Příručka k implementaci Symantec Network Access Control Enforcer

Transkript

1 Příručka k implementaci Symantec Network Access Control Enforcer

2 Příručka k implementaci Symantec Network Access Control Enforcer Software popsaný v této příručce podléhá licenční smlouvě a lze jej používat pouze při dodržení jejích podmínek. Verze dokumentace Právní informace Copyright 2008 Symantec Corporation. Všechna práva vyhrazena. Symantec, logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton a TruScan jsou ochranné známky nebo registrované ochranné známky společnosti Symantec Corporation nebo jejích poboček ve Spojených státech amerických a jiných zemích. Jiné názvy mohou být ochrannými známkami příslušných vlastníků. Tento produkt Symantec může obsahovat software třetích stran, který společnost Symantec poskytuje za podmínek třetí strany ( Aplikace třetích stran ). Některé aplikace třetích stran jsou dostupné v rámci licence otevřeného zdroje nebo bezplatného softwaru. Licenční smlouva dodávaná se softwarem neupravuje žádná práva nebo závazky vyplývající z licence otevřeného zdroje nebo bezplatného softwaru. Další informace o aplikacích třetích stran najdete v dodatku k této dokumentaci s právními informace týkajícími se třetích stran nebo v souboru TPIP Readme. Produkt popsaný v tomto dokumentu je dodáván na základě licencí omezujících jeho používání, kopírování, distribuci a dekompilaci či zpětný překlad. Žádná část tohoto dokumentu nesmí být jakýmkoli způsobem reprodukována bez předchozího písemného souhlasu společnosti Symantec Corporation, případně jejích poskytovatelů licence. TATO DOKUMENTACE JE POSKYTOVÁNA TAK, JAK JE A SPOLEČNOST SYMANTEC CORPORATION SE ZŘÍKÁ VEŠKERÝCH VÝSLOVNĚ UVEDENÝCH NEBO PŘEDPOKLÁDANÝCH PODMÍNEK, PROHLÁŠENÍ A ZÁRUK, VČETNĚ PŘEDPOKLÁDANÝCH ZÁRUK TÝKAJÍCÍCH SE OBCHODOVATELNOSTI, VHODNOSTI PRO URČITÝ ÚČEL A NEPORUŠENÍ ZÁKONA, S VÝJIMKOU ROZSAHU, VE KTERÉM JSOU TAKOVÁTO ZŘEKNUTÍ PRÁVNĚ NEPLATNÁ. SPOLEČNOST SYMANTEC CORPORATION NENÍ ODPOVĚDNÁ ZA ŽÁDNÉ NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY VZNIKLÉ VE SPOJENÍ S VYKONANOU PRACÍ NEBO POUŽITÍM TÉTO DOKUMENTACE. INFORMACE OBSAŽENÉ V TÉTO DOKUMENTACI PODLÉHAJÍ ZMĚNÁM BEZ PŘEDCHOZÍHO UPOZORNĚNÍ. Licencovaný software a dokumentace jsou považovány za komerční počítačový software, jak je definováno v dokumentu FAR , řídí se omezenými právy dle definice v dokumentu FAR části Commercial Computer Software Restricted Rights a DFARS Rights in Commercial Computer Software or Commercial Computer Software Documentation a dalších následných nařízení. Jakékoli použití, úpravy, vydávání kopií, předvádění, zobrazování nebo odhalení licencovaného softwaru a dokumentace vládou Spojených států bude pouze v souladu s podmínkami tohoto ujednání.

3 Symantec Corporation Stevens Creek Blvd. Cupertino, CA

4 Odborná pomoc Skupina odborné pomoci Symantec Technical Support provozuje centra pomoci po celém světě. Primární rolí této skupiny je reagovat na konkrétní dotazy týkající se funkcí produktů. Má na starost také vytváření obsahu pro naši online znalostní bázi Knowledge Base. Spolupracuje s dalšími funkčními oblastmi v rámci společnosti Symantec, aby dokázala včas najít odpovědi na vaše dotazy. Například ve spolupráci se skupinou Product Engineering a Symantec Security Response zajišťuje služby výstrah a aktualizace definicí virů. Společnost Symantec nabízí například následující možnosti údržby: Řada možností podpory, díky kterým lze flexibilně vybírat správnou úroveň služeb pro organizaci libovolné velikosti Telefonická a webová podpora nabízející rychlou odezvu a aktuální informace Zajištění ochrany pomocí automatických upgradů softwaru Globální podpora je k dispozici 24 hodin denně, 7 dní v týdnu Pokročilé funkce, včetně služeb správy obchodních vztahů (Account Management Services) Informace o programech údržby společnosti Symantec naleznete na našem webu na následující adrese URL: Kontaktování odborné pomoci Zákazníci s aktuální smlouvou o údržbě mohou k informacím systému odborné pomoci přistupovat na této adrese URL: Než kontaktujete odbornou pomoc, ujistěte se, že váš systém splňuje požadavky uvedené v dokumentaci k produktu. Dále byste měli být v blízkosti počítače, na kterém k problému, došlo pro případ, že by bylo třeba obnovit podmínky problému. Před komunikací s odbornou pomocí mějte připraveny tyto údaje: verze vydání programu, údaje o hardwaru, dostupná paměť, místo na disku a údaje o síťové kartě, operační systém, verze produktu a jeho aktualizace, topologie sítě,

5 údaje o routeru, bráně a adrese IP, popis problému: chybová hlášení a soubory protokolů, řešení problému provedené před kontaktováním společnosti Symantec, nedávné změny softwarové konfigurace a síťové změny. Licence a registrace Služby zákazníkům Vyžaduje-li produkt Symantec registraci či licenční klíč, navštivte web naší odborné pomoci na této adrese URL: Informace o Službách zákazníkům jsou dostupné na této adrese URL: Služby zákazníkům vám mohou pomoci s těmito problémy: otázky licencování a serializace produktu, aktualizace registrace produktu, např. změna adresy či jména, obecné informace o produktu (funkce, jazyková dostupnost, místní prodejci), nejnovější informace o aktualizacích a upgradu produktů, informace o zajištění upgradu a smlouvách o údržbě, informace o prodejních programech Symantec Buying Programs, unformace o možnostech technické podpory společnosti Symantec, předprodejní dotazy netechnického rázu, problémy týkající se disků CD-ROM či příruček.

6 Informace o smlouvě o údržbě Přejete-li si kontaktovat společnost Symantec ohledně existující smlouvy o údržbě, kontaktujte oddělení administrace smluv o údržbě pro požadovanou oblast podle tohoto rozdělení: Asie-Tichomoří a Japonsko Evropa, Blízký východ a Afrika Severní Amerika a Latinská Amerika contractsadmin@symantec.com semea@symantec.com supportsolutions@symantec.com Dodatečné služby pro podniky Společnost Symantec nabízí souhrnnou sadu služeb umožňující maximalizaci investic do produktů Symantec a rozvíjení vědomostí, odbornosti a všeobecného rozhledu, což dovoluje aktivně kontrolovat rizika podnikání. K dostupným službám pro podniky patří: Řešení včasného varování společnosti Symantec Služby správy zabezpečení Konzultační služby Výukové služby Tato řešení poskytují včasné varování před počítačovými útoky, souhrnnou analýzu rizik a protiopatření zabraňující útokům. Tyto služby odstraňují nutnost správy a monitorování zabezpečovacích zařízení a událostí, což zajišťuje rychlou reakci na skutečné hrozby. Konzultační služby společnosti Symantec poskytují na místě technickou odbornost společnosti Symantec a jejích důvěryhodných partnerů. Konzultační služby společnosti Symantec nabízejí množství přizpůsobitelných balíčků možností zahrnujících zhodnocení, navrhování, implementaci a správu. Každý z nich je zaměřen na vytvoření a údržbu integrity a dostupnosti vašich informačních zdrojů. Výukové služby nabízejí plné spektrum technických školení a školení o zabezpečení, certifikace zabezpečení a programy pro šíření povědomí. Další informace o službách pro podniky naleznete na našem webu na adrese URL: Na úvodní stránce zvolte svou zemi či jazyk.

7 Obsah Odborná pomoc... 4 Oddíl 1 Instalace a konfigurace zařízení Symantec Network Access Control Enforcer Kapitola 1 Úvod do modulu Enforcer Zařízení Symantec Enforcer Komu je dokumentace určena Typy vynucování K čemu zařízení Symantec Network Access Control Enforcer slouží Zásady integrity hostitele a modulu Enforcer Komunikace mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager Komunikace mezi zařízením Enforcer a klienty Jak funguje zařízení Gateway Enforcer Jak funguje zařízení DHCP Enforcer Jak funguje zařízení LAN Enforcer Jak funguje základní konfigurace modulu LAN Enforcer Jak funguje transparentní režim modulu LAN Enforcer O ověřování 802.1x Podpora řešení pro vynucení jiných výrobců Kde lze získat další informace o zařízeních Enforcer společnosti Symantec Kapitola 2 Plánování instalace modulu Enforcer Plánování instalace zařízení Enforcer Plánování instalace zařízení Gateway Enforcer Kam umístit zařízení Gateway Enforcer Pokyny pro IP adresy v zařízení Gateway Enforcer Dvě sériová zařízení Gateway Enforcer Ochrana přístupu k VPN pomocí zařízení Gateway Enforcer Ochrana bezdrátových přístupových bodů pomocí zařízení Gateway Enforcer... 46

8 8 Obsah Ochrana serverů pomocí zařízení Gateway Enforcer Ochrana serverů a klientů s jiným operačním systémem než Windows pomocí zařízení Gateway Enforcer Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření Plánování zotavení pro zařízení Gateway Enforcer Jak zotavení při sehlání funguje se zařízeními Gateway Enforcer v síti Kam umístit zařízení Gateway Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN Nastavení zařízení Gateway Enforcer pro zotavení po selhání Plánování instalace zařízení DHCP Enforcer Kam umístit zařízení DHCP Enforcer v síti Adresy IP zařízení DHCP Enforcer Ochrana klientů s jiným systémem než Windows pomocí modulu vynucení DHCP Server DHCP Plánování zotavení pro zařízení DHCP Enforcer Jak zotavení při sehlání funguje se zařízeními DHCP Enforcer v síti Kam umístit zařízení DHCP Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN Nastavení zařízení DHCP Enforcer pro zotavení při selhání Plánování instalace zařízení LAN Enforcer Kam umístit zařízení LAN Enforcer Plánování zotavení pro zařízení LAN Enforcer Kam umístit zařízení LAN Enforcer pro zotavení při selhání v síti Kapitola 3 Aktualizace a migrace bitových kopií modulu Enforcer Aktualizace a migrace bitových kopií modulu Enforcer na verzi Zjištění aktuální verze bitové kopie modulu Enforcer Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo na Migrace bitové kopie modulu Enforcer z verze 5.1.x na Opětovné vytváření bitové kopie zařízení Enforcer... 70

9 Obsah 9 Kapitola 4 První instalace modulu Enforcer Před instalací modulu Enforcer Instalace zařízení Gateway Enforcer Instalace zařízení DHCP Enforcer Instalace zařízení LAN Enforcer Indikátory a ovládací prvky modulu Enforcer Nastavení karet rozhraní NIC v zařízení Gateway Enforcer nebo DHCP Enforcer Instalace zařízení Enforcer Zámek aplikace Enforcer Kapitola 5 Základní úkoly v konzole modulu Enforcer Základní úkoly v konzole modulu Enforcer Přihlášení k modulu Enforcer Konfigurace připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer Vzdálený přístup k modulu Enforcer Zprávy a protokoly ladění zařízení Enforcer Kapitola 6 Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení Symantec Gateway Enforcer v konzole aplikace Symantec Endpoint Protection Manager Změna konfiguračních nastavení zařízení Gateway Enforcer na serveru pro správu Použití obecného nastavení Přidání nebo úpravy popisu skupiny modulů Gateway Enforcer Přidání a úprava popisu zařízení Gateway Enforcer Přidání a úprava adresy IP nebo názvu hostitele zařízení Gateway Enforcer Navázání komunikace mezi zařízením Gateway Enforcer a aplikací Symantec Endpoint Protection Manager pomocí seznamu serverů pro správu Použití nastavení ověřování Informace o použití nastavení ověřování Relace ověřování v zařízení Gateway Enforcer zařízení Ověření klienta na zařízení Gateway Enforcer zařízení... 97

10 10 Obsah Zadání maximálního počtu paketů typu challenge během relace ověřování Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům Zadání doby, po kterou je klient po neúspěšném ověření blokován Zadání doby, po kterou může klient přistupovat k síti bez nutnosti opětovného ověření Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows Nastavení zařízení Gateway Enforcer pro kontrolu sériového čísla zásady klienta Zasílání zprávy o neshodě klienta zařízením Gateway Enforcer Přesměrování požadavků HTTP na webovou stránku Nastavení rozsahu ověřování Rozsahy adres IP klientů ve srovnání s důvěryhodnými externími adresami IP Kdy používat rozsahy adres IP klientů Důvěryhodné adresy IP Přidání rozsahů adres IP klientů k seznamu adres, které vyžadují ověření Úprava rozsahů adres IP klientů na seznamu adres, které vyžadují ověření Odebrání rozsahů adres IP klientů ze seznamu adres, které vyžadují ověření Přidání důvěryhodné interní adresy IP pro klienty na serveru pro správu Určení důvěryhodných externích adres IP Úprava důvěryhodné interní nebo externí adresy IP Odstranění důvěryhodné interní nebo externí adresy IP Pořadí kontroly rozsahu adres IP Použití rozšířených nastavení zařízení Gateway Enforcer Určení typů paketů a protokolů Povolení připojení staršího klienta k síti pomocí zařízení Gateway Enforcer Povolení místního úvěrování v zařízení Gateway Enforcer

