzeniu Enforcer. Moduł Symantec Integrated Enforcer for Microsoft DHCP Servers Moduł Symantec Integrated Enforcer for Microsoft Network Access Protection Moduł Symantec Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Patrz Sposób działania urządzenia DHCP Enforcer na stronie 36 Patrz Planowanie instalacji urządzenia DHCP Enforcer na stronie 57 Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP za pośrednictwem serwera DHCP. Moduł Symantec Integrated DHCP Enforcer jest obsługiwany na platformie Windows. Moduł Symantec Integrated Enforcer for Microsoft DHCP Servers nie jest obsługiwany na urządzeniu Enforcer. Patrz Sposób działania modułu Integrated Enforcer for Microsoft DHCP Servers na stronie 328 Patrz Planowanie umieszczenia modułu Integrated Enforcer for Microsoft DHCP Servers na stronie 335 Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP lub przekazują uwierzytelnienie 802.1x za pośrednictwem serwera DHCP. Moduł Symantec Integrated NAP Enforcer jest obsługiwany na platformie Windows Server Moduł Symantec Integrated Enforcer for Microsoft Network Access Protection nie jest obsługiwany na urządzeniu Enforcer. Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP lub przekazują uwierzytelnienie 802.1x za pośrednictwem serwera DHCP. Moduł Symantec Integrated DHCP Enforcer jest obsługiwany na platformie Windows. Moduł Symantec Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers nie jest obsługiwany na urządzeniu Enforcer. Zastosowania urządzeń Symantec Network Access Control Enforcer Opcjonalne urządzenie Enforcer jest instalowane w sieciowych punktach końcowych klientów zewnętrznych lub wewnętrznych.

31 Urządzenie Enforcer wprowadzenie Zastosowania urządzeń Symantec Network Access Control Enforcer 31 Urządzenie Enforcer można na przykład zainstalować między siecią a serwerem VPN lub przed serwerem DHCP. Można je też skonfigurować do egzekwowania zasad wobec komputerów klienckich łączących się z siecią za pośrednictwem bezprzewodowego punktu dostępu lub przełącznika obsługującego standard 802.1x. Urządzenie Enforcer przeprowadza uwierzytelnianie na poziomie hosta, a nie użytkownika. Takie działanie zapewnia, że komputery klienckie, z których podejmowane są próby nawiązania połączenia z siecią firmową, spełniają ustawione zasady zabezpieczeń. Firmowe zasady zabezpieczeń można skonfigurować w programie Symantec Endpoint Protection Manager. Jeśli klient nie jest zgodny z zasadami zabezpieczeń, urządzenie Enforcer może podjąć następujące działania: Zablokować dostęp do sieci. Udzielić dostępu jedynie do ograniczonych zasobów. Opcjonalne urządzenie Enforcer może przekierować klienta do obszaru kwarantanny z serwerem naprawczym. Klient może następnie pobrać z serwera naprawczego wymagane oprogramowanie, aplikacje, pliki sygnatur lub poprawki. Na przykład część sieci może być już skonfigurowana tak, aby klienci łączyli się z siecią LAN za pośrednictwem przełączników zgodnych ze standardem 802.1x. W przypadku takich klientów można użyć urządzenia LAN Enforcer. Urządzenia LAN Enforcer można użyć również w przypadku klientów łączących się za pośrednictwem bezprzewodowego punktu dostępu obsługującego standard 802.1x. Patrz Sposób działania urządzenia LAN Enforcer na stronie 37 Patrz Planowanie instalacji urządzenia LAN Enforcer na stronie 67 Inne części sieci mogą nie obsługiwać standardu 802.1x. Do zarządzania egzekwowaniem zasad na takich klientach można użyć urządzenia DHCP Enforcer. Patrz Sposób działania urządzenia DHCP Enforcer na stronie 36 Patrz Planowanie instalacji urządzenia DHCP Enforcer na stronie 57 Jeżeli z siecią łączą się pracownicy zdalni, którzy wykorzystują do tego celu połączenie VPN lub telefoniczne, do obsługi tych klientów można użyć urządzenia Gateway Enforcer. Urządzenia Gateway Enforcer można użyć również, jeżeli bezprzewodowy punkt dostępu nie obsługuje standardu 802.1x. Patrz Sposób działania urządzenia Gateway Enforcer na stronie 34 Patrz Planowanie instalacji urządzenia Gateway Enforcer na stronie 46

32 32 Urządzenie Enforcer wprowadzenie Zasady integralności hosta a urządzenie Enforcer informacje Jeżeli wymagana jest wysoka dostępność, w jednej lokalizacji można zainstalować dwa (lub więcej) urządzenia Gateway Enforcer, DHCP Enforcer lub LAN Enforcer, aby zapewnić możliwość przełączania awaryjnego. Patrz Planowanie przełączania awaryjnego urządzeń Gateway Enforcer na stronie 53 Patrz Planowanie przełączania awaryjnego urządzeń DHCP Enforcer na stronie 62 Patrz Planowanie przełączania awaryjnego urządzeń LAN Enforcer na stronie 70 Aby uzyskać system urządzeń LAN Enforcer o wysokiej dostępności, należy zainstalować wiele urządzeń LAN Enforcer i przełącznik zgodny ze standardem 802.1x. W celu uzyskania wysokiej dostępności niezbędne jest dodanie przełącznika zgodnego ze standardem 802.1x. W przypadku zainstalowania wielu urządzeń LAN Enforcer bez przełącznika zgodnego ze standardem 802.1x wysoka dostępność nie zostanie uzyskana. Przełącznik zgodny ze standardem 802.1x można skonfigurować tak, aby zapewnić wysoką dostępność. Informacje dotyczące konfiguracji przełącznika zgodnego ze standardem 802.1x w celu uzyskania wysokiej dostępności zawiera dokumentacja dołączona do przełącznika. W niektórych konfiguracjach sieci klient może łączyć się z siecią za pośrednictwem więcej niż jednego urządzenia Enforcer. Po uwierzytelnieniu klienta przez pierwsze urządzenie Enforcer wszystkie pozostałe urządzenia Enforcer muszą uwierzytelnić klienta, aby mógł on połączyć się z siecią. Zasady integralności hosta a urządzenie Enforcer informacje Zasady zabezpieczeń sprawdzane przez wszystkie urządzenia Enforcer na komputerach klienckich to tak zwane zasady integralności hosta. Zasady integralności hosta można tworzyć w konsoli programu Symantec Endpoint Protection Manager i za jego pomocą nimi zarządzać. Zasady integralności hosta określają oprogramowanie, które musi być uruchomione na komputerze klienckim. Można na przykład określić, że na komputerze klienckim musi być uruchomione (i zgodne z określonymi wymaganiami) oprogramowanie zabezpieczające, takie jak następujące aplikacje: Oprogramowanie antywirusowe Oprogramowanie chroniące przed programami typu spyware Oprogramowanie zapory

33 Urządzenie Enforcer wprowadzenie Zasady integralności hosta a urządzenie Enforcer informacje 33 Poprawki Dodatki Service Pack Jeśli predefiniowane wymagania nie spełniają oczekiwań, można je dostosować. Szczegółowe informacje na temat sposobu konfigurowania i dostosowywania zasad integralności hosta zawiera Podręcznik administratora programów Symantec Endpoint Protection i Symantec Network Access Control. Klientów można skonfigurować w taki sposób, aby sprawdzali integralność hosta o różnych godzinach. Klient przeprowadza sprawdzanie integralności hosta, gdy próbuje połączyć się z siecią. Następnie wysyła wyniki do urządzenia Enforcer. Przy standardowych ustawieniach urządzenie Enforcer przed zezwoleniem klientowi na dostęp do sieci sprawdza, czy przeszedł on test integralności hosta. Klient, który przeszedł pomyślnie sprawdzanie integralności hosta, jest zgodny z zasadą integralności hosta obowiązującą w firmie. Każdy typ urządzenia Enforcer w inny sposób definiuje jednak kryteria dostępu do sieci. Patrz Sposób działania urządzenia Gateway Enforcer na stronie 34 Patrz Sposób działania urządzenia DHCP Enforcer na stronie 36 Patrz Sposób działania urządzenia LAN Enforcer na stronie 37 Komunikacja między urządzeniem Enforcer a serwerem Symantec Endpoint Protection Manager Urządzenie Enforcer jest cały czas połączone z serwerem Symantec Endpoint Protection Manager. Urządzenie Enforcer w równych odstępach czasu (interwał pulsu) pobiera ustawienia z serwera zarządzania kontrolującego jego pracę. Zmiany ustawień urządzenia Enforcer dokonane na serwerze zarządzania zostaną pobrane jako aktualizacje podczas następnego pulsu. Urządzenie Enforcer przesyła informacje o swoim stanie do serwera zarządzania. Może też rejestrować zdarzenia przekazywane do serwera zarządzania. Informacje te są następnie wyświetlane w dziennikach na serwerze zarządzania. Serwer Symantec Endpoint Protection Manager przechowuje listę serwerów zarządzania z replikowanymi informacjami z bazami danych. Przesyła on listę serwerów zarządzania do podłączonych modułów Enforcer, klientów zarządzanych i klientów-gości. Jeśli urządzenie Enforcer utraci połączenie z jednym serwerem zarządzania, może je nawiązać z innym serwerem z listy serwerów zarządzania. Po ponownym uruchomieniu urządzenie Enforcer wykorzystuje tę listę do ponownego nawiązania połączenia z serwerem zarządzania. Gdy klient próbuje połączyć się z siecią za pośrednictwem urządzenia Enforcer, urządzenie Enforcer uwierzytelnia unikalny identyfikator (UID) klienta. Urządzenie

34 34 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia Gateway Enforcer Enforcer wysyła identyfikator UID do serwera zarządzania i odbiera odpowiedź zezwalającą lub odmowną. Jeśli urządzenie Enforcer zostało skonfigurowane do uwierzytelniania identyfikatora UID, może pobrać z serwera zarządzania odpowiednie informacje. Urządzenie Enforcer może następnie sprawdzić, czy profil klienta został zaktualizowany przy użyciu najnowszych zasad zabezpieczeń. Jeśli dane klienta, takie jak identyfikator klienta lub profil klienta, zostaną zmienione na serwerze zarządzania, serwer zarządzania może wysłać je do urządzenia Enforcer. Urządzenie Enforcer może ponownie przeprowadzić uwierzytelnianie hosta na kliencie. Komunikacja między urządzeniem Enforcer a klientami Komunikacja między urządzeniem Enforcer a klientem rozpoczyna się w chwili, gdy klient próbuje nawiązać połączenie z siecią. Urządzenie Enforcer może sprawdzić, czy klient jest uruchomiony. Jeśli klient jest uruchomiony, moduł Enforcer rozpoczyna proces jego uwierzytelniania. Klient odpowiada, przeprowadzając sprawdzenie integralności hosta i wysyłając do modułu Enforcer wynik wraz z informacjami o swoim profilu. Ponadto klient wysyła swój unikalny identyfikator (UID), który jest z kolei przekazywany przez moduł Enforcer do serwera zarządzania w celu uwierzytelnienia. Urządzenie Enforcer ocenia na podstawie informacji o profilu, czy klient stosuje najnowsze zasady zabezpieczeń. Jeśli nie, urządzenie Enforcer powiadamia klienta, aby zaktualizował swój profil. Gdy klient uzyska zezwolenie na dostęp do sieci od urządzenia DHCP Enforcer lub Gateway Enforcer, moduł Enforcer nadal komunikuje się z klientem w predefiniowanych odstępach czasu. Komunikacja ta umożliwia urządzeniu Enforcer kontynuowanie uwierzytelniania klienta. W przypadku urządzenia LAN Enforcer to okresowe uwierzytelnianie jest obsługiwane przez przełącznik 802.1x. Na przykład przełącznik 802.1x uruchamia nową sesję uwierzytelniania, gdy nadchodzi czas ponownego uwierzytelnienia. Urządzenie Enforcer musi być uruchomione przez cały czas, gdyż w przeciwnym razie klienci próbujący nawiązać połączenie z siecią firmową mogą zostać zablokowani. Sposób działania urządzenia Gateway Enforcer Urządzenia Gateway Enforcer przeprowadzają sprawdzanie w jednym kierunku. Sprawdzają klientów, którzy próbują połączyć się z siecią firmową poprzez zewnętrzną kartę NIC urządzenia Gateway Enforcer.

