Příručka k implementaci Symantec™ Network Access Control Enforcer
Příručka k implementaci Symantec Network Access Control Enforcer Software popsaný v této příručce podléhá licenční smlouvě a lze jej používat pouze při dodržení jejích podmínek. Verze dokumentace 11.00.03.01.00
Právní informace Copyright © 2008 Symantec Corporation. Všechna práva vyhrazena. Symantec, logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton a TruScan jsou ochranné známky nebo registrované ochranné známky společnosti Symantec Corporation nebo jejích poboček ve Spojených státech amerických a jiných zemích. Jiné názvy mohou být ochrannými známkami příslušných vlastníků. Tento produkt Symantec může obsahovat software třetích stran, který společnost Symantec poskytuje za podmínek třetí strany („Aplikace třetích stran“). Některé aplikace třetích stran jsou dostupné v rámci licence otevřeného zdroje nebo bezplatného softwaru. Licenční smlouva dodávaná se softwarem neupravuje žádná práva nebo závazky vyplývající z licence otevřeného zdroje nebo bezplatného softwaru. Další informace o aplikacích třetích stran najdete v dodatku k této dokumentaci s právními informace týkajícími se třetích stran nebo v souboru TPIP Readme. Produkt popsaný v tomto dokumentu je dodáván na základě licencí omezujících jeho používání, kopírování, distribuci a dekompilaci či zpětný překlad. Žádná část tohoto dokumentu nesmí být jakýmkoli způsobem reprodukována bez předchozího písemného souhlasu společnosti Symantec Corporation, případně jejích poskytovatelů licence. TATO DOKUMENTACE JE POSKYTOVÁNA „TAK, JAK JE“ A SPOLEČNOST SYMANTEC CORPORATION SE ZŘÍKÁ VEŠKERÝCH VÝSLOVNĚ UVEDENÝCH NEBO PŘEDPOKLÁDANÝCH PODMÍNEK, PROHLÁŠENÍ A ZÁRUK, VČETNĚ PŘEDPOKLÁDANÝCH ZÁRUK TÝKAJÍCÍCH SE OBCHODOVATELNOSTI, VHODNOSTI PRO URČITÝ ÚČEL A NEPORUŠENÍ ZÁKONA, S VÝJIMKOU ROZSAHU, VE KTERÉM JSOU TAKOVÁTO ZŘEKNUTÍ PRÁVNĚ NEPLATNÁ. SPOLEČNOST SYMANTEC CORPORATION NENÍ ODPOVĚDNÁ ZA ŽÁDNÉ NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY VZNIKLÉ VE SPOJENÍ S VYKONANOU PRACÍ NEBO POUŽITÍM TÉTO DOKUMENTACE. INFORMACE OBSAŽENÉ V TÉTO DOKUMENTACI PODLÉHAJÍ ZMĚNÁM BEZ PŘEDCHOZÍHO UPOZORNĚNÍ. Licencovaný software a dokumentace jsou považovány za komerční počítačový software, jak je definováno v dokumentu FAR 12.212, řídí se omezenými právy dle definice v dokumentu FAR části 52.227–19 „Commercial Computer Software – Restricted Rights“ a DFARS 227.7202 „Rights in Commercial Computer Software or Commercial Computer Software Documentation“ a dalších následných nařízení. Jakékoli použití, úpravy, vydávání kopií, předvádění, zobrazování nebo odhalení licencovaného softwaru a dokumentace vládou Spojených států bude pouze v souladu s podmínkami tohoto ujednání.
Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.cz
Odborná pomoc Skupina odborné pomoci Symantec Technical Support provozuje centra pomoci po celém světě. Primární rolí této skupiny je reagovat na konkrétní dotazy týkající se funkcí produktů. Má na starost také vytváření obsahu pro naši online znalostní bázi Knowledge Base. Spolupracuje s dalšími funkčními oblastmi v rámci společnosti Symantec, aby dokázala včas najít odpovědi na vaše dotazy. Například ve spolupráci se skupinou Product Engineering a Symantec Security Response zajišťuje služby výstrah a aktualizace definicí virů. Společnost Symantec nabízí například následující možnosti údržby: ■
Řada možností podpory, díky kterým lze flexibilně vybírat správnou úroveň služeb pro organizaci libovolné velikosti
■
Telefonická a webová podpora nabízející rychlou odezvu a aktuální informace
■
Zajištění ochrany pomocí automatických upgradů softwaru
■
Globální podpora je k dispozici 24 hodin denně, 7 dní v týdnu
■
Pokročilé funkce, včetně služeb správy obchodních vztahů (Account Management Services)
Informace o programech údržby společnosti Symantec naleznete na našem webu na následující adrese URL: www.symantec.com/techsupp/
Kontaktování odborné pomoci Zákazníci s aktuální smlouvou o údržbě mohou k informacím systému odborné pomoci přistupovat na této adrese URL: www.symantec.com/techsupp/ Než kontaktujete odbornou pomoc, ujistěte se, že váš systém splňuje požadavky uvedené v dokumentaci k produktu. Dále byste měli být v blízkosti počítače, na kterém k problému, došlo pro případ, že by bylo třeba obnovit podmínky problému. Před komunikací s odbornou pomocí mějte připraveny tyto údaje: ■
verze vydání programu,
■
údaje o hardwaru,
■
dostupná paměť, místo na disku a údaje o síťové kartě,
■
operační systém,
■
verze produktu a jeho aktualizace,
■
topologie sítě,
■
údaje o routeru, bráně a adrese IP,
■
popis problému: ■
chybová hlášení a soubory protokolů,
■
řešení problému provedené před kontaktováním společnosti Symantec,
■
nedávné změny softwarové konfigurace a síťové změny.
Licence a registrace Vyžaduje-li produkt Symantec registraci či licenční klíč, navštivte web naší odborné pomoci na této adrese URL: www.symantec.com/techsupp/
Služby zákazníkům Informace o Službách zákazníkům jsou dostupné na této adrese URL: www.symantec.com/techsupp/ Služby zákazníkům vám mohou pomoci s těmito problémy: ■
otázky licencování a serializace produktu,
■
aktualizace registrace produktu, např. změna adresy či jména,
■
obecné informace o produktu (funkce, jazyková dostupnost, místní prodejci),
■
nejnovější informace o aktualizacích a upgradu produktů,
■
informace o zajištění upgradu a smlouvách o údržbě,
■
informace o prodejních programech Symantec Buying Programs,
■
unformace o možnostech technické podpory společnosti Symantec,
■
předprodejní dotazy netechnického rázu,
■
problémy týkající se disků CD-ROM či příruček.
Informace o smlouvě o údržbě Přejete-li si kontaktovat společnost Symantec ohledně existující smlouvy o údržbě, kontaktujte oddělení administrace smluv o údržbě pro požadovanou oblast podle tohoto rozdělení: Asie-Tichomoří a Japonsko
[email protected]
Evropa, Blízký východ a Afrika
[email protected]
Severní Amerika a Latinská Amerika
[email protected]
Dodatečné služby pro podniky Společnost Symantec nabízí souhrnnou sadu služeb umožňující maximalizaci investic do produktů Symantec a rozvíjení vědomostí, odbornosti a všeobecného rozhledu, což dovoluje aktivně kontrolovat rizika podnikání. K dostupným službám pro podniky patří: Řešení včasného varování společnosti Symantec
Tato řešení poskytují včasné varování před počítačovými útoky, souhrnnou analýzu rizik a protiopatření zabraňující útokům.
Služby správy zabezpečení
Tyto služby odstraňují nutnost správy a monitorování zabezpečovacích zařízení a událostí, což zajišťuje rychlou reakci na skutečné hrozby.
Konzultační služby
Konzultační služby společnosti Symantec poskytují na místě technickou odbornost společnosti Symantec a jejích důvěryhodných partnerů. Konzultační služby společnosti Symantec nabízejí množství přizpůsobitelných balíčků možností zahrnujících zhodnocení, navrhování, implementaci a správu. Každý z nich je zaměřen na vytvoření a údržbu integrity a dostupnosti vašich informačních zdrojů.
Výukové služby
Výukové služby nabízejí plné spektrum technických školení a školení o zabezpečení, certifikace zabezpečení a programy pro šíření povědomí.
Další informace o službách pro podniky naleznete na našem webu na adrese URL: www.symantec.cz Na úvodní stránce zvolte svou zemi či jazyk.
Obsah
Odborná pomoc ................................................................................................... 4
Oddíl 1
Instalace a konfigurace zařízení Symantec Network Access Control Enforcer ................ 23
Kapitola 1
Úvod do modulu Enforcer .................................................. 25 Zařízení Symantec Enforcer ........................................................... Komu je dokumentace určena ......................................................... Typy vynucování ......................................................................... K čemu zařízení Symantec Network Access Control Enforcer slouží ................................................................................... Zásady integrity hostitele a modulu Enforcer .................................... Komunikace mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager ............................................. Komunikace mezi zařízením Enforcer a klienty ........................... Jak funguje zařízení Gateway Enforcer ............................................. Jak funguje zařízení DHCP Enforcer ................................................ Jak funguje zařízení LAN Enforcer .................................................. Jak funguje základní konfigurace modulu LAN Enforcer ................ Jak funguje transparentní režim modulu LAN Enforcer ................. O ověřování 802.1x ................................................................. Podpora řešení pro vynucení jiných výrobců ..................................... Kde lze získat další informace o zařízeních Enforcer společnosti Symantec .............................................................................
Kapitola 2
25 26 27 28 30 31 31 32 33 34 35 36 37 38 38
Plánování instalace modulu Enforcer ............................. 41 Plánování instalace zařízení Enforcer .............................................. Plánování instalace zařízení Gateway Enforcer .................................. Kam umístit zařízení Gateway Enforcer ..................................... Pokyny pro IP adresy v zařízení Gateway Enforcer ....................... Dvě sériová zařízení Gateway Enforcer ...................................... Ochrana přístupu k VPN pomocí zařízení Gateway Enforcer .......... Ochrana bezdrátových přístupových bodů pomocí zařízení Gateway Enforcer .............................................................
41 42 42 45 45 46 46
8
Obsah
Ochrana serverů pomocí zařízení Gateway Enforcer ..................... Ochrana serverů a klientů s jiným operačním systémem než Windows pomocí zařízení Gateway Enforcer ......................... Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření ........................................................ Plánování zotavení pro zařízení Gateway Enforcer ............................. Jak zotavení při sehlání funguje se zařízeními Gateway Enforcer v síti .............................................................................. Kam umístit zařízení Gateway Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN ................................... Nastavení zařízení Gateway Enforcer pro zotavení po selhání ........................................................................... Plánování instalace zařízení DHCP Enforcer ..................................... Kam umístit zařízení DHCP Enforcer v síti .................................. Adresy IP zařízení DHCP Enforcer ............................................. Ochrana klientů s jiným systémem než Windows pomocí modulu vynucení DHCP ................................................................ Server DHCP ......................................................................... Plánování zotavení pro zařízení DHCP Enforcer ................................ Jak zotavení při sehlání funguje se zařízeními DHCP Enforcer v síti ................................................................................ Kam umístit zařízení DHCP Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN ..................................... Nastavení zařízení DHCP Enforcer pro zotavení při selhání ........... Plánování instalace zařízení LAN Enforcer ....................................... Kam umístit zařízení LAN Enforcer ........................................... Plánování zotavení pro zařízení LAN Enforcer ................................... Kam umístit zařízení LAN Enforcer pro zotavení při selhání v síti ..............................................................................
Kapitola 3
46 46 47 49 49 50 52 52 52 54 55 56 57 57 58 59 60 61 64 64
Aktualizace a migrace bitových kopií modulu Enforcer ........................................................................... 67 Aktualizace a migrace bitových kopií modulu Enforcer na verzi 11.0.3000 .............................................................................. Zjištění aktuální verze bitové kopie modulu Enforcer .......................... Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo 11.0.2000 na 11.0.3000 .......................................................................... Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000 .............................................................................. Opětovné vytváření bitové kopie zařízení Enforcer .............................
67 68 68 69 70
Obsah
Kapitola 4
První instalace modulu Enforcer ...................................... 71 Před instalací modulu Enforcer ....................................................... Instalace zařízení Gateway Enforcer .......................................... Instalace zařízení DHCP Enforcer ............................................. Instalace zařízení LAN Enforcer ................................................ Indikátory a ovládací prvky modulu Enforcer .............................. Nastavení karet rozhraní NIC v zařízení Gateway Enforcer nebo DHCP Enforcer ................................................................ Instalace zařízení Enforcer ............................................................ Zámek aplikace Enforcer .........................................................
Kapitola 5
75 76 80
Základní úkoly v konzole modulu Enforcer .................... 81 Základní úkoly v konzole modulu Enforcer ........................................ Přihlášení k modulu Enforcer ......................................................... Konfigurace připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager ................................................... Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer ............................................................................... Vzdálený přístup k modulu Enforcer ................................................ Zprávy a protokoly ladění zařízení Enforcer ......................................
Kapitola 6
71 71 72 73 73
81 82 83 84 85 85
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager ...................................................... 87 Konfigurace zařízení Symantec Gateway Enforcer v konzole aplikace Symantec Endpoint Protection Manager ..................................... Změna konfiguračních nastavení zařízení Gateway Enforcer na serveru pro správu ................................................................. Použití obecného nastavení ............................................................ Přidání nebo úpravy popisu skupiny modulů Gateway Enforcer ......................................................................... Přidání a úprava popisu zařízení Gateway Enforcer ...................... Přidání a úprava adresy IP nebo názvu hostitele zařízení Gateway Enforcer ......................................................................... Navázání komunikace mezi zařízením Gateway Enforcer a aplikací Symantec Endpoint Protection Manager pomocí seznamu serverů pro správu .............................................. Použití nastavení ověřování ........................................................... Informace o použití nastavení ověřování .................................... Relace ověřování v zařízení Gateway Enforcer zařízení ................. Ověření klienta na zařízení Gateway Enforcer zařízení .................
88 88 91 91 92 92
92 94 94 97 97
9
10
Obsah
Zadání maximálního počtu paketů typu challenge během relace ověřování ....................................................................... 98 Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům ........................................................................ 99 Zadání doby, po kterou je klient po neúspěšném ověření blokován ....................................................................... 100 Zadání doby, po kterou může klient přistupovat k síti bez nutnosti opětovného ověření ........................................................ 101 Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu .................................. 101 Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows ................................................................. 103 Nastavení zařízení Gateway Enforcer pro kontrolu sériového čísla zásady klienta ......................................................... 104 Zasílání zprávy o neshodě klienta zařízením Gateway Enforcer ....................................................................... 105 Přesměrování požadavků HTTP na webovou stránku .................. 106 Nastavení rozsahu ověřování ........................................................ 107 Rozsahy adres IP klientů ve srovnání s důvěryhodnými externími adresami IP ................................................................... 108 Kdy používat rozsahy adres IP klientů ...................................... 108 Důvěryhodné adresy IP .......................................................... 109 Přidání rozsahů adres IP klientů k seznamu adres, které vyžadují ověření ......................................................................... 111 Úprava rozsahů adres IP klientů na seznamu adres, které vyžadují ověření ......................................................................... 112 Odebrání rozsahů adres IP klientů ze seznamu adres, které vyžadují ověření ............................................................. 112 Přidání důvěryhodné interní adresy IP pro klienty na serveru pro správu .................................................................... 113 Určení důvěryhodných externích adres IP ................................. 114 Úprava důvěryhodné interní nebo externí adresy IP ................... 115 Odstranění důvěryhodné interní nebo externí adresy IP .............. 115 Pořadí kontroly rozsahu adres IP ............................................. 116 Použití rozšířených nastavení zařízení Gateway Enforcer .................. 117 Určení typů paketů a protokolů ............................................... 117 Povolení připojení staršího klienta k síti pomocí zařízení Gateway Enforcer ....................................................................... 118 Povolení místního úvěrování v zařízení Gateway Enforcer ........... 119
Obsah
Kapitola 7
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager ......................................................................... 121 Konfigurace zařízení DHCP Enforcer Symantec v konzole aplikace Symantec Endpoint Protection Manager ................................... Změna konfiguračních nastavení zařízení DHCP Enforcer na serveru pro správu .......................................................................... Použití obecného nastavení .......................................................... Přidání a úprava názvu skupiny modulů Enforcer obsahující modul DHCP Enforcer ..................................................... Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení DHCP Enforcer ................................................... Přidání a úprava adresy IP nebo názvu hostitele zařízení Enforcer DHCP ........................................................................... Přidání a úprava popisu zařízení DHCP Enforcer ........................ Připojení zařízení DHCP Enforcer k aplikaci Symantec Endpoint Protection Manager ........................................................ Použití nastavení ověřování ......................................................... Informace o použití nastavení ověřování .................................. Relace ověřování .................................................................. Zadání maximálního počtu paketů typu challenge během relace ověřování ...................................................................... Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům ....................................................................... Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu .................................. Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows ................................................................. Nastavení zařízení DHCP Enforcer pro kontrolu sériového čísla zásady klienta ................................................................ Zasílání zprávy o neshodě klienta zařízení DHCP Enforcer ........... Používání nastavení serveru DHCP ................................................ Používání nastavení serveru DHCP .......................................... Kombinace běžného a karanténního serveru DHCP na jednom počítači ........................................................................ Povolení oddělených normálních a karanténních serverů DHCP ........................................................................... Přidání normálního serveru DHCP ........................................... Přidání karanténního serveru DHCP ........................................ Použití rozšířených nastavení zařízení DHCP Enforcer ...................... Nastavení automatické karantény pro klienta, u kterého selže ověření .........................................................................
122 122 124 124 124 125 125 126 127 127 129 131 132 132 133 134 135 137 137 137 138 138 139 140 141
11
12
Obsah
Zadání doby čekání zařízení DHCP Enforcer před povolením přístupu klienta do sítě .................................................... Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé ................................. Prevence falšování služby DNS ............................................... Povolení připojení staršího klienta k síti pomocí zařízení DHCP Enforcer ....................................................................... Povolení místního ověrování v zařízení DHCP Enforcer ...............
Kapitola 8
142 142 143 144 145
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager ......................................................................... 147 Konfigurace zařízení Symantec LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager ................................... Konfigurace serverů RADIUS na zařízení LAN Enforcer ..................... Konfigurace bezdrátových přístupových bodů na zařízení LAN Enforcer ............................................................................. Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager ................................................. Použití obecného nastavení .......................................................... Přidání nebo úprava názvu skupiny modulů LAN Enforcer s modulem LAN Enforcer ................................................... Uvedení portu naslouchání, který je používán pro komunikaci mezi přepínačem VLAN a zařízením LAN Enforcer ............... Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení LAN Enforcer ..................................................... Přidání a úprava adresy IP nebo názvu hostitele zařízení LAN Enforcer ....................................................................... Přidání a úprava popisu zařízení LAN Enforcer .......................... Připojení zařízení LAN Enforcer k aplikaci Symantec Endpoint Protection Manager ........................................................ Použití nastavení skupiny serverů RADIUS ..................................... Přidání názvu skupiny serverů RADIUS a serveru RADIUS .......... Úpravy názvu skupiny serverů RADIUS .................................... Úprava popisného názvu serveru RADIUS ................................ Úprava názvu hostitele nebo adresy IP serveru RADIUS .............. Úprava čísla portu ověření serveru RADIUS .............................. Úprava sdíleného tajného klíče serveru RADIUS ........................ Odstranění názvu skupiny serverů RADIUS .............................. Odstranění serveru RADIUS ................................................... Používání nastavení přepínače ...................................................... Použití nastavení přepínače ...................................................
148 148 149 150 152 153 153 154 154 155 155 156 157 158 159 160 160 161 162 162 163 163
Obsah
Podpora pro atributy modelů přepínačů .................................... Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce ......................................... Úprava základních informací k zásadám přepínače a přepínači přizpůsobenému protokolu 802.1x ..................................... Úprava informací o přepínači přizpůsobeném protokolu 802.1x .......................................................................... Úprava informací o síti VLAN pro zásadu přepínače ................... Úprava informací o akci pro zásadu přepínače ........................... Použití rozšířených nastavení zařízení LAN Enforcer ........................ Povolení připojení staršího klienta k síti pomocí zařízení LAN Enforcer ....................................................................... Povolení místního ověřování v zařízení LAN Enforcer ................. Použití ověřování 802.1x .............................................................. Informace o opětovném ověření na klientském počítači ...............
Kapitola 9
164 168 176 182 183 186 190 190 191 191 194
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand ................................................................... 195 Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand .............................................................. Před konfigurací klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer ....................................................................... Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti ................................................ Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer .................. Nastavení ověřování pomocí místní databáze ............................ Nastavení ověřování pomocí služby Microsoft Windows 2003 Server Active Directory ................................................... Nastavení klienta On-Demand v systému Windows pro ověřování s protokolem dot1x ......................................................... Nastavení klienta On-Demand na systému Windows pro ověřování pomocí protokolu PEAP ..................................... Úprava banneru na uvítací stránce ................................................ Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand .........................................................................
195
196 199 201 201 202 203 204 205 205
13
14
Obsah
Kapitola 10
Rozhraní příkazového řádku modulu Enforcer ............ 209 Hierarchie příkazů rozhraní příkazového řádku zařízení Enforcer ............................................................................. Hierarchie příkazů rozhraní příkazového řádku ............................... Přesun nahoru a dolů v hierarchii příkazů ....................................... Klávesové zkratky rozhraní příkazového řádku zařízení Enforcer ............................................................................. Získání nápovědy s příkazy rozhraní příkazového řádku ....................
Kapitola 11
209 210 213 213 215
Odkaz na rozhraní příkazového řádku modulu Enforcer ......................................................................... 217 Příkazové konvence .................................................................... CLI modulu Enforcer v abecedním pořadí ........................................ Příkazy nejvyšší úrovně ............................................................... Clear .................................................................................. Date ................................................................................... Exit .................................................................................... Help ................................................................................... Hostname ........................................................................... Heslo ................................................................................. Ping ................................................................................... Reboot ................................................................................ Shutdown ........................................................................... Show .................................................................................. Start .................................................................................. Stop ................................................................................... Traceroute .......................................................................... Update ............................................................................... Příkazy Capture ......................................................................... Capture Compress ................................................................ Capture Filter ...................................................................... Capture Show ...................................................................... Capture start ...................................................................... Capture upload .................................................................... Capture Verbose .................................................................. Příkazy Configure ....................................................................... Příkazy configure advanced .................................................... Configure DNS ..................................................................... Configure interface ............................................................... Configure interface-role ........................................................ Příkaz Configure NTP ............................................................ Configure redirect ................................................................
217 218 233 233 233 234 234 235 235 235 236 236 237 238 238 238 238 239 239 239 240 241 242 242 243 243 249 250 251 252 252
Obsah
Configure route .................................................................... Configure show .................................................................... Configure SPM ..................................................................... Příkazy console .......................................................................... Console baud-rate ................................................................. Příkaz console SSH ............................................................... Příkaz console SSHKEY ......................................................... Console show ....................................................................... Příkazy debug ............................................................................ Debug destination ................................................................ Debug level ......................................................................... Debug show ......................................................................... Příkaz debug upload .............................................................. Příkazy MAB ............................................................................. Příkaz MAB disable ............................................................... Příkaz MAB enable ............................................................... Příkazy MAB LDAP ............................................................... Příkaz MAB show ................................................................. Příkazy Monitor ......................................................................... Příkaz monitor refresh .......................................................... Příkaz monitor show ............................................................. Monitor show blocked-hosts ................................................... Monitor show connected-guests .............................................. Monitor show connected-users ............................................... příkazy SNMP ............................................................................ Příkaz SNMP disable ............................................................. Příkaz SNMP enable .............................................................. Příkaz SNMP heartbeat ......................................................... Příkaz SNMP receiver ............................................................ Příkaz SNMP show ................................................................ Příkaz SNMP trap ................................................................. Příkazy On-Demand .................................................................... On-demand authentication ..................................................... Příkaz on-Demand banner ...................................................... Příkaz On-Demand client-group .............................................. Příkazy On-Demand dot1x ..................................................... Příkaz On-Demand show ........................................................ Příkaz On-Demand spm-domain .............................................. Příkazy On-Demand mac-compliance .......................................
253 253 254 255 255 255 255 256 256 256 257 257 258 258 259 259 259 262 262 263 263 263 264 266 266 266 267 267 267 268 268 269 269 275 275 276 285 286 287
15
16
Obsah
Kapitola 12
Řešení potíží se zařízením Enforcer ............................... 291 Řešení potíží se zařízením Enforcer ............................................... 291 Obecná témata řešení potíží a známé problémy ................................ 292 Přenos informací pro ladění pomocí sítě ......................................... 293
Kapitola 13
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer ................................................................ 295 Otázky k zařízení Enforcer ........................................................... Který antivirový software poskytuje podporu integrity hostitele? ...................................................................... Lze zásady integrity hostitele nastavovat na úrovni skupin nebo na globální úrovni? ......................................................... Lze vytvořit vlastní zprávu integrity hostitele? .......................... Co se stane, když zařízení Enforcer nemohou komunikovat s aplikacemi Symantec Endpoint Protection Manager? ............ Je zapotřebí server RADIUS, když zařízení LAN Enforcer běží v transparentním režimu? .................................................. Jak vynucení spravuje počítače bez klientů? ..............................
295 295 297 297 297 298 298
Oddíl 2
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP ..................................................... 301
Kapitola 14
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft ...................................... 303 Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP server ........................................................................ Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje ............................................................................... Zahájení instalace zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................................. Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP ........................
303 304 305 306
Obsah
Kapitola 15
Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP .............................................................................. 309 Plánování instalace zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................................. Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................... Požadavky na hardware pro zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................... Požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP ........................................................ Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP .................................................................................
Kapitola 16
309 310 310 311 311
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP ..................... 313 Před instalací zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................................. 313 Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................................. 314 Upgrade zařízení Integrated Enforcer pro servery Microsoft DHCP ................................................................................. 317
Oddíl 3
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP ..................... 319
Kapitola 17
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP ............................................................. 321 Informace o zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP (Integrated Lucent Enforcer) ............................. K čemu zařízení Integrated Lucent Enforcer slouží ........................... Jak funguje zařízení Integrated Lucent Enforcer ............................... Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer ....................................................
321 322 322 324
17
18
Obsah
Kapitola 18
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer ....................................... 327 Plánování instalace zařízení Integrated Lucent Enforcer ................... Nutné komponenty zařízení Integrated Lucent Enforcer .................... Plánování umístění zařízení Integrated Lucent Enforcer .................... Hardwarové požadavky pro zařízení Integrated Lucent Enforcer ......... Požadavky operačního systému pro zařízení Integrated Lucent Enforcer .............................................................................
Kapitola 19
327 328 329 331 331
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP .......................................................... 333 Před první instalací zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP ................................. Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP ..................................................................... Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP ..................................................................... Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP ...........
333 334 336 337
Oddíl 4
Konfigurace zařízení Symantec NAC Integrated Enforcer v konzole Enforcer ..................................................................... 339
Kapitola 20
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer ...................................... 341 Konfigurace modulu Symantec NAC Integrated Enforcer v konzole Enforcer ............................................................................. Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager ............................................................................. Konfigurace automatické karantény .............................................. Konfigurace základních nastavení modulu Symantec Integrated Enforcer ............................................................................. Přidání nebo úprava názvu skupiny modulů Enforcer pro zařízení Symantec Integrated Enforcer .......................................... Přidání nebo úprava popisu skupiny modulů Enforcer se zařízením Symantec Integrated Enforcer ............................
342
342 345 347 348 348
Obsah
Přidání nebo úprava adresy IP nebo názvu hostitele zařízení Symantec Integrated Enforcer .......................................... Přidání nebo úprava popisu zařízení Symantec Integrated Enforcer ....................................................................... Připojení zařízení Symantec Integrated Enforcer k aplikaci Symantec Endpoint Protection Manager ............................. Úprava připojení aplikace Symantec Endpoint Protection Manager ............................................................................. Konfigurace seznamu důvěryhodných dodavatelů ............................ Prohlížení protokolů modulu Enforcer v konzole Enforcer ................. Konfigurace protokolů modulu Symantec Integrated Enforcer ............ Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer ............................................................................. Informace o použití nastavení ověřování .................................. Relace ověřování .................................................................. Zadání maximálního počtu paketů typu challenge během relace ověřování ...................................................................... Uvedení frekvence paketů typu challenge, které se mají odeslat klientům ....................................................................... Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu .................................. Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows ................................................................. Nastavení zařízení Symantec Integrated Enforcer pro kontrolu sériového čísla zásady klienta ........................................... Zasílání zprávy o neshodě klienta zařízením Symantec Integrated Enforcer ....................................................................... Navázání komunikace mezi modulem Symantec Integrated Enforcer a zařízením Network Access Control Scanner v konzole Enforcer ............................................................................. Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer ............................................................................. Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé ................................. Povolení připojení staršího klienta k síti pomocí zařízení Integrated Enforcer ........................................................ Povolení místního ověřování v modulu Integrated Enforcer ......... Zastavení a spuštění komunikačních služeb mezi modulem Integrated Enforcer a serverem pro správu .............................................. Odpojení zařízení Symantec NAC Lucent Integrated Enforcer od serveru pro správu v konzole Enforcer ..................................... Připojení k zastaralým serverům Symantec Endpoint Protection Manager .............................................................................
349 349 349 351 351 352 353 353 353 355 356 357 358 359 360 361
361 362 363 364 365 365 367 367
19
20
Obsah
Oddíl 5
Instalace a konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) ............................................... 369
Kapitola 21
Úvod do modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) ....................................................................
371
Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) .................................................... 371
Kapitola 22
Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) ................... 373 Plánování instalace modulu Symantec Integrated NAP Enforcer ......... Nutné komponenty zařízení Symantec Integrated NAP Enforcer ......... Požadavky na hardware pro zařízení Symantec Integrated NAP Enforcer ............................................................................. Požadavky na operační systém pro zařízení Symantec Integrated NAP Enforcer ...................................................................... Požadavky na operační systém pro klienta Symantec Network Access Control ...............................................................................
Kapitola 23
373 374 374 375 376
Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) ...................................... 377 Před instalací zařízení Symantec Integrated NAP Enforcer ................ 377 Instalace modulu Symantec Integrated NAP Enforcer ....................... 378
Kapitola 24
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer ......................................................................... 381 Konfigurace modulu Symantec Integrated NAP Enforcer v konzole Enforcer ............................................................................. 382 Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer ...................................................... 382
Obsah
Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu .............................................. 384 Nastavení názvu skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer ....................................................... 385 Nastavení komunikačního protokolu HTTP v konzole modulu Symantec Integrated NAP Enforcer ......................................... 386
Kapitola 25
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager ................ 387 Konfigurace modulu Symantec Integrated NAP Enforcer v konzole aplikace Symantec Endpoint Protection Manager ....................... Povolení vynucování NAP u klientů ............................................... Ověření, zda server pro správu spravuje klienta ............................... Zásady programu pro ověření stavu zabezpečení .............................. Ověření, zda klient úspěšně prochází kontrolou integrity hostitele ............................................................................. Povolení místního ověřování v zařízení Symantec Integrated NAP Enforcer ............................................................................. Konfigurace protokolů modulu Symantec Integrated NAP Enforcer .............................................................................
388 388 388 389 390 390 391
Oddíl 6
Administrace modulů Enforcer z konzoly Symantec Endpoint Protection Manager ..................................................................... 393
Kapitola 26
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager ................................... 395 O správě modulu Enforcer pomocí konzoly serveru pro správu ........... O správě modulů Enforcer ze stránky Servery .................................. O skupinách modulů Enforcer ....................................................... Jak konzola určí název skupiny modulů Enforcer ........................ O skupinách modulů Enforcer s funkcí zotavení při selhání .......... O změnách názvu skupiny ...................................................... O vytváření nových skupin modulů Enforcer ............................. O informacích o zařízeních Enforcer zobrazovaných v konzole Enforcer ............................................................................. Zobrazení informací o modulu Enforcer z konzoly pro správu ............. Změna názvu a popisu modulu Enforcer .........................................
396 396 397 397 397 397 398 398 399 400
21
22
Obsah
Odstranění modulu Enforcer nebo skupiny modulů Enforcer .............. Export a import nastavení skupin modulů Enforcer .......................... Překryvné zprávy pro blokované klienty ......................................... Zprávy pro počítače se spuštěným klientem .............................. Zprávy pro počítače se systémem Windows, které nemají spuštěný klient (pouze moduly Gateway a DHCP Enforcer) .................. Instalace zpráv zařízení Enforcer ............................................ O nastavení klienta a o modulu Enforcer ......................................... Konfigurace klientů pro zastavení služby klienta pomocí hesla ...........
400 401 402 402 402 403 404 404
Oddíl 7
Práce se zprávami a protokoly modulů Enforcer ..................................................................... 405
Kapitola 27
Správa zpráv a protokolů modulu Enforcer ................. 407 Zprávy modulů Enforcer .............................................................. Protokoly zařízení Enforcer .......................................................... Protokol serveru modulu Enforcer ........................................... Protokol klienta modulu Enforcer ............................................ Protokol provozu modulu Gateway Enforcer .............................. Konfigurace nastavení protokolu modulu Enforcer ........................... Zakázání protokolů Enforcer v konzole Symantec Endpoint Protection Manager Console ............................................. Povolení zasílání protokolů Enforcer z modulu Enforcer do aplikace Symantec Endpoint Protection Manager ................. Nastavení velikosti a stáří protokolů modulu Enforcer ................ Filtrování protokolů provozu pro modul Enforcer .......................
407 408 408 409 410 411 411 412 412 413
Rejstřík ............................................................................................................... 415
Oddíl
1
Instalace a konfigurace zařízení Symantec Network Access Control Enforcer
■
Úvod do modulu Enforcer
■
Plánování instalace modulu Enforcer
■
Aktualizace a migrace bitových kopií modulu Enforcer
■
První instalace modulu Enforcer
■
Základní úkoly v konzole modulu Enforcer
■
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager
■
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager
■
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager
■
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
24
■
Rozhraní příkazového řádku modulu Enforcer
■
Odkaz na rozhraní příkazového řádku modulu Enforcer
■
Řešení potíží se zařízením Enforcer
■
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer
Kapitola
1
Úvod do modulu Enforcer Tato kapitola obsahuje následující témata: ■
Zařízení Symantec Enforcer
■
Komu je dokumentace určena
■
Typy vynucování
■
K čemu zařízení Symantec Network Access Control Enforcer slouží
■
Zásady integrity hostitele a modulu Enforcer
■
Jak funguje zařízení Gateway Enforcer
■
Jak funguje zařízení DHCP Enforcer
■
Jak funguje zařízení LAN Enforcer
■
Podpora řešení pro vynucení jiných výrobců
■
Kde lze získat další informace o zařízeních Enforcer společnosti Symantec
Zařízení Symantec Enforcer Modul Enforcer společnosti Symantec jsou volitelné síťové součásti, které spolupracují s aplikací Symantec Endpoint Protection Manager. Následující modul Enforcer společnosti Symantec založené na systému Linux spolupracují při ochraně podnikové sítě se spravovanými klienty, jako jsou klienti Symantec Endpoint Protection a Symantec Network Access Control: ■
Zařízení Symantec Network Access Control Gateway Enforcer
■
Zařízení Symantec Network Access Control DHCP Enforcer
■
Zařízení Symantec Network Access Control LAN Enforcer
26
Úvod do modulu Enforcer Komu je dokumentace určena
Následující moduly Enforcer společnosti Symantec založené na systému Microsoft Windows spolupracují se spravovanými klienty, jako jsou klienti Symantec Endpoint Protection a Symantec Network Access Control. Poznámka: Zařízení Symantec Network Access Control Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) nefunguje s hostitelskými klienty, jako jsou klienti Symantec Network Access Control On-Demand, na platformách Windows a Macintosh. Pokyny pro instalaci, konfiguraci a správu jsou součástí dokumentace k následujícím modulů Enforcer se systémem Windows: ■
Symantec Network Access Control Integrated Enforcer pro servery DHCP Microsoft Viz „Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP server“ na straně 303.
■
Symantec Network Access Control Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Viz „Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)“ na straně 371.
■
Modul Symantec Network Access Control Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Viz „Informace o zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP (Integrated Lucent Enforcer)“ na straně 321.
Komu je dokumentace určena Tato dokumentace je určena pro všechny, kdo zodpovídají za nastavení a nasazení volitelné aplikace Enforcer. Měli byste dobře rozumět konceptům počítačových sítí a být obeznámeni se správou aplikace Symantec Endpoint Protection Manager. Volitelné zařízení Enforcer funguje pouze se specifickými verzemi jiných komponent. Viz „Aktualizace a migrace bitových kopií modulu Enforcer na verzi 11.0.3000“ na straně 67. Pokud zamýšlíte používat volitelné zařízení Enforcer s dřívější verzí aplikace Symantec Network Access Control, získáte informace v doprovodné dokumentaci k zařízení Enforcer dodané v době zakoupení.
Úvod do modulu Enforcer Typy vynucování
Typy vynucování Tab. 1-1 uvádí volitelná zařízení Enforcer a zařízení Enforcer se systémem Windows. Tab. 1-1
Typy vynucování
Typ zařízení Enforcer Popis Zařízení Symantec Gateway Enforcer
Zajišťuje vynucování v přístupových bodech pro externí počítače, které se připojují vzdáleně pomocí jedné z těchto metod: ■
Virtuální privátní síť (VPN)
■
Bezdrátová síť LAN
■
Server pro vzdálený přístup (RAS)
Zařízení Gateway Enforcer můžete také nastavit pro omezení přístupu k určitým serverům tak, že budou povoleny pouze určené adresy IP. Modul Symantec Gateway Enforcer je podporován v modulu Enforcer. Viz „Jak funguje zařízení Gateway Enforcer“ na straně 32. Viz „Plánování instalace zařízení Gateway Enforcer“ na straně 42. Zařízení Symantec LAN Zajišťuje vynucování u klientů, kteří se připojují k síti přes Enforcer přepínač nebo bezdrátový přístupový bod podporující ověřování 802.1x. Zařízení LAN Enforcer funguje jako server proxy pro službu RADIUS (Remote Authentication Dial-In User Service). Může spolupracovat se serverem RADIUS, který zajišťuje ověřování na úrovni uživatele, nebo může pracovat bez něj. Modul Symantec LAN Enforcer je podporován v zařízení Enforcer. Viz „Jak funguje zařízení LAN Enforcer“ na straně 34. Viz „Plánování instalace zařízení LAN Enforcer“ na straně 60. Zařízení Symantec DHCP Enforcer
Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP přes server DHCP. Modul Symantec DHCP Enforcer je podporován v modulu Enforcer. Viz „Jak funguje zařízení DHCP Enforcer“ na straně 33. Viz „Plánování instalace zařízení DHCP Enforcer“ na straně 52.
27
28
Úvod do modulu Enforcer K čemu zařízení Symantec Network Access Control Enforcer slouží
Typ zařízení Enforcer Popis Zařízení Symantec Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient Integrated Enforcer pro přijme dynamickou adresu IP přes server DHCP. Zařízení servery Microsoft DHCP Symantec Integrated DHCP Enforcer je podporováno na platformě Windows. Zařízení Symantec Integrated Enforcer pro servery Microsoft DHCP není podporováno v zařízení Enforcer. Viz „Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje“ na straně 304. Viz „Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 311. Modul Symantec Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP nebo předá ověření 802.1x přes server DHCP. Modul Symantec Integrated NAP Enforcer je podporován na platformě Windows Server 2008. Zařízení Symantec Integrated Enforcer pro Microsoft Network Access Protection není podporováno v zařízení Enforcer.
Zařízení Symantec Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
Zajišťuje vynucování klientů, kteří získají přístup do sítě. Klient přijme dynamickou adresu IP nebo předá ověření 802.1x přes server DHCP. Zařízení Symantec Integrated DHCP Enforcer je podporováno na platformě Windows. Zařízení Symantec Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP není podporováno v zařízení Enforcer.
K čemu zařízení Symantec Network Access Control Enforcer slouží Volitelné zařízení Enforcer se instaluje do koncových bodů sítě pro externí nebo interní klienty. Zařízení Enforcer můžete nainstalovat například mezi síť a server VPN nebo před server DHCP. Můžete je také nastavit k vynucení na klientských počítačích připojených k síti pomocí přepínače s povoleným protokolem 802.1x nebo bezdrátového přístupového bodu. Zařízení Enforcer provádí ověřování hostitele, nikoli ověřování na úrovni uživatele. Zajišťuje, aby klientské počítače, které se pokoušejí připojit k podnikové síti, vyhovovaly podnikovým bezpečnostním zásadám. Bezpečnostní zásady společnosti můžete konfigurovat v aplikaci Symantec Endpoint Protection Manager. Jestliže klient zásady zabezpečení nesplňuje, může zařízení Enforcer provést tyto akce:
Úvod do modulu Enforcer K čemu zařízení Symantec Network Access Control Enforcer slouží
■
Zablokovat jeho přístup do sítě.
■
Povolit přístup pouze k omezeným zdrojům.
Volitelné zařízení Enforcer může klienta přesměrovat do oblasti karantény se serverem pro nápravu. Ze serveru pro nápravu může následně klient stáhnout požadovaný software, aplikace, soubory signatur nebo opravy. Část sítě už například může být nakonfigurována tak, aby se klienti připojovali k síti LAN přes přepínače s podporou ověřování 802.1x. V takovém případě lze zařízení LAN Enforcer použít u těchto klientů. Zařízení LAN Enforcer lze použít také pro klienty, kteří se připojují pomocí bezdrátového přístupového bodu s povoleným standardem 802.1x. Viz „Jak funguje zařízení LAN Enforcer“ na straně 34. Viz „Plánování instalace zařízení LAN Enforcer“ na straně 60. V síti mohou existovat i jiné části, které nejsou nastaveny pro podporu protokolu 802.1x. Pro správu a zabezpečení těchto klientů lze používat zařízení DHCP Enforcer. Viz „Jak funguje zařízení DHCP Enforcer“ na straně 33. Viz „Plánování instalace zařízení DHCP Enforcer“ na straně 52. Pokud jsou ve vaší společnosti zaměstnanci, kteří chtějí pracovat vzdáleně a připojovat se pomocí sítě VPN nebo telefonicky, můžete pro tyto klienty používat zařízení Gateway Enforcer. Zařízení Gateway Enforcer lze použít i v případě, že u bezdrátového přístupového bodu není povolen protokol 802.1x. Viz „Jak funguje zařízení Gateway Enforcer“ na straně 32. Viz „Plánování instalace zařízení Gateway Enforcer“ na straně 42. Pokud je vyžadována vysoká dostupnost, je možné na stejné místo nainstalovat více zařízení Gateway Enforcer, DHCP nebo LAN Enforcer a zajistit funkce pro bezpečné zotavení. Viz „Plánování zotavení pro zařízení Gateway Enforcer“ na straně 49. Viz „Plánování zotavení pro zařízení DHCP Enforcer“ na straně 57. Viz „Plánování zotavení pro zařízení LAN Enforcer“ na straně 64. Pokud chcete pro zařízení LAN Enforcer implementovat vysokou dostupnost, musíte nainstalovat více zařízení LAN Enforcer a přepínač s podporou ověření 802.1x. Vysoké dostupnosti se dosáhne přidáním přepínače s podporou ověření 802.1x Pokud chcete nainstalovat pouze více zařízení LAN Enforcer bez přepínače
29
30
Úvod do modulu Enforcer Zásady integrity hostitele a modulu Enforcer
s podporou ověření 802.1x, potom vysoká dostupnost selže. Přepínač s podporou ověření 802.1x můžete na vysokou dostupnost nakonfigurovat. Informace o konfiguraci přepínače protokolu 802.1x k zajištění vysoké dostupnosti získáte v dokumentaci k přepínači protokolu 802.1x. V některých síťových konfiguracích se klient může k síti připojovat pomocí více zařízení Enforcer. Až první zařízení Enforcer klientovi poskytne ověření, musí klienta ověřit všechny zbývající zařízení Enforcer dříve, než se klient může připojit k síti.
Zásady integrity hostitele a modulu Enforcer Zásady zabezpečení, které všechna zařízení Enforcer kontrolují v klientských počítačích, se nazývají zásady integrity hostitele. Zásady integrity hostitele lze vytvářet a spravovat v konzole aplikace Symantec Endpoint Protection Manager. Zásady integrity hostitele určují software, který je nutné spustit na klientovi. Můžete například určit, že následující software zabezpečení umístěný v klientském počítači musí odpovídat určitým požadavkům: ■
Antivirový software
■
Antispywarový software
■
Software pro bránu firewall
■
Opravy
■
Aktualizace Service Pack
Pokud předdefinovaná nastavení nesplňují vaše požadavky, můžete je svým požadavkům přizpůsobit. Další informace o konfiguraci a přizpůsobení zásad integrity hostitele naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Klienty můžete nakonfigurovat tak, aby spouštěli kontrolu integrity hostitele v různou dobu. Jestliže se klient pokusí připojit k síti, spustí kontrolu integrity hostitele. Výsledky pak odešle do zařízení Enforcer. Zařízení Enforcer je obvykle nastaveno tak, aby ověřilo, že klient před získáním přístupu k síti prošel kontrolou integrity hostitele. Projde-li klient kontrolou integrity hostitele, znamená to, že vyhovuje zásadě integrity hostitele ve vaší společnosti. Každý typ zařízení Enforcer však definuje kritéria přístupu k síti trochu jinak. Viz „Jak funguje zařízení Gateway Enforcer“ na straně 32.
Úvod do modulu Enforcer Zásady integrity hostitele a modulu Enforcer
Viz „Jak funguje zařízení DHCP Enforcer“ na straně 33. Viz „Jak funguje zařízení LAN Enforcer“ na straně 34.
Komunikace mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager Modul Enforcer zůstává připojen k aplikaci Symantec Endpoint Protection Manager. V pravidelných intervalech (periodách prezenčního signálu) načítá zařízení Enforcer nastavení ze serveru pro správu, který řídí jeho činnost. Pokud uděláte na serveru pro správu nějaké změny, které ovlivní zařízení Enforcer, obdrží zařízení Enforcer aktualizaci během následujícího prezenčního signálu. Zařízení Enforcer pošle údaj o svém stavu na server pro správu. Může protokolovat události, které předá serveru pro správu. Tato informace se potom zaznamená do protokolů na serveru pro správu. Aplikace Symantec Endpoint Protection Manager uchovává seznam serverů pro správu s replikovanými daty databáze. Stahuje seznam serverů pro správu do připojených zařízení Enforcer i spravovaných a hostujících klientů. Jestliže zařízení Enforcer ztratí spojení s jedním serverem pro správu, může se připojit k dalšímu serveru pro správu, který je na seznamu serverů pro správu. Bude-li zařízení Enforcer restartováno, použije seznam serverů pro správu k obnově připojení k některému z nich. Jestliže se klient pokusí o připojení k síti prostřednictvím zařízení Enforcer, toto zařízení ověří identifikátor UID klienta. Zařízení Enforcer odešle identifikátor UID na server pro správu a přijme odpověď oznamující jeho přijetí nebo odmítnutí. Je-li v zařízení Enforcer konfigurováno ověřování UID, může získat informace ze serveru pro správu. Zařízení Enforcer potom může rozhodnout, zda profil klienta obsahuje nejnovější bezpečnostní zásady. Změní-li se na serveru pro správu informace o klientovi (identifikátor nebo profil klienta), může server pro správu tyto informace odeslat na zařízení Enforcer. Zařízení Enforcer může opět provést ověření klienta.
Komunikace mezi zařízením Enforcer a klienty Komunikace mezi zařízením Enforcer a klientem začíná v okamžiku, kdy se klientský počítač pokusí připojit k síti. Zařízení Enforcer může zjistit, zda je klientská aplikace spuštěna. Pokud je spuštěna, modul Enforcer zahájí proces ověřování klientského počítače. Klient reaguje spuštěním kontroly integrity hostitele a odesláním výsledků a informací o profilu do modulu Enforcer. Klient rovněž odešle svůj jedinečný identifikátor UID, který modulu Enforcer předá aplikaci Manager k ověření. Zařízení Enforcer použije informace o profilu
31
32
Úvod do modulu Enforcer Jak funguje zařízení Gateway Enforcer
k ověření, zda je klient aktualizován pomocí nejnovějších zásad zabezpečení. Pokud není, zařízení Enforcer upozorní klienta na nutnost aktualizace jeho profilu. Poté co zařízení DHCP Enforcer nebo Gateway Enforcer povolí připojení klienta k síti, pokračuje v komunikaci s klientem v pravidelných předem definovaných intervalech. Tato komunikace umožňuje zařízení Enforcer pokračovat v ověřování klienta. V případě zařízení LAN Enforcer je toto pravidelné ověřování zajišťováno přepínačem 802.1x. Přepínač 802.1x tak například zahájí novou relaci ověřování po uplynutí intervalu opakování ověřování. Modul Enforcer musí být stále spuštěn, v opačném případě klienti, kteří se pokoušejí připojit k podnikové síti, mohou být blokováni.
Jak funguje zařízení Gateway Enforcer Zařízení Gateway Enforcers provádějí jednosměrnou kontrolu. Kontrolují klienty, kteří se pokoušejí připojit přes externí kartu NIC zařízení Gateway Enforcer k firemní síti. Zařízení Gateway Enforcer používá k ověření klienta tyto procesy: ■
Když se klient pokusí o přístup k síti, zařízení Gateway Enforcer nejdříve zkontroluje, zdá má klient spuštěný klient Symantec Endpoint Protection nebo klient Symantec Network Access Control. Pokud má klient spuštěný software klienta, zařízení Gateway Enforcer začne s postupem ověřování hostitele.
■
Klient spuštěný na uživatelském počítači provede kontrolu integrity hostitele. Potom předá výsledky zařízení Gateway Enforcer společně s informacemi o identifikaci a stavu bezpečnostních zásad.
■
Zařízení Gateway Enforcer ve spolupráci s aplikací Symantec Endpoint Protection Manager ověří, zda je klient legitimním klientem a zda jsou jeho zásady zabezpečení aktuální.
■
Zařízení Gateway Enforcer ověří, že klient prošel kontrolou integrity hostitele, a proto splňuje zásady zabezpečení.
■
Po splnění všech postupů zařízení Gateway Enforcer povolí klientovi připojení k síti.
Pokud klient nesplní požadavky pro přístup, zařízení Gateway Enforcer lze nastavit tak, aby prováděl následující akce: ■
Sledování a protokolování určitých událostí.
■
Blokování uživatelů, pokud kontrola integrity hostitele selže.
■
Zobrazení místní zprávy na klientském počítači.
Úvod do modulu Enforcer Jak funguje zařízení DHCP Enforcer
■
Umožnění klientovi omezený přístup do sítě, aby mohl použít síťové prostředky k nápravě problému.
Chcete-li nastavit ověřování zařízení Gateway Enforcer, můžete určit, jaké adresy IP klientů se mají kontrolovat. Můžete určit důvěryhodné externí adresy IP, které zařízení Gateway Enforcer povolí bez ověřování. V případě náprav můžete zařízení Gateway Enforcer nastavit tak, aby umožnilo klientům přístup k důvěryhodným interním adresám IP. Můžete například povolit klientům přístup k serveru aktualizací nebo souborovému serveru, které obsahují antivirové soubory DAT. V případě klientů bez klientského softwaru Symantec můžete směrovat klientské požadavky HTTP na webový server. Můžete například poskytnout další pokyny pro získání softwaru pro nápravu nebo umožnit klientovi stažení klientského softwaru. Zařízení Gateway Enforcer lze také nastavit tak, aby povolovalo přístup do sítě klientům s jiným operačním systémem než systémem Windows. Zařízení Gateway Enforcer funguje jako most, ne jako směrovač. Jakmile bude klient ověřen, zařízení Gateway Enforcer předá pakety pro umožnění přístupu klienta do sítě.
Jak funguje zařízení DHCP Enforcer Zařízení DHCP Enforcer se používá ve spřaženém provozu jako zabezpečený most k prosazování zásad na ochranu vnitřní sítě. Klienti, kteří se pokoušejí připojit k síti, zašlou požadavek DHCP na přidělení dynamické adresy IP. Přepínač nebo směrovač (který funguje jako klient přenosu protokolu DHCP) nasměruje požadavek DHCP na zařízení DHCP Enforcer. Zařízení DHCP Enforcer je konfigurováno ve spřaženém provozu před serverem DHCP. Než předá požadavek DHCP serveru DHCP, zařízení DHCP Enforcer ověří, zda klienti splňují zásady zabezpečení. Pokud klient zásady zabezpečení splňuje, zařízení DHCP Enforcer odešle žádost klienta o adresu IP běžnému serveru DHCP. Jestliže klient zásady zabezpečení nesplňuje, modul Enforcer jej připojí ke karanténnímu serveru DHCP. Karanténní server přidělí klientovi konfiguraci karanténní sítě. Můžete nainstalovat jeden server DHCP na jeden počítač a nakonfigurovat jej tak, aby poskytoval jak normální, tak karenténní síťovou konfiguraci. Aby bylo řešení zařízení DHCP Enforcer kompletní, správce musí nastavit server pro nápravy. Server pro nápravu omezuje přístup klientů v karanténě, aby mohli komunikovat jen se serverem pro nápravu. Pokud je vyžadována vysoká dostupnost, je možné nainstalovat jedno nebo více zařízení DHCP Enforcer, a zajistit tak možnosti zotavení. Modul DHCP Enforcer vynutí dodržování bezpečnostních zásad na klientských počítačích, které se snaží zpřístupnit server DHCP. Pokud se ověření klientského počítače nezdaří, neblokuje požadavek DHCP. Zařízení DHCP předá požadavek
33
34
Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer
DHCP karanténnímu serveru DHCP na krátkodobou síťovou konfiguraci v omezeném rozsahu. Jestliže klient nejprve odešle požadavek DHCP, zařízení DHCP Enforcer jej předá karanténnímu serveru DHCP za účelem vytvoření dočasné adresy IP s krátkou dobou zapůjčení. Zařízení DHCP Enforcer poté může zahájit proces ověřování klientského počítače. Zařízení ověřuje klientské počítače pomocí následujících způsobů: ■
Když se klientský počítač pokusí o přístup do podnikové sítě, modul Enforcer nejprve zkontroluje, jestli je na klientském počítači spuštěn klientský software Symantec Network Access Control. Pokud má klient tento software spuštěný, modul Enforcer začne s postupem ověřování hostitele.
■
Klientský software Symantec, který je spuštěn na klientském počítači, provede kontrolu integrity hostitele. Klient potom předá výsledky modulu Enforcer společně s informacemi o identifikaci a stavu bezpečnostních zásad.
■
Zařízení DHCP Enforcer ve spolupráci s aplikací Symantec Endpoint Protection Manager ověří, zda je klient legitimním klientem a zda jsou jeho zásady zabezpečení aktuální.
■
Zařízení DHCP Enforcer ověří, že klient prošel kontrolou integrity hostitele, a proto splňuje zásady zabezpečení.
■
Jakmile úspěšně proběhnou všechny kroky, zařízení DHCP Enforcer zajistí, aby se adresa IP karantény uvolnila. Zařízení DHCP Enforcer poté přesměruje požadavek DHCP klienta na normální server DHCP. Klient poté obdrží normální adresu IP a síťovou konfiguraci.
Nesplňuje-li klient bezpečnostní požadavky, zařízení DHCP Enforcer zajistí, aby se požadavek DHCP obnovil pomocí serveru DHCP karantény. Klient obdrží síťovou konfiguraci pro karanténu, které musí být nastavena, aby byl povolilen přístup k serveru pro nápravy. Zařízení DHCP Enforcer lze konfigurovat tak, aby povolil přístup k normálnímu serveru DHCP klientům s jinými operačními systémy, než je Windows.
Jak funguje zařízení LAN Enforcer Zařízení LAN Enforcer funguje jako server proxy pro službu RADIUS (Remote Authentication Dial-In User Service). Zařízení LAN Enforcer můžete se serverem RADIUS používat k provádění těchto činností: ■
Provádění tradičního ověření uživatele 802.1x/EAP.
Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer
Zabráníte v přístupu do sítě podvodným počítačům. Všichni uživatelé, kteří se pokoušejí připojit k síti, musejí nejprve projít ověřením na serveru RADIUS. ■
Ověření, zda počítače klienta vyhovují zásadám zabezpečení nastaveným na serveru pro správu (ověření hostitele). Můžete vynutit používání zásad zabezpečení, například toho, že počítač musí mít správný antivirový software, opravy nebo jiný software. Můžete potvrdit, že je na počítači klienta spuštěn klient Symantec a že prošel kontrolou integrity hostitele.