11 Obsah 11 Kapitola 7 Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení DHCP Enforcer Symantec v konzole aplikace Symantec Endpoint Protection Manager Změna konfiguračních nastavení zařízení DHCP Enforcer na serveru pro správu Použití obecného nastavení Přidání a úprava názvu skupiny modulů Enforcer obsahující modul DHCP Enforcer Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení DHCP Enforcer Přidání a úprava adresy IP nebo názvu hostitele zařízení Enforcer DHCP Přidání a úprava popisu zařízení DHCP Enforcer Připojení zařízení DHCP Enforcer k aplikaci Symantec Endpoint Protection Manager Použití nastavení ověřování Informace o použití nastavení ověřování Relace ověřování Zadání maximálního počtu paketů typu challenge během relace ověřování Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows Nastavení zařízení DHCP Enforcer pro kontrolu sériového čísla zásady klienta Zasílání zprávy o neshodě klienta zařízení DHCP Enforcer Používání nastavení serveru DHCP Používání nastavení serveru DHCP Kombinace běžného a karanténního serveru DHCP na jednom počítači Povolení oddělených normálních a karanténních serverů DHCP Přidání normálního serveru DHCP Přidání karanténního serveru DHCP Použití rozšířených nastavení zařízení DHCP Enforcer Nastavení automatické karantény pro klienta, u kterého selže ověření

12 12 Obsah Zadání doby čekání zařízení DHCP Enforcer před povolením přístupu klienta do sítě Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé Prevence falšování služby DNS Povolení připojení staršího klienta k síti pomocí zařízení DHCP Enforcer Povolení místního ověrování v zařízení DHCP Enforcer Kapitola 8 Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení Symantec LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager Konfigurace serverů RADIUS na zařízení LAN Enforcer Konfigurace bezdrátových přístupových bodů na zařízení LAN Enforcer Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení Přidání nebo úprava názvu skupiny modulů LAN Enforcer s modulem LAN Enforcer Uvedení portu naslouchání, který je používán pro komunikaci mezi přepínačem VLAN a zařízením LAN Enforcer Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení LAN Enforcer Přidání a úprava adresy IP nebo názvu hostitele zařízení LAN Enforcer Přidání a úprava popisu zařízení LAN Enforcer Připojení zařízení LAN Enforcer k aplikaci Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS Přidání názvu skupiny serverů RADIUS a serveru RADIUS Úpravy názvu skupiny serverů RADIUS Úprava popisného názvu serveru RADIUS Úprava názvu hostitele nebo adresy IP serveru RADIUS Úprava čísla portu ověření serveru RADIUS Úprava sdíleného tajného klíče serveru RADIUS Odstranění názvu skupiny serverů RADIUS Odstranění serveru RADIUS Používání nastavení přepínače Použití nastavení přepínače

13 Obsah 13 Podpora pro atributy modelů přepínačů Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce Úprava základních informací k zásadám přepínače a přepínači přizpůsobenému protokolu 802.1x Úprava informací o přepínači přizpůsobeném protokolu 802.1x Úprava informací o síti VLAN pro zásadu přepínače Úprava informací o akci pro zásadu přepínače Použití rozšířených nastavení zařízení LAN Enforcer Povolení připojení staršího klienta k síti pomocí zařízení LAN Enforcer Povolení místního ověřování v zařízení LAN Enforcer Použití ověřování 802.1x Informace o opětovném ověření na klientském počítači Kapitola 9 Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Před konfigurací klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer Nastavení ověřování pomocí místní databáze Nastavení ověřování pomocí služby Microsoft Windows 2003 Server Active Directory Nastavení klienta On-Demand v systému Windows pro ověřování s protokolem dot1x Nastavení klienta On-Demand na systému Windows pro ověřování pomocí protokolu PEAP Úprava banneru na uvítací stránce Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand

14 14 Obsah Kapitola 10 Rozhraní příkazového řádku modulu Enforcer Hierarchie příkazů rozhraní příkazového řádku zařízení Enforcer Hierarchie příkazů rozhraní příkazového řádku Přesun nahoru a dolů v hierarchii příkazů Klávesové zkratky rozhraní příkazového řádku zařízení Enforcer Získání nápovědy s příkazy rozhraní příkazového řádku Kapitola 11 Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazové konvence CLI modulu Enforcer v abecedním pořadí Příkazy nejvyšší úrovně Clear Date Exit Help Hostname Heslo Ping Reboot Shutdown Show Start Stop Traceroute Update Příkazy Capture Capture Compress Capture Filter Capture Show Capture start Capture upload Capture Verbose Příkazy Configure Příkazy configure advanced Configure DNS Configure interface Configure interface-role Příkaz Configure NTP Configure redirect

15 Obsah 15 Configure route Configure show Configure SPM Příkazy console Console baud-rate Příkaz console SSH Příkaz console SSHKEY Console show Příkazy debug Debug destination Debug level Debug show Příkaz debug upload Příkazy MAB Příkaz MAB disable Příkaz MAB enable Příkazy MAB LDAP Příkaz MAB show Příkazy Monitor Příkaz monitor refresh Příkaz monitor show Monitor show blocked-hosts Monitor show connected-guests Monitor show connected-users příkazy SNMP Příkaz SNMP disable Příkaz SNMP enable Příkaz SNMP heartbeat Příkaz SNMP receiver Příkaz SNMP show Příkaz SNMP trap Příkazy On-Demand On-demand authentication Příkaz on-demand banner Příkaz On-Demand client-group Příkazy On-Demand dot1x Příkaz On-Demand show Příkaz On-Demand spm-domain Příkazy On-Demand mac-compliance

16 16 Obsah Kapitola 12 Řešení potíží se zařízením Enforcer Řešení potíží se zařízením Enforcer Obecná témata řešení potíží a známé problémy Přenos informací pro ladění pomocí sítě Kapitola 13 Oddíl 2 Kapitola 14 Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Otázky k zařízení Enforcer Který antivirový software poskytuje podporu integrity hostitele? Lze zásady integrity hostitele nastavovat na úrovni skupin nebo na globální úrovni? Lze vytvořit vlastní zprávu integrity hostitele? Co se stane, když zařízení Enforcer nemohou komunikovat s aplikacemi Symantec Endpoint Protection Manager? Je zapotřebí server RADIUS, když zařízení LAN Enforcer běží v transparentním režimu? Jak vynucení spravuje počítače bez klientů? Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP server Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje Zahájení instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP

17 Obsah 17 Kapitola 15 Kapitola 16 Oddíl 3 Kapitola 17 Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Plánování instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP Požadavky na hardware pro zařízení Integrated Enforcer pro servery Microsoft DHCP Požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Před instalací zařízení Integrated Enforcer pro servery Microsoft DHCP Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Upgrade zařízení Integrated Enforcer pro servery Microsoft DHCP Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Informace o zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP (Integrated Lucent Enforcer) K čemu zařízení Integrated Lucent Enforcer slouží Jak funguje zařízení Integrated Lucent Enforcer Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer

18 18 Obsah Kapitola 18 Kapitola 19 Oddíl 4 Kapitola 20 Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Plánování instalace zařízení Integrated Lucent Enforcer Nutné komponenty zařízení Integrated Lucent Enforcer Plánování umístění zařízení Integrated Lucent Enforcer Hardwarové požadavky pro zařízení Integrated Lucent Enforcer Požadavky operačního systému pro zařízení Integrated Lucent Enforcer Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Před první instalací zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP Konfigurace zařízení Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace modulu Symantec NAC Integrated Enforcer v konzole Enforcer Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager Konfigurace automatické karantény Konfigurace základních nastavení modulu Symantec Integrated Enforcer Přidání nebo úprava názvu skupiny modulů Enforcer pro zařízení Symantec Integrated Enforcer Přidání nebo úprava popisu skupiny modulů Enforcer se zařízením Symantec Integrated Enforcer

19 Obsah 19 Přidání nebo úprava adresy IP nebo názvu hostitele zařízení Symantec Integrated Enforcer Přidání nebo úprava popisu zařízení Symantec Integrated Enforcer Připojení zařízení Symantec Integrated Enforcer k aplikaci Symantec Endpoint Protection Manager Úprava připojení aplikace Symantec Endpoint Protection Manager Konfigurace seznamu důvěryhodných dodavatelů Prohlížení protokolů modulu Enforcer v konzole Enforcer Konfigurace protokolů modulu Symantec Integrated Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer Informace o použití nastavení ověřování Relace ověřování Zadání maximálního počtu paketů typu challenge během relace ověřování Uvedení frekvence paketů typu challenge, které se mají odeslat klientům Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows Nastavení zařízení Symantec Integrated Enforcer pro kontrolu sériového čísla zásady klienta Zasílání zprávy o neshodě klienta zařízením Symantec Integrated Enforcer Navázání komunikace mezi modulem Symantec Integrated Enforcer a zařízením Network Access Control Scanner v konzole Enforcer Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé Povolení připojení staršího klienta k síti pomocí zařízení Integrated Enforcer Povolení místního ověřování v modulu Integrated Enforcer Zastavení a spuštění komunikačních služeb mezi modulem Integrated Enforcer a serverem pro správu Odpojení zařízení Symantec NAC Lucent Integrated Enforcer od serveru pro správu v konzole Enforcer Připojení k zastaralým serverům Symantec Endpoint Protection Manager

20 20 Obsah Oddíl 5 Kapitola 21 Kapitola 22 Kapitola 23 Kapitola 24 Instalace a konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Úvod do modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Plánování instalace modulu Symantec Integrated NAP Enforcer Nutné komponenty zařízení Symantec Integrated NAP Enforcer Požadavky na hardware pro zařízení Symantec Integrated NAP Enforcer Požadavky na operační systém pro zařízení Symantec Integrated NAP Enforcer Požadavky na operační systém pro klienta Symantec Network Access Control Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Před instalací zařízení Symantec Integrated NAP Enforcer Instalace modulu Symantec Integrated NAP Enforcer Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Konfigurace modulu Symantec Integrated NAP Enforcer v konzole Enforcer Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer

21 Obsah 21 Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu Nastavení názvu skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer Nastavení komunikačního protokolu HTTP v konzole modulu Symantec Integrated NAP Enforcer Kapitola 25 Oddíl 6 Kapitola 26 Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Konfigurace modulu Symantec Integrated NAP Enforcer v konzole aplikace Symantec Endpoint Protection Manager Povolení vynucování NAP u klientů Ověření, zda server pro správu spravuje klienta Zásady programu pro ověření stavu zabezpečení Ověření, zda klient úspěšně prochází kontrolou integrity hostitele Povolení místního ověřování v zařízení Symantec Integrated NAP Enforcer Konfigurace protokolů modulu Symantec Integrated NAP Enforcer Administrace modulů Enforcer z konzoly Symantec Endpoint Protection Manager Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager O správě modulu Enforcer pomocí konzoly serveru pro správu O správě modulů Enforcer ze stránky Servery O skupinách modulů Enforcer Jak konzola určí název skupiny modulů Enforcer O skupinách modulů Enforcer s funkcí zotavení při selhání O změnách názvu skupiny O vytváření nových skupin modulů Enforcer O informacích o zařízeních Enforcer zobrazovaných v konzole Enforcer Zobrazení informací o modulu Enforcer z konzoly pro správu Změna názvu a popisu modulu Enforcer

22 22 Obsah Odstranění modulu Enforcer nebo skupiny modulů Enforcer Export a import nastavení skupin modulů Enforcer Překryvné zprávy pro blokované klienty Zprávy pro počítače se spuštěným klientem Zprávy pro počítače se systémem Windows, které nemají spuštěný klient (pouze moduly Gateway a DHCP Enforcer) Instalace zpráv zařízení Enforcer O nastavení klienta a o modulu Enforcer Konfigurace klientů pro zastavení služby klienta pomocí hesla Oddíl 7 Práce se zprávami a protokoly modulů Enforcer Kapitola 27 Správa zpráv a protokolů modulu Enforcer Zprávy modulů Enforcer Protokoly zařízení Enforcer Protokol serveru modulu Enforcer Protokol klienta modulu Enforcer Protokol provozu modulu Gateway Enforcer Konfigurace nastavení protokolu modulu Enforcer Zakázání protokolů Enforcer v konzole Symantec Endpoint Protection Manager Console Povolení zasílání protokolů Enforcer z modulu Enforcer do aplikace Symantec Endpoint Protection Manager Nastavení velikosti a stáří protokolů modulu Enforcer Filtrování protokolů provozu pro modul Enforcer Rejstřík

23 Oddíl 1 Instalace a konfigurace zařízení Symantec Network Access Control Enforcer Úvod do modulu Enforcer Plánování instalace modulu Enforcer Aktualizace a migrace bitových kopií modulu Enforcer První instalace modulu Enforcer Základní úkoly v konzole modulu Enforcer Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand

24 24 Rozhraní příkazového řádku modulu Enforcer Odkaz na rozhraní příkazového řádku modulu Enforcer Řešení potíží se zařízením Enforcer Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer

25 Kapitola 1 Úvod do modulu Enforcer Tato kapitola obsahuje následující témata: Zařízení Symantec Enforcer Komu je dokumentace určena Typy vynucování K čemu zařízení Symantec Network Access Control Enforcer slouží Zásady integrity hostitele a modulu Enforcer Jak funguje zařízení Gateway Enforcer Jak funguje zařízení DHCP Enforcer Jak funguje zařízení LAN Enforcer Podpora řešení pro vynucení jiných výrobců Kde lze získat další informace o zařízeních Enforcer společnosti Symantec Zařízení Symantec Enforcer Modul Enforcer společnosti Symantec jsou volitelné síťové součásti, které spolupracují s aplikací Symantec Endpoint Protection Manager. Následující modul Enforcer společnosti Symantec založené na systému Linux spolupracují při ochraně podnikové sítě se spravovanými klienty, jako jsou klienti Symantec Endpoint Protection a Symantec Network Access Control: Zařízení Symantec Network Access Control Gateway Enforcer Zařízení Symantec Network Access Control DHCP Enforcer Zařízení Symantec Network Access Control LAN Enforcer

26 26 Úvod do modulu Enforcer Komu je dokumentace určena Následující moduly Enforcer společnosti Symantec založené na systému Microsoft Windows spolupracují se spravovanými klienty, jako jsou klienti Symantec Endpoint Protection a Symantec Network Access Control. Poznámka: Zařízení Symantec Network Access Control Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) nefunguje s hostitelskými klienty, jako jsou klienti Symantec Network Access Control On-Demand, na platformách Windows a Macintosh. Pokyny pro instalaci, konfiguraci a správu jsou součástí dokumentace k následujícím modulů Enforcer se systémem Windows: Symantec Network Access Control Integrated Enforcer pro servery DHCP Microsoft Viz Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP server na straně 303. Symantec Network Access Control Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Viz Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na straně 371. Modul Symantec Network Access Control Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Viz Informace o zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP (Integrated Lucent Enforcer) na straně 321. Komu je dokumentace určena Tato dokumentace je určena pro všechny, kdo zodpovídají za nastavení a nasazení volitelné aplikace Enforcer. Měli byste dobře rozumět konceptům počítačových sítí a být obeznámeni se správou aplikace Symantec Endpoint Protection Manager. Volitelné zařízení Enforcer funguje pouze se specifickými verzemi jiných komponent. Viz Aktualizace a migrace bitových kopií modulu Enforcer na verzi na straně 67. Pokud zamýšlíte používat volitelné zařízení Enforcer s dřívější verzí aplikace Symantec Network Access Control, získáte informace v doprovodné dokumentaci k zařízení Enforcer dodané v době zakoupení.