35 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia Gateway Enforcer 35 Do uwierzytelnienia klienta urządzenie Gateway Enforcer stosuje następujące procedury: Gdy klient próbuje uzyskać dostęp do sieci, urządzenie Gateway Enforcer sprawdza najpierw, czy na kliencie uruchomione jest oprogramowanie klienckie Symantec Endpoint Protection lub Symantec Network Access Control. Jeżeli na kliencie jest uruchomione oprogramowanie klienckie, urządzenie Gateway Enforcer rozpoczyna procedurę uwierzytelnienia hosta. Oprogramowanie klienckie uruchomione na komputerze użytkownika przeprowadza sprawdzenie integralności hosta. Wyniki są przekazywane do urządzenia Gateway Enforcer wraz z informacjami identyfikacyjnymi i dotyczącymi stanu zasad zabezpieczeń klienta. Urządzenie Gateway Enforcer komunikuje się z serwerem Symantec Endpoint Protection Manager w celu sprawdzenia, czy klient jest uprawniony do dostępu i stosowane na nim zasady zabezpieczeń są aktualne. Urządzenie Gateway Enforcer sprawdza, czy klient przeszedł test integralności hosta, czyli jest zgodny z obowiązującymi zasadami zabezpieczeń. Jeżeli wszystkie procedury zostaną zakończone pomyślnie, urządzenie Gateway Enforcer zezwala klientowi na dostęp do sieci. Jeżeli klient nie spełnia określonych wymagań, urządzenie Gateway Enforcer może zostać skonfigurowane do podejmowania następujących działań: Monitorowania i rejestrowania określonych zdarzeń. Blokowania użytkowników, jeżeli sprawdzenie integralności hosta zakończyło się niepowodzeniem. Wyświetlania komunikatu wyskakującego na komputerze klienckim. Zezwalania komputerowi klienckiemu na ograniczony dostęp do sieci, aby umożliwić wykorzystanie zasobów sieciowych w celu podjęcia działań naprawczych. W celu skonfigurowania uwierzytelniania za pomocą urządzenia Gateway Enforcer można określić adresy IP klientów, które mają być sprawdzane. Można określić zaufane zewnętrzne adresy IP, które mają być akceptowane przez urządzenie Gateway Enforcer bez uwierzytelniania. Urządzenie Gateway Enforcer można skonfigurować do zezwalania klientom na dostęp do zaufanych wewnętrznych adresów IP w celu podejmowania działań naprawczych. Można na przykład zezwolić klientom na dostęp do serwera aktualizacji lub serwera plików zawierającego pliki DAT programu antywirusowego. Żądania HTTP z komputerów klienckich bez oprogramowania klienckiego firmy Symantec można przekierowywać do serwera internetowego. Można na przykład

36 36 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia DHCP Enforcer podać dodatkowe instrukcje dotyczące lokalizacji naprawczego pobierania oprogramowania lub zezwolić klientowi na pobranie oprogramowania klienckiego. Urządzenie Gateway Enforcer można również skonfigurować do zezwalania na dostęp do sieci klientom z systemem operacyjnym innym niż system Windows. Urządzenie Gateway Enforcer spełnia funkcje mostu, a nie routera. Po uwierzytelnieniu klienta urządzenie Gateway Enforcer przekazuje pakiety, aby umożliwić klientowi dostęp do sieci. Sposób działania urządzenia DHCP Enforcer Urządzenie DHCP Enforcer jest stosowane jako wewnętrzny most wymuszający przestrzeganie zasad zabezpieczeń w celu ochrony sieci wewnętrznej. Klienci próbujący uzyskać połączenie z siecią wysyłają żądanie DHCP przydzielenia dynamicznego adresu IP. Przełącznik lub router, który pełni rolę klienta przekaźnika DHCP, trasuje żądanie DHCP do urządzenia DHCP Enforcer. Urządzenie DHCP Enforcer jest instalowane przed serwerem DHCP. Urządzenie DHCP Enforcer sprawdza, czy klienci są zgodni z zasadami zabezpieczeń, zanim przekaże żądanie DHCP do serwera DHCP. Jeśli klient jest zgodny z zasadami zabezpieczeń, urządzenie DHCP Enforcer przesyła jego żądanie adresu IP do normalnego serwera DHCP. Jeśli klient nie jest zgodny z zasadami zabezpieczeń, moduł Enforcer łączy klienta z serwerem DHCP kwarantanny. Serwer kwarantanny przydziela klientowi konfigurację sieci kwarantanny. Na jednym komputerze można zainstalować jeden serwer DHCP i skonfigurować go w celu obsługi zarówno normalnej sieci, jak i sieci kwarantanny. W celu ukończenia konfiguracji rozwiązania z urządzeniem DHCP Enforcer administrator musi skonfigurować serwer naprawczy. Serwer naprawczy ogranicza dostęp klientów poddanych kwarantannie, aby mogli się oni komunikować tylko z serwerem naprawczym. Jeśli wymagana jest wysoka dostępność, można zainstalować dwa (lub więcej) urządzenia DHCP Enforcer w celu umożliwienia przełączania awaryjnego. Moduł DHCP Enforcer wymusza przestrzeganie zasad zabezpieczeń na klientach próbujących uzyskać dostęp do serwera DHCP. Moduł nie blokuje żądania DHCP, jeśli uwierzytelnienie klienta się nie powiedzie. Urządzenie DHCP Enforcer przekazuje żądanie DHCP do serwera DHCP kwarantanny w celu uzyskania tymczasowej konfiguracji sieci ograniczonej. Gdy klient wysyła żądanie DHCP, urządzenie DHCP Enforcer przekazuje je do serwera DHCP kwarantanny w celu uzyskania tymczasowego adresu IP o krótkim czasie dzierżawy. Urządzenie DHCP Enforcer może wówczas rozpocząć proces uwierzytelniania klienta.

37 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer 37 Urządzenie DHCP Enforcer uwierzytelnia klientów przy użyciu następujących metod: Gdy klient próbuje uzyskać dostęp do sieci firmowej, urządzenie Enforcer sprawdza najpierw, czy na komputerze klienckim uruchomione jest oprogramowanie klienckie Symantec Network Access Control. Jeżeli na kliencie jest uruchomione oprogramowanie klienckie Symantec Network Access Control, urządzenie Enforcer rozpoczyna proces uwierzytelnienia hosta. Oprogramowanie klienckie firmy Symantec uruchomione na komputerze klienckim sprawdza integralność hosta. Wyniki są przekazywane do urządzenia Enforcer wraz z informacjami identyfikacyjnymi i dotyczącymi stanu zasad zabezpieczeń klienta. Urządzenie DHCP Enforcer komunikuje się z serwerem Symantec Endpoint Protection Manager w celu sprawdzenia, czy klient jest uprawniony do dostępu i stosowane na nim zasady zabezpieczeń są aktualne. Urządzenie DHCP Enforcer sprawdza, czy klient przeszedł test integralności hosta, czyli jest zgodny z obowiązującymi zasadami zabezpieczeń. Jeżeli wszystkie wymagania są spełnione, urządzenie DHCP Enforcer wymusza zwolnienie przypisanego komputerowi klienckiemu adresu IP z sieci kwarantanny. Urządzenie DHCP Enforcer trasuje następnie żądanie DHCP klienta do normalnego serwera DHCP. Klient uzyskuje normalny adres IP i normalną konfigurację sieciową. Jeśli klient nie spełnia wymagań dotyczących zabezpieczeń, urządzenie DHCP Enforcer wymusza odnowienie żądania DHCP na serwerze DHCP kwarantanny. Klient uzyskuje konfigurację sieci kwarantanny, która musi zostać utworzona w celu umożliwienia uzyskania dostępu do serwera naprawczego. Urządzenie DHCP Enforcer można też skonfigurować do zezwalania na dostęp do normalnego serwera DHCP klientom z systemem operacyjnym innym niż system Windows. Sposób działania urządzenia LAN Enforcer Urządzenie LAN Enforcer działa jako serwer proxy usługi RADIUS (Remote Authentication Dial-In User Service). Urządzenia LAN Enforcer z serwerem RADIUS można używać do wykonywania następujących działań: Przeprowadzania tradycyjnego uwierzytelniania użytkownika z użyciem protokołu 802.1x/EAP.

38 38 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer Blokowany jest dostęp do sieci niebezpiecznym komputerom. Wszyscy użytkownicy próbujący połączyć się z siecią muszą najpierw zostać uwierzytelnieni na serwerze RADIUS. Sprawdzania, czy komputery klienckie są zgodne z zasadami zabezpieczeń skonfigurowanymi na serwerze zarządzania (uwierzytelnianie hosta). Można egzekwować zasady zabezpieczeń, na przykład wymagać, aby na komputerach zainstalowane były odpowiednie aplikacje antywirusowe, poprawki lub inne oprogramowanie. Można sprawdzić, czy na komputerze klienckim uruchomione jest oprogramowanie klienckie firmy Symantec, a komputer przeszedł test integralności hosta. W sieciach bez serwera RADIUS urządzenie LAN Enforcer może przeprowadzać tylko uwierzytelnianie hosta. Urządzenie LAN Enforcer komunikuje się z przełącznikiem lub bezprzewodowym punktem dostępu obsługującym uwierzytelnianie EAP/802.1x. W przełączniku lub bezprzewodowym punkcie dostępu często skonfigurowane są co najmniej dwie wirtualne sieci lokalne (VLAN). Oprogramowanie klienckie firmy Symantec uruchomione na komputerach klienckich przekazuje informacje EAP lub informacje dotyczące integralności hosta do przełącznika przy użyciu protokołu EAPOL (EAP over LAN). Przełącznik przekazuje te informacje do urządzenia LAN Enforcer w celu przeprowadzenia uwierzytelniania. Urządzenie LAN Enforcer można skonfigurować do podejmowania kilku możliwych działań w przypadku niepowodzenia uwierzytelniania. Podejmowane działania zależą od typu niepowodzenia uwierzytelniania: niepowodzenia uwierzytelniania hosta lub uwierzytelniania EAP użytkownika. W przypadku używania przełącznika lub bezprzewodowego punktu dostępu urządzenie LAN Enforcer można skonfigurować do przekierowywania uwierzytelnionego klienta do różnych sieci VLAN. Przełącznik lub bezprzewodowy punkt dostępu musi obsługiwać dynamiczne przełączanie sieci VLAN. Jedną z sieci VLAN może być naprawcza sieć VLAN. Jeżeli moduł LAN Enforcer jest używany z serwerem RADIUS, można skonfigurować wiele połączeń modułu Enforcer z serwerem RADIUS. W przypadku awarii jednego połączenia z serwerem RADIUS urządzenie LAN Enforcer może użyć innego połączenia. Ponadto do łączenia się z przełącznikiem można skonfigurować wiele urządzeń LAN Enforcer. Jeżeli jedno z urządzeń LAN Enforcer nie odpowiada, uwierzytelnianie może przeprowadzić inne urządzenie LAN Enforcer.