V sítích, které nepoužívají server RADIUS, provádí zařízení LAN Enforcer pouze ověření hostitele. Zařízení LAN Enforcer komunikuje s přepínačem nebo bezdrátovým přístupovým bodem, které podporují ověřování EAP/802.1x. Přepínač nebo bezdrátový přístupový bod je často konfigurován do dvou nebo více virtuálních místních počítačových sítí (VLAN). Klienti Symantec na klientských počítačích předávají přepínači informace EAP nebo informace o integritě hostitele pomocí protokolu EAPOL (EAP over LANs). Přepínač pak informace předá pro ověření zařízení LAN Enforcer. Zařízení LAN Enforcer můžete konfigurovat se sadou možných odpovědí na neúspěšné ověření. Tyto odpovědi závisí na typu neúspěchu ověření: ověření hostitele nebo ověření uživatele EAP. Jestliže používáte přepínač nebo bezdrátový přístupový bod, můžete zařízení LAN Enforcer nastavit na směrování ověřovaného klienta do jiné sítě VLAN. Přepínač nebo bezdrátový přístupový bod musí umožňovat dynamické přepínání funkce sítě VLAN. Sítě VLAN mohou obsahovat pomocné sítě VLAN. Pokud použijete modul LAN Enforcer společně se serverem RADIUS, můžete pro modul Enforcer konfigurovat více připojení k serveru RADIUS. Není-li navázáno sojení se serverem RADIUS, může se zařízení LAN Enforcer přepnout na jiný server. Kromě toho může být pro připojení k přepínači nastaveno více zařízení LAN Enforcer. Jestliže jedno zařízení LAN Enforcer selže, může ověřování zpracovat jiné zařízení.
Jak funguje základní konfigurace modulu LAN Enforcer Jste-li obeznámen s ověřováním 802.1x, můžete se podívat na podrobnosti o klientech, kteří se pokouší do sítě přistupovat pomocí základní konfigurace. Tato informace může být užitečná pro řešení problémů s připojováním do sítě. Základní konfigurace modulu vynucení 802.1x LAN pracuje takto: ■
Žadatel (například počítač klienta) se pokouší o přístup k síti prostřednictvím ověřovatele (například přepínače 802.1x).
35
36
Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer
■
Přepínač počítač vidí a vyžaduje identifikaci.
■
Žadatel 802.1x na počítači vyzve uživatele k zadání uživatelského jména a hesla a odešle identifikaci.
■
Přepínač pak informace předá do modulu LAN Enforcer, který je předá serveru RADIUS.
■
Server RADIUS generuje výzvu EAP pomocí výběru typu EAP, který je založen na jeho konfiguraci.
■
Modul LAN Enforcer výzvu přijme, přidá výzvu integrity hostitele a předá ji přepínači.
■
Přepínač předá výzvy EAP a integrity hostitele klientovi.
■
Klient přijme výzvy a odešle odpověď.
■
Přepínač přijme odpověď a předá ji modulu LAN Enforcer.
■
Modul LAN Enforcer prozkoumá výsledek kontroly integrity hostitele a informace o stavu klienta a předá je serveru RADIUS.
■
Server RADIUS provede ověření EAP a pošle výsledek zpět modulu LAN Enforcer.
■
Modul LAN Enforcer přijme výsledek ověření a předá jej spolu s akcí, která bude provedena.
■
Přepínač vybere vhodnou akci a v závislosti na výsledku umožní normální přístup do sítě, zablokuje přístup nebo umožní přístup do alternativní sítě VLAN.
Jak funguje transparentní režim modulu LAN Enforcer Transparentní režim modulu LAN Enforcer funguje následujícím způsobem: ■
Žadatel (například počítač klienta) se pokouší o přístup k síti prostřednictvím ověřovatele (například přepínače 802.1x).
■
Ověřovatel vidí počítač a odešle paket ověření EAP (je povolen pouze provoz EAP).
■
Klient, vystupující jako žadatel EAP, vidí paket ověření a reaguje ověřením integrity hostitele.
■
Přepínač, který vystupuje jako server proxy RADIUS, odešle výsledky ověření integrity hostitele zařízení LAN Enforcer.
■
Zařízení LAN Enforcer, které je založeno na výsledcích ověřování, pošle přepínači odpověď s informacemi o přiřazení sítě VLAN.
Úvod do modulu Enforcer Jak funguje zařízení LAN Enforcer
O ověřování 802.1x IEEE 802.1X-2001 je standard, který definuje řízení přístupu pro klasické i bezdrátové sítě LAN. Standard udává rámec pro ověřování a řízení uživatelského provozu v chráněné síti. Standard definuje použití protokolu EAP (Extensible Authentication Protocol), který pro ověřování používá centralizovaný server, například Remote Authentication Dial-In User Service (RADIUS). Server ověřuje uživatele, kteří se pokouší o přístup do sítě. Standard 802.1x zahrnuje specifikaci pro EAP-over-LAN (EAPOL). EAPOL se používá pro zapouzdření zpráv EAP v rámcích linkové vrstvy (například Ethernet) a nabízí také řídicí funkce. Architektura 802.1x zahrnuje následující klíčové komponenty: Ověřovatel
Entita, která zprostředkovává ověřování, například přepínač nebo bezdrátový přístupový bod podporující ověřování 802.1x.
Ověřovací server
Entita, která zajišťuje ověření potvrzením přihlašovacích údajů, které jsou zadány v odpovědi na výzvu, například server RADIUS.
Žadatel
Entita, která usiluje o přístup k síti a snaží se o úspěšné ověření, například počítač.
Když se žádající zařízení připojí k ověřujícímu síťovému přepínači s podporou 802.1x, proběhne následující proces: ■
Přepínač vydá požadavek na identitu EAP.
■
Software žadatele EAP vydá odpověď identity EAP, která je pomocí přepínače předána ověřovacímu serveru (například RADIUS).
■
Ověřovací server vydá výzvu EAP, která je pomocí přepínače předána žadateli.
■
Uživatel zadá přihlašovací údaje (uživatelské jméno a heslo, token apod.).
■
Žadatel odešle odpověď na výzvu EAP, která obsahuje přihlašovací údaje uživatele, přepínači, který ji předá ověřovacímu serveru.
■
Ověřovací server potvrdí údaje a odpoví výsledkem EAP nebo ověření uživatele, který udává úspěch nebo selhání ověření.
■
Je-li ověření úspěšné, přepínač povolí přístup pro normální provoz. Nezdaří-li se ověření, přístup zařízení klienta je zablokován. Žadatel je o výsledku v obou případech informován.
Během procesu ověřování je povolen pouze provoz EAP Další informace o protokolu EAP naleznete v dokumentu RFC 2284 od IETF na následující adrese:
37
38
Úvod do modulu Enforcer Podpora řešení pro vynucení jiných výrobců
http://www.ietf.org/rfc/rfc2284.txt Další informace o standardu IEEE 802.1x naleznete v textu standardu na následující adrese: http://standards.ieee.org/getieee802/download/802.1x-2001.pdf
Podpora řešení pro vynucení jiných výrobců Společnost Symantec poskytuje řešení pro vynucení pro následující jiné výrobce: ■
Univerzální programátorské rozhraní pro vynucování Společnost Symantec vyvinula univerzální programátorské rozhraní pro vynucování, aby ostatním dodavatelům s podobnou technologií umožnila integrovat jejich řešení se softwarem Symantec.
■
Cisco Network Admissions Control Klienti společnosti Symantec mohou podporovat řešení vynucování Cisco Network Admissions Control.
Kde lze získat další informace o zařízeních Enforcer společnosti Symantec Tab. 1-2 uvádí různé zdroje, které poskytují informace o souvisejících úkolech, které může být nutné provést před nebo po instalaci zařízení Enforcer. Tab. 1-2
Dokumentace k zařízení Symantec Enforcer
Dokument k modulu Enforcer
Použití
Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control
Popisuje postup instalace aplikace Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection a klientů Symantec Network Access Control. Vysvětluje také, jak nakonfigurovat vestavěnou databázi a databázi Microsoft SQL a nastavit replikaci.
Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control
Popisuje postup konfigurace a správy aplikace Symantec Endpoint Protection Manager, klientů Symantec Endpoint Protection a klientů Symantec Network Access Control. Popisuje také nastavení zásad integrity hostitele, které modul Enforcer používá k implementaci shody v klientských počítačích.
Úvod do modulu Enforcer Kde lze získat další informace o zařízeních Enforcer společnosti Symantec
Dokument k modulu Enforcer
Použití
Příručka klienta pro aplikaci Symantec Popisuje, jak používat klienty Symantec Endpoint Endpoint Protection a Symantec Protection a Symantec Network Access Control. Network Access Control Příručka k implementaci Symantec™ Network Access Control Enforcer
Popisuje instalaci a správu všech typů zařízení Symantec Network Access Control a integrovaných zařízení Enforcer. Také popisuje použití klientů On-demand pro systémy Macintosh a Linux.
Nápověda online
Vysvětluje, jak používat aplikaci Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection a klienty Symantec Network Access Control. Také popisuje použití jednotlivých zařízení Integrated Enforcer.
Nápověda online pro klienty On-Demand
Popisuje použití klientů On-demand v systémech Macintosh a Linux.
Nápověda k rozhraní příkazového řádku modulu Enforcer
Zadáte-li do příkazového řádku rozhraní příkazového řádku (CLI) znak ?, zobrazí se nápověda.
soubor readme.txt
Obsahuje nejnovější informace o důležitých závadách spojených s modulem Enforcer, které mohou ovlivnit také aplikaci Symantec Endpoint Protection Manager.
39
40
Úvod do modulu Enforcer Kde lze získat další informace o zařízeních Enforcer společnosti Symantec
Kapitola
2
Plánování instalace modulu Enforcer Tato kapitola obsahuje následující témata: ■
Plánování instalace zařízení Enforcer
■
Plánování instalace zařízení Gateway Enforcer
■
Plánování zotavení pro zařízení Gateway Enforcer
■
Plánování instalace zařízení DHCP Enforcer
■
Plánování zotavení pro zařízení DHCP Enforcer
■
Plánování instalace zařízení LAN Enforcer
■
Plánování zotavení pro zařízení LAN Enforcer
Plánování instalace zařízení Enforcer Je nutné naplánovat, kde mají být v síti integrovány následující zařízení Symantec Network Access Control Enforcer pro systém Linux: ■
Zařízení Symantec Network Access Control Gateway Enforcer Viz „Plánování instalace zařízení Gateway Enforcer“ na straně 42.
■
Zařízení Symantec Network Access Control DHCP Enforcer Viz „Plánování instalace zařízení DHCP Enforcer“ na straně 52.
■
Zařízení Symantec Network Access Control LAN Enforcer Viz „Plánování instalace zařízení LAN Enforcer“ na straně 60.
■
Symantec Network Access Control Integrated DHCP Enforcer pro servery Microsoft DHCP
42
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
Viz „Plánování instalace zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 309. ■
Symantec Network Access Control Integrated DHCP Enforcer pro servery architektury NAP (Microsoft Network Access Protection) Viz „Plánování instalace modulu Symantec Integrated NAP Enforcer“ na straně 373.
■
Modul Symantec Network Access Control Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Viz „Plánování instalace zařízení Integrated Lucent Enforcer“ na straně 327.
Plánování instalace zařízení Gateway Enforcer Existuje více typů plánovacích informací, které vám pomohou implementovat zařízení Gateway Enforcers do sítě. Zařízení Gateway Enforcer můžete umístit tak, aby chránila následující oblasti v síti: ■
Obecné umístění Viz „Kam umístit zařízení Gateway Enforcer“ na straně 42.
■
Viz „Pokyny pro IP adresy v zařízení Gateway Enforcer“ na straně 45.
■
Viz „Dvě sériová zařízení Gateway Enforcer“ na straně 45.
■
Viz „Ochrana přístupu k VPN pomocí zařízení Gateway Enforcer“ na straně 46.
■
Viz „Ochrana bezdrátových přístupových bodů pomocí zařízení Gateway Enforcer“ na straně 46.
■
Viz „Ochrana serverů pomocí zařízení Gateway Enforcer“ na straně 46.
■
Viz „Ochrana serverů a klientů s jiným operačním systémem než Windows pomocí zařízení Gateway Enforcer“ na straně 46.
■
Viz „Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření“ na straně 47.
Kam umístit zařízení Gateway Enforcer Zařízení Gateway Enforcers umístíte v místech, kde veškerý provoz musí projít přes zařízení Gateway Enforcer předtím, než klient může provádět následující akce: ■
připojit se k firemní síti
■
přistupovat k zabezpečeným oblastem sítě
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
Viz „Pokyny pro IP adresy v zařízení Gateway Enforcer“ na straně 45. Zařízení Gateway Enforcers lze obvykle umístit v následujících místech: síť VPN,
Mezi koncentrátory Virtual Private Network (VPN) a firemní síť
Bezdrátový přístupový Mezi body bezdrátového přístupu a firemní síť bod (WAP) Servery
Před firemní servery
Větší organizace mohou pro ochranu všech vstupních bodů sítě vyžadovat zařízení Gateway Enforcer. Zařízení Gateway Enforcers jsou obvykle umístěny v různých podsítích. Zařízení Gateway Enforcers můžete většinou integrovat do firemní sítě bez změn konfigurace hardwaru. Zařízení Gateway Enforcers můžete umístit u bodů bezdrátového přístupu (WAP) nebo virtuální privátní sítě (VPN). Ve firemní síti můžete chránit i servery, které obsahují citlivé informace. Zařízení Gateway Enforcer musí používat dvě síťové karty (NIC). Obr. 2-1 nabízí příklad toho, kam můžete umístit zařízení Gateway Enforcer v celkové síťové konfiguraci.
43
44
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
Umístění zařízení Gateway Enforcers
Obr. 2-1
Vzdálení klienti VPN
Mimo společnost Internet Bezdrátová síť
V rámci společnosti
Interní klienti Brána firewall podnikové sítě
Interní klienti v bezdrátové síti Přístupový bod bezdrátové sítě Externí síťová karta Interní síťová karta
Server VPN
Modul Gateway Enforcer
Externí síťová karta Interní síťová karta
Modul Gateway Enforcer
Externí síťová karta Interní síťová karta
Modul Gateway Enforcer
Páteř podnikové sítě
Interní klienti Externí síťová karta Interní síťová karta
Modul Gateway Enforcer
Chráněné servery
Symantec Endpoint Protection Manager
Dalším umístěním, kde zařízení Gateway Enforcer chrání síť, je server vzdáleného přístupu (RAS). Klienti se mohou připojit k firemní síti přes telefonické připojení. Klienti pro telefonické připojení RAS se nastaví podobně jako bezdrátoví a VPN
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
klienti. Externí karta NIC se připojí k serveru RAS a interní karta NIC se připojí k síti.
Pokyny pro IP adresy v zařízení Gateway Enforcer Postupujte podle těchto pravidel při nastavování interní NIC adresy pro zařízení Gateway Enforcer: ■
Interní karta NIC zařízení Gateway Enforcer musí komunikovat s aplikací Symantec Endpoint Protection Manager. Ve výchozím nastavení musí interní adresa NIC směřovat k zařízení Symantec Endpoint Protection Manager.
■
Klienti musejí komunikovat s interní adresou IP zařízení Gateway Enforcer. Server VPN nebo bezdrátová AP mohou být v různých podsítích, pokud lze klienty směrovat do stejné podsítě jako interní adresu IP zařízení Gateway Enforcer.
■
U zařízení Gateway Enforcer, které chrání interní servery, se interní NIC připojuje k VLAN, která se naopak připojuje k serverům.
■
Pokud jako konfiguraci po selhání používáte více zařízení Gateway Enforcer, adresa IP interní NIC na jednotlivých zařízeních Gateway Enforcer musí být jedinečná.
Zařízení Gateway Enforcer vygeneruje falešnou adresu externí karty NIC podle adresy interní karty NIC. Pokud nainstalujete další zařízení Gateway Enforcer, tuto konfiguraci již nemusíte provádět znovu.
Dvě sériová zařízení Gateway Enforcer Pokud síť podporuje dvě zařízení Gateway Enforcer v sérii, takže se klient k síti připojí přes více než jedno zařízení Gateway Enforcer, musíte zadat modul Enforcer, který je nejblíže aplikaci Symantec Endpoint Protection Manager, jako důvěryhodnou interní adresu IP pro další zařízení Gateway Enforcer. Jinak před připojením klienta k síti může nastat pět minut zpoždění. Toto zpoždění může nastat, když klient spustí kontrolu integrity hostitele, která selže. Klient jako součást nápravy integrity hostitele stáhne požadované aktualizace softwaru. Poté klient znovu provádí kontrolu integrity hostitele. Nyní je kontrola integrity hostitele úspěšná, ale přístup do sítě se opozdí. Informace o důvěryhodných interních IP adresách naleznete v příručce Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control.
45
46
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
Ochrana přístupu k VPN pomocí zařízení Gateway Enforcer Ochrana přístupu k VPN je hlavním a nejobvyklejším důvodem používání zařízení Gateway Enforcer. Zařízení Gateway Enforcers můžete umístit ve vstupních bodech VPN pro zajištění přístupu do firemní sítě. Zařízení Gateway Enforcer je umístěno mezi serverem VPN a firemní sítí. Umožňuje přístup pouze autorizovaným uživatelům a zabraňuje vstupu kohokoliv jiného.
Ochrana bezdrátových přístupových bodů pomocí zařízení Gateway Enforcer Zařízení Enforcer chrání firemní síť v bezdrátových přístupových bodech (WAP). Zařízení Gateway Enforcer zajišťuje, že každý, kdo se připojí k síti pomocí bezdrátové technologie, má spuštěného klienta a splňuje požadavky zabezpečení. Po splnění těchto podmínek je klientovi povolen přístup do sítě. Zařízení Gateway Enforcer je umístěno mezi WAP a firemní sítí. Externí NIC je nasměrována na WAP a interní NIC na podnikovou síť.
Ochrana serverů pomocí zařízení Gateway Enforcer Zařízení Gateway Enforcers může chránit firemní servery obsahující důležité informace ve firemní síti. Organizace může mít uložená důležitá data na serverech umístěných v uzamčené počítačové místnosti. K této uzamčené místnosti mohou mít přístup jen správci systému. Zařízení Gateway Enforcer funguje jako další zámek na dveřích. K tomu využívá postup, jenž k chráněným serverům povolí přístup pouze uživatelům, kteří splňují jeho kritéria. Servery v tomto nastavení lokalizují interní NIC. Uživatelé, kteří chtějí získat přístup však musejí projít přes externí NIC. Pro ochranu těchto serverů můžete omezit přístup pouze na klienty s určenými adresami IP a nastavit přísná pravidla integrity hostitele. Můžete např. nakonfigurovat zařízení Gateway Enforcer pro ochranu serverů v síti. Zařízení Gateway Enforcer lze umístit mezi klienty ve firemní síti LAN a servery, které ji chrání. Externí NIC je nasměrována k firemní LAN ve společnosti a interní NIC na chráněné servery. Tato konfigurace brání neoprávněným uživatelům nebo klientům získat přístup k serverům.
Ochrana serverů a klientů s jiným operačním systémem než Windows pomocí zařízení Gateway Enforcer Můžete nainstalovat server a klienty s jiným operačním systémem než Microsoft Windows. Zařízení Gateway Enforcer však nemůže ověřit některé klienty a servery, které nejsou spuštěny v počítači nepodporujícím systém Microsoft Windows.
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
Pokud organizace obsahuje servery a klienty s operačními systémy, na kterých není instalován klientský software, musíte se rozhodnout, které z následujících způsobů použijete: ■
Implementovat podporu přes zařízení Gateway Enforcer.
■
Viz „Implementace podpory jiných systémů než Windows pomocí zařízení Gateway Enforcer“ na straně 47.
■
Implementovat podporu bez zařízení Gateway Enforcer. Viz „Implementace podpory jiných systémů než Windows bez zařízení Gateway Enforcer“ na straně 47.
Implementace podpory jiných systémů než Windows pomocí zařízení Gateway Enforcer Podporu klientů s jiným systémem než Windows můžete implementovat tak, že v zařízení Gateway Enforcer povolíte přístup k síti všem klientům s jiným systémem než Windows. Je-li zařízení Gateway Enforcer tímto způsobem nakonfigurováno, provádí detekci operačního systému za účelem identifikace těch klientů, kteří používají jiný systém než Windows.
Implementace podpory jiných systémů než Windows bez zařízení Gateway Enforcer Podporu klientů s jiným systémem než Windows můžete implementovat tak, že jim povolíte přístup k síti přes samostatný přístupový bod. Následující klienty s jiným systémem než Windows můžete připojovat přes samostatný server VPN: ■
Jeden server VPN podporuje klienty s nainstalovaným klientským softwarem. Klientské počítače se systémem Windows se mohou připojovat k firemní síti pomocí zařízení Gateway Enforcer.
■
Další server VPN podporuje klienty spuštěné v jiných operačních systémech než Windows. Klientské počítače s jinými systémy než Windows se mohou připojovat k firemní síti bez zařízení Gateway Enforcer.
Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření Zařízení Gateway Enforcer můžete nastavit na povolení klientů s jiným operačním systémem než Windows bez ověření. Viz „Požadavky pro klienty s jiným systémem než Windows“ na straně 48.
47
48
Plánování instalace modulu Enforcer Plánování instalace zařízení Gateway Enforcer
Když se klient pokusí o přístup do firemní sítě přes zařízení Gateway Enforcer, modul Enforcer nejdříve zkontroluje, jestli byl na klientském počítači instalován klientský software. Pokud se klient nespustí a je nastavena možno umožnit Klienty s jiným operačním systémem než Windows, zařízení Gateway Enforcer zkontroluje operační systém. Operační systém zkontroluje odesláním informačních paketů, kterými vyzkouší detekci právě spuštěného operačního systému. Pokud má klient spuštěný jiný operační systém než Windows, klient má umožněn běžný přístup do sítě.
Požadavky pro klienty se systémem Windows Je-li zařízení Gateway Enforcer nakonfigurováno pro povolení přístupu klientům s jiným systémem než Windows, nejprve se snaží rozpoznat operační systém klienta. Je-li operační systém rozpoznán jako systém Windows, zařízení Gateway Enforcer klienta ověří. V opačném případě zařízení Gateway Enforcer umožní klientovi připojit se k síti bez ověření. Aby mohlo zařízení Gateway Enforcer správně identifikovat operační systém Windows, musí klient s tímto systémem splňovat následující požadavky: ■
Na klientovi musí být nainstalována a povolena možnost Klient sítě Microsoft. Viz dokumentace k systému Windows.
■
Na klientovi musí být otevřen port UDP 137. Zařízení Gateway Enforcer musí mít ke klientovi přístup.
Pokud klient se systémem Windows tyto požadavky nesplňuje, může zařízení Gateway Enforcer rozpoznat takového klienta jako klienta s jiným systémem než Windows. Proto může zařízení Gateway Enforcer umožnit klientům s jiným systémem než Windows připojit se k síti bez ověření.
Požadavky pro klienty s jiným systémem než Windows Má-li zařízení Gateway Enforcer povolit přístup k síti klientovi se systémem Macintosh, musí být splněny následující požadavky. ■
Možnost Windows Sharing (sdílení oken) musí být zapnuta. Ve výchozím nastavení je možnost povolena.
■
Vestavěná brána firewall systému Macintosh musí být vypnuta. Toto je výchozí nastavení.
Pro klienty se systémem Linux má zařízení Gateway Enforcer následující požadavky:: ■
Systém Linux musí mít spuštěnou službu Samba.
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení Gateway Enforcer
Plánování zotavení pro zařízení Gateway Enforcer Podnik může podporovat dvě zařízení Gateway Enforcer, která jsou konfigurovaná tak, aby nedošlo k přerušení provozu, když jedno ze zařízení selže. Když dojde k selhání zařízení Gateway Enforcer v síti, v níž není konfigurováno zotavení, přístup k síti v daném místě je automaticky zablokován. Když dojde k selhání zařízení Gateway Enforcer v síti, která neumožňuje zotavení po selhání, klienti se nebudou moci připojit k síti. Připojení klientů k síti bude blokováno, dokud se problém se zařízením Gateway Enforcer neodstraní. Zotavení u zařízení Gateway Enforcer je implementováno přes samotné zařízení místo přepínačů třetí strany. Je-li konfigurace správně nastavena, aplikace Symantec Endpoint Protection Manager automaticky synchronizuje nastavení pro zařízení Gateway Enforcer se zotavením po selhání.
Jak zotavení při sehlání funguje se zařízeními Gateway Enforcer v síti Zařízení Gateway Enforcer, které je v provozu, se označuje jako aktivní zařízení Gateway Enforcer. Záložní zařízení Gateway Enforcer se označuje jako zařízení Gateway Enforcer v pohotovostním režimu. Aktivní zařízení Gateway Enforcer je také označováno jako primární. Pokud dojde k selhání aktivního zařízení Gateway Enforcer, převezme úlohy vynucování zařízení Gateway Enforcer v pohotovostním režimu. Dvě zařízení Gateway Enforcer jsou spuštěna v následujícím pořadí: ■
První zařízení Gateway Enforcer je spuštěno v pohotovostním režimu. V pohotovostním režimu je síť vyzvána k určení, zda je spuštěno jiné zařízení Gateway Enforcer. Vyšle tři dotazy, s jejichž pomocí hledá jiné zařízení Gateway Enforcer. Proto může přejít do stavu Online až za několik minut.
■
Jestliže první zařízení Gateway Enforcer nedetekuje jiné zařízení Gateway Enforcer, stane se aktivním zařízením.
■
Když je aktivní zařízení Gateway Enforcer spuštěno, vysílá pakety zotavení v interních i externích sítích. Pakety zotavení vysílá nepřetržitě.
■
Druhé zařízení Gateway Enforcer je spuštěno v pohotovostním režimu. Dotáže se sítě, zda je spuštěno jiné zařízení Gateway Enforcer.
■
Druhé zařízení Gateway Enforcer poté detekuje aktivní zařízení Gateway Enforcer, které je spuštěno, a proto zůstane v pohotovostním režimu.
■
Pokud dojde k selhání aktivního zařízení Gateway Enforcer, přestane vysílat pakety zotavení. Zařízení Gateway Enforcer v pohotovostním režimu již nedetekuje aktivní zařízení Gateway Enforcer. Proto se nyní stane aktivním zařízením Gateway Enforcer, které spravuje síťová připojení a zabezpečení v tomto umístění.
49
50
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení Gateway Enforcer
■
Když spustíte druhé zařízení Gateway Enforcer, zůstane v pohotovostním režimu, protože detekuje, že je aktivní jiné zařízení Gateway Enforcer.
Kam umístit zařízení Gateway Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN Nastavení zařízení Gateway Enforcer pro zotavení při selhání je určeno jeho fyzickým umístěním a konfigurací provedenou v aplikaci Symantec Endpoint Protection Manager. Pokud používáte rozbočovač s podporou více sítí VLAN, můžete používat jen jednu síť VLAN, pokud místo rozbočovače neintegrujete přepínač přizpůsobený protokolu 802.1q. Zařízení Gateway Enforcer pro zotavení při selhání je třeba instalovat ve stejném segmentu sítě. Mezi dvěma zařízeními Gateway Enforcer nesmí být instalovaný směrovač ani brána. Směrovač nebo brána nepředává pakety zotavení. Interní karty NIC musí být obě připojeny k interní síti prostřednictvím stejného přepínače nebo rozbočovače. Externí karty NIC musí být obě připojené k externímu serveru VPN nebo přístupovému bodu prostřednictvím stejného přepínače nebo rozbočovače. Konfigurace zařízení Gateway Enforcer pro zotavení při selhání je podobná u bezdrátového AP, telefonického připojení RAS nebo jiných přístupových bodů. Externí karty NIC obou zařízení Gateway Enforcer se připojují k externí síti prostřednictvím bezdrátového přístupového bodu nebo serveru RAS. Interní karty NIC budou připojeny k interní síti nebo chráněné oblasti. Obr. 2-2 znázorňuje instalaci dvou zařízení Gateway Enforcer pro zotavení při selhání pro ochranu přístupu k síti u koncentrátoru VPN.
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení Gateway Enforcer
Umístění dvou zařízení Gateway Enforcers
Obr. 2-2
Vzdálení klienti VPN
Mimo společnost Internet V rámci společnosti
Brána firewall podnikové sítě
Interní klientské počítače
Server VPN Externí síťová karta Interní síťová karta
Modul Gateway Enforcer 1
Rozbočovač/VLAN
Rozbočovač/VLAN
Interní klienti Chráněné servery
Symantec Endpoint Protection Manager
Externí síťová karta Interní síťová karta
Páteř podnikové sítě
Modul Gateway Enforcer 2
51
52
Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer
Nastavení zařízení Gateway Enforcer pro zotavení po selhání Než budete nastavovat zařízení Enforcer v pohotovostním režimu, měli byste se seznámit s principy zotavení po selhání u zařízení Gateway Enforcer. Viz „Jak zotavení při sehlání funguje se zařízeními Gateway Enforcer v síti“ na straně 49. Jak nastavit zařízení Gateway Enforcer pro zotavení po selhání
1
Umístěte počítače v síti. Viz „Kam umístit zařízení Gateway Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN“ na straně 50.
2
Nastavte interní karty NIC. Interní karty NIC u více zařízení Gateway Enforcer musí mít různé adresy IP. Viz „Pokyny pro IP adresy v zařízení Gateway Enforcer“ na straně 45.
Plánování instalace zařízení DHCP Enforcer Existuje více typů plánovacích informací, které vám pomohou implementovat zařízení DHCP Enforcer do sítě. Zařízení DHCP Enforcer můžete umístit tak, aby chránila následující oblasti v síti: ■
Viz „Kam umístit zařízení DHCP Enforcer v síti“ na straně 52.
■
Viz „Adresy IP zařízení DHCP Enforcer“ na straně 54.
■
Viz „Ochrana klientů s jiným systémem než Windows pomocí modulu vynucení DHCP“ na straně 55.
■
Viz „Server DHCP“ na straně 56.
Kam umístit zařízení DHCP Enforcer v síti Chcete-li umožnit zařízení DHCP Enforcer zachytávání všech zpráv DHCP mezi klienty DHCP a servery DHCP, musíte zařízení DHCP Enforcer nainstalovat jako inline zařízení. Zařízení DHCP Enforcer je třeba nainstalovat mezi klienty a server DHCP. Interní síťová karta zařízení DHCP Enforcer se připojuje k serverům DHCP. Externí síťová karta zařízení DHCP Enforcer se připojuje ke klientům přes směrovač nebo přepínač, který funguje jako agent pro přenos protokolu DHCP. K externí kartě NIC zařízení DHCP Enforcer se rovněž připojuje aplikace Symantec Endpoint Protection Manager.
Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer
Jedno zařízení DHCP Enforcer lze nakonfigurovat pro komunikaci s více servery DHCP. V jedné podsíti můžete mít například více serverů DHCP pro účely zotavení po selhání. Máte-li servery DHCP v různých lokacích sítě, vyžaduje každý z nich samostatné zařízení DHCP Enforcer. Pro lokaci každého serveru DHCP je třeba nakonfigurovat normální server DHCP a karanténní server DHCP. Modulu Enforcer lze nakonfigurovat pro rozpoznávání více karanténních serverů DHCP, stejně jako více normálních serverů DHCP. Poznámka: Jeden server DHCP je možné nainstalovat na jeden počítač a nakonfigurovat jej tak, aby poskytoval jak normální, tak karanténní síťovou konfiguraci. Rovněž je třeba nastavit server pro nápravu, aby se klienti, kteří přijímají karanténní konfigurace, mohli k tomuto serveru připojovat. Aplikace Symantec Endpoint Protection Manager může být spuštěna na stejném počítači jako server pro nápravu. Aplikace Symantec Endpoint Protection Manager ani server pro nápravu nevyžadují přímé připojení k zařízení DHCP Enforcer ani serverům DHCP. Pokud klient splňuje požadavky zabezpečení, potom zařízení DHCP Enforcer funguje jako agent pro přenos protokolu DHCP. Zařízení DHCP Enforcer připojí klienta k normálnímu serveru DHCP a klient obdrží obvyklou síťovou konfiguraci. Nesplňuje-li klient bezpečnostní požadavky, zařízení DHCP Enforcer jej připojí ke karanténnímu serveru DHCP. Klient následně obdrží karanténní síťovou konfiguraci. Obr. 2-3 je příkladem toho, jaké součásti zařízení DHCP Enforcer vyžaduje a kde jsou umístěny. Poznámka: I když je na obrázku karanténní server DHCP znázorněn jako samostatný počítač, ve skutečnosti stačí počítač pouze jeden. Použijete-li jeden počítač, musíte nakonfigurovat server DHCP tak, aby poskytoval dvě různé síťové konfigurace. Jedna z těchto konfigurací musí být karanténní.
53
54
Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer
Obr. 2-3
Umístění zařízení DHCP Enforcer Symantec Endpoint Protection Manager
Klienti
Agent pro přenos
Páteř podnikové sítě Servery Směrovač/přepínač Externí síťová karta Zařízení DHCP Enforcer Interní síťová karta Směrovač/přepínač
Server DHCP
Adresy IP zařízení DHCP Enforcer Při nastavování adresy IP zařízení DHCP Enforcer je nutné dodržovat určité zásady. Při konfiguraci interní síťové karty zařízení DHCP Enforcer dodržujte tyto zásady: ■
Interní adresa IP zařízení DHCP Enforcer musí být ve stejné podsíti jako servery DHCP.
■
Klienti musejí komunikovat s interní adresou IP zařízení DHCP Enforcer.
Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer
■
Používáte-li zařízení DHCP Enforcer, nakonfigurovaných pro zotavení po selhání, musí mít každý z nich jinou adresu IP interní síťové karty.
■
Používáte-li více zařízení DHCP Enforcer, nakonfigurovaných pro zotavení po selhání, musí být klienti schopni komunikovat s interními adresami IP jak aktivních zařízení DHCP Enforcer, tak zařízení DHCP Enforcer v pohotovostním režimu.
Postupujte podle těchto pravidel při nastavování externí NIC pro zařízení Enforcer: ■
Externí adresa IP zařízení DHCP Enforcer musí podporovat komunikaci s aplikací Symantec Endpoint Protection Manager. Musí být ve stejné podsíti jako rozsah adres IP interní síťové karty. V tomto případě je aplikace Symantec Endpoint Protection Manager umístěna na jedné straně přepínače a zařízení DHCP Enforcer na jeho druhé straně.
■
Pokud jako konfiguraci po selhání používáte více zařízení DHCP Enforcer, adresa IP externí NIC na jednotlivých zařízeních DHCP Enforcer musí být odlišná.
Ochrana klientů s jiným systémem než Windows pomocí modulu vynucení DHCP Software Symantec Endpoint Protection nebo Symantec Network Access Control lze nainstalovat pouze na klienty používající operační systém Microsoft Windows. Bez softwaru Symantec Endpoint Protection nedokáže modul DHCP Enforcer klienty ověřit. Pokud se v organizaci nachází klienti s operačním systémem, na němž tento software není podporován (např. Linux nebo Solaris), potom byste se při svém plánování měli zamyslet nad tím, jak budete v případě takových klientů postupovat. Podporu pro klienty s jiným systémem než Windows můžete implementovat například tak, že v zařízení DHCP Enforcer povolíte přístup k síti všem klientům s jiným systémem než Windows. Je-li zařízení DHCP Enforcer tímto způsobem nakonfigurováno, provádí detekci operačního systému za účelem identifikace těch klientů, kteří používají jiný systém než Windows. Alternativní metodou může být nakonfigurování zařízení Enforcer DHCP takovým způsobem, aby povoloval přístup k podnikové síti pouze určitým adresám MAC. Pokusí-li se klient s důvěryhodnou adresou MAC připojit k síti, předá modul DHCP Enforcer klientův požadavek DHCP normálnímu serveru DHCP bez ověření.
55
56
Plánování instalace modulu Enforcer Plánování instalace zařízení DHCP Enforcer
Server DHCP Pro karanténní server DHCP můžete použít samostatný počítač. Rovněž je možné nakonfigurovat jeden server DHCP pro poskytování jak normální, tak karanténní síťové konfigurace. V karanténní síťové konfiguraci je třeba zajistit přístup k následujícím součástem: ■
Server pro nápravu
■
Symantec Endpoint Protection Manager
■
Server DHCP
■
Zařízení DHCP Enforcer
Používáte-li více zařízení DHCP Enforcer pro zotavení po selhání, měla by karanténní síťová konfigurace poskytovat k těmto součástem přístup. Karanténní adresa IP je během ověřování zařízení DHCP Enforcer používána následujícím způsobem: ■
Nejprve získá zařízení DHCP Enforcer dočasnou karanténní adresu IP pro klienta, aby mohl provést jeho ověření. Je-li ověření úspěšné, odešle zařízení DHCP Enforcer klientovi upozornění, v němž ho vyzve, aby neprodleně provedl uvolnění a obnovení IP adresy. Konfigurace karantény vyžaduje kratší dobu pronájmu. Společnost Symantec doporučuje 2 minuty.
■
Při použití dvou serverů DHCP můžete nastavit rozsah adres IP, který se nepřekrývá s rozsahem normálních síťových adres IP. Pro karanténu neověřených klientů můžete potom použít jakoukoli adresu IP z vyhrazeného rozsahu adres. Zároveň však karanténní rozsah adres IP musí být umístěn ve stejné podsíti jako normální síťové adresy IP. Je možné přiřadit několik omezených adres IP, které bude moci server DHCP používat. Pro zabránění přístupu těchto omezených IP adres k běžným síťovým zdrojům můžete také použít směrovač nebo přepínač podporující seznamy řízení přístupu (ACL).
■
Pokud používáte jeden server DHCP, je třeba nakonfigurovat uživatelskou třídu s názvem SYGATE_ENF, která se používá pro karanténní konfiguraci. Některé konfigurační kroky se provádí na serveru DHCP. Jiné konfigurační kroky se provádí v konzole modulu Enforcer po dokončení instalace.
Normální a karanténní server DHCP na jednom serveru DHCP Stejný server je možné použít pro normální i karanténní server DHCP. Doporučujeme však používat dva servery. Pokud chcete používat jeden server DHCP současně jako normální a karanténní server, je třeba při konfiguraci zvážit následující skutečnosti:
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení DHCP Enforcer
■
Servery DHCP společnosti Microsoft nepodporují více podsítí. Používáte-li servery DHCP společnosti Microsoft, může být použití dvou serverů DHCP nezbytné.
■
Chcete-li mít pouze jeden server DHCP společnosti Microsoft, musí všechny počítače používat stejnou podsíť adres IP.
■
Pokud se nacházíte v prostředí, které používá dvě odlišné podsítě, měli byste se ujistit, že směrovače dokáží spravovat dvě podsítě pomocí jediného rozhraní směrovače. Například směrovače společnosti Cisco mají pro tyto účely funkci nazvanou IP secondary. Další informace naleznete v dokumentaci ke směrovači.
Plánování zotavení pro zařízení DHCP Enforcer V podniku lze konfigurovat dvě zařízení DHCP Enforcer, aby byl zajištěn nepřerušený provoz v síti, pokud jedno ze zařízení DHCP Enforcer selže. Když dojde k selhání zařízení DHCP Enforcer v síti, v níž není konfigurováno zotavení, přístup k síti v daném místě je automaticky zablokován. Když dojde k selhání zařízení DHCP Enforcer v síti, která neumožňuje zotavení po selhání, uživatelé se nebudou moci připojit k síti. Tento problém trvá, dokud nebude opraven problém se zařízením DHCP Enforcer. Zotavení u zařízení DHCP Enforcer je implementováno přes samotné zařízení místo přepínačů třetí strany. Je-li hardwarová konfigurace správně nastavena, aplikace Symantec Endpoint Protection Manager automaticky synchronizuje nastavení pro zařízení DHCP Enforcer se zotavením při selhání.
Jak zotavení při sehlání funguje se zařízeními DHCP Enforcer v síti Zařízení DHCP Enforcer, které je v provozu, se označuje jako aktivní zařízení DHCP Enforcer. Záložní zařízení DHCP Enforcer se označuje jako zařízení DHCP Enforcer v pohotovostním režimu. Aktivní zařízení DHCP Enforcer je také označováno jako primární. Pokud dojde k selhání aktivního zařízení DHCP Enforcer, převezme úlohy vynucování zařízení DHCP Enforcer v pohotovostním režimu. Dvě zařízení DHCP Enforcer jsou spuštěna v následujícím pořadí: ■
Když je spuštěno první zařízení DHCP Enforcer, běží v pohotovostním režimu a pošle do sítě dotaz, zda je spuštěno jiné zařízení DHCP Enforcer. Vyšle tři dotazy, s jejichž pomocí hledá jiné zařízení DHCP Enforcer. Proto může přejít do stavu Online až za několik minut.
■
Pokud nenalezne jiné zařízení DHCP Enforcer, stane se aktivním zařízením DHCP Enforcer.
57
58
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení DHCP Enforcer
■
Když je aktivní zařízení DHCP Enforcer spuštěno, vysílá pakety zotavení v interních i externích sítích. Pakety zotavení vysílá nepřetržitě.
■
Poté je spuštěno druhé zařízení DHCP Enforcer. Spustí se v pohotovostním režimu a dotazuje se v síti, zda už je spuštěno jiné zařízení DHCP Enforcer.
■
Druhé zařízení DHCP Enforcer poté detekuje aktivní zařízení DHCP Enforcer, které je spuštěno, a proto zůstane v pohotovostním režimu.
■
Pokud dojde k selhání aktivního zařízení DHCP Enforcer, přestane vysílat pakety zotavení. Zařízení DHCP Enforcer v pohotovostním režimu již nedetekuje aktivní zařízení DHCP Enforcer. Nyní se stane aktivním zařízením DHCP Enforcer, které spravuje síťová připojení a zabezpečení v tomto umístění.
■
Když spustíte druhé zařízení DHCP Enforcer, zůstane v pohotovostním režimu, protože detekuje, že je spuštěné jiné zařízení DHCP Enforcer.
Kam umístit zařízení DHCP Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN Nastavení zařízení DHCP Enforcer pro zotavení při selhání je určeno jejich fyzickým umístěním a konfigurací provedenou v aplikaci Symantec Endpoint Protection Manager. Pokud používáte rozbočovač s podporou více sítí VLAN, můžete používat jen jednu síť VLAN, pokud místo rozbočovače neintegrujete přepínač přizpůsobený protokolu 802.1q. Zařízení DHCP Enforcer pro zotavení při selhání je třeba instalovat ve stejném segmentu sítě. Mezi dvěma zařízeními DHCP Enforcer nesmí být instalovaný směrovač ani brána. Směrovač nebo brána nepředává pakety zotavení. Interní karty NIC musí být obě připojeny k interní síti prostřednictvím stejného přepínače nebo rozbočovače. Externí karty NIC musí být obě připojené k externímu serveru VPN nebo přístupovému bodu prostřednictvím stejného přepínače nebo rozbočovače. Konfigurace zařízení DHCP Enforcer pro zotavení při selhání je podobná u bezdrátového AP, telefonického připojení RAS nebo jiných přístupových bodů. Externí karty NIC obou zařízení DHCP Enforcer se připojují k externí síti prostřednictvím bezdrátového přístupového bodu nebo serveru RAS. Interní karty NIC budou připojeny k interní síti nebo chráněné oblasti. Obr. 2-4 znázorňuje instalaci dvou zařízení DHCP Enforcer pro zotavení při selhání pro ochranu přístupu k síti u koncentrátoru VPN.
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení DHCP Enforcer
Obr. 2-4
Umístění dvou zařízení DHCP Enforcers
Klienti
Symantec Endpoint Protection Manager Agent pro přenos
Páteř podnikové sítě Servery
Externí síťová karta Interní síťová karta
Zařízení DHCP Enforcer
Rozbočovač/přepínač Zařízení DHCP Enforcer pro zotavení Rozbočovač/přepínač
Externí síťová karta Interní síťová karta
Server DHCP
Nastavení zařízení DHCP Enforcer pro zotavení při selhání Než budete nastavovat zařízení DHCP Enforcer v pohotovostním režimu, měli byste se seznámit s principy zotavení po selhání u zařízení DHCP Enforcer. Viz „Jak zotavení při sehlání funguje se zařízeními DHCP Enforcer v síti“ na straně 57.
59
60
Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer
Jak nastavit zařízení DHCP Enforcer pro zotavení při selhání
1
Umístěte počítače v síti. Viz „Kam umístit zařízení DHCP Enforcer pro zotavení při selhání v síti s jednou nebo více sítěmi VLAN“ na straně 58.
2
Nastavte externí a interní karty NIC. Externí karty NIC u více zařízení DHCP Enforcer musí mít různé adresy IP. Externí karty NIC u více zařízení DHCP Enforcer musí mít různé adresy IP. Viz „Adresy IP zařízení DHCP Enforcer“ na straně 54.
3
Nainstalujte a spusťte primární zařízení DHCP Enforcer. Pokud primární zařízení DHCP Enforcer nenajde jiné zařízení DHCP Enforcer, převezme roli aktivního zařízení.
4
Nainstalujte a spusťte zařízení DHCP Enforcer v pohotovostním režimu.
5
Připojte záložní zařízení DHCP Enforcer ke stejné aplikaci Symantec Endpoint Protection Manager jako aktivní zařízení DHCP Enforcer. Pokud jsou obě zařízení DHCP Enforcer spuštěná stejně dlouho, primární zařízení bude to s nižší adresou IP. Zotavení při selhání je v aplikaci Symantec Endpoint Protection Manager automaticky povoleno. Aplikace Symantec Endpoint Protection Manager automaticky přiřadí záložní zařízení DHCP Enforcer ke stejné skupině Enforcer. Proto jsou nastavení primárního a záložního zařízení DHCP synchronizována. Ve výchozí konfiguraci jsou povolena následující nastavení zotavení: ■
Výchozí nastavení portu UDP zotavení je 39999. Zařízení DHCP Enforcer používají tento port pro vzájemnou komunikaci.
■
Výchozí úroveň citlivosti pro zotavení je Vysoká (méně než 5 sekund). Úroveň citlivosti pro zotavení určuje, jak rychle se záložní zařízení DHCP Enforcer stane primárním. K převzetí po selhání dojde, pouze pokud záložní zařízení DHCP Enforcer detekuje, že primární zařízení už není aktivní.
Plánování instalace zařízení LAN Enforcer Existuje více typů plánovacích informací, které vám pomohou implementovat zařízení LAN Enforcer do sítě. Viz „Kam umístit zařízení LAN Enforcer“ na straně 61.
Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer
Kam umístit zařízení LAN Enforcer Zařízení LAN Enforcer funguje jako server proxy pro službu RADIUS. Správci většinou používají zařízení LAN Enforcer spolu se serverem RADIUS k vynucení ověřování protokolem 802.1x Extensible Authentication Protocol (EAP) v rámci podnikové sítě. Je-li v této konfiguraci použito zařízení LAN Enforcer, musí mít možnost komunikovat se serverem RADIUS. Zařízení LAN Enforcer můžete například připojit k přepínači přizpůsobenému protokolu 802.1x v interní síti VLAN, která obsahuje aplikaci Symantec Endpoint Protection Manager, server RADIUS a klienty. Počítač, na kterém není klientský software, se nemůže k síti připojit. Takový klient je nasměrován na server pro nápravu, z něhož může získat software potřebný pro připojení k síti. Obr. 2-5 uvádí příklad vhodného umístění zařízení LAN Enforcer v rámci celkové konfigurace interní sítě.
61
62
Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer
Obr. 2-5
Umístění zařízení LAN Enforcer Klienti
VLAN nápravy
Přepínač LAN s protokolem podporujícím standard 802.1x a porty dot1x povolenými pro interní klienty
Server RADIUS
Server pro nápravu Zařízení LAN Enforcer (proxy server RADIUS)
Páteř podnikové sítě
Chráněné servery
Symantec Endpoint Protection Manager
Pokud přepínač podporuje dynamické přepínání sítě VLAN, je v něm možné nakonfigurovat další sítě VLAN, k nimž bude možný přístup přes zařízení LAN Enforcer. Přepínač přizpůsobený protokolu 802.1x může klienta po přijetí odpovědi ze serveru RADIUS dynamicky zařadit do sítě VLAN. Některé přepínače přizpůsobené protokolu 802.1x podporují také funkci výchozí a hostované sítě
Plánování instalace modulu Enforcer Plánování instalace zařízení LAN Enforcer
VLAN. Nemá-li klient žádného žadatele o ověření 802.1x, může jej přepínač zařadit do výchozí sítě VLAN. Zařízení LAN Enforcer můžete použít pro povolení ověřování protokolem EAP v rámci sítě s již zavedeným vybavením. Zařízení LAN Enforcer společnosti Symantec dokáže spolupracovat se stávajícími servery RADIUS, žadateli o ověření 802.1x a přepínači přizpůsobenými protokolu 802.1x. Provádějí ověřování na úrovni počítače. Dohlíží na to, aby byl klient v souladu se zásadami zabezpečení. Kontroluje například, zda byl antivirový software aktualizován nejnovějšími soubory signatur a požadovanými softwarovými opravami. Žadatel o ověření 802.1x a server RADIUS provádí ověřování na uživatelské úrovni. Ověřuje, zda klienti, kteří se snaží připojit k síti, jsou opravdu těmi, za něž se vydávají. Zařízení LAN Enforcer může pracovat také v transparentním režimu, v němž odpadá potřeba serveru RADIUS. V transparentním režimu odpoví klient na výzvu EAP tak, že předá informace o integritě hostitele přepínači přizpůsobenému protokolu 802.1x. Přepínač pak tyto informace předá zařízení LAN Enforcer. To následně pošle výsledky ověření zpět přepínači přizpůsobenému protokolu 802.1x. Informace, které zařízení LAN Enforcer odesílá, jsou založeny na výsledcích ověření platnosti integrity hostitele. Zařízení LAN Enforcer tedy nevyžaduje žádnou komunikaci se serverem RADIUS. Pro zařízení LAN Enforcer jsou k dispozici následující konfigurace: ■
Základní konfigurace Tato konfigurace vyžaduje server RADIUS a žadatele o ověření 802.1x třetích stran. Je prováděno jak tradiční ověřování uživatele protokolem EAP, tak ověřování platnosti integrity hostitele.
■
Transparentní režim Tato konfigurace nevyžaduje server RADIUS ani žadatele o ověření 802.1x třetích stran. Je prováděno pouze ověřování platnosti integrity hostitele.
Můžete vzít v úvahu následující skutečnosti: ■
Plánujete instalaci žadatele o ověření 802.1x na všech počítačích? Pokud ano, zřejmě pro vás bude nejlepším řešením základní konfigurace.
■
Chcete vedle kontroly integrity hostitele provádět také ověřování na uživatelské úrovni? Pokud ano, měli byste použít základní konfiguraci.
■
Plánujete v rámci sítě používat server RADIUS? Pokud ano, můžete použít buď základní konfiguraci, nebo transparentní režim. Pokud ne, je nezbytné použít transparentní režim.
63
64
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení LAN Enforcer
Plánování zotavení pro zařízení LAN Enforcer Pokud máte v síti instalována dvě zařízení LAN Enforcer, zotavení při selhání řídí přepínač přizpůsobený protokolu 802.1x. Přepínač přizpůsobený protokolu 802.1x. může podporovat více zařízení LAN Enforcer. Nastavení zařízení LAN Enforcer lze snadno synchronizovat v aplikaci Symantec Endpoint Protection Manager pomocí synchronizačního nastavení. Chcete-li synchronizovat nastavení jednoho zařízení LAN Enforcer s jiným zařízením LAN Enforcer, je třeba v konzole Enforcer zadat stejný název skupiny. Pokud v síti používáte server RADIUS, můžete zajistit zotavení při selhání serveru RADIUS tím, že nakonfigurujete v zařízení LAN Enforcer připojení k více serverům RADIUS. Pokud budou nedostupné všechny servery RADIUS nakonfigurované pro dané zařízení LAN Enforcer, přepínač bude předpokládat, že zařízení LAN Enforcer je nedostupné. Proto se přepínač přizpůsobený protokolu 802.1x připojí k jinému zařízení LAN Enforcer, které zajistí další podporu při selhání.
Kam umístit zařízení LAN Enforcer pro zotavení při selhání v síti Obr. 2-6 popisuje, jak pro zařízení LAN Enforcer zajistit zotavení po selhání.
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení LAN Enforcer
Obr. 2-6
Umístění dvou zařízení LAN Enforcer
Klienti
VLAN nápravy Server pro nápravu
Přepínač LAN s protokolem podporujícím standard 802.1x a porty dot1x povolenými pro interní klienty Server RADIUS
Zařízení LAN Enforcer (proxy server RADIUS)
Páteř podnikové sítě
Chráněné servery
Symantec Endpoint Protection Manager
Server RADIUS pro zotavení
65
66
Plánování instalace modulu Enforcer Plánování zotavení pro zařízení LAN Enforcer
Kapitola
3
Aktualizace a migrace bitových kopií modulu Enforcer Tato kapitola obsahuje následující témata: ■
Aktualizace a migrace bitových kopií modulu Enforcer na verzi 11.0.3000
■
Zjištění aktuální verze bitové kopie modulu Enforcer
■
Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo 11.0.2000 na 11.0.3000
■
Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000
■
Opětovné vytváření bitové kopie zařízení Enforcer
Aktualizace a migrace bitových kopií modulu Enforcer na verzi 11.0.3000 Než naplánujete aktualizaci, migraci nebo opětovné vytvoření bitové kopie softwaru modulu Enforcer, může být zapotřebí zjistit jeho verzi. Viz „Zjištění aktuální verze bitové kopie modulu Enforcer“ na straně 68. Chcete-li se připojit k aplikaci Symantec Endpoint Protection Manager verze 11.0.3, může být zapotřebí aktualizovat bitovou kopii modulu Enforcer na verzi 11.0.3000. Aktualizace vám umožní využívat nové funkce dostupné v zařízení Symantec Network Access Control Enforcer verze 11.0.3000. Pro aktualizaci bitové kopie modulu Enforcer si můžete zvolit jeden z těchto způsobů:
68
Aktualizace a migrace bitových kopií modulu Enforcer Zjištění aktuální verze bitové kopie modulu Enforcer
■
Aktualizovat aktuální bitovou kopii modulu Enforcer. Viz „Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo 11.0.2000 na 11.0.3000“ na straně 68.
■
Provést migraci z bitové kopie modulu Enforcer 5.1.x na verzi 11.0.2000. Viz „Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000“ na straně 69.
■
Přeinstalovat předchozí bitovou kopii jinou bitovou kopií modulu Enforcer. Viz „Opětovné vytváření bitové kopie zařízení Enforcer“ na straně 70. Zařízení Symantec Network Access Control Enforcer verze 11.0.3 funguje s následujícími verzemi aplikace Symantec Endpoint Protection Manager: ■
verze 11.0.2
■
verze 11.0.3
Zjištění aktuální verze bitové kopie modulu Enforcer Měli byste určit aktuální verzi bitové kopie, která je podporována v zařízení Enforcer. Nejnovější verze je 11.0.3000. Pokud používáte verzi, která předchází verzi 11.0.3000, měli byste ji zkusit upgradovat nebo migrovat. Pokud například zjistíte verzi bitové kopie zařízení DHCP Enforcer, výsledek může vypadat následovně: Symantec Network Access Control Enforcer 6100 Series - v11.0.1 build XXXX, 2007-11-29,19:09 DHCP Enforcer mode
Jak zjistit aktuální verzi bitové kopie modulu Enforcer ◆
Zadejte následující příkaz do příkazového řádku v modulu Enforcer: show version
Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo 11.0.2000 na 11.0.3000 Pro upgradu bitové kopie modulu Enforcer z verze 11.0 nebo 11.0.2000 na verzi 11.0.3000 můžete použít následující metodu.
Aktualizace a migrace bitových kopií modulu Enforcer Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000
Upgrade bitové kopie modulu Enforcer z verze 11.0 nebo 11.0.2000 na 11.0.3000
1
Vložte disk CD do jednotky CDROM v modulu Enforcer.
2
V konzole modulu Enforcer zadejte následující příkaz: Enforcer# update
Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000 Pro aktualizaci bitové kopie zařízení Enforcer z verze 5.1 na verzi 11.0.3000 můžete použít následující metodu. ■
Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000 pomocí disku USB (Universal Serial Bus).
■
Migrace bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000 ze serveru TFTP.
Jak provést migraci bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3 pomocí disku USB.
1
Zkopírujte dva soubory aktualizace, initrd-Enforcer.img.gpg a seznam balíků, na disk USB.
2
Spuštěním následujícího příkazu se modul Enforcer automaticky aktualizuje: Enforcer# update Viz „Update“ na straně 238.
Jak provést migraci bitové kopie modulu Enforcer z verze 5.1.x na 11.0.3000 ze serveru TFTP
1
Nahrajte dva soubory aktualizace, initrd-Enforcer.img.gpg a seznam balíků, na server TFTP (Trivial File Transfer Protocol), k němuž se modul Enforcer může připojit.
2
V konzole modulu Enforcer spusťte následující příkaz: Enforcer:# update tftp://IP address of TFTP server Viz „Update“ na straně 238.
3
Po výzvě ke spuštění nové bitové kopie vyberte možnost Y.
69
70
Aktualizace a migrace bitových kopií modulu Enforcer Opětovné vytváření bitové kopie zařízení Enforcer
4
Chcete-li zařízení Enforcer po použití nové bitové kopie restartovat, vyberte 1. Nedoporučuje se spouštět novou bitovou kopii bez restartování zařízení Enforcer.
5
Přihlaste se k zařízení Enforcer.
6
Viz „Přihlášení k modulu Enforcer“ na straně 82.