27 Úvod do modulu Enforcer Typy vynucování 27 Typy vynucování Tab. 1-1 uvádí volitelná zařízení Enforcer a zařízení Enforcer se systémem Windows. Tab. 1-1 Typy vynucování Typ zařízení Enforcer Zařízení Symantec Gateway Enforcer Popis Zajišťuje vynucování v přístupových bodech pro externí počítače, které se připojují vzdáleně pomocí jedné z těchto metod: Virtuální privátní síť (VPN) Bezdrátová síť LAN Server pro vzdálený přístup (RAS) Zařízení Gateway Enforcer můžete také nastavit pro omezení přístupu k určitým serverům tak, že budou povoleny pouze určené adresy IP. Modul Symantec Gateway Enforcer je podporován v modulu Enforcer. Viz Jak funguje zařízení Gateway Enforcer na straně 32. Viz Plánování instalace zařízení Gateway Enforcer na straně 42. Zařízení Symantec LAN Enforcer Zajišťuje vynucování u klientů, kteří se připojují k síti přes přepínač nebo bezdrátový přístupový bod podporující ověřování 802.1x. Zařízení LAN Enforcer funguje jako server proxy pro službu RADIUS (Remote Authentication Dial-In User Service). Může spolupracovat se serverem RADIUS, který zajišťuje ověřování na úrovni uživatele, nebo může pracovat bez něj. Modul Symantec LAN Enforcer je podporován v zařízení Enforcer. Viz Jak funguje zařízení LAN Enforcer na straně 34. Viz Plánování instalace zařízení LAN Enforcer na straně 60. Zařízení Symantec DHCP Enforcer Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP přes server DHCP. Modul Symantec DHCP Enforcer je podporován v modulu Enforcer. Viz Jak funguje zařízení DHCP Enforcer na straně 33. Viz Plánování instalace zařízení DHCP Enforcer na straně 52.

28 28 Úvod do modulu Enforcer K čemu zařízení Symantec Network Access Control Enforcer slouží Typ zařízení Enforcer Popis Zařízení Symantec Integrated Enforcer pro servery Microsoft DHCP Modul Symantec Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Zařízení Symantec Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP přes server DHCP. Zařízení Symantec Integrated DHCP Enforcer je podporováno na platformě Windows. Zařízení Symantec Integrated Enforcer pro servery Microsoft DHCP není podporováno v zařízení Enforcer. Viz Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje na straně 304. Viz Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP na straně 311. Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP nebo předá ověření 802.1x přes server DHCP. Modul Symantec Integrated NAP Enforcer je podporován na platformě Windows Server Zařízení Symantec Integrated Enforcer pro Microsoft Network Access Protection není podporováno v zařízení Enforcer. Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP nebo předá ověření 802.1x přes server DHCP. Zařízení Symantec Integrated DHCP Enforcer je podporováno na platformě Windows. Zařízení Symantec Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP není podporováno v zařízení Enforcer. K čemu zařízení Symantec Network Access Control Enforcer slouží Volitelné zařízení Enforcer se instaluje do koncových bodů sítě pro externí nebo interní klienty. Zařízení Enforcer můžete nainstalovat například mezi síť a server VPN nebo před server DHCP. Můžete je také nastavit k vynucení na klientských počítačích připojených k síti pomocí přepínače s povoleným protokolem 802.1x nebo bezdrátového přístupového bodu. Zařízení Enforcer provádí ověřování hostitele, nikoli ověřování na úrovni uživatele. Zajišťuje, aby klientské počítače, které se pokoušejí připojit k podnikové síti, vyhovovaly podnikovým bezpečnostním zásadám. Bezpečnostní zásady společnosti můžete konfigurovat v aplikaci Symantec Endpoint Protection Manager. Jestliže klient zásady zabezpečení nesplňuje, může zařízení Enforcer provést tyto akce:

29 Úvod do modulu Enforcer K čemu zařízení Symantec Network Access Control Enforcer slouží 29 Zablokovat jeho přístup do sítě. Povolit přístup pouze k omezeným zdrojům. Volitelné zařízení Enforcer může klienta přesměrovat do oblasti karantény se serverem pro nápravu. Ze serveru pro nápravu může následně klient stáhnout požadovaný software, aplikace, soubory signatur nebo opravy. Část sítě už například může být nakonfigurována tak, aby se klienti připojovali k síti LAN přes přepínače s podporou ověřování 802.1x. V takovém případě lze zařízení LAN Enforcer použít u těchto klientů. Zařízení LAN Enforcer lze použít také pro klienty, kteří se připojují pomocí bezdrátového přístupového bodu s povoleným standardem 802.1x. Viz Jak funguje zařízení LAN Enforcer na straně 34. Viz Plánování instalace zařízení LAN Enforcer na straně 60. V síti mohou existovat i jiné části, které nejsou nastaveny pro podporu protokolu 802.1x. Pro správu a zabezpečení těchto klientů lze používat zařízení DHCP Enforcer. Viz Jak funguje zařízení DHCP Enforcer na straně 33. Viz Plánování instalace zařízení DHCP Enforcer na straně 52. Pokud jsou ve vaší společnosti zaměstnanci, kteří chtějí pracovat vzdáleně a připojovat se pomocí sítě VPN nebo telefonicky, můžete pro tyto klienty používat zařízení Gateway Enforcer. Zařízení Gateway Enforcer lze použít i v případě, že u bezdrátového přístupového bodu není povolen protokol 802.1x. Viz Jak funguje zařízení Gateway Enforcer na straně 32. Viz Plánování instalace zařízení Gateway Enforcer na straně 42. Pokud je vyžadována vysoká dostupnost, je možné na stejné místo nainstalovat více zařízení Gateway Enforcer, DHCP nebo LAN Enforcer a zajistit funkce pro bezpečné zotavení. Viz Plánování zotavení pro zařízení Gateway Enforcer na straně 49. Viz Plánování zotavení pro zařízení DHCP Enforcer na straně 57. Viz Plánování zotavení pro zařízení LAN Enforcer na straně 64. Pokud chcete pro zařízení LAN Enforcer implementovat vysokou dostupnost, musíte nainstalovat více zařízení LAN Enforcer a přepínač s podporou ověření 802.1x. Vysoké dostupnosti se dosáhne přidáním přepínače s podporou ověření 802.1x Pokud chcete nainstalovat pouze více zařízení LAN Enforcer bez přepínače

30 30 Úvod do modulu Enforcer Zásady integrity hostitele a modulu Enforcer s podporou ověření 802.1x, potom vysoká dostupnost selže. Přepínač s podporou ověření 802.1x můžete na vysokou dostupnost nakonfigurovat. Informace o konfiguraci přepínače protokolu 802.1x k zajištění vysoké dostupnosti získáte v dokumentaci k přepínači protokolu 802.1x. V některých síťových konfiguracích se klient může k síti připojovat pomocí více zařízení Enforcer. Až první zařízení Enforcer klientovi poskytne ověření, musí klienta ověřit všechny zbývající zařízení Enforcer dříve, než se klient může připojit k síti. Zásady integrity hostitele a modulu Enforcer Zásady zabezpečení, které všechna zařízení Enforcer kontrolují v klientských počítačích, se nazývají zásady integrity hostitele. Zásady integrity hostitele lze vytvářet a spravovat v konzole aplikace Symantec Endpoint Protection Manager. Zásady integrity hostitele určují software, který je nutné spustit na klientovi. Můžete například určit, že následující software zabezpečení umístěný v klientském počítači musí odpovídat určitým požadavkům: Antivirový software Antispywarový software Software pro bránu firewall Opravy Aktualizace Service Pack Pokud předdefinovaná nastavení nesplňují vaše požadavky, můžete je svým požadavkům přizpůsobit. Další informace o konfiguraci a přizpůsobení zásad integrity hostitele naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Klienty můžete nakonfigurovat tak, aby spouštěli kontrolu integrity hostitele v různou dobu. Jestliže se klient pokusí připojit k síti, spustí kontrolu integrity hostitele. Výsledky pak odešle do zařízení Enforcer. Zařízení Enforcer je obvykle nastaveno tak, aby ověřilo, že klient před získáním přístupu k síti prošel kontrolou integrity hostitele. Projde-li klient kontrolou integrity hostitele, znamená to, že vyhovuje zásadě integrity hostitele ve vaší společnosti. Každý typ zařízení Enforcer však definuje kritéria přístupu k síti trochu jinak. Viz Jak funguje zařízení Gateway Enforcer na straně 32.

31 Úvod do modulu Enforcer Zásady integrity hostitele a modulu Enforcer 31 Viz Jak funguje zařízení DHCP Enforcer na straně 33. Viz Jak funguje zařízení LAN Enforcer na straně 34. Komunikace mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager Modul Enforcer zůstává připojen k aplikaci Symantec Endpoint Protection Manager. V pravidelných intervalech (periodách prezenčního signálu) načítá zařízení Enforcer nastavení ze serveru pro správu, který řídí jeho činnost. Pokud uděláte na serveru pro správu nějaké změny, které ovlivní zařízení Enforcer, obdrží zařízení Enforcer aktualizaci během následujícího prezenčního signálu. Zařízení Enforcer pošle údaj o svém stavu na server pro správu. Může protokolovat události, které předá serveru pro správu. Tato informace se potom zaznamená do protokolů na serveru pro správu. Aplikace Symantec Endpoint Protection Manager uchovává seznam serverů pro správu s replikovanými daty databáze. Stahuje seznam serverů pro správu do připojených zařízení Enforcer i spravovaných a hostujících klientů. Jestliže zařízení Enforcer ztratí spojení s jedním serverem pro správu, může se připojit k dalšímu serveru pro správu, který je na seznamu serverů pro správu. Bude-li zařízení Enforcer restartováno, použije seznam serverů pro správu k obnově připojení k některému z nich. Jestliže se klient pokusí o připojení k síti prostřednictvím zařízení Enforcer, toto zařízení ověří identifikátor UID klienta. Zařízení Enforcer odešle identifikátor UID na server pro správu a přijme odpověď oznamující jeho přijetí nebo odmítnutí. Je-li v zařízení Enforcer konfigurováno ověřování UID, může získat informace ze serveru pro správu. Zařízení Enforcer potom může rozhodnout, zda profil klienta obsahuje nejnovější bezpečnostní zásady. Změní-li se na serveru pro správu informace o klientovi (identifikátor nebo profil klienta), může server pro správu tyto informace odeslat na zařízení Enforcer. Zařízení Enforcer může opět provést ověření klienta. Komunikace mezi zařízením Enforcer a klienty Komunikace mezi zařízením Enforcer a klientem začíná v okamžiku, kdy se klientský počítač pokusí připojit k síti. Zařízení Enforcer může zjistit, zda je klientská aplikace spuštěna. Pokud je spuštěna, modul Enforcer zahájí proces ověřování klientského počítače. Klient reaguje spuštěním kontroly integrity hostitele a odesláním výsledků a informací o profilu do modulu Enforcer. Klient rovněž odešle svůj jedinečný identifikátor UID, který modulu Enforcer předá aplikaci Manager k ověření. Zařízení Enforcer použije informace o profilu

32 32 Úvod do modulu Enforcer Jak funguje zařízení Gateway Enforcer k ověření, zda je klient aktualizován pomocí nejnovějších zásad zabezpečení. Pokud není, zařízení Enforcer upozorní klienta na nutnost aktualizace jeho profilu. Poté co zařízení DHCP Enforcer nebo Gateway Enforcer povolí připojení klienta k síti, pokračuje v komunikaci s klientem v pravidelných předem definovaných intervalech. Tato komunikace umožňuje zařízení Enforcer pokračovat v ověřování klienta. V případě zařízení LAN Enforcer je toto pravidelné ověřování zajišťováno přepínačem 802.1x. Přepínač 802.1x tak například zahájí novou relaci ověřování po uplynutí intervalu opakování ověřování. Modul Enforcer musí být stále spuštěn, v opačném případě klienti, kteří se pokoušejí připojit k podnikové síti, mohou být blokováni. Jak funguje zařízení Gateway Enforcer Zařízení Gateway Enforcers provádějí jednosměrnou kontrolu. Kontrolují klienty, kteří se pokoušejí připojit přes externí kartu NIC zařízení Gateway Enforcer k firemní síti. Zařízení Gateway Enforcer používá k ověření klienta tyto procesy: Když se klient pokusí o přístup k síti, zařízení Gateway Enforcer nejdříve zkontroluje, zdá má klient spuštěný klient Symantec Endpoint Protection nebo klient Symantec Network Access Control. Pokud má klient spuštěný software klienta, zařízení Gateway Enforcer začne s postupem ověřování hostitele. Klient spuštěný na uživatelském počítači provede kontrolu integrity hostitele. Potom předá výsledky zařízení Gateway Enforcer společně s informacemi o identifikaci a stavu bezpečnostních zásad. Zařízení Gateway Enforcer ve spolupráci s aplikací Symantec Endpoint Protection Manager ověří, zda je klient legitimním klientem a zda jsou jeho zásady zabezpečení aktuální. Zařízení Gateway Enforcer ověří, že klient prošel kontrolou integrity hostitele, a proto splňuje zásady zabezpečení. Po splnění všech postupů zařízení Gateway Enforcer povolí klientovi připojení k síti. Pokud klient nesplní požadavky pro přístup, zařízení Gateway Enforcer lze nastavit tak, aby prováděl následující akce: Sledování a protokolování určitých událostí. Blokování uživatelů, pokud kontrola integrity hostitele selže. Zobrazení místní zprávy na klientském počítači.