39 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer 39 Sposób działania modułu LAN Enforcer w konfiguracji podstawowej Znajomość uwierzytelniania 802.1x umożliwia użycie konfiguracji podstawowej do wyświetlenia szczegółowych informacji na temat klientów próbujących uzyskać dostęp do sieci. Informacje te mogą być przydatne podczas rozwiązywania problemów z połączeniami sieciowymi. W konfiguracji podstawowej moduł egzekwujący sieci LAN wykorzystujący uwierzytelnianie 802.1x działa w następujący sposób: Suplikant (na przykład komputer kliencki) próbuje uzyskać dostęp do sieci za pośrednictwem wystawcy uwierzytelnienia (np. przełącznika obsługującego standard 802.1x). Przełącznik widzi komputer i żąda identyfikacji. Suplikant protokołu 802.1x na komputerze klienckim monituje użytkownika o wprowadzenie nazwy użytkownika i hasła, a następnie wysyła odpowiedź z danymi identyfikacyjnymi. Przełącznik przekazuje te informacje do modułu LAN Enforcer, który z kolei przekazuje je do serwera RADIUS. Serwer RADIUS generuje zapytanie EAP, wybierając typ EAP na podstawie jego konfiguracji. Moduł LAN Enforcer odbiera zapytanie, dodaje zapytanie o integralność hosta i przekazuje je do przełącznika. Przełącznik przekazuje te zapytania do klienta. Klient odbiera zapytania i wysyła odpowiedź. Przełącznik odbiera odpowiedź i przekazuje ją do modułu LAN Enforcer. Moduł LAN Enforcer analizuje wynik sprawdzania integralności hosta i informacje o stanie klienta, po czym przekazuje te dane do serwera RADIUS. Serwer RADIUS przeprowadza uwierzytelnianie EAP i wysyła jego wynik do modułu LAN Enforcer. Moduł LAN Enforcer odbiera wynik uwierzytelniania i przekazuje go do przełącznika wraz z informacją o działaniu, które ma zostać podjęte. Przełącznik wybiera odpowiednie działanie i, w zależności od wyniku, zezwala na normalny dostęp do sieci, blokuje dostęp lub zezwala na dostęp do innej sieci VLAN. Sposób działania modułu LAN Enforcer w trybie przeźroczystym Moduł LAN Enforcer działa w trybie przeźroczystym w następujący sposób:

40 40 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer Suplikant (na przykład komputer kliencki) próbuje uzyskać dostęp do sieci za pośrednictwem wystawcy uwierzytelnienia (np. przełącznika obsługującego standard 802.1x). Wystawca uwierzytelnienia widzi komputer kliencki i wysyła pakiet uwierzytelniania EAP (dozwolony jest tylko ruch EAP). Klient działający jako suplikant protokołu EAP widzi pakiet uwierzytelniania i odpowiada sprawdzeniem integralności hosta. Przełącznik wysyła wyniki sprawdzania integralności hosta do urządzenia LAN Enforcer działającego jako serwer proxy RADIUS. Urządzenie LAN Enforcer wysyła do przełącznika odpowiedź zawierającą informacje o przypisaniu do sieci VLAN na podstawie wyników uwierzytelniania. Uwierzytelnianie 802.1x informacje Standard 802.1X-2001 organizacji IEEE dotyczy kontroli dostępu do bezprzewodowych i przewodowych sieci LAN. Standard ten określa ogólny sposób uwierzytelniania i kontrolowania ruchu użytkowników w chronionej sieci. Standard określa wykorzystanie protokołu EAP (Extensible Authentication Protocol) z użyciem centralnego serwera uwierzytelniania, takiego jak serwer RADIUS (Remote Authentication Dial-In User Service). Serwer ten uwierzytelnia każdego użytkownika próbującego uzyskać dostęp do sieci. Standard 802.1x obejmuje specyfikację protokołu EAPOL (EAP over LAN). Protokół EAPOL jest wykorzystywany do przesyłania komunikatów protokołu EAP w ramkach warstwy łącza (np. Ethernet) i obsługi funkcji kontroli. Architektura protokołu 802.1x obejmuje następujące kluczowe składniki: Wystawca uwierzytelnienia Serwer uwierzytelniania Suplikant Jednostka pośrednicząca w uwierzytelnianiu, np. przełącznik sieci LAN lub bezprzewodowy punkt dostępu z obsługą standardu 802.1x. Jednostka przeprowadzająca rzeczywiste uwierzytelnianie, sprawdzając poświadczenia zwracane w odpowiedzi na zapytanie na przykład serwer RADIUS. Jednostka podejmująca próbę uzyskania dostępu do sieci i uwierzytelnienia, na przykład komputer. Jeżeli suplikant jest podłączony do przełącznika sieciowego z obsługą standardu 802.1x pełniącego rolę wystawcy uwierzytelnienia, zachodzi następujący proces: Przełącznik wysyła żądanie identyfikacji EAP.

41 Urządzenie Enforcer wprowadzenie Obsługa rozwiązań egzekwujących innych producentów 41 Oprogramowanie suplikanta protokołu EAP wysyła odpowiedź przekazywaną przez przełącznik do serwera uwierzytelniania (na przykład serwera RADIUS). Serwer uwierzytelniania wysyła zapytanie EAP, które zostaje przekazane przez przełącznik do suplikanta. Użytkownik wprowadza poświadczenia uwierzytelniania (nazwę użytkownika i hasło, token itd.). Suplikant wysyła odpowiedź EAP na zapytanie serwera, zawierającą podane przed użytkownika poświadczenia, do przełącznika, który przekazuje ją do serwera uwierzytelniania. Serwer uwierzytelniania sprawdza poświadczenia i odpowiada wynikiem uwierzytelniania EAP lub uwierzytelniania użytkownika, wskazującym powodzenie lub niepowodzenie uwierzytelniania. Jeżeli uwierzytelnianie powiedzie się, przełącznik zezwala na normalny dostęp. W przeciwnym razie dostęp klienta zostaje zablokowany. W obu przypadkach suplikant jest powiadamiany o wyniku uwierzytelniania. Podczas procesu uwierzytelniania dozwolony jest tylko ruch EAP. Szczegółowe informacje na temat protokołu EAP można znaleźć w dokumentacji RFC 2284 organizacji IETF pod następującym adresem URL: Dodatkowe informacje na temat standardu 802.1x organizacji IEEE można znaleźć w tekście standardu pod następującym adresem URL: Obsługa rozwiązań egzekwujących innych producentów Firma Symantec zapewnia rozwiązania egzekwujące dla następujących produktów innych producentów: Uniwersalny interfejs API egzekwowania Firma Symantec opracowała uniwersalny interfejs API egzekwowania, aby umożliwić innym producentom oferującym tego typu technologię zintegrowanie ich rozwiązań z oprogramowaniem firmy Symantec. Cisco Network Admission Control (CNAC) Oprogramowanie klienckie firmy Symantec obsługuje rozwiązanie egzekwujące Cisco Network Admissions Control (CNAC).

42 42 Urządzenie Enforcer wprowadzenie Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Tabela 1-2 zawiera listę źródeł informacji o powiązanych zadaniach, których wykonanie może być konieczne przed lub po instalacji modułu Enforcer. Tabela 1-2 Dokument Dokumentacja modułów Symantec Enforcer Zawartość Podręcznik instalacji programów Symantec Endpoint Protection i Symantec Network Access Control Podręcznik administratora programów Symantec Endpoint Protection i Symantec Network Access Control Podręcznik klienta programów Symantec Endpoint Protection i Symantec Network Access Control Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer Pomoc online Pomoc online dla klientów On-Demand Przedstawia sposób instalacji programu Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection i klientów Symantec Network Access Control. Przedstawia również sposób konfigurowania wbudowanej bazy danych i bazy danych programu Microsoft SQL oraz konfigurowania replikacji. Przedstawia sposób konfigurowania programu Symantec Endpoint Protection Manager, klientów Symantec Endpoint Protection i klientów Symantec Network Access Control oraz administrowania nimi. Przedstawia również sposób konfiguracji zasad integralności hosta, które moduł Enforcer stosuje w celu implementacji zgodności na komputerach klienckich. Przedstawia sposób używania klientów Symantec Endpoint Protection i klientów Symantec Network Access Control. Przedstawia sposób instalowania wszystkich typów urządzeń Symantec Network Access Control i modułów Integrated Enforcer oraz administrowania nimi. Wyjaśnia również sposób używania klientów On-Demand na komputerach Macintosh i w systemie Linux. Przedstawia sposób używania programu Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection i klientów Symantec Network Access Control. Wyjaśnia również zastosowania poszczególnych modułów Integrated Enforcer. Wyjaśnia sposób używania klientów On-Demand dla komputerów Macintosh i systemu Linux.

43 Urządzenie Enforcer wprowadzenie Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer 43 Dokument Pomoc interfejsu wiersza polecenia modułu Enforcer Plik readme.txt Zawartość Pomoc ta jest dostępna po wpisaniu znaku? w wierszu polecenia w interfejsie wiersza polecenia (CLI). Zawiera najnowsze informacje o najważniejszych problemach związanych z modułami Enforcer, które mogą również wpływać na program Symantec Endpoint Protection Manager.

44 44 Urządzenie Enforcer wprowadzenie Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer

45 Rozdział 2 Planowanie instalacji urządzenia Enforcer Ten rozdział obejmuje następujące zagadnienia: Planowanie instalacji urządzeń Enforcer Planowanie instalacji urządzenia Gateway Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Planowanie instalacji urządzenia DHCP Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Planowanie instalacji urządzenia LAN Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer Planowanie instalacji urządzeń Enforcer Należy zaplanować miejsce integracji z siecią następujących modułów Symantec Network Access Control Enforcer opartych na systemie Linux: Symantec Network Access Control Gateway Enforcer Patrz Planowanie instalacji urządzenia Gateway Enforcer na stronie 46 Symantec Network Access Control DHCP Enforcer Patrz Planowanie instalacji urządzenia DHCP Enforcer na stronie 57 Symantec Network Access Control LAN Enforcer Patrz Planowanie instalacji urządzenia LAN Enforcer na stronie 67 Symantec Network Access Control Integrated DHCP Enforcer for Microsoft DHCP Servers

46 46 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Patrz Planowanie instalacji modułu Integrated Enforcer for Microsoft DHCP Servers informacje na stronie 333 Symantec Network Access Control Integrated DHCP Enforcer for Microsoft Network Access Protection Servers Patrz Planowanie instalacji modułu Symantec Integrated NAP Enforcer informacje na stronie 399 Symantec Network Access Control Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Patrz Planowanie instalacji modułu Integrated Lucent Enforcer informacje na stronie 351 Planowanie instalacji urządzenia Gateway Enforcer Wdrażanie urządzeń Gateway Enforcer w sieci może ułatwić kilka typów informacji planistycznych. Urządzenia Gateway Enforcer można rozmieścić, aby ułatwić ochronę następujących obszarów sieci: Ogólne rozmieszczenie Patrz Rozmieszczanie urządzeń Gateway Enforcer na stronie 46 Patrz Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer na stronie 49 Patrz Dwa urządzenia Gateway Enforcer połączone szeregowo na stronie 49 Patrz Ochrona dostępu przez sieć VPN za pomocą urządzenia Gateway Enforcer na stronie 50 Patrz Ochrona bezprzewodowych punktów dostępu za pomocą urządzenia Gateway Enforcer na stronie 50 Patrz Ochrona serwerów za pomocą urządzenia Gateway Enforcer na stronie 50 Patrz Ochrona serwerów i klientów z systemami innymi niż Windows za pomocą urządzenia Gateway Enforcer na stronie 51 Patrz Wymagania dotyczące umożliwiania dostępu klientom z systemami innymi niż Windows bez uwierzytelniania na stronie 52 Rozmieszczanie urządzeń Gateway Enforcer Moduły Gateway Enforcer można umieszczać w lokalizacjach, w których całość ruchu musi przejść przez moduł Gateway Enforcer, zanim klient będzie mógł:

47 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer 47 Połączyć się z siecią firmową. Dotrzeć do zabezpieczonych obszarów sieci. Patrz Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer na stronie 49 Urządzenia Gateway Enforcer można umieszczać w następujących lokalizacjach: sieć VPN Bezprzewodowy punkt dostępu (WAP) Serwery Między koncentratorami sieci VPN a siecią firmową Między bezprzewodowym punktem dostępu a siecią firmową Przed serwerami firmowymi Większe organizacje mogą wymagać urządzeń Gateway Enforcer do ochrony każdego z punktów wejścia do sieci. Moduły Gateway Enforcer są zazwyczaj umieszczane w odrębnych podsieciach. W większości przypadków urządzenia Gateway Enforcer można zintegrować z siecią firmową bez konieczności zmian konfiguracji sprzętowej. Urządzenia Gateway Enforcer można umieścić przy bezprzewodowym punkcie dostępu lub serwerze VPN. W sieci firmowej można również chronić serwery przechowujące poufne informacje. Urządzenia Gateway Enforcer muszą mieć dwie karty interfejsu sieciowego (karty NIC). Ilustracja 2-1 przedstawia przykłady miejsc, w których można umieścić urządzenia Gateway Enforcer w obrębie całej konfiguracji sieci.