Opětovné vytváření bitové kopie zařízení Enforcer Modul Enforcer je dodáván se softwarem pro opětovné vytváření bitové kopie pro všechny moduly Enforcer: Gateway, LAN a DHCP. Software pro opětovné vytváření bitové kopie obsahuje zabezpečený operační systém Linux a software modulu Enforcer pro náhradu bitové kopie zařízení Enforcer. Když spustíte instalaci z disku CD, smaže proces opětovného vytváření bitové kopie existující konfiguraci na modul Enforcer. Nové soubory se instalují přes ty existující. Jakákoli dříve nastavená konfigurace modulu Enforcer bude ztracena. Můžete nainstalovat jiný typ bitové kopie zařízení Enforcer, potřebujete-li změnit typ, který používáte. Pokud změníte typ bitové kopie modulu Enforcer, může se změnit umístění zařízení Enforcer v podnikové síti. Viz „Plánování instalace zařízení Enforcer“ na straně 41. Opětovné vytvoření bitové kopie modulu Enforcer
1
Vložte disk CD do jednotky CD-ROM v modulu Enforcer.
2
V příkazovém řádku zadejte následující příkaz: Enforcer:# reboot Tento příkaz restartuje modul Enforcer.
3
V nabídce instalace vyberte možnost Setup Symantec Enforcer from CD (Instalace aplikace Symantec Enforcer z disku CD). Pokud nevyberete žádnou možnost, modul Enforcer se restartuje a spustí z pevného disku. Chcete-li opětovně vytvořit bitovou kopii, musíte aplikaci restartovat a spustit z disku CD.
4
Nainstalujte a konfigurujte modul Enforcer. Viz „Instalace zařízení Enforcer“ na straně 76.
Kapitola
4
První instalace modulu Enforcer Tato kapitola obsahuje následující témata: ■
Před instalací modulu Enforcer
■
Instalace zařízení Enforcer
Před instalací modulu Enforcer Modul Enforcer je hardwarové zařízení, které vynucuje kontrolu přístupu k síti u klientů, kteří se pokoušejí o připojení k síti. Jsou-li klienti v souladu se zásadami zabezpečení, je jim povolen přístup k prostředkům v síti. Typ modulu Enforcer, které můžete implementovat, závisí na typu zakoupeného produktu Symantec Network Access Control. Další informace naleznete v licenční smlouvě. Můžete zavést modul Enforcer, které spolupracuje s aplikací Symantec Endpoint Protection Manager a klienty. Existují tyto typy zařízení Enforcer: ■
zařízení Gateway Enforcer
■
Zařízení DHCP Enforcer
■
Zařízení LAN Enforcer
Instalace zařízení Gateway Enforcer Zařízení Gateway Enforcer se obvykle používá ve spřaženém provozu jako most, který vynucuje zásady na ochranu podnikové sítě proti vnějším narušitelům. Před
72
První instalace modulu Enforcer Před instalací modulu Enforcer
instalací zařízení Gateway Enforcer je nutné zvážit jeho vhodné umístění v síti. Zařízení Gateway Enforcer lze rozmístit po celém podniku, aby byl zajištěn soulad všech koncových bodů s bezpečnostními zásadami. Zařízení Gateway Enforcer můžete použít pro ochranu serverů ve společnosti. Mohou zajistit, aby k serverům měli přístup jen důvěryhodní nebo ověření klienti. Zařízení Gateway Enforcer se obvykle používají v těchto síťových umístěních: ■
Síť VPN,
■
Bezdrátový přístupový bod (WAP)
■
Telefonické připojení (Remote access server [RAS])
■
Segmenty sítě Ethernet (local area network [LAN])
Viz „Kam umístit zařízení Gateway Enforcer“ na straně 42.
Instalace zařízení DHCP Enforcer Zařízení DHCP Enforcer se používá ve spřaženém provozu jako zabezpečený most k vynucování zásad na ochranu vnitřní sítě. Klienti, kteří se pokoušejí připojit k síti, zašlou požadavek DHCP na přidělení dynamické adresy IP. Přepínač nebo směrovač (který funguje jako klient přenosu protokolu DHCP) požadavek DHCP nasměruje. Požadavek DHCP je odeslán do zařízení DHCP Enforcer, které je nakonfigurováno ve spřaženém provozu před serverem DHCP. Než modul Enforcer předá požadavek DHCP serveru DHCP, ověří, zda klienti splňují zásady zabezpečení. Pokud klient zásady zabezpečení splňuje, zařízení DHCP Enforcer odešle žádost klienta o adresu IP běžnému serveru DHCP. Jestliže klient zásady zabezpečení nesplňuje, zařízení DHCP Enforcer jej připojí ke karanténnímu serveru DHCP. Karanténnní server DHCP klientovi přidělí konfiguraci karanténní sítě. Pro dokončení konfigurace zařízení DHCP Enforcer je třeba nastavit server pro nápravu a omezit přístup klientů v karanténě. Klienti s omezeným přístupem mohou spolupracovat pouze se serverem pro nápravu. Pokud je vyžadována vysoká dostupnost, je možné nainstalovat jedno nebo více zařízení DHCP Enforcer, a zajistit tak možnosti zotavení při selhání. Viz „Kam umístit zařízení DHCP Enforcer v síti“ na straně 52.
První instalace modulu Enforcer Před instalací modulu Enforcer
Instalace zařízení LAN Enforcer Zařízení LAN Enforcer může provádět ověřování hostitele a fungovat podobně jako server RADIUS (i bez serveru RADIUS). Klient prosazování funguje jako žadatel o ověření v síti 802.1x. Na výzvu protokolu EAP (Extensible Authentication Protocol) přepínače odpoví stavem integrity hostitele a informací o čísle zásady. Adresa IP serveru RADIUS bude v tomto případě nastavena na hodnotu 0 a neproběhne obvyklé ověření uživatele protokolem EAP. Zařízení LAN Enforcer kontroluje integritu hostitele a na základě výsledků může podle potřeby povolit, zablokovat nebo dynamicky přiřadit síť VLAN. Používáte-li aplikaci Symantec Endpoint Protection, je rovněž dostupná další konfigurace. Zařízení LAN Enforcer je možné spolu se serverem RADIUS použít k vynucení ověřování protokolem 802.1x EAP interně v rámci podnikové sítě. Je-li v této konfiguraci přítomno zařízení LAN Enforcer, musí být umístěno tak, aby mohlo komunikovat se serverem RADIUS. Pokud přepínač podporuje dynamické přepínání sítě VLAN, je v něm možné nakonfigurovat další sítě VLAN, k nimž bude možný přístup přes zařízení LAN Enforcer. Přepínač může klienta podle odpovědi ze zařízení LAN Enforcer dynamicky zařadit do sítě VLAN. Pravděpodobně budete chtít přidat sítě VLAN pro karanténu a nápravu. Viz „Kam umístit zařízení LAN Enforcer“ na straně 61.
Indikátory a ovládací prvky modulu Enforcer Modul Enforcer se instaluje na šasi, které lze namontovat do regálu 1U a nasadit na pevné lišty. Obr. 4-1 zobrazuje ovládací prvky, indikátory a konektory umístěné za volitelným krytem na čelním panelu. Obr. 4-1
Čelní panel modulu Enforcer
1
Jednotka CD-ROM
2
Vypínač napájení
3
Ikona restartu
4
Porty USB
73
74
První instalace modulu Enforcer Před instalací modulu Enforcer
5
Indikátor pevného disku
6
Monitor
7
Vyhrazeno; nepoužívat
Obr. 4-2 zobrazuje zadní panel systému. Obr. 4-2
Zadní panel modulu Enforcer (Zobrazení rozloženého modelu)
1
Konektor napájecího kabelu
2
Konektor myši
3
Konektor klávesnice
4
Porty USB
5
Sériový port
6
Monitor
7
Vyhrazeno; nepoužívat
8
Vyhrazené síťové porty; nepoužívat
9
Síťový port eth0
10
Síťový port eth1
Sériový port a sériový kabel lze použít pro připojení k dalšímu systému vybavenému monitorem a klávesnicí. Mimoto lze monitor a klávesnici připojit přímo. Pokud používáte pro připojení sériový port, výchozí přenosová rychlost nastavená na modulu Enforcer je 9 600. Připojení musí být na druhém zařízení nastaveno tak, aby odpovídalo uvedené hodnotě. Upřednostňovaný způsob připojení je pomocí sériového portu. Umožňuje přenos souborů (například informací o ladění) do připojeného počítače pro případ řešení potíží. Tab. 4-1 uvádí hardwarové specifikace modulu Enforcer.
První instalace modulu Enforcer Před instalací modulu Enforcer
Tab. 4-1
Hardwarové specifikace
Součást
Popis
Základní jednotka
521, 2,8-GHz/1 MB vyrovnávací paměti, Pentium 4 800-MHz FSB
Paměť
1 GB DDR2, 533 MHz, 2 x 512 jednotlivě řazené paměti DIMM
Pevný disk
160 GB, SATA, 1", 7 200 ot./min.
Síťové adaptéry
Jeden síťový adaptér se dvěma porty (ve výchozím nastavení je eth0 interní a eth1 externí karta NIC). Model Failopen je vybaven čtyřmi porty, dva z nich se nepoužívají.
Jednotka CD-ROM
24X, CD, 650 MB, interní
Nastavení karet rozhraní NIC v zařízení Gateway Enforcer nebo DHCP Enforcer Karty NIC v zařízení Gateway Enforcer nebo DHCP Enforcer jsou ve výchozím nastavení nakonfigurovány takto: eth0
Interní karta NIC Pokud používáte zařízení Gateway Enforcer, musí být interní karta NIC připojena k aplikaci Symantec Endpoint Protection Manager.
eth1
Externí karta NIC Pokud používáte zařízení DHCP Enforcer, musí být externí karta NIC připojena k aplikaci Symantec Endpoint Protection Manager.
Chcete-li změnit nastavení určující, která karta NIC bude externí a která interní, můžete použít příkaz configure interface-role. Viz „Configure interface-role“ na straně 251. V případě zařízení DHCP Enforcer použijte tento příkaz s možností manager, abyste určili, že se karta NIC použije pro připojení k aplikaci Symantec Endpoint Protection Manager. Tento příklad ukazuje syntax: configure interface-role manager eth1
Viz „Instalace zařízení Enforcer“ na straně 76.
75
76
První instalace modulu Enforcer Instalace zařízení Enforcer
Instalace zařízení Enforcer Před zahájením instalace některého ze zařízení Enforcer byste se měli seznámit s umístěními součástí v síti. Viz „Plánování instalace zařízení Enforcer“ na straně 41. Zařízení Symantec Network Access Control Enforcer je dodáváno s instalačním diskem CD2, který obsahuje software pro následující součásti: ■
Zařízení Gateway Enforcer
■
Zařízení LAN Enforcer
■
Zařízení DHCP Enforcer
Typ zařízení Enforcer, které chcete použít, vyberete během instalace. Během instalace zařízení Enforcer je nutné mít po ruce následující informace: ■
Název hostitele, který chcete přiřadit zařízení Enforcer Výchozí název hostitele je Enforcer. Tento název může být nutné změnit, aby byla snazší identifikace jednotlivých zařízení Enforcer v síti.
■
IP adresy karet NIC v zařízení Enforcer
■
IP adresa, název hostitele nebo ID domény serveru DNS, pokud se používá Chcete-li připojit zařízení Enforcer k aplikaci Symantec Endpoint Protection Manager pomocí názvu hostitele, musí se připojit k serveru DNS. Názvy hostitele mohou překládat pouze servery DNS. IP adresu serveru DNS lze konfigurovat během instalace. Pomocí příkazu DNS command však lze změnit IP adresu serveru DNS. Viz „Configure DNS“ na straně 249.
Instalace zařízení Enforcer zahrnuje tyto kroky: ■
Nastavení zařízení Enforcer
■
Konfigurace zařízení Enforcer
Nastavení zařízení Enforcer
1
Rozbalte modul Enforcer.
2
Namontujte je na stojan nebo je umístěte na rovnou plochu. Přečtěte si pokyny o montáži do stojanu, které jsou přiloženy k modulu Enforcer.
3
Zapojte zařízení do elektrické zdířky.
4
Připojte zařízení Enforcer některým z následujících způsobů: ■
Připojte další počítač k modulu Enforcer pomocí sériového portu.
První instalace modulu Enforcer Instalace zařízení Enforcer
Použijte nulový modemový kabel s konektorem DB9 (zásuvka). Pro přístup ke konzole modulu Enforcer je nutné použít software terminálu, například HyperTerminal, CRT nebo NetTerm. Software terminálu nastavte na tyto hodnoty: 9 600 b/s, 8 datových bitů, bez parity, 1 stop bit, bez řízení toku. Upřednostňuje se připojení pomocí sériové konzoly, protože zahrnuje přenosy souborů z modulu Enforcer. ■
5
Připojení klávesnice a monitoru typu VGA přímo k modulu Enforcer.
Následujícím způsobem připojte ethernetové kabely k portům síťového rozhraní: Zařízení Gateway Enforcer
Připojte dva ethernetové kabely. Jeden kabel slouží pro připojení k portu eth0 (interní NIC). Druhý kabel slouží pro připojení k portu eth1 (externí NIC) v zadní části modulu Enforcer. Interní karta NIC bude připojena k chráněné síti a k aplikaci Symantec Endpoint Protection Manager. Externí karta NIC bude připojena ke koncovým bodům.
Zařízení DHCP Enforcer Připojte dva ethernetové kabely. Jeden kabel slouží pro připojení k portu eth0 (interní NIC). Druhý kabel slouží pro připojení k portu eth1 (externí NIC) v zadní části modulu Enforcer. Interní karta NIC bude připojena k serveru DHCP a externí karta NIC ke koncovým bodům a k aplikaci Symantec Endpoint Protection Manager. Zařízení LAN Enforcer
6
Připojte jeden ethernetový kabel k portu eth0 na zadní straně modulu Enforcer. Tento kabel slouží k připojení k vnitřní síti. Vnitřní síť bude připojena k přepínači s povoleným protokolem 802.1x a k případným dalším přepínačům s povoleným protokolem 802.1x ve vaší síti.
Zapněte napájení. Zařízení Enforcer bude spuštěno.
7
Stiskněte dvakrát klávesu Enter.
8
Při výzvě k přihlášení se přihlaste s následujícími údaji: Console Login: root Password: symantec Modul Enforcer automaticky odhlásí uživatele po 90 sekundách neaktivity.
77
78
První instalace modulu Enforcer Instalace zařízení Enforcer
Konfigurace zařízení Enforcer
1
Zadejte následující typ modulu Enforcer podle výzev zasílaných modulem: 1. Select Enforcer mode [G] Gateway [D] DHCP [L] LAN
Kde:
2
G
zařízení Gateway Enforcer
D
zařízení DHCP Enforcer
L
zařízení LAN Enforcer
Změňte název hostitele zařízení Enforcer nebo stiskněte klávesu Enter, pokud chcete nechat název hostitele zařízení Enforcer beze změny. Výchozí název zařízení nebo hostitele Enforcer je Enforcer. Název zařízení Enforcer se automaticky zaregistruje v aplikaci Symantec Endpoint Protection Manager během příštího prezenčního signálu. Po zobrazení výzvy zadejte následující příkaz, pokud chcete změnit název hostitele zařízení Enforcer: 2. Set the host name Note: 1) Input new hostname or press "Enter" for no change. [Enforcer]: hostname název hostitele
Viz „Hostname“ na straně 235. kde název hostitele je nový název hostitele modulu Enforcer. Nezapomeňte později registrovat název hostitele zařízení Enforcer na serveru DNS.
3
Zadáním následujícího příkazu potvrďte nový název hostitele zařízení Enforcer: show hostname
4
Zadejte IP adresu serveru DNS a stiskněte klávesu Enter.
První instalace modulu Enforcer Instalace zařízení Enforcer
5
Po zobrazení výzvy zadejte nové hlavní heslo tak, že nejprve zadáte tento příkaz: password Old password: symantec New password: nové heslo Hlavní heslo, které jste použili pro přihlášení k zařízení Enforcer, je nutné změnit. Vzdálený přístup není povolen, dokud nezměníte heslo. Nové heslo musí být dlouhé alespoň 9 znaků, obsahovat jedno malé písmeno, jedno velké písmeno, jednu číslici a jeden symbol.
6
Zadejte nové heslo správce.
7
Nastavte časové pásmo. Řiďte se těmito pokyny. Set the time zone Current time zone is [+0000]. Change it? [Y/n] If you click 'Y', follow the steps below: 1) Select a continent or ocean 2) Select a country 3) Select one of the time zone regions 4) Set the date and time Enable the NTP feature [Y/n] Set the NTP server: Note: We set up the NTP server as an IP address
8
Nastavte datum a čas.
9
Nakonfigurujte nastavení sítě a dokončete instalaci podle výzev modulu Enforcer. Enter network settings Configure eth0: Note: Input new settings. IP address []: Subnet mask []: Set Gateway? [Y/n] Gateway IP[]: Apply all settings [Y/N]:
79
80
První instalace modulu Enforcer Instalace zařízení Enforcer
Zámek aplikace Enforcer Modul Enforcer se dodává se samostatným krytem, který je možné nasadit na čelní panel. Obsahuje i klíč. Můžete tedy modul Enforcer uzamknout a ještě tak zvýšit zabezpečení. Použití krytu je volitelné. Doporučuje se však pro dosažení maximálního zabezpečení. Klíč ukládejte na bezpečné místo.
Kapitola
5
Základní úkoly v konzole modulu Enforcer Tato kapitola obsahuje následující témata: ■
Základní úkoly v konzole modulu Enforcer
■
Přihlášení k modulu Enforcer
■
Konfigurace připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager
■
Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer
■
Vzdálený přístup k modulu Enforcer
■
Zprávy a protokoly ladění zařízení Enforcer
Základní úkoly v konzole modulu Enforcer Během instalace zařízení Enforcer musí být již konfigurovány následující parametry: ■
Hostitelský název zařízení Enforcer
■
Název skupiny zařízení Enforcer, jejímž členem je konkrétní zařízení Enforcer.
■
IP adresy interní a externí karty síťového rozhraní (NIC)
■
IP adresa serveru DNS, pokud se používá
■
Adresa IP serveru NTP, pokud je použit
Je však přesto nutné nakonfigurovat připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager. Příkaz spm se provádí v konzole zařízení
82
Základní úkoly v konzole modulu Enforcer Přihlášení k modulu Enforcer
Enforcer pro konfiguraci tohoto připojení. Pokud tuto úlohu nedokončíte, nemůžete pokračovat v používání zařízení Enforcer. Viz „Konfigurace připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager“ na straně 83. I když zpravidla spravujete zařízení Enforcer v konzole aplikace Symantec Endpoint Protection Manager po dokončení počáteční instalace a konfigurace zařízení Enforcer, může být nadále nutné provádět řadu úkolů správy v konzole zařízení Enforcer. Pokud spravujete více zařízení Enforcer, je pohodlné je všechny spravovat z jednoho centralizovaného umístění. Všechna zařízení Enforcer mají také rozhraní příkazového řádku (CLI), z něhož můžete provádět příkazy pro změnu libovolného počtu parametrů. Viz „Hierarchie příkazů rozhraní příkazového řádku zařízení Enforcer“ na straně 209.
Přihlášení k modulu Enforcer Zapnete-li nebo restartujete aplikaci modulu Enforcer, zobrazí se následující výzva k přihlášení ke konzole aplikace Enforcer: Enforcer Login
Jsou dostupné tyto úrovně přístupu: Superuživatel
Přístup ke všem příkazům
Normální
Přístup pouze k příkazům clear, exit, help a show pro každou úroveň hierarchie příkazů
Poznámka: Modul Enforcer automaticky odhlásí uživatele po 90 sekundách neaktivity. Jak se přihlásit k modulu Enforcer s přístupem ke všem příkazům
1
V příkazovém řádku se přihlásíte k modulu Enforcer s přístupem ke všem příkazům zadáním následujícího příkazu: root
2
Zadejte heslo, které jste vytvořili při původní instalaci. Výchozí heslo je slovo symantec. Příkazový řádek konzoly pro uživatele root je Enforcer#
Základní úkoly v konzole modulu Enforcer Konfigurace připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager
Jak se přihlásit k modulu Enforcer s omezeným přístupem k příkazům
1
Chcete-li se přihlásit k modulu Enforcer s omezeným přístupem k příkazům, zadejte do příkazového řádku následující příkaz: admin
2
Zadejte do příkazového řádku heslo. Výchozí heslo je slovo symantec. Příkaz konzoly pro uživatele admin je Enforcer$
Konfigurace připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager Je třeba navázat komunikaci mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager v konzole Enforcer. Je také nutné předem dokončit instalaci modulu Enforcer a konfiguraci interních a externích karet NIC v modulu Enforcer. Viz „Instalace zařízení Enforcer“ na straně 76. Chcete-li navázat komunikaci mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager v konzole Enforcer, potřebujete mít k dispozici tyto informace: ■
adresa IP aplikace Symantec Endpoint Protection Manager Adresu IP získáte od správce serveru, na němž je aplikace Symantec Endpoint Protection Manager nainstalovaná.
■
název skupiny Enforcer, ke které chcete přiřadit modulu Enforcer Po dokončení konfigurace názvu skupiny Enforcer v konzole Enforcer se tento název automaticky zaregistruje v aplikaci Symantec Endpoint Protection Manager.
■
číslo portu aplikace Symantec Endpoint Protection Manager, který je používán pro komunikaci se zařízením Enforcer Výchozí číslo portu je 80.
■
Šifrované heslo vytvořené při počáteční instalaci aplikace Symantec Endpoint Protection Manager
83
84
Základní úkoly v konzole modulu Enforcer Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer
Jak nakonfigurovat připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager
1
Na příkazovém řádku konzoly zařízení Enforcer zadejte příkaz configure.
2
Zadejte příkaz spm ip adresaip group název skupiny Enforcer http číslo portu key šifrované heslo
Viz „Configure SPM“ na straně 254. Můžete se řídit následujícím příkladem. spm ip 192.168.0.64 group CorpAppliance http 80 key symantec
Tento příklad nakonfiguruje modul Enforcer ke komunikaci s aplikací Symantec Endpoint Protection Manager na adrese IP 192.168.0.64 ve skupině CorpAppliance. Používá protokol HTTP na portu 80 s šifrovaným heslem nebo předsdíleným klíčem symantec.
3
Zkontrolujte stav komunikace modulu Enforcer a aplikace Symantec Endpoint Protection Manager. Viz „Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer“ na straně 84.
4
Nakonfigurujte, zaveďte a instalujte nebo stáhněte klientský software, pokud jste to ještě neudělali. Další informace o konfiguraci, zavedení a instalaci klientů Symantec Endpoint Protection a Symantec Network Access Control (spravovaných klientů) naleznete v příručce Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. Pokud chcete, aby hosté (nespravované klientské počítače) mohli automaticky stahovat klienty Symantec Network Access Control On-Demand na platformách Windows nebo Macintosh, je třeba nejprve konfigurovat modul Gateway nebo DHCP Enforcer pro správu procesu automatického stahování. Viz „Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199.
Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer V konzole Enforcer můžete zkontrolovat stav komunikace zařízení Enforcer.
Základní úkoly v konzole modulu Enforcer Vzdálený přístup k modulu Enforcer
Jak zkontrolovat stav komunikace zařízení Enforcer v konzole Enforcer
1
Pokud nejste přihlášeni, přihlaste se ke konzole zařízení Enforcer. Viz „Přihlášení k modulu Enforcer“ na straně 82.
2
Zadejte následující příkaz: show status Zobrazí se informace o aktuálním stavu připojení. V následujícím příkladu vidíte, že zařízení Enforcer je online a připojeno k aplikaci Symantec Endpoint Protection Manager s adresou IP 192.168.0.1 a komunikačním portem 80: Enforcer#: show status Enforcer Status: Policy Manager Connected: Policy Manager: Packets Received: Packets Transmitted: Packet Receive Failed: Packet Transfer Failed: Enforcer Health: Enforcer Uptime: Policy ID:
ONLINE(ACTIVE) ANO 192.168.0.1 HTTP 80 3659 3615 0 0 EXCELLENT 10 days 01:10:55 24/12/2007 21:31:55
Vzdálený přístup k modulu Enforcer Chcete-li zabezpečeně komunikovat s aplikací Enforcer pomocí příkazového řádku, použijte jednu z následujících metod: ■
Síťový přepínač KVM Switch nebo podobné zařízení
■
Klient SSH podporující server terminálové konzoly SSH v2
■
Sériový kabel
Zprávy a protokoly ladění zařízení Enforcer Zprávy a protokoly ladění zařízení Enforcer můžete prohlížet v konzole aplikace Symantec Endpoint Protection Manager i v konzole zařízení Enforcer. Viz „Zprávy modulů Enforcer“ na straně 407. Viz „Protokoly zařízení Enforcer“ na straně 408.
85
86
Základní úkoly v konzole modulu Enforcer Zprávy a protokoly ladění zařízení Enforcer
Kapitola
6
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Tato kapitola obsahuje následující témata: ■
Konfigurace zařízení Symantec Gateway Enforcer v konzole aplikace Symantec Endpoint Protection Manager
■
Změna konfiguračních nastavení zařízení Gateway Enforcer na serveru pro správu
■
Použití obecného nastavení
■
Použití nastavení ověřování
■
Nastavení rozsahu ověřování
■
Použití rozšířených nastavení zařízení Gateway Enforcer
88
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení Symantec Gateway Enforcer v konzole aplikace Symantec Endpoint Protection Manager
Konfigurace zařízení Symantec Gateway Enforcer v konzole aplikace Symantec Endpoint Protection Manager Konfigurační nastavení pro zařízení Gateway Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Než budete moci pokračovat, je nutné dokončit následující úkony: ■
Nainstalujte do počítače software pro aplikaci Symantec Endpoint Protection Manager. Viz Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. Počítač, na kterém je nainstalován software Symantec Endpoint Protection Manager, se označuje také jako server pro správu.
■
Připojte zařízení Symantec Gateway Enforcer k síti. Viz „Nastavení zařízení Enforcer“ na straně 76.
■
Během instalace nakonfigurujte zařízení Symantec Gateway Enforcer v lokální konzole zařízení Gateway Enforcer. Viz „Konfigurace zařízení Enforcer“ na straně 78.
Jakmile tyto úkony dokončíte, můžete zadat dodatečná konfigurační nastavení zařízení Gateway Enforcer na serveru pro správu. Při instalaci zařízení Gateway Enforcer je automaticky nakonfigurována řada výchozích nastavení a portů. Výchozí nastavení zařízení Gateway Enforcer v aplikaci Symantec Endpoint Protection Manager povolují připojení k síti všem klientům, jestliže klient úspěšně prošel kontrolou integrity hostitele. Zařízení Gateway Enforcer funguje jako most. Díky tomu můžete dokončit proces nastavení zařízení Gateway Enforcer a zavést klienty, aniž byste zablokovali přístup k síti. Výchozí nastavení aplikace Symantec Endpoint Protection Manager, kdy je přístup k síti povolen všem, je však třeba změnit a zredukovat množství klientů, kteří se k síti mohou připojovat bez ověření. Případně můžete upravit i jiná výchozí nastavení zařízení Gateway Enforcer před tím, než zahájíte proces vynucování.
Změna konfiguračních nastavení zařízení Gateway Enforcer na serveru pro správu Konfigurační nastavení zařízení Gateway Enforcer je možné změnit na serveru pro správu. Konfigurační nastavení budou automaticky stažena ze serveru pro správu do zařízení Gateway Enforcer během následujícího prezenčního signálu.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Změna konfiguračních nastavení zařízení Gateway Enforcer na serveru pro správu
Změna nastavení zařízení Gateway Enforcer v konzole aplikace Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte skupinu modulů Enforcer, jíž je příslušný zařízení Gateway Enforcer členem. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, pro které chcete změnit nastavení konfigurace.
4
Na stránce Správce v části Zobrazit servery zvolte zařízení Gateway Enforcer, jehož konfigurační nastavení je třeba změnit.
89
90
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Změna konfiguračních nastavení zařízení Gateway Enforcer na serveru pro správu
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení změňte jakékoli konfigurační nastavení. Dialogové okno Nastavení zařízení Gateway Enforcer nabízí následující kategorie konfiguračních nastavení: Obecné
Nastavení pro popis skupiny modulů Enforcer a seznam serverů pro správu. Viz „Použití obecného nastavení“ na straně 91.
Ověřování
Nastavení řady parametrů, které ovlivňují proces ověřování klientů. Pokud odpovídající adresu stále nenajde, spustí zařízení Gateway Enforcer relaci ověřování a pošle paket challenge. Viz „Použití nastavení ověřování“ na straně 94.
Rozsah ověřování
Nastavení, která umožňují zadat jednotlivé adresy IP nebo rozsahy adres IP klientů, které je třeba ověřovat. Rovněž je možné zadat jednotlivé adresy IP nebo rozsahy adres IP klientů, kterým má být povoleno připojení k síti bez ověřování. Viz „Nastavení rozsahu ověřování“ na straně 107.
Rozšířené
Nastavení parametrů časového limitu ověřování a časových limitů zprávy zařízení Gateway Enforcer. Nastavení adres MAC důvěryhodných hostitelů, kterým zařízení Gateway Enforcer povolí připojení bez ověřování (volitelné). Nastavení falšování DNS a místního ověřování Nastavení povolených protokolů, u nichž nebude docházet k blokování klientů. Viz „Použití rozšířených nastavení zařízení Gateway Enforcer“ na straně 117.
Nastavení protokolu
Nastavení pro povolení protokolů serveru, povolení protokolů aktivity klienta a zadání parametrů pro soubory protokolů. Viz „Zprávy modulů Enforcer“ na straně 407. Viz „Protokoly zařízení Enforcer“ na straně 408. Viz „Konfigurace nastavení protokolu modulu Enforcer“ na straně 411.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Použití obecného nastavení Popis zařízení Gateway Enforcer nebo skupiny modulů Gateway Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Viz „Přidání nebo úpravy popisu skupiny modulů Gateway Enforcer“ na straně 91. Viz „Přidání a úprava popisu zařízení Gateway Enforcer“ na straně 92. V konzole aplikace Symantec Endpoint Protection Manager však není možné přidávat nebo upravovat název skupiny modulů Gateway Enforcer. V konzole aplikace Symantec Endpoint Protection Manager není možné přidávat nebo upravovat adresu IP nebo název hostitele zařízení Gateway Enforcer. Tyto úkony je nutné provádět v konzole zařízení Enforcer. Adresu IP nebo název hostitele zařízení Gateway Enforcer můžete přidat nebo upravit v seznamu serverů pro správu. Viz „Přidání a úprava adresy IP nebo názvu hostitele zařízení Gateway Enforcer“ na straně 92. Také lze přidat nebo upravit adresu IP nebo název hostitele aplikace Symantec Endpoint Protection Manager v seznamu serverů pro správu. Viz „Navázání komunikace mezi zařízením Gateway Enforcer a aplikací Symantec Endpoint Protection Manager pomocí seznamu serverů pro správu“ na straně 92.
Přidání nebo úpravy popisu skupiny modulů Gateway Enforcer Je možné přidat nebo upravit popis skupiny modulů Enforcer, jíž je příslušné zařízení Symantec Gateway Enforcer členem. Tento úkon můžete provádět v konzole Symantec Endpoint Protection Manager místo v konzole zařízení Enforcer. Jak přidat nebo upravit popis skupiny modulů Gateway Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte skupinu zařízení Gateway Enforcer, jejíž popis chcete přidat nebo změnit.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na záložce Základní nastavení v poli Popis přidejte nebo upravte popis pro skupinu modulů Gateway Enforcer.
6
Klepněte na tlačítko OK.
91
92
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Přidání a úprava popisu zařízení Gateway Enforcer Je možné přidat nebo upravit popis zařízení Gateway Enforcer. Tento úkon můžete provádět v konzole Symantec Endpoint Protection Manager místo v konzole zařízení Enforcer. Jakmile tento úkon dokončíte, popis se zobrazí v poli Popis v podokně Server pro správu. Jak přidat nebo upravit popis zařízení Gateway Enforcer.
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte skupinu zařízení Gateway Enforcer, jejíž popis chcete přidat nebo změnit.
4
Na stránce Správce v části Zobrazit servery vyberte zařízení Gateway Enforcer, jehož popis chcete přidat nebo upravit.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti modulu Enforcer.
6
V dialogovém okně Vlastnosti modulu Enforcer v poli Popis upravte nebo přidejte popis zařízení Gateway Enforcer.
7
Klepněte na tlačítko OK.
Přidání a úprava adresy IP nebo názvu hostitele zařízení Gateway Enforcer Během instalace můžete adresu IP nebo název hostitele zařízení Gateway Enforcer změnit pouze v konzole Gateway Enforcer. Pokud budete chtít později změnit adresu IP nebo název hostitele zařízení Gateway Enforcer, můžete to provést v konzole zařízení Gateway Enforcer. Viz „Nastavení zařízení Enforcer“ na straně 76. Viz „Configure interface“ na straně 250. Viz „Configure interface-role“ na straně 251.
Navázání komunikace mezi zařízením Gateway Enforcer a aplikací Symantec Endpoint Protection Manager pomocí seznamu serverů pro správu Zařízení Gateway Enforcer musí být umožněno připojení k serverům, na nichž je nainstalována aplikace Symantec Endpoint Protection Manager. Aplikace Symantec Endpoint Protection Manager obsahuje soubor, který pomáhá spravovat provoz
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
mezi klienty, aplikacemi Symantec Endpoint Protection Manager a volitelnými zařízeními Enforcer, jako je například zařízení Gateway Enforcer. Tento soubor se nazývá seznam serverů pro správu. Seznam serverů pro správu určuje, ke kterému serveru Symantec Endpoint Protection Manager se zařízení Gateway Enforcer připojuje. Rovněž určuje, ke kterému serveru Symantec Endpoint Protection Manager se modul Gateway Enforcer připojuje v případě selhání serveru pro správu. Během úvodní instalace se pro každou lokaci automaticky vytvoří výchozí seznam serverů pro správu. Do výchozího seznamu serverů pro správu jsou automaticky přidány všechny aplikace Symantec Endpoint Protection Manager, které jsou v lokaci k dispozici. Výchozí seznam serverů pro správu obsahuje adresy IP nebo názvy hostitelů serverů pro správu, ke kterým se zařízení Gateway Enforcer mohou připojit po úvodní instalaci. Před zavedením zařízení Gateway Enforcer může být vhodné vytvořit vlastní seznam serverů pro správu. Pokud vlastní seznam serverů pro správu vytvoříte, můžete zadat prioritu, podle které se bude zařízení Gateway Enforcer připojovat k serverům pro správu. Pokud správce vytvořil více seznamů serverů pro správu, můžete zvolit konkrétní seznam, který obsahuje adresy IP nebo názvy hostitelů těch serverů pro správu, ke kterým se má zařízení Gateway Enforcer připojovat. Pokud je v lokaci pouze jeden server pro správu, můžete zvolit výchozí seznam serverů pro správu. Další informace o přizpůsobení seznamů serverů pro správu naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Jak navázat komunikaci mezi zařízením Gateway Enforcer a aplikací Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, pro nějž chcete změnit adresu IP nebo název hostitele v seznamu serverů pro správu.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Základní nastavení v části Komunikace zvolte seznam serverů pro správu, který má toto zařízení Gateway Enforcer používat.
93
94
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
6
V dialogovém okně Nastavení na kartě Základní nastavení v části Komunikace klepněte na možnost Náhled. Můžete prohlížet adresy IP a názvy hostitelů všech dostupných serverů pro správu, stejně jako priority, které jim byly přiřazeny.
7
V dialogovém okně Seznam serverů pro správu klepněte na tlačítko Zavřít.
8
V dialogovém okně Nastavení klepněte na tlačítko OK.
Použití nastavení ověřování Můžete zadat počet nastavení ověřování pro relaci ověřování zařízení Gateway Enforcer. Po aplikaci změn budou změny automaticky odeslány vybranému zařízení Gateway Enforcer během následujícího prezenčního signálu.
Informace o použití nastavení ověřování Chcete-li síť zabezpečit ještě důkladněji, můžete použít řadu nastavení ověřování. Tab. 6-1 poskytuje další informace o možnostech na kartě Ověřování. Tab. 6-1
Nastavení ověřování zařízení Gateway Enforcer
Možnost
Popis
Maximální počet paketů na relaci ověřování
Maximální počet paketů typu challenge, které zařízení Gateway Enforcer odesílá v rámci každé relace ověřování. Výchozí počet je 10 paketů. Možný rozsah je 2 až 100 paketů. Viz „Zadání maximálního počtu paketů typu challenge během relace ověřování“ na straně 98.
Čas mezi pakety v relaci ověřování
Čas (v sekundách) mezi každým paketem typu challenge odeslaným zařízením Enforcer. Výchozí hodnota je 3 sekundy. Možný rozsah je 3 až 10 sekund. Viz „Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům“ na straně 99.
Doba, po kterou bude odmítnutý klient blokován
Doba (v sekundách), po kterou bude neúspěšně ověřený klient blokován. Výchozí hodnota je 30 sekund. Možný rozsah je 10 až 300 sekund. Viz „Zadání doby, po kterou je klient po neúspěšném ověření blokován“ na straně 100.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Možnost
Popis
Doba, po kterou bude úspěšně ověřený klient připojen k síti
Doba (v sekundách), po kterou může být klient připojen k síti bez nutnosti opětovného ověření. Výchozí hodnota je 30 sekund. Možný rozsah je 10 až 300 sekund. Viz „Zadání doby, po kterou může klient přistupovat k síti bez nutnosti opětovného ověření“ na straně 101.
Povolit všechny klienty, ale pokračovat v zaznamenávání neověřených klientů do protokolu
Pokud je tato možnost povolena, zařízení Gateway Enforcer bude ověřovat všechny uživatele tak, že zkontroluje, zda mají spuštěného klienta. Zařízení Gateway Enforcer také zkontroluje, zda klient úspěšně prošel kontrolou integrity hostitele. Pokud klient úspěšně projde kontrolou integrity hostitele, zařízení Gateway Enforcer zaznamená výsledky do protokolu. Následně předá požadavek brány na získání normální (ne karanténní) síťové konfigurace bez ohledu na to, zda je ověření úspěšné, či nikoliv. Ve výchozím nastavení tato možnost není povolena. Viz „Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu“ na straně 101.
Povolit všechny klienty Je-li tato možnost povolena, zařízení Gateway Enforcer s jinými operačními systémy, kontroluje operační systém klienta. Zařízení Gateway než je systém Windows Enforcer potom umožní všem klientům s jiným systémem než Windows získat normální síťovou konfiguraci bez nutnosti ověření. Není-li tato možnost povolena, obdrží klienti karanténní síťovou konfiguraci. Ve výchozím nastavení tato možnost není povolena. Viz „Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows“ na straně 103.
95
96
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Možnost
Popis
Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady
Pokud je tato možnost povolena, zařízení Gateway Enforcer ověřuje, zda klient získal ze serveru pro správu nejnovější zásady zabezpečení. Pokud sériové číslo zásady není nejnovější, zařízení Gateway Enforcer oznámí klientovi, že má provést aktualizaci zásady zabezpečení. Klient následně předá požadavek brány na získání karanténní síťové konfigurace. Pokud tato možnost není povolena a kontrola integrity hostitele je úspěšná, zařízení Gateway Enforcer předá požadavek brány na získání normální síťové konfigurace. Zařízení Gateway Enforcer předá požadavek i v případě, že klient nemá nejnovější zásadu zabezpečení. Ve výchozím nastavení tato možnost není povolena. Viz „Nastavení zařízení Gateway Enforcer pro kontrolu sériového čísla zásady klienta“ na straně 104.
Pokud není klient spuštěn, Je-li tato možnost povolena, zobrazí se zpráva těm povolit na něm místní zprávy uživatelům na počítačích se systémem Windows, kteří se snaží připojit k podnikové síti, aniž by měli spuštěného klienta. Výchozí zpráva je nastavena tak, že se zobrazí jen jednou. Tato zpráva informuje uživatele o tom, že jim byl zablokován přístup k síti, protože nemají spuštěného klienta a doporučí jim klienta nainstalovat. Klepnutím na možnost Zpráva můžete zprávu upravit, případně nastavit, kolikrát se má zobrazit. Maximální délka zprávy je 128 znaků. Ve výchozím nastavení je možnost povolena. Viz „Zasílání zprávy o neshodě klienta zařízením Gateway Enforcer“ na straně 105. Pokud není spuštěna aplikace Je-li tato možnost povolena, zařízení Gateway Enforcer Client, povolit na klientu může provádět přesměrování klientů na webový server pro přesměrování HTTP nápravu. Pokud je tato možnost povolena, zařízení Gateway Enforcer provádí přesměrování požadavků HTTP na interní webový server v případě, že klient není spuštěn. Tuto možnost nelze povolit, aniž by byla zadána adresa URL. Výchozí nastavení je povoleno, s hodnotou http://localhost. Viz „Přesměrování požadavků HTTP na webovou stránku“ na straně 106.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Možnost
Popis
Adresa URL pro přesměrování HTTP
Adresa webového serveru pro nápravu, na nějž budou klienti přesměrováni, může obsahovat až 255 znaků. Výchozí adresa URL pro přesměrován je http://localhost. Viz „Přesměrování požadavků HTTP na webovou stránku“ na straně 106.
Port pro přesměrování HTTP Pro přesměrování klientů na webový server pro nápravu můžete zadat i jiné číslo portu než 80. Výchozí nastavení pro webový server je port č. 80. Viz „Přesměrování požadavků HTTP na webovou stránku“ na straně 106.
Relace ověřování v zařízení Gateway Enforcer zařízení Když se klient pokusí získat přístup k interní síti, zařízení Gateway Enforcer s ním vytvoří relaci ověřování. Relace ověřování je sada paketů challenge, které zařízení Gateway Enforcer pošle klientovi. Během relace ověřování zařízení Gateway Enforcer posílá klientovi paket challenge ve stanovené frekvenci. Výchozí nastavení je každé 3 sekundy. Nepřestane posílat pakety, dokud od klienta neobdrží odpověď nebo dokud nepošle maximální stanovený počet paketů. Výchozí počet je 10 paketů. Pokud klient odpoví a projde ověřením, zařízení Gateway Enforcer mu povolí přístup k interní síti na stanovený počet sekund. Výchozí hodnota je 30 sekund. Zařízení Gateway Enforcer spustí novou relaci ověřování, během které klient musí odpovědět, aby si uchoval připojení k vnitřní síti. Klienta, který neodpoví nebo je odmítnutý, protože ověření selhalo, zařízení Gateway Enforcer odpojí. Pokud klient ne odpoví a ověření selže, zařízení Gateway Enforcer mu zablokuje přístup na stanovený počet sekund. Výchozí hodnota je 30 sekund. Pokud se pokusí přihlásit další klient se stejnou adresou IP, musí se znovu ověřit. Relaci ověřování můžete nakonfigurovat pro každé zařízení Gateway Enforcer na serveru pro správu.
Ověření klienta na zařízení Gateway Enforcer zařízení Zařízení Gateway Enforcer ověřuje vzdálené klienty před tím, než jim povolí přístup do sítě. Ověření klienta v zařízení Gateway Enforcer provádí tyto funkce: ■
Určí, jestli klienta ověřit nebo ho povolit bez ověření
97
98
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Na kartě Rozsah hodnot auth můžete určit konkrétní klienty nebo rozsahy adres IP, kterým důvěřovat nebo které ověřit. ■
Provádí relaci ověření Nastavení relace ověření nakonfigurujete na kartě Ověření.
Každé zařízení Gateway Enforcer udržuje tyto seznamy důvěryhodných adres IP, kterým je dovoleno připojit se k síti pomocí zařízení Gateway Enforcer: ■
Statický seznam Důvěryhodné externí adresy IP, které jsou pro modul Enforcer nakonfigurované na kartě Rozsah hodnot auth.
■
Dynamický seznam Dodatečné důvěryhodné adresy IP, které se přidávají a vypouštějí podle toho, jak se ověřují klienti, povoluje se jim připojení k síti a nakonec se odpojí.
Když přijde provoz od nového klienta, zařízení Gateway Enforcer určí, jestli je klient zařazen v seznamu důvěryhodných adres IP klientů. Pokud má klient důvěryhodnou adresu IP, povolí se mu vstup do sítě bez dalšího ověřování. Pokud klient nemá důvěryhodnou adresu IP, zkontroluje následně zařízení Gateway Enforcer, jestli je důvěryhodná adresa IP v rozsahu adres IP klientů, které je třeba ověřit. Pokud je adresa IP klienta v rozsahu klientských adres IP, zařízení Gateway Enforcer zahájí relaci ověřování. Během relace ověřování klient pošle své jedinečné číslo ID, výsledky kontroly integrity hostitele a své sériové číslo zásad. Sériové číslo zásad označuje, jestli jsou zásady zabezpečení klienta aktuální. Zařízení Gateway Enforcer zkontroluje výsledky. Volitelně může také zkontrolovat sériové číslo zásady. Pokud jsou výsledky platné, změní zařízení Gateway Enforcer stav klienta na ověřený a povolí mu přístup do sítě. Pokud výsledky platné nejsou, zablokuje zařízení Gateway Enforcer klientovi přístup do sítě. Po ověření klienta se jeho adresa IP přidá do dynamického seznamu spolu s časovým intervalem. Výchozí časový interval je 30 sekund. Po každém vypršení časového intervalu zařízení Gateway Enforcer spustí u klienta novou relaci ověření. Pokud klient neodpoví nebo ověření selže, vymaže se klientova adresa IP ze seznamu. Adresa IP bude také na určitou dobu zablokována. Výchozí nastavení je 30 sekund. Když se pokusí přihlásit další klient se stejnou adresou IP, musí se znovu ověřit.
Zadání maximálního počtu paketů typu challenge během relace ověřování Během relace ověřování jsou pakety typu challenge odesílány ze zařízení Gateway Enforcer ke klientovi v zadané frekvenci.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Zařízení Gateway Enforcer pokračuje v odesílání paketů, dokud nejsou splněny následující podmínky: ■
Zařízení Gateway Enforcer dostane od klienta odpověď.
■
Zařízení Gateway Enforcer odeslalo zadaný maximální počet paketů.
Výchozí nastavení maximálního počtu paketů typu challenge pro relaci ověření je 10. Možný rozsah je 2 až 100 paketů. Zadání maximálního počtu paketů typu challenge během relace ověřování
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Gateway Enforcer, pro nějž chcete zadat maximální počet paketů typu challenge během relace ověřování.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení brány na kartě Ověřování v částí Parametry ověřování zadejte maximální počet paketů typu challenge, které chcete během relace ověřování povolit, do pole Maximální počet paketů na relaci ověřování. Výchozí hodnota je 10 sekund. Možný rozsah je 2 až 100 paketů.
6
V dialogovém okně Nastavení brány na kartě Ověřování klepněte na tlačítko OK.
Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům Během relace ověřování jsou pakety typu challenge odesílány ze zařízení Gateway Enforcer ke klientovi v zadané frekvenci. Zařízení Gateway Enforcer pokračuje v odesílání paketů, dokud nejsou splněny následující podmínky: ■
Zařízení Gateway Enforcer dostalo od klienta odpověď.
■
Zařízení Gateway Enforcer odeslalo zadaný maximální počet paketů.
Výchozí nastavení je každé 3 sekundy. Možný rozsah je 3 až 10 sekund.
99
100
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, pro které chcete zadat frekvenci, s jakou budou pakety typu challenge odesílány klientům.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování v části Parametry ověřování zadejte do pole Čas mezi pakety v relaci ověřování maximální počet paketů typu challenge, které má zařízení Gateway Enforcer odesílat klientovi během relace ověřování. Výchozí hodnota jsou 3 sekundy. Možný rozsah je 3 až 10 sekund.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Zadání doby, po kterou je klient po neúspěšném ověření blokován Můžete zadat dobu, po kterou bude klient po neúspěšném ověření blokován. Výchozí hodnota je 30 sekund. Možný rozsah je 10 až 300 sekund. Zadání doby, po kterou bude klient po neúspěšném ověření blokován
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, u něhož je třeba zadat, jak dlouho bude klient po neúspěšném ověření blokován.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
5
V dialogovém okně Nastavení na kartě Ověřování v části Parametry ověřování zadejte počet sekund, po které má být klient po neúspěšném ověření blokován, do pole Doba, po kterou bude odmítnutý klient zablokován (v sekundách). Výchozí hodnota jsou 30 sekundy. Možný rozsah je 10 až 300 sekund.
6
Klepněte na tlačítko OK.
Zadání doby, po kterou může klient přistupovat k síti bez nutnosti opětovného ověření Můžete zadat dobu (v sekundách), po kterou může klient přistupovat k síti bez nutnosti opětovného ověření. Výchozí hodnota je 30 sekund. Možný rozsah je 10 až 300 sekund. Zadání doby, po kterou může klient přistupovat k síti bez nutnosti opětovného ověření
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, u něhož je třeba zadat, jak dlouho bude klient po neúspěšném ověření blokován.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování v části Parametry ověřování zadejte počet sekund, po které může klient přistupovat k síti bez nutnosti opětovného ověření, do pole Doba, po kterou bude ověřený klient povolen (v sekundách). Výchozí hodnota jsou 30 sekundy. Možný rozsah je 10 až 300 sekund.
6
Klepněte na tlačítko OK.
Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu Zavedení veškerého klientského softwaru může určitou dobu trvat. Dokud všichni uživatelé neobdrží klientský balík, může být vhodné nakonfigurovat zařízení Gateway Enforcer tak, aby povoloval připojení k síti všem klientům. Zařízení Gateway Enforcer blokuje všechny klientské počítače, na kterých není spuštěný klient. Vzhledem k tomu, že klient nemůže být spuštěn na jiných systémech než
101
102
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Windows (např. Linux nebo Solaris), jsou klientské počítače s těmito systémy zařízení Gateway Enforcer blokovány. Existuje však možnost povolit přístup k síti všem klientským počítačům s jiným systémem než Windows. Pokud klient s tímto nastavením není ověřen, zařízení Gateway Enforcer rozpozná typ operačního systému. Proto jsou klienti se systémem Windows blokováni a klientům s jiným operačním systémem je umožněno připojit se k síti. Ve výchozím nastavení tato možnost není povolena. Při použití konfiguračních nastavení se řiďte následujícími pokyny: ■
Toto nastavení by mělo být použito pouze přechodně, protože snižuje zabezpečení sítě.
■
Je-li toto nastavení aktivní, můžete prohlížet protokoly modulu Enforcer. Můžete získat informace o typech klientů, kteří se pokoušejí o připojení k síti v této lokaci. V protokolu aktivity klienta můžete například zjistit, že někteří z klientů nemají nainstalován klientský software. Před vypnutím této možnosti pak můžete zajistit, aby byl klientský software na tyto klienty nainstalován.
Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, pro nějž chcete povolit všechny klienty a neověřené klienty zaznamenávat do protokolu.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Povolit všechny klienty, ale pokračovat v zaznamenávání neověřených klientů do protokolu. Ve výchozím nastavení tato možnost není povolena.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows Zařízení Gateway Enforcer nedokáže ověřit klienta, který používá jiný systém než Windows. Klienti s jiným systémem než Windows se tedy nemohou připojovat k síti, pokud jim výslovně nepovolíte připojování bez ověření. Ve výchozím nastavení tato možnost není povolena. Povolení přístupu k síti klientům s jiným systémem než Windows můžete provést následujícími způsoby: ■
Označte každého klienta s jiným systémem než Windows jako důvěryhodného hostitele.
■
Povolte všechny klienty s jiným systémem než Windows.
Zařízení Gateway Enforcer detekuje operační systém klienta a ověřuje klienty se systémem Windows. Klientům s jiným systémem než Windows však nepovoluje připojení k zařízení Gateway Enforcer bez ověření. Pokud potřebujete k síti připojovat klienty s jiným systémem než Windows, je třeba nakonfigurovat další nastavení v konzole Symantec Endpoint Protection Manager. Viz „Požadavky na povolení klientů s jiným operačním systémem než Windows bez ověření“ na straně 47. Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, pro které chcete povolit přístup k síti všem klientům s jiným systémem než Windows.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Povolit všechny klienty s jiným systémem než Windows. Ve výchozím nastavení tato možnost není povolena.
6
Klepněte na tlačítko OK.
103
104
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Nastavení zařízení Gateway Enforcer pro kontrolu sériového čísla zásady klienta Aplikace Symantec Endpoint Protection Manager aktualizuje sériové číslo zásady klienta pokaždé, když se změní bezpečnostní zásada klienta. Při každém připojení k aplikaci Symantec Endpoint Protection Manager obdrží klient nejnovější zásady zabezpečení a nejnovější sériové číslo zásady. Při pokusu klienta o připojení k síti přes zařízení Gateway Enforcer si toto zařízení načte sériové číslo zásady z aplikace Symantec Endpoint Protection Manager. Následně zařízení Gateway Enforcer porovná sériové číslo zásady s číslem, které získalo od klienta. Pokud se sériová čísla zásady shodují, zařízení Gateway Enforcer považuje zásadu zabezpečení klienta za aktuální. Ve výchozím nastavení tato možnost není povolena. Platí následující zásady: ■
Je-li zaškrtnuta možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady, klient se může připojit k síti prostřednictvím zařízení Gateway Enforcer, pouze má-li nejnovější zásadu zabezpečení. Pokud klient nejnovější zásadu zabezpečení nemá, je upozorněn, že si má tuto zásadu stáhnout. Zařízení Gateway Enforcer následně předá požadavek brány na získání karanténní síťové konfigurace.
■
Pokud možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady zaškrtnuta není a test integrity hostitele je úspěšný, potom se klient může připojit k síti. Přes zařízení Gateway Enforcer se klient může připojovat i v případě, že jeho zásada zabezpečení není aktuální.
Jak nastavit v zařízení Gateway Enforcer kontrolu sériového čísla zásady klienta
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Gateway Enforcer. Skupina modulů Enforcer musí obsahovat zařízení Gateway Enforcer, které bude kontrolovat sériové číslo zásady klienta.
4
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady.
5
Klepněte na tlačítko OK.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Zasílání zprávy o neshodě klienta zařízením Gateway Enforcer Klientovi, který se nemůže připojit do sítě, můžete poslat upozornění prostřednictvím místní zprávy v systému Windows. Zpráva obvykle koncovému uživateli sděluje, že se klient nemůže připojit k síti. Klient se nemůže připojit k síti, protože nemá spuštěného klienta Symantec Network Access Control. Většina správců zadá krátký text, informující o nutnosti spustit klienta Symantec Endpoint Protection nebo Symantec Network Access Control. Zpráva může obsahovat informace o lokaci, z níž si koncoví uživatelé mohou požadovaný klientský software stáhnout. Můžete uvést i kontaktní telefonní číslo a další relevantní informace. Ve výchozí konfiguraci je toto nastavení povoleno. Vztahuje se pouze na klienty, kteří nemají spuštěnou klientskou aplikaci Symantec Endpoint Protection nebo Symantec Network Access Control. Jakmile tento úkon dokončíte, zobrazí se na klientovi místní zpráva (má-li klient spuštěnou službu Windows Messenger). Jak zaslat zprávu o neshodě klienta ze zařízení Gateway Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Pokud není klient spuštěn, povolit na něm místní zprávy.
6
Klepněte na tlačítko Zpráva.
7
V dialogovém okně Nastavení místních zpráv v seznamu Následující zpráva se zobrazí zvolte, jak často se má zpráva na klientovi zobrazovat. Můžete vybrat jeden z následujících časových údajů: ■
Jednou Výchozí hodnota je Jednou.
■
Každých 30 sekund
■
Každou minutu
■
Každých 2 minut
■
Každých 5 minut
105
106
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
■
8
Každých 10 minut
Do textového pole zadejte zprávu, která se má zobrazit. Maximální počet znaků je 125. Toto číslo zahrnuje i mezery a interpunkční znaménka. Výchozí zpráva je: Byl vám zablokován přístup k síti, protože nemáte spuštěného klienta Symantec. Je třeba, abyste jej nainstalovali.
9
Klepněte na tlačítko OK.
10 V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Přesměrování požadavků HTTP na webovou stránku Zařízení Gateway Enforcer nabízí možnost přesměrovat požadavky HTTP na interní webový server v případě, že se klientský počítač pokusí zobrazit v prohlížeči interní webovou stránku, aniž by měl spuštěného klienta. Nezadáte-li adresu URL, zobrazí se v těle první HTML stránky místní zpráva zařízení Gateway Enforcer. Ke stránce, kterou nastavíte, může být vhodné připojit uživatele. Klienti mohou z této stránky stahovat software pro nápravu. Zařízení Gateway Enforcer může přesměrovat požadavek HTTP GET na zadanou adresu URL. Ve výchozí konfiguraci je toto nastavení povoleno. Například můžete požadavek přesměrovat na webový server, z něhož může klient stahovat klientský software, opravy nebo aktuální verze aplikací. Přesměrování požadavků HTTP na webovou stránku
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Gateway Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení brány na kartě Ověřování zaškrtněte možnost Pokud není spuštěna aplikace Client, povolit na klientu přesměrování HTTP.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
6
Do pole Adresa URL pro přesměrování HTTP zadejte adresu URL. Hostitelem adresy pro přesměrování musí být buď aplikace Symantec Endpoint Protection Manager, nebo adresa IP, která leží v rozsahu důvěryhodných interních adres IP. Adresa URL může obsahovat až 255 znaků. Chcete-li zadat název webového serveru, musíte rovněž zaškrtnout možnost Povolit všechny pakety požadavků DNS na kartě Rozšířené. Pokud pole pro adresu URL necháte prázdné a pak klepnete na tlačítko OK, zobrazí se následující zpráva: Adresa URL pro přesměrování HTTP musí být platná adresa URL.