33 Úvod do modulu Enforcer Jak funguje zařízení DHCP Enforcer 33 Umožnění klientovi omezený přístup do sítě, aby mohl použít síťové prostředky k nápravě problému. Chcete-li nastavit ověřování zařízení Gateway Enforcer, můžete určit, jaké adresy IP klientů se mají kontrolovat. Můžete určit důvěryhodné externí adresy IP, které zařízení Gateway Enforcer povolí bez ověřování. V případě náprav můžete zařízení Gateway Enforcer nastavit tak, aby umožnilo klientům přístup k důvěryhodným interním adresám IP. Můžete například povolit klientům přístup k serveru aktualizací nebo souborovému serveru, které obsahují antivirové soubory DAT. V případě klientů bez klientského softwaru Symantec můžete směrovat klientské požadavky HTTP na webový server. Můžete například poskytnout další pokyny pro získání softwaru pro nápravu nebo umožnit klientovi stažení klientského softwaru. Zařízení Gateway Enforcer lze také nastavit tak, aby povolovalo přístup do sítě klientům s jiným operačním systémem než systémem Windows. Zařízení Gateway Enforcer funguje jako most, ne jako směrovač. Jakmile bude klient ověřen, zařízení Gateway Enforcer předá pakety pro umožnění přístupu klienta do sítě. Jak funguje zařízení DHCP Enforcer Zařízení DHCP Enforcer se používá ve spřaženém provozu jako zabezpečený most k prosazování zásad na ochranu vnitřní sítě. Klienti, kteří se pokoušejí připojit k síti, zašlou požadavek DHCP na přidělení dynamické adresy IP. Přepínač nebo směrovač (který funguje jako klient přenosu protokolu DHCP) nasměruje požadavek DHCP na zařízení DHCP Enforcer. Zařízení DHCP Enforcer je konfigurováno ve spřaženém provozu před serverem DHCP. Než předá požadavek DHCP serveru DHCP, zařízení DHCP Enforcer ověří, zda klienti splňují zásady zabezpečení. Pokud klient zásady zabezpečení splňuje, zařízení DHCP Enforcer odešle žádost klienta o adresu IP běžnému serveru DHCP. Jestliže klient zásady zabezpečení nesplňuje, modul Enforcer jej připojí ke karanténnímu serveru DHCP. Karanténní server přidělí klientovi konfiguraci karanténní sítě. Můžete nainstalovat jeden server DHCP na jeden počítač a nakonfigurovat jej tak, aby poskytoval jak normální, tak karenténní síťovou konfiguraci. Aby bylo řešení zařízení DHCP Enforcer kompletní, správce musí nastavit server pro nápravy. Server pro nápravu omezuje přístup klientů v karanténě, aby mohli komunikovat jen se serverem pro nápravu. Pokud je vyžadována vysoká dostupnost, je možné nainstalovat jedno nebo více zařízení DHCP Enforcer, a zajistit tak možnosti zotavení. Modul DHCP Enforcer vynutí dodržování bezpečnostních zásad na klientských počítačích, které se snaží zpřístupnit server DHCP. Pokud se ověření klientského počítače nezdaří, neblokuje požadavek DHCP. Zařízení DHCP předá požadavek

34 34 Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer DHCP karanténnímu serveru DHCP na krátkodobou síťovou konfiguraci v omezeném rozsahu. Jestliže klient nejprve odešle požadavek DHCP, zařízení DHCP Enforcer jej předá karanténnímu serveru DHCP za účelem vytvoření dočasné adresy IP s krátkou dobou zapůjčení. Zařízení DHCP Enforcer poté může zahájit proces ověřování klientského počítače. Zařízení ověřuje klientské počítače pomocí následujících způsobů: Když se klientský počítač pokusí o přístup do podnikové sítě, modul Enforcer nejprve zkontroluje, jestli je na klientském počítači spuštěn klientský software Symantec Network Access Control. Pokud má klient tento software spuštěný, modul Enforcer začne s postupem ověřování hostitele. Klientský software Symantec, který je spuštěn na klientském počítači, provede kontrolu integrity hostitele. Klient potom předá výsledky modulu Enforcer společně s informacemi o identifikaci a stavu bezpečnostních zásad. Zařízení DHCP Enforcer ve spolupráci s aplikací Symantec Endpoint Protection Manager ověří, zda je klient legitimním klientem a zda jsou jeho zásady zabezpečení aktuální. Zařízení DHCP Enforcer ověří, že klient prošel kontrolou integrity hostitele, a proto splňuje zásady zabezpečení. Jakmile úspěšně proběhnou všechny kroky, zařízení DHCP Enforcer zajistí, aby se adresa IP karantény uvolnila. Zařízení DHCP Enforcer poté přesměruje požadavek DHCP klienta na normální server DHCP. Klient poté obdrží normální adresu IP a síťovou konfiguraci. Nesplňuje-li klient bezpečnostní požadavky, zařízení DHCP Enforcer zajistí, aby se požadavek DHCP obnovil pomocí serveru DHCP karantény. Klient obdrží síťovou konfiguraci pro karanténu, které musí být nastavena, aby byl povolilen přístup k serveru pro nápravy. Zařízení DHCP Enforcer lze konfigurovat tak, aby povolil přístup k normálnímu serveru DHCP klientům s jinými operačními systémy, než je Windows. Jak funguje zařízení LAN Enforcer Zařízení LAN Enforcer funguje jako server proxy pro službu RADIUS (Remote Authentication Dial-In User Service). Zařízení LAN Enforcer můžete se serverem RADIUS používat k provádění těchto činností: Provádění tradičního ověření uživatele 802.1x/EAP.

35 Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer 35 Zabráníte v přístupu do sítě podvodným počítačům. Všichni uživatelé, kteří se pokoušejí připojit k síti, musejí nejprve projít ověřením na serveru RADIUS. Ověření, zda počítače klienta vyhovují zásadám zabezpečení nastaveným na serveru pro správu (ověření hostitele). Můžete vynutit používání zásad zabezpečení, například toho, že počítač musí mít správný antivirový software, opravy nebo jiný software. Můžete potvrdit, že je na počítači klienta spuštěn klient Symantec a že prošel kontrolou integrity hostitele. V sítích, které nepoužívají server RADIUS, provádí zařízení LAN Enforcer pouze ověření hostitele. Zařízení LAN Enforcer komunikuje s přepínačem nebo bezdrátovým přístupovým bodem, které podporují ověřování EAP/802.1x. Přepínač nebo bezdrátový přístupový bod je často konfigurován do dvou nebo více virtuálních místních počítačových sítí (VLAN). Klienti Symantec na klientských počítačích předávají přepínači informace EAP nebo informace o integritě hostitele pomocí protokolu EAPOL (EAP over LANs). Přepínač pak informace předá pro ověření zařízení LAN Enforcer. Zařízení LAN Enforcer můžete konfigurovat se sadou možných odpovědí na neúspěšné ověření. Tyto odpovědi závisí na typu neúspěchu ověření: ověření hostitele nebo ověření uživatele EAP. Jestliže používáte přepínač nebo bezdrátový přístupový bod, můžete zařízení LAN Enforcer nastavit na směrování ověřovaného klienta do jiné sítě VLAN. Přepínač nebo bezdrátový přístupový bod musí umožňovat dynamické přepínání funkce sítě VLAN. Sítě VLAN mohou obsahovat pomocné sítě VLAN. Pokud použijete modul LAN Enforcer společně se serverem RADIUS, můžete pro modul Enforcer konfigurovat více připojení k serveru RADIUS. Není-li navázáno sojení se serverem RADIUS, může se zařízení LAN Enforcer přepnout na jiný server. Kromě toho může být pro připojení k přepínači nastaveno více zařízení LAN Enforcer. Jestliže jedno zařízení LAN Enforcer selže, může ověřování zpracovat jiné zařízení. Jak funguje základní konfigurace modulu LAN Enforcer Jste-li obeznámen s ověřováním 802.1x, můžete se podívat na podrobnosti o klientech, kteří se pokouší do sítě přistupovat pomocí základní konfigurace. Tato informace může být užitečná pro řešení problémů s připojováním do sítě. Základní konfigurace modulu vynucení 802.1x LAN pracuje takto: Žadatel (například počítač klienta) se pokouší o přístup k síti prostřednictvím ověřovatele (například přepínače 802.1x).

36 36 Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer Přepínač počítač vidí a vyžaduje identifikaci. Žadatel 802.1x na počítači vyzve uživatele k zadání uživatelského jména a hesla a odešle identifikaci. Přepínač pak informace předá do modulu LAN Enforcer, který je předá serveru RADIUS. Server RADIUS generuje výzvu EAP pomocí výběru typu EAP, který je založen na jeho konfiguraci. Modul LAN Enforcer výzvu přijme, přidá výzvu integrity hostitele a předá ji přepínači. Přepínač předá výzvy EAP a integrity hostitele klientovi. Klient přijme výzvy a odešle odpověď. Přepínač přijme odpověď a předá ji modulu LAN Enforcer. Modul LAN Enforcer prozkoumá výsledek kontroly integrity hostitele a informace o stavu klienta a předá je serveru RADIUS. Server RADIUS provede ověření EAP a pošle výsledek zpět modulu LAN Enforcer. Modul LAN Enforcer přijme výsledek ověření a předá jej spolu s akcí, která bude provedena. Přepínač vybere vhodnou akci a v závislosti na výsledku umožní normální přístup do sítě, zablokuje přístup nebo umožní přístup do alternativní sítě VLAN. Jak funguje transparentní režim modulu LAN Enforcer Transparentní režim modulu LAN Enforcer funguje následujícím způsobem: Žadatel (například počítač klienta) se pokouší o přístup k síti prostřednictvím ověřovatele (například přepínače 802.1x). Ověřovatel vidí počítač a odešle paket ověření EAP (je povolen pouze provoz EAP). Klient, vystupující jako žadatel EAP, vidí paket ověření a reaguje ověřením integrity hostitele. Přepínač, který vystupuje jako server proxy RADIUS, odešle výsledky ověření integrity hostitele zařízení LAN Enforcer. Zařízení LAN Enforcer, které je založeno na výsledcích ověřování, pošle přepínači odpověď s informacemi o přiřazení sítě VLAN.

37 Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer 37 O ověřování 802.1x IEEE 802.1X-2001 je standard, který definuje řízení přístupu pro klasické i bezdrátové sítě LAN. Standard udává rámec pro ověřování a řízení uživatelského provozu v chráněné síti. Standard definuje použití protokolu EAP (Extensible Authentication Protocol), který pro ověřování používá centralizovaný server, například Remote Authentication Dial-In User Service (RADIUS). Server ověřuje uživatele, kteří se pokouší o přístup do sítě. Standard 802.1x zahrnuje specifikaci pro EAP-over-LAN (EAPOL). EAPOL se používá pro zapouzdření zpráv EAP v rámcích linkové vrstvy (například Ethernet) a nabízí také řídicí funkce. Architektura 802.1x zahrnuje následující klíčové komponenty: Ověřovatel Ověřovací server Žadatel Entita, která zprostředkovává ověřování, například přepínač nebo bezdrátový přístupový bod podporující ověřování 802.1x. Entita, která zajišťuje ověření potvrzením přihlašovacích údajů, které jsou zadány v odpovědi na výzvu, například server RADIUS. Entita, která usiluje o přístup k síti a snaží se o úspěšné ověření, například počítač. Když se žádající zařízení připojí k ověřujícímu síťovému přepínači s podporou 802.1x, proběhne následující proces: Přepínač vydá požadavek na identitu EAP. Software žadatele EAP vydá odpověď identity EAP, která je pomocí přepínače předána ověřovacímu serveru (například RADIUS). Ověřovací server vydá výzvu EAP, která je pomocí přepínače předána žadateli. Uživatel zadá přihlašovací údaje (uživatelské jméno a heslo, token apod.). Žadatel odešle odpověď na výzvu EAP, která obsahuje přihlašovací údaje uživatele, přepínači, který ji předá ověřovacímu serveru. Ověřovací server potvrdí údaje a odpoví výsledkem EAP nebo ověření uživatele, který udává úspěch nebo selhání ověření. Je-li ověření úspěšné, přepínač povolí přístup pro normální provoz. Nezdaří-li se ověření, přístup zařízení klienta je zablokován. Žadatel je o výsledku v obou případech informován. Během procesu ověřování je povolen pouze provoz EAP Další informace o protokolu EAP naleznete v dokumentu RFC 2284 od IETF na následující adrese:

38 38 Úvod do modulu Enforcer Podpora řešení pro vynucení jiných výrobců Další informace o standardu IEEE 802.1x naleznete v textu standardu na následující adrese: Podpora řešení pro vynucení jiných výrobců Společnost Symantec poskytuje řešení pro vynucení pro následující jiné výrobce: Univerzální programátorské rozhraní pro vynucování Společnost Symantec vyvinula univerzální programátorské rozhraní pro vynucování, aby ostatním dodavatelům s podobnou technologií umožnila integrovat jejich řešení se softwarem Symantec. Cisco Network Admissions Control Klienti společnosti Symantec mohou podporovat řešení vynucování Cisco Network Admissions Control. Kde lze získat další informace o zařízeních Enforcer společnosti Symantec Tab. 1-2 uvádí různé zdroje, které poskytují informace o souvisejících úkolech, které může být nutné provést před nebo po instalaci zařízení Enforcer. Tab. 1-2 Dokumentace k zařízení Symantec Enforcer Dokument k modulu Enforcer Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control Použití Popisuje postup instalace aplikace Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection a klientů Symantec Network Access Control. Vysvětluje také, jak nakonfigurovat vestavěnou databázi a databázi Microsoft SQL a nastavit replikaci. Popisuje postup konfigurace a správy aplikace Symantec Endpoint Protection Manager, klientů Symantec Endpoint Protection a klientů Symantec Network Access Control. Popisuje také nastavení zásad integrity hostitele, které modul Enforcer používá k implementaci shody v klientských počítačích.