48 48 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Ilustracja 2-1 Rozmieszczenie urządzeń Gateway Enforcer Klienci zdalni VPN Sieć bezprzewodowa Internet Na zewnątrz firmy Wewnątrz firmy Bezprzewodowi klienci wewnętrzni Zapora firmowa Klienci wewnętrzni Bezprzewodowy punkt dostępu Zewnętrzna karta NIC Wewnętrzna karta NIC Gateway Enforcer Zewnętrzna karta NIC Wewnętrzna karta NIC Serwer VPN Gateway Enforcer Zewnętrzna karta NIC Wewnętrzna karta NIC Sieć szkieletowa firmy Gateway Enforcer Zewnętrzna karta NIC Wewnętrzna karta NIC Gateway Enforcer Klienci wewnętrzni Chronione serwery Symantec Endpoint Protection Manager Inną lokalizacją, w której urządzenie Gateway Enforcer chroni sieć, jest serwer dostępu zdalnego (RAS). Klienci mogą uzyskiwać dostęp do sieci firmowej przy użyciu połączenia telefonicznego. Klienci usługi telefonicznego dostępu RAS są

49 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer 49 konfigurowani podobnie do klientów bezprzewodowych i klientów sieci VPN. Zewnętrzny port NIC łączy się z serwerem RAS, a wewnętrzny port NIC łączy się z siecią. Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer Podczas konfigurowania karty sieci wewnętrznej urządzenia Gateway Enforcer należy stosować się do następujących wytycznych: Wewnętrzna karta NIC urządzenia Gateway Enforcer musi mieć możliwość komunikacji z serwerem Symantec Endpoint Protection Manager. Domyślnie wewnętrzna karta NIC musi znajdować się po stronie serwera Symantec Endpoint Protection Manager. Możliwa musi być komunikacja klientów z wewnętrznym adresem IP urządzenia Gateway Enforcer. Serwer VPN lub bezprzewodowy punkt dostępu mogą znajdować się w innej podsieci pod warunkiem, że klienci są kierowani do tej samej podsieci, w której znajduje się wewnętrzny adres IP urządzenia Gateway Enforcer. W przypadku urządzenia Gateway Enforcer chroniącego serwery wewnętrzne wewnętrzna karta NIC łączy się z siecią VLAN, która z kolei łączy się z serwerami. W przypadku używania wielu urządzeń Gateway Enforcer w konfiguracji przełączania awaryjnego karta sieci wewnętrznej każdego urządzenia Gateway Enforcer musi mieć własny adres IP. Urządzenie Gateway Enforcer wygeneruje fikcyjny adres karty sieci zewnętrznej na podstawie adresu karty sieci wewnętrznej. Użytkownik nie musi konfigurować go znowu w razie zainstalowania innego urządzenia Gateway Enforcer. Dwa urządzenia Gateway Enforcer połączone szeregowo Jeżeli dwa urządzenia Gateway Enforcer używane są w sieci szeregowo w taki sposób, że klient łączy się z siecią za pośrednictwem więcej niż jednego urządzenia Gateway Enforcer, należy określić urządzenie Enforcer znajdujące się najbliżej serwera Symantec Endpoint Protection Manager jako zaufany wewnętrzny adres IP drugiego modułu Gateway Enforcer. W przeciwnym przypadku może nastąpić pięciominutowe opóźnienie, zanim klient uzyska połączenie z siecią. Opóźnienie może nastąpić, gdy nie powiedzie się sprawdzanie integralności hosta przez klienta. W ramach działań naprawczych integralności hosta klient pobiera wymagane aktualizacje oprogramowania. Następnie klient ponownie przeprowadza sprawdzanie integralności hosta. Sprawdzenie integralności hosta kończy się pomyślnie, ale dostęp do sieci jest opóźniony.

50 50 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Szczegółowe informacje dotyczące zaufanych wewnętrznych adresów IP zawiera Podręcznik administratora programów Symantec Endpoint Protection i Symantec Network Access Control. Ochrona dostępu przez sieć VPN za pomocą urządzenia Gateway Enforcer Ochrona dostępu przy użyciu sieci VPN to najważniejsza i najczęstsza przyczyna stosowania urządzenia Gateway Enforcer. Urządzenia Gateway Enforcer można umieścić w punktach dostępowych sieci VPN, aby zabezpieczyć dostęp do sieci firmowej. Urządzenie Gateway Enforcer jest umieszczane między serwerem VPN a siecią firmową. Umożliwia ono dostęp jedynie autoryzowanym użytkownikom i blokuje dostęp wszystkim innym użytkownikom. Ochrona bezprzewodowych punktów dostępu za pomocą urządzenia Gateway Enforcer Urządzenia Enforcer chronią sieć firmową w bezprzewodowych punktach dostępu (WAP). Urządzenie Gateway Enforcer gwarantuje, że użytkownicy łączący się z siecią firmową przy użyciu technologii bezprzewodowej mają uruchomione oprogramowanie klienckie i spełniają wymogi dotyczące zabezpieczeń. Po spełnieniu tych warunkówklient uzyskuje dostęp do sieci. Urządzenie Gateway Enforcer jest umieszczane między bezprzewodowym punktem dostępu a siecią firmową. Zewnętrzna karta NIC komunikuje się z bezprzewodowym punktem dostępu, a wewnętrzna karta NIC z siecią firmową. Ochrona serwerów za pomocą urządzenia Gateway Enforcer Urządzenia Gateway Enforcer można wykorzystać do ochrony serwerów firmowych przechowujących poufne dane w sieci firmowej. Organizacja może umieszczać ważne dane na serwerach znajdujących się w zamkniętej serwerowni. Tylko administratorzy systemu mogą mieć dostęp do zamkniętej serwerowni. Urządzenie Gateway Enforcer działa jak dodatkowy zamek w drzwiach. Zezwala na dostęp do chronionych serwerów tylko użytkownikom spełniającym określone kryteria. Serwery w takiej konfiguracji lokalizują wewnętrzną kartę NIC. Użytkownicy, którzy próbują uzyskać dostęp, muszą jednak przejść przez zewnętrzną kartę NIC. Aby zabezpieczyć te serwery, można ograniczyć dostęp jedynie do klientów z określonymi adresami IP i skonfigurować restrykcyjne reguły integralności hosta. Na przykład można skonfigurować urządzenie Gateway Enforcer, aby chroniło serwery w sieci. Urządzenie Gateway Enforcer można umieścić między klientami

51 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer 51 w firmowej sieci LAN a chronionymi serwerami. Zewnętrzna karta NIC komunikuje się z wewnętrzną firmową siecią LAN, a wewnętrzna karta NIC z chronionymi serwerami. Taka konfiguracja blokuje dostęp do serwerów nieuprawnionym użytkownikom lub klientom. Ochrona serwerów i klientów z systemami innymi niż Windows za pomocą urządzenia Gateway Enforcer Można zainstalować serwery i klientów z systemem operacyjnym innym niż Microsoft Windows. Urządzenie Gateway Enforcer nie może jednak uwierzytelniać serwerów ani klientów, które nie działają na komputerach bez systemu Microsoft Windows. Jeżeli w organizacji są używane serwery i klienci z systemami operacyjnymi, w których nie jest zainstalowane oprogramowanie klienckie, należy podjąć decyzję o zastosowaniu jednej z poniższych metod: Wdrożenie obsługi przy użyciu urządzenia Gateway Enforcer. Patrz Wdrażanie obsługi klientów z systemem innym niż system Windows za pomocą urządzenia Gateway Enforcer na stronie 51 Wdrożenie obsługi bez urządzenia Gateway Enforcer. Patrz Wdrażanie obsługi klientów z systemem innym niż system Windows bez urządzenia Gateway Enforcer na stronie 51 Wdrażanie obsługi klientów z systemem innym niż system Windows za pomocą urządzenia Gateway Enforcer Urządzenie Gateway Enforcer można skonfigurować do zezwalania na dostęp do sieci klientom z systemem innym niż system Windows. Skonfigurowane w taki sposób urządzenie Gateway Enforcer wykrywa system operacyjny komputera, aby zidentyfikować klientów z systemem operacyjnym innym niż system Windows. Wdrażanie obsługi klientów z systemem innym niż system Windows bez urządzenia Gateway Enforcer Obsługę klientów z systemem innym niż system Windows można wdrożyć, zezwalając takim klientom na dostęp do sieci za pośrednictwem oddzielnego punktu dostępu. Za pośrednictwem oddzielnego serwera VPN mogą się łączyć następujący klienci z systemem operacyjnym innym niż system Windows: Jeden serwer VPN może obsługiwać klientów z zainstalowanym oprogramowaniem klienckim. Klienci z systemem Windows mogą łączyć się z siecią firmową za pośrednictwem urządzenia Gateway Enforcer.

52 52 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Inny serwer VPN może obsługiwać klientów z systemami operacyjnymi innymi niż Windows. Komputery klienckie z systemem innym niż Windows mogą wówczas łączyć się z siecią firmową bez pośrednictwa urządzenia Gateway Enforcer. Wymagania dotyczące umożliwiania dostępu klientom z systemami innymi niż Windows bez uwierzytelniania Urządzenie Gateway Enforcer można skonfigurować tak, aby umożliwić dostęp do sieci bez uwierzytelniania klientom z systemem operacyjnym innym niż system Windows. Patrz Wymagania dotyczące klientów z system innym niż system Windows na stronie 53 Gdy komputer kliencki próbuje uzyskać dostęp do sieci firmowej przez urządzenie Gateway Enforcer, urządzenie Gateway Enforcer sprawdza najpierw, czy na komputerze klienckim uruchomione jest oprogramowanie klienckie. Jeśli nie jest ono uruchomione, a została włączona opcja umożliwiania dostępu klientom z systemem innym niż Windows, urządzenie Gateway Enforcer sprawdza system operacyjny klienta. System operacyjny jest sprawdzany poprzez wysłanie pakietu danych, które sondują komputer kliencki w celu wykrycia typu uruchomionego na nim systemu operacyjnego. Jeżeli na kliencie uruchomiony jest system operacyjny inny niż Windows, klient uzyskuje normalny dostęp do sieci. Wymagania dotyczące klientów z systemem Windows Jeśli urządzenie Gateway Enforcer zostało skonfigurowane, aby zezwalać na łączenie się z siecią klientom z systemem innym niż system Windows, próbuje najpierw wykryć system operacyjny klienta. W przypadku wykrycia systemu operacyjnego Windows urządzenie Gateway Enforcer uwierzytelnia klienta. W przeciwnym razie urządzenie Gateway Enforcer zezwala klientowi na połączenie z siecią bez uwierzytelniania. Aby urządzenie Gateway Enforcer prawidłowo wykrywało system operacyjny Windows, na kliencie z takim systemem spełnione muszą być następujące wymagania: Na kliencie zainstalowany i włączony musi być składnik Klient sieci Microsoft Networks. Szczegółowe informacje można znaleźć w dokumentacji systemu Windows. Na kliencie otwarty musi być port UDP 137. Port ten musi być dostępny dla modułu Gateway Enforcer.