Jako tělo první stránky HTML, kterou zařízení Gateway Enforcer zašle klientovi, je použita místní zpráva tohoto zařízení.
7
V dialogovém okně Nastavení brány na kartě Ověřování klepněte na tlačítko OK.
Nastavení rozsahu ověřování Konfigurovat můžete tato nastavení: ■
Adresy IP klientů, které zařízení Gateway Enforcer ověřuje
■
Externí adresy IP, které zařízení Gateway Enforcer neověřuje
■
Interní adresy IP, ke kterým zařízení Gateway Enforcer umožňuje přístup
Po použití nastavení budou změny odeslány vybranému zařízení Gateway Enforcer během následujícího prezenčního signálu. Mějte na paměti tyto informace: ■
Jako výchozí je zvolena možnost ověřovat pouze klienty s těmito IP adresami. Pokud necháte tuto možnost vybranou, ale nepřidáte žádné adresy IP k ověření, jedná zařízení Gateway Enforcer jako síťový most a povolí přístup všem klientům.
■
Jako rozsah důvěryhodných externích adres IP byste měli přidat adresy podnikového serveru VPN a další adresy IP, které mají povolený přístup k podnikové síti bez spouštění klienta. Můžete také zahrnout zařízení, která mají standardně umožněn přístup k síti a na nichž je spuštěn jiný operační systém než Windows.
■
Jako rozsah důvěryhodných interních adres IP můžete určit adresy, jako je aktualizační server, souborový server se soubory antivirových signatur, server používaný k nápravě nebo servery DNS či WINS, které jsou potřeba k překladu názvů domén nebo hostitelů.
107
108
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
■
Pokud určíte, že zařízení Gateway Enforcer ověřuje aktuálnost profilu klienta, musí se klienti připojit k aplikaci Symantec Endpoint Protection Manager a stáhnout nejnovější zásady zabezpečení. Pokud tuto možnost používáte při odkazování na aplikaci Symantec Endpoint Protection Manager pomocí názvu DNS nebo názvu hostitele, musíte přidat adresy IP serveru DNS či WINS do seznamu důvěryhodných interních adres IP.
Rozsahy adres IP klientů ve srovnání s důvěryhodnými externími adresami IP Rozsah adres IP klientů je podobný tomu, čemu se říká Černá listina. Můžete určit adresy IP klientů a zařízení Gateway Enforcer pak bude kontrolovat jen konkrétní adresy IP, jestli na nich běží klient a jestli splňují požadované zásady zabezpečení. Pokud klient není na seznamu adres IP klientů, potom se chová, jako by mu byla přidělena důvěryhodná adresa IP. Oproti rozsahu adres IP klientů, důvěryhodným externím adresám IP by se dalo říkat Bílá listina. Když povolíte Přidělení důvěryhodných externích adres IP, zařízení Gateway Enforcer ověřuje klienty, kteří se pokoušejí připojit z externí lokace, kromě klientů s důvěryhodnými externími adresami IP. To je opakem procesu Rozsah adres IP klientů, který říká modulu Enforcer, aby ověřoval pouze klienty z daného rozsahu adres IP.
Kdy používat rozsahy adres IP klientů Rozsah adres IP klientů umožňuje správcům určit rozsah adres IP, které představují počítače, které zařízení Gateway Enforcer musí ověřit. Počítače s adresami mimo rozsah adres IP klientů mají povoleno projít přes zařízení Gateway Enforcer, aniž by musely mít klientský software nebo jiné ověření. Mezi důvody pro používání rozsahů adres IP klientů patří: ■
Umožnění síťového přístupu na externí webové servery
■
Ověření podmnožiny klientů
Umožnění síťového přístupu na externí webové servery Jedním z důvodů používání rozsahů adres IP klientů je povolení síťového přístupu z vaší interní sítě na externí webové servery. Pokud má vaše organizace v podnikové síti počítače, které při přístupu na webové servery na internetu, například Symantec nebo Yahoo, prochází zařízením Enforcer, mohou interní klienti posílat dotazy na internet. Zařízení Gateway Enforcer se však pokusí ověřit webové servery pokoušející se odpovědět na požadavek klienta.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
Proto interní klienti připojující se k internetu pomocí zařízení Gateway Enforcer nemohou na internet přistupovat, pokud nenakonfigurujete rozsah adres IP klientů. Rozsah adres IP klientů mohou být všechny adresy IP, které server VPN klientům přiděluje. Například interní klient může přistupovat k internetu, jestliže je nakonfigurovaný rozsah adres IP klientů. Když interní uživatel kontaktuje webový server, může server klientovi odpovědět, protože jeho adresa IP je mimo rozsah adres IP klientůInterní uživatel se tedy nemusí ověřovat.
Ověření podmnožiny klientů Adresy IP klientů můžete také používat, pokud chcete, aby zařízení Gateway Enforcer ověřovalo omezenou podmnožinu klientů ve vaší společnosti. Můžete například použít adresy IP klientů, když se klient právě zavádí. Zařízení Gateway Enforcer může kontrolovat pouze klienty, kteří se připojují pomocí jedné podsítě, kde jste už instalovali klienta na všechny počítače. Jiní klienti přistupující k podnikové síti na tomto umístění mají povoleno projít bez potřeby ověření. V průběhu toho, jak se klient instaluje na další klienty, můžete přidat jejich adresy do rozsahu adres IP klienta nebo použít jinou strategii ověřování.
Důvěryhodné adresy IP Na zařízení Gateway Enforcer pracujete s těmito typy důvěryhodných adres IP: ■
Důvěryhodné externí adresy IP Důvěryhodná externí adresa IP je adresa IP externího počítače, který má povoleno přistupovat k podnikové síti bez spuštěného klienta.
■
Důvěryhodné interní adresy IP Důvěryhodná interní adresa IP je adresa IP počítače v podnikové síti, ke kterému může přistupovat jakýkoliv klient zvenčí.
Důvěryhodné adresy IP obou typů můžete přidat v konzoli aplikace Symantec Endpoint Protection Manager. Zařízení Gateway Enforcer vždy povolí provoz na aplikaci Symantec Endpoint Protection Manager.
Důvěryhodné externí adresy IP Jednou z hlavních povinností zařízení Gateway Enforcer je kontrolovat, aby byl na všech počítačích pokoušejících se připojit k síti spuštěný klient. Na některých počítačích, například určitých serverech, nemusí být spuštěný operační systém Windows nebo klient.
109
110
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
Klient obvykle neběží například na server VPN nebo bezdrátové sítě. Nastavení sítě může také zahrnout zařízení, která mají standardně umožněn přístup k síti a na nichž je spuštěn jiný operační systém než Windows. Pokud tyto počítače potřebují projít zařízením Gateway Enforcer, musíte zajistit, aby o nich zařízení Gateway Enforcer vědělo. Toto můžete zajistit vytvořením rozsahu důvěryhodných externích adres IP. Kromě toho je také třeba přiřadit klientovi adresu IP z tohoto rozsahu.
Důvěryhodné interní adresy IP Důvěryhodná interní adresa IP představuje adresu IP počítače v podnikové síti, ke kterému může přistupovat jakýkoliv externí klient zvenčí. Z některých interních adres IP můžete udělat důvěryhodné interní adresy IP. Když uvedete důvěryhodné interní adresy IP, klienti se mohou k této adrese IP dostat mimo podnikovou síť bez ohledu na to, zda: ■
Byl na klientském počítači nainstalován klientský software.
■
Klient je v souladu se zásadou zabezpečení
Důvěryhodné interní adresy IP jsou interní adresy IP, ke kterým chcete, aby měli uživatelé mimo společnost přístup. Následuje několik příkladů interních adres, které můžete uvést jako důvěryhodné adresy IP: ■
aktualizační server,
■
souborový server obsahující soubory antivirových signatur,
■
server pro nápravu,
■
server DNS nebo server WINS pro překlad názvů domén nebo hostitelů.
Když se klient pokusí připojit k interní síti a není ověřen zařízením Gateway Enforcer, je možné ho za následujících okolností umístit do karantény: ■
Na klientském počítači není spuštěn klientský software.
■
Kontrola integrity hostitele selhala.
■
Klient nemá nejaktuálnější zásadu.
Klient má stále povolen přístup k jistým adresám IP – to jsou důvěryhodné interní adresy IP. Koncept důvěryhodných interních adres IP může například zajistit, aby externí počítač, který potřebuje přístup k počítačové síti, získal klienta nebo jiný software, který potřebuje. Zařízení Gateway Enforcer povolí externímu klientovi dostat se k počítači, který je na seznamu důvěryhodných interních adres IP.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
Přidání rozsahů adres IP klientů k seznamu adres, které vyžadují ověření Můžete určit adresy IP klientů, které bude zařízení Gateway Enforcer ověřovat. Měli byste mít na paměti tyto věci: ■
Pokud chcete ověřovat určité adresy, musíte označit zaškrtávací pole Povolit u adresy nebo rozsahu adres IP. Pokud chcete dočasně zrušit ověřování adresy nebo rozsahu adres IP, zrušte označení pole Povolit.
■
Pokud zadáte neplatnou adresu IP, zobrazí se při pokusu o přidání do seznamu adres IP klientů chybové hlášení.
Omezení přístupu klienta k síti po ověření
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Gateway Enforcer.
4
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah ověřování adres IP klientů, označte políčko Ověřovat pouze klienty s těmito adresami IP. Když tuto možnost neoznačíte, všechny adresy IP ze seznamu budou ignorovány. Proto budou ověřeni všichni klienti, kteří se pokusí připojit k síti. Když tuto možnost označíte, zařízení Gateway Enforcer ověří pouze klienty s adresami IP, které jsou uvedeny v seznamu.
6
Klepněte na tlačítko Přidat.
7
V dialogovém okně Přidat jednu interní adresu IP vyberte možnost Jedna adresa IP, Rozsah adres IP nebo Podsítě. Pole se změní tak, abyste mohli zadat příslušný údaj.
8
9
Vyberte, zda chcete přidat: ■
Jednu adresu IP
■
Rozsah adres IP
■
Rozsah adres IP s maskou podsítě.
Zadejte jednu adresu IP, počáteční a koncovou adresu rozsahu adres nebo adresu IP s maskou podsítě.
111
112
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
10 Klepněte na tlačítko OK. Údaj o adrese, který jste zadali, se přidá do tabulky rozsahu adres IP klientů s vybranou možností Povolit.
11 Pokračujte v klepání na tlačítko Přidat, abyste určili další adresy nebo rozsahy adres IP, které má zařízení Gateway Enforcer ověřovat.
12 Klepněte na tlačítko OK.
Úprava rozsahů adres IP klientů na seznamu adres, které vyžadují ověření Může být nutné upravit rozsah adres IP klientů, které chcete ověřovat. Úprava rozsahů adres IP klientů na seznamu adres, které vyžadují ověření
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Vyberte skupinu modulů Enforcer, u které chcete upravit rozsahy adres IP klientů na seznamu adres, které vyžadují ověření.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah adres IP klientů, klepněte kamkoliv do sloupce s adresami IP a potom klepněte na možnost Upravit vše.
7
Klepněte na tlačítko OK.
8
V dialogovém okně Nastavení brány klepněte na tlačítko OK.
Odebrání rozsahů adres IP klientů ze seznamu adres, které vyžadují ověření Může být nutné odstranit rozsahy adres IP klientů. Odebrání rozsahů adres IP klientů ze seznamu adres, které vyžadují ověření
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Vyberte skupinu zařízení Gateway Enforcer, u které chcete upravit rozsahy adres IP klientů, v seznamu adres, které vyžadují ověření.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah adres IP klientů, klepněte na řádek obsahující adresu IP, kterou chcete odstranit.
7
Klepněte na možnost Odebrat.
8
Klepněte na tlačítko OK.
Přidání důvěryhodné interní adresy IP pro klienty na serveru pro správu Tabulka důvěryhodných interních adres IP obsahuje seznam interních adres IP, se kterými smí externí počítače komunikovat bez ohledu na to, jestli na nich běží klient nebo jestli klient prošel kontrolou integrity hostitele. Jestliže máte spuštěná dvě zařízení Gateway Enforcer za sebou, takže se klient připojuje přes více než jedno zařízení Gateway Enforcer, potom musí být zařízení Gateway Enforcer nejblíže aplikaci Symantec Endpoint Protection Manager určeno ve druhém zařízení Gateway Enforcer jako důvěryhodná interní adresa IP. Pokud u klienta nejprve selže kontrola integrity hostitele a potom kontrolou projde, může dojít až k pětiminutovému zpoždění, než se klient může připojit k síti. Přidání důvěřyhodné interní adresy IP pro klienty na serveru pro správu
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Vyberte skupinu modulů Gateway Enforcer, u které chcete upravit rozsahy adres IP klientů na seznamu adres, které vyžadují ověření.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah důvěryhodných adres IP, vyberte z rozevíracího seznamu možnost Rozsah důvěryhodných interních adres IP.
7
Klepněte na tlačítko Přidat.
113
114
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
8
V dialogovém okně Nastavení adresy IP zadejte adresu nebo rozsah adres IP.
9
Klepněte na tlačítko OK. Adresa IP se přidá do seznamu ve sloupci Povolit se objeví značka zaškrtnutí.
10 V dialogovém okně Nastavení klepněte na tlačítko OK.
Určení důvěryhodných externích adres IP Pokud přidáte důvěryhodné externí adresy IP, povolí zařízení Gateway Enforcer počítačům na těchto adresách připojení k síti, i když na nich není spuštěný žádný klientský software. Protože se klient neinstaluje na serverech VPN, měli byste, pokud váš server VPN potřebuje přístup k síti přes zařízení Enforcer, přidat adresu IP serveru na seznam důvěryhodných adres IP Pokud zadáte neplatnou adresu IP, zobrazí se chybová zpráva. Poznámka: Nejprve musíte do pole Důvěryhodné externí adresy IP přidat interní adresu IP podnikového serveru VPN. Určení důvěryhodných externích adres IP
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Vyberte skupinu modulů Enforcer, u které chcete určit důvěryhodné externí adresy IP.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah důvěryhodných adres IP, vyberte z rozevíracího seznamu možnost Rozsah důvěryhodných externích adres IP.
7
Klepněte na tlačítko Přidat.
8
V dialogovém okně Nastavení adresy IP zadejte adresu nebo rozsah adres IP.
9
Klepněte na tlačítko OK. Adresa IP se přidá do seznamu ve sloupci Povolit se objeví značka zaškrtnutí.
10 V dialogovém okně Nastavení klepněte na tlačítko OK.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
Úprava důvěryhodné interní nebo externí adresy IP Může být nutné upravit důvěryhodné interní i externí adresy IP. Úprava důvěryhodné interní nebo externí adresy IP
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Vyberte skupinu modulů Enforcer, u které chcete upravit důvěryhodné interní nebo externí adresy IP.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah důvěryhodných adres IP, vyberte z rozevíracího seznamu možnost Rozsah důvěryhodných externích adres IP nebo Rozsah důvěryhodných externích adres IP. Adresy vybraného typu se objeví v tabulce.
7
V tabulce Rozsah důvěryhodných adres IP klepněte kamkoliv ve sloupci adres IP a pak klepněte na možnost Upravit vše.
8
V dialogovém okně Editor adresy IP najděte všechny adresy, které chcete změnit a upravte je.
9
Klepněte na tlačítko OK.
10 V dialogovém okně Nastavení klepněte na tlačítko OK.
Odstranění důvěryhodné interní nebo externí adresy IP Pokud už nechcete externím uživatelům, kteří nejsou plně ověření, povolit přístup ke konkrétnímu internímu umístění, můžete odstranit adresu IP z tabulky Důvěryhodných interních adres IP. Odstranění důvěryhodné interní nebo externí adresy IP
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Gateway Enforcer.
115
116
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Nastavení rozsahu ověřování
4
Vyberte skupinu zařízení Gateway Enforcer, u které chcete odstranit důvěryhodné interní nebo externí adresy IP.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Rozsah hodnot auth, v oblasti Rozsah důvěryhodných adres IP, vyberte z rozevíracího seznamu možnost Rozsah důvěryhodných externích adres IP nebo Rozsah důvěryhodných externích adres IP. Adresy vybraného typu se objeví v tabulce.
7
V tabulce klepněte na řádek s adresou IP, kterou chcete odstranit.
8
Klepněte na možnost Odebrat.
9
V dialogovém okně Nastavení klepněte na tlačítko OK.
Pořadí kontroly rozsahu adres IP Pokud se používá rozsah adres IP klientů i důvěryhodné adresy IP, zkontroluje zařízení Gateway Enforcer při přijetí paketu od klienta adresy klientů v tomto pořadí: ■
Pokud je povolen rozsah adres IP klientů, zkontroluje zařízení Gateway Enforcer tabulku Rozsah adres IP klientů, jestli obsahuje adresu odpovídající zdrojové adrese IP klienta.
■
Pokud rozsah adres IP klientů neobsahuje adresu IP tohoto klienta, povolí zařízení Gateway Enforcer klientovi přístup bez ověření.
■
Pokud rozsah adres IP klientů obsahuje adresu tohoto klienta, zkontroluje zařízení Gateway Enforcer následně rozsah důvěryhodných externích adres IP, jestli neobsahuje danou adresu.
■
Pokud se v rozsahu důvěryhodných externích adres IP adresa odpovídající klientově nachází, povolí zařízení Gateway Enforcer klientovi přístup.
■
Pokud se v rozsahu důvěryhodných adres IP odpovídající adresa nenachází, porovná následně zařízení Gateway Enforcer cílovou adresu se seznamem Rozsah důvěryhodných interních adres IP a seznamem aplikací Symantec Endpoint Protection Manager. Pokud odpovídající adresu stále nenajde, spustí zařízení Gateway Enforcer relaci ověřování a pošle paket challenge.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení Gateway Enforcer
Použití rozšířených nastavení zařízení Gateway Enforcer Konfigurovat můžete následující rozšířená nastavení zařízení Gateway Enforcer: ■
Povolit všechny pakety požadavků DHCP.
■
Povolit všechny pakety požadavků DNS.
■
Povolit všechny pakety požadavků ARP.
■
Povolit další protokoly kromě protokolů IP a ARP. V poli Filtr můžete určit, které typy protokolů chcete povolit. Viz „Určení typů paketů a protokolů“ na straně 117.
■
Povolení starších klientů Viz „Povolení připojení staršího klienta k síti pomocí zařízení Gateway Enforcer“ na straně 118.
■
Povolení místního ověřování Viz „Povolení místního úvěrování v zařízení Gateway Enforcer“ na straně 119.
Po aplikaci nastavení budou provedené změny odeslány vybranému zařízení Gateway Enforcer během následujícího prezenčního signálu.
Určení typů paketů a protokolů Můžete určit, že zařízení Gateway Enforcer určitým typům paketů povoluje projít bez požadavku na spuštění klienta nebo ověření. Jak určit typ paketů a protokolů
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Gateway Enforcer.
4
Vyberte skupinu zařízení Gateway Enforcer, pro kterou chcete určit typy paketů a protokolů.
5
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení brány, na kartě Pokročilé, zaškrtněte nebo odškrtněte tyto typy paketů nebo protokolů: ■
Povolit všechny pakety požadavků DHCP.
117
118
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení Gateway Enforcer
Pokud je tato možnost povolena, bude zařízení Gateway Enforcer předávat všechny požadavky DHCP z externí sítě do interní sítě. Protože zákaz této možnosti znemožní klientovi získání adresy IP a protože klient vyžaduje adresu IP, aby mohl komunikovat se zařízením Gateway Enforcer, doporučuje se tuto možnost ponechat povolenou. Ve výchozím nastavení je možnost povolena.
7
■
Povolit všechny pakety požadavků DNS. Pokud je tato možnost povolena, bude modul Enforcer předávat všechny požadavky DNS z externí sítě do interní sítě. Tato možnost musí být povolena v případě, že je klient nakonfigurován, aby komunikoval s aplikací Symantec Endpoint Protection Manager pomocí názvu místo adresy IP. Tato možnost musí být povolena i v případě, pokud chcete používat možnost přesměrování požadavků HTTP na kartě Ověření. Ve výchozím nastavení je možnost povolena.
■
Povolit všechny pakety požadavků ARP. Pokud je tato možnost povolena, umožní zařízení Gateway Enforcer směrování všech paketů ARP z interní sítě. Jinak zařízení Gateway Enforcer zachází s paketem jako s normálním paketem IP a použije adresu IP odesílatele jako zdrojovou adresu IP a adresu IP cíle jako cílovou adresu IP, a provede proces ověření. Ve výchozím nastavení je možnost povolena.
■
Povolit další protokoly kromě protokolů IP a ARP. Pokud je tato možnost povolena, zařízení Gateway Enforcer bude předávat všechny pakety s ostatními protokoly. V opačném případě je bude zahazovat. Ve výchozím nastavení je tato položka zakázána. Pokud označíte možnost Povolit další protokoly kromě protokolů IP a ARP, bude možná zapotřebí vyplnit pole Filtr.
Klepněte na tlačítko OK.
Povolení připojení staršího klienta k síti pomocí zařízení Gateway Enforcer V zařízení Gateway Enforcer můžete povolit připojování ke starším klientům verze 5.1.x. Pokud vaše síť podporuje aplikaci 11.0.2 Symantec Endpoint Protection Manager, zařízení Symantec Gateway Enforcer a potřebujete podporovat starší klienty verze 5.1.x, můžete povolit podporu starších klientů v konzole serveru pro správu, aby je zařízení Symantec Gateway Enforcer neblokovalo.
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení Gateway Enforcer
Jak povolit připojení staršího klienta k síti pomocí zařízení Gateway Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery, vyberte a rozbalte skupinu zařízení Gateway Enforcer.
4
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Upřesnit zaškrtněte Povolit zastaralé klienty.
6
Klepněte na tlačítko OK.
Povolení místního úvěrování v zařízení Gateway Enforcer Při povolení místního ověřování ztratí zařízení Gateway Enforcer své propojení se serverem, na němž je nainstalována aplikace Symantec Endpoint Protection Manager. Zařízení Gateway Enforcer proto provádí místní ověřování klientů. Jak povolit místní ověřování v zařízení Gateway Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery, vyberte a rozbalte skupinu zařízení Gateway Enforcer.
4
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Upřesnit zaškrtněte možnost Povolit místní ověřování.
6
Klepněte na tlačítko OK.
119
120
Konfigurace zařízení Symantec Gateway Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení Gateway Enforcer
Kapitola
7
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Tato kapitola obsahuje následující témata: ■
Konfigurace zařízení DHCP Enforcer Symantec v konzole aplikace Symantec Endpoint Protection Manager
■
Změna konfiguračních nastavení zařízení DHCP Enforcer na serveru pro správu
■
Použití obecného nastavení
■
Použití nastavení ověřování
■
Používání nastavení serveru DHCP
■
Použití rozšířených nastavení zařízení DHCP Enforcer
122
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení DHCP Enforcer Symantec v konzole aplikace Symantec Endpoint Protection Manager
Konfigurace zařízení DHCP Enforcer Symantec v konzole aplikace Symantec Endpoint Protection Manager Konfigurační nastavení pro zařízení DHCP Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Než budete moci pokračovat, je nutné dokončit následující úkony: ■
Nainstalujte do počítače software pro aplikaci Symantec Endpoint Protection Manager. Viz Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. Počítač, na kterém je nainstalován software Symantec Endpoint Protection Manager, se označuje také jako server pro správu.
■
Připojte zařízení DHCP Enforcer Symantec k síti. Viz „Nastavení zařízení Enforcer“ na straně 76.
■
Během instalace nakonfigurujte zařízení DHCP Enforcer Symantec v konzole zařízení Enforcer. Viz „Konfigurace zařízení Enforcer“ na straně 78.
Jakmile tyto úkony dokončíte, můžete zadat dodatečná konfigurační nastavení zařízení DHCP Enforcer na serveru pro správu.
Změna konfiguračních nastavení zařízení DHCP Enforcer na serveru pro správu Konfigurační nastavení zařízení DHCP Enforcer je možné změnit na serveru pro správu. Konfigurační nastavení budou automaticky stažena ze serveru pro správu do zařízení DHCP Enforcer během následujícího prezenčního signálu. Jak změnit konfigurační nastavení zařízení DHCP Enforcer na serveru pro správu
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů DHCP Enforcer, jejímž členem je dané zařízení DHCP Enforcer. Skupina modulů DHCP Enforcer musí obsahovat zařízení DHCP Enforcer, jejichž konfigurační nastavení je třeba změnit.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Změna konfiguračních nastavení zařízení DHCP Enforcer na serveru pro správu
4
Na stránce Správce v části Zobrazit servery zvolte zařízení DHCP Enforcer, jehož konfigurační nastavení je třeba změnit.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení změňte jakékoli konfigurační nastavení. Dialogové okno Nastavení zařízení DHCP Enforcer nabízí následující kategorie konfiguračních nastavení: Obecné
Nastavení popisu skupiny modulů DHCP Enforcer a seznam serverů pro správu. Viz „Použití obecného nastavení“ na straně 124.
Ověřování
Nastavení řady parametrů, které ovlivňují proces ověřování klientů. Viz „Použití nastavení ověřování“ na straně 127.
Servery DHCP
Nastavení, která určují adresu IP, číslo portu a prioritu pro normální a karanténní servery DHCP. Tento údaj je povinný Před zahájením vynucování je nutné nakonfigurovat informace o serveru DHCP. Viz „Používání nastavení serveru DHCP“ na straně 137.
Rozšířené
Nastavení parametrů časového limitu ověřování a časových limitů zprávy DHCP. Nastavení adres MAC důvěryhodných hostitelů, kterým zařízení DHCP Enforcer povolí připojení bez ověření (volitelné). Nastavení falšování DNS a místního ověřování Viz „Použití rozšířených nastavení zařízení DHCP Enforcer“ na straně 140.
Nastavení protokolu
Nastavení pro povolení protokolů serveru, povolení protokolů aktivity klienta a zadání parametrů pro soubory protokolů. Viz „Zprávy modulů Enforcer“ na straně 407. Viz „Protokoly zařízení Enforcer“ na straně 408. Viz „Konfigurace nastavení protokolu modulu Enforcer“ na straně 411.
123
124
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Použití obecného nastavení Popis zařízení DHCP Enforcer nebo skupiny modulů DHCP Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Viz „Přidání a úprava názvu skupiny modulů Enforcer obsahující modul DHCP Enforcer“ na straně 124. Viz „Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení DHCP Enforcer“ na straně 124. V konzole aplikace Symantec Endpoint Protection Manager však není možné přidávat nebo upravovat název skupiny modulů DHCP Enforcer. V konzole aplikace Symantec Endpoint Protection Manager není možné přidávat nebo upravovat adresu IP nebo název hostitele zařízení DHCP Enforcer. Tyto úkony je nutné provádět v konzole zařízení Enforcer. Viz „Přidání a úprava adresy IP nebo názvu hostitele zařízení Enforcer DHCP“ na straně 125. Také lze přidat nebo upravit adresu IP nebo název hostitele aplikace Symantec Endpoint Protection Manager v seznamu serverů pro správu. Viz „Připojení zařízení DHCP Enforcer k aplikaci Symantec Endpoint Protection Manager“ na straně 126.
Přidání a úprava názvu skupiny modulů Enforcer obsahující modul DHCP Enforcer Je možné přidat nebo upravit název skupiny modulů Enforcer, jíž je příslušný zařízení Enforcer DHCP členem. Tyto úkony se provádí v konzole zařízení Enforcer během instalace. Pokud budete chtít později změnit název skupiny modulů Enforcer, můžete to provést v konzole modulu Enforcer. Informace o přidání a úpravě názvu skupiny modulů Enforcer naleznete v Příručce k implementaci zařízení Symantec Network Access Control Enforcer. Všechny zařízení Enforcer ve skupině sdílejí stejná konfigurační nastavení.
Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení DHCP Enforcer Je možné přidat nebo upravit popis skupiny modulů Enforcer, jíž je příslušný zařízení DHCP Enforcer členem. Tento úkon můžete provádět v konzole Symantec Endpoint Protection Manager místo v konzole zařízení DHCP Enforcer.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Přidání nebo úprava popisu skupiny modulů Enforcer obsahující zařízení DHCP Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte a rozbalte skupinu modulů Enforcer, jejíž popis chcete přidat nebo změnit.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na záložce Základní nastavení v poli Popis přidejte nebo upravte popis pro skupinu modulů Enforcer.
6
V dialogovém okně Nastavení klepněte na tlačítko OK.
Přidání a úprava adresy IP nebo názvu hostitele zařízení Enforcer DHCP Během instalace můžete adresu IP nebo název hostitele zařízení Enforcer DHCP změnit pouze v konzole zařízení Enforcer. Pokud budete chtít později změnit adresu IP nebo název hostitele zařízení Enforcer DHCP, můžete to provést v konzole zařízení Enforcer DHCP. Další informace najdete v Příručce k implementaci zařízení Symantec Network Access Control Enforcer.
Přidání a úprava popisu zařízení DHCP Enforcer Je možné přidat nebo upravit popis zařízení DHCP Enforcer. Tento úkon můžete provádět v konzole Symantec Endpoint Protection Manager místo v konzole zařízení DHCP Enforcer. Jakmile tento úkon dokončíte, popis se zobrazí v poli Popis v podokně Server pro správu. Přidání nebo úprava popisu zařízení DHCP Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer, která obsahuje zařízení DHCP Enforcer, jehož popis chcete přidat nebo upravit.
4
Na stránce Správce v části Zobrazit servery vyberte zařízení DHCP Enforcer, jehož popis chcete přidat nebo upravit.
125
126
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti zařízení Enforcer.
6
V dialogovém okně Vlastnosti zařízení Enforcer v poli Popis upravte nebo přidejte popis zařízení DHCP Enforcer.
7
V dialogovém okně Vlastnosti zařízení Enforcer klepněte na tlačítko OK.
Připojení zařízení DHCP Enforcer k aplikaci Symantec Endpoint Protection Manager Zařízení Enforcer musí být umožněno připojení k serverům, na nichž je nainstalována aplikace Symantec Endpoint Protection Manager. Aplikace Symantec Endpoint Protection Manager obsahuje soubor, který pomáhá spravovat provoz mezi klienty, aplikacemi Symantec Endpoint Protection Manager a volitelnými zařízeními Enforcer, jako je například modul DHCP Enforcer. Tento soubor se nazývá seznam serverů pro správu. Seznam serverů pro správu určuje, ke kterému serveru Symantec Endpoint Protection Manager se zařízení DHCP Enforcer připojuje. Rovněž určuje, ke kterému serveru Symantec Endpoint Protection Manager se modul DHCP Enforcer připojuje v případě selhání serveru pro správu. Během úvodní instalace se pro každou lokaci automaticky vytvoří výchozí seznam serverů pro správu. Do výchozího seznamu serverů pro správu jsou automaticky přidány všechny aplikace Symantec Endpoint Protection Manager, které jsou v lokaci k dispozici. Výchozí seznam serverů pro správu obsahuje adresy IP nebo názvy hostitelů serverů pro správu, ke kterým se zařízení DHCP Enforcer mohou připojit po úvodní instalaci. Před zavedením modulů Enforcer může být vhodné vytvořit vlastní seznam serverů pro správu. Pokud vlastní seznam serverů pro správu vytvoříte, můžete zadat prioritu, podle které se bude zařízení DHCP Enforcer připojovat k serverům pro správu. Můžete zvolit konkrétní seznam serverů pro správu, který obsahuje adresy IP nebo názvy hostitelů těch serverů pro správu, ke kterým se má zařízení DHCP Enforcer připojovat. Pokud je v lokaci pouze jeden server pro správu, můžete zvolit výchozí seznam serverů pro správu. Další informace o přizpůsobení seznamů serverů pro správu naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Připojení zařízení DHCP Enforcer k aplikaci Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina Enforcer musí obsahovat modul DHCP Enforcer, pro nějž chcete změnit adresu IP nebo název hostitele v seznamu serverů pro správu.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Základní nastavení v části Komunikace zvolte seznam serverů pro správu, který má tento zařízení DHCP Enforcer používat.
6
V dialogovém okně Nastavení na kartě Základní nastavení v části Komunikace klepněte na možnost Náhled. Můžete prohlížet adresy IP a názvy hostitelů všech dostupných serverů pro správu, stejně jako priority, které jim byly přiřazeny.
7
V dialogovém okně Seznam serverů pro správu klepněte na tlačítko Zavřít.
8
V dialogovém okně Nastavení klepněte na tlačítko OK.
Použití nastavení ověřování Můžete zadat počet nastavení ověřování pro relaci ověřování zařízení DHCP Enforcer. Po aplikaci změn budou změny automaticky odeslány vybranému zařízení DHCP Enforcer během následujícího prezenčního signálu.
Informace o použití nastavení ověřování Chcete-li síť zabezpečit ještě důkladněji, můžete použít řadu nastavení ověřování. Tab. 7-1 poskytuje další informace o možnostech na kartě Ověřování. Tab. 7-1
Nastavení ověřování zařízení DHCP Enforcer
Možnost
Popis
Maximální počet paketů na relaci ověřování
Maximální počet paketů typu challenge, které zařízení DHCP Enforcer odesílá v rámci každé relace ověřování. Výchozí počet je 10. Viz „Zadání maximálního počtu paketů typu challenge během relace ověřování“ na straně 131.
127
128
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Možnost
Popis
Čas mezi pakety v relaci ověřování
Čas (v sekundách) mezi každým paketem typu challenge odeslaným zařízením Enforcer. Výchozí hodnota je 3. Viz „Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům“ na straně 132.
Povolit všechny klienty, ale pokračovat v zaznamenávání neověřených klientů do protokolu
Pokud je tato možnost povolena, zařízení Enforcer bude ověřovat všechny uživatele tak, že zkontroluje, zda mají spuštěného klienta. Zařízení DHCP Enforcer také kontroluje, zda klient úspěšně prošel kontrolou integrity hostitele. Pokud klient úspěšně projde kontrolou integrity hostitele, zařízení DHCP Enforcer zaznamená výsledky do protokolu. Následně předá požadavek DHCP na získání normální (ne karanténní) síťové konfigurace bez ohledu na to, zda je ověření úspěšné, či nikoliv. Ve výchozím nastavení tato možnost není povolena. Viz „Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu“ na straně 132.
Povolit všechny klienty Je-li tato možnost povolena, zařízení DHCP Enforcer s jinými operačními systémy, kontroluje operační systém klienta. Zařízení DHCP Enforcer než je systém Windows potom umožní všem klientům s jiným systémem než Windows získat normální síťovou konfiguraci bez nutnosti ověření. Není-li tato možnost povolena, obdrží klienti karanténní síťovou konfiguraci. Ve výchozím nastavení tato možnost není povolena. Viz „Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows“ na straně 133.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Možnost
Popis
Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady
Pokud je tato možnost povolena, zařízení DHCP Enforcer ověřuje, zda klient získal ze serveru pro správu nejnovější zásady zabezpečení. Pokud sériové číslo zásady není nejnovější, zařízení DHCP Enforcer oznámí klientovi, že má provést aktualizaci zásady zabezpečení. Klient následně předá požadavek DHCP na získání karanténní síťové konfigurace. Pokud tato možnost není povolena a kontrola integrity hostitele je úspěšná, modul DHCP Enforcer předá požadavek DHCP na získání normální síťové konfigurace. Zařízení DHCP Enforcer předá požadavek DHCP i v případě, že klient nemá nejnovější zásadu zabezpečení. Ve výchozím nastavení tato možnost není povolena. Viz „Nastavení zařízení DHCP Enforcer pro kontrolu sériového čísla zásady klienta“ na straně 134.
Pokud není klient spuštěn, Je-li tato možnost povolena, zobrazí se zpráva těm povolit na něm místní zprávy uživatelům na počítačích se systémem Windows, kteří se snaží připojit k podnikové síti, aniž by měli spuštěného klienta. Výchozí zpráva je nastavena tak, že se zobrazí jen jednou. Tato zpráva informuje uživatele o tom, že jim byl zablokován přístup k síti, protože nemají spuštěného klienta a doporučí jim klienta nainstalovat. Klepnutím na možnost Zpráva můžete zprávu upravit, případně nastavit, kolikrát se má zobrazit. Maximální délka zprávy je 128 znaků. Ve výchozím nastavení je možnost povolena. Viz „Zasílání zprávy o neshodě klienta zařízení DHCP Enforcer“ na straně 135.
Relace ověřování Při pokusu klienta o přístup k interní síti zařízení DHCP Enforcer nejprve zjistí, zda má klientský počítač spuštěného klienta. Pokud ano, předá zařízení DHCP Enforcer zprávu DHCP od klienta serveru DHCP, čímž získá dočasnou karanténní adresu IP. Tento proces používá zařízení DHCP Enforcer interně za účelem svého ověření. Zařízení DHCP Enforcer poté zahájí relaci ověřování klientského počítače. Relace ověřování je tvořena sadou paketů typu challenge, které zařízení DHCP Enforcer zasílá klientovi.
129
130
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Během relace ověřování jsou pakety typu challenge odesílány ze zařízení DHCP Enforcer ke klientovi v zadané frekvenci. Výchozí nastavení je každé 3 sekundy. Zařízení DHCP Enforcer pokračuje v odesílání paketů, dokud není splněna jedna z následujících podmínek: ■
Zařízení DHCP Enforcer dostalo od klienta odpověď.
■
Zařízení DHCP Enforcer odeslalo zadaný maximální počet paketů. Výchozí nastavení je 10.
Součin frekvence (3 sekundy) a počtu paketů (10) udává hodnotu, která je použita pro prezenční signál zařízení DHCP Enforcer. Perioda je interval, který předchází zahájení nové relace ověřování a během něhož zařízení DHCP Enforcer nechává klienta připojeného k síti. Výchozí hodnota je 30 sekund. Klient zasílá zařízení DHCP Enforcer následující informace: ■
Jedinečný identifikátor (UID)
■
Sériové číslo svého aktuálního profilu
■
Výsledky kontroly integrity hostitele
Zařízení DHCP Enforcer ověří identifikátor UID klienta a sériové číslo zásady klienta pomocí aplikace Symantec Endpoint Protection Manager. Pokud klient používá nejnovější zásady zabezpečení, bude se jeho sériové číslo zásady shodovat s číslem, které zařízení DHCP Enforcer obdrží ze serveru pro správu. Výsledky kontroly integrity hostitele ukazují, zda klient vyhovuje, či nevyhovuje aktuálním zásadám zabezpečení. Pokud informace od klienta vyhoví požadavkům ověření, zařízení DHCP Enforcer předá jeho požadavek DHCP serveru DHCP. Zařízení DHCP Enforcer předpokládá obdržení normální síťové konfigurace. V opačném případě zařízení DHCP Enforcer předá požadavek DHCP karanténnímu serveru DHCP za účelem získání karanténní síťové konfigurace. Je možné nainstalovat jeden server DHCP na jeden počítač a nakonfigurovat jej tak, aby poskytoval jak normální, tak karanténní síťovou konfiguraci. Viz „Plánování instalace zařízení DHCP Enforcer“ na straně 52. Po uplynutí prezenčního intervalu nebo při pokusu klienta o obnovení adresy IP zahájí zařízení DHCP Enforcer novou relaci ověřování. Aby si klient zachoval připojení k interní síti, musí odpovědět. Klienti, kteří neodpoví, jsou zařízení DHCP Enforcer odpojeni.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
V případě neúspěšně ověřených klientů, jejichž předchozí ověření bylo úspěšné, odešle zařízení DHCP Enforcer zprávu na server DHCP. Zpráva je žádostí o uvolnění aktuální adresy IP. Zařízení DHCP Enforcer následně zašle zprávu DHCP klientovi. Klient potom zašle požadavek na novou adresu IP a síťovou konfiguraci zařízení DHCP Enforcer. Zařízení DHCP Enforcer předá tento požadavek karanténnímu serveru DHCP.
Zadání maximálního počtu paketů typu challenge během relace ověřování Během relace ověřování jsou pakety typu challenge odesílány ze zařízení DHCP Enforcer ke klientovi v zadané frekvenci. Zařízení DHCP Enforcer pokračuje v odesílání paketů, dokud nejsou splněny následující podmínky: ■
Zařízení DHCP Enforcer dostalo od klienta odpověď.
■
Zařízení DHCP Enforcer odeslalo zadaný maximální počet paketů.
Maximální počet paketů typu challenge pro jednu relaci ověřování je standardně nastaven na hodnotu 10. Zadání maximálního počtu paketů typu challenge během relace ověřování
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů DHCP Enforcer musí obsahovat modul DHCP Enforcer, pro který chcete zadat maximální počet paketů typu challenge během relace ověřování.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
Na kartě Ověřování v částí Parametry ověřování zadejte maximální počet paketů typu challenge, které chcete během relace ověřování povolit, do pole Maximální počet paketů na relaci ověřování. Výchozí nastavení je 10.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
131
132
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům Během relace ověřování jsou pakety typu challenge odesílány ze zařízení DHCP Enforcer ke klientovi v zadané frekvenci. Zařízení DHCP Enforcer pokračuje v odesílání paketů, dokud nejsou splněny následující podmínky: ■
Zařízení DHCP Enforcer dostalo od klienta odpověď.
■
Zařízení DHCP Enforcer odeslalo zadaný maximální počet paketů.
Výchozí nastavení je každé 3 sekundy. Zadání frekvence, s jakou jsou pakety typu challenge odesílány klientům
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů DHCP Enforcer musí obsahovat modul DHCP Enforcer, pro který chcete zadat frekvenci, s jakou budou pakety typu challenge odesílány klientům.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
Na kartě Ověřování v části Parametry ověřování zadejte maximální počet paketů typu challenge, které bude zařízení DHCP Enforcer odesílat klientovi během relace ověřování, do pole Čas mezi pakety v relaci ověřování. Výchozí nastavení je 10.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenávání do protokolu Zavedení veškerého klientského softwaru může určitou dobu trvat. Po dodání klientského balíku všem uživatelům můžete nakonfigurovat zařízení DHCP Enforcer tak, aby povolovalo připojení k síti všem klientům. Všichni tito uživatelé se budou připojovat k serveru DHCP, který se nachází ve stejné lokaci jako tento zařízení DHCP Enforcer. Zařízení DHCP Enforcer bude stále provádět ověřování uživatelů – bude kontrolovat spuštění klienta, integritu hostitele a zaznamenávat výsledky do protokolu. Bude předávat požadavky DHCP na získání normální (ne karanténní) síťové konfigurace.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Tento proces probíhá nezávisle na tom, zda je kontrola integrity hostitele úspěšná, či nikoliv. Ve výchozím nastavení tato možnost není povolena. Při použití konfiguračních nastavení se řiďte následujícími pokyny: ■
Toto nastavení by mělo být použito pouze přechodně, protože snižuje zabezpečení sítě.
■
Je-li toto nastavení aktivní, můžete prohlížet protokoly zařízení Enforcer. Můžete získat informace o typech klientů, kteří se pokoušejí o připojení k síti v této lokaci. V protokolu aktivity klienta můžete například zjistit, že někteří z klientů nemají nainstalován klientský software. Před vypnutím této možnosti pak můžete zajistit, aby byl klientský software na tyto klienty nainstalován.
Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul DHCP Enforcer, pro nějž chcete povolit všechny klienty a neověřené klienty zaznamenávat do protokolu.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Povolit všechny klienty, ale pokračovat v zaznamenávání neověřených klientů do protokolu. Ve výchozím nastavení tato možnost není povolena.
6
Klepněte na tlačítko OK.
Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows Zařízení DHCP Enforcer nedokáže ověřit klienta, který používá jiný systém než Windows. Klienti s jiným systémem než Windows se tedy nemohou připojovat k síti, pokud jim výslovně nepovolíte připojování bez ověření. Ve výchozím nastavení tato možnost není povolena.
133
134
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Povolení přístupu k síti klientům s jiným systémem než Windows můžete provést následujícími způsoby: ■
Označte každého klienta s jiným systémem než Windows jako důvěryhodného hostitele.
■
Povolte všechny klienty s jiným systémem než Windows.
Zařízení DHCP Enforcer detekuje operační systém klienta a ověřuje klienty se systémem Windows. Klientům s jiným systémem než Windows však nepovoluje připojení k normálnímu serveru DHCP bez ověření. Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů DHCP Enforcer musí obsahovat zařízení DHCP Enforcer, pro které chcete povolit přístup k síti všem klientům s jiným systémem než Windows.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Povolit všechny klienty s jiným systémem než Windows. Ve výchozím nastavení tato možnost není povolena.
6
Klepněte na tlačítko OK.
Nastavení zařízení DHCP Enforcer pro kontrolu sériového čísla zásady klienta Aplikace Symantec Endpoint Protection Manager aktualizuje sériové číslo zásady klienta pokaždé, když se změní bezpečnostní zásada klienta. Při každém připojení k aplikaci Symantec Endpoint Protection Manager obdrží klient nejnovější zásady zabezpečení a nejnovější sériové číslo zásady. Při pokusu klienta o připojení k síti přes zařízení DHCP Enforcer si tento modul načte sériové číslo zásady z aplikace Symantec Endpoint Protection Manager. Následně zařízení DHCP Enforcer porovná sériové číslo zásady s číslem, které získal od klienta. Pokud se sériová čísla zásady shodují, zařízení DHCP Enforcer považuje zásadu zabezpečení klienta za aktuální. Ve výchozím nastavení tato možnost není povolena.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Platí následující zásady: ■
Je-li zaškrtnuta možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady, klient se může připojit k síti prostřednictvím normálního serveru DHCP, pouze má-li nejnovější zásadu zabezpečení. Pokud klient nejnovější zásadu zabezpečení nemá, je upozorněn, že si má tuto zásadu stáhnout. Zařízení DHCP Enforcer následně předá požadavek DHCP na získání karanténní síťové konfigurace.
■
Pokud možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady zaškrtnuta není a test integrity hostitele je úspěšný, potom se klient může připojit k síti. Přes normální server DHCP se klient může připojovat i v případě, že jeho zásada zabezpečení není aktuální.
Nastavení zařízení DHCP Enforcer pro kontrolu sériového čísla zásady klienta
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů DHCP Enforcer musí obsahovat zařízení DHCP Enforcer, které bude kontrolovat sériové číslo zásady klienta.
4
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady.
5
Klepněte na tlačítko OK.
Zasílání zprávy o neshodě klienta zařízení DHCP Enforcer Klientovi, který se nemůže připojit do sítě, můžete poslat upozornění prostřednictvím místní zprávy v systému Windows. Zpráva obvykle koncovému uživateli sděluje, že se klient nemůže připojit k síti. Klient se nemůže připojit k síti, protože nemá spuštěnou klientskou aplikaci Symantec Endpoint Protection nebo Symantec Network Access Control. Většina správců zadá krátký text, informující o nutnosti spustit klienta Symantec Endpoint Protection nebo Symantec Network Access Control. Zpráva může obsahovat informace o lokaci, z níž si koncoví uživatelé mohou požadovaný klientský software stáhnout. Můžete uvést i kontaktní telefonní číslo a další relevantní informace. Ve výchozí konfiguraci je toto nastavení povoleno. Vztahuje se pouze na klienty, kteří nemají spuštěnou klientskou aplikaci Symantec Endpoint Protection nebo Symantec Network Access Control.
135
136
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení ověřování
Jakmile tento úkon dokončíte, zobrazí se na klientovi místní zpráva (má-li klient spuštěnou službu Windows Messenger). Jak zaslat zprávu o neshodě klienta zařízení DHCP Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Pokud není klient spuštěn, povolit na něm místní zprávy.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko Zpráva.
7
V dialogovém okně Nastavení místních zpráv zvolte, jak často se má zpráva na klientovi zobrazovat. Můžete vybrat jeden z následujících časových údajů:
8
■
Jednou Výchozí hodnota je Jednou.
■
Každých 30 sekund
■
Každou minutu
■
Každých 2 minut
■
Každých 5 minut
■
Každých 10 minut
Do textového pole zadejte zprávu, která se má zobrazit. Maximální počet znaků je 125. Toto číslo zahrnuje i mezery a interpunkční znaménka. Výchozí zpráva je: Byl vám zablokován přístup k síti, protože nemáte spuštěného klienta Symantec. Je třeba, abyste jej nainstalovali.
9
V dialogovém okně Nastavení místní zprávy klepněte na tlačítko OK.
10 V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení serveru DHCP
Používání nastavení serveru DHCP Můžete zadat číslo nastavení serveru DHCP. Po aplikaci změn budou změny automaticky odeslány vybranému zařízení DHCP Enforcer během následujícího prezenčního signálu.
Používání nastavení serveru DHCP Můžete určit až 256 serverů DHCP. Když určíte více serverů DHCP, můžete poskytnout vyrovnávání zátěže a zotavení při selhání. Pomocí nastavení Priorita serverů DHCP můžete přikázat zařízení DHCP Enforcer odesílat požadavky DHCP na více serverů současně. Dále můžete nastavit běžné a karanténní servery DHCP na zvláštních počítačích nebo na jednom počítači. Pokud je klient oprávěný k připojení k síti, běžný server DHCP přiřadí klientovi adresu IP. I když nastavíte karanténní server DHCP, oprávněný klient se do sítě může dostat. Neoprávněný klient však může komunikovat pouze s omezeným počtem počítačů v síti. Viz „Přidání normálního serveru DHCP“ na straně 138. Viz „Přidání karanténního serveru DHCP“ na straně 139. Pokud plánujete běžný a karanténní server DHCP na stejném počítači, musíte zaškrtnout možnost Povolení ID třídy uživatelů. Když zaškrtnete možnost Povolení ID třídy uživatelů, zařízení DHCP Enforcer přidá do zpráv DHCP třídu karantény uživatele. Tyto zprávy DHCP se předají serveru DHCP. Server DHCP poté přidělí konfiguraci karantény klientovi, což vychází z přítomnosti tohoto ID třídy uživatelů. Můžete použít jeden server DHCP, který funguje jako běžný i jako karanténní server DHCP. Viz „Kombinace běžného a karanténního serveru DHCP na jednom počítači“ na straně 137. Pokud zrušíte zaškrtnutí volby Povolení ID třídy uživatelů, musíte nastavit dva zvláštní servery DHCP. Jeden ze serverů DHCP funguje jako běžný server DHCP. Druhý server DHCP funguje jako karanténní server DHCP. Viz „Povolení oddělených normálních a karanténních serverů DHCP“ na straně 138.
Kombinace běžného a karanténního serveru DHCP na jednom počítači Povolení ID třídy uživatelů umožňuje nastavit běžný a karanténní server DHCP na jednom počítači. Proto pro dosažení maximální bezpečnosti potřebujete méně počítačů.
137
138
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení serveru DHCP
Kombinace běžného a karanténního serveru DHCP na jednom počítači
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Skupina serverů DHCP zaškrtněte Povolení ID třídy uživatelů.
6
V dialogu Nastavení na kartě Servery DHCP klepněte na OK.
Povolení oddělených normálních a karanténních serverů DHCP Možnost Povolení ID třídy uživatelů umožňuje nastavit oddělné běžné servery DHCP a karanténní servery DHCP. Proto můžete dosáhnout maximálního zabezpečení, pokud to provoz v síti vyžaduje. Povolení oddělených normálních a karanténních serverů DHCP
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Skupina serverů DHCP zrušte zaškrtnutí Povolení ID třídy uživatelů.
6
Klepněte na tlačítko OK.
Přidání normálního serveru DHCP Informace pro normální server DHCP se objeví jako řádek v tabulce v dialogu Nastavení.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení serveru DHCP
Přidání normálního serveru DHCP
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Skupina serverů DHCP v Běžných serverech DHCP klepněte na Přidat.
6
V dialogu Přidat server DHCP zaškrtněte Povolit, pokud tomu tak není.
7
Do textového pole IP serveru DHCP zadejte adresu IP nebo název hostitele serveru DHCP.
8
Do pole Port serveru DHCP zadejte číslo portu serveru DHCP. Výchozí nastavení portu na serveru DHCP je 67.
9
V poli priority serveru DHCP vyberte Prioritu serveru DHCP. Výchozí nastavení Priority je 1. Pokud používáte server DHCP na jednom počítači jako běžný i karanténní server DHCP, přidejte server DHCP v tomto dialogu jako běžný i karanténní server DHCP. Vyplníte stejné údaje v obou dialozích Přidat server DHCP pro oba typy serverů DHCP. Serveru DHCP můžete přiřadit proritu 0 až 15. Toto nastavení se používá pro vyrovnání zátěže. Pokud nastavíte u dvou serverů DHCP stejnou prioritu, bude zařízení DHCP Enforcer předávat požadavky oběma serverům DHCP současně. Je-li jeden server DHCP zaneprázdněn, může reagovat druhý. Můžete nakonfigurovat více serverů DHCP s různými prioritami, zařízení DHCP Enforcer nejdříve předává požadavky DHCP na server DHCP s nejvyšší prioritou. Server DHCP poté předá požadavky DHCP ostatním.
10 Klepněte na tlačítko OK. V dialogu Nastavení na kartě Servery DHCP klepněte na OK.
Přidání karanténního serveru DHCP Informace pro normální server DHCP se objeví jako řádek v tabulce v dialogu Nastavení.
139
140
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
Přidání karanténního serveru DHCP
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Skupina serverů DHCP v Karanténních serverech DHCP klepněte na Přidat.
6
V dialogu Přidat server DHCP zaškrtněte Povolit, pokud tomu tak není.
7
Do textového pole IP serveru DHCP zadejte adresu IP nebo název hostitele serveru DHCP.
8
Do pole Port serveru DHCP zadejte číslo portu serveru DHCP. Výchozí nastavení portu na serveru DHCP je 67.
9
V poli priority serveru DHCP vyberte Prioritu serveru DHCP. Výchozí nastavení Priority je 1. Pokud používáte server DHCP na jednom počítači jako běžný i karanténní server DHCP, přidejte server DHCP v tomto dialogu jako běžný i karanténní server DHCP. Vyplníte stejné údaje v obou dialozích Přidat server DHCP pro oba typy serverů DHCP. Serveru DHCP můžete přiřadit proritu 0 až 15. Toto nastavení se používá pro vyrovnání zátěže. Pokud nastavíte u dvou serverů DHCP stejnou prioritu, bude zařízení DHCP Enforcer předávat požadavky oběma serverům DHCP současně. Je-li jeden server DHCP zaneprázdněn, může reagovat druhý. Můžete nakonfigurovat více serverů DHCP s různými prioritami, zařízení DHCP Enforcer nejdříve předává požadavky DHCP na server DHCP s nejvyšší prioritou a poté ostatním.
10 Klepněte na tlačítko OK. V dialogu Nastavení na kartě Servery DHCP klepněte na OK.
Použití rozšířených nastavení zařízení DHCP Enforcer Konfigurovat můžete následující rozšířená nastavení modulu Enforcer DHCP: ■
Časový limit ověřování
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
Viz „Nastavení automatické karantény pro klienta, u kterého selže ověření“ na straně 141. ■
Časový limit zprávy DHCP Viz „Zadání doby čekání zařízení DHCP Enforcer před povolením přístupu klienta do sítě“ na straně 142.
■
Adresy MAC důvěryhodných hostitelů, kterým modul Enforcer DHCP umožňuje připojení k normálnímu serveru DHCP bez nutnosti ověření Viz „Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé“ na straně 142.
■
Povolení falšování DNS Viz „Prevence falšování služby DNS“ na straně 143.
■
Povolení starších klientů Viz „Povolení připojení staršího klienta k síti pomocí zařízení DHCP Enforcer“ na straně 144.
■
Povolení místního ověřování Viz „Povolení místního ověrování v zařízení DHCP Enforcer“ na straně 145.
Po aplikaci kteréhokoli z těchto konfiguračních nastavení budou změny odeslány vybranému modulu Enforcer DHCP během následujícího prezenčního signálu.
Nastavení automatické karantény pro klienta, u kterého selže ověření Můžete určit, jak dlouho zařízení DHCP Enforcer čeká na odpověď od klienta. Odpověď ověří, jestli je nainstalovaný klient Symantec Endpoint Protection nebo Symantec Network Access Control. Pokud zařízení DHCP Enforcer nazná, že během vámi stanoveného intervalu nebyl nainstalovaný klientský software, zařadí klienta do karantény. Nastavení automatické karantény pro klienta, u kterého selže ověření
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
V konzole aplikace Symantec Endpoint Protection Manager, v části Zobrazit servery vyberte zařízení DHCP Enforcer, pro které chcete nastavit konfiguraci.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
141
142
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
6
V dialogovém okně Nastavení, na kartě Rozšířené, v části Parametry časových limitů, zaškrtněte pole Vypršení časového limitu ověřování. Výchozí nastavení jsou 3 sekundy.