39 Úvod do modulu Enforcer Kde lze získat další informace o zařízeních Enforcer společnosti Symantec 39 Dokument k modulu Enforcer Příručka klienta pro aplikaci Symantec Endpoint Protection a Symantec Network Access Control Příručka k implementaci Symantec Network Access Control Enforcer Nápověda online Nápověda online pro klienty On-Demand Nápověda k rozhraní příkazového řádku modulu Enforcer soubor readme.txt Použití Popisuje, jak používat klienty Symantec Endpoint Protection a Symantec Network Access Control. Popisuje instalaci a správu všech typů zařízení Symantec Network Access Control a integrovaných zařízení Enforcer. Také popisuje použití klientů On-demand pro systémy Macintosh a Linux. Vysvětluje, jak používat aplikaci Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection a klienty Symantec Network Access Control. Také popisuje použití jednotlivých zařízení Integrated Enforcer. Popisuje použití klientů On-demand v systémech Macintosh a Linux. Zadáte-li do příkazového řádku rozhraní příkazového řádku (CLI) znak?, zobrazí se nápověda. Obsahuje nejnovější informace o důležitých závadách spojených s modulem Enforcer, které mohou ovlivnit také aplikaci Symantec Endpoint Protection Manager.

40 40 Úvod do modulu Enforcer Kde lze získat další informace o zařízeních Enforcer společnosti Symantec

41 Kapitola 2 Plánování instalace modulu Enforcer Tato kapitola obsahuje následující témata: Plánování instalace zařízení Enforcer Plánování instalace zařízení Gateway Enforcer Plánování zotavení pro zařízení Gateway Enforcer Plánování instalace zařízení DHCP Enforcer Plánování zotavení pro zařízení DHCP Enforcer Plánování instalace zařízení LAN Enforcer Plánování zotavení pro zařízení LAN Enforcer Plánování instalace zařízení Enforcer Je nutné naplánovat, kde mají být v síti integrovány následující zařízení Symantec Network Access Control Enforcer pro systém Linux: Zařízení Symantec Network Access Control Gateway Enforcer Viz Plánování instalace zařízení Gateway Enforcer na straně 42. Zařízení Symantec Network Access Control DHCP Enforcer Viz Plánování instalace zařízení DHCP Enforcer na straně 52. Zařízení Symantec Network Access Control LAN Enforcer Viz Plánování instalace zařízení LAN Enforcer na straně 60. Symantec Network Access Control Integrated DHCP Enforcer pro servery Microsoft DHCP

42 42 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer Viz Plánování instalace zařízení Integrated Enforcer pro servery Microsoft DHCP na straně 309. Symantec Network Access Control Integrated DHCP Enforcer pro servery architektury NAP (Microsoft Network Access Protection) Viz Plánování instalace modulu Symantec Integrated NAP Enforcer na straně 373. Modul Symantec Network Access Control Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Viz Plánování instalace zařízení Integrated Lucent Enforcer na straně 327. Plánování instalace zařízení Gateway Enforcer Existuje více typů plánovacích informací, které vám pomohou implementovat zařízení Gateway Enforcers do sítě. Zařízení Gateway Enforcer můžete umístit tak, aby chránila následující oblasti v síti: Obecné umístění Viz Kam umístit zařízení Gateway Enforcer na straně 42. Viz Pokyny pro IP adresy v zařízení Gateway Enforcer na straně 45. Viz Dvě sériová zařízení Gateway Enforcer na straně 45. Viz Ochrana přístupu k VPN pomocí zařízení Gateway Enforcer na straně 46. Viz Ochrana bezdrátových přístupových bodů pomocí zařízení Gateway Enforcer na straně 46. Viz Ochrana serverů pomocí zařízení Gateway Enforcer na straně 46. Viz Ochrana serverů a klientů s jiným operačním systémem než Windows pomocí zařízení Gateway Enforcer na straně 46. Viz Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření na straně 47. Kam umístit zařízení Gateway Enforcer Zařízení Gateway Enforcers umístíte v místech, kde veškerý provoz musí projít přes zařízení Gateway Enforcer předtím, než klient může provádět následující akce: připojit se k firemní síti přistupovat k zabezpečeným oblastem sítě

43 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer 43 Viz Pokyny pro IP adresy v zařízení Gateway Enforcer na straně 45. Zařízení Gateway Enforcers lze obvykle umístit v následujících místech: síť VPN, Bezdrátový přístupový bod (WAP) Servery Mezi koncentrátory Virtual Private Network (VPN) a firemní síť Mezi body bezdrátového přístupu a firemní síť Před firemní servery Větší organizace mohou pro ochranu všech vstupních bodů sítě vyžadovat zařízení Gateway Enforcer. Zařízení Gateway Enforcers jsou obvykle umístěny v různých podsítích. Zařízení Gateway Enforcers můžete většinou integrovat do firemní sítě bez změn konfigurace hardwaru. Zařízení Gateway Enforcers můžete umístit u bodů bezdrátového přístupu (WAP) nebo virtuální privátní sítě (VPN). Ve firemní síti můžete chránit i servery, které obsahují citlivé informace. Zařízení Gateway Enforcer musí používat dvě síťové karty (NIC). Obr. 2-1 nabízí příklad toho, kam můžete umístit zařízení Gateway Enforcer v celkové síťové konfiguraci.

44 44 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer Obr. 2-1 Umístění zařízení Gateway Enforcers Vzdálení klienti VPN Bezdrátová síť Internet Mimo společnost V rámci společnosti Interní klienti v bezdrátové síti Brána firewall podnikové sítě Interní klienti Přístupový bod bezdrátové sítě Externí síťová karta Interní síťová karta Modul Gateway Enforcer Externí síťová karta Interní síťová karta Server VPN Modul Gateway Enforcer Externí síťová karta Interní síťová karta Páteř podnikové sítě Modul Gateway Enforcer Externí síťová karta Interní síťová karta Modul Gateway Enforcer Interní klienti Chráněné servery Symantec Endpoint Protection Manager Dalším umístěním, kde zařízení Gateway Enforcer chrání síť, je server vzdáleného přístupu (RAS). Klienti se mohou připojit k firemní síti přes telefonické připojení. Klienti pro telefonické připojení RAS se nastaví podobně jako bezdrátoví a VPN

45 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer 45 klienti. Externí karta NIC se připojí k serveru RAS a interní karta NIC se připojí k síti. Pokyny pro IP adresy v zařízení Gateway Enforcer Postupujte podle těchto pravidel při nastavování interní NIC adresy pro zařízení Gateway Enforcer: Interní karta NIC zařízení Gateway Enforcer musí komunikovat s aplikací Symantec Endpoint Protection Manager. Ve výchozím nastavení musí interní adresa NIC směřovat k zařízení Symantec Endpoint Protection Manager. Klienti musejí komunikovat s interní adresou IP zařízení Gateway Enforcer. Server VPN nebo bezdrátová AP mohou být v různých podsítích, pokud lze klienty směrovat do stejné podsítě jako interní adresu IP zařízení Gateway Enforcer. U zařízení Gateway Enforcer, které chrání interní servery, se interní NIC připojuje k VLAN, která se naopak připojuje k serverům. Pokud jako konfiguraci po selhání používáte více zařízení Gateway Enforcer, adresa IP interní NIC na jednotlivých zařízeních Gateway Enforcer musí být jedinečná. Zařízení Gateway Enforcer vygeneruje falešnou adresu externí karty NIC podle adresy interní karty NIC. Pokud nainstalujete další zařízení Gateway Enforcer, tuto konfiguraci již nemusíte provádět znovu. Dvě sériová zařízení Gateway Enforcer Pokud síť podporuje dvě zařízení Gateway Enforcer v sérii, takže se klient k síti připojí přes více než jedno zařízení Gateway Enforcer, musíte zadat modul Enforcer, který je nejblíže aplikaci Symantec Endpoint Protection Manager, jako důvěryhodnou interní adresu IP pro další zařízení Gateway Enforcer. Jinak před připojením klienta k síti může nastat pět minut zpoždění. Toto zpoždění může nastat, když klient spustí kontrolu integrity hostitele, která selže. Klient jako součást nápravy integrity hostitele stáhne požadované aktualizace softwaru. Poté klient znovu provádí kontrolu integrity hostitele. Nyní je kontrola integrity hostitele úspěšná, ale přístup do sítě se opozdí. Informace o důvěryhodných interních IP adresách naleznete v příručce Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control.

46 46 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer Ochrana přístupu k VPN pomocí zařízení Gateway Enforcer Ochrana přístupu k VPN je hlavním a nejobvyklejším důvodem používání zařízení Gateway Enforcer. Zařízení Gateway Enforcers můžete umístit ve vstupních bodech VPN pro zajištění přístupu do firemní sítě. Zařízení Gateway Enforcer je umístěno mezi serverem VPN a firemní sítí. Umožňuje přístup pouze autorizovaným uživatelům a zabraňuje vstupu kohokoliv jiného. Ochrana bezdrátových přístupových bodů pomocí zařízení Gateway Enforcer Zařízení Enforcer chrání firemní síť v bezdrátových přístupových bodech (WAP). Zařízení Gateway Enforcer zajišťuje, že každý, kdo se připojí k síti pomocí bezdrátové technologie, má spuštěného klienta a splňuje požadavky zabezpečení. Po splnění těchto podmínek je klientovi povolen přístup do sítě. Zařízení Gateway Enforcer je umístěno mezi WAP a firemní sítí. Externí NIC je nasměrována na WAP a interní NIC na podnikovou síť. Ochrana serverů pomocí zařízení Gateway Enforcer Zařízení Gateway Enforcers může chránit firemní servery obsahující důležité informace ve firemní síti. Organizace může mít uložená důležitá data na serverech umístěných v uzamčené počítačové místnosti. K této uzamčené místnosti mohou mít přístup jen správci systému. Zařízení Gateway Enforcer funguje jako další zámek na dveřích. K tomu využívá postup, jenž k chráněným serverům povolí přístup pouze uživatelům, kteří splňují jeho kritéria. Servery v tomto nastavení lokalizují interní NIC. Uživatelé, kteří chtějí získat přístup však musejí projít přes externí NIC. Pro ochranu těchto serverů můžete omezit přístup pouze na klienty s určenými adresami IP a nastavit přísná pravidla integrity hostitele. Můžete např. nakonfigurovat zařízení Gateway Enforcer pro ochranu serverů v síti. Zařízení Gateway Enforcer lze umístit mezi klienty ve firemní síti LAN a servery, které ji chrání. Externí NIC je nasměrována k firemní LAN ve společnosti a interní NIC na chráněné servery. Tato konfigurace brání neoprávněným uživatelům nebo klientům získat přístup k serverům. Ochrana serverů a klientů s jiným operačním systémem než Windows pomocí zařízení Gateway Enforcer Můžete nainstalovat server a klienty s jiným operačním systémem než Microsoft Windows. Zařízení Gateway Enforcer však nemůže ověřit některé klienty a servery, které nejsou spuštěny v počítači nepodporujícím systém Microsoft Windows.

47 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer 47 Pokud organizace obsahuje servery a klienty s operačními systémy, na kterých není instalován klientský software, musíte se rozhodnout, které z následujících způsobů použijete: Implementovat podporu přes zařízení Gateway Enforcer. Viz Implementace podpory jiných systémů než Windows pomocí zařízení Gateway Enforcer na straně 47. Implementovat podporu bez zařízení Gateway Enforcer. Viz Implementace podpory jiných systémů než Windows bez zařízení Gateway Enforcer na straně 47. Implementace podpory jiných systémů než Windows pomocí zařízení Gateway Enforcer Podporu klientů s jiným systémem než Windows můžete implementovat tak, že v zařízení Gateway Enforcer povolíte přístup k síti všem klientům s jiným systémem než Windows. Je-li zařízení Gateway Enforcer tímto způsobem nakonfigurováno, provádí detekci operačního systému za účelem identifikace těch klientů, kteří používají jiný systém než Windows. Implementace podpory jiných systémů než Windows bez zařízení Gateway Enforcer Podporu klientů s jiným systémem než Windows můžete implementovat tak, že jim povolíte přístup k síti přes samostatný přístupový bod. Následující klienty s jiným systémem než Windows můžete připojovat přes samostatný server VPN: Jeden server VPN podporuje klienty s nainstalovaným klientským softwarem. Klientské počítače se systémem Windows se mohou připojovat k firemní síti pomocí zařízení Gateway Enforcer. Další server VPN podporuje klienty spuštěné v jiných operačních systémech než Windows. Klientské počítače s jinými systémy než Windows se mohou připojovat k firemní síti bez zařízení Gateway Enforcer. Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření Zařízení Gateway Enforcer můžete nastavit na povolení klientů s jiným operačním systémem než Windows bez ověření. Viz Požadavky pro klienty s jiným systémem než Windows na straně 48.