53 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer 53 Jeżeli klient z systemem Windows nie spełnia tych wymagań, urządzenie Gateway Enforcer może traktować klienta z systemem Windows jako klienta z innym systemem. Dzięki temu urządzenie Gateway Enforcer może zezwolić klientowi z systemem innym niż Windows na połączenie z siecią bez uwierzytelniania. Wymagania dotyczące klientów z system innym niż system Windows Aby urządzenie Gateway Enforcer zezwoliło klientowi z systemem Macintosh na dostęp do sieci, musi on spełnić następujące wymagania: Usługa Windows Sharing musi być włączona. Opcja jest domyślnie włączona. Wbudowana zapora systemu Macintosh musi być wyłączona. Jest to ustawienie domyślne. Aby moduł Gateway Enforcer zezwolił na dostęp klientowi z systemem Linux, musi on spełniać następujące wymagania: W systemie Linux uruchomiona musi być usługa Samba. Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Przedsiębiorstwo może stosować dwa urządzenia Gateway Enforcer skonfigurowane do kontynuowania działania w razie awarii jednego z urządzeń Gateway Enforcer. Jeśli urządzenie Gateway Enforcer ulegnie awarii w sieci nie skonfigurowanej do przełączania awaryjnego, dostęp sieciowy w danej lokalizacji jest automatycznie blokowany. Jeśli urządzenie Gateway Enforcer ulegnie awarii w sieci bez przełączania awaryjnego, klienci nie będą mogli połączyć się z siecią. Klienci nie będą mogli łączyć się z siecią aż do chwili rozwiązania problemu z urządzeniem Gateway Enforcer. W przypadku urządzenia Gateway Enforcer przełączanie awaryjne jest obsługiwane przez urządzenia Gateway Enforcer, a nie przełączniki innych firm. Jeśli konfiguracja jest prawidłowa, program Symantec Endpoint Protection Manager automatycznie synchronizuje ustawienia przełączanych awaryjnie urządzeń Gateway Enforcer. Sposób działania przełączania awaryjnego urządzeń Gateway Enforcer w sieci Działające urządzenie Gateway Enforcer jest zwane aktywnym urządzeniem Gateway Enforcer. Rezerwowe urządzenie Gateway Enforcer jest zwane

54 54 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer oczekującym urządzeniem Gateway Enforcer. Aktywne urządzenie Gateway Enforcer jest zwane również podstawowym urządzeniem Gateway Enforcer. W razie awarii aktywnego urządzenia Gateway Enforcer zadania egzekwowania podejmuje oczekujące urządzenie Gateway Enforcer. Sekwencja uruchamiania dwóch urządzeń Gateway Enforcer jest następująca: Po uruchomieniu pierwszego urządzenia Gateway Enforcer działa ono w trybie oczekiwania. W trybie oczekiwania wysyła w sieci zapytania, aby sprawdzić, czy jest uruchomione inne urządzenie DHCP Enforcer. W poszukiwaniu drugiego modułu Gateway Enforcer wysyła trzy zapytania. W związku z tym zmiana stanu na Online może zająć kilka minut. Jeśli pierwsze urządzenie Gateway Enforcer nie wykrywa drugiego urządzenia Gateway Enforcer, pierwsze urządzenie Gateway Enforcer staje się aktywnym urządzeniem Gateway Enforcer. Podczas uruchamiania aktywne urządzenie Gateway Enforcer wysyła emisję pakietów przełączania awaryjnego zarówno w sieci wewnętrznej, jak i zewnętrznej. Emisja pakietów przełączania awaryjnego jest kontynuowana. Po uruchomieniu drugiego urządzenia Gateway Enforcer działa ono w trybie oczekiwania. Wysyła ono w sieci zapytania, aby sprawdzić, czy jest uruchomione inne urządzenie DHCP Enforcer. Drugie urządzenie Gateway Enforcer wykrywa następnie aktywne urządzenie Gateway Enforcer, które działa, w związku z czym nadal działa w trybie oczekiwania. Gdy aktywne urządzenie Gateway Enforcer ulegnie awarii, przestaje emitować pakiety przełączania awaryjnego. Urządzenie Gateway Enforcer w trybie oczekiwania przestaje wykrywać aktywne urządzenie Gateway Enforcer. Staje się więc aktywnym urządzeniem Gateway Enforcer, które obsługuje połączenia i zabezpieczenia sieciowe w danej lokalizacji. Po uruchomieniu pierwszego urządzenia Gateway Enforcer pozostaje ono oczekującym urządzeniem Gateway Enforcer, ponieważ wykrywa inne, aktywne urządzenie Gateway Enforcer. Rozmieszczanie urządzeń Gateway Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN Urządzenie Gateway Enforcer jest konfigurowane do przełączania awaryjnego za pomocą umiejscowienia fizycznego i poprzez skonfigurowanie w programie Symantec Endpoint Protection Manager. W razie stosowania koncentratora obsługującego wiele sieci VLAN można używać tylko jednej sieci VLAN, chyba że zamiast koncentratora zostanie zastosowany przełącznik zgodny ze standardem 802.1q.

55 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer 55 Urządzenia Gateway Enforcer należy w celu przełączania awaryjnego skonfigurować w tym samym segmencie sieci. Między dwoma urządzeniami Gateway Enforcer nie można instalować routera ani bramy. Routery i bramy nie przekazują pakietów przełączania awaryjnego. Karty NIC sieci wewnętrznej obu urządzeń muszą łączyć się z siecią wewnętrzną przez ten sam przełącznik lub koncentrator. Karty NIC sieci zewnętrznej obu urządzeń muszą łączyć się z zewnętrznym serwerem sieci VPN lub punkt dostępu przez ten sam przełącznik lub koncentrator. Podobne procesy są stosowane podczas konfigurowania urządzeń Gateway Enforcer do przełączania awaryjnego w przypadku bezprzewodowego punktu dostępu, serwera RAS dostępu telefonicznego lub innych punktów dostępu. Karty NIC sieci zewnętrznej obu urządzeń Gateway Enforcer łączą się z siecią zewnętrzną przez bezprzewodowy punkt dostępu lub serwer RAS. Karta NIC sieci wewnętrznej łączy się z siecią wewnętrzną lub chronionym obszarem. Ilustracja 2-2 przedstawia sposób konfiguracji dwóch urządzeń Gateway Enforcer do przełączania awaryjnego w celu ochrony dostępu do sieci na koncentratorze sieci VPN.

56 56 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Ilustracja 2-2 Rozmieszczenie dwóch urządzeń Gateway Enforcer Klienci zdalni VPN Internet Na zewnątrz firmy Wewnątrz firmy Zapora firmowa Klienci wewnętrzni Serwer VPN Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Moduł Gateway Enforcer 1 Koncentrator/VLAN Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Moduł Gateway Enforcer 2 Koncentrator/VLAN Sieć szkieletowa firmy Klienci wewnętrzni Chronione serwery Symantec Endpoint Protection Manager

57 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer 57 Konfigurowanie urządzeń Gateway Enforcer do przełączania awaryjnego Przed skonfigurowaniem oczekujących modułów Enforcer należy zapoznać się z koncepcją przełączania awaryjnego urządzeń Gateway Enforcer. Patrz Sposób działania przełączania awaryjnego urządzeń Gateway Enforcer w sieci na stronie 53 Aby skonfigurować urządzenia Gateway Enforcer do przełączania awaryjnego: 1 Rozmieść komputery w sieci. Patrz Rozmieszczanie urządzeń Gateway Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN na stronie 54 2 Skonfiguruj karty NIC sieci wewnętrznej. Karty NIC sieci wewnętrznej wielu urządzeń Gateway Enforcer muszą mieć różne adresy IP. Patrz Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer na stronie 49 Planowanie instalacji urządzenia DHCP Enforcer Wdrażanie urządzeń DHCP Enforcer w sieci może ułatwić kilka typów informacji planistycznych. Urządzenia DHCP Enforcer można rozmieścić, aby ułatwić ochronę następujących obszarów sieci: Patrz Rozmieszczanie urządzeń DHCP Enforcer w sieci na stronie 57 Patrz Adresy IP urządzenia DHCP Enforcer na stronie 59 Patrz Ochrona klientów z systemem innym niż system Windows z egzekwowaniem DHCP na stronie 60 Patrz Serwer DHCP informacje na stronie 61 Rozmieszczanie urządzeń DHCP Enforcer w sieci Aby zapewnić przechwytywanie przez urządzenie DHCP Enforcer wszystkich komunikatów DHCP przesyłanych między klientami DHCP i serwerami DHCP, należy je zainstalować między klientami i serwerem DHCP. Karta sieci wewnętrznej urządzenia DHCP Enforcer łączy je z serwerami DHCP. Karta sieci zewnętrznej urządzenia DHCP Enforcer łączy je z klientami za pośrednictwem routera lub przełącznika, który działa jako agent przekaźnik DHCP.

58 58 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer Program Symantec Endpoint Protection Manager także łączy się z kartą sieci zewnętrznej urządzenia DHCP Enforcer. Pojedyncze urządzenie DHCP Enforcer można skonfigurować do komunikowania się z wieloma serwerami DHCP. Można na przykład zainstalować wiele serwerów DHCP w tej samej podsieci do celów przełączania awaryjnego. Jeżeli serwery DHCP znajdują się w różnych lokalizacjach w sieci, każdy z nich wymaga oddzielnego urządzenia DHCP Enforcer. Dla każdej lokalizacji serwera DHCP należy skonfigurować normalny serwer DHCP i serwer DHCP kwarantanny. Moduł Enforcer można skonfigurować do rozpoznawania wielu serwerów DHCP kwarantanny i wielu normalnych serwerów DHCP. Uwaga: Serwer DHCP można zainstalować na jednym komputerze i skonfigurować go w celu obsługi zarówno normalnej sieci, jak i sieci kwarantanny. Należy też skonfigurować serwer naprawczy, aby mogli się z nim łączyć klienci przełączeni do sieci kwarantanny. Opcjonalnie program Symantec Endpoint Protection Manager może być zainstalowany na tym samym komputerze, co serwer naprawczy. Program Symantec Endpoint Protection Manager ani serwer naprawczy nie wymagają bezpośredniego połączenia z urządzeniem DHCP Enforcer lub serwerami DHCP. Jeżeli klient spełnia wymagania dotyczące bezpieczeństwa, urządzenie DHCP Enforcer działa jako agent przekaźnik DHCP. Urządzenie DHCP Enforcer łączy klienta z normalnym serwerem DHCP, z którego klient uzyskuje konfigurację normalnej sieci. Jeśli klient nie spełnia wymagań zabezpieczeń, urządzenie DHCP Enforcer łączy go z serwerem DHCP kwarantanny. Następnie klient uzyskuje konfigurację sieci kwarantanny. Ilustracja 2-3 przedstawia przykład różnych składników wymaganych dla urządzenia DHCP Enforcer i ich rozmieszczenia. Uwaga: Mimo że na rysunku serwer DHCP kwarantanny jest przedstawiony jako oddzielny komputer, wymagany jest tylko jeden komputer. W przypadku używania tylko jednego komputera serwer DHCP należy skonfigurować do przydzielania dwóch różnych konfiguracji sieciowych. Jedną z nich musi być konfiguracja sieci kwarantanny.

59 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer 59 Ilustracja 2-3 Umieszczenie urządzenia DHCP Enforcer Symantec Endpoint Protection Manager Klienci Agent-przekaźnik Sieć szkieletowa firmy Serwery Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Urządzenie DHCP Enforcer Przełącznik/ koncentrator Przełącznik/ koncentrator Serwer DHCP Adresy IP urządzenia DHCP Enforcer Konfigurując adres IP urządzenia DHCP Enforcer, należy przestrzegać określonych zasad. Podczas konfigurowania karty sieci wewnętrznej urządzenia DHCP Enforcer należy stosować się do następujących wytycznych: Wewnętrzny adres IP urządzenia DHCP Enforcer musi należeć do tej samej podsieci, co serwery DHCP.