7
Klepněte na tlačítko OK.
Zadání doby čekání zařízení DHCP Enforcer před povolením přístupu klienta do sítě Můžete zadat, jak dlouho má zařízení DHCP Enforcer čekat na odpověď po odeslání zpráv DHCP klientovi nebo serveru DHCP. Pokud zařízení DHCP Enforcer nedostane odpověď do určené doby, resetuje vlastní interní stav klienta nebo serveru DHCP. Proto zařízení DHCP Enforcer může přijímat jen počáteční zprávu. Zadání doby čekání zařízení DHCP Enforcer před povolením přístupu klienta do sítě
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer.
4
Na stránce Správce v podokně Zobrazit servery zvolte zařízení DHCP Enforcer, pro které chcete nastavit konfiguraci.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
6
V dialogu Nastavení na kartě Upřesnit a dále v Parametrech časových limitů zaškrtněte Časový limit zprávy DHCP. Výchozí nastavení je 3 sekundy.
7
Klepněte na tlačítko OK.
Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé Důvěryhodný hostitel je obvykle server, na který nelze instalovat klientský software, například server s jiným operačním systémem než Windows nebo jiné zařízení, například tiskárna. Také klienty s jiným systémem než Windows může být vhodné označit jako důvěryhodné hostitele. Zařízení Enforcer DHCP totiž nedokáže ověřit klienty, kteří nemají spuštěného klienta Symantec Endpoint Protection nebo Symantec Network Access Control. Určité servery, klienty a zařízení můžete označit jako důvěryhodné hostitele pomocí adresy MAC.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
Pokud server, klienta nebo zařízení označíte jako důvěryhodného hostitele, zařízení DHCP Enforcer bude předávat všechny zprávy DHCP od takového hostitele normálnímu serveru DHCP bez ověřování. Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Na stránce Správce v části Zobrazit servery vyberte zařízení Enforcer DHCP, který serverům, klientům a zařízením označeným jako důvěryhodní hostitelé povolí přístup k síti bez ověřování.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení na kartě Upřesnit v části Důvěryhodní hostitelé klepněte na tlačítko Přidat.
7
V dialogovém okně Přidat důvěryhodného hostitele zadejte adresu MAC klienta nebo důvěryhodného hostitele do pole adresa MAC hostitele. Můžete také zkopírovat adresy MAC z textového souboru. Při zadávání adresy MAC můžete použít zástupný znak, ale pouze pro všechna tři pole vpravo. Například řetězec 11-22-23-*-*-* ukazuje správné použití zástupného znaku. Naproti tomu řetězec 11-22-33-44-*-66 ukazuje nesprávné použití zástupného znaku.
8
Klepněte na tlačítko OK.
9
V dialogovém okně Nastavení na kartě Rozšířené klepněte na tlačítko OK. Adresa MAC přidaného důvěryhodného hostitele je nyní zobrazena v dialogovém okně Nastavení v části Adresa MAC.
10 Klepněte na tlačítko OK.
Prevence falšování služby DNS Můžete se pokusit zabránit falšování služby DNS. Tohoto cíle můžete dosáhnout tak, že necháte zařízení DHCP Enforcer změnit příslušné zprávy DHCP odesílané klientovi. Zařízení DHCP Enforcer nahradí adresu IP serveru DNS ve zprávě DHCP externí adresou IP zařízení DHCP Enforcer. Proto se zařízení DHCP Enforcer chová
143
144
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
ke klientům jako server DNS a zabraňuje falšování DNS. Tato funkce musí být povolena, pokud chcete doručovat klienty Symantec Network Access Control On-Demand ze zařízení DHCP Enforcer. Prevence falšování služby DNS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Upřesnit zaškrtněte Zapnout falšování DNS.
6
Použijte místní adresu IP zařízení Enforcer jako odpověď na požadavek DNS
Zařízení DHCP Enforcer nahrazuje oficiálně požadovanou adresu IP za svou vlastní externí adresu IP. Zařízení DHCP Enforcer se chová jako server názvu domény (DNS), když odpovídá na dotaz DNS pomocí vlastní adresy IP zařízení DHCP Enforcer.
Následující adresy IP použijte jako odpověď na dotaz DNS
Zařízení DHCP Enforcer nahrazuje oficiálně požadovanou adresu IP za jednu z adres IP, které jste uvedli. Zařízení DHCP Enforcer se chová jako server názvu domény (DNS), když odpovídá na dotaz DNS pomocí jedné z adres IP, které jste uvedli.
Klepněte na tlačítko OK.
Povolení připojení staršího klienta k síti pomocí zařízení DHCP Enforcer V zařízení DHCP Enforcer můžete povolit připojování ke starším klientům verze 5.1.x. Pokud vaše síť podporuje aplikaci 11.0.2 Symantec Endpoint Protection Manager, zařízení Symantec DHCP Enforcer a potřebujete podporovat starší klienty verze 5.1.x, můžete povolit podporu starších klientů v konzole serveru pro správu, aby je zařízení Symantec DHCP Enforcer neblokovalo. Jak povolit připojení staršího klienta k síti pomocí zařízení DHCP Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
3
Na stránce Správce, v části Zobrazit servery, vyberte a rozbalte skupinu zařízení DHCP Enforcer.
4
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Upřesnit zaškrtněte Povolit zastaralé klienty.
6
Klepněte na tlačítko OK.
Povolení místního ověrování v zařízení DHCP Enforcer Při povolení místního ověřování ztratí modul Enforcer DHCP své propojení se serverem, na němž je nainstalována aplikace Symantec Endpoint Protection Manager. Modulu Enforcer DHCP pak provádí místní ověřování klientů. Jak povolit místní ověřování v zařízení DHCP Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery vyberte a rozbalte skupinu zařízení DHCP Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Upřesnit zaškrtněte možnost Povolit místní ověřování.
6
Klepněte na tlačítko OK.
145
146
Konfigurace zařízení Symantec DHCP Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení DHCP Enforcer
Kapitola
8
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Tato kapitola obsahuje následující témata: ■
Konfigurace zařízení Symantec LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager
■
Konfigurace serverů RADIUS na zařízení LAN Enforcer
■
Konfigurace bezdrátových přístupových bodů na zařízení LAN Enforcer
■
Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager
■
Použití obecného nastavení
■
Použití nastavení skupiny serverů RADIUS
■
Používání nastavení přepínače
■
Použití rozšířených nastavení zařízení LAN Enforcer
■
Použití ověřování 802.1x
148
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace zařízení Symantec LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager
Konfigurace zařízení Symantec LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager Nastavení pro zařízení LAN Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Aplikace Symantec Endpoint Protection Manager se označuje také jako server pro správu. Než budete moci pokračovat, je nutné dokončit následující úkony: ■
Nainstalujte do počítače software pro aplikaci Symantec Endpoint Protection Manager. Viz Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. Počítač, na kterém je nainstalován software Symantec Endpoint Protection Manager, se označuje také jako server pro správu.
■
Připojte zařízení Symantec LAN Enforcer k síti.
■
Během instalace nakonfigurujte zařízení Symantec LAN Enforcer v lokální konzole zařízení LAN Enforcer.
Jakmile tyto úkony dokončíte, můžete zadat veškerá dodatečná konfigurační nastavení pro zařízení LAN Enforcer na serveru pro správu.
Konfigurace serverů RADIUS na zařízení LAN Enforcer Nastavení zařízení LAN Enforcer můžete změnit v konzole Symantec Endpoint Protection. Předtím, než zařízení Enforcer můžete nastavit na vynucení klientských zásad integrity hostitele, musíte zařízení Enforcer nainstalovat a připojit k Symantec Endpoint Protection Manager. Pro zařízení LAN Enforcer můžete nakonfigurovat následující možnosti: ■
Určete název a popis skupiny aplikace Enforcer, port naslouchání a seznam serverů pro správu.
■
Nakonfigurujte server nebo servery RADIUS. Nakonfigurujete adresu IP nebo název hostitele, port pro ověřování a sdílený tajný klíč. Pokud nakonfigurujete více serverů ve skupině a jeden se vypne, zařízení LAN Enforcer se připojí k dalšímu serveru v seznamu.
■
Nakonfigurujte přepínač nebo skupinu přepínačů.
■
Nastavení pro umožnění přihlášení a zadání parametrů souboru protokolu.
■
Zapněte a vypněte místní ověřování.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Konfigurace bezdrátových přístupových bodů na zařízení LAN Enforcer
■
Nakonfigurujte klienty pro ověřování 802.1x.
Pokud nastavení odkazuje na přepínač přizpůsobený protokolu 802.1x, stejné pokyny se vztahují i na konfiguraci bezdrátového přístupového bodu. Viz „Konfigurace bezdrátových přístupových bodů na zařízení LAN Enforcer“ na straně 149.
Konfigurace bezdrátových přístupových bodů na zařízení LAN Enforcer Zařízení LAN Enforcer podporuje mnoho bezdrátových protokolů, např. WEP 56, WEP 128 a WPA/WPA2 s 802.1x. Zařízení LAN Enforcer můžete nakonfigurovat na ochranu bezdrátového přístupového bodu (AP), který ochraňuje přepínač, pokud jsou splněny tyto podmínky: ■
Součástí sítě je modul Enforcer pro bezdrátovou síť LAN s 802.1x.
■
Bezdrátoví klienti mají spuštěného žadatele, který podporuje jeden z těchto protokolů.
■
Bezdrátová AP musí podporovat jeden z těchto protokolů
Pro bezdrátová připojení je ověřovatelem logický port LAN na bezdrátovém AP. Bezdrátový AP pro 802.1x a pro přepínače nakonfigurujete stejným způsobem. Bezdrátové AP zahrnete do nastavení zařízení LAN Enforcer jako součást profilu přepínače. Kdykoliv pokyn nebo část uživatelského rozhraní odkazuje na přepínač, použijte srovnatelnou bezdrátovou technologii AP. Pokud máte např. vybrat model přepínače, vyberte bezdrátový model AP. Pokud je v seznamu výrobce bezdrátové AP, vyberte ho pro model. Pokud výrobce v seznamu není, zvolte Ostatní. Konfigurace pro bezdrátový AP pro 802.1x a pro přepínače se liší: ■
Podporována je pouze základní konfigurace. Transparentní režim není podporován.
■
Rozdíly mohou být v závislosti na bezdrátovém AP v podpoře pro VLAN. Některé dynamické přepínače VLAN mohou vyžadovat konfiguraci AP nastavenými identifikátory bezdrátové sítě (SSID). Každý SSID je přiřazený VLAN. Viz dokumentace dodaná s dynamickým přepínačem VLAN.
Podle použitého modelu bezdrátového AP můžete chtít použít jednu z následujícího možností kontroly přístupu namísto VLAN:
149
150
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager
Seznamy pro řízení přístupu (ACL)
Některé bezdrátové AP, např. Aruba, podporují ACL umožňující správci sítě určit zásady pro správu síťového provozu. Obecnou volbu na zařízení LAN Enforcer můžete použít zvolením názvu dodavatele bezdrátového AP. Jako alternativu můžete zvolit Ostatní pro model přepínače s podporou ověřování 802.1x (pokud není v seznamu). Obecná volba odesílá obecný příznak atributu spolu s VLAN ID nebo názvem v něm na přístupový bod. Poté můžete přístupový bod přizpůsobit. Nyní přístupový bod může číst obecný příznak atributu a spojit ho s ACL ID bezdrátového AP. Tabulku Akce přepínače můžete použít jako tabulku Akce ACL. Zapotřebí může být další konfigurace na bezdrátovém AP nebo kontroléru AP. Budete např. možná potřebovat mapovat příznak RADIUS, který se odešle na bezdrátový AP na kontroléru AP. Podrobnosti najdete v dokumentaci k bezdrátovému AP.
MAC úroveň 802.1x
Bezdrátový AP můžete zapojit do přepínače, který podporuje MAC úroveň 802.1x. Pro tuto implementaci musíte vypnout 802.1x na bezdrátovém AP. Můžete to použít pouze na přepínači. Přepínač poté ověří bezdrátové klienty rozpoznáním nových adres MAC. Po ověření adresy MAC uloží tuto adesu MAC v určené VLAN, ne v celém portu. Každá nová adresa MAC musí být ověřena. Tato možnost není tak bezpečená. Umožní vám však používat možnost přepínání VLAN.
Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager Konfigurační nastavení zařízení LAN Enforcer je možné změnit na serveru pro správu. Konfigurační nastavení budou automaticky stažena ze serveru pro správu do zařízení LAN Enforcer během následujícího prezenčního signálu. Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte skupinu modulů Enforcer, jíž je příslušné zařízení LAN Enforcer členem. Skupina modulů Enforcer musí obsahovat zařízení LAN Enforcer, jehož konfigurační nastavení je třeba změnit.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Změna nastavení modulu LAN Enforcer v konzole aplikace Symantec Endpoint Protection Manager
4
Na stránce Správce v části Zobrazit servery zvolte zařízení LAN Enforcer, jehož konfigurační nastavení je třeba změnit.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení změňte jakékoli konfigurační nastavení. Dialogové okno Nastavení zařízení LAN Enforcer nabízí následující kategorie konfiguračních nastavení: Obecné
Tato karta nabízí následující nastavení zařízení LAN Enforcer: ■
Název skupiny pro zařízení LAN Enforcer
■
port pro naslouchání,
■
Popis skupiny modulů LAN Enforcer
■
výběr seznamu serverů pro správu, který bude používán zařízením LAN Enforcer.
Viz „Použití obecného nastavení“ na straně 152. Skupina serverů RADIUS
Tato karta nabízí následující nastavení zařízení LAN Enforcer: ■
název skupiny serverů RADIUS,
■
název hostitele nebo adresu IP serveru RADIUS,
■
číslo portu serveru RADIUS,
■
popisný název serveru RADIUS.
Viz „Použití nastavení skupiny serverů RADIUS“ na straně 156. Přepínač
Tato karta nabízí následující nastavení zařízení LAN Enforcer: ■
Povolení zásady pro přepínače
■
Název zásady pro přepínače
Model přepínače vybraný ze seznamu podporovaných přepínačů ■ Sdílený tajný klíč ■
■
Skupina serverů RADIUS
■
Časový limit opětovného ověření
■
Pokud přepínač předává jiné protokoly vedle EAP
■
Adresa přepínače
■
Síť VLAN na přepínači
■
Akce
Viz „Používání nastavení přepínače“ na straně 163.
151
152
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Rozšířené
Tato karta nabízí následující pokročilá nastavení zařízení LAN Enforcer: ■
Povolení místního ověřování
■
Povolení starších klientů
Viz „Použití rozšířených nastavení zařízení LAN Enforcer“ na straně 190. Nastavení protokolu
Nastavení pro povolení protokolů serveru, povolení protokolů aktivity klienta a zadání parametrů pro soubory protokolů. Viz „Zprávy modulů Enforcer“ na straně 407. Viz „Protokoly zařízení Enforcer“ na straně 408. Viz „Konfigurace nastavení protokolu modulu Enforcer“ na straně 411.
Použití obecného nastavení Popis zařízení LAN Enforcer nebo skupiny modulů LAN Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Viz „Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení LAN Enforcer“ na straně 154. Viz „Přidání a úprava popisu zařízení LAN Enforcer“ na straně 155. Je nutné nastavit port pro naslouchání, který bude použit pro komunikaci mezi přepínačem VLAN a zařízení LAN Enforcer. Viz „Uvedení portu naslouchání, který je používán pro komunikaci mezi přepínačem VLAN a zařízením LAN Enforcer“ na straně 153. V konzole aplikace Symantec Endpoint Protection Manager však není možné přidávat nebo upravovat název skupiny modulů LAN Enforcer. V konzole aplikace Symantec Endpoint Protection Manager není možné přidávat nebo upravovat adresu IP nebo název hostitele zařízení LAN Enforcer. Tyto úkony je nutné provádět v konzole zařízení Enforcer. Viz „Přidání nebo úprava názvu skupiny modulů LAN Enforcer s modulem LAN Enforcer“ na straně 153. Během instalace můžete změnit v konzole zařízení Enforcer jen adresu IP nebo název hostitele zařízení LAN Enforcer. Pokud budete chtít později změnit adresu IP nebo název hostitele zařízení LAN Enforcer, můžete to provést v konzole zařízení LAN Enforcer.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Viz „Přidání a úprava adresy IP nebo názvu hostitele zařízení LAN Enforcer“ na straně 154. Adresu IP nebo název hostitele aplikace Symantec Endpoint Protection Manager však můžete přidat nebo upravit v seznamu serverů pro správu. Viz „Připojení zařízení LAN Enforcer k aplikaci Symantec Endpoint Protection Manager“ na straně 155.
Přidání nebo úprava názvu skupiny modulů LAN Enforcer s modulem LAN Enforcer Nelze přidat ani upravit název skupiny modulů LAN Enforcer, jíž je příslušné zařízení LAN Enforcer členem. Tyto úkony se provádí v konzole zařízení Enforcer během instalace. Pokud budete chtít později změnit název skupiny modulů LAN Enforcer, můžete to provést v konzole zařízení Enforcer. Všechny zařízení Enforcer ve skupině sdílejí stejná konfigurační nastavení.
Uvedení portu naslouchání, který je používán pro komunikaci mezi přepínačem VLAN a zařízením LAN Enforcer Při konfiguraci nastavení zařízení LAN Enforcer můžete zadat následující porty naslouchání: ■
Port naslouchání, který je používán pro komunikaci mezi přepínačem VLAN a zařízením LAN Enforcer. Přepínač VLAN odesílá paket RADIUS na port UDP.
■
Port naslouchání, který je používán pro komunikaci mezi zařízením LAN Enforcer a serverem RADIUS. Tento port uvedete při zadávání serveru RADIUS.
Pokud je server RADIUS nainstalovaný na serveru správy, neměl by být nastaven na použití portu 1812. Servery RADIUS jsou nastaveny na používání portu 1812 jako výchozí nastavení. Protože port 1812 používá pro komunikaci se zařízením LAN Enforcer i server správy, dochází ke konfliktu. Uvedení portu naslouchání, který je používán pro komunikaci mezi přepínačem VLAN a zařízením LAN Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
153
154
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
4
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení zařízení LAN Enforcer v kartě Základní nastavení napište číslo UDP, které chcete přidělit v poli portu pro naslouchání. Výchozí nastavení pro port je 1812. Rozsah je 1 až 65535.
6
V dialogu Nastavení zařízení LAN Enforcer na kartě Základní nastavení klepněte na OK.
Přidání a úprava popisu skupiny modulů Enforcer obsahující zařízení LAN Enforcer Je možné přidat nebo upravit popis skupiny modulů Enforcer, jíž je příslušné zařízení LAN Enforcer členem. Tento úkon můžete provádět v konzole Symantec Endpoint Protection Manager místo v konzole zařízení LAN Enforcer. Přidání nebo úprava popisu skupiny modulů Enforcer obsahující zařízení LAN Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte a rozbalte skupinu modulů Enforcer, jejíž popis chcete přidat nebo změnit.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na záložce Základní nastavení v poli Popis přidejte nebo upravte popis pro skupinu modulů Enforcer.
6
V dialogovém okně Nastavení klepněte na tlačítko OK.
Přidání a úprava adresy IP nebo názvu hostitele zařízení LAN Enforcer Během instalace můžete adresu IP nebo název hostitele zařízení LAN Enforcer změnit pouze v konzole zařízení Enforcer. Pokud budete chtít později změnit adresu IP nebo název hostitele zařízení LAN Enforcer, můžete to provést v konzole zařízení LAN Enforcer. Viz Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití obecného nastavení
Přidání a úprava popisu zařízení LAN Enforcer Je možné přidat nebo upravit popis zařízení LAN Enforcer. Tento úkon můžete provádět v konzole Symantec Endpoint Protection Manager místo v konzole zařízení LAN Enforcer. Jakmile tento úkon dokončíte, popis se zobrazí v poli Popis v podokně Server pro správu. Přidání nebo úprava popisu zařízení LAN Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer, která obsahuje zařízení LAN Enforcer, jehož popis chcete přidat nebo upravit.
4
Na stránce Správce v části Zobrazit servery vyberte zařízení LAN Enforcer, jehož popis chcete přidat nebo upravit.
5
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti zařízení Enforcer.
6
V dialogovém okně Vlastnosti zařízení Enforcer v poli Popis upravte nebo přidejte popis zařízení LAN Enforcer.
7
V dialogovém okně Vlastnosti zařízení Enforcer klepněte na tlačítko OK.
Připojení zařízení LAN Enforcer k aplikaci Symantec Endpoint Protection Manager Zařízení Enforcer musí být umožněno připojení k serverům, na nichž je nainstalována aplikace Symantec Endpoint Protection Manager. Aplikace Symantec Endpoint Protection Manager obsahuje soubor, který pomáhá spravovat provoz mezi klienty, aplikacemi Symantec Endpoint Protection Manager a volitelnými zařízení Enforcer, jako je například zařízení LAN Enforcer. Tento soubor se nazývá seznam serverů pro správu. Seznam serverů pro správu určuje, ke kterému serveru Symantec Endpoint Protection Manager se zařízení LAN Enforcer připojuje. Rovněž určuje, ke kterému serveru Symantec Endpoint Protection Manager se modul LAN Enforcer připojuje v případě selhání serveru pro správu. Během úvodní instalace se pro každou lokaci automaticky vytvoří výchozí seznam serverů pro správu. Do výchozího seznamu serverů pro správu jsou automaticky přidány všechny aplikace Symantec Endpoint Protection Manager, které jsou v lokaci k dispozici.
155
156
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
Výchozí seznam serverů pro správu obsahuje adresy IP nebo názvy hostitelů serverů pro správu, ke kterým se zařízení LAN Enforcer mohou připojit po úvodní instalaci. Před zavedením modulů Enforcer může být vhodné vytvořit vlastní seznam serverů pro správu. Pokud vlastní seznam serverů pro správu vytvoříte, můžete zadat prioritu, podle které se bude zařízení LAN Enforcer připojovat k serverům pro správu. Pokud správce vytvořil více seznamů serverů pro správu, můžete zvolit konkrétní seznam, který obsahuje adresy IP nebo názvy hostitelů těch serverů pro správu, ke kterým se má zařízení LAN Enforcer připojovat. Pokud je v lokaci pouze jeden server pro správu, můžete zvolit výchozí seznam serverů pro správu. Další informace o přizpůsobení seznamů serverů pro správu naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Připojení zařízení LAN Enforcer k aplikaci Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat zařízení LAN Enforcer, pro které chcete změnit seznam serverů pro správu.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Základní nastavení v části Komunikace zvolte seznam serverů pro správu, který má tento zařízení LAN Enforcer používat.
6
V dialogovém okně Nastavení na kartě Obecné v části Komunikace klepněte na možnost Vybrat. Můžete prohlížet adresy IP a názvy hostitelů všech dostupných serverů pro správu, stejně jako priority, které jim byly přiřazeny.
7
V dialogovém okně Seznam serverů pro správu klepněte na tlačítko Zavřít.
8
V dialogovém okně Nastavení klepněte na tlačítko OK.
Použití nastavení skupiny serverů RADIUS Zařízení LAN Enforcer můžete nastavit pro připojení k jednomu nebo více serverům RADIUS.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
Servery RADIUS musíte uvést jako součást skupiny serverů RADIUS. Každá skupina může obsahovat jeden nebo více serverů RADIUS. Účelem skupiny serverů RADIUS je zajistit zotavení pro servery RADIUS. Pokud se jeden server RADIUS ve skupině serverů RADIUS stane nedostupným, zařízení LAN Enforcer se pokusí o spojení s jiným serverem RADIUS, který je součástí skupiny serverů RADIUS. Název skupiny serverů RADIUS v konzole Symantec Endpoint Protection Manager můžete přidávat, upravovat a odstraňovat. Viz „Přidání názvu skupiny serverů RADIUS a serveru RADIUS“ na straně 157. Viz „Úpravy názvu skupiny serverů RADIUS“ na straně 158. Viz „Odstranění názvu skupiny serverů RADIUS“ na straně 162. V konzole Symantec Endpoint Protection Manager můžete přidávat, upravovat a odstraňovat název, název hostitele, adresu IP, číslo portu pro ověření a sdílený tajný klíč. Viz „Přidání názvu skupiny serverů RADIUS a serveru RADIUS“ na straně 157. Viz „Úprava popisného názvu serveru RADIUS“ na straně 159. Viz „Úprava názvu hostitele nebo adresy IP serveru RADIUS“ na straně 160. Viz „Úprava čísla portu ověření serveru RADIUS“ na straně 160. Viz „Úprava sdíleného tajného klíče serveru RADIUS“ na straně 161. Viz „Odstranění serveru RADIUS“ na straně 162.
Přidání názvu skupiny serverů RADIUS a serveru RADIUS Název skupiny serverů RADIUS a serveru RADIUS můžete přidat najednou. Přidání názvu skupiny serverů RADIUS a serveru RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
4
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Přidat. Název skupiny serverů RADIUS a adresa IP existujícího serveru RADIUS se objeví v tabulce.
157
158
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
6
V dialogovém okně Přidat skupinu serverů RADIUS napište název skupiny serverů RADIUS v textovém okně skupiny. V tabulce se zobrazí název skupiny serverů RADIUS, název hostitele nebo adresa IP existujícího serveru RADIUS a číslo portu serveru RADIUS.
7
V dialogovém okně Přidat skupinu serverů RADIUS klepněte na tlačítko Přidat.
8
V dialogovém okně Přidat server RADIUS napište: V poli: Popisný název serveru RADIUS
Napište název, který snadno určí název serveru RADIUS, když se objeví v seznamu serverů pro tuto skupinu.
V poli: Název hostitele nebo adresa IP
Zadejte název hostitele nebo adresu IP serveru RADIUS.
V poli: Port pro ověřování
Zadejte síťový port serveru RADIUS, na který bude zařízení LAN Enforcer posílat ověřovací paket z klienta. Výchozí hodnota nastavení je UDP 1812.
9
V poli: Sdílený tajný klíč
Napište sdílený tajný klíč, který se použije pro šifrovanou komunikaci mezi serverem RADIUS a zařízením LAN Enforcer. Sdílený tajný klíč mezi serverem RADIUS a zařízením LAN Enforcer se může lišit od sdíleného tajného klíče mezi přepínačem přizpůsobeným protokolu 802.1x a zařízení LAN Enforcer. Sdílený tajný klíč rozlišuje velká a malá písmena.
V poli: Potvrďte sdílený tajný klíč
Sdílený tajný klíč napište znovu.
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK. Název, adresa IP a port serveru RADIUS, který jste přidali, se nyní objeví v seznamu Skupina serverů RADIUS v dialogu Přidat skupinu serverů RADIUS.
10 V dialogovém okně Přidat skupinu serverů RADIUS klepněte na tlačítko OK. 11 V dialogovém okně Nastavení zařízení LAN Enforcer klepněte na tlačítko OK.
Úpravy názvu skupiny serverů RADIUS Název skupiny serverů RADIUS můžete změnit kdykoliv při změně okolností.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
Úprava názvu skupiny serverů RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, jejímž členem je i zařízení LAN Enforcer.
4
Na stránce Správce, v části Zobrazit servery, v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení zařízení LAN Enforcer, na kartě Skupina serverů RADIUS, klepněte na skupinu serverů RADIUS, jejíž jméno chcete změnit.
6
V dialogovém okně Nastavení zařízení LAN Enforcer, na kartě Skupina serverů RADIUS, klepněte na položku Upravit.
7
V dialogovém okně Přidat server RADIUS upravte název skupiny serverů RADIUS v poli Název skupiny.
8
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK.
9
V dialogovém okně Nastavení zařízení LAN Enforcer, na kartě Skupina serverů RADIUS, klepněte na položku OK.
Úprava popisného názvu serveru RADIUS Popisný název serveru Radius můžete změnit kdykoliv při změně okolností. Úprava popisného názvu serveru RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, které je zařízení LAN Enforcer členem.
4
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na skupinu serverů RADIUS, která obsahuje server RADIUS, jehož popisný název chcete změnit.
6
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Upravit.
7
V dialogu Přidat server RADIUS upravte popisný název serveru RADIUS v poli Popisný název serveru RADIUS.
159
160
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
8
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na OK.
Úprava názvu hostitele nebo adresy IP serveru RADIUS Popisný název hostitele nebo adresu IP serveru Radius můžete změnit kdykoliv při změně okolností. Úprava názvu hostitele nebo adresy IP serveru RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, které je zařízení LAN Enforcer členem.
4
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na skupinu serverů RADIUS, která obsahuje server RADIUS, jehož název hostitele nebo adresu IP chcete změnit.
6
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Upravit.
7
V dialogu Přidat server RADIUS upravte název hostitele nebo adresu IP serveru RADIUS v poli Název hostitele nebo Adresa IP.
8
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na OK.
Úprava čísla portu ověření serveru RADIUS Číslo portu ověření serveru RADIUS můžete změnit kdykoliv při změně okolností. Úprava čísla portu ověření serveru RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, které je zařízení LAN Enforcer členem.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
4
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na skupinu serverů RADIUS, která obsahuje server RADIUS, jehož číslo portu ověření chcete změnit.
6
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Upravit.
7
V dialogu Přidat server RADIUS upravte v poli Port pro ověřování číslo portu pro ověřování serveru RADIUS.
8
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na OK.
Úprava sdíleného tajného klíče serveru RADIUS Sdílený tajný klíč serveru RADIUS můžete změnit kdykoliv při změně okolností. Úprava sdíleného tajného klíče serveru RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, které je zařízení LAN Enforcer členem.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na skupinu serverů RADIUS, která obsahuje server RADIUS, jehož sdílený tajný klíč chcete změnit.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Upravit.
6
V dialogu Přidat server RADIUS upravte v poli Sdílený tajný klíč sdílený tajný klíč serveru RADIUS. Sdílený tajný klíč se použije pro šifrovanou komunikaci mezi serverem RADIUS a zařízením LAN Enforcer. Sdílený tajný klíč mezi serverem RADIUS a zařízením LAN Enforcer se může lišit od sdíleného tajného klíče mezi přepínačem přizpůsobeným protokolu 802.1x a zařízení LAN Enforcer. Sdílený tajný klíč rozlišuje velká a malá písmena.
161
162
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití nastavení skupiny serverů RADIUS
7
V dialogu Přidat server RADIUS upravte v poli Potvrdit sdílený tajný klíč sdílený tajný klíč serveru RADIUS.
8
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na OK.
Odstranění názvu skupiny serverů RADIUS Název skupiny serverů RADIUS můžete změnit kdykoliv při změně okolností. Odstranění názvu skupiny serverů RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, které je zařízení LAN Enforcer členem.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na skupinu serverů RADIUS, jejíž název chcete odstranit.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Odebrat.
6
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na OK.
Odstranění serveru RADIUS Kdykoliv se okolnosti změní, můžete server RADIUS odstranit. Odstranění serveru RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer, které je zařízení LAN Enforcer členem.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na skupinu serverů RADIUS, která obsahuje server RADIUS, který chcete odstranit.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na Upravit.
6
V dialogovém okně Přidat server RADIUS klepněte na server RADIUS, který chcete odstranit.
7
V dialogovém okně Přidat server RADIUS klepněte na tlačítko Odebrat.
8
V dialogovém okně Přidat server RADIUS klepněte na tlačítko OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Skupina serverů RADIUS klepněte na OK.
Používání nastavení přepínače Když uvedete nastavení zařízení LAN Enforcer pro přepínače, můžete nastavit zásadu přepínače. Zásada přepínače je sada nastavení, která se vztahuje ke skupině přepínačů stejného výrobce nebo modelu. Jediná informace, kterou potřebujete zadat zvlášť pro jednotlivé přepínače, je adresa IP přepínače.
Použití nastavení přepínače Tento základní údaj musíte určit předtím, než mohou společně pracovat všechna zařízení LAN Enforcer, servery pro správu, klienti a přepínače s podporou ověřování 802.1x. ■
Libovolný název zásady přepínače
■
Výrobce a model přepínače Model přepínače vybíráte ze seznamu podporovaných přepínačů.
■
Šifrované heslo nebo sdílený tajný klíč
■
Skupina serverů RADIUS, která se používá
■
Časový limit opětovného ověření pro přepínač s podporou ověřování 802.1x Výchozí nastavení je 30 sekund.
■
Pokud přepínač předává jiné protokoly vedle EAP Výchozí volbou je předávat ostatní protokoly.
Viz „Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce“ na straně 168. Viz „Úprava základních informací k zásadám přepínače a přepínači přizpůsobenému protokolu 802.1x“ na straně 176.
163
164
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Musíte určit sadu přepínačů s podporou ověřování 802.1x, na které se použije zásada přepínače: ■
Libovolný popisný název přepínače
■
Adresa IP, rozsah IP nebo podsíť
Viz „Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce“ na straně 168. Viz „Úprava informací o přepínači přizpůsobeném protokolu 802.1x“ na straně 182. Je třeba určit následující údaj o síti VLAN: ■
ID sítě VLAN
■
Jméno sítě VLAN
■
Volitelně můžete určit přizpůsobené atributy protokolu RADIUS v hexadecimálním formátu.
Viz „Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce“ na straně 168. Viz „Úprava informací o síti VLAN pro zásadu přepínače“ na straně 183. Pokud přepínač s podporou ověřování 802.1x podporuje dynamické přepínání VLAN, můžete určit, že se klient musí připojit ke specifické síti VLAN. Musíte určit akce, které přepínač s podporou ověřování 802.1x musí provést, pokud jsou splněna jistá kritéria: ■
Výsledek ověření hostitele: Předáno, Došlo k chybě, Nedostupný nebo Ignorovat výsledek
■
Výsledek ověření uživatele: Předáno, Došlo k chybě, Nedostupný nebo Ignorovat výsledek
■
Výsledek Kontroly zásady: Předáno, Došlo k chybě, Nedostupný nebo Ignorovat výsledek
Viz „Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce“ na straně 168.
Podpora pro atributy modelů přepínačů Při konfiguraci zařízení LAN Enforcer určujete model přepínače s podporou ověření 802.1x. Různé přepínače s podporou ověření 802.1x vyhledávají odlišné atributy, aby určily, který klient může získat přístup k síti VLAN. Některé přepínače poznají sítě VLAN podle ID sítě VLAN a jiné podle jejího názvu. Některá zařízení mají podporu sítě VLAN omezenou nebo dokonce nemají žádnou.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Zařízení LAN Enforcer předává přepínači atributy ze serveru RADIUS. Pokud je to ovšem nutné, zařízení s použitím podporovaných hodnot atributů sítě VLAN upraví nebo připojí v závislosti na typu přepínače. Pokud dochází ke konfliktu mezi údajem specifického atributu výrobce, který posílá server RADIUS, a údajem specifického atributu dodavatele sítě VLAN, který používá zařízení LAN Enforcer, odstraní zařízení LAN Enforcer specifický údaj výrobce, který posílá server RADIUS: zařízení LAN Enforcer následně tento údaj nahradí údajem z uvedené tabulky. Jestliže chcete zachovat atributy ze serveru RADIUS, můžete vybrat akci s názvem Otevřít port. S touto akcí bude zařízení LAN Enforcer předávat všechny atributy ze serveru RADIUS přepínači s podporou ověření 802.1x bez jakýchkoliv úprav. Model přepínače s podporou ověření 802.1x může k dynamickému přidělení sítě VLAN používat buď ID nebo název sítě VLAN. Při poskytování údaje o síti VLAN zařízení LAN Enforcer musíte určit ID i název sítě VLAN, výjimku představuje přepínač Aruba. Tab. 8-1 ukazuje modely a atributy přepínačů s podporou ověření 802.1x. Tab. 8-1
Podpora pro atributy modelů přepínačů
Model přepínače Atributy přidávané zařízením LAN Enforcer
Komentář
Bezdrátový řadič Airespace
Používá se název sítě VLAN. V názvu se rozlišují malá a velká písmena.
Kód výrobce je 14179. Číslo specifického atributu výrobce je 5. Formát atributu je „řetězec“.
Alcatel
Vendor Specific (#26)
Používá se ID sítě VLAN.
ID výrobce Alcatel je 800. Všechny atributy „Vendor Specific“ ze serveru RADIUS s ID 800 se v případě konfliktu odstraní. Aruba
Vendor Specific (#14823) ID výrobce pro model Aruba je 14823. Atribut Aruba-User-Role vám umožňuje nastavit buď ID nebo názvy sítí VLAN.
Je možné použít název i ID sítě VLAN. Můžete také použít pouze název nebo jen ID sítě VLAN. Rozsah platných čísel ID sítě VLAN je 1 až 4094. Název sítě VLAN nesmí překročit 64 bajtů.
165
166
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Model přepínače Atributy přidávané zařízením LAN Enforcer
Komentář
Série Cisco Aironet Záleží na tom, jestli používáte řízení přístupu SSID.
Používá se ID sítě VLAN.
Uživatelské atributy serveru RADIUS používané pro přidělení ID sítě VLAN: IETF 64 (Tunnel Type): Nastavte tento atribut na „VLAN“ IETF 65 (Tunnel Medium Type): Nastavte tento atribut na „802“ IETF 81 (Tunnel Private Group ID): Nastavte tento atribut na VLAN-ID Uživatelský atribut serveru RADIUS používaný pro řízení přístupu SSID: Cisco IOS/PIX RADIUS Attribute, 009\001 cisco-av-pair Série Cisco Catalyst
Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) Atribut Tunnel Type je nastaven na 13 (VLAN) Atribut Tunnel Medium Type je nastaven na 6 (802 media) Atribut Tunnel Private Group ID je nastaven na název VLAN. Všechny atributy ze serveru RADIUS s těmito 3 typy se v případě konfliktu odstraní. Odstraní se také jakýkoliv atribut s typem „Vendor Specific“ a ID výrobce 9 (Cisco).
Používá se název sítě VLAN. V názvu se rozlišují malá a velká písmena.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Model přepínače Atributy přidávané zařízením LAN Enforcer
Komentář
Foundry, HP, Nortel,
Používá se ID sítě VLAN.
Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) Atribut Tunnel Type je nastaven na 13 (VLAN) Atribut Tunnel Medium Type je nastaven na 6 (802 media) Atribut Tunnel Private Group ID je nastaven na ID VLAN. Všechny atributy ze serveru RADIUS s těmito třemi typy se v případě konfliktu odstraní.
Enterasys
Filter ID (#11) Atribut Filer ID je nastaven na Enterasys :
Používá se název sítě VLAN a v přepínači Enterasys představuje „název role“. V názvu se rozlišují malá a velká písmena.
version=1: mgmt=su: policy=NAME Všechny atributy „Filter ID“ ze serveru RADIUS se v případě konfliktu odstraní. Extreme
Vendor Specific (#26) ID výrobce pro model Extreme je 1916. Za ID výrobce se přidává název sítě VLAN. Všechny specifické atributy výrobce ze serveru RADIUS s ID 1916 se v případě konfliktu odstraní.
Používá se název sítě VLAN. V názvu se rozlišují malá a velká písmena.
167
168
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Přidání zásady přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce Pro použití se zařízením LAN Enforcer můžete jako součást zásady přepínače přidat více přepínačů s podporou ověřování 802.1x. Musíte zadat údaje, které jsou potřebné ke konfiguraci interakce zařízení LAN Enforcer s přepínačem. Jak přidat zásadu přepínače s podporou ověření 802.1x pro zařízení LAN Enforcer pomocí průvodce
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce, v části Zobrazit servery vyberte skupinu modulů Enforcer.
3
Na stránce Správce, v části Zobrazit servery, v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení zařízení LAN Enforcer, na kartě Přepínač, klepněte na položku Přidat.
5
Na panelu Vítá vás průvodce konfigurací zásady přepínače Průvodce konfigurací zásady přepínače klepněte na tlačítko Další.
6
V panelu Základní informace Průvodce konfigurací zásady přepínače proveďte tyto kroky: Název zásady přepínače Zadejte libovolný název označující zásadu přepínače. Například, jako název zásady přepínače můžete použít název výrobce a označení modelu.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Model přepínače
Zařízení LAN Enforcer použije model přepínače ke zjištění specifického atributu výrobce serveru RADIUS. Vyberte následující model s podporou ověřování 802.1x ze seznamu podporovaných přepínačů: Ostatní Pokud není model uveden v seznamu, výberte položku Jiné, aby se použila jako obecný atribut serveru RADIUS. ■ 3Com ■
■
Přepínač Alcatel
■
Série Cisco Catalyst
■
Série Enterasys Matix
■
Série Extreme Summit
■
Foundry Networks
■
Série HP Procurve
■
Série Nortel BayStack
■
Série Cisco Aironet
■
Přepínače Aruba
■
Bezdrátový řadič Airespace
■
Nortel Wireless
■
Bezdrátový řadič Enterasys
■
Přepínač HuaWei
Poznámka: Pokud správce na přepínači nastaví transparentní režim, je nutné nakonfigurovat zásadu k použití transparentního režimu na klientu a nedovolit výběr uživateli. Šifrované heslo nebo sdílený tajný klíč
Sdílený tajný klíč, který se použije pro komunikaci mezi přepínačem s podporou ověřování 802.1x a zařízením LAN Enforcer. Šifrované heslo nebo sdílený tajný klíč rozlišuje velká a malá písmena.
Potvrďte šifrované Šifrované heslo nebo sdílený tajný klíč musíte zadat ještě heslo nebo sdílený tajný jednou. klíč Skupina serverů RADIUS
Pokud použijete zařízení LAN Enforcer spolu se serverem RADIUS, musíte vybrat skupinu serverů RADIUS ze seznamu dostupných skupin serverů RADIUS.
169
170
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Interval opakování ověření (v sekundách)
Zadejte časový interval v sekundách, během kterého musí být klient opětovně ověřen. V opačném případě bude klient odebrán ze seznamu připojených klientů na zařízení LAN Enforcer. Interval pro opětovné ověření by měl být alespoň dvojnásobkem doby pro opětovné ověření na přepínači. Pokud například bude interval pro opětovné ověření v přepínači 30 sekund, musí být interval pro opětovné ověření zařízení LAN Enforcer alespoň 60 sekund. V opačném případě zařízení LAN Enforcer předpokládá, že interval u klienta vypršel. Proto klient neuvolní a neobnoví svou adresu IP. Výchozí nastavení je 30 sekund.
Předávání protokolů vedle EAP
Zařízení LAN Enforcer můžete umožnit předávat pakety serveru RADIUS, které obsahují jiné ověřovací protokoly než EAP. Mezi ostatní protokoly patří CHAP (Challenge Handshake Authentication Protocol) a PAP. Ve výchozím nastavení je položka povolena.
7
V panelu Základní informace Průvodce konfigurací zásady přepínače klepněte na tlačítko Další.
8
V panelu Seznam přepínačů Průvodce konfigurací zásady přepínače klepněte na tlačítko Přidat.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
9
V panelu Seznam přepínačů Průvodce konfigurací zásady přepínače proveďte tyto kroky: Název
V dialogovém okně Přidat samostatnou interní adresu IP zadejte popisné jméno zásady přepínače, aby se v poli Název určil přepínač s podporou ověření 802.1x.
Samostatná adresa IP
V dialogovém okně Přidat samostatnou interní adresu IP klepněte na tlačítko Samostatná adresa IP. Potom zadejte do pole Adresa IP adresu IP přepínače s podporou ověření 802.1x.
Rozsah adresy IP
V dialogovém okně Přidat rozsah interní adresy IP klepněte na tlačítko Rozsah adresy IP. Zadejte do pole Počáteční adresa IP začínající adresu IP přepínače s podporou ověření 802.1x. Potom zadejte do pole Koncová adresa IP koncovou adresu IP přepínače s podporou ověření 802.1x.
Podsíť
V dialogovém okně Přidat podsíť interní adresy IP klepněte na tlačítko Podsíť. Do pole adresy IP zadejte adresu IP podsítě a do pole Maska podsítě zadejte podsíť.
Pokud určíte zásadu přepínače pro zařízení LAN Enforcer, můžete přiřadit zásadu přepínače k jednomu či více přepínačům s podporou ověření 802.1x.
10 V dialogovém okně Přidat interní adresu IP klepněte na tlačítko OK.. 11 V panelu Seznam přepínačů Průvodce konfigurací zásady přepínače klepněte na tlačítko Další.
12 V panelu Konfigurace přepínače sítě VLAN Průvodce konfigurací zásady přepínače klepněte na tlačítko Přidat.
171
172
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
13 V dialogovém okně Přidat síť VLAN proveďte následující kroky: ID sítě VLAN
Do pole ID sítě VLAN zadejte celé číslo od 1 do 4094. ID sítě VLAN musí být stejné jako to, které je nakonfigurováno na přepínači s podporou ověření 802.1x, s výjimkou přepínače Aruba. Pokud plánujete přidat informace o síti VLAN u přepínače Aruba, je potřeba nakonfigurovat síť VLAN a údaje o roli jinak než u ostatních přepínačů s podporou ověření 802.1x. Viz „Konfigurace sítě VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba“ na straně 185.
Název sítě VLAN
Zadejte název sítě VLAN. Název sítě VLAN může mít maximálně 64 znaků. Rozlišují se malá a velká písmena. Název sítě VLAN musí být stejný jako ten, který je nakonfigurován na přepínači s podporou ověření 802.1x, s výjimkou přepínače Aruba. Pokud plánujete přidat informace o síti VLAN u přepínače Aruba, je potřeba nakonfigurovat síť VLAN a údaje o roli jinak než u ostatních přepínačů s podporou ověření 802.1x. Viz „Konfigurace sítě VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba“ na straně 185.
Odeslat přizpůsobené atributy serveru RADIUS do přepínače
Pokud chcete, aby zařízení LAN Enforcer posílalo přizpůsobený atribut serveru RADIUS do přepínače s podporou ověření 802.1x, zaškrtněte políčko Odeslat přizpůsobené atributy serveru RADIUS do přepínače. Atributem může být seznam řízení přístupu (ACL). Viz „Podpora pro atributy modelů přepínačů“ na straně 164.
Přizpůsobené atributy v hexadecimálním formátu
Zadejte atribut serveru RADIUS v hexadecimálním formátu. Hodnota délky musí být sudé číslo.
Když určujete zásadu přepínače pro zařízení LAN Enforcer, používáte kartu VLAN, abyste přidali údaje o síti VLAN pro každou síť VLAN, která se na přepínači konfiguruje. Zásada přepínače má být zařízení LAN Enforcer dostupná k použití jako akce. Doporučuje se, abyste určili alespoň jednu síť VLAN pro nápravu.
14 V dialogovém okně Přidat síť VLAN klepněte na tlačítko OK.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
15 V panelu Konfigurace přepínače VLAN Průvodce konfigurací zásady přepínače klepněte na tlačítko Další.
16 V panelu Konfigurace akce přepínače Průvodce konfigurací zásady přepínače klepněte na tlačítko Přidat.
17 V dialogovém okně Přidat akci přepínače proveďte následující kroky: Ověření hostitele
Klepněte na kterýkoliv z těchto stavů: ■
Předáno
■
Došlo k chybě
■
Nedostupné
■
Ignorovat výsledek
Pokud kontrola integrity hostitele přestane být k dispozici, je to obvykle způsobeno tím, že klient není spuštěn. Pokud nastavíte Ověření hostitele na hodnotu Nedostupné, musíte nastavit na hodnotu Nedostupné také Kontrolu zásady.
173
174
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Ověření uživatele
Klepněte na kterýkoliv z těchto stavů: Předáno Klient prošel ověřením uživatele. ■ Došlo k chybě ■
Klient neprošel ověřením uživatele. Nedostupné Výsledek ověření uživatele je nedostupný vždy, pokud nebude provedeno ověření uživatele v transparentním režimu. Pokud používáte zařízení LAN Enforcer v transparentním režimu, je nutno vytvořit akci pro stav Nedostupné. Pokud chcete použít základní konfiguraci, můžete nakonfigurovat akci pro ověření uživatele jako chybový stav. Například žadatel 802.1x používá nesprávnou metodu ověřování uživatelů nebo server RADIUS selže během ověřování. Ke stavu Nedostupné může dojít také na některých serverech RADIUS, pokud v databázi RADIUS není požadované jméno uživatele. Tento problém se může například vyskytnout u služby Microsoft IAS. Proto může být potřeba otestovat stav scházejícího uživatelského jména na vašem serveru RADIUS. Může být nutné podívat se, jestli odpovídá stavům ověření uživatele Došlo k chybě nebo Nedostupné. ■ Ignorovat výsledek ■
Pokud kontrola integrity hostitele přestane být k dispozici, je to obvykle způsobeno tím, že klient není spuštěn. Pokud nastavíte Kontrolu zásady na hodnotu Nedostupné, musíte nastavit na hodnotu Nedostupné také Ověření hostitele.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Kontrola zásady
Klepněte na kterýkoliv z těchto stavů: Předáno Klientský počítač prošel Kontrolou zásady. ■ Došlo k chybě ■
Klientský počítač neprošel Kontrolou zásady. Nedostupné K výsledku Nedostupné pro zásadu může dojít za těchto podmínek: ■ Pokud má klient neplatný identifikátor, potom zařízení LAN Enforcer nedokáže na serveru pro správu získat žádné informace o zásadě. K tomuto problému může dojít, pokud již není dostupný server pro správu, který zavedl zásadu klienta. ■ Pokud je klient exportován a nainstalován a přijme zásadu před tím, než se připojí k serveru pro správu. ■ Ignorovat výsledek ■
Akce
Můžete vybrat tyto akce, které přepínač s podporou ověřování 802.1x provede, pokud jsou splněny podmínky: Otevřít port Přepínač s podporou ověřování 802.1x povolí síťový přístup ve výchozí síti VLAN, pro kterou je tento port obvykle přiřazen. Povolí také síťový přístup v síti VLAN, která je určena v atributu, který se posílá ze serveru RADIUS. Proto je podpora uživatelů s přístupem k síti VLAN založena na ID a roli uživatele. Výchozí akcí je Otevřít port. ■ Přepnout na test sítě VLAN Povoluje přístup do určené sítě VLAN. Sítě VLAN, které jsou k dispozici, jsou ty, které již byly nakonfigurovány. ■ Uzavřít port Odepře síťový přístup do výchozí sítě VLAN nebo sítě VLAN určené serverem RADIUS. V případě některých modelů přepínače, v závislosti na konfiguraci přepínače, přiřadil port hostovanou síť VLAN. ■
V případě přepínače Aruba můžete přístup omezit podle určené role i podle určené sítě VLAN. Omezení závisí na tom, jak jste nakonfigurovali informace o síti VLAN pro zásadu přepínače.
18 V dialogovém okně Přidat akci přepínače klepněte na tlačítko OK.
175
176
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
19 V panelu Konfigurace akce přepínače Průvodce konfigurací zásady přepínače, v tabulce Akce přepínače, klepněte na zásadu akce přepínače, jejíž prioritu chcete změnit. Zařízení LAN Enforcer kontroluje výsledky ověření proti položkám v tabulce akce přepínače v sestupném pořadí. Ve chvíli, kdy najde odpovídající sadu podmínek, dá přepínači s podporou ověření 802.1x pokyn k použití této akce. Pořadí, ve kterém se akce používají, můžete změnit změnou pořadí, ve kterém jsou uvedeny v tabulce.
20 V panelu Konfigurace akce přepínače Průvodce konfigurací zásady přepínače klepněte na tlačítko Přesunout nahoru nebo Přesunout dolů.
21 V panelu Konfigurace akce přepínače Průvodce konfigurací zásady přepínače klepněte na tlačítko Další.
22 V panelu Dokončit konfiguraci zásady přepínače Průvodce konfigurací zásady přepínače klepněte na tlačítko Dokončit.
Úprava základních informací k zásadám přepínače a přepínači přizpůsobenému protokolu 802.1x Následující parametry zásad přepínače a přepínače přizpůsobeného protokolu 802.1x můžete změnit: ■
Název zásady spínače Viz „Úprava názvu zásady přepínače“ na straně 176.
■
Model přepínače Viz „Výběr jiného modelu přepínače pro zásadu přepínače“ na straně 177.
■
Sdílený tajný klíč Viz „Změna šifrovaného hesla nebo sdíleného tajného klíče“ na straně 178.
■
Skupina serverů RADIUS Viz „Výběr jiné skupiny serverů RADIUS“ na straně 179.
■
Interval pro opětovné ověření Viz „Úprava intervalu pro opětovné ověření“ na straně 180.
■
Předávající protokoly vedle EAP Viz „Povolení jiných protokolů než EAP“ na straně 181.
Úprava názvu zásady přepínače Název zásady přepínače můžete změnit kdykoliv při změně okolností.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Úprava názvu zásady přepínače
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na zásadu přepínače, kterou chcete změnit.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na Upravit.
6
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace upravte v poli Zásada přepínače název sdílené zásady přepínače.
7
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace klepněte na OK.
8
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač klepněte na OK.
Výběr jiného modelu přepínače pro zásadu přepínače Při změně okolností můžete vybrat jiný model přepínače pro zásadu přepínače. Výběr jiného modelu přepínače pro zásadu přepínače
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na zásadu přepínače, jejíž režim přepínače chcete změnit.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na Upravit.
177
178
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
6
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace vyberte ze seznamu Model přepínače jiný model přepínače: ■
Ostatní Pokud není model uveden v seznamu, výběrem položky Jiné použijete obecný atribut serveru RADIUS.
■
3Com
■
Přepínač Alcatel
■
Řada Cisco Catalyst
■
Řada Enterasys Matix
■
Řada Extreme Summit
■
Foundry Networks
■
Řada HP Procurve
■
Řada Nortel BayStack
■
Řada Cisco Aironet
■
Přepínače Aruba
■
Airespace Wireless Controller
■
Nortel Wireless
■
Bezdrátový kontrolér Enterasys
■
Přepínač HuaWei Pokud správce vybere transparentní režim pro přepínač HuaWei, musí nastavit zásady pro použití transparentního režimu v klientském systému (aby volba nebyla na uživateli).
7
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace klepněte na OK.
8
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač klepněte na OK.
Změna šifrovaného hesla nebo sdíleného tajného klíče Sdílený klíč můžete upravit, kdykoliv se okolnosti změní.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Jak změnit šifrované heslo nebo sdílený tajný klíč
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na zásadu přepínače, jejíž sdílený tajný kód chcete změnit.
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na Upravit.
6
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace upravte v poli Sdílený tajný klíč název sdíleného tajného klíče.
7
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace upravte v poli Potvrďte sdílený tajný klíč název sdíleného tajného klíče.
8
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace klepněte na OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač klepněte na OK.
Výběr jiné skupiny serverů RADIUS Kdykoliv se okolnosti změní, můžete zvolit jinou skupinu serverů RADIUS. Výběr jiné skupiny serverů RADIUS
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
3
Na stránce Správce v části Zobrazit servery a dále Úlohy klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na zásadu přepínače, jejíž sdílený tajný kód chcete změnit.
179
180
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
5
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na Upravit.
6
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace vyberte jinou skupinu serverů RADIUS ze seznamu skupiny serverů RADIUS. Před tím, než budete moci zvolit jinou skupinu serverů RADIUS, musíte vložit více než jednu skupinu serverů RADIUS.
7
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace klepněte na OK.
8
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač klepněte na OK.
Úprava intervalu pro opětovné ověření Opětovné ověření můžete upravit, kdykoliv se okolnosti změní. Zadejte časový interval v sekundách, během kterého musí být klient opětovně ověřen. V opačném případě bude klient odebrán ze seznamu připojených klientů a bude odpojen ze sítě. Interval pro opětovné ověření by měl být alespoň dvojnásobkem doby pro ověření v přepínači. Pokud například bude interval pro opětovné ověření v přepínači 30 sekund, musí být interval pro opětovné ověření modulu LAN Enforcer alespoň 60 sekund. V opačném případě zařízení LAN Enforcer předpokládá, že interval u klienta vypršel. Proto klient neuvolní ani neobnoví svou adresu IP. Výchozí nastavení je 30 sekund. Úprava intervalu pro opětovné ověření
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
3
Klepněte na položku Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na zásadu přepínače, kterou chcete změnit.
5
Na kartě Přepínač v tabulce Zásada přepínače klepněte na položku Upravit.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
6
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace upravte opětovné ověření v poli Úprava intervalu pro opětovné ověření.
7
Klepněte na tlačítko OK.
8
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač klepněte na OK.
Povolení jiných protokolů než EAP Povolení této funkce umožňuje modulu LAN Enforcer směrovat pakety serveru RADIUS, které obsahují jiné ověřovací protokoly než EAP. Mezi jiné protokoly patří: ■
CHAP (Challenge Handshake Authentication Protocol)
■
PAP
Ve výchozím nastavení je položka povolena. Jak povolit jiné protokoly než EAP
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v části Zobrazit servery vyberte skupinu modulů Enforcer.
3
Klepněte na položku Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač v tabulce Zásada přepínače klepněte na zásadu přepínače, kterou chcete upravit.
5
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač v tabulce Zásada přepínače klepněte na tlačítko Upravit.