48 48 Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer Když se klient pokusí o přístup do firemní sítě přes zařízení Gateway Enforcer, modul Enforcer nejdříve zkontroluje, jestli byl na klientském počítači instalován klientský software. Pokud se klient nespustí a je nastavena možno umožnit Klienty s jiným operačním systémem než Windows, zařízení Gateway Enforcer zkontroluje operační systém. Operační systém zkontroluje odesláním informačních paketů, kterými vyzkouší detekci právě spuštěného operačního systému. Pokud má klient spuštěný jiný operační systém než Windows, klient má umožněn běžný přístup do sítě. Požadavky pro klienty se systémem Windows Je-li zařízení Gateway Enforcer nakonfigurováno pro povolení přístupu klientům s jiným systémem než Windows, nejprve se snaží rozpoznat operační systém klienta. Je-li operační systém rozpoznán jako systém Windows, zařízení Gateway Enforcer klienta ověří. V opačném případě zařízení Gateway Enforcer umožní klientovi připojit se k síti bez ověření. Aby mohlo zařízení Gateway Enforcer správně identifikovat operační systém Windows, musí klient s tímto systémem splňovat následující požadavky: Na klientovi musí být nainstalována a povolena možnost Klient sítě Microsoft. Viz dokumentace k systému Windows. Na klientovi musí být otevřen port UDP 137. Zařízení Gateway Enforcer musí mít ke klientovi přístup. Pokud klient se systémem Windows tyto požadavky nesplňuje, může zařízení Gateway Enforcer rozpoznat takového klienta jako klienta s jiným systémem než Windows. Proto může zařízení Gateway Enforcer umožnit klientům s jiným systémem než Windows připojit se k síti bez ověření. Požadavky pro klienty s jiným systémem než Windows Má-li zařízení Gateway Enforcer povolit přístup k síti klientovi se systémem Macintosh, musí být splněny následující požadavky. Možnost Windows Sharing (sdílení oken) musí být zapnuta. Ve výchozím nastavení je možnost povolena. Vestavěná brána firewall systému Macintosh musí být vypnuta. Toto je výchozí nastavení. Pro klienty se systémem Linux má zařízení Gateway Enforcer následující požadavky:: Systém Linux musí mít spuštěnou službu Samba.

49 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení Gateway Enforcer 49 Plánování zotavení pro zařízení Gateway Enforcer Podnik může podporovat dvě zařízení Gateway Enforcer, která jsou konfigurovaná tak, aby nedošlo k přerušení provozu, když jedno ze zařízení selže. Když dojde k selhání zařízení Gateway Enforcer v síti, v níž není konfigurováno zotavení, přístup k síti v daném místě je automaticky zablokován. Když dojde k selhání zařízení Gateway Enforcer v síti, která neumožňuje zotavení po selhání, klienti se nebudou moci připojit k síti. Připojení klientů k síti bude blokováno, dokud se problém se zařízením Gateway Enforcer neodstraní. Zotavení u zařízení Gateway Enforcer je implementováno přes samotné zařízení místo přepínačů třetí strany. Je-li konfigurace správně nastavena, aplikace Symantec Endpoint Protection Manager automaticky synchronizuje nastavení pro zařízení Gateway Enforcer se zotavením po selhání. Jak zotavení při sehlání funguje se zařízeními Gateway Enforcer v síti Zařízení Gateway Enforcer, které je v provozu, se označuje jako aktivní zařízení Gateway Enforcer. Záložní zařízení Gateway Enforcer se označuje jako zařízení Gateway Enforcer v pohotovostním režimu. Aktivní zařízení Gateway Enforcer je také označováno jako primární. Pokud dojde k selhání aktivního zařízení Gateway Enforcer, převezme úlohy vynucování zařízení Gateway Enforcer v pohotovostním režimu. Dvě zařízení Gateway Enforcer jsou spuštěna v následujícím pořadí: První zařízení Gateway Enforcer je spuštěno v pohotovostním režimu. V pohotovostním režimu je síť vyzvána k určení, zda je spuštěno jiné zařízení Gateway Enforcer. Vyšle tři dotazy, s jejichž pomocí hledá jiné zařízení Gateway Enforcer. Proto může přejít do stavu Online až za několik minut. Jestliže první zařízení Gateway Enforcer nedetekuje jiné zařízení Gateway Enforcer, stane se aktivním zařízením. Když je aktivní zařízení Gateway Enforcer spuštěno, vysílá pakety zotavení v interních i externích sítích. Pakety zotavení vysílá nepřetržitě. Druhé zařízení Gateway Enforcer je spuštěno v pohotovostním režimu. Dotáže se sítě, zda je spuštěno jiné zařízení Gateway Enforcer. Druhé zařízení Gateway Enforcer poté detekuje aktivní zařízení Gateway Enforcer, které je spuštěno, a proto zůstane v pohotovostním režimu. Pokud dojde k selhání aktivního zařízení Gateway Enforcer, přestane vysílat pakety zotavení. Zařízení Gateway Enforcer v pohotovostním režimu již nedetekuje aktivní zařízení Gateway Enforcer. Proto se nyní stane aktivním zařízením Gateway Enforcer, které spravuje síťová připojení a zabezpečení v tomto umístění.

50 50 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení Gateway Enforcer Když spustíte druhé zařízení Gateway Enforcer, zůstane v pohotovostním režimu, protože detekuje, že je aktivní jiné zařízení Gateway Enforcer. Kam umístit zařízení Gateway Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN Nastavení zařízení Gateway Enforcer pro zotavení při selhání je určeno jeho fyzickým umístěním a konfigurací provedenou v aplikaci Symantec Endpoint Protection Manager. Pokud používáte rozbočovač s podporou více sítí VLAN, můžete používat jen jednu síť VLAN, pokud místo rozbočovače neintegrujete přepínač přizpůsobený protokolu 802.1q. Zařízení Gateway Enforcer pro zotavení při selhání je třeba instalovat ve stejném segmentu sítě. Mezi dvěma zařízeními Gateway Enforcer nesmí být instalovaný směrovač ani brána. Směrovač nebo brána nepředává pakety zotavení. Interní karty NIC musí být obě připojeny k interní síti prostřednictvím stejného přepínače nebo rozbočovače. Externí karty NIC musí být obě připojené k externímu serveru VPN nebo přístupovému bodu prostřednictvím stejného přepínače nebo rozbočovače. Konfigurace zařízení Gateway Enforcer pro zotavení při selhání je podobná u bezdrátového AP, telefonického připojení RAS nebo jiných přístupových bodů. Externí karty NIC obou zařízení Gateway Enforcer se připojují k externí síti prostřednictvím bezdrátového přístupového bodu nebo serveru RAS. Interní karty NIC budou připojeny k interní síti nebo chráněné oblasti. Obr. 2-2 znázorňuje instalaci dvou zařízení Gateway Enforcer pro zotavení při selhání pro ochranu přístupu k síti u koncentrátoru VPN.

51 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení Gateway Enforcer 51 Obr. 2-2 Umístění dvou zařízení Gateway Enforcers Vzdálení klienti VPN Internet Mimo společnost V rámci společnosti Brána firewall podnikové sítě Interní klientské počítače Server VPN Externí síťová karta Interní síťová karta Modul Gateway Enforcer 1 Rozbočovač/VLAN Externí síťová karta Interní síťová karta Modul Gateway Enforcer 2 Rozbočovač/VLAN Páteř podnikové sítě Interní klienti Chráněné servery Symantec Endpoint Protection Manager

52 52 Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer Nastavení zařízení Gateway Enforcer pro zotavení po selhání Než budete nastavovat zařízení Enforcer v pohotovostním režimu, měli byste se seznámit s principy zotavení po selhání u zařízení Gateway Enforcer. Viz Jak zotavení při sehlání funguje se zařízeními Gateway Enforcer v síti na straně 49. Jak nastavit zařízení Gateway Enforcer pro zotavení po selhání 1 Umístěte počítače v síti. Viz Kam umístit zařízení Gateway Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN na straně Nastavte interní karty NIC. Interní karty NIC u více zařízení Gateway Enforcer musí mít různé adresy IP. Viz Pokyny pro IP adresy v zařízení Gateway Enforcer na straně 45. Plánování instalace zařízení DHCP Enforcer Existuje více typů plánovacích informací, které vám pomohou implementovat zařízení DHCP Enforcer do sítě. Zařízení DHCP Enforcer můžete umístit tak, aby chránila následující oblasti v síti: Viz Kam umístit zařízení DHCP Enforcer v síti na straně 52. Viz Adresy IP zařízení DHCP Enforcer na straně 54. Viz Ochrana klientů s jiným systémem než Windows pomocí modulu vynucení DHCP na straně 55. Viz Server DHCP na straně 56. Kam umístit zařízení DHCP Enforcer v síti Chcete-li umožnit zařízení DHCP Enforcer zachytávání všech zpráv DHCP mezi klienty DHCP a servery DHCP, musíte zařízení DHCP Enforcer nainstalovat jako inline zařízení. Zařízení DHCP Enforcer je třeba nainstalovat mezi klienty a server DHCP. Interní síťová karta zařízení DHCP Enforcer se připojuje k serverům DHCP. Externí síťová karta zařízení DHCP Enforcer se připojuje ke klientům přes směrovač nebo přepínač, který funguje jako agent pro přenos protokolu DHCP. K externí kartě NIC zařízení DHCP Enforcer se rovněž připojuje aplikace Symantec Endpoint Protection Manager.

53 Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer 53 Jedno zařízení DHCP Enforcer lze nakonfigurovat pro komunikaci s více servery DHCP. V jedné podsíti můžete mít například více serverů DHCP pro účely zotavení po selhání. Máte-li servery DHCP v různých lokacích sítě, vyžaduje každý z nich samostatné zařízení DHCP Enforcer. Pro lokaci každého serveru DHCP je třeba nakonfigurovat normální server DHCP a karanténní server DHCP. Modulu Enforcer lze nakonfigurovat pro rozpoznávání více karanténních serverů DHCP, stejně jako více normálních serverů DHCP. Poznámka: Jeden server DHCP je možné nainstalovat na jeden počítač a nakonfigurovat jej tak, aby poskytoval jak normální, tak karanténní síťovou konfiguraci. Rovněž je třeba nastavit server pro nápravu, aby se klienti, kteří přijímají karanténní konfigurace, mohli k tomuto serveru připojovat. Aplikace Symantec Endpoint Protection Manager může být spuštěna na stejném počítači jako server pro nápravu. Aplikace Symantec Endpoint Protection Manager ani server pro nápravu nevyžadují přímé připojení k zařízení DHCP Enforcer ani serverům DHCP. Pokud klient splňuje požadavky zabezpečení, potom zařízení DHCP Enforcer funguje jako agent pro přenos protokolu DHCP. Zařízení DHCP Enforcer připojí klienta k normálnímu serveru DHCP a klient obdrží obvyklou síťovou konfiguraci. Nesplňuje-li klient bezpečnostní požadavky, zařízení DHCP Enforcer jej připojí ke karanténnímu serveru DHCP. Klient následně obdrží karanténní síťovou konfiguraci. Obr. 2-3 je příkladem toho, jaké součásti zařízení DHCP Enforcer vyžaduje a kde jsou umístěny. Poznámka: I když je na obrázku karanténní server DHCP znázorněn jako samostatný počítač, ve skutečnosti stačí počítač pouze jeden. Použijete-li jeden počítač, musíte nakonfigurovat server DHCP tak, aby poskytoval dvě různé síťové konfigurace. Jedna z těchto konfigurací musí být karanténní.

54 54 Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer Obr. 2-3 Umístění zařízení DHCP Enforcer Symantec Endpoint Protection Manager Klienti Agent pro přenos Servery Páteř podnikové sítě Směrovač/přepínač Externí síťová karta Interní síťová karta Zařízení DHCP Enforcer Směrovač/přepínač Server DHCP Adresy IP zařízení DHCP Enforcer Při nastavování adresy IP zařízení DHCP Enforcer je nutné dodržovat určité zásady. Při konfiguraci interní síťové karty zařízení DHCP Enforcer dodržujte tyto zásady: Interní adresa IP zařízení DHCP Enforcer musí být ve stejné podsíti jako servery DHCP. Klienti musejí komunikovat s interní adresou IP zařízení DHCP Enforcer.

55 Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer 55 Používáte-li zařízení DHCP Enforcer, nakonfigurovaných pro zotavení po selhání, musí mít každý z nich jinou adresu IP interní síťové karty. Používáte-li více zařízení DHCP Enforcer, nakonfigurovaných pro zotavení po selhání, musí být klienti schopni komunikovat s interními adresami IP jak aktivních zařízení DHCP Enforcer, tak zařízení DHCP Enforcer v pohotovostním režimu. Postupujte podle těchto pravidel při nastavování externí NIC pro zařízení Enforcer: Externí adresa IP zařízení DHCP Enforcer musí podporovat komunikaci s aplikací Symantec Endpoint Protection Manager. Musí být ve stejné podsíti jako rozsah adres IP interní síťové karty. V tomto případě je aplikace Symantec Endpoint Protection Manager umístěna na jedné straně přepínače a zařízení DHCP Enforcer na jeho druhé straně. Pokud jako konfiguraci po selhání používáte více zařízení DHCP Enforcer, adresa IP externí NIC na jednotlivých zařízeních DHCP Enforcer musí být odlišná. Ochrana klientů s jiným systémem než Windows pomocí modulu vynucení DHCP Software Symantec Endpoint Protection nebo Symantec Network Access Control lze nainstalovat pouze na klienty používající operační systém Microsoft Windows. Bez softwaru Symantec Endpoint Protection nedokáže modul DHCP Enforcer klienty ověřit. Pokud se v organizaci nachází klienti s operačním systémem, na němž tento software není podporován (např. Linux nebo Solaris), potom byste se při svém plánování měli zamyslet nad tím, jak budete v případě takových klientů postupovat. Podporu pro klienty s jiným systémem než Windows můžete implementovat například tak, že v zařízení DHCP Enforcer povolíte přístup k síti všem klientům s jiným systémem než Windows. Je-li zařízení DHCP Enforcer tímto způsobem nakonfigurováno, provádí detekci operačního systému za účelem identifikace těch klientů, kteří používají jiný systém než Windows. Alternativní metodou může být nakonfigurování zařízení Enforcer DHCP takovým způsobem, aby povoloval přístup k podnikové síti pouze určitým adresám MAC. Pokusí-li se klient s důvěryhodnou adresou MAC připojit k síti, předá modul DHCP Enforcer klientův požadavek DHCP normálnímu serveru DHCP bez ověření.