60 60 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer Możliwa musi być komunikacja klientów z wewnętrznym adresem IP urządzenia DHCP Enforcer. W przypadku używania wielu urządzeń DHCP Enforcer w konfiguracji przełączania awaryjnego adres IP karty sieci wewnętrznej każdego urządzenia DHCP Enforcer musi być inny. Przy takiej konfiguracji możliwa musi być komunikacja klientów z wewnętrznymi adresami IP zarówno aktywnych urządzeń DHCP Enforcer, jak i urządzeń DHCP Enforcer działających w trybie gotowości. Podczas konfigurowania karty sieci zewnętrznej urządzenia DHCP Enforcer należy stosować się do następujących wytycznych: Możliwa musi być komunikacja między zewnętrznym adresem IP urządzenia DHCP Enforcer i programem Symantec Endpoint Protection Manager. Adres IP musi należeć do tej samej podsieci, co zakres IP karty sieci wewnętrznej. W takim przypadku program Symantec Endpoint Protection Manager znajduje się po jednej stronie przełącznika, a urządzenie DHCP Enforcer po drugiej. W przypadku używania wielu urządzeń DHCP Enforcer w konfiguracji przełączania awaryjnego adres IP karty sieci zewnętrznej każdego urządzenia DHCP Enforcer musi być inny. Ochrona klientów z systemem innym niż system Windows z egzekwowaniem DHCP Oprogramowanie Symantec Endpoint Protection lub Symantec Network Access Control można instalować na klientach z systemem operacyjnym Microsoft Windows. Urządzenie DHCP Enforcer nie może uwierzytelniać klientów, na których nie zainstalowano oprogramowania Symantec Endpoint Protection. Jeżeli w sieci firmowej znajdują się klienci z systemami operacyjnymi, w których wymagane oprogramowanie nie jest obsługiwane, takimi jak systemy Linux lub Solaris, należy zaplanować sposób obsługi tych klientów. Jedną z możliwości jest skonfigurowanie urządzenia DHCP Enforcer do zezwalania na dostęp do sieci wszystkim klientom z systemem innym niż system Windows. Skonfigurowane w taki sposób urządzenie DHCP Enforcer wykrywa system operacyjny komputera, aby zidentyfikować klientów z systemem operacyjnym innym niż system Windows. Inną metodą jest skonfigurowanie modułu DHCP Enforcer do zezwalania na dostęp do sieci firmowej komputerom o określonych adresach MAC. Gdy klient z zaufanym adresem MAC próbuje połączyć się z siecią, urządzenie DHCP Enforcer przekierowuje jego żądanie DHCP do normalnego serwera DHCP bez uwierzytelnienia.

61 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer 61 Serwer DHCP informacje Można skonfigurować oddzielny serwer DHCP kwarantanny na oddzielnym komputerze. Można też skonfigurować ten sam serwer DHCP do obsługi zarówno normalnej sieci, jak i sieci kwarantanny. Konfiguracja sieci kwarantanny musi zapewniać dostęp do następujących składników: Serwer naprawczy Symantec Endpoint Protection Manager Serwer DHCP Urządzenie DHCP Enforcer W przypadku używania wielu urządzeń DHCP Enforcer w celu przełączania awaryjnego konfiguracja sieci kwarantanny musi zapewniać dostęp do tych składników. Adres IP sieci kwarantanny jest używany podczas uwierzytelniania przez moduł DHCP Enforcer w następujący sposób: Na początku urządzenie DHCP Enforcer przydziela klientowi tymczasowy adres IP sieci kwarantanny, aby przeprowadzić proces uwierzytelniania. W przypadku pomyślnego uwierzytelnienia urządzenie DHCP Enforcer wysyła do klienta monit o natychmiastowe zwolnienie i odnowienie adresu IP. W przypadku konfiguracji sieci kwarantanny można ustawić krótki czas dzierżawy. Firma Symantec zaleca ustawienie czasu dwóch minut. W przypadku używania dwóch serwerów DHCP należy określić zakres adresów IP oddzielny od zakresu adresów IP normalnej sieci. Umożliwi to przypisywanie klientom poddanym kwarantannie lub nieautoryzowanym dowolnych adresów IP z oddzielnego zakresu adresów IP. Adresy z zakresu adresów IP sieci kwarantanny muszą być jednak zlokalizowane w tej samej podsieci, co adresy IP normalnej sieci. Można określić adresy IP z ograniczeniami, których może używać serwer DHCP kwarantanny. Można też użyć routera lub przełącznika obsługującego listę kontroli dostępu (ACL), aby zablokować dostęp z tych adresów IP do zasobów normalnej sieci. Jeżeli wykorzystywany jest jeden serwer DHCP, należy skonfigurować klasę użytkownika SYGATE_ENF używaną w przypadku konfiguracji sieci kwarantanny. Niektóre czynności konfiguracyjne są wykonywane na serwerze DHCP. Inne zadania należy wykonać w konsoli modułu Enforcer po ukończeniu instalacji.

62 62 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Serwer DHCP dla normalnej sieci i sieci kwarantanny na jednym serwerze DHCP Można używać tego samego serwera DHCP zarówno do obsługi sieci normalnej, jak i sieci kwarantanny. Zalecane jest używanie dwóch serwerów. Aby używać jednego serwera DHCP zarówno jako normalnego serwera, jak i serwera DHCP kwarantanny, należy zapoznać się z następującymi wytycznymi: Serwery DHCP firmy Microsoft nie obsługują wielu podsieci. W przypadku używania serwerów DHCP firmy Microsoft konieczne może być skonfigurowanie dwóch serwerów DHCP. Jeżeli używany ma być tylko jeden serwer DHCP firmy Microsoft, wszystkie komputery muszą używać adresów IP z tej samej podsieci. W przypadku środowiska z dwiema różnymi podsieciami należy się upewnić, że używane routery obsługują dwie podsieci. Na przykład routery firmy Cisco mają funkcję konfigurowania dodatkowych adresów IP. Więcej informacji można znaleźć w dokumentacji routera. Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Przedsiębiorstwo może stosować dwa urządzenia DHCP Enforcer skonfigurowane do kontynuowania działania w razie awarii jednego z urządzeń DHCP Enforcer. Jeśli urządzenie DHCP Enforcer ulegnie awarii w sieci nie skonfigurowanej do przełączania awaryjnego, dostęp sieciowy w danej lokalizacji jest automatycznie blokowany. Jeśli urządzenie DHCP Enforcer ulegnie awarii w sieci bez przełączania awaryjnego, użytkownicy nie będą mogli połączyć się z siecią. Problem będzie trwał do chwili rozwiązania problemu z urządzeniem DHCP Enforcer. W przypadku urządzenia DHCP Enforcer przełączanie awaryjne jest obsługiwane przez urządzenia DHCP Enforcer, a nie przełączniki innych firm. Jeśli sprzęt jest skonfigurowany prawidłowo, program Symantec Endpoint Protection Manager automatycznie synchronizuje ustawienia przełączanych awaryjnie urządzeń DHCP Enforcer. Sposób działania przełączania awaryjnego urządzeń DHCP Enforcer w sieci Działające urządzenie DHCP Enforcer jest zwane aktywnym urządzeniem DHCP Enforcer. Rezerwowe urządzenie DHCP Enforcer jest zwane oczekującym urządzeniem DHCP Enforcer. Aktywne urządzenie DHCP Enforcer jest zwane również podstawowym urządzeniem DHCP Enforcer. W razie awarii aktywnego

63 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer 63 urządzenia DHCP Enforcer zadania egzekwowania podejmuje oczekujące urządzenie DHCP Enforcer. Sekwencja uruchamiania dwóch urządzeń DHCP Enforcer jest następująca: Po uruchomieniu pierwsze urządzenie DHCP Enforcer działa trybie oczekiwania, jednocześnie sprawdzając w sieci, czy uruchomione jest drugie urządzenie DHCP Enforcer. W poszukiwaniu drugiego modułu DHCP Enforcer wysyła trzy zapytania. W związku z tym zmiana stanu na Online może zająć kilka minut. Jeśli niw wykrywa innego urządzenia DHCP Enforcer, staje się aktywnym urządzeniem DHCP Enforcer. Podczas uruchamiania aktywne urządzenie DHCP Enforcer wysyła emisję pakietów przełączania awaryjnego zarówno w sieci wewnętrznej, jak i zewnętrznej. Emisja pakietów przełączania awaryjnego jest kontynuowana. Następnie uruchamiane jest drugie urządzenie DHCP Enforcer. Działa ono trybie oczekiwania, jednocześnie sprawdzając w sieci, czy działa inne urządzenie DHCP Enforcer. Drugie urządzenie DHCP Enforcer wykrywa aktywne urządzenie DHCP Enforcer, które działa, w związku z czym pozostaje w trybie oczekiwania. Gdy aktywne urządzenie DHCP Enforcer ulegnie awarii, przestaje emitować pakiety przełączania awaryjnego. Urządzenie DHCP Enforcer w trybie oczekiwania przestaje wykrywać aktywne urządzenie DHCP Enforcer. Staje się więc aktywnym urządzeniem DHCP Enforcer, które obsługuje połączenia i zabezpieczenia sieciowe w danej lokalizacji. Po uruchomieniu pierwszego urządzenia DHCP Enforcer pozostaje ono oczekującym urządzeniem DHCP Enforcer, ponieważ wykrywa inne, aktywne urządzenie DHCP Enforcer. Rozmieszczanie urządzeń DHCP Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN Urządzenie DHCP Enforcer jest konfigurowane do przełączania awaryjnego za pomocą umiejscowienia fizycznego i poprzez skonfigurowanie w programie Symantec Endpoint Protection Manager. W razie stosowania koncentratora obsługującego wiele sieci VLAN można używać tylko jednej sieci VLAN, chyba że zamiast koncentratora zostanie zastosowany przełącznik zgodny ze standardem 802.1q. Urządzenia DHCP Enforcer należy w celu przełączania awaryjnego skonfigurować w tym samym segmencie sieci. Między dwoma urządzeniami DHCP Enforcer nie można instalować routera ani bramy. Routery i bramy nie przekazują pakietów

64 64 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer przełączania awaryjnego. Karty NIC sieci wewnętrznej obu urządzeń muszą łączyć się z siecią wewnętrzną przez ten sam przełącznik lub koncentrator. Karty NIC sieci zewnętrznej obu urządzeń muszą łączyć się z zewnętrznym serwerem sieci VPN lub punkt dostępu przez ten sam przełącznik lub koncentrator. W podobny sposób urządzenia DHCP Enforcer są konfigurowane do przełączania awaryjnego w przypadku bezprzewodowego punktu dostępu, serwera RAS dostępu telefonicznego lub innych punktów dostępu. Karty NIC sieci zewnętrznej obu urządzeń DHCP Enforcer łączą się z siecią zewnętrzną przez bezprzewodowy punkt dostępu lub serwer RAS. Karta NIC sieci wewnętrznej łączy się z siecią wewnętrzną lub chronionym obszarem. Ilustracja 2-4 przedstawia sposób konfiguracji dwóch urządzeń DHCP Enforcer do przełączania awaryjnego w celu ochrony dostępu do sieci na koncentratorze sieci VPN.