6
V dialogovém okně Upravit zásadu přepínače pro název zásady přepínače na kartě Základní informace zaškrtněte pole Povolit protokoly vedle EAP. Můžete předávat následující protokoly: ■
CHAP (Challenge Handshake Authentication Protocol)
■
PAP
7
Klepněte na tlačítko OK.
8
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač klepněte na tlačítko OK.
181
182
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Úprava informací o přepínači přizpůsobeném protokolu 802.1x U přepínačů přizpůsobených protokolu 802.1x můžete měnit následující parametry: ■
Můžete změnit adresu IP, název hostitele nebo podsíť přepínače přizpůsobeného protokolu 802.1x Viz „Úprava adresy IP, názvu hostitele nebo podsítě přepínače přizpůsobeného protokolu 802.1x.“ na straně 182.
■
Můžete odstranit přepínač přizpůsobený protokolu 802.1x ze seznamu přepínačů Viz „Odstranění přepínače přizpůsobeného protokolu 802.1x ze seznamu přepínačů“ na straně 183.
Úprava adresy IP, názvu hostitele nebo podsítě přepínače přizpůsobeného protokolu 802.1x. Kdykoliv to okolnosti vyžadují, můžete změnit adresu IP, název hostitele nebo podsíť přepínače přizpůsobeného protokolu 802.1x. Úprava adresy IP, názvu hostitele a podsítě přepínače přizpůsobeného protokolu 802.1x.
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
4
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač v kartě Zásady přepínače klepněte na zásadu přepínače, kterou chcete změnit.
5
Klepněte na tlačítko Upravit.
6
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Adresa přepínače klepněte na Upravit vše.
7
V dialogu Upravit adresy IP přidejte nebo upravte adresy IP, hostitele, názvy nebo podsítě přepínače přizpůsobeného protokolu 802.1x. Formát textu: Jedna adresa IP
název: adresa
rozsah IP
název: počáteční adresa-koncová adresa
Podsíť
název: počáteční adresa/maska podsítě
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
8
V dialogu Upravit zásadu přepínače pro název zásady přepínače na kartě Adresa přepínače klepněte na OK.
9
V dialogu Nastavení zařízení LAN Enforcer na kartě Přepínač klepněte na OK.
Odstranění přepínače přizpůsobeného protokolu 802.1x ze seznamu přepínačů Pokud si to vyžádají okolnosti, můžete přepínač přizpůsobený protokolu 802.1x odstranit ze seznamu přepínačů. Odstranění přepínače přizpůsobeného protokolu 802.1x
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery vyberte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač v tabulce Zásada přepínače klepněte na přepínač přizpůsobený protokolu 802.1x, který chcete odstranit ze seznamu přepínačů.
5
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač klepněte na tlačítko Odebrat.
6
Klepněte na tlačítko OK.
Úprava informací o síti VLAN pro zásadu přepínače Na přepínači s podporou ověření 802.1x můžete změnit tyto parametry o sítích VLAN: ■
Změnit ID a název sítě VLAN přepínače s podporou ověření 802.1x. Viz „Úprava ID a názvu VLAN přepínače přizpůsobeného protokolu 802.1x“ na straně 184.
■
Konfigurovat síť VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba. Viz „Konfigurace sítě VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba“ na straně 185.
■
Odstranit sítě VLAN na přepínači s podporou ověření 802.1x. Viz „Odstranění sítí VLAN u přepínače přizpůsobeného protokolu 802.1x“ na straně 185.
183
184
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Úprava ID a názvu VLAN přepínače přizpůsobeného protokolu 802.1x Pokud si to vyžádají okolnosti, můžete změnit ID a název VLAN přepínače přizpůsobeného protokolu 802.1x. Některé přepínače, například produkty společnosti Cisco, mají funkci Hostovaná síť VLAN. Hostovaná síť VLAN je obvykle použita v případě, že selže ověření uživatele protokolu EAP. Pokud ověřování protokolu EAP selže, připojí přepínač klienta automaticky k hostované síti VLAN. Pokud modul LAN Enforcer používáte k přepínání sítí VLAN, nepoužívejte vyhrazenou hostovanou síť VLAN při zřizování sítí VLAN a operacích na modulu LAN Enforcer. Žadatel o ověření 802.1x by mohl odpovědět stejně, jako v případě selhání ověřování protokolu EAP. Při zřizování sítí VLAN se ujistěte, že mohou všechny komunikovat se serverem pro správu. Úprava ID a názvu VLAN přepínače přizpůsobeného protokolu 802.1x
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery vyberte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač v tabulce Zásada přepínače klepněte na zásadu přepínače, jehož informace o síti VLAN chcete upravit.
5
Klepněte na tlačítko Upravit.
6
V dialogovém okně Upravit zásadu přepínače pro název zásady přepínače na kartě Adresa přepínače vyberte síť VLAN, kterou chcete upravit.
7
Na kartě VLAN zaškrtněte políčko Upravit.
8
V dialogovém okně Upravit VLAN upravte hodnotu pole ID VLAN.
9
V poli Název VLAN upravte název sítě VLAN. Pokud chcete upravit informace o síti VLAN na přepínači Aruba, může být nutné síť VLAN a informace rolí nakonfigurovat jinak, než ostatní přepínače protokolu 802.1x. Viz „Konfigurace sítě VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba“ na straně 185.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
10 V dialogovém okně Upravit zásadu přepínače pro název zásady přepínače na kartě VLAN zaškrtněte pole OK.
11 V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač klepněte na tlačítko OK.
Odstranění sítí VLAN u přepínače přizpůsobeného protokolu 802.1x Pokud si to vyžádají okolnosti, můžete sítě VLAN u přepínače přizpůsobeného protokolu 802.1x odstranit. Odstranění sítí VLAN u přepínače přizpůsobeného protokolu 802.1x
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery vyberte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač v tabulce Zásada přepínače klepněte na zásadu přepínače, jehož informace o síti VLAN chcete odstranit.
5
Klepněte na tlačítko Upravit.
6
V dialogovém okně Upravit zásadu přepínače pro název zásady přepínače na kartě Adresa přepínače vyberte síť VLAN, kterou chcete odstranit.
7
Na kartě VLAN zaškrtněte políčko Odebrat.
8
Klepněte na tlačítko OK.
9
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač klepněte na tlačítko OK.
Konfigurace sítě VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba Pokud používáte přepínač Aruba, můžete nechat políčka s ID a názvem sítě VLAN prázdná. Pro jiné přepínače ovšem musíte zadat údaje do obou políček. V případě přepínače Aruba můžete použít tato políčka k určení sítě VLAN, role nebo obojího takto: ■
Pro určení sítě VLAN zadejte do políčka ID sítě VLAN ID sítě VLAN.
■
Pro určení role zadejte do políčka Název sítě VLAN název role.
185
186
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
U přepínače Aruba můžete toto dialogové okno použít také k nastavení oddělených akcí přepínače pro více rolí na jedné síti VLAN nebo pro více sítí VLAN na jednu roli. Konfigurace sítě VLAN a informace o roli na přepínači s podporou ověření 802.1x Aruba
1
Pokud máte síť VLAN s ID 1 a s rolemi A a B, vyplňte ID sítě VLAN jako 1 a název sítě VLAN jako A. Klepněte na tlačítko OK.
2
Klepněte znovu na tlačítko Přidat. V dialogovém okně Přidat síť VLAN vyplňte ID sítě VLAN jako 1, název sítě VLAN jako B a klepněte na tlačítko OK. V tabulce akce přepínače nyní budete mít ke konfiguraci dvě oddělené volby.
Úprava informací o akci pro zásadu přepínače Na přepínači s podporou ověření 802.1x můžete změnit tyto parametry o sítích VLAN: ■
Nastavit pořadí kontroly podmínek. Viz „Nastavení pořadí vyhodnocování podmínek“ na straně 187.
■
Vybrat odlišné podmínky Ověření hostitele, Ověření uživatele nebo Kontroly zásady. Viz „Volba jiné podmínky pro ověřování hostitele, ověřování uživatele nebo kontrolu zásady“ na straně 188.
■
Vybrat odlišné akce. Viz „Výběr různých akcí“ na straně 189.
Problémy se zásadou přepínače, souvisejícími stavy a akcemi Při konfiguraci zásad přepínače mějte na paměti tyto problémy: ■
Tabulka akce přepínače musí obsahovat nejméně jednu položku.
■
Pokud pro konkrétní kombinaci výsledků nevyberete žádnou akci, provede se výchozí akce Otevřít port.
■
Abyste určili výchozí akci pro všechny možné kombinace výsledků, vyberte pro všechny tři výsledky hodnotu Ignorovat výsledek.
■
Když přidáte akce do tabulky, můžete upravit jakoukoliv buňku klepnutím na pravý roh sloupce a řádku, a zobrazit tak rozevírací seznam.
■
Některé přepínače, například přepínač CISCO, mají funkci sítě VLAN hosta. Síť VLAN hosta se za normálních okolností používá, pokud selže ověření uživatele. Jinými slovy, pokud selže ověření uživatele, přepínač spojí klienta se sítí VLAN hosta automaticky.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
Pokud používáte k přepínání sítě VLAN zařízení LAN Enforcer, doporučuje se při nastavování sítí VLAN a akcí na zařízení LAN Enforcer nepoužívat rezervovanou síť VLAN hosta. Žadatel o ověření 802.1x může jinak reagovat, jakoby ověření uživatele selhalo. ■
Pokud zavádíte klienty a nechcete zatím implementovat všechny schopnosti zařízení LAN Enforcer, můžete určit akci povolení přístupu k interní síti, která je založena na stavu Ignorování výsledek u kontroly Integrity hostitele a Kontroly zásady. Pokud chcete ignorovoat výsledky ověření uživatele a povolit síťový přístup bez ohledu na tyto výsledky, můžete to udělat s podmínkou Ignorování výsledku u výsledků ověření uživatele.
Nastavení pořadí vyhodnocování podmínek Pokud si to vyžádají okolnosti, můžete u zásad přepínače zvolit jinou podmínku ověřování hostitele, ověřování uživatele nebo kontroly zásad. Můžete přidat zápis do tabulky Akce přepínače ke každé možné kombinaci výsledků ověřování. Při nastavování kontrolovaných podmínek jsou všechny tři výsledky Úspěch nebo Selhání pouze v základní konfiguraci. V základní konfiguraci spustí klient zároveň žadatele o ověření v síti 802.1x, který poskytuje informace o ověření uživatele, a klienta poskytujícího informace o Integritě hostitele a Sériové číslo zásady. Pokud spouštíte žadatele o ověření v síti 802.1x bez klienta, jsou výsledky kontroly Integrity hostitele a Zásady vždy nedostupné. V transparentním režimu bez kontroly ověření uživatele je výsledek ověřování uživatele vždy Nedostupný. Modul LAN Enforcer kontroluje výsledky ověřování proti záznamům v tabulce v pořadí shora dolů. Poté, co modul LAN Enforcer zjistí odpovídající množinu podmínek, je přepínači přizpůsobenému protokolu 802.1x vydán pokyn k provedení nastavené akce. Pořadí provedení akcí je možné změnit změnou pořadí, v jakém jsou uvedeny v tabulce. Pokud nemůže modul LAN Enforcer najít záznam odpovídající aktuální podmínce, je provedena akce Uzavřít port. Nastavení pořadí vyhodnocování podmínek
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery vyberte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
187
188
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
4
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač v tabulce Zásada přepínače klepněte na zásadu přepínače, jehož pořadí vyhodnocování podmínek chcete upravit.
5
Klepněte na tlačítko Upravit.
6
V dialogovém okně Upravit zásadu přepínače pro název zásady přepínače na kartě Akce vyberte zásadu přepínače, jejíž pořadí vyhodnocování podmínek chcete změnit.
7
Klepněte na možnost Přesunout nahoru nebo Přesunout dolů.
8
Klepněte na tlačítko OK.
9
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač klepněte na tlačítko OK.
Volba jiné podmínky pro ověřování hostitele, ověřování uživatele nebo kontrolu zásady Pokud si to okolnosti vyžadují, můžete pro zásadu přepínače kdykoli zvolit jinou podmínku pro ověřování hostitele, ověřování uživatele nebo kontrolu zásady. Volba jiné podmínky pro ověřování hostitele, ověřování uživatele nebo kontrolu zásady
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery vyberte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení zařízení Enforcer LAN na kartě Přepínač v tabulce Zásada přepínače klepněte na zásadu přepínače, jejíž podmínky ověřování chcete upravit.
5
Klepněte na tlačítko Upravit.
6
V dialogovém okně Upravit zásadu přepínače pro název zásady přepínače na kartě Akce klepněte v kterémkoli z následujících sloupců na podmínky ověřování, které si přejete změnit.
7
■
Ověření hostitele
■
Ověření uživatele
■
Kontrola zásady
Vyberte všechny následující akce, které přepínač s podporou ověřování 802.1x musí provést, pokud jsou splněna jistá kritéria:
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Používání nastavení přepínače
■
Výsledek ověření hostitele: Úspěch, Neúspěch, Není k dispozici nebo Ignorování výsledku
■
Výsledek ověření uživatele: Úspěch, Neúspěch, Není k dispozici nebo Ignorování výsledku
■
Výsledek kontroly zásady: Úspěch, Neúspěch, Není k dispozici nebo Ignorování výsledku
8
Klepněte na tlačítko OK.
9
V dialogovém okně Nastavení zařízení Enforcer LAN na kartě Přepínač klepněte na tlačítko OK.
Výběr různých akcí Výběr různých podmínek Ověření hostitele, Ověření uživatele a Kontrol zásad
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery vyberte skupinu modulů Enforcer.
3
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
4
V dialogovém okně Nastavení modulu Enforcer v síti LAN na kartě Přepínač v tabulce Zásada přepínače klepněte na zásadu přepínače, jehož akce chcete upravit.
5
Klepněte na tlačítko Upravit.
6
Na kartě Akce klepněte ve sloupci Akce na akce, které chcete změnit.
7
Vyberte všechny následující akce, které přepínač s podporou ověřování 802.1x musí provést, pokud jsou splněna jistá kritéria: ■
Otevřít port Přepínač přizpůsobený protokolu 802.1x povoluje síťový přístup ve výchozí síti VLAN, pro kterou je tento port obvykle přiřazen. Povolí také síťový přístup v síti VLAN, která je určena v atributu, který se posílá ze serveru RADIUS. Proto je podpora uživatelů s přístupem k síti VLAN založena na ID a roli uživatele. Výchozí akce je Otevřít port.
■
Přepnout na testovací VLAN Povolí přístup do určené sítě VLAN. Sítě VLAN, které jsou k dispozici, jsou ty, které již byly nakonfigurovány.
■
Uzavřít port
189
190
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití rozšířených nastavení zařízení LAN Enforcer
Odepřen síťový přístup do výchozí sítě VLAN nebo sítě VLAN určené serverem RADIUS. V případě některých modelů přepínačů je, v závislosti na jejich konfiguraci, port přiřazen hostované síti VLAN.
8
Klepněte na tlačítko OK.
9
V dialogovém okně Nastavení modulu LAN Enforcer na kartě Přepínač klepněte na tlačítko OK.
Použití rozšířených nastavení zařízení LAN Enforcer Konfigurovat můžete následující rozšířená nastavení zařízení LAN Enforcer: ■
Povolení starších klientů Viz „Povolení připojení staršího klienta k síti pomocí zařízení LAN Enforcer“ na straně 190.
■
Povolení místního ověřování Viz „Povolení místního ověřování v zařízení LAN Enforcer“ na straně 191.
Povolení připojení staršího klienta k síti pomocí zařízení LAN Enforcer V zařízení LAN Enforcer můžete povolit připojování ke starším klientům verze 5.1.x. Pokud vaše síť podporuje aplikaci 11.0.2 Symantec Endpoint Protection Manager, zařízení Symantec LAN Enforcer a potřebujete podporovat starší klienty verze 5.1.x, můžete povolit podporu starších klientů v konzole serveru pro správu, aby je zařízení Symantec LAN Enforcer neblokovalo. Jak povolit připojení staršího klienta k síti pomocí zařízení LAN Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce, v části Zobrazit servery, vyberte a rozbalte skupinu zařízení LAN Enforcer.
4
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Upřesnit zaškrtněte Povolit zastaralé klienty.
6
Klepněte na tlačítko OK.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití ověřování 802.1x
Povolení místního ověřování v zařízení LAN Enforcer Pokud zařízení LAN Enforcer ztratí své propojení s počítačem, na němž je nainstalována aplikace Symantec Endpoint Protection Manager, potom může klienty ověřovat místně. Jak povolit místní ověřování v zařízení LAN Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu zařízení LAN Enforcer.
4
Vyberte skupinu zařízení LAN Enforcer, pro níž chcete povolit místní ověřování.
5
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení sítě LAN na kartě Rozšířené zaškrtněte možnost Povolit místní ověřování.
7
Klepněte na tlačítko OK.
Použití ověřování 802.1x Pokud podniková síť používá pro ověřování modulu Enforcer v síti LAN, klientský počítač musí být nakonfigurován pro použití ověřování IEEE 802.1x. Proces ověřování 802.1x se skládá z těchto kroků: ■
Neověřený klient nebo žadatel třetích stran zašle informace o uživateli a informace o souladu do spravovaného přepínače sítě 802.11.
■
Síťový přepínač informace předá do zařízení LAN Enforcer. Zařízení LAN Enforcer odešle informace o uživateli na ověřovací server k ověření. Ověřovacím serverem je server RADIUS.
■
Pokud klient neuspěje v ověřování na úrovni uživatele nebo není v souladu se zásadami integrity hostitele, modul Enforcer může zablokovat přístup k síti. Zařízení LAN Enforcer umístí nevyhovující klientský počítač do sítě podle tabulky Akce přepínače, kde může být provedena náprava počítače.
■
Poté, co klient provede nápravu počítače a zajistí shodu, protokol 802.1x počítač ověří a udělí mu přístupová práva k síti.
Klient použije ke spolupráci se zařízením LAN Enforcer žadatele třetích stran nebo vestavěného žadatele. Tab. 8-2 popisuje typy možností, které lze nakonfigurovat pro ověřování 802.1x.
191
192
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití ověřování 802.1x
Tab. 8-2
Ověřování 802.1x
Možnost
Popis
Žadatel třetích stran
Použije žadatele třetích stran o ověření v síti 802.1x. Zařízení LAN Enforcer spolupracuje při ověření uživatele se serverem RADIUS a s žadateli třetích stran o ověření v síti 802.1x. Žadatel o ověření v síti 802.1x zobrazí dotaz na informace o uživateli, které zařízení LAN Enforcer odešle na server RADIUS pro ověření na úrovni uživatele. Klient odešle profil klienta a stav integrity hostitele do zařízení LAN Enforcer, které pak může počítač prověřit.
Poznámka: Chcete-li použít klienta Symantec Network Access Control s žadatelem třetí strany, musí být nainstalován modul Ochrany před síťovými hrozbami klienta Symantec Network Access Control. Pro použití žadatele třetích stran o ověření v síti 802.1x je nutné: Nakonfigurovat přepínač protokolu 802.1x pro nahrazení serveru RADIUS zařízením LAN Enforcer, takže přepínač potom předává ověřovací pakety zařízení LAN Enforcer. ■ Přidat zařízení LAN Enforcer mezi klienty serveru RADIUS, takže server bude přijímat požadavky od zařízení LAN Enforcer. ■ V konzole je nutné zadat informace o serveru RADIUS a povolit ověřování 802.1x pro klienty. ■
Transparentní režim
Používá klienta spuštěného jako žadatele o ověření v síti 802.1x. Tuto metodu použijete, pokud nechcete pro ověření uživatele použít server RADIUS. Zařízení LAN Enforcer je spuštěno v transparentním režimu a slouží jako pseudoserver RADIUS. Transparentní režim znamená, že žadatel od uživatelů nepožaduje informace o uživateli. Klient v transparentním režimu funguje jako žadatel o ověření v síti 802.1x. Na výzvu protokolu EAP přepínače klient odpoví profilem klienta a stavem integrity hostitele. Přepínač pak předá informace do zařízení LAN Enforcer, které slouží jako pseudoserver RADIUS. Zařízení LAN Enforcer ověří integritu hostitele a informace o profilu klienta z přepínače a může podle potřeby povolit, zablokovat nebo dynamicky přiřadit síť VLAN.
Poznámka: Chcete-li použít klienta jako žadatele o ověření v síti 802.1x, musíte odinstalovat nebo deaktivovat žadatele třetích stran o ověření v síti 802.1x v klientském počítači. V transparentním režimu je možné v dialogovém okně Nastavení zařízení LAN Enforcer nezadávat informace o serveru RADIUS. Adresa IP serveru RADIUS bude potom nastavena na hodnotu 0 a neproběhne obvyklé ověření uživatele protokolem EAP.
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití ověřování 802.1x
Možnost
Popis
Vestavěný žadatel Použije vestavěného žadatele o ověření v síti 802.1x v klientském počítači. K vestavěným ověřovacím protokolům patří Smart Card, PEAP a TLS. Po povolení ověřování 802.1x musíte vy nebo uživatelé určit, který protokol se bude používat.
Varování: Je nutné vědět, zda podniková síť používá jako ověřovací server server RADIUS. Pokud ověřování 802.1x nakonfigurujete nesprávně, může dojít k přerušení připojení k síti.
Poznámka: Chcete-li povolit konfiguraci ověření 802.1x uživatelem na klientovi, je třeba nastavit klienta na klientské řízení. Konfigurace klienta pro použití transparentního režimu nebo vestavěného žadatele
1
Na konzole klepněte na položku Klienti.
2
V části Zobrazit klienty vyberte skupinu klientů, kteří mají provádět ověřování 802.1x.
3
Na kartě Zásady v části Nastavení klepněte na položku Obecná nastavení.
4
Na kartě Nastavení zabezpečení zaškrtněte položku Povolit ověřování 802.1x.
5
Zaškrtněte položku Použít klienta jako žadatele o ověření v síti 802.1x.
6
Proveďte jednu z následujících akcí:
7
■
Chcete-li vybrat transparentní režim, zvolte položku Použít transparentní režim Symantec .
■
Chcete-li povolit uživateli konfigurovat vestavěného žadatele, zvolte položku Povolit uživateli vybrat ověřovací protokol. Uživatelé mohou vybírat ověřovací protokol pro své síťové připojení.
Klepněte na tlačítko OK.
Konfigurace klienta pro použití žadatele třetích stran
1
Na konzole klepněte na položku Klienti.
2
V části Zobrazit klienty vyberte skupinu klientů, kteří mají provádět ověřování 802.1x.
3
Na kartě Zásady v části Nastavení klepněte na položku Obecná nastavení.
193
194
Konfigurace zařízení Symantec LAN Enforcer na konzole aplikace Symantec Endpoint Protection Manager Použití ověřování 802.1x
4
Na kartě Nastavení zabezpečení zaškrtněte položku Povolit ověřování 802.1x.
5
Klepněte na tlačítko OK. Klienta lze nakonfigurovat pro použití vestavěného žadatele. Klienta povolíte pro ověřování 802.1x i jako žadatele o ověření v síti 802.1x.
Informace o opětovném ověření na klientském počítači Pokud klientský počítač uspěl v kontrole integrity hostitele, ale blokuje jej modul Enforcer, bude potřeba provést jeho opětovné ověření. Za normálních okolností by nikdy nemělo být třeba počítač znovu ověřovat. Modul Enforcer může blokovat počítač, nastane-li jedna z následujících událostí: ■
Selhalo ověření uživatele v klientském počítači, jelikož uživatelé zadali špatné uživatelské jméno nebo heslo.
■
Klientský počítač se nachází v nesprávné virtuální místní síti.
■
Klientský počítač nemá připojení k síti. Přerušení síťového připojení většinou nastane, protože přepínač mezi klientským počítačem a zařízením LAN Enforcer neověřil uživatelské jméno a heslo.
■
Uživatelé se musí přihlásit ke klientskému počítači, který ověřil předchozího uživatele.
■
Selhalo ověření souladu klientského počítače.
Uživatelé mohou provést opětovné ověření počítače pouze v případě, že jste jej nakonfigurovali s vestavěným žadatelem. Kontextová nabídka ikony v oznamovací oblasti klientského počítače obsahuje příkaz Opětovné ověření.
Kapitola
9
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Tato kapitola obsahuje následující témata: ■
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
■
Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer
■
Úprava banneru na uvítací stránce
■
Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Koncoví uživatelé se často potřebují dočasně připojit k firemní síti, i když na jejich počítačích není potřebný software. Pokud firemní síť obsahuje zařízení Gateway nebo DHCP Enforcer, správce může v těchto zařízeních povolit dočasné připojení nevyhovujících klientských počítačů k firemní síti jako hosta. Správce může v zařízení Gateway nebo DHCP Enforcer nakonfigurovat automatické stahování klientů Symantec Network Access Control On-Demand na platformě Windows i Macintosh. Bezprostředně po stažení klienta Symantec Network Access
196
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
Control On-Demand do klientského počítače se klient může pokusit o připojení do firemní sítě. Pokud klientský počítač splní všechny požadavky, je automaticky navázáno spojení mezi klientským počítačem a aplikací Endpoint Protection Manager. Proto může vyhovující klientský počítač provádět všechny úkoly, které správce pro tuto skupinu povolil v aplikaci Symantec Endpoint Protection Manager. Pokud klientský počítač nesplní všechny požadavky, nemůže být automaticky navázáno připojení mezi klientským počítačem a aplikací Endpoint Protection Manager. Koncový uživatel musí vyřešit všechny nekompatibilní požadavky v klientském počítači.
Před konfigurací klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer Před nastavením automatického stahování klientů Symantec Network Access Control On-Demand na platformách Windows a Macintosh musíte provést následující úkoly: ■
Instalovat software Symantec Network Access Control, který se nachází na druhém disku CD-ROM označeném CD2. Tento software zahrnuje aplikaci Symantec Endpoint Protection Manager, kterou je třeba instalovat. Pokud omylem nainstalujete software Symantec Endpoint Protection, který se nachází na prvním disku CD-ROM označeném CD1, aplikace Symantec Endpoint Protection Manager nemůže nainstalovat všechny požadované komponenty. Viz Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control.
■
Zapsat šifrované heslo, které jste zavedli při instalaci softwaru Network Access Control. Viz Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control.
■
Instalovat a konfigurovat zařízení Gateway nebo DHCP Enforcer. Při první instalaci a konfiguraci zařízení Enforcer přiřadí během instalace název skupině Enforcer. Musíte také naplánovat přiřazení adres IP, názvů hostitelů a konfigurace síťových karet (NIC). Pokud nejsou karty NIC správně konfigurovány, instalace se nezdaří nebo se chová nepředvídaně. Viz „Před instalací modulu Enforcer“ na straně 71. Název skupiny Enforcer se automaticky zobrazuje v konzole Symantec Endpoint Protection Manager v podokně Server, které je přiřazeno každému zařízení Enforcer. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control.
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
■
Zkontrolovat stav komunikace zařízení Enforcer a serveru Symantec Endpoint Protection Manager v konzole zařízení Enforcer. Viz „Kontrola stavu komunikace zařízení Enforcer v konzole Enforcer“ na straně 84. Viz „Show“ na straně 237.
■
Povoleno přesměrování HTTP nebo falšování DNS v konzole aplikace Symantec Endpoint Protection Manager. Přesměrování HTTP nebo falšování DNS představuje adresu IP interní karty NIC (eth0), která je v zařízení Gateway nebo DHCP Enforcer. V případě přesměrování HTTP přidáte adresu URL na stránce Správce v aplikaci Symantec Endpoint Protection Manager. Na stránce Správce zobrazte podokno Servery a vyberte skupinu Enforcer v části Zobrazit servery. Až vyberete skupiny Enforcer, jejímž členem je zařízení Gateway nebo DHCP Enforcer, klepněte v části Úlohy na položku Upravit vlastnosti skupiny. V dialogovém okně Nastavení modulu Enforcer vyberte kartu Ověřování a zadejte adresu URL do pole Adresa URL pro přesměrování HTTP. Například pro falšování DNS můžete zadat http://10.127.33.190. Tohoto cíle můžete dosáhnout tak, že necháte zařízení DHCP Enforcer změnit příslušné zprávy DHCP odesílané klientovi. Zařízení DHCP Enforcer nahradí adresu IP serveru DNS ve zprávě DHCP externí adresou IP zařízení DHCP Enforcer. Proto se zařízení DHCP Enforcer chová ke klientům jako server DNS a zabraňuje falšování DNS. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control.
■
Klientskou skupinu je třeba vytvořit jako podskupinu skupiny Firma s plnými přístupovými právy. Přidáte klientskou skupinu na stránce Klienti jako podskupinu skupiny Firma v aplikaci Symantec Endpoint Protection Manager. Nezapomeňte si zapsat název klientské skupiny Enforcer, která spravuje klienty Symantec Network Access Control On-Demand. Pokud nezaložíte samostatnou skupinu, klienti Symantec Network Access Control On-Demand budou spravováni ve výchozí skupině v aplikaci Symantec Endpoint Protection Manager. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control.
■
Vytvořeno volitelné samostatné umístění klientské skupiny Enforcer v konzole Symantec Endpoint Protection Manager. Pokud nevytvoříte samostatné umístění pro skupinu, která spravuje klienty Symantec Network Access Control On-Demand, je klientům hostů automaticky přiřazeno výchozí umístění. Doporučujeme vytvořit samostatné umístění klientské skupiny Enforcer v konzole Symantec Endpoint Protection Manager.
197
198
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
Kritéria umístění vám pomohou definovat kritéria, která identifikují klienty Symantec Network Access Control On-Demand nebo klienty hostů podle adresy IP, adresy MAC, názvu hostitele nebo jiných kritérií. Doporučujeme vytvořit samostatné umístění, do kterého budou automaticky přiřazeni všichni klienti Symantec Network Access Control On-Demand nebo klienti hostů, kteří se chtějí dočasně připojit k síti bez správných přihlašovacích údajů. Umístění klientské skupiny Enforcer můžete vytvořit a přiřadit v aplikaci Symantec Endpoint Protection Manager na stránce Klienti v části Úlohy. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. ■
Přidána a přiřazena volitelná zásada integrity hostitele pro klientskou skupinu a umístění Enforcer v konzole Symantec Endpoint Protection Manager. Vytvořit a přiřadit volitelnou zásadu integrity hostitele pro klientskou skupinu a umístění Enforcer v konzole Symantec Endpoint Protection Manager není povinné, ale doporučujeme zadat následující kritéria. ■
Četnost kontrol integrity hostitele
■
Typ zásad integrity hostitele, které chcete implementovat
Volitelnou zásadu integrity hostitele pro klientskou skupinu Enforcer můžete přidat a přiřadit v aplikaci Symantec Endpoint Protection Manager na stránce Zásady v části Úlohy. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. ■
Povolena volitelná místní zpráva v konzole aplikace Symantec Endpoint Protection Manager. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control.
■
Získání ID domény, které se zobrazuje v konzole aplikace Symantec Endpoint Protection Manager. Viz Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. ID domény je třeba mít připravené, protože možná bude třeba je ještě nastavit v zařízení Gateway nebo DCHP Enforcer pomocí příkazu on-demand spm-domain. Viz „Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199.
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti Chcete-li povolit automatické stahování klienta Symantec Network Access Control On-Demand na klientský počítač se systémem Windows nebo Macintosh, je třeba provést celou řadu konfiguračních úloh. Viz „Před konfigurací klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer“ na straně 196. Než budete moci povolit připojení klientů Symantec Network Access Control On-Demand k síti, je třeba nakonfigurovat následující příkazy: ■
Spusťte příkaz spm-domain.
■
Spusťte příkaz client-roup.
■
Spusťte příkaz enable.
■
Spusťte příkaz authentication enable. Tento příkaz je volitelný.
Viz „Jak povolit dočasné připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199. Jak povolit dočasné připojení klientů Symantec Network Access Control On-Demand k síti
1
Přihlaste se ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
2
V konzole zařízení Gateway nebo DHCP Enforcer zadejte následující příkaz: Enforcer #on-demand
3
Zadejte následující příkaz: Enforcer (on-demand)# spm-domain kde: spm-domain je řetězec automaticky zobrazený v zařízení Enforcer. Viz „Před konfigurací klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer“ na straně 196.
199
200
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand
4
Zadejte následující příkaz: Enforcer (on-demand)# client-group "Firma/název klientské skupiny Enforcer"
kde: název klientské skupiny Enforcer je název klientské skupiny Enforcer, který jste už nastavili na stránce Klienti v části Zobrazit klienty v konzole Symantec Endpoint Protection Manager. Tuto klientskou skupinu Enforcer je třeba nastavit jako podskupinu skupiny Firma s plnými přístupovými právy. Pokud jste v konzole aplikace Symantec Endpoint Protection Manager nenastavili skupinu klientů Enforcer, zařízení Enforcer se zaregistruje u výchozí skupiny. Informace o skupině klientů Enforcer jsou automaticky odeslány při dalším prezenčním signálu. Nyní můžete nastavit ověřování pro klienty Symantec Network Access Control On-Demand. Viz „Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer“ na straně 201.
5
Zadejte následující příkaz: Enforcer (on-demand)#enable
Zakázání klientů Symantec Network Access Control On-Demand na klientských počítačích Chcete-li zakázat automatické stahování klientů Symantec Network Access Control On-Demand, můžete tento proces zakázat. Jak zakázat klienty Symantec Network Access Control On-Demand na klientských počítačích
1
Přihlaste se ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
2
V konzole zařízení Gateway nebo DHCP Enforcer zadejte příkaz on-demand.
3
Zadejte příkaz disable.
4
Zadejte příkaz exit.
5
Odhlaste se zadáním příkazu exit.
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer
Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer Koncové uživatele můžete ověřovat přidáním uživatelských jmen a hesel pro jednotlivé uživatele do místní databáze v zařízení Gateway a DHCP Enforcer. Viz „Nastavení ověřování pomocí místní databáze“ na straně 201. Pokud nechcete použít místní databázi v zařízení Gateway a DHCP Enforcer, můžete v nich nakonfigurovat použítí serveru Microsoft Windows Server 2003 Active Directory pro správu ověřování koncových uživatelů. Viz „Nastavení ověřování pomocí služby Microsoft Windows 2003 Server Active Directory“ na straně 202.
Nastavení ověřování pomocí místní databáze V místní databázi můžete konfigurovat až 1000 koncových uživatelů. Viz „Příkazy On-Demand authentication local-db“ na straně 272. Jak nastavit ověřování pomocí místní databáze
1
Přihlaste se ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
2
V konzole zařízení Gateway nebo DHCP Enforcer zadejte následující příkaz: Enforcer #on-demand
3
V konzole zařízení Gateway nebo DHCP Enforcer zadejte následující příkaz: Enforcer (on-demand)# authentication
4
Zadejte následující příkaz: Enforcer (authentication)# enable
201
202
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer
5
Zadejte následující příkaz: Enforcer (authentication)# local-db enable
6
Zadejte následující příkaz: Enforcer (local-db)# adduser username uživatelské_jméno password heslo kde: uživatelské jméno uživatelské jméno představuje jméno koncového uživatele, kterého chcete přidat, například smith_john. heslo
heslo představuje heslo, které chcete přidat pro daného koncového uživatele.
Nastavení ověřování pomocí služby Microsoft Windows 2003 Server Active Directory Zařízení Gateway a DHCP Enforcer se spojují se serverem Microsoft Windows 2003 Server pomocí názvu domény místo adresy IP. Proto je třeba v síti instalovat server DNS, který názvy domén překládá. Viz „Příkazy On-demand authentication ad“ na straně 270. Jak nastavit ověřování pomocí serveru active directory
1
Přihlaste se ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
2
V konzole zařízení Gateway nebo DHCP Enforcer zadejte následující příkaz: Enforcer #on-demand
3
Zadejte následující příkaz: Enforcer (on-demand)# authentication
4
Zadejte následující příkaz: Enforcer (authentication)# enable
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer
5
Zadejte následující příkaz: Enforcer (authentication)# ad enable
6
Zadejte následující příkaz: Enforcer (authentication)# ad ID_domény kde: domainid představuje název domény Microsoft Windows Server 2003 Active Directory. Příklad: www.symantec.cz.
Nastavení klienta On-Demand v systému Windows pro ověřování s protokolem dot1x Nastavení klienta On-Demand v systému Windows pro ověřování s protokolem dot1x
1
V konzole Enforcer zadejte: Enforcer#on-demand
2
Zadejte následující příkaz: Enforcer(on-demand)# dot1x
3
Zadejte následující příkaz: Enforcer(dot1x)# protocol tls
4
Zadejte následující příkaz: Enforcer (tls)# show protocol Protokol musí být nastaven na tls. Například Active Protocol: TLS
5
Zadejte následující příkaz: Enforcer (tls)# validate-svr enable
6
Zadejte následující příkaz: Enforcer (cert-svr)# exit
203
204
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Nastavení ověřování klientů Symantec Network Access Control On-Demand v konzole Gateway nebo DHCP Enforcer
7
Zadejte následující příkaz: Enforcer (tls)# show tls Zajistěte, aby byl povolen certifikát serveru tls. Příklad:
8
TLS Validate Server Certificate:
ENABLED
TLS Certificate Server: TLS Certificate Server:
ENABLED 127.0.0.1
Zadejte následující příkaz: Enforcer (dot1x)# certificate import tftp 10.34.68.69 password symantec username janedoe user-cert qa.pfx root-cert qa.ce
kde: 10.34.68.69 je server tftp, ze kterého může zařízení Enforcer importovat certifikát serverem tftp. symantec představuje heslo certifikátu uživatele janedoe je uživatelské jméno, pomocí kterého se připojujete ke klientovi. qa.pfx představuje název certifikátu uživatele. qa.cer představuje název kořenového certifikátu
Nastavení klienta On-Demand na systému Windows pro ověřování pomocí protokolu PEAP Nastavení klienta On-Demand na systému Windows pro ověřování pomocí protokolu PEAP
1
Do konzole Enforcer zadejte tento příkaz: Enforcer#on-demand
2
Zadejte následující příkaz: Enforcer(on-demand)# dot1x
3
Zadejte následující příkaz: Enforcer(dot1x)# protocol peap
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Úprava banneru na uvítací stránce
4
Zadejte následující příkaz: Enforcer (peap)# show protocol Ujistěte se, že je povolen serverový certifikát protokolu PEAP; například:
5
PEAP Validate Server Certificate:
ENABLED
PEAP Certificate Server: PEAP Certificate Server: PEAP Fast Reconnected:
DISABLED 127.0.0.1 DISABLED
Zadejte následující příkaz: Enforcer (peap) cert-svr host snac kde: snac je počítač, který je serverem certifikační autority pro daný název
certifikátu protokolu PEAP.
Úprava banneru na uvítací stránce Umožňuje upravit výchozí banner na uvítací stránce klientů Symantec Network Access Control On-Demand. Jak upravit banner na uvítací stránce
1
Přihlaste se ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
2
V konzole zařízení Gateway nebo DHCP Enforcer zadejte následující příkaz: Enforcer #on-demand
3
Zadejte následující příkaz: Enforcer(banner)# banner. Stiskněte klávesu Enter.
4
Do nově otevřeného okna zadejte zprávu, kterou chcete zobrazovat koncovým uživatelům na uvítací stránce klienta Symantec Network Access Control On-demand. Můžete použít až 1 024 znaků.
Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand Při řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand ověřte následující oblasti a známé problémy.
205
206
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand
Tab. 9-1 Příznak
Řešení
Brána firewall blokuje práci Několik možných řešení: klienta, když uživatel stahuje ■ Odblokujte v nastavení brány firewall port protokolu agenta pomocí sítí PPTP UDP 39999. VPN, CheckPoint VPN nebo ■ Přidejte do směrovací tabulky modulu Enforcer statické Juniper VPN přesměrování. Příklad: route add IP netmask NM device eth0 kde IP je adresa IP a NM maska sítě fondu adres IP klienta. Tento fond je v síti VPN konfigurován správcem. Stahování je pomalé
Klient někdy provoz přesměruje přes společnost Verisign. Rychlost stahování potom klesá. Náhradním postupem je požádat správce o zařazení společnosti Verisign do seznamu důvěryhodných adres IP.
První kontrola integrity hostitele trvá příliš dlouho
Toto je problém s překladem adres službou DNS a po první kontrole integrity hostitele by k němu nemělo docházet.
Brána firewall blokuje práci klienta On-Demand, pokud uživatel nemá oprávnění správce
Uživatelé musí v nastavení brány firewallu odblokovat port protokolu UDP 39999. Popřípadě povolte v bráně firewall proces cclientctl.exe
První upgrade modulu Enforcer neobsahuje ruční instalační balík
Důvodem je souhrnná velikost balíků. Náhradním postupem je nejprve upgradovat modul Enforcer a importovat ruční instalační balík klienta do aplikace Symantec Endpoint Protection Manager. Teprve poté povolte funkci On-Demand v modulu Enforcer. Přidáte tak soubory ruční instalace.
Adresa URL přesměrování v K tomu dochází pouze v případě, že je v modulu Enforcer modulu Enforcer přepíše povolena funkce On-Demand. Jde o požadované chování. předchozí adresu URL přesměrování v aplikaci SEPM Klienti v systému Vista nezískají adresu IP od serveru DHCP
Jde o problém časování. Změňte nastavení časového limitu DHCP na 12 sekund a více.
Uživatel s obvyklými Náhradním postupem je instalace prostředí JRE. Jinak oprávněními nemůže mohou instalovat pouze správci. instalovat agenta, pokud není nainstalováno prostředí JRE.
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand
Příznak
Řešení
Bezdrátové připojení je Uživatel by měl restartovat bezdrátové připojení. odpojeno při instalaci klienta On-Demand a ukončeno při použití ověřování 802.1x Systémy, na kterých běží aplikace Norton 360 v2.x, mají problémy s přijetím klienta
Klepněte na odkaz „Ruční stažení“, stáhněte a nainstalujte.
Při použití aplikace Firefox Instalace zásuvného modulu NP vyžaduje oprávnění správce. není možné s obvyklými oprávněními stáhnout klienta a zásuvný modul NP Ruční instalace selže
Může být nutná instalace opravy KB893803 od společnosti Microsoft. Tato oprava je součástí ruční instalace a měla by být nainstalována před klientem. Jsou požadována oprávnění správce.
Ověřování 802.1x selhává
Agent musí nainstalovat ovladač, aby mohl pracovat správně. Pokud uživatel systému Windows Vista vyžaduje ověřování 802.1x, musí otevřít prohlížeč pomocí možnosti „Spustit jako správce“ nebo po vypnutí funkce Řízení účtu uživatele a zaručit tak spuštění agenta s oprávněním správce.
Zobrazuje se zpráva „Zjištěna Odstraňte stávající ActiveX klepnutím na možnosti Nástroje starší verze ActiveX“. -> Spravovat doplňky -> Povolit nebo zakázat doplňky -> Stažené ovládací prvky ActiveX, kde odstraňte prvek HodaAgt class. Prohlížeč zobrazuje uživateli Klient už může být spuštěn. Jednou z funkcí zabezpečení je zprávu „webovou stránku nemožnost stažení nového klienta v rámci běžící relace nelze zobrazit“ a stažení klienta. klienta je neúspěšné Prohlížeč Firefox nedokáže klienta stáhnout
K tomu dochází při prvním spuštění aplikace Firefox. Nejprve je nutné dokončit konfiguraci aplikace Firefox jedním nebo dvěma restarty. Poté by mělo být možné klienta On-Demand stáhnout.
207
208
Nastavení dočasného připojení pro klienty Symantec Network Access Control On-Demand Řešení potíží s připojením mezi modulem Enforcer a klienty On-Demand
Příznak
Řešení
Počítače, na kterých běží operační systém Mac OS 10.4, se z důvodu měnícího se názvu hostitele nepřihlásí správně
Jde o problém spojený s touto verzí systému Mac OS. Verze 10.5 tento problém nemá. Náhradním postupem pro verzi 10.4 je nastavení názvu hostitele v souboru /etc/hostconfig/.
Vlastní kontroly integrity hostitele závislé na systémové proměnné %temp% nefungují
To je způsobeno nestálostí %temp%. Náhradním postupem je nastavení jiného umístění.
Vlastní kontroly integrity To je způsobeno nestálostí uživatelských relací. hostitele závislé na hodnotách registru nefungují Při instalaci programu Panda Aplikace společnosti Panda odstraňují důležitý soubor Titanium 2007 nebo Panda aplikace SNAC. Ten je automaticky znovu nainstalován, Internet Security 2007 nebo takže nemusíte nijak zasahovat. 2008 se zobrazí zpráva „Počkejte na dokončení konfigurace produktu Symantec Network Access Control v systému Windows“
Kapitola
10
Rozhraní příkazového řádku modulu Enforcer Tato kapitola obsahuje následující témata: ■
Hierarchie příkazů rozhraní příkazového řádku zařízení Enforcer
■
Hierarchie příkazů rozhraní příkazového řádku
■
Přesun nahoru a dolů v hierarchii příkazů
■
Klávesové zkratky rozhraní příkazového řádku zařízení Enforcer
■
Získání nápovědy s příkazy rozhraní příkazového řádku
Hierarchie příkazů rozhraní příkazového řádku zařízení Enforcer Zařízení Enforcer obsahuje rozhraní příkazového řádku (CLI), které je organizováno do hierarchie příkazů. Hlavní příkazy (příkazy nejvyšší úrovně) obsahují následující skupiny příkazů, které umožňují přístup k dalším příkazům: ■
capture
■
configure
■
console
■
debug
■
mab
■
monitor
■
on-demand
210
Rozhraní příkazového řádku modulu Enforcer Hierarchie příkazů rozhraní příkazového řádku
■
snmp
Hierarchie příkazů rozhraní příkazového řádku Tab. 10-1 popisuje hierarchii příkazů zařízení Enforcer. Tab. 10-1
Hierarchie příkazů rozhraní příkazového řádku zařízení Enforcer
Příkazy nejvyšší Příkazy první podúrovně úrovně
Příkazy druhé podúrovně
capture
nedostupné
Příkazy clear, exit, help a show jsou k dispozici pouze pro přihlášení admin a root (superuser). Je možné použít následující příkazy na podúrovni: ■
clear
■
compress
■
exit
■
filter
■
help
■
show
■
start
■
upload
■
verbose
clear
nedostupné
configure
Příkazy clear, exit, help a show jsou k dispozici pouze pro přihlášení admin a root (superuser).
nedostupné
Pouze pokročilý příkaz se skládá z Je možné použít následující příkazy na podúrovni: příkazů nižší úrovně ■ advanced ■
clear
■
dns
■
exit
■
help
■
interface
■
interface-role
■
ntp
■
redirect
■
route
■
show
■
spm
Rozhraní příkazového řádku modulu Enforcer Hierarchie příkazů rozhraní příkazového řádku
Příkazy nejvyšší Příkazy první podúrovně úrovně
Příkazy druhé podúrovně
console
nedostupné
baud-rate, clear, exit, help,show, ssh, a sshkey Příkazy clear, exit, help a show jsou k dispozici pro přihlášení admin a root (superuser).
date
debug
■
date
■
time
■
timezone
nedostupné
clear, exit, destination, help, level, show a upload nedostupné Příkazy clear, exit, help a show jsou k dispozici pro přihlášení admin a root (superuser).
exit
nedostupné
nedostupné
help
nedostupné
nedostupné
hostname
nedostupné
nedostupné
mab
Příkazy clear, exit, help a show jsou k dispozici pouze pro přihlášení admin a root (superuser).
nedostupné
monitor
■
clear
■
database
■
disable
■
enable
■
exit
■
help
■
ldap
■
show
■
clear
■
exit
■
help
■
refresh
■
show
vše nebo IP ip adresa
211
212
Rozhraní příkazového řádku modulu Enforcer Hierarchie příkazů rozhraní příkazového řádku
Příkazy nejvyšší Příkazy první podúrovně úrovně
Příkazy druhé podúrovně
on-demand
Informace o příkazech na druhé podúrovni získáte u jednotlivých příkazů.
Příkazy clear, exit, help a show jsou k dispozici pouze pro přihlášení admin a root (superuser). ■
authentication
■
banner
■
clear
■
client-group
■
disable
■
dot1x
■
enable
■
exit
■
help
■
mac-compliance
■
show
■
spm-domain
password
nedostupné
nedostupné
ping
nedostupné
nedostupné
reboot
nedostupné
nedostupné
show
nedostupné
nedostupné
shutdown
nedostupné
nedostupné
snmp
■
disable
■
enable
■
heartbeat
■
receiver
■
show
■
trap
■
exit
■
clear
■
help
start
nedostupné
nedostupné
stop
nedostupné
nedostupné
traceroute
nedostupné
nedostupné
update
nedostupné
nedostupné
Rozhraní příkazového řádku modulu Enforcer Přesun nahoru a dolů v hierarchii příkazů
Přesun nahoru a dolů v hierarchii příkazů Chcete-li přistupovat k příkazu, který je v hierarchii uveden níže, zadejte příkaz nejvyšší úrovně a poté příkaz nižší úrovně. Pokud máte ve skupině příkazů více příkazů, které chcete provést, můžete zadat pouze příkaz nejvyšší úrovně. Skupinu příkazů otevřete stiskem Enter. Stejný postup použijte i v případě, že chcete získat seznam příkazů ve skupině. Poté můžete zadat jakýkoliv příkaz dostupný v této skupině. Například, skupina capture obsahuje příkaz show, který zobrazuje nastavení konfigurace této skupiny. Pokud chcete příkaz show otevřít z nejvyšší úrovně, zadejte následující příkaz capture: Enforcer# capture show
Zadáte-li pouze příkaz umožňující přístup ke skupině příkazů a stisknete klávesu Enter, další příkazový řádek zobrazí název skupiny příkazů v závorkách. Příklad: Enforcer# capture Enforcer(capture)#
Pokud se chcete v hierarchii posunout nahoru a otevřít příkazy mimo skupinu, musíte nejdřív zavřít skupinu příkazů. Enforcer(capture)# exit Enforcer#
Klávesové zkratky rozhraní příkazového řádku zařízení Enforcer Při používání CLI můžete namísto psaní příkazů nebo získávání nápovědy vyplňováním příkazů používat úhozy kláves jako zkratky. Tab. 10-2 uvádí klávesové zkratky a nápovědu rozhraní příkazového řádku.
213
214
Rozhraní příkazového řádku modulu Enforcer Klávesové zkratky rozhraní příkazového řádku zařízení Enforcer
Klávesové zkratky a nápověda rozhraní příkazového řádku
Tab. 10-2 Klávesy nebo kombinace kláves
Akce
Tab nebo ?
■
Zobrazí seznam všech dostupných příkazů nebo možností. NEBO ■ Dokončí název příkazu nebo možnosti nebo zobrazí všechny možné příkazy, které začínají zadanými písmeny. Více informací: Viz „Získání nápovědy s příkazy rozhraní příkazového řádku“ na straně 215.
CTRL+D
Opustí skupinu příkazů.
CTRL+C
Odstraní všechny znaky v příkazovém řádku.
!
Zobrazí seznam příkazů v mezipaměti historie. Zadané příkazy jsou ukládány v 16 kB mezipaměti historie. Příkazy jsou očíslovány od 1. Dojde-li k překročení kapacity mezipaměti, nejstarší příkaz je nahrazen a změní se čísla příkazů tak, aby nejstarší měl opět číslo 1. Příkaz ! zobrazí seznam všech příkazů v mezipaměti historie. Zadáte-li za znak ! číslo, konzola zařízení Enforcer zobrazí příkaz uložený v mezipaměti pod tímto číslem. Příkaz nebude proveden, dokud nestisknete klávesu Enter. Zde je příklad: Enforcer# ! 1. con 2. configure 3. ping 192.168.0.1 4. traceroute 192.168.0.16 Enforcer# !3 Enforcer# ping 192.168.0.1
Klávesa se šipkou nahoru Klávesa se šipkou dolů Klávesa se šipkou doleva
Obnoví příkazy v mezipaměti historie posunem nahoru nebo dolů v číselném seznamu. Přesune kurzor o jeden znak doleva nebo doprava.
Klávesa se šipkou doprava Klávesy Home a End
Přesune kurzor na začátek nebo konec příkazového řádku.
klávesa Backspace
Odstraní znak na příkazovém řádku, který je vlevo od kurzoru.
klávesa Delete
Odstraní znak, na němž je kurzor umístěný.
Rozhraní příkazového řádku modulu Enforcer Získání nápovědy s příkazy rozhraní příkazového řádku
Získání nápovědy s příkazy rozhraní příkazového řádku Používáte-li rozhraní příkazového řádku, můžete si příkazy a příkazové možnosti několika způsoby zjednodušit. Tab. 10-3 zobrazuje způsoby vylepšení práce s příkazy rozhraní příkazového řádku. Tab. 10-3
Získání nápovědy s příkazy rozhraní příkazového řádku
Co chcete udělat?
Akce
Zobrazit všechny dostupné příkazy s krátkým popisem
V příkazovém řádku stiskněte klávesu Tab nebo ? Bude zobrazen seznam všech příkazů v aktuální úrovni hierarchie. Příklad: Po zadání příkazu configure a stisknutí klávesy ENTER otevřete skupinu příkazů configure. Stisknutím klávesy Tab nebo ? zobrazíte všechny dostupné příkazy skupiny příkazů configure.
Zobrazit krátký popis určitého příkazu
V příkazovém řádku zadejte příkaz Help a název příkazu. (Příkaz musí být dostupný v aktuální úrovni hierarchie.)
Dokončit název příkazu nebo Zadejte jedno nebo více písmen, kterými začíná název příkazu, a poté stiskněte zobrazit seznam všech možných klávesu Tab nebo ? příkazů, které začínají zadanými Příklad: písmeny. Když v hlavním příkazovém řádku zadáte co a stisknete Tab nebo ?, na konzole zařízení Enforcer se zobrazí seznam všech dostupných příkazů, které začínají písmeny co. Jak je uvedeno v následujícím příkazu, dva příkazy začínají písmeny con. Proto konzola zařízení Enforcer doplní písmeno n. Příklad: Enforcer# co? configure Configure Enforcer setting console Console setting Enforcer# con
215
216
Rozhraní příkazového řádku modulu Enforcer Získání nápovědy s příkazy rozhraní příkazového řádku
Co chcete udělat?
Akce
Zobrazit všechny možnosti určitého příkazu společně s krátkým popisem každé možnosti
Zadejte příkaz a stiskněte klávesu Tab nebo ? Příklad: Když jste ve skupině příkazů configure a chcete zobrazit možnosti příkazu interface, zadejte interface a stiskněte Tab nebo ? Příklad: Enforcer(configure)# interface? U možností rozhraní je uveden krátký popis.
Dokončit název možnosti nebo zobrazit seznam všech dostupných možností, které začínají zadanými písmeny.
Jakmile zadáte název možnosti, zadejte jedno nebo více písmen, kterými začíná název možnosti, a poté stiskněte klávesu Tab nebo ?. Příklad: Zadáte-li příkaz capture show a poté písmeno f, konzola zařízení Enforcer zobrazí dvě možnosti začínající písmenem f. Protože obě začínají písmeny fil, konzola doplní písmena il. Příklad: Enforcer# capture show f? files
Display packet capture files
filter Display current packet capture filter Enforcer# capture show fil
Kapitola
11
Odkaz na rozhraní příkazového řádku modulu Enforcer Tato kapitola obsahuje následující témata: ■
Příkazové konvence
■
CLI modulu Enforcer v abecedním pořadí
■
Příkazy nejvyšší úrovně
■
Příkazy Capture
■
Příkazy Configure
■
Příkazy console
■
Příkazy debug
■
Příkazy MAB
■
Příkazy Monitor
■
příkazy SNMP
■
Příkazy On-Demand
Příkazové konvence Následující konvence popisují syntax a použití příkazů rozhraní příkazového řádku aplikace Enforcer.