56 56 Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer Server DHCP Pro karanténní server DHCP můžete použít samostatný počítač. Rovněž je možné nakonfigurovat jeden server DHCP pro poskytování jak normální, tak karanténní síťové konfigurace. V karanténní síťové konfiguraci je třeba zajistit přístup k následujícím součástem: Server pro nápravu Symantec Endpoint Protection Manager Server DHCP Zařízení DHCP Enforcer Používáte-li více zařízení DHCP Enforcer pro zotavení po selhání, měla by karanténní síťová konfigurace poskytovat k těmto součástem přístup. Karanténní adresa IP je během ověřování zařízení DHCP Enforcer používána následujícím způsobem: Nejprve získá zařízení DHCP Enforcer dočasnou karanténní adresu IP pro klienta, aby mohl provést jeho ověření. Je-li ověření úspěšné, odešle zařízení DHCP Enforcer klientovi upozornění, v němž ho vyzve, aby neprodleně provedl uvolnění a obnovení IP adresy. Konfigurace karantény vyžaduje kratší dobu pronájmu. Společnost Symantec doporučuje 2 minuty. Při použití dvou serverů DHCP můžete nastavit rozsah adres IP, který se nepřekrývá s rozsahem normálních síťových adres IP. Pro karanténu neověřených klientů můžete potom použít jakoukoli adresu IP z vyhrazeného rozsahu adres. Zároveň však karanténní rozsah adres IP musí být umístěn ve stejné podsíti jako normální síťové adresy IP. Je možné přiřadit několik omezených adres IP, které bude moci server DHCP používat. Pro zabránění přístupu těchto omezených IP adres k běžným síťovým zdrojům můžete také použít směrovač nebo přepínač podporující seznamy řízení přístupu (ACL). Pokud používáte jeden server DHCP, je třeba nakonfigurovat uživatelskou třídu s názvem SYGATE_ENF, která se používá pro karanténní konfiguraci. Některé konfigurační kroky se provádí na serveru DHCP. Jiné konfigurační kroky se provádí v konzole modulu Enforcer po dokončení instalace. Normální a karanténní server DHCP na jednom serveru DHCP Stejný server je možné použít pro normální i karanténní server DHCP. Doporučujeme však používat dva servery. Pokud chcete používat jeden server DHCP současně jako normální a karanténní server, je třeba při konfiguraci zvážit následující skutečnosti:

57 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení DHCP Enforcer 57 Servery DHCP společnosti Microsoft nepodporují více podsítí. Používáte-li servery DHCP společnosti Microsoft, může být použití dvou serverů DHCP nezbytné. Chcete-li mít pouze jeden server DHCP společnosti Microsoft, musí všechny počítače používat stejnou podsíť adres IP. Pokud se nacházíte v prostředí, které používá dvě odlišné podsítě, měli byste se ujistit, že směrovače dokáží spravovat dvě podsítě pomocí jediného rozhraní směrovače. Například směrovače společnosti Cisco mají pro tyto účely funkci nazvanou IP secondary. Další informace naleznete v dokumentaci ke směrovači. Plánování zotavení pro zařízení DHCP Enforcer V podniku lze konfigurovat dvě zařízení DHCP Enforcer, aby byl zajištěn nepřerušený provoz v síti, pokud jedno ze zařízení DHCP Enforcer selže. Když dojde k selhání zařízení DHCP Enforcer v síti, v níž není konfigurováno zotavení, přístup k síti v daném místě je automaticky zablokován. Když dojde k selhání zařízení DHCP Enforcer v síti, která neumožňuje zotavení po selhání, uživatelé se nebudou moci připojit k síti. Tento problém trvá, dokud nebude opraven problém se zařízením DHCP Enforcer. Zotavení u zařízení DHCP Enforcer je implementováno přes samotné zařízení místo přepínačů třetí strany. Je-li hardwarová konfigurace správně nastavena, aplikace Symantec Endpoint Protection Manager automaticky synchronizuje nastavení pro zařízení DHCP Enforcer se zotavením při selhání. Jak zotavení při sehlání funguje se zařízeními DHCP Enforcer v síti Zařízení DHCP Enforcer, které je v provozu, se označuje jako aktivní zařízení DHCP Enforcer. Záložní zařízení DHCP Enforcer se označuje jako zařízení DHCP Enforcer v pohotovostním režimu. Aktivní zařízení DHCP Enforcer je také označováno jako primární. Pokud dojde k selhání aktivního zařízení DHCP Enforcer, převezme úlohy vynucování zařízení DHCP Enforcer v pohotovostním režimu. Dvě zařízení DHCP Enforcer jsou spuštěna v následujícím pořadí: Když je spuštěno první zařízení DHCP Enforcer, běží v pohotovostním režimu a pošle do sítě dotaz, zda je spuštěno jiné zařízení DHCP Enforcer. Vyšle tři dotazy, s jejichž pomocí hledá jiné zařízení DHCP Enforcer. Proto může přejít do stavu Online až za několik minut. Pokud nenalezne jiné zařízení DHCP Enforcer, stane se aktivním zařízením DHCP Enforcer.

58 58 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení DHCP Enforcer Když je aktivní zařízení DHCP Enforcer spuštěno, vysílá pakety zotavení v interních i externích sítích. Pakety zotavení vysílá nepřetržitě. Poté je spuštěno druhé zařízení DHCP Enforcer. Spustí se v pohotovostním režimu a dotazuje se v síti, zda už je spuštěno jiné zařízení DHCP Enforcer. Druhé zařízení DHCP Enforcer poté detekuje aktivní zařízení DHCP Enforcer, které je spuštěno, a proto zůstane v pohotovostním režimu. Pokud dojde k selhání aktivního zařízení DHCP Enforcer, přestane vysílat pakety zotavení. Zařízení DHCP Enforcer v pohotovostním režimu již nedetekuje aktivní zařízení DHCP Enforcer. Nyní se stane aktivním zařízením DHCP Enforcer, které spravuje síťová připojení a zabezpečení v tomto umístění. Když spustíte druhé zařízení DHCP Enforcer, zůstane v pohotovostním režimu, protože detekuje, že je spuštěné jiné zařízení DHCP Enforcer. Kam umístit zařízení DHCP Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN Nastavení zařízení DHCP Enforcer pro zotavení při selhání je určeno jejich fyzickým umístěním a konfigurací provedenou v aplikaci Symantec Endpoint Protection Manager. Pokud používáte rozbočovač s podporou více sítí VLAN, můžete používat jen jednu síť VLAN, pokud místo rozbočovače neintegrujete přepínač přizpůsobený protokolu 802.1q. Zařízení DHCP Enforcer pro zotavení při selhání je třeba instalovat ve stejném segmentu sítě. Mezi dvěma zařízeními DHCP Enforcer nesmí být instalovaný směrovač ani brána. Směrovač nebo brána nepředává pakety zotavení. Interní karty NIC musí být obě připojeny k interní síti prostřednictvím stejného přepínače nebo rozbočovače. Externí karty NIC musí být obě připojené k externímu serveru VPN nebo přístupovému bodu prostřednictvím stejného přepínače nebo rozbočovače. Konfigurace zařízení DHCP Enforcer pro zotavení při selhání je podobná u bezdrátového AP, telefonického připojení RAS nebo jiných přístupových bodů. Externí karty NIC obou zařízení DHCP Enforcer se připojují k externí síti prostřednictvím bezdrátového přístupového bodu nebo serveru RAS. Interní karty NIC budou připojeny k interní síti nebo chráněné oblasti. Obr. 2-4 znázorňuje instalaci dvou zařízení DHCP Enforcer pro zotavení při selhání pro ochranu přístupu k síti u koncentrátoru VPN.

59 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení DHCP Enforcer 59 Obr. 2-4 Umístění dvou zařízení DHCP Enforcers Klienti Symantec Endpoint Protection Manager Agent pro přenos Páteř podnikové sítě Servery Externí síťová karta Interní síťová karta Zařízení DHCP Enforcer Rozbočovač/přepínač Rozbočovač/přepínač Zařízení DHCP Enforcer pro zotavení Externí síťová karta Interní síťová karta Server DHCP Nastavení zařízení DHCP Enforcer pro zotavení při selhání Než budete nastavovat zařízení DHCP Enforcer v pohotovostním režimu, měli byste se seznámit s principy zotavení po selhání u zařízení DHCP Enforcer. Viz Jak zotavení při sehlání funguje se zařízeními DHCP Enforcer v síti na straně 57.

60 60 Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer Jak nastavit zařízení DHCP Enforcer pro zotavení při selhání 1 Umístěte počítače v síti. Viz Kam umístit zařízení DHCP Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN na straně Nastavte externí a interní karty NIC. Externí karty NIC u více zařízení DHCP Enforcer musí mít různé adresy IP. Externí karty NIC u více zařízení DHCP Enforcer musí mít různé adresy IP. Viz Adresy IP zařízení DHCP Enforcer na straně Nainstalujte a spusťte primární zařízení DHCP Enforcer. Pokud primární zařízení DHCP Enforcer nenajde jiné zařízení DHCP Enforcer, převezme roli aktivního zařízení. 4 Nainstalujte a spusťte zařízení DHCP Enforcer v pohotovostním režimu. 5 Připojte záložní zařízení DHCP Enforcer ke stejné aplikaci Symantec Endpoint Protection Manager jako aktivní zařízení DHCP Enforcer. Pokud jsou obě zařízení DHCP Enforcer spuštěná stejně dlouho, primární zařízení bude to s nižší adresou IP. Zotavení při selhání je v aplikaci Symantec Endpoint Protection Manager automaticky povoleno. Aplikace Symantec Endpoint Protection Manager automaticky přiřadí záložní zařízení DHCP Enforcer ke stejné skupině Enforcer. Proto jsou nastavení primárního a záložního zařízení DHCP synchronizována. Ve výchozí konfiguraci jsou povolena následující nastavení zotavení: Výchozí nastavení portu UDP zotavení je Zařízení DHCP Enforcer používají tento port pro vzájemnou komunikaci. Výchozí úroveň citlivosti pro zotavení je Vysoká (méně než 5 sekund). Úroveň citlivosti pro zotavení určuje, jak rychle se záložní zařízení DHCP Enforcer stane primárním. K převzetí po selhání dojde, pouze pokud záložní zařízení DHCP Enforcer detekuje, že primární zařízení už není aktivní. Plánování instalace zařízení LAN Enforcer Existuje více typů plánovacích informací, které vám pomohou implementovat zařízení LAN Enforcer do sítě. Viz Kam umístit zařízení LAN Enforcer na straně 61.

61 Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer 61 Kam umístit zařízení LAN Enforcer Zařízení LAN Enforcer funguje jako server proxy pro službu RADIUS. Správci většinou používají zařízení LAN Enforcer spolu se serverem RADIUS k vynucení ověřování protokolem 802.1x Extensible Authentication Protocol (EAP) v rámci podnikové sítě. Je-li v této konfiguraci použito zařízení LAN Enforcer, musí mít možnost komunikovat se serverem RADIUS. Zařízení LAN Enforcer můžete například připojit k přepínači přizpůsobenému protokolu 802.1x v interní síti VLAN, která obsahuje aplikaci Symantec Endpoint Protection Manager, server RADIUS a klienty. Počítač, na kterém není klientský software, se nemůže k síti připojit. Takový klient je nasměrován na server pro nápravu, z něhož může získat software potřebný pro připojení k síti. Obr. 2-5 uvádí příklad vhodného umístění zařízení LAN Enforcer v rámci celkové konfigurace interní sítě.

62 62 Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer Obr. 2-5 Umístění zařízení LAN Enforcer Klienti VLAN nápravy Přepínač LAN s protokolem podporujícím standard 802.1x a porty dot1x povolenými pro interní klienty Server pro nápravu Server RADIUS Zařízení LAN Enforcer (proxy server RADIUS) Páteř podnikové sítě Chráněné servery Symantec Endpoint Protection Manager Pokud přepínač podporuje dynamické přepínání sítě VLAN, je v něm možné nakonfigurovat další sítě VLAN, k nimž bude možný přístup přes zařízení LAN Enforcer. Přepínač přizpůsobený protokolu 802.1x může klienta po přijetí odpovědi ze serveru RADIUS dynamicky zařadit do sítě VLAN. Některé přepínače přizpůsobené protokolu 802.1x podporují také funkci výchozí a hostované sítě

63 Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer 63 VLAN. Nemá-li klient žádného žadatele o ověření 802.1x, může jej přepínač zařadit do výchozí sítě VLAN. Zařízení LAN Enforcer můžete použít pro povolení ověřování protokolem EAP v rámci sítě s již zavedeným vybavením. Zařízení LAN Enforcer společnosti Symantec dokáže spolupracovat se stávajícími servery RADIUS, žadateli o ověření 802.1x a přepínači přizpůsobenými protokolu 802.1x. Provádějí ověřování na úrovni počítače. Dohlíží na to, aby byl klient v souladu se zásadami zabezpečení. Kontroluje například, zda byl antivirový software aktualizován nejnovějšími soubory signatur a požadovanými softwarovými opravami. Žadatel o ověření 802.1x a server RADIUS provádí ověřování na uživatelské úrovni. Ověřuje, zda klienti, kteří se snaží připojit k síti, jsou opravdu těmi, za něž se vydávají. Zařízení LAN Enforcer může pracovat také v transparentním režimu, v němž odpadá potřeba serveru RADIUS. V transparentním režimu odpoví klient na výzvu EAP tak, že předá informace o integritě hostitele přepínači přizpůsobenému protokolu 802.1x. Přepínač pak tyto informace předá zařízení LAN Enforcer. To následně pošle výsledky ověření zpět přepínači přizpůsobenému protokolu 802.1x. Informace, které zařízení LAN Enforcer odesílá, jsou založeny na výsledcích ověření platnosti integrity hostitele. Zařízení LAN Enforcer tedy nevyžaduje žádnou komunikaci se serverem RADIUS. Pro zařízení LAN Enforcer jsou k dispozici následující konfigurace: Základní konfigurace Tato konfigurace vyžaduje server RADIUS a žadatele o ověření 802.1x třetích stran. Je prováděno jak tradiční ověřování uživatele protokolem EAP, tak ověřování platnosti integrity hostitele. Transparentní režim Tato konfigurace nevyžaduje server RADIUS ani žadatele o ověření 802.1x třetích stran. Je prováděno pouze ověřování platnosti integrity hostitele. Můžete vzít v úvahu následující skutečnosti: Plánujete instalaci žadatele o ověření 802.1x na všech počítačích? Pokud ano, zřejmě pro vás bude nejlepším řešením základní konfigurace. Chcete vedle kontroly integrity hostitele provádět také ověřování na uživatelské úrovni? Pokud ano, měli byste použít základní konfiguraci. Plánujete v rámci sítě používat server RADIUS? Pokud ano, můžete použít buď základní konfiguraci, nebo transparentní režim. Pokud ne, je nezbytné použít transparentní režim.