65 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer 65 Ilustracja 2-4 Rozmieszczenie dwóch urządzeń DHCP Enforcer Klienci Symantec Endpoint Protection Manager Agent-przekaźnik Sieć szkieletowa firmy Serwery Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Urządzenie DHCP Enforcer Przełącznik/ koncentrator Przełącznik/ koncentrator Zapasowe urządzenie DHCP Enforcer Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Serwer DHCP Konfigurowanie urządzeń DHCP Enforcer do przełączania awaryjnego Przed skonfigurowaniem oczekujących modułów DHCP Enforcer należy zapoznać się z koncepcją przełączania awaryjnego urządzeń DHCP Enforcer. Patrz Sposób działania przełączania awaryjnego urządzeń DHCP Enforcer w sieci na stronie 62

66 66 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Aby skonfigurować urządzenia DHCP Enforcer do przełączania awaryjnego: 1 Rozmieść komputery w sieci. Patrz Rozmieszczanie urządzeń DHCP Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN na stronie 63 2 Skonfiguruj karty NIC sieci zewnętrznej i wewnętrznej. Karty NIC sieci zewnętrznej wielu urządzeń DHCP Enforcer muszą mieć różne adresy IP. Karty NIC sieci wewnętrznej wielu urządzeń DHCP Enforcer muszą mieć różne adresy IP. Patrz Adresy IP urządzenia DHCP Enforcer na stronie 59 3 Zainstaluj i uruchom podstawowe urządzenie DHCP Enforcer. Jeśli podstawowe urządzenie DHCP Enforcer nie znajdzie innego modułu DHCP Enforcer, przyjmie rolę aktywnego urządzenia DHCP Enforcer. 4 Zainstaluj i uruchom oczekujące urządzenie DHCP Enforcer. 5 Połącz oczekujące urządzenie DHCP Enforcer z tym samym serwerem Symantec Endpoint Protection Manager, z którym połączone jest aktywne urządzenie DHCP Enforcer. W razie jednoczesnego uruchomienia urządzeń DHCP Enforcer podstawowym urządzeniem DHCP Enforcer stanie się urządzenie o niższym adresie IP. Przełączanie awaryjne jest domyślnie włączone w programie Symantec Endpoint Protection Manager. Serwer Symantec Endpoint Protection Manager automatycznie przypisuje oczekujące urządzenie DHCP Enforcer do tej samej grupy modułów Enforcer. Dzięki temu ustawienia podstawowego i oczekującego urządzenia DHCP Enforcer są zsynchronizowane. Domyślnie włączone są następujące ustawienia przełączania awaryjnego: Port UDP przełączania awaryjnego ma domyślnie numer Urządzenia DHCP Enforcer skonfigurowane do przełączania awaryjnego komunikują się ze sobą na tym porcie. Domyślny poziom czułości przełączania awaryjnego to poziom High (mniej niż pięć sekund). Poziom czułości przełączania awaryjnego określa, jak szybko oczekujące urządzenie DHCP Enforcer staje się podstawowym urządzeniem DHCP Enforcer. Przełączenie awaryjne następuje tylko wówczas, gdy oczekujące urządzenie DHCP Enforcer wykryje, że podstawowe urządzenie DHCP Enforcer nie jest już aktywne.

67 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia LAN Enforcer 67 Planowanie instalacji urządzenia LAN Enforcer Wdrażanie urządzeń LAN Enforcer w sieci może ułatwić kilka typów informacji planistycznych. Patrz Rozmieszczanie urządzeń LAN Enforcer na stronie 67 Rozmieszczanie urządzeń LAN Enforcer Urządzenie LAN Enforcer działa jako serwer proxy usługi RADIUS. Administratorzy zazwyczaj używają urządzenia LAN Enforcer współpracującego z serwerem RADIUS w celu wymuszania uwierzytelniania EAP 802.1x w sieci firmowej. Jeśli urządzenie LAN Enforcer jest skonfigurowane w taki sposób, musi być zdolne do komunikowania się z serwerem RADIUS. Na przykład urządzenie LAN Enforcer można podłączyć do przełącznika sieci LAN zgodnego ze standardem 802.1x w wewnętrznej sieci VLAN z programem Symantec Endpoint Protection Manager, serwerem RADIUS i klientami. Komputer bez oprogramowania klienckiego nie może połączyć się z siecią. Komputer ten zostaje przekierowany do serwera naprawczego, z którego można pobrać oprogramowanie wymagane w celu zapewnienia zgodności z obowiązującymi zasadami zabezpieczeń. Ilustracja 2-5 przedstawia przykład miejsca w sieci wewnętrznej, w którym można umieścić urządzenie LAN Enforcer.

68 68 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia LAN Enforcer Ilustracja 2-5 Rozmieszczenie urządzeń LAN Enforcer Klienci Naprawcza sieć VLAN Przełącznik sieci LAN zgodny z standardem 802.1x i portami dot1x dla klientów wewnętrznych Remediation server Serwer RADIUS Urządzenie LAN Enforcer (serwer proxy usługi RADIUS) Sieć szkieletowa firmy Chronione serwery Symantec Endpoint Protection Manager Jeśli używany przełącznik zgodny ze standardem 802.1x obsługuje dynamiczne przełączanie sieci VLAN, można na nim skonfigurować dodatkowe sieci VLAN i uzyskiwać do nich dostęp za pośrednictwem urządzenia LAN Enforcer. Przełącznik zgodny ze standardem 802.1x może dynamicznie umieścić klienta w sieci VLAN po otrzymaniu odpowiedzi z serwera RADIUS. Niektóre przełączniki mają funkcję domyślnej sieci VLAN lub sieci VLAN gościa. Jeżeli na komputerze klienckim nie

69 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia LAN Enforcer 69 ma suplikanta protokołu 802.1x, przełącznik zgodny ze standardem 802.1x może go umieścić w domyślnej sieci VLAN. Urządzenie LAN Enforcer można zainstalować w celu umożliwienia przeprowadzania w sieci uwierzytelniania EAP przy użyciu już wdrożonego sprzętu. Urządzenia LAN Enforcer mogą współpracować z istniejącymi serwerami RADIUS, suplikantami protokołu 802.1x i przełącznikami zgodnymi ze standardem 802.1x. Wykonują one uwierzytelnianie na poziomie komputera. W ten sposób zapewniana jest zgodność klienta z zasadami zabezpieczeń. Na przykład moduł LAN Enforcer sprawdza, czy na komputerze klienckim oprogramowanie antywirusowe zostało zaktualizowane przy użyciu najnowszych aktualizacji plików sygnatur oraz wymaganych poprawek. Suplikant protokołu 802.1x i serwer RADIUS przeprowadzają uwierzytelnianie na poziomie użytkownika. Klienci, którzy próbują połączyć się z siecią, są uwierzytelniani w celu zweryfikowania ich tożsamości. Urządzenie LAN Enforcer może też pracować w trybie przeźroczystym nie ma wówczas potrzeby używania serwera RADIUS. W trybie przeźroczystym w odpowiedzi na wezwanie EAP klient przekazuje informacje o integralności hosta do przełącznika zgodnego ze standardem 802.1x. Przełącznik przekazuje te informacje do modułu LAN Enforcer. Następnie urządzenie LAN Enforcer odsyła wyniki uwierzytelniania do przełącznika zgodnego ze standardem 802.1x. Informacje wysyłane przez urządzenie LAN Enforcer zależą od wyniku sprawdzania integralności hosta. Dlatego urządzenie LAN Enforcer nie musi komunikować się z serwerem RADIUS. Urządzenia LAN Enforcer można używać w następujących konfiguracjach: Konfiguracja podstawowa W tej konfiguracji wymagana jest obecność serwera RADIUS i suplikantów protokołu 802.1x innych firm. Przeprowadzane jest zarówno tradycyjne uwierzytelnianie użytkownika przy użyciu protokołu EAP, jak i sprawdzanie integralności hosta. Tryb przeźroczysty W tej konfiguracji nie jest wymagany serwer RADIUS ani suplikanci protokołu 802.1x innych firm. Sprawdzana jest tylko integralność hosta. Warto wziąć pod uwagę następujące kwestie: Czy planowane jest zainstalowanie suplikanta protokołu 802.1x na każdym komputerze? Jeżeli suplikant protokołu 802.1x będzie zainstalowany na każdym komputerze, można użyć konfiguracji podstawowej. Czy oprócz sprawdzenia integralności hosta ma być przeprowadzane uwierzytelnianie na poziomie użytkownika?

70 70 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer Aby oprócz sprawdzania integralności hosta móc przeprowadzać uwierzytelnianie na poziomie użytkownika, należy użyć konfiguracji podstawowej. Czy w danej sieci planowane jest używanie serwera RADIUS? Jeżeli planowane jest używanie w sieci serwera RADIUS, można użyć konfiguracji podstawowej lub trybu przeźroczystego. Jeżeli serwer RADIUS nie będzie wykorzystywany, należy użyć trybu przeźroczystego. Planowanie przełączania awaryjnego urządzeń LAN Enforcer Jeśli w sieci zainstalowane zostały dwa urządzenia LAN Enforcer, przełączanie awaryjne obsługuje przełącznik zgodny ze standardem 802.1x. Przełącznik zgodny ze standardem 802.1x może obsługiwać wiele urządzeń LAN Enforcer. Ustawienia urządzeń LAN Enforcer można z łatwością zsynchronizować za pomocą ustawień synchronizacji w programie Symantec Endpoint Protection Manager. Aby zsynchronizować ustawienia jednego urządzenia LAN Enforcer z innym urządzeniem LAN Enforcer, należy określić tę samą nazwę grupy modułów Enforcer w konsoli modułu Enforcer. Jeśli w sieci stosowany jest serwer RADIUS, można zapewnić przełączanie awaryjne serwera RADIUS, konfigurując urządzenie LAN Enforcer do łączenia się z wieloma serwerami RADIUS. Jeśli wszystkie serwery RADIUS skonfigurowane dla tego urządzenia LAN Enforcer staną się niedostępne, przełącznik uzna, że urządzenie LAN Enforcer jest wyłączone. Wówczas przełącznik zgodny ze standardem 802.1x połączy się z innym urządzeniem LAN Enforcer, które zapewnia dodatkową obsługę przełączania awaryjnego. Rozmieszczanie urządzeń LAN Enforcer w sieci w celu przełączania awaryjnego Ilustracja 2-6 przedstawia sposób rozmieszczenia urządzeń LAN Enforcer w celu przełączania awaryjnego.

71 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer 71 Ilustracja 2-6 Rozmieszczenie dwóch urządzeń LAN Enforcer Klienci Naprawcza sieć VLAN Serwer naprawczy Przełącznik sieci LAN zgodny ze standardem 802.1x i portami dot1x dla klientów wewnętrznych Serwer RADIUS Zapasowy Serwer RADIUS Urządzenie LAN Enforcer (serwer proxy usługi RADIUS) Sieć szkieletowa firmy Chronione serwery Symantec Endpoint Protection Manager

72 72 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer

73 Rozdział 3 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Ten rozdział obejmuje następujące zagadnienia: Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji Ustalanie bieżącej wersji obrazu urządzenia Enforcer Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub do wersji Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji Zmiana obrazu oprogramowania urządzenia Enforcer Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji Przed podjęciem próby zaktualizowania, migracji lub zmiany obrazu oprogramowania urządzenia Enforcer należy ustalić bieżącą wersję obrazu obsługiwaną na urządzeniu. Patrz Ustalanie bieżącej wersji obrazu urządzenia Enforcer na stronie 74 Uaktualnienie obrazu na urządzeniu Enforcer do wersji może być konieczne, jeśli urządzenie Enforcer ma się komunikować z serwerem Symantec Endpoint Protection Manager w wersji Uaktualnienie umożliwia korzystanie z nowych funkcji obsługiwanych przez urządzenia Symantec Network Access Control Enforcer w wersji

74 74 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Ustalanie bieżącej wersji obrazu urządzenia Enforcer W celu uaktualnienia obrazu urządzenia Enforcer można wybrać dowolną z następujących metod: Uaktualnienie bieżącej wersji obrazu urządzenia Enforcer. Patrz Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub do wersji na stronie 74 Migracja obrazu urządzenia Enforcer z wersji 5.1.x do wersji Patrz Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji na stronie 75 Instalacja innego obrazu urządzenia Enforcer z zastąpieniem poprzedniego obrazu urządzenia Enforcer. Patrz Zmiana obrazu oprogramowania urządzenia Enforcer na stronie 76 Urządzenie Symantec Network Access Control Enforcer w wersji współpracuje z następującymi wersjami programu Symantec Endpoint Protection Manager: Wersją Wersją Ustalanie bieżącej wersji obrazu urządzenia Enforcer Należy ustalić bieżącą wersję obrazu obsługiwaną przez urządzenie Enforcer. Najnowsza wersja to W przypadku wersji starszych niż należy przeprowadzić uaktualnienie lub migrację. Poniżej przedstawiono przykład informacji wyjściowych o wersji obrazu urządzenia DHCP Enforcer: Symantec Network Access Control Enforcer 6100 Series - v build XXXX, ,19:09 DHCP Enforcer mode Aby ustalić bieżącą wersję obrazu urządzenia Enforcer: W interfejsie wiersza polecenia urządzenia Enforcer wpisz następujące polecenie: show version Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub do wersji Obraz urządzenia Enforcer można zaktualizować z wersji lub do wersji przy użyciu następującej metody.