218
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Tab. 11-1
Konvence pro příkazy
Syntax
Využití
n
Proměnné jsou psané kurzívou. Např. n představuje proměnnou:
závorky {}
Pokud má příkaz několik argumentů, tyto argumenty jsou uzavřeny ve složených závorkách { }. V následujícím příkladu se nachází několik argumentů, kde je písmeno n uvedeno jako proměnná: {width n | height n}
hranaté závorky [] Volitelné argumenty jsou v hranatých závorkách []. Níže je uveden příklad volitelného argumentu: [metric] symbol trubky |
Pokud má příkaz několik argumentů, které se navzájem vylučují, jsou odděleny znakem |. Níže je uveden příklad několika argumentů, které se navzájem vylučují: {width n | height n}
CLI modulu Enforcer v abecedním pořadí Příkazy modulu Enforcer jsou organizovány v hierarchii, v níž se některé příkazy nacházejí v nejvyšší úrovni a jiné pod následujícími příkazy: capture, configure, console, debug, mab, monitor a on-demand. Příkazy clear, exit, help a show jsou dostupné ze všech úrovních hierarchie. V tabulce jsou však uvedeny pouze na nejvyšší úrovni. Tyto příkazy jsou dostupné, pouze pokud jste přihlášen jako administrátor. Všechny ostatní příkazy jsou dostupné pouze při přihlášení jako root. Chcete-li zobrazit popis všech příkazů dostupných na aktuální úrovni hierarchie, napište ? nebo stiskněte klávesu Tab. Tab. 11-2 podává krátký popis příkazů. Tab. 11-2
Přehled příkazů rozhraní příkazového řádku
Příkaz
Popis
capture
Přistupuje k příkazům zachycení paketů. Viz „Příkazy Capture“ na straně 239.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
capture filter
Konfiguruje filtr, aby jej bylo možné použít k zachytávání paketů. Viz „Capture Filter“ na straně 239.
capture show
Zobrazí konfiguraci zachycení a vypíše zachycené soubory. Viz „Capture Show“ na straně 240.
capture start
Spustí zachycení paketů. Viz „Capture start “ na straně 241.
capture upload
Použije protokol tftp k odeslání souboru nebo souborů. Viz „Capture upload “ na straně 242.
capture verbose
Vypne nebo zapne zobrazení podrobností zachycení paketů. Viz „Capture Verbose “ na straně 242.
clear
Vymazat obrazovku. Viz „Clear“ na straně 233.
configure
Poskytuje přístup ke konfiguračním příkazům modulu Enforcer. Viz „Příkazy Configure“ na straně 243.
configure advanced
Otevře příkazy k rozšířené konfiguraci. Viz pokročilé konfigurační příkazy vyjmenované v této tabulce. Viz „Příkazy configure advanced“ na straně 243.
configure advanced trunking
Povolí nebo zakáže podporu sdružování (jen zařízení Gateway Enforcer).
configure advanced catos
Povolí nebo zakáže podporu Cisco Catos. (Pouze zařízení LAN Enforcer)
configure advanced check-uid
Povolí nebo zakáže kontrolu UID pro agenty starší verze. (Pouze u modulu Enforcer pro bránu nebo server DHCP)
Viz „Příkazy configure advanced“ na straně 243.
Viz „Příkaz advanced CATOS“ na straně 243.
Viz „Advanced check-uid“ na straně 243. configure advanced dns-spoofing
Konfiguruje falšování DNS adresy IP a toto aktivuje nebo deaktivuje v zařízení DHCP Enforcer. Při vypnutí falšování v zařízení DHCP Enforcer se adresa IP odstraní. (Pouze zařízení DHCP Enforcer) Viz „Advanced DNS spoofing“ na straně 244.
219
220
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
configure advanced failover
Konfiguruje nastavení při selhání modulu Enforcer.
configure advanced legacy
Povolí nebo zakáže agenty starší verze.
configure advanced legacy-uid
Umožní zadat IUD starší verze. (Pouze u modulu Enforcer pro bránu nebo server DHCP)
configure advanced local-auth
Povolí nebi zakáže ověřování klientů zařízením Enforcer.
configure advanced re-initialize
Přepne na jiný typ modulu Enforcer.
Viz „Advanced failover“ na straně 244.
Viz „Advanced legacy“ na straně 245.
Viz „Advanced legacy-uid“ na straně 246.
Viz „Advanced Radius“ na straně 246.
Tato možnost není dostupná, pokud jste přihlášení k relaci SSH. Viz „Příkaz advanced re-initialize“ na straně 247.
configure advanced radius
Povolí nebo zakáže podporu účetního proxy serveru Radius. (Pouze zařízení LAN Enforcer)
configure advanced snacs
Nastavit IP skeneru SNAC, port a předem sdílený tajný klíč (pouze zařízení Gateway a DHCP Enforcer). Používejte tento příkaz k opětovnému povolení skeneru SNAC, byl-li zakázán.
Viz „Advanced Radius“ na straně 246.
Viz „Advanced Symantec Network Access Control Server Scanner“ na straně 247. configure advanced user-class
Povolí nebo zakáže třídu uživatelů. (Pouze zařízení DHCP Enforcer)
configure dns
Přidá nebo odstraní záznam DNS.
Viz „Advanced user-class“ na straně 248.
Viz „Configure DNS“ na straně 249. configure interface
Konfiguruje adresu IP rozhraní sítě a masku sítě. Viz „Configure interface“ na straně 250.
configure interface-role Slouží k zadání interního a externího rozhraní sítě. (Pouze u modulu Enforcer pro bránu nebo server DHCP) Viz „Configure interface-role“ na straně 251. configure ntp
Komunikace mezi zařízením Enforcer a aplikací Network Time Server s IP adresou, názvem domény nebo webovou adresou. Také povolí nebo zakáže synchronizaci času mezi serverem Network Time Server a zařízením Enforcer. Viz „Příkaz Configure NTP“ na straně 252.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
configure redirect
Určuje adresu URL přesměrování protokolu HTTP, není-li nainstalován klient na počítači. Viz „Configure redirect“ na straně 252.
configure route
Konfiguruje nastavení trasy. Viz „Configure route“ na straně 253.
configure show
Zobrazí aktuální konfiguraci jednotlivých příkazů ve skupině příkazů configure. Není-li zadán žádný argument, zobrazí se všechna nastavení. Viz „Configure show“ na straně 253.
configure spm
Konfiguruje připojení aplikace Symantec Endpoint Protection Manager. Pokud změníte jeden argument, je třeba změnit všechny, nebo bude pro argumenty, které jste nezměnili, použito výchozí nastavení. Viz „Configure SPM“ na straně 254.
console
Poskytuje přístup ke konfiguračním příkazům konzoly. Viz „Příkazy console“ na straně 255.
console baud-rate
Nastavuje modulační rychlost. Viz „Console baud-rate“ na straně 255.
console ssh
Povoluje nebo zakazuje vzdálené přihlášení SSH. Viz „Příkaz console SSH“ na straně 255.
console sshkey
Nastaví a odstraní veřejný klíč pro vzdálené přihlášení protokolem ssh bez hesla. Viz „Příkaz console SSHKEY“ na straně 255.
console show
Zobrazuje nastavení konfigurace pro konzolu v zařízení Enforcer. Viz „Console show“ na straně 256.
date
Nastavuje datum, čas a časovou zónu. Viz „Date“ na straně 233.
debug
Otevřít příkazy k ladění modulu Enforcer. Viz „Příkazy debug“ na straně 256.
debug destination
Nastavuje cílové umístění ladění (paměť, disk, oboje). Viz „Debug destination“ na straně 256.
debug level
Nastavuje úroveň informací ladění. Viz „Debug level“ na straně 257.
221
222
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
debug show
Zobrazuje nastavení konfigurace pro ladění. Viz „Debug show“ na straně 257.
debug upload
Pošle soubor nebo soubory do jiného počítače pomocí protokolu trusted file transfer (tftp). Viz „Příkaz debug upload“ na straně 258.
exit
Odhlásí vás od konzoly v zařízení Enforcer při použití příkazu na nejvyšší úrovni, jinak příkaz ukončí skupinu příkazů. Viz „Exit“ na straně 234.
help
Zobrazí nápovědu k příkazu Viz „Help“ na straně 234.
hostname
Určuje hostitelský název zařízení Enforcer Viz „Hostname“ na straně 235.
mab
Poskytuje přístup k příkazům v zařízení LAN Enforcer, které umožňují implementaci aplikace AC Authentication Bypass (MAB) ve vyhrazených přepínačích přizpůsobených protokolu 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení LAN Enforcer jako superuser. Viz „Příkazy MAB“ na straně 258.
mab database
Poskytuje přístup ke všem příkazům pro přidání a správu místních databázových položek MAB v zařízení LAN Enforcer. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení LAN Enforcer jako superuser.
monitor
Poskytuje přístup k příkazům sledování modulu Enforcer. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Příkazy Monitor“ na straně 262.
monitor refresh
Aktualizuje informace o adrese IP, názvu hostitele, ID zásad a adrese MAC klienta. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Příkaz monitor refresh“ na straně 263.
monitor show
Zobrazí informace o blokovaných hostitelích, připojených hostech a připojených uživatelích. Viz „Příkaz monitor show“ na straně 263.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
monitor show blocked-hosts
■
Zobrazí informace o názvu hostitele u blokovaných hostitelů a ID zásady. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. ■ Zobrazuje informace o názvu hostitele, ID zásady a adrese MAC blokovaného hostitele. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Monitor show blocked-hosts“ na straně 263.
monitor show connected-guests
Zobrazuje informace o IP adrese připojeného hosta nebo klienta On-Demand, názvu hostitele a ID zásady. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. ■ Zobrazuje informace o IP adrese, názvu hostitele, ID zásady a adrese MAC připojeného hosta nebo klienta On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. ■
Viz „Monitor show connected-guests“ na straně 264. monitor show connected-users
Zobrazuje informace o adrese IP, názvu hostitele, uživatelském jménu a ID zásady připojeného uživatele nebo spravovaného klienta. Připojený uživatel nebo spravovaný klient podporuje klientský software Symantec Endpoint Protection a Symantec Network Access Control. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. ■ Zobrazuje informace o IP adrese, názvu hostitele, ID zásady a adrese MAC připojeného uživatele nebo spravovaného klienta. Připojený uživatel nebo spravovaný klient podporuje klientský software Symantec Endpoint Protection client software and Symantec Network Access Control. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. ■
Viz „Monitor show connected-users“ na straně 266. on-demand Umožňuje odstranit stávající uživatelský účet z místní databáze. authentication local-db Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway delete nebo DHCP Enforcer jako superuser. on-demand Umožňuje odstranit všechny uživatelské účty z místní databáze. authentication local-db Poznámka: Pokud používáte ověřování local-db, musíte zachovat alespoň jeden uživatelský clear účet. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser.
223
224
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand disable
Zakáže automatické stahování klientů Symantec Network Access Control On-Demand nebo klientů hostů na konzole zařízení Gateway nebo DHCP Enforcer. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Zakázání klientů Symantec Network Access Control On-Demand na klientských počítačích“ na straně 200.
on-demand enable
Povolí automatické stahování klientů Symantec Network Access Control On-Demand nebo klientů hostů na konzole zařízení Gateway nebo DHCP Enforcer. V opačném případě se instalace nezdaří. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199. Viz „Příkazy On-Demand authentication local-db“ na straně 272.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand authentication disable
Umožňuje zastavit proces ověřování – auth-daemon – v konzole zařízení Gateway nebo DHCP pro klienta aplikace Symantec Network Access Control On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz Proces ověřování – auth-daemon – můžete zastavit v konzole zařízení Gateway nebo DHCP pro klienta aplikace Symantec Network Access Control On-Demand. Příkaz on-demand authentication disable používá následující syntax: on-demand authentication disable Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Následující příklad popisuje, jak zakázat ověřování klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication disable na straně 272.
on-demand authentication enable
Umožňuje spustit proces ověřování – auth-daemon – v konzole zařízení Gateway nebo DHCP pro klienta aplikace Symantec Network Access Control On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz on-demand authentication enable“ na straně 272.
on-demand authentication ad disable
Zakáže ověřování klientského počítače Symantec Network Access Control On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz on-demand authentication ad disable“ na straně 270.
225
226
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand authentication ad domain
Konfiguruje komunikaci mezi zařízením Enforcer a aktivními adresáři pro ověřování klientského počítače On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-demand authentication ad domain“ na straně 271.
on-demand authentication ad enable
Povolí ověřování klientského počítače On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz on-demand authentication ad enable“ na straně 271.
on-demand Poskytuje přístup k příkazům ověřování on-demand local-db. authentication local-db Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkazy On-Demand authentication local-db“ na straně 272. on-demand Umožňuje nastavit přihlašovací jméno a heslo v konzole zařízení Gateway nebo DHCP pro authentication local-db koncového uživatele, který chce automaticky stáhnout klient aplikace Symantec Network add Access Control On-Demand na klientský počítač. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand Umožňuje zakázat konfiguraci ověřování počítače klienta On-Demand podle místní authentication local-db databáze. disable Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand Umožňuje povolit konfiguraci ověřování počítače klienta On-Demand podle místní databáze. authentication local-db Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway enable nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand authentication show
Umožňuje zobrazit nastavení ověřování pro relaci počítače klienta On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand banner
Umožňuje upravit výchozí banner na uvítací stránce klientů Symantec Network Access Control On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Úprava banneru na uvítací stránce“ na straně 205. Viz „Příkaz on-Demand banner“ na straně 275.
on-demand spm-domain
Umožňuje konfigurovat ID domény na konzole zařízení Gateway nebo DHCP Enforcer. V opačném případě se instalace klienta On-Demand nezdaří. Viz „Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199. Po připojení pomocí aplikace Symantec Endpoint Protection Manager se v zařízení Enforcer zobrazí ID domény. Jak vyhledat ID domény se dozvíte v příručce Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-Demand spm-domain“ na straně 286.
on-demand dot1x
Umožňuje povolit vaši konfiguraci ověřování relací klienta On-Demand pomocí řízení přístupu k síti založenému na portech s protokolem 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand dot1x default-user
Umožňuje povolit anonymní ověřování relací klienta On-Demand pomocí řízení přístupu k síti založenému na portech s protokolem 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
227
228
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand dot1x certificate
Umožňuje konfigurovat kořenový a uživatelský certifikát pro ověřování pomocí protokolu 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkazy On-Demand dot1x certificate“ na straně 276.
on-demand dot1x certificate import
Umožňuje importovat certifikát pro ověřování pomocí protokolu 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „On-Demand dot1x certificate import“ na straně 277.
on-demand dot1x certificate remove
Umožňuje odstranit certifikát pro ověřování pomocí protokolu 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-Demand dot1x certificate remove“ na straně 278.
on-demand dot1x peap Umožňuje konfigurovat protokol 802.1x Protected Extensible Authentication Protocol (PEAP) pro ověřování klienta On-Demand v chráněné síti. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-Demand dot1x peap“ na straně 279. on-demand dot1x peap Umožňuje povolit ověřování certifikátu serveru 802.1x Protected Extensible Authentication validate-svr enable Protocol pro přístup klienta On-Demand do chráněné sítě. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-Demand dot1x peap cert-svr“ na straně 280.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand dot1x peap Umožňuje zakázat ověřování certifikátu serveru 802.1x Protected Extensible Authentication validate-svr disable Protocol pro přístup klienta On-Demand do chráněné sítě. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-Demand dot1x peap cert-svr“ na straně 280. on-demand dot1x peap Umožňuje konfiguraci certifikátu kořenového serveru 802.1x Protected Extensible cert-svr Authentication Protocol (PEAP) a uživatelského certifikátu pro přístup klienta On-Demand do chráněné sítě. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand dot1x peap Umožňuje povolit rychlé opětovné připojení 802.1x Protected Extensible Authentication fast-reconn enable Protocol (PEAP) k certifikátu kořenového serveru pro přístup klienta On-Demand do chráněné sítě. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand dot1x peap Umožňuje zakázat rychlé opětovné připojení 802.1x Protected Extensible Authentication fast-reconn disable Protocol (PEAP) k certifikátu kořenového serveru pro přístup klienta On-Demand do chráněné sítě. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand dot1x peap Umožňuje zobrazení nastavení konfigurace pro ověřování protokolu 802.1x Protected show Extensible Authentication Protocol (PEAP) pro klienta On-Demand Client k potvrzení, zda je aktivní protokol PEAP. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand dot1x peap Umožňuje ukončit v rozhraní příkazového řádku hierarchii konfigurace protokolu 802.1x exit Protected Extensible Authentication Protocol (PEAP). Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
229
230
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand dot1x protocol
Umožňuje konfigurovat protokol 802.1x Protected Extensible Authentication Protocol (PEAP) (PEAP) pro přístup klienta On-Demand do chráněné sítě jako PEAP nebo TLS. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand dot1x show Umožňuje zobrazení konfigurace protokolu 802.1x Protected Extensible Authentication Protocol (PEAP) na rozhraní příkazového řádku pro klienta On-Demand a potvrzení, zda je nakonfigurován protokol PEAP nebo TLS. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand dot1x tls
Umožňuje zahájit konfigurační režim protokolu 802.1x zabezpečení transportní vrstvy (TLS). Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand dot1x tls validate-svr enable
Umožňuje povolit validaci kořenového serverového certifikátu pro konfiguraci protokolu 802.1x zabezpečení transportní vrstvy (TLS). Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Příkaz On-Demand dot1x peap cert-svr“ na straně 280.
on-demand dot1x tls validate-svr disable
Umožňuje zakázat validaci kořenového serverového certifikátu pro konfiguraci protokolu 802.1x zabezpečení transportní vrstvy (TLS). Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand dot1x tls cert-svr enable
Umožňuje konfigurovat kořenový certifikát serveru pro protokol 802.1x zabezpečení transportní vrstvy (TLS) k ověřování klientů On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand dot1x tls cert-svr disable
Zakáže server certifikátu TLS.
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand dot1x tls cert-svr host
Nastaví název hostitele serveru certifikátu TLS.
on-demand dot1x tls show
Umožňuje zobrazit konfigurační nastavení protokolu 802.1x zabezpečení transportní vrstvy (TLS) k ověřování klientů On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand dot1x tls exit
Umožňuje ukončit režim rozhraní příkazového řádku pro konfiguraci protokolu 802.1x TLS. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand client-group Umožňuje konfigurovat preferovanou skupinu v konzole zařízení Gateway nebo DHCP Enforcer a v konzole aplikace Symantec Endpoint Protection Manager. V opačném případě se instalace nezdaří. Není sice povinné zakládat samostatnou skupinu pro klienty Symantec Network Access Control On-Demand clients, je to však doporučováno. Pokud nezaložíte samostatnou skupinu, všichni klienti Symantec Network Access Control On-Demand se automaticky stanou členy výchozí skupiny v konzole aplikace Symantec Endpoint Protection Manager. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Viz „Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199. Viz „Příkaz On-Demand client-group“ na straně 275. Postup založení skupiny pro klienty nebo klienty hostů naleznete v příručce Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. on-demand mac-compliance
Umožňuje konfigurovat klienta Symantec Network Access Control On-Demand na platformě Macintosh, aby koncový uživatel nemohl instalovat neověřené programy a soubory. Viz „Příkazy On-Demand mac-compliance“ na straně 287. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser.
231
232
Odkaz na rozhraní příkazového řádku modulu Enforcer CLI modulu Enforcer v abecedním pořadí
Příkaz
Popis
on-demand Umožňuje konfigurovat možnosti integrity hostitele pro platformu Macintosh klienta mac-compliance enable On-Demand. Viz „Příkazy On-Demand mac-compliance“ na straně 287. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand Umožňuje zakázat konfiguraci integrity hostitele pro platformu Macintosh klienta mac-compliance disable On-Demand. Viz „Příkazy On-Demand mac-compliance“ na straně 287. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand mac-compliance show
Umožňuje konfigurovat seznam možností integrity hostitele pro platformu Macintosh klienta On-Demand. Viz „Příkazy On-Demand mac-compliance“ na straně 287. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
on-demand mac-compliance interval
Umožňuje nastavit interval ověřování souladu (v minutách) pro klienta aplikace Symantec Network Access Control On-Demand.
password
Změní heslo k přihlášení do modulu Enforcer. Viz „Heslo“ na straně 235.
ping
Odešle echo ICMP do vzdáleného hostitele. Viz „Ping“ na straně 235.
reboot
Restartuje modul Enforcer. Viz „Reboot“ na straně 236.
show
Zobrazí konfiguraci a informace o stavu modulu Enforcer. Viz „Show“ na straně 237.
shutdown
Vypne zařízení Enforcer. Viz „Shutdown“ na straně 236.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy nejvyšší úrovně
Příkaz
Popis
snmp
Podpora protokolu SNMP.
snmp disable
Zakáže protokol SNMP.
snmp enable
Povolí protokol SNMP.
snmp heartbeat
Nastaví prezenční signál pro protokol SNMP.
snmp receiver
Nastavení aplikace SNMP receiver.
snmp show
Zobrazí konfiguraci a stav protokolu SNMP.
snmp trap
Nastavení hodnoty opakování a časového limitu pro protokol SNMP.
start
Zapne službu zařízení Enforcer. Viz „Start“ na straně 238.
stop
Vypne službu zařízení Enforcer. Viz „Stop“ na straně 238.
traceroute
Vytiskne cestu, kterou se pakety dostávají do síťového hostitele. Viz „Traceroute“ na straně 238.
update
Aktualizuje software modulu Enforcer. Viz „Update“ na straně 238.
Příkazy nejvyšší úrovně Příkazy nejvyšší úrovně jsou dostupné v rozhraní příkazového řádku aplikace Enforcer. Jedná se o všeobecné příkazy správy. Některé příkazy, jako jsou clear, exit, help a show, jsou dostupné ze všech úrovní hierarchie.
Clear Příkaz clear odstraní obsah obrazovky. Zde je příklad syntaxe: Enforcer# clear
Date Příkaz date nastavuje systémový čas a časové pásmo zařízení.
233
234
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy nejvyšší úrovně
Zde je příklad syntaxe: date {day <MM/DD/RR> | time
|timezone}
Exit Zavře konzolu při použití jako hlavního příkazu nebo zavře skupinu příkazů při použití v této skupině. Místo příkazu exit můžete také použít klávesovou zkratku CTRL+D. Zde je příklad syntaxe: Enforcer# exit
Help Příkaz help zobrazuje nápovědu k zadanému příkazu. Chcete-li zobrazit nápovědu ke všem dostupným příkazům, napište otazník (?) nebo stiskněte Tab. Poznámka: Několik příkazů je specifických pro zařízení Gateway Enforcer nebo pro zařízení DHCP Enforcer. Tyto příkazy se nezobrazují v jiných typech zařízeních Enforcer. Níže je uvedena syntax hlavní skupiny příkazů: help {capture | clear | configure | console | date | debug | exit | hostname| mab | monitor| on-demand | password | ping | reboot | show | shutdown | start | stop | traceroute | update | snmp}
Použijete-li příkaz help ve skupině příkazů, zobrazí se nápověda pro jednotlivé příkazy v této skupině. Chcete-li zobrazit nápovědu ke všem příkazům ve skupině, napište otazník (?) nebo stiskněte Tab. Níže je uvedena syntax skupiny příkazů Capture: help {clear | compress | exit | filter | show | start | verbose | ymodem | upload}
Níže je uvedena syntax skupiny příkazů Configure: help {advanced | clear | dns | exit | interface | interface-role | route | show | spm | redirect | ntp}
Níže je uvedena syntax skupiny příkazů Configure Advanced:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy nejvyšší úrovně
help {catos | check-uid | clear | dnsspoofing | exit | failover | legacy | legacy-uid | local-auth | snacs | user-class | show | trunking}
Níže je uvedena syntax skupiny příkazů Console: help {baud-rate | clear | dimensions | exit | re-initialize | serial-port | show | ssh | sshkey}
Níže je uvedena syntax skupiny příkazů Debug: help {clear | compress | destination | exit | level | show |ymodem | upload}
Hostname Příkaz hostname mění název hostitele zařízení Enforcer. Výchozí název hostitele je Enforcer. Pokud změníte název zařízení Enforcer, můžete rozlišovat mezi více zařízeními v aplikaci Symantec Endpoint Protection Manager a v protokolech modulu Enforcer. Název hostitele se automaticky zaregistruje v aplikaci Symantec Endpoint Protection Manager při následujícím prezenčním signálu. Když změníte název hostitele zařízení Enforcer, možná bude zapotřebí změnit také záznam na serveru DNS. Zde je příklad syntaxe příkazu hostname: hostname název hostitele
Heslo Příkaz password mění heslo účtu. Předtím, než zadáte a potvrdíte nové heslo, musíte potvrdit stávající heslo. Nové heslo musí obsahovat jedno malé písmeno, jedno velké písmeno, jednu číslici a jeden symbol. Zde je příklad syntaxe příkazu password: password
Ping Příkaz ping ověřuje připojení ke vzdálenému hostiteli, který je určen pomocí adresy IP nebo názvu hostitele. Příkaz využívá žádosti o odezvu ICMP a pakety
235
236
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy nejvyšší úrovně
odpovědi odezvy k určení, zda je konkrétní systém IP v síti funkční. Příkaz ping můžete použít k diagnostice selhání sítě IP nebo směrovače. Příkaz ping umožňuje ověřit, zda může zařízení Enforcer komunikovat s aplikací Symantec Endpoint Protection Manager. Níže je uvedena syntax příkazu ping: ping adresa_IP | název hostitele
Příklad ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=0.585 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.149 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.131 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.128 ms --- 192.168.0.1 ping statistics --4 packets transmitted, 4 received, 0% packet loss, time 57ms rtt min/avg/max/mdev = 0.128/0.248/0.585/0.194 ms, pipe 2, ipg/ewma 19.043/0.436 ms
Reboot Příkaz reboot restartuje zařízení Enforcer. Níže je uvedena syntax příkazu reboot: reboot
Shutdown Příkaz shutdown vypne zařízení Enforcer. Níže je uvedena syntax příkazu shutdown: shutdown
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy nejvyšší úrovně
Show Příkaz show zobrazí informace o konfiguraci nebo stavu zařízení Enforcer. Níže je uveden příklad syntaxe příkazu show: show { capture | configure | console | date | debug | hostname| status | update | version }
kde: capture
Zobrazí nastavení zachytávání paketů, jako například protokol, filtry a kompresi
configure
Zobrazí síť Enforcer a konfiguraci Symantec Endpoint Protection Manager
console
Zobrazí konfiguraci konzoly
status
Zobrazí podrobný stav služby zařízení Enforcer
update
Zobrazí aktualizaci dostupnou k instalaci ze serveru tftp, jednotky CD-ROM nebo jednotky USB
version
Zobrazí verzi zařízení Enforcer a informace o autorských právech
date
Zobrazí místní čas a čas UTC
debug
Zobrazí konfiguraci ladění zařízení Enforcer
hostname
Zobrazí název hostitele zařízení
Níže je uveden příklad výstupu pomocí příkazu show status: show status Enforcer Status: ONLINE(ACTIVE) Policy Manager Connected: NO Policy Manager: 192.168.0.64 HTTP 80 Packets Received: 26 Packets Transmitted: 1 Packets Rx. Failed: 0 Packets Tx. Failed: 0 Enforcer Health: EXCELLENT Enforcer Uptime: 0 days 00:00:28 Policy ID:
Níže je uveden příklad výstupu pomocí příkazu show version v zařízení DHCP Enforcer:
237
238
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy nejvyšší úrovně
show version Symantec Network Access Control Enforcer 6100 Series - v11.0.1 build XXXX, 2007-11-29,19:09 DHCP Enforcer mode
Start Příkaz start spouští službu zařízení Enforcer. Níže je uvedena syntax příkazu start: Enforcer# start
Stop Příkaz stop zastavuje službu zařízení Enforcer. Níže je uvedena syntax příkazu stop: Enforcer# stop
Traceroute Příkaz traceroute sleduje trasu, kterou musí pakety projít při cestě ke vzdálenému hostiteli. Vzdálený hostitel je určen adresou IP nebo názvem hostitele. Níže je uveden příklad syntaxe příkazu traceroute: traceroute [ adresa_IP | název hostitele ]
Příklad traceroute 10.50.0.180 traceroute to 10.50.0.180 (10.50.0.180), 30 hops max, 38-byte packets 1 192.168.0.1 (192.168.0.1) 0.391 ms 0.132 ms 0.111 ms 2 10.50.2.1 (10.50.2.1) 0.838 ms 0.596 ms 0.589 ms 3 oldserver1.sygate.dev (10.50.0.180) 1.170 ms 0.363 ms 0.469 ms
Update Příkaz update aktualizuje softwarový balíček zařízení Enforcer ze serveru tftp, pevného disku USB nebo disku CD-ROM.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Capture
Níže je uvedena syntax příkazu update: Enforcer:# update
Příkazy Capture Příkazy ve skupině příkazů capture zařízení Enforcer umožňují zachycovat pakety na síťových kartách zařízení Enforcer. Pakety jsou ukládány do souboru. Další příkazy umožňují odesílání souboru v normálním nebo komprimovaném formátu ke klientovi pomocí různých protokolů přenosu souborů (tftp). Zařízení Enforcer musí být připojeno ke klientovi pomocí dodaného sériového kabelu. Vyjmenovány a popsány jsou všechny příkazy v této skupině kromě příkazů capture exit a capture help. Příkaz capture exit zavře skupinu příkazů. Příkaz capture help zobrazuje nápovědu ke všem příkazům v této skupině.
Capture Compress Příkaz capture compress slouží ke komprimaci souboru Příkaz capture compress používá následující syntax: compress {on | off}
kde: on
Umožňuje komprimace.
off
Zakáže komprimace.
Následující příklad popisuje syntax příkazu compress on v konzole zařízení Enforcer: Enforcer# capture Enforcer(capture)# compress on
Capture Filter Příkaz capture filter nastavuje filtr, jenž určuje, které pakety budou zachytávány. Příkaz capture filter používá následující syntax: filter [auth] [spm] [failover] [all] [client rozsah_adres_IP]
kde:
239
240
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Capture
Enforcer: auth
Zachytává ověřovací pakety, které jsou odesílány mezi klientem, zařízením Enforcer a aplikací Symantec Endpoint Protection Manager Výchozí argument je auth.
spm
Zachytává komunikační pakety mezi Symantec Endpoint Protection Manager a zařízením Enforcer; zachytává profil Enforcer stažením z aplikace Symantec Endpoint Protection Manager a zaznamenává nahrávání paketů
failover
Zachycuje pakety zotavení aplikace Enforcer (jsou pravidelně odesílány, aby byla vyhledávána další aplikace Enforcer v síti). Zotavení není dostupné, je-li nainstalována karta failopen.
all
Zachytává všechny určené pakety
client rozsah_adres_IP
Tato možnost je dostupná pouze u brány a zařízení DHCP Enforcers. Nastavuje rozsah adres IP klienta pro zachytávání ověřovacích paketů na bráně a zařízení LAN Enforcer. ip-range může být kombinací adres IP, rozsahů adres IP a podsítí/masky. Argumenty jsou oddělené čárkami bez mezer. Formátovat můžete takto: ■
Adresa IP je formátována způsobem nnn.nnn.nnn.nnn
Rozsah adres IP je formátován způsobem nnn.nnn.nnn.nnn-nnn.nnn.nnn.nnn ■ Podsíť/maska je formátována způsobem nnn.nnn.nnn.nnn/nnn.nnn.nnn.nnn ■
V následujícím příkazu je popsána syntax příkazu capture filter: Enforcer# capture filter auth client 192.168.0.1,192.168.0.10-192.168.0.100,192.168.1.1/255.255.255.0
Tento příkaz filtruje všechny ověřovací pakety pro klienty s adresou IP 192.168.0.1, Filtruje klienty, jejichž adresa IP je v rozmezí 192.168.0.10 až 192.168.0.100 a klienty v podsíti 192.168.1.1 s maskou sítě 255.255.255.0.
Capture Show Příkaz capture show zobrazuje konfiguraci zachytávání a seznam zachytávaných souborů. Příkaz capture show používá následující syntax:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Capture
show {compress | files | filter | verbose | ymodem}
kde: compress
Zobrazuje, zda je komprese souborů zapnuta nebo vypnuta
files
Zobrazuje všechny zachycené soubory ve složce zachycených souborů zařízení Enforcer
filter
Zobrazuje aktuální konfiguraci filtru
verbose
Zobrazuje aktuální konfiguraci podrobností
ymodem
Zobrazuje nastavení možností protokolu Ymodem
Příklad: capture show Capture Filter: auth Client IP Range: Capture Verbose is ON. Compress capture files before sending is ON. YMODEM protocol option is YMODEM-g.
Capture start Příkaz capture start spouští zachytávání paketů. Chcete-li je zastavit, stiskněte klávesu ESC Příkaz capture start používá následující syntax: capture [start]
Příklad Enforcer# capture Enforcer(capture)# start
Captured packets are saved to /opt/GatewayEnforcer/bin/../capture/ Dec-07-200 5-12-24-23.cap. Press ESC to stop capture... 0 0.000000 192.168.0.25 -> 192.168.0.211 UDP Heartbeat Ver 5.1.1915
241
242
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Capture
Start Session to Agent. SEQ: 0f495cd8. 1 0.000000 192.168.0.25 -> 192.168.0.64 UDP RADIUS Access Request. ID 64 192.168.0.211 Query Status 2 0.000000 192.168.0.211 -> 192.168.0.25 UDP Heartbeat Ver 5.0.0 Keep Alive to Enforcer. SEQ: 0f495cd8. HI Disabled. Profile 85E0-10/20/2005 11:30:00 812. Host Integrity check is disabled. Host Integrity policy is disabled by administrator. 3 0.000000 192.168.0.64 -> 192.168.0.25 UDP RADIUS Access Accept. ID 64 192.168.0.211 Profile 85E0-10/20/2005 11:30:00 812 4 packets were captured. Captured packets were saved to /opt/GatewayEnforcer/bin/../capture/ Mar-07-2006-1 2-24-23.cap.
Capture upload Příkaz capture upload využívá protokolu tftp k odesílání souboru nebo souborů. Příkaz capture upload používá tuto syntax: capture upload {název souboru tftp://nnn.nnn.nnn.nnn}
Příklad: Enforcer# capture Enforcer(capture)# upload test.tar.gz tftp://10.200.38.221
Capture Verbose Příkaz capture verbose povoluje nebo zakazuje zobrazení podrobností paketu, pokud dojde k jeho zachycení. Příkaz capture verbose používá následující syntax: verbose {on | off}
kde:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
on
Zobrazuje podrobnosti paketu
off
Nezobrazuje podrobnosti paketu
Příkazy Configure Příkazy ve skupině configure v rozhraní příkazového řádku zařízení Enforcer umožňují zobrazovat a konfigurovat nastavení síťového rozhraní a připojení k aplikaci Symantec Endpoint Protection Manager. Vyjmenovány a popsány jsou všechny příkazy v této skupině kromě příkazů exit a help. Příkaz exit zavře skupinu příkazů. Příkaz help zobrazuje nápovědu k jednotlivým příkazům v této skupině. Skupina příkazů configure obsahuje příkaz advanced, který umožňuje přístup k množství pokročilých možností konfigurace. Viz „Příkazy configure advanced“ na straně 243.
Příkazy configure advanced Příkazy rozhraní příkazového řádku zařízení Enforcer ze skupiny advanced jsou součástí skupiny příkazů configure. Umožňují nakonfigurovat pokročilá nastavení konfigurace zařízení Enforcer. Vyjmenovány a popsány jsou všechny příkazy v této skupině kromě příkazů exit a help. Příkaz exit zavře skupinu příkazů. Příkaz help zobrazuje nápovědu k jednotlivým příkazům v této skupině.
Příkaz advanced CATOS Příkaz advanced CATOS zapíná nebo vypíná podporu pro systém Cisco CATOS . Příkaz advanced catos používá tuto syntax (zařízení LAN Enforcer): advanced catos {enable | disable}
Advanced check-uid Příkaz advanced check-uid zapíná nebo vypíná kontrolu identifikátorů uživatelů pro zastaralé agenty. Příkaz advanced catos používá tuto syntax (zařízení Gateway a DHCP Enforcer): advanced check-uid {enable | disable}
243
244
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Advanced DNS spoofing Příkaz advanced DNSspoofing slouží ke konfiguraci adresy IP pro falšování DNS a zapíná či vypíná falšování v zařízení DHCP Enforcer. Při vypnutí falšování v zařízení DHCP Enforcer se adresa IP odstraní. Příkaz advanced dnsspoofing používá tuto syntax (zařízení DHCP Enforcer): advanced dnsspoofing {enable [IP] adresa ip | disable}
Advanced failover Příkaz advanced failover zapíná nebo vypíná zotavení po selhání zařízení Enforcer a konfiguruje port pro zotavení a úroveň citlivosti. Tento příkaz není k dispozici, je-li zapnuta funkce Failopen. Příkaz advanced failover používá následující syntax (zařízení Gateway nebo zařízení DHCP Enforcer): advanced failover disable | {enable [port <číslo_portu>] [sensitive <úroveň_citlivosti>]}
kde: disable
Vypne zotavení po selhání zařízení Enforcer
enable
Zapne zotavení po selhání zařízení Enforcer Výchozí nastavení je zapnuto.
port číslo_portu
Udává číslo portu pro zotavení zařízení Enforcer v rozmezí 1 až 65535
sensitive úroveň_citlivosti
Udává úroveň citlivosti pro zotavení zařízení Enforcer v rozmezí od 0 do 4, která určuje, jak často se má kontrolovat přítomnost jiných zařízení Enforcer
Výchozí konfigurace zařízení Gateway a DHCP Enforcer je následující: ■
Zotavení je zapnuto.
■
Port UDP používaný zařízeními Enforcer pro vzájemnou komunikaci při zotavování je 39999.
■
Výchozí úroveň citlivosti pro zotavení je Vysoká (méně než 5 sekund). Toto nastavení určuje, jak rychle se v případě zjištění neaktivního primárního zařízení Enforcer stane záložní zařízení primárním. Čím je nastavena vyšší úroveň, tím kratší je prodleva před aktivací záložního zařízení Enforcer. Tím se současně zvýší režie síťového provozu i zpracování procesorem. K dispozici jsou tyto úrovně:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Velmi vysoká (0)
Méně než 2 sekundy
Vysoká (1)
Méně než 5 sekund
Střední (2)
Méně než 10 sekund
Nízká (3)
Méně než 15 sekund
Velmi nízká (4)
Méně než 30 sekund
Advanced legacy Příkaz advanced legacy zapíná nebo vypíná podporu pro zastaralé agenty. Standardně je podpora zastaralých agentů zapnutá. Zastaralí agenti jsou agenti se softwarem Sygate Security Agent ve verzi nižší než 5.x. U zařízení LAN Enforcer je zastaralý agent takový Sygate Security Agent, který používá verzi 4.1 a pozdější. Zastaralý agent je takový Sygate Security Agent, který používá verzi 3.5 nebo 4.x a neobsahuje verze 2.x, 3.0 a 3.1. Poznámka: Podpora pro zastaralé agenty platí pouze pro DHCP nebo zařízení Gateway Enforcer. Příkaz advanced legacy používá následující syntax: advanced legacy {allow | block}
kde: allow
Povoluje zastaralé agenty Výchozí nastavení je povoleno.
block
Zablokování zastaralých agentů
Zařízení Enforcer můžete použít na serverech, na kterých jsou dřívější (zastaralé) verze agentů. Pokud povolíte zastaralé agenty, zařízení Enforcer zkontroluje, zda je spuštěn zastaralý agent, a ověří výsledky kontroly integrity hostitele. Pokud agent projde kontrolou integrity hostitele, může se připojit do sítě. U zastaralých agentů zařízení Enforcer neověřuje platnost agenta pomocí jeho identifikátoru. Dále neověřuje ani sériové číslo jeho profilu pro potvrzení, že jeho zásady jsou aktuální.
245
246
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Advanced legacy-uid Příkaz advanced legacy-uid určuje identifikátor GUID zastaralého klienta. Příkaz advanced legacy-uid používá tuto syntax (zařízení Gateway a DHCP Enforcer): advanced legacy-uid uid-string
Advanced local-auth Příkaz advanced local-auth zapíná nebo vypíná ověřování klientů v zařízení Enforcer. Tento příkaz použijte při řešení potíží. Ve výchozím nastavení je ověřování klientů zakázáno. Příkaz advanced local-auth používá následující syntax: advanced local-auth {disable | enable}
kde: enable
Ověřuje klienta v aplikaci Symantec Endpoint Protection Manager a v případě nefunkčního spojení s aplikací Symantec Endpoint Protection Manager klienta blokuje. Výchozí nastavení pro ověření klienta je zapnuto.
disable
Vypne ověřování klienta a provádí pouze ověření identity hostitele.
Standardně zařízení Gateway Enforcer ověřuje jedinečný identifikátor (UID) klienta v aplikaci Symantec Endpoint Protection Manager. Pokud se zařízení Gateway Enforcer nedokáže kvůli ověření identifikátoru s aplikací Symantec Endpoint Protection Manager spojit, klienta zablokuje. Přestože se to jako krok při řešení potíží nedoporučuje, můžete zařízení Gateway Enforcer zastavit před ověřováním UID. Ve výchozím nastavení zařízení Gateway Enforcer ověřuje UID. Zařízení Gateway Enforcer namísto toho provede pouze ověření identity hostitele. Pokud chcete, aby zařízení Gateway Enforcer identifikátor ověřovalo, ověřte, že je tato volba znovu zapnuta.
Advanced Radius Příkaz advanced Radius konfiguruje a zapíná či vypíná podporu serveru proxy pro účtování RADIUS. Příkaz advanced radius používá tuto syntax (zařízení LAN Enforcer):
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
advanced radius acc_proxy {enable | disable} | acc_port <1811-1813>
Následující příklad popisuje syntax příkazu advanced radius (zařízení LAN Enforcer): Enforcer(advanced)# radius proxy {enable | disable}
Příkaz advanced re-initialize Příkaz advanced re-initialize aktivuje přepnutí na jiné typy zařízení Enforcer tím, že provede novou inicializaci konfigurace zařízení Enforcer. Tento příkaz není dostupný, pokud jste přihlášení k relaci SSH. Příkaz advanced re-initialize používá tuto syntax: advanced re-initialize
Advanced Symantec Network Access Control Server Scanner Příkaz advanced snacs nastavuje adresu IP aplikace Symantec Network Access Control Scanner, číslo portu a předsdílený klíč. Tento příkaz můžete použít k opětovnému povolení aplikace Symantec Network Access Control Scanner, byla-li zakázán. Poznámka: Symantec Network Access Control Scanner nepodporuje připojení tiskárny k zařízení Symantec DHCP Enforcer. Tiskárny nepřijímají staticky definované trasy, které jsou konfigurované pro zařízení Symantec DHCP Enforcer. Proto aplikace Symantec Network Access Control Scanner nemůže komunikovat s tiskárnou připojenou k zařízení Symantec DHCP Enforcer. Příkaz advanced snacs používá tuto syntax (zařízení Gateway a DHCP Enforcer): snacs enable | disable | set [ip ] [port <1811-1813>] [key <řetězec>]
Následující příklad popisuje syntaxi příkazu advanced snacs (zařízení Gateway a DHCP Enforcer): Enforcer(advanced)# snacs disable disable snacs set ip set key
set ip adresa IP set key řetězec
247
248
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Advanced show Příkaz advanced show zobrazí nastavení konfigurace pokročilých příkazů zařízení Enforcer. Příkaz show používá následující syntax: show
Příklad: Enforcer# configure advanced show Failover Status: ENABLED Failover Port: 39999 Failover Sensitivity Level: 1 Legacy Client: ALLOW Local Authentication: ENABLED
Advanced user-class Příkaz advanced user-class v zařízení Enforcer povoluje či zakazuje identifikátor třídy uživatelů SYGATE_ENF. Příkaz advanced user_class používá následující syntax (zařízení DHCP Enforcer): advanced user_class {disable | enable}
kde: disable
Vypne identifikátor třídy uživatelů v zařízení Enforcer
enable
Vypne identifikátor třídy uživatelů v zařízení Enforcer
Pokud chcete používat jeden server DHCP současně jako normální a karanténní server, je třeba provést následující konfigurační kroky: ■
Po instalaci zařízení Enforcer příkazem advanced user_class povolte identifikátor třídy uživatelů. Poté, co povolíte identifikátor třídy uživatelů, zařízení Enforcer přidá do požadavku DHCP identifikátor třídy uživatelů SYGATE_ENF. Pro klienty, kteří vyžadují karanténní konfiguraci, bude zařízení Enforcer odesílat požadavek na server DHCP.
■
Do serveru DHCP přidejte třídu uživatelů SYGATE_ENF a server nakonfigurujte. Když poté server DHCP obdrží požadavek s identifikátorem třídy uživatelů SYGATE_ENF, dodá karanténní adresu IP a konfiguraci sítě.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Advanced trunking Příkaz advanced trunking konfiguruje funkci trunking. Příkaz advanced trunking používá následující syntaxi: advanced trunking enable | disable | chall-vlist | nat-vid |fail-vid | mgmt-vid
kde: chall-vlist
Zadání seznamu sítí VLAN, pro které má zařízení Gateway Enforcer provádět akce challenge. Formát: n[-n][,n[-n]]... n:<1-4096> např. 1,2,3-6,8,10-15
disable
Zakázání funkce trunking
enable
Povolení funkce trunking
fail-vid
Zadání, kde by zařízení Gateway Enforcer nemělo odesílat nebo přijímat data z těchto paketů zotavení
mgmt-vid
Zadání ID sítě VLAN správy
nat-vid
Zadání ID sítě VLAN těchto neoznačených paketů
Configure DNS Příkaz configure DNS přidává nebo odstraňuje záznam serveru DNS. Potřebujete-li například přidat záznam DNS, když chcete určit aplikaci Symantec Endpoint Protection Manager pomocí názvu hostitele. Příkaz configure DNS používá následující syntax: configure {add | delete}
kde: přidat
Umožňuje přidání IP adresy serveru DNS.
odstranění
Umožňuje odstranění IP adresy serveru DNS.
249
250
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Následující příklad popisuje, jak se přidává IP adresa serveru DNS v konzole zařízení Enforcer: Enforcer#: configure Enforcer(configure)# dns Enforcer(dns)# add 192.192.192.10
Configure interface Příkaz configure interface zapíná nebo vypíná kartu síťového rozhraní (NIC). Také konfiguruje adresu IP karty síťového rozhraní nebo konfiguruje kartu síťového rozhraní jako klienta DHCP. Příkaz configure interface používá následující syntax: configure interface up | down | failopen | set ip [netmask <maska_podsítě>]
kde: up název_karty_NIC
Název karty NIC ke spuštění, například eth0 nebo eth1. V názvech eth0 nebo eth1 se rozlišují velká a malá písmena.
down název_karty_NIC
Název karty NIC k ukončení, například eth0 nebo eth1. V názvech eth0 nebo eth1 se rozlišují velká a malá písmena.
failopen [enable | disable ]
Povolí nebo zakáže režim Bypass pro kartu Ethernet pro zotavení při selhání. Pokud selže zařízení Gateway Enforcer nakonfigurované jako brána, konfigurace povolí na zařízení Gateway stav Bypass.
set název_karty_NIC
Název karty síťového rozhraní (např. eth0 nebo eth1), která má být nakonfigurována jako klient DHCP. V názvu se rozlišují malá a velká písmena.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
set IP address adresa_IP netmask maska podsítě
set gateway adresa_IP
251
Název karty síťového rozhraní (eth0 nebo eth1, rozlišují se velká a malá písmena), pro kterou bude nakonfigurována stálá adresa IP a maska podsítě: ■
IP address adresa_IP – adresa IP karty NIC
■
netmask maska_podsítě– maska podsítě karty NIC
Název karty NIC, například eth0 nebo eth1, který můžete nakonfigurovat jako bránu, pokud chcete implementovat režim Bypass. V názvech eth0 nebo eth1 se rozlišují velká a malá písmena.
Příklad: configure interface set eth0 ip 10.0.0.1 netmask 255.0.0.0
Tímto příkazem se nastaví adresa IP karty eth0 na 10.0.0.1 s maskou podsítě 255.0.0.0. Nahraďte hodnotu adresy IP a masky podsítě hodnotami, které chcete používat. Je nutné nakonfigurovat druhou kartu NIC (eth1) pro zařízení Gateway a DHCP Enforcer.
Configure interface-role Příkaz configure interface-role určuje kartu NIC, která představuje interní kartu NIC. Můžete určit i externí kartu NIC (pouze zařízení Gateway Enforcer a zařízení DHCP Enforcer). Můžete také určit kartu NIC, která komunikuje s aplikací Symantec Endpoint Protection Manager (pouze zařízení DHCP Enforcer). Příkaz configure interface-role používá následující syntaxi: interface-role internal | external | manager
kde: internal název-rozhraní Název (např. eth0 nebo eth1) rozhraní připojeného k vnitřní síti V názvu se rozlišují malá a velká písmena. external název-rozhraní Název, například eth0 nebo eth1, rozhraní připojeného k vnější síti V názvu se rozlišují malá a velká písmena.
252
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
manager Název, např. eth0 nebo eth1 karty NIC, která se připojuje k název_karty_NIC (jen aplikaci Symantec Endpoint Protection Manager V názvu se zařízení DHCP Enforcer) rozlišují malá a velká písmena.
Příkaz Configure NTP Příkaz configure ntp string slouží k navázání komunikace mezi zařízením Enforcer a aplikací Network Time Server s IP adresou, názvem domény nebo webovou adresou. Příkazy ntp enable nebo configure ntp disable slouží ke spuštění a zastavení synchronizace času mezi zařízením Enforcer a aplikací Network Time Server s protokolem Network Time Protocol. Příkaz configure ntp server používá následující syntax: ntp enable | disable | server
kde: ntp server
Komunikaci mezi zařízením Enforcer a aplikací Network Time Server lze navázat zadáním IP adresy, názvu domény nebo webové adresy.
ntp enable
Můžete začít synchronizovat čas mezi zařízením Enforcer a aplikací Network Time Server pomocí protokolu Network Time Protocol. .
ntp disable
Můžete ukončit synchronizaci času mezi zařízením Enforcer a aplikací Network Time Server pomocí protokolu Network Time Protocol. .
Configure redirect Příkaz configure redirect určuje adresu pro přesměrování protokolu HTTP, pokud v koncovém bodě není nainstalován klient. (Pouze zařízení Gateway Enforcer. Nepoužívá se při nasazení aplikace Symantec Endpoint Protection Manager v síťovém prostředí.) Příkaz configure redirect používá tuto syntax: configure redirect
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
253
Configure route Příkaz configure route přidává nebo odstraňuje položky ze směrovací tabulky. Lze nakonfigurovat více položek. Příkaz configure route používá následující syntax: configure route {add | delete} netmask <maska_podsítě> device [gateway ] [metric <metrické číslo>]
kde: add netmask <maska sítě>
Adresa IP a maska podsítě v položce, která se má přidat do směrovací tabulky
delete netmask <maska podsítě>
Adresa IP a maska podsítě v položce, která se má odstranit ze směrovací tabulky
device
Název rozhraní (eth0 nebo eth1, rozlišují se velká a malá písmena) v položce
gateway
Adresa IP brány v položce
metric <metrické číslo>] Metrika pro položku, celé číslo od 1 do 32
Následující příklad přidá položku do tabulky směrování s IP adresou, maskou podsítě, názvem karty NIC a IP adresou brány: Enforcer# configure Enforcer(configure)# route Enforcer(route)# add 192.168.45.0 netmask 255.255.255.0 device eth0 gateway 192.168.40.1
Configure show Příkaz configure show zobrazí aktuální konfiguraci jednotlivých příkazů ze skupiny configure. Není-li zadán žádný argument, zobrazí se všechna nastavení. Příkaz configure show používá následující syntax (pouze zařízení Gateway nebo DHCP Enforcer): configure dns | interface [] | interface-role | ntp | redirect | route | spm
254
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Configure
Configure SPM Příkaz configure SPM nastavuje připojení mezi zařízením Enforcer a aplikací Symantec Endpoint Protection Manager. Při změně některé z hodnot je třeba zadat všechny hodnoty. U hodnot, které nezadáte, se automaticky použijí výchozí hodnoty. Příkaz configure spm používá následující syntax: configure spm {[ip ] | [group ] | [http <čísla_portů>] | https <číslo_portu>] | [key ]} | [del key <sdílený_klíč>]
kde: ip
Umožňuje přidat adresu IP aplikace Symantec Endpoint Protection Manager.
del key <sdílený_klíč>
Odstraní sdílený tajný klíč.
group
Umožňuje zadat preferovaný název skupiny pro modul Enforcer. Proto doporučujeme přidělit jedinečný název skupiny pro rozlišení zařízení Enforcer na konzole Symantec Endpoint Protection Manager.
http <číslo_portu> Umožňuje zadat protokol HTTP a port pro komunikaci s aplikací Symantec Endpoint Protection Manager. Výchozí protokol je HTTP. Výchozí číslo portu protokolu HTTP je 80. https <číslo_portu>
Umožňuje zadat protokol HTTPS a port pro komunikaci s aplikací Symantec Endpoint Protection Manager. Tento příkaz používejte jen tehdy, když byl Symantec Endpoint Protection Manager nastaven na používání protokolu HTTPS. Výchozí číslo portu protokolu HTTPS je 443.
key Umožňuje určit šifrované heslo, které je vyžadováno, pokud s ním byla aplikace Symantec Endpoint Protection Manager nainstalována.
Následující příklad popisuje způsob konfigurace zařízení Enforcer ke komunikaci s aplikací Symantec Endpoint Protection Manager na IP adrese 192.168.0.64 ve skupině modulu Enforcer nazvané CorpAppliance. Používá protokol HTTP na portu 80 se šifrovaným heslem „security“. configure spm ip 192.168.0.64 group CorpAppliance http 80 key security
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy console
Příkazy console Příkazy rozhraní příkazového řádku zařízení Enforcer ze skupiny console umožňují měnit nastavení konzoly. Vyjmenovány a popsány jsou všechny příkazy v této skupině kromě příkazů exit a help. Příkaz exit zavře skupinu příkazů. Příkaz help zobrazuje nápovědu k jednotlivým příkazům v této skupině.
Console baud-rate Příkaz console baud-rate nastavuje modulační rychlost, kterou konzola používá pro komunikaci s klientem přes sériový port. Modulační rychlost nastavená v zařízení Enforcer by se měla shodovat s rychlostí nastavenou pro toto připojení na straně klienta. Výchozí modulační rychlost je 9600. Příkaz console baud-rate používá následující syntax: console baud-rate {9600 | 19200 | 38400 | 57600 | 115200}
Příkaz console SSH Příkaz console SSH slouží ke spuštění nebo zastavení služby SSH pro vzdálené přihlášení. Tímto příkazem lze také určit, zda se má služba ssh spouštět při spuštění počítače. Příkaz console ssh používá tuto syntax: console ssh {start | stop} {off | on}
Příkaz console SSHKEY Příkaz console sshkey nastavuje a odstraňuje veřejný klíč pro vzdálené přihlášení protokolem ssh bez hesla. Příkaz console sshkey používá tuto syntax: console sshkey set | delete
Příklad: Enforcer(console)# sshkey set Enforcer(console)# sshkey delete
255
256
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy debug
Console show Příkaz console show zobrazí konfiguraci konzoly. Příkaz console show používá následující syntax: show
Níže je uveden příklad syntaxe příkazu console show: Enforcer# console show Serial Port Number: 1 Baud Rate: 9600 Flow Control: NONE Console Width: 80 Console Height: 24
Příkazy debug Příkazy z této skupiny umožňují uživateli konfigurovat nastavení ladění zařízení Enforcer a přenášet ladicí soubory v prostém nebo komprimovaném tvaru. Vyjmenovány a popsány jsou všechny příkazy v této skupině kromě příkazů exit a help. Příkaz exit zavře skupinu příkazů. Příkaz help zobrazuje nápovědu k jednotlivým příkazům v této skupině.
Debug destination Příkaz debug destination slouží ke konfiguraci umístění, kam zařízení Enforcer může ukládat ladicí soubory. Příkaz debug destination používá následující syntax: destination {both | disk | memory}
kde: Oba
Ukládá ladicí soubory do paměti i na disk Výchozí nastavení je obojí
Disk
Ukládá ladicí soubory pouze na pevný disk
Paměť
Ukládá ladicí soubory pouze do paměti
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy debug
Debug level Příkaz debug level nastavuje úroveň ladicích informací, které zařízení Enforcer ukládá. Příkaz debug level používá následující syntax: level {disabled | fatal | error | information | support | engineer}
kde: disabled
Neukládat ladicí informace
fatal
Zapne ladění a nastaví úroveň na FATAL (ukládat pouze závažné ladicí zprávy)
error
Zapne ladění a nastaví úroveň na ERROR (ukládat závažné a chybové ladicí zprávy) Výchozí argument je nastaven na chybu.
information
Zapne ladění a nastaví úroveň na INFORMATION (ukládat závažné, chybové a informační ladicí zprávy)
support
Zapne ladění a nastaví úroveň na SUPPORT (ukládat závažné, chybové a informační ladicí zprávy a zprávy pro podporu)
engineer
Zapne ladění a nastaví úroveň na ENGINEER (ukládat všechny ladicí zprávy)
Debug show Příkaz debug show zobrazí konfiguraci ladění. Příkaz debug show používá následující syntax: show [compress | destination | file | files | kernel | kernel live | level | user | user live | ymodem]
kde: compress
Zobrazí, zda je zapnuta komprese
destination
Zobrazí cíl ladění
file
Zobrazí zadané jméno ladicího souboru
files
Vypíše všechny ladicí soubory
257
258
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy MAB
kernel
Zobrazí ladicí soubor jádra
kernel_live
Zobrazí průběžně aktualizovaný ladicí soubor jádra
user
Zobrazí ladicí soubor uživatelů
user_live
Zobrazí průběžně aktualizovaný ladicí soubor uživatelů
ymodem
Zobrazí nastavení protokolu ymodem
Příkaz debug upload Příkaz debug upload používá protokol tftp pro přenos souboru ladění ze zařízení Enforcer do vzdáleného hostitele. Příkaz debug upload používá tuto syntax: debug upload tftp filename
Příklad: Enforcer# debug upload tftp 10.200.39.251 filename debug_file
Příkazy MAB Příkazy mab umožňují implementaci zařízení Media Control access (MAC) Authentication Bypass (MAB) se zařízením LAN Enforcer v následujících přepínačích vyhovujících standardu 802.1x: ■
Cisco Catalyst Switch řady 3550
■
Extreme Networks
■
Hewlett-Packard ProCurve Switch řady 2600 Series
■
Foundry Networks
■
Jakmile zařízení LAN Enforcer obdrží požadavek MAB, nejprve vyhledá adresu v místní databázi MAB. Pokud je položka umístěna v místní databázi MAB, zařízení LAN Enforcer ověří klienta na základě modelu přepínače vyhovujícího standardu 802.1x. Pokud položku nelze v místní databázi MAB vyhledat, zařízení LAN Enforcer se pokusí připojit k jakémukoli dostupnému serveru LDAP. Pokud server LDAP není k dispozici pro ověřování adresy MAC klienta nebo adresa MAC klienta není v databázi serveru LDAP k dispozici, zařízení LAN Enforcer se pak pokusí připojit k jakémukoli dostupnému serveru RADIUS. Jakmile zařízení LAN Enforcer přijme požadavek na ověřování, odešle na server
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy MAB
RADIUS zprávu pro přijetí nebo odmítnutí paketu. Zařízení LAN Enforcer pak dokončí relaci ověřování.