64 64 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení LAN Enforcer Plánování zotavení pro zařízení LAN Enforcer Pokud máte v síti instalována dvě zařízení LAN Enforcer, zotavení při selhání řídí přepínač přizpůsobený protokolu 802.1x. Přepínač přizpůsobený protokolu 802.1x. může podporovat více zařízení LAN Enforcer. Nastavení zařízení LAN Enforcer lze snadno synchronizovat v aplikaci Symantec Endpoint Protection Manager pomocí synchronizačního nastavení. Chcete-li synchronizovat nastavení jednoho zařízení LAN Enforcer s jiným zařízením LAN Enforcer, je třeba v konzole Enforcer zadat stejný název skupiny. Pokud v síti používáte server RADIUS, můžete zajistit zotavení při selhání serveru RADIUS tím, že nakonfigurujete v zařízení LAN Enforcer připojení k více serverům RADIUS. Pokud budou nedostupné všechny servery RADIUS nakonfigurované pro dané zařízení LAN Enforcer, přepínač bude předpokládat, že zařízení LAN Enforcer je nedostupné. Proto se přepínač přizpůsobený protokolu 802.1x připojí k jinému zařízení LAN Enforcer, které zajistí další podporu při selhání. Kam umístit zařízení LAN Enforcer pro zotavení při selhání v síti Obr. 2-6 popisuje, jak pro zařízení LAN Enforcer zajistit zotavení po selhání.

65 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení LAN Enforcer 65 Obr. 2-6 Umístění dvou zařízení LAN Enforcer Klienti VLAN nápravy Server pro nápravu Přepínač LAN s protokolem podporujícím standard 802.1x a porty dot1x povolenými pro interní klienty Server RADIUS Server RADIUS pro zotavení Zařízení LAN Enforcer (proxy server RADIUS) Páteř podnikové sítě Chráněné servery Symantec Endpoint Protection Manager

66 66 Plánování instalace modulu Enforcer Plánování zotavení pro zařízení LAN Enforcer

67 Kapitola 3 Aktualizace a migrace bitových kopií modulu Enforcer Tato kapitola obsahuje následující témata: Aktualizace a migrace bitových kopií modulu Enforcer na verzi Zjištění aktuální verze bitové kopie modulu Enforcer Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo na Migrace bitové kopie modulu Enforcer z verze 5.1.x na Opětovné vytváření bitové kopie zařízení Enforcer Aktualizace a migrace bitových kopií modulu Enforcer na verzi Než naplánujete aktualizaci, migraci nebo opětovné vytvoření bitové kopie softwaru modulu Enforcer, může být zapotřebí zjistit jeho verzi. Viz Zjištění aktuální verze bitové kopie modulu Enforcer na straně 68. Chcete-li se připojit k aplikaci Symantec Endpoint Protection Manager verze , může být zapotřebí aktualizovat bitovou kopii modulu Enforcer na verzi Aktualizace vám umožní využívat nové funkce dostupné v zařízení Symantec Network Access Control Enforcer verze Pro aktualizaci bitové kopie modulu Enforcer si můžete zvolit jeden z těchto způsobů:

68 68 Aktualizace a migrace bitových kopií modulu Enforcer Zjištění aktuální verze bitové kopie modulu Enforcer Aktualizovat aktuální bitovou kopii modulu Enforcer. Viz Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo na na straně 68. Provést migraci z bitové kopie modulu Enforcer 5.1.x na verzi Viz Migrace bitové kopie modulu Enforcer z verze 5.1.x na na straně 69. Přeinstalovat předchozí bitovou kopii jinou bitovou kopií modulu Enforcer. Viz Opětovné vytváření bitové kopie zařízení Enforcer na straně 70. Zařízení Symantec Network Access Control Enforcer verze funguje s následujícími verzemi aplikace Symantec Endpoint Protection Manager: verze verze Zjištění aktuální verze bitové kopie modulu Enforcer Měli byste určit aktuální verzi bitové kopie, která je podporována v zařízení Enforcer. Nejnovější verze je Pokud používáte verzi, která předchází verzi , měli byste ji zkusit upgradovat nebo migrovat. Pokud například zjistíte verzi bitové kopie zařízení DHCP Enforcer, výsledek může vypadat následovně: Symantec Network Access Control Enforcer 6100 Series - v build XXXX, ,19:09 DHCP Enforcer mode Jak zjistit aktuální verzi bitové kopie modulu Enforcer Zadejte následující příkaz do příkazového řádku v modulu Enforcer: show version Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo na Pro upgradu bitové kopie modulu Enforcer z verze 11.0 nebo na verzi můžete použít následující metodu.

69 Aktualizace a migrace bitových kopií modulu Enforcer Migrace bitové kopie modulu Enforcer z verze 5.1.x na Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo na Vložte disk CD do jednotky CDROM v modulu Enforcer. 2 V konzole modulu Enforcer zadejte následující příkaz: Enforcer# update Migrace bitové kopie modulu Enforcer z verze 5.1.x na Pro aktualizaci bitové kopie zařízení Enforcer z verze 5.1 na verzi můžete použít následující metodu. Migrace bitové kopie modulu Enforcer z verze 5.1.x na pomocí disku USB (Universal Serial Bus). Migrace bitové kopie modulu Enforcer z verze 5.1.x na ze serveru TFTP. Jak provést migraci bitové kopie modulu Enforcer z verze 5.1.x na pomocí disku USB. 1 Zkopírujte dva soubory aktualizace, initrd-enforcer.img.gpg a seznam balíků, na disk USB. 2 Spuštěním následujícího příkazu se modul Enforcer automaticky aktualizuje: Enforcer# update Viz Update na straně 238. Jak provést migraci bitové kopie modulu Enforcer z verze 5.1.x na ze serveru TFTP 1 Nahrajte dva soubory aktualizace, initrd-enforcer.img.gpg a seznam balíků, na server TFTP (Trivial File Transfer Protocol), k němuž se modul Enforcer může připojit. 2 V konzole modulu Enforcer spusťte následující příkaz: Enforcer:# update tftp://ip address of TFTP server Viz Update na straně Po výzvě ke spuštění nové bitové kopie vyberte možnost Y.

70 70 Aktualizace a migrace bitových kopií modulu Enforcer Opětovné vytváření bitové kopie zařízení Enforcer 4 Chcete-li zařízení Enforcer po použití nové bitové kopie restartovat, vyberte 1. Nedoporučuje se spouštět novou bitovou kopii bez restartování zařízení Enforcer. 5 Přihlaste se k zařízení Enforcer. 6 Viz Přihlášení k modulu Enforcer na straně 82. Opětovné vytváření bitové kopie zařízení Enforcer Modul Enforcer je dodáván se softwarem pro opětovné vytváření bitové kopie pro všechny moduly Enforcer: Gateway, LAN a DHCP. Software pro opětovné vytváření bitové kopie obsahuje zabezpečený operační systém Linux a software modulu Enforcer pro náhradu bitové kopie zařízení Enforcer. Když spustíte instalaci z disku CD, smaže proces opětovného vytváření bitové kopie existující konfiguraci na modul Enforcer. Nové soubory se instalují přes ty existující. Jakákoli dříve nastavená konfigurace modulu Enforcer bude ztracena. Můžete nainstalovat jiný typ bitové kopie zařízení Enforcer, potřebujete-li změnit typ, který používáte. Pokud změníte typ bitové kopie modulu Enforcer, může se změnit umístění zařízení Enforcer v podnikové síti. Viz Plánování instalace zařízení Enforcer na straně 41. Opětovné vytvoření bitové kopie modulu Enforcer 1 Vložte disk CD do jednotky CD-ROM v modulu Enforcer. 2 V příkazovém řádku zadejte následující příkaz: Enforcer:# reboot Tento příkaz restartuje modul Enforcer. 3 V nabídce instalace vyberte možnost Setup Symantec Enforcer from CD (Instalace aplikace Symantec Enforcer z disku CD). Pokud nevyberete žádnou možnost, modul Enforcer se restartuje a spustí z pevného disku. Chcete-li opětovně vytvořit bitovou kopii, musíte aplikaci restartovat a spustit z disku CD. 4 Nainstalujte a konfigurujte modul Enforcer. Viz Instalace zařízení Enforcer na straně 76.

71 Kapitola 4 První instalace modulu Enforcer Tato kapitola obsahuje následující témata: Před instalací modulu Enforcer Instalace zařízení Enforcer Před instalací modulu Enforcer Modul Enforcer je hardwarové zařízení, které vynucuje kontrolu přístupu k síti u klientů, kteří se pokoušejí o připojení k síti. Jsou-li klienti v souladu se zásadami zabezpečení, je jim povolen přístup k prostředkům v síti. Typ modulu Enforcer, které můžete implementovat, závisí na typu zakoupeného produktu Symantec Network Access Control. Další informace naleznete v licenční smlouvě. Můžete zavést modul Enforcer, které spolupracuje s aplikací Symantec Endpoint Protection Manager a klienty. Existují tyto typy zařízení Enforcer: zařízení Gateway Enforcer Zařízení DHCP Enforcer Zařízení LAN Enforcer Instalace zařízení Gateway Enforcer Zařízení Gateway Enforcer se obvykle používá ve spřaženém provozu jako most, který vynucuje zásady na ochranu podnikové sítě proti vnějším narušitelům. Před

72 72 První instalace modulu Enforcer Před instalací modulu Enforcer instalací zařízení Gateway Enforcer je nutné zvážit jeho vhodné umístění v síti. Zařízení Gateway Enforcer lze rozmístit po celém podniku, aby byl zajištěn soulad všech koncových bodů s bezpečnostními zásadami. Zařízení Gateway Enforcer můžete použít pro ochranu serverů ve společnosti. Mohou zajistit, aby k serverům měli přístup jen důvěryhodní nebo ověření klienti. Zařízení Gateway Enforcer se obvykle používají v těchto síťových umístěních: Síť VPN, Bezdrátový přístupový bod (WAP) Telefonické připojení (Remote access server [RAS]) Segmenty sítě Ethernet (local area network [LAN]) Viz Kam umístit zařízení Gateway Enforcer na straně 42. Instalace zařízení DHCP Enforcer Zařízení DHCP Enforcer se používá ve spřaženém provozu jako zabezpečený most k vynucování zásad na ochranu vnitřní sítě. Klienti, kteří se pokoušejí připojit k síti, zašlou požadavek DHCP na přidělení dynamické adresy IP. Přepínač nebo směrovač (který funguje jako klient přenosu protokolu DHCP) požadavek DHCP nasměruje. Požadavek DHCP je odeslán do zařízení DHCP Enforcer, které je nakonfigurováno ve spřaženém provozu před serverem DHCP. Než modul Enforcer předá požadavek DHCP serveru DHCP, ověří, zda klienti splňují zásady zabezpečení. Pokud klient zásady zabezpečení splňuje, zařízení DHCP Enforcer odešle žádost klienta o adresu IP běžnému serveru DHCP. Jestliže klient zásady zabezpečení nesplňuje, zařízení DHCP Enforcer jej připojí ke karanténnímu serveru DHCP. Karanténnní server DHCP klientovi přidělí konfiguraci karanténní sítě. Pro dokončení konfigurace zařízení DHCP Enforcer je třeba nastavit server pro nápravu a omezit přístup klientů v karanténě. Klienti s omezeným přístupem mohou spolupracovat pouze se serverem pro nápravu. Pokud je vyžadována vysoká dostupnost, je možné nainstalovat jedno nebo více zařízení DHCP Enforcer, a zajistit tak možnosti zotavení při selhání. Viz Kam umístit zařízení DHCP Enforcer v síti na straně 52.

73 První instalace modulu Enforcer Před instalací modulu Enforcer 73 Instalace zařízení LAN Enforcer Zařízení LAN Enforcer může provádět ověřování hostitele a fungovat podobně jako server RADIUS (i bez serveru RADIUS). Klient prosazování funguje jako žadatel o ověření v síti 802.1x. Na výzvu protokolu EAP (Extensible Authentication Protocol) přepínače odpoví stavem integrity hostitele a informací o čísle zásady. Adresa IP serveru RADIUS bude v tomto případě nastavena na hodnotu 0 a neproběhne obvyklé ověření uživatele protokolem EAP. Zařízení LAN Enforcer kontroluje integritu hostitele a na základě výsledků může podle potřeby povolit, zablokovat nebo dynamicky přiřadit síť VLAN. Používáte-li aplikaci Symantec Endpoint Protection, je rovněž dostupná další konfigurace. Zařízení LAN Enforcer je možné spolu se serverem RADIUS použít k vynucení ověřování protokolem 802.1x EAP interně v rámci podnikové sítě. Je-li v této konfiguraci přítomno zařízení LAN Enforcer, musí být umístěno tak, aby mohlo komunikovat se serverem RADIUS. Pokud přepínač podporuje dynamické přepínání sítě VLAN, je v něm možné nakonfigurovat další sítě VLAN, k nimž bude možný přístup přes zařízení LAN Enforcer. Přepínač může klienta podle odpovědi ze zařízení LAN Enforcer dynamicky zařadit do sítě VLAN. Pravděpodobně budete chtít přidat sítě VLAN pro karanténu a nápravu. Viz Kam umístit zařízení LAN Enforcer na straně 61. Indikátory a ovládací prvky modulu Enforcer Modul Enforcer se instaluje na šasi, které lze namontovat do regálu 1U a nasadit na pevné lišty. Obr. 4-1 zobrazuje ovládací prvky, indikátory a konektory umístěné za volitelným krytem na čelním panelu. Obr. 4-1 Čelní panel modulu Enforcer Jednotka CD-ROM Vypínač napájení Ikona restartu Porty USB