75 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji Aby uaktualnić obraz urządzenia Enforcer z wersji 11.0 lub do wersji : 1 Włóż dysk CD do napędu CD-ROM urządzenia Enforcer. 2 W konsoli urządzenia Enforcer wpisz następujące polecenie: Enforcer# update Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji Obraz urządzenia Enforcer można zaktualizować z wersji 5.1.x do wersji przy użyciu dowolnej z następujących metod. Migracja obrazu urządzenia Enforcer z wersji 5.1.x do wersji za pomocą dysku USB. Migracja obrazu urządzenia Enforcer z wersji 5.1.x do wersji za pomocą serwera TFTP. Aby migrować obraz urządzenia Enforcer z wersji 5.1.x do wersji za pomocą dysku USB: 1 Skopiuj dwa pliki aktualizacji, initrd-enforcer.img.gpg i listę pakietów, na dysk USB. 2 Wpisz następujące polecenie w celu automatycznego zaktualizowania urządzenia Enforcer: Enforcer# update Patrz Polecenie update na stronie 259 Aby migrować obraz urządzenia Enforcer z wersji 5.1.x do wersji za pomocą serwera TFTP: 1 Prześlij dwa pliki aktualizacji, initrd-enforcer.img.gpg i listę pakietów, na serwer TFTP (Trivial File Transfer Protocol), z którym urządzenie Enforcer może nawiązać połączenie. 2 W konsoli urządzenia Enforcer uruchom następujące polecenie: Enforcer:# update tftp://adres IP serwera TFTP Patrz Polecenie update na stronie Po wyświetleniu monitu o uruchomienie nowego obrazu wybierz pozycję Y.

76 76 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Zmiana obrazu oprogramowania urządzenia Enforcer 4 Wybierz 1, aby ponownie uruchomić urządzenie Enforcer po zastosowaniu nowego obrazu. Nie jest zalecane uruchomienie nowego obrazu bez ponownego uruchomienia urządzenia Enforcer. 5 Zaloguj się do urządzenia Enforcer. 6 Patrz Logowanie się do urządzenia Enforcer na stronie 90 Zmiana obrazu oprogramowania urządzenia Enforcer Urządzenie Enforcer jest wyposażone w oprogramowanie służące do zmiany jego oprogramowania na dowolny z trzech typów modułów Enforcer: Gateway, LAN i DHCP. Oprogramowanie to zawiera system operacyjny Linux ze wzmocnionymi zabezpieczeniami oraz oprogramowanie modułu Enforcer do zamiany na urządzeniu Enforcer. Po uruchomieniu instalacji z dysku CD proces zmiany oprogramowania wymaże bieżącą konfigurację urządzenia Enforcer i zastąpi wszystkie istniejące pliki nowymi plikami. Cała poprzednia konfiguracja urządzenia Enforcer zostanie utracona. W celu zmiany typu modułu Enforcer należy zainstalować inny typ obrazu oprogramowania urządzenia Enforcer. Należy pamiętać, że zmiana typu obrazu urządzenia Enforcer może pociągać za sobą konieczność zmiany lokalizacji urządzenia Enforcer w sieci firmowej. Patrz Planowanie instalacji urządzeń Enforcer na stronie 45 Aby zmienić oprogramowanie urządzenia Enforcer: 1 Włóż dysk CD urządzenia do napędu CD-ROM urządzenia Enforcer. 2 W wierszu polecenia wpisz następujące polecenie: Enforcer:# reboot Polecenie to służy do ponownego uruchamiania urządzenia Enforcer. 3 W menu instalacyjnym wybierz opcję Setup Symantec Enforcer from the CD. Jeśli menu instalacyjne nie zostanie użyte, urządzenie Enforcer zostanie ponownie uruchomione z dysku twardego, a nie z dysku CD. Aby zmienić oprogramowanie, należy ponownie uruchomić urządzenie z dysku CD. 4 Zainstaluj i skonfiguruj oprogramowanie urządzenia Enforcer. Patrz Instalowanie urządzenia Enforcer na stronie 82

77 Rozdział 4 Instalowanie urządzenia Enforcer po raz pierwszy Ten rozdział obejmuje następujące zagadnienia: Przed zainstalowaniem urządzenia Enforcer Instalowanie urządzenia Enforcer Przed zainstalowaniem urządzenia Enforcer Moduł Enforcer to urządzenie sprzętowe, które egzekwuje kontrolę dostępu do sieci na klientach, którzy próbują nawiązać połączenie z siecią. Jeśli klienci są zgodni z zasadami zabezpieczeń, uzyskują zezwolenie na dostęp do zasobów w sieci. Implementowany typ urządzenia Enforcer zależy od zakupionego typu produktu Symantec Network Access Control. Więcej informacji na ten temat zawiera umowa licencyjna. Można zainstalować urządzenie Enforcer współpracujące z serwerem Symantec Endpoint Protection Manager i klientami. Dostępne są następujące typy urządzeń Enforcer: urządzenie Gateway Enforcer, urządzenie DHCP Enforcer, urządzenie LAN Enforcer.

78 78 Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer Instalacja urządzenia Gateway Enforcer informacje Urządzenie Gateway Enforcer jest zazwyczaj stosowane jako wewnętrzny most wymuszający przestrzeganie zasad zabezpieczeń w celu ochrony sieci wewnętrznej przed nieupoważnionym dostępem z zewnątrz. Przed przystąpieniem do instalacji urządzenia Gateway Enforcer należy znaleźć dla niego odpowiednią lokalizację w sieci. Urządzenia Gateway Enforcer można rozmieścić w całej sieci firmowej, aby zapewnić zgodność wszystkich punktów końcowych z zasadami zabezpieczeń. Urządzeń Gateway Enforcer można użyć do ochrony serwerów w firmie. Dostęp do tych serwerów będą mogli wówczas uzyskać tylko zaufani lub uwierzytelnieni klienci. Urządzenia Gateway Enforcer są zazwyczaj używane w następujących lokalizacjach sieciowych: Sieć VPN Bezprzewodowy punkt dostępu (WAP) Sieć dostępu telefonicznego (serwer dostępu zdalnego, RAS) Segmenty sieci Ethernet (sieci lokalnej, LAN) Patrz Rozmieszczanie urządzeń Gateway Enforcer na stronie 46 Instalacja urządzenia DHCP Enforcer informacje Moduł DHCP Enforcer jest stosowany jako wewnętrzny most wymuszający przestrzeganie zasad zabezpieczeń w celu ochrony sieci wewnętrznej. Klienci próbujący uzyskać połączenie z siecią wysyłają żądanie DHCP przydzielenia dynamicznego adresu IP. Przełącznik lub router (który pełni rolę klienta przekaźnika DHCP) trasuje żądanie DHCP. Żądanie DHCP jest przesyłane do urządzenia DHCP Enforcer, które jest skonfigurowane przed serwerem DHCP w sieci wewnętrznej. Urządzenie DHCP Enforcer sprawdza, czy klienci są zgodni z zasadami zabezpieczeń, zanim przekaże żądanie DHCP do serwera DHCP. Jeśli klient jest zgodny z zasadami zabezpieczeń, moduł DHCP Enforcer przesyła jego żądanie adresu IP do normalnego serwera DHCP. Jeśli klient nie jest zgodny z zasadami zabezpieczeń, urządzenie DHCP Enforcer łączy klienta z serwerem DHCP kwarantanny. Serwer DHCP kwarantanny przydziela klientowi konfigurację sieci kwarantanny. Aby ukończyć konfigurację modułu DHCP Enforcer, należy skonfigurować serwer naprawczy oraz ograniczyć prawa dostępu dla klientów poddanych kwarantannie. Klienci z ograniczeniami dostępu mogą komunikować się tylko z serwerem naprawczym.

79 Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer 79 Jeśli wymagana jest wysoka dostępność, można zainstalować dwa lub więcej urządzenia DHCP Enforcer w celu umożliwienia przełączania awaryjnego. Patrz Rozmieszczanie urządzeń DHCP Enforcer w sieci na stronie 57 Instalacja urządzenia LAN Enforcer informacje Urządzenie LAN Enforcer może przeprowadzać uwierzytelnianie hostów oraz działać jako pseudoserwer RADIUS (nawet bez serwera RADIUS). Klient usługi egzekwowania działa jako suplikant protokołu 802.1x. Odpowiada na wezwania protokołu Extensible Authentication Protocol (EAP), podając informacje dotyczące stanu integralności hosta i numeru zasady. W takim przypadku adres IP serwera RADIUS jest ustawiony na 0 i nie jest wykonywane żadne standardowe uwierzytelnianie EAP użytkownika. Urządzenie LAN Enforcer sprawdza integralność hosta. Może zezwalać, blokować lub dynamicznie przydzielać dostęp do VLAN, decyzję podejmując na podstawie wyników sprawdzania integralności hosta. Jeśli stosowane jest oprogramowanie Symantec Endpoint Protection, możliwa jest również inna konfiguracja. Można użyć urządzenia LAN Enforcer współpracującego z serwerem RADIUS w celu wymuszania uwierzytelniania wewnętrznego EAP 802.1x w sieci firmowej. Jeśli urządzenie LAN Enforcer jest skonfigurowane w taki sposób, należy umieścić je w takim miejscu sieci, aby mogło komunikować się z serwerem RADIUS. Jeśli używany przełącznik obsługuje dynamiczne przełączanie sieci VLAN, można na nim skonfigurować dodatkowe sieci VLAN i uzyskiwać do nich dostęp za pośrednictwem urządzenia LAN Enforcer. Przełącznik może dynamicznie umieścić klienta w sieci VLAN określanej na podstawie odpowiedzi od urządzenia LAN Enforcer. Sieci VLAN można dodać na przykład w celu umożliwienia kwarantanny lub naprawy. Patrz Rozmieszczanie urządzeń LAN Enforcer na stronie 67 Wskaźniki i elementy sterujące urządzenia Enforcer Urządzenie Enforcer jest instalowane w obudowie o wysokości 1U montowanej w szafie rack ze statycznymi prowadnicami. Ilustracja 4-1 przedstawia elementy sterujące, wskaźniki i złącza znajdujące się za opcjonalnym panelem maskującym na przednim panelu.

80 80 Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer Ilustracja 4-1 Panel przedni urządzenia Enforcer Napęd CD-ROM Wyłącznik zasilania Przycisk resetowania Porty USB Dioda dysku twardego Złącze monitora Zarezerwowane; nie używać Ilustracja 4-2 przedstawia tylny panel urządzenia. Ilustracja 4-2 Tylny panel urządzenia Enforcer (model z obsługą trybu failopen) Gniazdo kabla zasilającego Złącze myszy Złącze klawiatury Porty USB Port szeregowy Złącze monitora Zarezerwowane; nie używać Zarezerwowane porty sieciowe; nie używać Port sieciowy eth0 Port sieciowy eth1