Příkaz MAB disable Příkaz MAB disable zakáže ověřování MAC Authentication Bypass (MAB) v zařízení LAN Enforcer. Příkaz mab disable používá tuto syntax (pouze zařízení LAN Enforcer): mab disable
Následující příklad uvádí, jak zakázat ověřování MAC Authentication Bypass (MAB) v zařízení 1LAN Enforcer: Enforcer: mab Enforcer(mab)#disable
Příkaz MAB enable Příkaz MAB enable povolí ověřování MAC Authentication Bypass (MAB) v zařízeních LAN Enforcer. Příkaz mab enable používá tuto syntax (pouze zařízení LAN Enforcer): mab enable
Následující příklad uvádí, jak povolit ověřování MAC Authentication Bypass (MAB) v zařízení 1LAN Enforcer: Enforcer: mab Enforcer(mab)#enable
Příkazy MAB LDAP Příkazy MAB LDAP slouží k navázání komunikace mezi zařízením LAN Enforcer a serverem LDAP. Po navázání komunikace mezi těmito dvěma zařízeními můžete povolit aplikaci MAC Authentication Bypass (MAB) ověřování klientů pomocí databáze na serveru LDAP místo místní databáze MAB v zařízení LAN Enforcer.
Příkaz MAB LDAP disable Příkaz MAB LDAP disable zakáže aplikaci MAC Authentication Bypass (MAB) na serveru LDAP místo v zařízení LAN Enforcer. Příkaz mab LDAP disable používá tuto syntax (pouze zařízení LAN Enforcer):
259
260
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy MAB
mab ldap disable
Následující příklad uvádí, jak zakázat ověřování MAC Authentication Bypass (MAB) na serveru LDAP místo v zařízení 1LAN Enforcer: Enforcer:# mab Enforcer(mab):# ldap disable
Příkaz MAB LDAP enable Příkaz MAB LDAP enable zakáže aplikaci MAC Authentication Bypass (MAB) na serveru LDAP místo v zařízení LAN Enforcer. Příkaz mab LDAP enable používá tuto syntax (pouze zařízení LAN Enforcer): mab ldap enable
Následující příklad uvádí, jak zakázat ověřování MAC Authentication Bypass (MAB) na serveru LDAP místo v zařízení 1LAN Enforcer: Enforcer:# mab Enforcer(mab):# ldap enable
Příkaz MAB LDAP host Příkaz mab ldap host určuje hostitelský název serveru LDAP, pokud plánujete ověřování klientů pomocí aplikace MAC Authentication Bypass (MAB) na serveru LDAP místo zařízení LAN Enforcer. Příkaz mab ldap host používá tuto syntax (pouze zařízení LAN Enforcer): mab ldap host řetězec
kde: Řetězec představuje název hostitele pověřeného serveru LDAP, s nímž musí zařízení LAN Enforcer navázat spojení. Následující příklad vysvětluje, jak určit hostitelský název serveru LDAP, pokud plánujete ověřování klientů pomocí aplikace MAC Authentication Bypass (MAB) na serveru LDAP místo zařízení LAN Enforcer. Enforcer: mab Enforcer(mab): ldap host www.symantec.cz
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy MAB
Příkaz MAB LDAP password Příkaz mab ldap password určuje heslo serveru LDAP, pokud plánujete ověřování klientů pomocí aplikace MAC Authentication Bypass (MAB) na serveru LDAP místo zařízení LAN Enforcer. Příkaz mab ldap password používá tuto syntax (pouze zařízení LAN Enforcer): mab ldap password řetězec
kde: Řetězec představuje heslo umožňující zařízení LAN Enforcer připojení k pověřenému serveru LDAP. Následující příklad vysvětluje, jak určit heslo serveru LDAP, pokud plánujete ověřování klientů pomocí aplikace MAC Authentication Bypass (MAB) na serveru LDAP místo zařízení LAN Enforcer. Enforcer: mab Enforcer(mab): ldap password symantec
Příkaz MAB LDAP port Příkaz mab ldap port určuje číslo portu serveru LDAP, pokud plánujete ověřování klientů pomocí aplikace MAC Authentication Bypass (MAB) na serveru LDAP místo zařízení LAN Enforcer. Příkaz mab ldap port používá tuto syntax (pouze zařízení LAN Enforcer): ldap enable | disable | host | password <řetězec> | port <číslo>
kde: disable
Zakázání vyhledávací funkce Enforcer MAB LDAP
enable
Povolení vyhledávací funkce Enforcer MAB LDAP
host
Konfigurace hostitele serveru LDAP
password
Konfigurace klíče k přístupu k serveru LDAP
port
Konfigurace portu serveru LDAP
Následující příklad vysvětluje, jak určit číslo portu serveru LDAP, pokud plánujete ověřování klientů pomocí aplikace MAC Authentication Bypass (MAB) na serveru LDAP místo zařízení LAN Enforcer.
261
262
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Monitor
Enforcer: mab Enforcer(mab): ldap port 45298
Příkaz MAB show Příkaz mab show umožňuje zobrazení následujících informací: ■
Zda je povoleno nebo zakázáno vynechání ověřování MAC.
■
Zda je povoleno nebo zakázáno vyhledávání v databázi MAC LDAP na serveru LDAP.
■
Název hostitele serveru LDAP
■
Číslo portu na serveru LDAP
■
Heslo pro server LDAP
Příkaz mab show používá následující syntax: show [ldap]
kde: ldap
Zobrazení konfigurace serveru LDAP
Enforcer(mab)# show MAC Address Bypass: MAC LDAP lookup:
Disable Disable
LDAP server host: LDAP server port: LDAP server password:
www.symantec.cz 1283 symantec
Příkazy Monitor Příkaz monitor umožňuje zobrazit následující informace o spravovaném nebo nespravovaném klientovi: ■
adresa IP
■
název hostitele
■
uživatelské jméno (pouze Gateway Enforcer)
■
ID zásady
■
adresa MAC (pouze DHCP Enforcer)
Chcete-li provést příkaz ve skupině monitor, musíte být přihlášeni jako superuser.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Monitor
Příkaz monitor refresh Příkaz monitor refresh aktualizuje informace o klientovi (pouze zařízení Gateway a DHCP Enforcer). Chcete-li provést tento příkaz, musíte být přihlášeni jako superuser. Příkaz monitor refresh používá následující syntax: monitor refresh
Příkaz monitor show Příkaz monitor show umožňuje zobrazení různých typů informací. Ve výchozím nastavení se zobrazují všechny informace sledování, které jsou k dispozici.
Monitor show blocked-hosts Příkaz monitor show blocked-hosts zobrazuje adresu IP, název hostitele, uživatelské jméno, profily klienta, požadovaný profil, stav blokování a stav integrity hostitele blokovaného klienta (pouze zařízení Gateway Enforcer). Blokovaný klient obsahuje informace o spravovaných uživatelích a připojených klientech. Tento příkaz zobrazuje adresu IP, název hostitele, uživatelské jméno, adresu MAC, profil klienta, požadovaný profil, stav blokování a stav integrity hostitele blokovaného klienta (pouze zařízení DHCP Enforcer). Chcete-li provést tento příkaz, musíte být přihlášeni jako superuser. Příkaz monitor show blocked-hosts používá následující syntaxi (pouze zařízení Gateway Enforcer nebo DHCP Enforcer): monitor [show blocked-hosts {all | ip }]
kde: all
Zobrazuje adresy IP, názvy hostitelů, uživatelská jména, profily klientů, požadované profily, stav blokování a stav integrity hostitele všech blokovaných klientů v modulech Gateway a DHCP Enforcer. Kromě toho se v modulu DHCP Enforcer zobrazují adresy MAC všech blokovaných klientů.
ip
Zobrazuje adresu IP, název hostitele, uživatelské jméno, profil klienta, požadovaný profil, stav blokování a stav integrity hostitele blokovaného klienta v modulech Gateway a DHCP Enforcer. Kromě toho se v modulu DHCP Enforcer zobrazuje adresa MAC blokovaného klienta.
263
264
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Monitor
Následující příklad uvádí informace o stavu blokovaného klienta v modulu Gateway Enforcer: monitor show blocked-hosts ip 100.0.0.242 Authentication blocked host statistics IP address: 100.0.0.242 Hostname: SNA-7D7911D97BA Username: guest Client Profile: Valid-DB1B 12/29/2007 12:35:00 Required Profile: Valid-DB1B 12/29/2007 12:35:00 Blocked: Host Integrity or Policy check failed HI status: Host Integrity check failed.
Následující příklad uvádí informace o stavu blokovaného klienta v modulu Gateway Enforcer: monitor show blocked-hosts ip 100.0.0.242 Authentication blocked host statistics IP address: 100.0.0.242 Hostname: SNA-7D7911D97BA Username: guest MAC Address: 0-12-3f-10-a5-99 Client Profile: Valid-DB1B 12/29/2007 12:35:00 Required Profile: Valid-DB1B 12/29/2007 12:35:00 Blocked: Host Integrity or Policy check failed HI status: Host Integrity check failed.
Monitor show connected-guests Příkaz monitor show connected-guests zobrazí adresu IP, název hostitele, uživatelské jméno a ID zásady přípojených hostů nebo klientů on-demand (pouze Gateway Enforcer). Kromě toho tento příkaz zobrazuje adresu MAC nevyhovujícího klienta pro modul DHCP Enforcer. Připojený host nebo klient on-demand podporuje klientský software Symantec Network Access Control On-Demand na platformě Windows a Macintosh. Připojený host nebo klient on-demand musí být ověřen nebo nastaven jako důvěryhodný klient v aplikaci Symantec Endpoint Protection Manager. V opačném případě příkaz monitor show connected-guests nezobrazí žádné informace o klientech on-demand.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy Monitor
Chcete-li provést tento příkaz, musíte být přihlášeni jako superuser. Příkaz monitor show používá následující syntaxi (zařízení Gateway nebo zařízení DHCP Enforcer): monitor [show connected-guests { all | ip }]
kde: all
Zobrazuje adresy IP, názvy hostitelů, uživatelská jména, profily klientů, požadované profily, stav připojení a stav integrity hostitele všech blokovaných klientů v modulech Gateway a DHCP Enforcer. Kromě toho se v modulu DHCP Enforcer zobrazují adresy MAC všech blokovaných klientů.
ip
Zobrazuje adresu IP, název hostitele, uživatelské jméno, profil klienta, požadovaný profil, stav připojení a stav integrity hostitele blokovaného klienta v modulech Gateway a DHCP Enforcer. Kromě toho se v modulu DHCP Enforcer zobrazuje adresa MAC blokovaného klienta.
Následující příklad uvádí informace o stavu blokovaného klienta v modulu Gateway Enforcer: monitor show connected-guests ip 100.0.0.242 Authentication connected guests statistics IP address: 100.0.0.242 Hostname: SNA-7D7911D97BA Username: guest Client Profile: Valid-DB1B 12/29/2007 12:35:00 Required Profile: Valid-DB1B 12/29/2007 12:35:00 Connected: Authenticated HI status: Host Integrity check passed.
Následující příklad uvádí informace o stavu blokovaného klienta v modulu Gateway Enforcer: monitor show connected-guests ip 100.0.0.242 Authentication connected guests statistics IP address: 100.0.0.242 Hostname: SNA-7D7911D97BA Username: guest
265
266
Odkaz na rozhraní příkazového řádku modulu Enforcer příkazy SNMP
MAC address: Client Profile: Required Profile: Connected: HI status:
0-12-3f-10-a5-99 Valid-DB1B 12/29/2007 12:35:00 Valid-DB1B 12/29/2007 12:35:00 Authenticated Host Integrity check passed.
Monitor show connected-users Příkaz monitor show connected-users zobrazí adresu IP, název hostitele, uživatelské jméno a ID zásady připojených uživatelů nebo spravovaných klientů (pouze zařízení Gateway Enforcer). Kromě toho tento příkaz zobrazuje adresu MAC připojeného uživatele nebo spravovaného klienta pro modul DHCP Enforcer. Připojený uživatel nebo spravovaný klient podporuje klientský software Symantec Endpoint Protection client software and Symantec Network Access Control. Připojený uživatel nebo spravovaný klient musí být ověřený, jinak příkaz monitor show connected-users informace o klientovi nezobrazí. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz monitor show connected-users používá následující syntaxi (zařízení Gateway nebo zařízení DHCP Enforcer): monitor [show connected-user {all|ip }]
kde: all
Zobrazí adresy IP, názvy hostitele a ID zásady všech připojených klientů (zařízení Gateway a DHCP Enforcer). Zobrazí se také adresy MAC všech nevyhovujících klientů (pouze zařízení DHCP Enforcer).
ip
Zobrazí adresu IP, název hostitele a ID zásady připojeného klienta (zařízení Gateway a DHCP Enforcer). Zobrazí se také adresa MAC nevyhovujícího klienta (pouze zařízení DHCP Enforcer).
příkazy SNMP Následující příkazy SNMP umožňují pracovat s protokolem Simple Network Management Protocol.
Příkaz SNMP disable Umožňuje zakázat funkci Simple Network Management Protocol. Příkaz SNMP disable používá následující syntaxi:
Odkaz na rozhraní příkazového řádku modulu Enforcer příkazy SNMP
snmp disable
Tento příklad ukazuje, jak zakázat protokol SNMP: Enforcer(snmp)#disable
Příkaz SNMP enable Umožňuje povolit funkci Simple Network Management Protocol. Příkaz SNMP enable používá následující syntaxi: snmp enable
Následující příklad ukazuje, jak povolit protokol SNMP: Enforcer(snmp)#enable
Příkaz SNMP heartbeat Umožňuje nastavit prezenční signál pro funkci Simple Network Management Protocol. Příkaz SNMP heartbeat používá následující syntaxi: heartbeat <počet_sekund>
kde: Hodnota počet_sekund představuje čas (v rozsahu 30 až 86400). Výchozí počet sekund je 30. Následující příklad ukazuje, jak nastavit prezenční signál (parametr heartbeat) pro protokol SNMP na 100 sekund: Enforcer(snmp)#heartbeat 100
Příkaz SNMP receiver Umožňuje přidat nebo odstranit přijímač SNMP. Příkaz SNMP receiver používá následující syntaxi: receiver {add [:<port>] | delete [:<port>]
kde:
267
268
Odkaz na rozhraní příkazového řádku modulu Enforcer příkazy SNMP
add
Přidá přijímač SNMP ve formátu
delete
Odstraní přijímač SNMP ve formátu
Následující příklad ukazuje, jak přidat nebo odstranit přijímač SNMP: Enforcer(snmp)# receiver add abc Enforcer(snmp)# receiver delete abc
Příkaz SNMP show Zobrazení konfigurace a stavu protokolu SNMP. Příkaz SNMP show používá následující syntaxi: show configure | status
Následující příklady ukazují, jak příkaz show používat: Enforcer(snmp)#show configure SNMP Trap Heartbeat Timeout Retry Trap Receiver
: : : : :
ENABLED 30 1 0 abc:162
second(s) second(s) time(s)
Enforcer(snmp)#show status CPU usage 3% Memory usage 97% lo rec/trans:9386498/9386498 byte eth0 rec/trans:704234599/288693960 byte eth1 rec/trans:228648902/179921169 byte Connected to Symantec Endpoint Protection Manager
Příkaz SNMP trap Umožňuje nastavit počet opakování a hodnotu vypršení časového intervalu protokolu SNMP. Příkaz SNMP trap používá následující syntaxi: trap retry <počet_opakování> | timeout <počet_sekund>
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
kde: retry
Počet opakování
timeout
Nastavení časového limitu v sekundách
Následující příklad ukazuje, jak nastavit počet opakování a hodnotu vypršení časového intervalu protokolu SNMP: Enforcer(snmp)# trap retry 3 Enforcer(snmp)# trap timeout 3
Příkazy On-Demand Příkazy on-demand v rozhraní příkazového řádku zařízení Enforcer umožňují konfigurovat automatické stahování klienta Symantec Network Access Control On-Demand na platformách Windows a Macintosh. Příkaz on-demand je možné spustit jen na zařízení Gateway Enforcer a DHCP Enforcer. Vyjmenovány a popsány jsou všechny příkazy v této skupině kromě příkazů exit a help. Příkaz exit zavře skupinu příkazů. Příkaz help zobrazuje nápovědu k jednotlivým příkazům v této skupině.
On-demand authentication Většina společností může potřebovat nastavit ověřování pro klienty Symantec Network Access Control On-Demand. Chcete-li ověřovat klienty Symantec Network Access Control On-Demand na platformách Windows a Macintosh, můžete použít následující typy databází: ■
Místní databáze rezidentní v zařízení Gateway nebo DHCP Enforcer. Pokud nepodporujete server Active Directory v síťovém prostředí, můžete použít místní databázi pro přidávání uživatelských jmen a hesel pro jednotlivé uživatele.
■
server Active Directory Musíte se připojit k Microsoft Windows Server 2003 Active Directory.
Tab. 11-3 poskytuje informace o příkazu on-demand authentication.
269
270
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Tab. 11-3
Argumenty příkazů on-demand authentication
Příkaz
Popis
ad
Povolí ověřování prostřednictvím serveru Active Directory místo místní databáze v zařízení Gateway a DHCP Enforcer. Viz „Příkazy On-demand authentication ad“ na straně 270.
enable
Povolí ověřování klientů Symantec Network Access Control On-Demand v zařízeních Gateway a DHCP Enforcer. Pokud povolíte ověřování v zařízení Enforcer, koncový uživatel musí úspěšně projít ověřováním (zadat správné uživatelské jméno a heslo), aby mohl stáhnout klienty Symantec Network Access Control On-Demand. Viz „Příkaz on-demand authentication enable“ na straně 272.
disable
Zakáže ověřování klientů Symantec Network Access Control On-Demand v zařízeních Gateway a DHCP Enforcer. Koncoví uživatelé mohou spustit automatické stažení klienta Symantec Network Access Control On-Demand na klientský počítač bez ověřování. Viz „Příkaz on-demand authentication disable“ na straně 272.
local-db
Povolí ověřování prostřednictvím místní databáze v zařízení Gateway a DHCP Enforcer místo serveru Active Directory. Viz „Příkazy On-Demand authentication local-db“ na straně 272.
show
Vypíše stavové informace o různých volbách a argumentech příkazu authentication.
upload
Odešle na server soubory související s ověřováním.
Příkazy On-demand authentication ad Pokud firemní síť podporuje Microsoft Windows Server 2003 Active Directory, můžete ověřovat uživatele pomocí serveru Active Directory. V opačném případě je třeba nastavit místní databázi pro ověřování uživatelů.
Příkaz on-demand authentication ad disable Příkaz on-demand authentication ad disable používá následující syntax k zakázání ověřování klientů se službou Microsoft Windows Server 2003 Active Directory: Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. on-demand authentication ad disable
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Následující příklad popisuje, jak zakázat ověřování klienta On-Demand ve službě Microsoft Windows Server 2003 Active Directory: on-demand authentication ad disable
Příkaz On-demand authentication ad domain Příkaz on-demand authentication ad domain používá k zadání ID domény nebo adresy ID domény služby Microsoft Windows Server 2003 Active Directory následující syntax: on-demand authentication ad domain |
kde: Název serveru domény Active Directory
Představuje název domény Microsoft Windows Server 2003 Active Directory.
IP adresa serveru domény Active Directory Představuje IP adresu domény Microsoft Windows Server 2003 Active Directory.
Následující příklad popisuje, jak určit ID domény služby Microsoft Windows Server 2003 Active Directory: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad domain symantec.com
kde: symantec.com představuje název domény Microsoft Windows Server 2003 Active Directory Server.
Příkaz on-demand authentication ad enable Příkaz on-demand authentication ad enable používá následující syntaxi pro povolení ověřování koncových uživatelů pomocí služby Microsoft Windows Server 2003 Active Directory: on-demand authentication ad enable
Následující příklad popisuje, jak povolit ověřování klienta On-Demand ve službě Microsoft Windows Server 2003 Active Directory:
271
272
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad enable
Příkaz on-demand authentication disable Proces ověřování – auth-daemon – můžete zastavit v konzole zařízení Gateway nebo DHCP pro klienta aplikace Symantec Network Access Control On-Demand. Příkaz on-demand authentication disable používá následující syntax: on-demand authentication disable
Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Následující příklad popisuje, jak zakázat ověřování klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication disable
Příkaz on-demand authentication enable Můžete spustit proces ověřování – auth-daemon – v konzole zařízení Gateway nebo DHCP pro klienta aplikace Symantec Network Access Control On-Demand. Příkaz on-demand authentication enable používá následující syntax: on-demand authentication enable
Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Následující příklad popisuje, jak povolit ověřování klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication enable
Příkazy On-Demand authentication local-db Pokud firemní síť nepodporuje Microsoft Windows Server 2003 Active Directory, je třeba ověřovat uživatele pomocí místní databáze, kterou můžete nastavit na zařízení Gateway Enforcer nebo DHCP Enforcer.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz On-Demand authentication local-db add Pokud je nutné ověřovat uživatele v místní databázi, je potřeba přidat uživatelské účty pro každého klienta v zařízení Gateway Enforcer nebo DHCP Enforcer. Viz „Nastavení ověřování pomocí místní databáze“ na straně 201. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Příkaz on-demand local-db authentication add používá k přidání uživatelského účtu do místní databáze, kterou nastavíte pro zařízení Gateway Enforcer nebo DHCP Enforcer, následující syntaxi: on-demand authentication local-db add user uživatelské_jméno
kde: uživatelské_jméno představuje uživatelský účet, který lze přidat do místní databáze. Příkaz on-demand authentication local-db add user používá následující syntaxi: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db add user jim
Příkaz on-Demand authentication local-db disable Příkaz on-demand local-db authentication disable používá následující syntaxi k zakázání místní databáze, kterou nastavíte pro zařízení Gateway Enforcer nebo DHCP Enforcer: on-demand authentication local-db disable
Příkaz on-demand authentication local-db enable používá následující syntaxi: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db disable
Příkaz on-Demand authentication local-db enable Příkaz on-demand local-db authentication enable používá následující syntaxi k povolení místní databáze, kterou můžete nastavit pro zařízení Gateway Enforcer nebo DHCP Enforcer: on-demand authentication local-db enable
273
274
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz on-demand authentication local-db enable používá následující syntaxi: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db enable
Příkazy On-Demand authentication local-db username Příkazy on-demand local-db authentication username umožňují přidávat, odstraňovat a upravovat uživatelská jména: local-db local-db local-db local-db
add username <řetězec> password <řetězec> delete username <řetězec> edit username <řetězec> password <řetězec> enable |disable | clear
kde: add
Vytvoření nového uživatelského účtu v místní databázi
clear
Vymazání všech uživatelských účtů z místní databáze
delete
Odebrání existujícího uživatelského účtu z místní databáze
disable
Zakázání ověřování místní databáze
edit
Úprava existujícího uživatelského účtu
enable
Povolení ověřování místní databáze
Následující příklad popisuje, jak nakonfigurovat ověřování místní databáze klientů Symantec Network Access Control On-Demand v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)#authentication Enforcer(authentication)# local-db disable Local database authentication is disabled. Enforcer(authentication)# local-db enable Local database authentication is enabled. Enforcer(authentication)# local add username test password test
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer(authentication)# local-db delete username test Your action will delete the user account " test " permanently. Please confirm. [Y/N]y Enforcer(authentication)# local-db edit username test password b Enforcer(authentication)# local-db clear Notice that your action will remove ALL user account permanently! Please confirm. [Y/N]y
Příkaz on-Demand banner Umožňuje upravit výchozí banner na uvítací stránce klientů Symantec Network Access Control On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Příkaz on-demand banner používá následující syntaxi: Enforcer(on-demand)# banner Type the new banner text that cannot exceed 1024 characters, and press Ctrl-D to end:
V příkazovém řádku zařízení Enforcer nahraďte výchozí textový banner textem podle svého výběru. Text nesmí být delší než 1024 znaků.
Příkaz On-Demand client-group Příkaz On-Demand client-group umožňuje konfiguraci názvu skupiny Enforcer v konzole zařízení Gateway nebo DHCP Enforcer. Není nutné konfigurovat název zařízení Enforcer v konzole Enforcer, pokud je již nakonfigurován v konzole Symantec Endpoint Protection Manager. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand client-group používá následující syntax: Enforcer# on-demand Enforcer(on-demand)# client-group enable|disable
Následující příklad popisuje, jak se přidává název skupiny zařízení Enforcer do konzoly zařízení Gateway nebo DHCP Enforcer:
275
276
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer# on-demand Enforcer(on-demand)# client-group My Company/On-Demand
kde: Název skupiny představuje název skupiny Enforcer v aplikaci Symantec Endpoint Protection Manager pro konkrétní skupinu klientských počítačů On-Demand.
Příkazy On-Demand dot1x Příkaz dot1x je nutné konfigurovat v konzole zařízení Gateway nebo DHCP Enforcer, jestliže koncový uživatel používá ověřování dot1x v prostředí sítě LAN. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82.
Příkazy On-Demand dot1x certificate Příkaz On-Demand dot1x certificate poskytuje přístup k řadě příkazů, které umožňují tyto akce: ■
Import a konfigurace certifikátu kořenového serveru k ověření klienta On-Demand s přepínačem vyhovujícím standardu 802.1x.
■
Odebrání kořenového serverového certifikátu.
■
Zobrazení kritérií konfigurace o kořenovém serverovém certifikátu.
Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Příkaz on-demand dot1x certificate používá následující syntax: on-demand dot1x certificate {import| remove | show}
kde: import
Importuje kořenový serverový certifikát z vyhrazeného umístění.
remove
Odebere kořenový serverový certifikát pro protokol zabezpečení transportní vrstvy (TLS) 802.1x.
show
Zobrazí parametry konfigurace kořenového serverového certifikátu pro protokol zabezpečení transportní vrstvy (TLS) 802.1x.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Následující příklad popisuje, jak získat přístup k příkazu on-demand dot1x certificate. Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate Enforcer(certificate)#
On-Demand dot1x certificate import Příkaz on-demand dot1x certificate import slouží k importu a konfiguraci certifikátu kořenového serveru k ověření klienta On-Demand s přepínačem vyhovujícím standardu 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Příkaz on-demand dot1x certificate import používá následující syntax: import tftp username <řetězec> password <řetězec> root-cert <řetězec> user-cert <řetězec>
kde: import tftp
Představuje IP adresu počítače, z něhož zařízení Enforcer importuje certifikát.
password <řetězec>
Představuje heslo, které je nutné nakonfigurovat pro připojení na server TFTP.
username <řetězec>
Představuje přihlašovací jméno uživatele, které je nutné použít pro přihlášení do počítače klienta On-Demand.
user-cert <řetězec>
Představuje název uživatelského certifikátu, který má být importován.
root-cert <řetězec>
Představuje název serverového certifikátu, který má být importován.
Následující příklad popisuje, jak probíhá import a konfigurace certifikátu kořenového serveru k ověření klienta On-Demand s přepínačem vyhovujícím standardu 802.1x. Enforcer# on-demand Enforcer(on-demand)# dot1x
277
278
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer(dot1x)# certificate Enforcer(certificate)# import tftp:10.200.39.251 password symantec username janedoe user-cert name.pfx root-cert name.cer
kde: 10.200.39.251
Představuje počítač, z něhož zařízení Enforcer imporuje certifikát.
password symantec
Představuje heslo, které je nutné nakonfigurovat pro připojení na server TFTP.
username janedoe
Představuje přihlašovací jméno uživatele, které je nutné použít pro přihlášení do počítače klienta On-Demand.
user-cert name.pfx
Představuje název uživatelského certifikátu, který má být importován.
root-cert name.cer
Představuje název serverového certifikátu, který má být importován.
Příkaz On-Demand dot1x certificate remove Příkaz on-demand dot1x certificate remove lze použít k odstranění názvu certifikátu dot1x. Příkaz on-demand dot1x certificate remove používá následující syntax: on-demand dot1x certificate remove <řetězec>
kde: řetězec představuje název certifikátu do1x, který chcete odebrat. Následující příklad popisuje, jak odebrat certifikát dot1x s názvem souboru packagelist. Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate Enforcer(certificate)# remove packagelist Are you sure that you want to remove " packagelist "? [Y/N] Y
Příkaz On-Demand dot1x show certificate Příkaz on-demand dot1x show certificate lze použít k zobrazení informací o certifikátu dot1x. Příkaz on-demand dot1x show certificate používá následující syntax:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
on-demand dot1x certificate show
Následující příklad uvádí, jak odebrat certifikát dot1x show. Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate Enforcer(certificate)# show Certifikáty: packagelist
Příkaz On-Demand dot1x peap Příkaz On-Demand dot1x peap umožňuje konfiguraci protokolu 802.1x Protected Extensible Authentication Protocol (PEAP) na ověřování klienta On-Demand v chráněné síti. Abyste mohli nakonfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand dot1x peap používá následující syntax: on-demand dot1x peap { cert-svr | fast-reconn| validate-svr | show }
Následující příklad popisuje, jak nakonfigurovat protokol 802.1x PEAP v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x peap
kde: peap určuje konfiguraci protokolu Protected Extensible Authentication Protocol (PEAP) jako vašeho protokolu ověřování klienta On-Demand dot1x.
Příkaz On-Demand dot1x peap validate-svr Příkaz On-Demand dot1x peap validate-svr umožňuje povolení nebo zakázání ověřování kořenového serverového certifikátu pro konfiguraci protokolu 802.1x Protected Extensible Authentication Protocol (PEAP). Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand dot1x peap peap validate-svr používá následující syntax: on-demand dot1x peap validate-svr [enable | disable]
Následující příklad popisuje, jak povolit ověřování kořenového serverového certifikátu pro protokol 802.1x PEAP v konzole zařízení Gateway nebo DHCP Enforcer:
279
280
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# peap validate-svr enable
kde: validate-svr enable nastaví ověřování kořenového serverového certifikátu pro konfiguraci protokolu 802.1x Protected Extensible Authentication Protocol (PEAP).
Příkaz On-Demand dot1x peap cert-svr Příkaz On-Demand dot1x peap cert-svr umožňuje import a konfiguraci kořenového serverového certifikátu pro protokol 802.1x Protected Extensible Authentication Protocol (PEAP) pro ověřování klienta On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-Demand dot1x peap cert-svr používá následující syntaxi: Enforcer# on-demand Enforcer(on-demand)# dot1x peap cert-svr
Následující příklad popisuje, jak importovat a nakonfigurovat certifikát pro protokol 802.1x PEAP v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x peap cert-svr Enforcer(peap)# cert-svr host snac Enforcer(peap)# cert-svr disable Enforcer(peap)# cert-svr enable
kde: disable
Zakázání certifikačního serveru PEAP
enable
Povolení certifikačního serveru PEAP
host
Nastavení názvu hostitele certifikačního serveru PEAP
Příkaz On-Demand dot1x peap fast-reconn Příkaz On-Demand dot1x peap fastreconn umožňuje povolení nebo zakázání rychlého opětovného připojení konfigurace 802.1x Protected Extensible Authentication Protocol (PEAP) pro klienty On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser.
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz on-demand dot1x peap fastreconn používá následující syntax: Enforcer# on-demand Enforcer(on-demand)# dot1x peap fastreconn {enable|disable}
Následující příklad popisuje, jak ověřit certifikát kořenového serveru pro protokol 802.1x Protected Extensible Authentication Protocol (PEAP) v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x peap fastreconn enable
kde: validate-svr enable nastaví ověřování kořenového serverového certifikátu pro konfiguraci protokolu 802.1x Protected Extensible Authentication Protocol (PEAP).
Příkaz On-Demand dot1x peap show Příkaz On-Demand dot1x peap umožňuje zobrazit nastavení konfigurace pro ověřování protokolu 802.1x Protected Extensible Authentication Protocol (PEAP) pro klienta On-Demand. Tento příkaz slouží k ověření, zda je aktivním protokolem PEAP. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand dot1x peap show používá následující syntax: show
Následující příklad popisuje, jak zobrazit nastavení konfigurace pro ověřování protokolu 802.1x Protected Extensible Authentication Protocol v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(peap)# show PEAP Validate Server Certificate: PEAP Certificate Server: PEAP Certificate Server: PEAP Fast Reconnected:
DISABLED DISABLED snac ENABLED
Příkaz On-Demand dot1x tls Příkaz On-Demand dot1x tls umožňuje konfiguraci protokolu zabezpečení transportní vrstvy (TLS) 802.1x pro relace klienta On-Demand. Abyste mohli nakonfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser.
281
282
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz on-demand dot1x tls používá následující syntax: on-demand dot1x tls {cert-svr | validate-svr | show}
Následující příklad popisuje syntaxi příkazu on-demand dot1x tls v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x tls
kde: tls určuje konfiguraci TLS pro konfiguraci protokolu ověřování klienta On-Demand dot1x.
Příkaz On-Demand dot1x tls validate-svr Příkaz On-Demand dot1x tls validate-svr povolí nebo zakáže ověřování certifikátu kořenového serveru pro konfiguraci protokolu zabezpečení transportní vrstvy (TLS) 802.1x. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand configure dot1x tls validate-svr používá následující syntaxi: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# tls validate-svr [enable|disable]
Následující příklad popisuje syntaxi příkazu on-demand configure dot1x tls validate-svr v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x tls validate-svr enable
kde: validate-svr enable nastaví ověřování kořenového serverového certifikátu pro konfiguraci protokolu 802.1x zabezpečení transportní vrstvy (TLS).
Příkaz On-Demand dot1x tls cert-svr Příkaz On-Demand dot1x tls cert-svr umožňuje import a konfiguraci certifikátu kořenového serveru pro protokol zabezpečení transportní vrstvy (TLS) 802.1x pro ověřování klienta On-Demand. Abyste mohli provést tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz On-Demand dot1x tls cert-svr používá následující syntaxi:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer# on-demand Enforcer(on-demand)# dot1x tls cert-svr
Následující příklad popisuje syntaxi příkazu on-demand dot1x tls certificate v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# tls Enforcer(tls)# cert-svr host snac Enforcer(tls)# cert-svr disable Enforcer(tls)# cert-svr enable
kde: disable
Zakázání certifikátu TLS
enable
Povolení certifikátu TLX
host
Nastavení názvu hostitele certifikačního serveru TLS
Příkaz on-Demand dot1x tls show Příkaz on-Demand dot1x tls show umožňuje zobrazení nastavení konfigurace protokolu zabezpečení transportní vrstvy (TLS) 802.1x pro ověřování klienta On-Demand. Tento příkaz slouží k zajištění, aby byl povolený certifikát serveru tls. Abyste mohli nakonfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand dot1x tls show používá následující syntaxi: Enforcer# on-demand Enforcer(on-demand)# dot1x show [tls | peap]
Následující příklad popisuje, jak zobrazit nastavení konfigurace pro ověřování protokolu zabezpečení transportní vrstvy (TLS) 802.1x v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(tls)# show TLS Validate Server Certificate: TLS Certificate Server: TLS Certificate Server:
DISABLED ENABLED snac
283
284
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz On-Demand dot1x protocol Příkaz On-Demand dot1x protocol umožňuje nastavení aktivního protokolu ověřování na Extensible Authentication Protocol (PEAP) nebo Transport Layer Security (TLS) k ověření klientů On-Demand Clients pomocí přepínače 802.1x vyhovujícího standardu 802.1x s porty vyhovujícími standardu dot1x. Abyste mohli nakonfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand dot1x protocol používá následující syntax: on-demand dot1x protocol [tls | peap]
Následující příklad popisuje, jak nastavit aktivní protokol ověřování na ověřování klientů On-Demand s přepínačem vyhovujícím standardu 802.1x s povolenými porty dot1x v protokolu Extensible Authentication Protocol (PEAP): Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# protocol peap
Následující příklad popisuje, jak nastavit aktivní protokol ověřování na ověřování klientů On-Demand s přepínačem vyhovujícím standardu 802.1x s povolenými porty dot1x v protokolu zabezpečení transportní vrstvy (TLS): Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# protocol tls
Příkaz on-Demand dot1x default-user Příkaz on-Demand dot1x default-user umožňuje nastavení aktivního protokolu ověřování jako anonymního pro ověřování klienta On-Demand 802.1x. Abyste mohli nakonfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand configure dot1x default-user používá následující syntaxi: default-user username <řetězec> password <řetězec>
Následující příklad popisuje syntaxi příkazu on-demand dot1x anonymity v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(dot1x)# default-user username snac password snac
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz On-Demand dot1x show Příkaz On-Demand dot1x show umožňuje zobrazit nastavení ověřování pro ověřování klientů On-Demand. Abyste mohli nakonfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz On-Demand dot1x show používá následující syntaxi: show protocol | peap | tls | certificate | default-user
kde: certificate
Zobrazení seznamu importovaných certifikátů ověření
default-user
Zobrazení výchozích informací o uživateli
peap
Zobrazení nastavení ověřování PEAP
protocol
Zobrazení aktuálně aktivního protokolu 802.1x
tls
Zobrazení nastavení ověřování TLS
Následující příklad popisuje, jak zobrazit protokol v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(dot1x)# show peap PEAP Validate Server Certificate: PEAP Certificate Server: PEAP Certificate Server: PEAP Fast Reconnected:
DISABLED DISABLED snac ENABLED
Příkaz On-Demand show Příkaz On-Demand show umožňuje zobrazit nastavení pro klienty On-Demand. Abyste mohli tento příkaz konfigurovat, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Příkaz on-demand show používá následující syntaxi: show [ banner | authentiction | dot1x | status | configuration ]
Následující příklad popisuje syntaxi příkazu on-demand show v konzole zařízení Gateway nebo DHCP Enforcer:
285
286
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer(on-demand)# show On-Demand: Policy Manager Connected: Policy Manager Domain ID: Client Group:
ENABLED YES BD751DAE0AC827F7015EFE3443254960 My Company/My Group
Authentication: Local Database Authentication: Active Directory Authentication: Active Directory Domain ID:
DISABLED DISABLED DISABLED (NULL)
Active Protocol:
TLS
Banner:
(NULL)
Příkaz On-Demand spm-domain Příkaz spm-domain je nutné nakonfigurovat v konzole zařízení Gateway nebo DHCP Enforcer. V opačném případě se instalace nezdaří. Příkaz spm-domain lze automaticky zasílat aplikaci Symantec Endpoint Protection Manager. Pokud máte instalovanou verzi aplikace Symantec Endpoint Protection Manager 11.2 nebo novější, je příkaz spm-domain automaticky odeslán do této aplikace. Příkaz spm-domain lze automaticky dokončit v konzole jakéhokoli zařízení Enforcer. Verze aplikace Symantec Endpoint Protection Manager dřívější než 11.2 je třeba nakonfigurovat pomocí příkazu on-demand spm-domain v konzole zařízení Gateway nebo DHCP Enforcer. Viz „Povolení dočasného připojení klientů Symantec Network Access Control On-Demand k síti “ na straně 199. Příkaz spm-domain se zobrazuje na stránce klientů v konzole aplikace Symantec Endpoint Protection Manager. Způsob vyhledání příkazu spm-domain se dozvíte v příručce Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Abyste mohli tento příkaz konfigurovat, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Příkaz on-demand spm-domain používá následující syntax: spm-domain {name <řetězec> | id <řetězec>}
Následující příklad popisuje syntaxi příkazu on-demand spm-domain v konzole zařízení Gateway nebo DHCP Enforcer:
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Enforcer# on-demand Enforcer(on-demand)# spm-domain id BD751DAE0AC827F7015EFE3443254960 Enforcer(on-demand)# spm-domain name Default
kde: Řetězec BD751DAE0AC827F7015EFE3443254960 představuje příkaz spm-domain, který je umístěn na stránce Klienti v konzole Symantec Endpoint Protection Manager.
Příkazy On-Demand mac-compliance Příkaz mac-compliance je nutné nakonfigurovat v konzole zařízení Gateway nebo DHCP Enforcer. Příkaz mac-hi je třeba používat, pouze pokud chcete podporovat klienty Symantec Network Access Control On-Demand na platformě Macintosh. V opačném případě se instalace nezdaří. Abyste mohli konfigurovat tento příkaz, musíte být přihlášeni ke konzole zařízení Gateway nebo DHCP Enforcer jako superuser. Viz „Přihlášení k modulu Enforcer“ na straně 82. Příkaz on-demand mac-compliance používá následující syntax: on-demand mac-compliance {disable| enable| interval| show}
kde: disable
Zakáže pravidla ověřování souladu pro klienta Symantec Network Access Control On-demand pro systémy Mac
enable
Povolí pravidla HI pro klienta Symantec Network Access Control On-demand pro systémy Mac
interval
Nastaví interval ověřování souladu (minuty) pro klienta Symantec Network Access Control On-demand pro systémy Mac
show
Zobrazí konfiguraci ověřování souladu pro klienta Symantec Network Access Control On-demand pro systémy Mac
exit
Ukončí nastavení souladu pro systém Macintosh
clear
Vymaže obsah obrazovky
287
288
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
help
Zobrazí nápovědu k příkazu
Příkaz on-demand mac-compliance disable Příkaz on-demand mac-compliance disable používá následující syntaxi: on-demand mac-compliance disable <číslo_pravidla>
Následující příklad popisuje syntaxi příkazu on-demand mac-compliance disable v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(mac-compliance)# disable 1
kde si uživatel může vybrat kterékoli z následujících pravidel zadáním čísla, které je přidruženo k danému číslu, jak je vidět v tomto příkladě: 1 2 3 4 5 6
<State> ENABLED ENABLED ENABLED ENABLED ENABLED ENABLED
Check system updated Check SAV installed Check SAV auto-protect started Check IP firewall started Check Norton confidential installed Check screen saver inactivity/lock
Příkaz on-demand mac-compliance enable Příkaz on-demand mac-compliance enable používá následující syntaxi: on-demand mac-compliance disable <číslo_pravidla>
Následující příklad popisuje syntaxi příkazu on-demand mac-compliance enable v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(mac-compliance)# enable 1
kde si uživatel může vybrat kterékoli z následujících pravidel zadáním čísla, které je přidruženo k danému číslu, jak je vidět v tomto příkladě: 1 2 3 4 5 6
<State> DISABLED DISABLED DISABLED DISABLED DISABLED DISABLED
Check system updated Check SAV installed Check SAV auto-protect started Check IP firewall started Check Norton confidential installed Check screen saver inactivity/lock
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Příkaz On-demand mac-compliance interval Příkaz on-demand mac-compliance interval používá následující syntaxi: on-demand mac-compliance interval <počet_minut>
kde: Uživatel může nastavit interval kontroly shody pro Symantec Network Access Control On-demand Client for Mac v minutách v rozsahu od 1 do 14398560 minut.
Příkaz on-demand mac-compliance show Příkaz on-demand mac-compliance show používá následující syntaxi: on-demand mac-compliance show { rules | interval}
Následující příklad ukazuje příkaz on-demand mac-compliance show v konzole zařízení Gateway nebo DHCP Enforcer: Enforcer(mac-compliance)# show rules 1 ENABLED Check system updated 2 ENABLED Check SAV installed 3 ENABLED Check SAV auto-protect started 4 ENABLED Check IP firewall started 5 ENABLED Check Norton confidential installed 6 ENABLED Check screen saver inactivity/lock Enforcer(mac-compliance)# show interval Interval: 3 (minutes)
289
290
Odkaz na rozhraní příkazového řádku modulu Enforcer Příkazy On-Demand
Kapitola
12
Řešení potíží se zařízením Enforcer Tato kapitola obsahuje následující témata: ■
Řešení potíží se zařízením Enforcer
■
Obecná témata řešení potíží a známé problémy
■
Přenos informací pro ladění pomocí sítě
Řešení potíží se zařízením Enforcer Je možné, že budete potřebovat řešit potíže s komunikací mezi zařízeními Enforcer a aplikací Symantec Endpoint Protection Manager. Viz „Otázky k zařízení Enforcer“ na straně 295. Vyberte kterékoliv z těchto témat: ■
Modulu Enforcer se nedaří registrovat u aplikace Symantec Endpoint Protection Manager
■
Zpoždění při připojování k síti pomocí modulu Enforcer
■
Zařízení Gateway Enforcer blokuje klienty
■
Zařízení DHCP Enforcer blokuje klienty
■
Jedno zařízení LAN Enforcer se v konzoli aplikace Symantec Endpoint Protection Manager registruje dvakrát
■
Události odpojení klientů v protokolu klientů zařízení LAN Enforcer
■
Zařízení LAN Enforcer nepřepíná klienty ke správné síti VLAN
292
Řešení potíží se zařízením Enforcer Obecná témata řešení potíží a známé problémy
Obecná témata řešení potíží a známé problémy Následující témata jsou širší a mohou také poskytnout nápovědu: Tab. 12-1 Příznak
Řešení
Hlavní heslo modulu Délka hesel je omezena na 128 znaků. Použijte jiné, kratší Enforcer je po nastavení heslo. pomocí rozhraní příkazového řádku neplatné Při instalaci zařízení LAN Jde o hardwarový problém. Náhradním postupem je zakázání Enforcer s povoleným protokolu NTP a jeho následné povolení. protokolem NTP na zařízení Dell 850 selhává synchronizace času Změna paměti u R200 To je způsobeno pevným nastavením IRQ. Odeberte způsobuje hardwarové chyby přidanou paměť nebo po úpravě hardwaru nainstalujte modul Enforcer znovu. Naše zkoušky ukazují, že přidání paměti nepředstavuje patrný rozdíl. Protokol ladění byl odstraněn Pokud je u klienta upraven záznam registru debugFileSize nebo debugOverwriteDay, je protokol odstraněn. Neměňte tyto záznamy před získáním hodnot. Některá nastavení (Úroveň ladění, Zachytávání) se po upgradu modulu Enforcer vrací na výchozí hodnoty.
K tomu může dojít při upgradu, ale později již ne.
Dochází k problémům při To je možné vyřešit následujícím nastavením aplikace HP provozu protokolu SNMP OpenView: spolu s modulem Enforcer a ■ Načtěte soubor MIB společnosti Symantec pomocí aplikací HP OpenView položky Option (Možnosti) > Load/unload MIB (Načíst/uvolnit MIB) ■ Klepněte na tlačítko Option (Možnosti) > Event Configuration (Konfigurace událostí), vyberte možnost OnDemandTraps (.1.3.6.1.4.1.393.588) a upravte požadované depeše. V okně Event Message (Zpráva události) vyberte možnost Log and display in category (Zaznamenat do protokolu a zobrazit v kategorii). Poté vyberte z rozevíracího seznamu požadovanou kategorii. Nastavte možnost Event Log Message (Zpráva protokolu událostí) na hodnotu $1.
Řešení potíží se zařízením Enforcer Přenos informací pro ladění pomocí sítě
Přenos informací pro ladění pomocí sítě Pokud nastane problém s aplikací Enforcer, je v ní vytvořen protokol o ladění (kernel.log). Potřebujete-li přenést informace o ladění pomocí sítě, použijte jeden z následujících příkazů ladění k přenosu záznamů o ladění: debug upload
Přenos jednoho souboru na server tftp
Přenos souborů pomocí sítě vyžaduje sériové připojení mezi počítačem a aplikací Enforcer. Níže uvedený příklad představuje výstup přenosu souborů, který provádí Hyperterminál: <Time> 2008-08-01 16:32:26 user.log 2008-08-01 16:32:24 kernel.log 2008-08-01 14:30:03 ServerSylink[08-01-2008-14-30-03].xml 2008-08-01 14:29:59 ServerProfile[08-01-2008-14-29-59].xml Enforcer(debug)# upload tftp 10.1.1.1 filename kernel.log
293
294
Řešení potíží se zařízením Enforcer Přenos informací pro ladění pomocí sítě
Kapitola
13
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Tato kapitola obsahuje následující témata: ■
Otázky k zařízení Enforcer
Otázky k zařízení Enforcer Následující texty poskytují odpovědi na problémy s vynucením na zařízeních Gateway Enforcer, DHCP Enforcer nebo LAN Enforcer. ■
Viz „Který antivirový software poskytuje podporu integrity hostitele?“ na straně 295.
■
Viz „Lze zásady integrity hostitele nastavovat na úrovni skupin nebo na globální úrovni?“ na straně 297.
■
Viz „Lze vytvořit vlastní zprávu integrity hostitele?“ na straně 297.
■
Viz „Co se stane, když zařízení Enforcer nemohou komunikovat s aplikacemi Symantec Endpoint Protection Manager?“ na straně 297.
■
Viz „Je zapotřebí server RADIUS, když zařízení LAN Enforcer běží v transparentním režimu?“ na straně 298.
■
Viz „Jak vynucení spravuje počítače bez klientů?“ na straně 298.
Který antivirový software poskytuje podporu integrity hostitele? Aplikace Symantec Network Access Control podporuje tyto antivirové programy:
296
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Otázky k zařízení Enforcer
■
AVG Anti-Virus Free Edition 8.0
■
AVG Internet Security Edition 8.0
■
BitDefender Internet Security 2008
■
BitDefender Total Security 2008
■
CA Internet Security Suite Plus 2008
■
CA Personal Firewall 2008
■
eTrust EZ Antivirus 7.1.129
■
eTrust EZ Antivirus 7.014
■
Lavasoft Ad-Aware Pro 2008
■
McAfee Internet Security Suite 2008
■
McAfee VirusScan Professional 7.02
■
McAfee VirusScan Corp Edition 7.1.0
■
McAfee VirusScan Enterprise 8.0i
■
McAfee VirusScan Professional 8.0
■
McAfee VirusScan Home Edition 8.0
■
McAfee VirusScan Home Edition 9.0
■
McAfee VirusScanPlus 2008
■
Norton 360 All in One Security
■
Norton AntiVirus 2004
■
Norton AntiVirus 2005
■
Norton AntiVirus 2008
■
Norton AntiVirus 9.0
■
Norton Internet Security 2008
■
Panda Internet Security 2008
■
Panda Platinum Antivirus 7.0
■
Panda Security Panda Antivirus + Firewall 2008
■
Panda Titanium Antivirus 2004
■
Sophos AntiVirus 3.87
■
Trend Micro Internet Security 2008
■
Trend Micro OfficeScan Corporate Edition 5.58
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Otázky k zařízení Enforcer
■
Trend Micro OfficeScan Corporate Edition 6.5
■
Trend Micro PC-cillin 2003
■
Trend Micro PC-cillin Internet Security 2004
■
Webroot Spy Sweeper 5.5
Lze zásady integrity hostitele nastavovat na úrovni skupin nebo na globální úrovni? Na konzoli aplikace Symantec Endpoint Protection Manager lze přiřazovat zásady integrity hostitele podle skupiny a umístění.
Lze vytvořit vlastní zprávu integrity hostitele? Aplikace Symantec Network Access Control může vytvářet vlastní zprávy k jednotlivým pravidlům pro integritu hostitele. Zprávu lze upravovat včetně ikony a nadpisu. Toto přizpůsobení můžete provést prostřednictvím vlastního pravidla pro integritu hostitele.
Co se stane, když zařízení Enforcer nemohou komunikovat s aplikacemi Symantec Endpoint Protection Manager? Pokud zamýšlíte používat zařízení Enforcer spolu s aplikací Symantec Endpoint Protection, doporučujeme vám využít redundantní servery pro správu. Pokud není aplikace Symantec Endpoint Protection Manager dostupná, zařízení Enforcer blokuje provoz přicházející od klientů. Vhodnější je používat více serverů pro správu. K ověření identifikátoru GUID od klientů odesílá zařízení Enforcer aplikaci Symantec Endpoint Protection Manager prostřednictvím protokolu RADIUS paket UDP na port 1812. Pokud brána firewal tento port blokuje nebo pokud není aplikace Symantec Endpoint Protection Manager dostupná, potom se klienti blokují. Volba na zařízení Enforcer umožňuje přístup klienta do sítě, i když aplikace Symantec Endpoint Protection Manager není dostupná. Pokud je tato volba povolena a aplikace Symantec Endpoint Protection Manager není dostupná, kontroly identifikátoru GUID a profilu nebudou prováděny. Když aplikace Symantec Endpoint Protection Manager není dostupná, provede se na klientovi pouze kontrola integrity hostitele. Můžete použít příkaz advanced local-auth, který zapíná nebo vypíná ověřování klientů v zařízení Enforcer. Viz „Advanced local-auth“ na straně 246.
297
298
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Otázky k zařízení Enforcer
Je zapotřebí server RADIUS, když zařízení LAN Enforcer běží v transparentním režimu? Požadavky serveru RADIUS závisí na konfiguraci přepínače a zařízení používaném přepínačem k ověřování. Zde je několik důležitých informací: ■
Přepínače, které využívají servery RADIUS i k jiným účelům než ověřování uživatelů protokolem 802.1x. Příklad: Při přihlašování k přepínači je zapotřebí zadat uživatelské jméno a heslo. Ověření pro toto přihlášení obvykle provádí server RADIUS. Je-li nainstalováno zařízení LAN Enforcer, odešle se žádost o ověření jemu. Pokud se žádost odesílá zařízení LAN Enforcer, je v něm třeba nastavit adresu IP serveru RADIUS. Je třeba nakonfigurovat zařízení LAN Enforcer, aby předávalo všechny požadavky jiných protokolů než EAP přímo serveru RADIUS.
■
Instalace žadatele o ověření 802.1x na klientském systému. Je-li na klientském systému nainstalován žadatel o ověření 802.1x, zařízení LAN Enforcer zkouší ověření na serveru RADIUS. V systému Windows XP je standardně ověřování 802.1x povoleno. Pokud u klienta povolíte provoz v transparentním režimu, nedeaktivuje se automaticky vestavěný žadatel o ověření 802.1x. Měli byste ověřit, že v žádném z klientských počítačů není spuštěn žadatel o ověření 802.1x.
■
Konfigurace zařízení Enforcer, která ignoruje požadavky protokolu RADIUS od klientských počítačů, na kterých je nainstalován žadatel o ověření 802.1x jiného dodavatele. Tuto konfiguraci lze nastavit zadáním adresy IP serveru RADIUS 0.0.0.0. Toto nastavení můžete použít, pokud chcete provozovat zařízení LAN Enforcer v transparentním režimu. Někteří klienti mohou používat žadatele o ověření 802.1x. V tomto případě lze nastavit, aby zařízení LAN Enforcer neodesílalo žádný provoz na server RADIUS.
Jak vynucení spravuje počítače bez klientů? Aplikace Symantec Network Access Control dokáže vynucovat zásady zabezpečení pouze pro systémy s nainstalovanými klienty Symantec. Stav zabezpečení jiných výrobců nelze vynutit. Jakékoliv vynucení jinými výrobci může narušit síť. K dispozici jsou následující metody vynucení: Vlastní vynucení
Vlastní vynucení klientskou bránou firewall nemá žádný vliv na systémy bez klientů v síti.
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Otázky k zařízení Enforcer
Vynucení Gateway
V sítích, které používají vynucení bránou, nemohou systémy bez klientů projít přes bránu. Umístění zařízení Gateway Enforcer v síti je kritické, neboť může blokovat přístup k důležitým síťovým prostředkům, který vyžadují jiné systémy. Můžete vytvořit výjimky pro důvěryhodné adresy IP, které pak mohou bez klienta procházet bránou oběma směry. Podobně může brána vynechat vynucení u operačních systémů jiného dodavatele než společnosti Microsoft. Jednou z možností je umístit servery, které nejsou kritické, na stejnou stranu od brány. Tato konfigurace zjednoduší návrh sítě bez vážnějšího porušení bezpečnosti.
Vynucení DHCP
Vynucení DHCP omezuje nevyhovující počítače nebo systémy bez klientů. Těmto systémům vyčlení oddělený adresní prostor nebo jim poskytne jen některé cesty směrování. Tím se omezí počet síťových služeb přístupných těmto zařízením. Podobně jako u vynucování bránou lze vytvořit výjimky pro důvěryhodné adresy MAC a operační systémy jiného dodavatele než společnosti Microsoft.
Vynucení LAN
Vynucení LAN využívá k ověřování mezi přepínačem a klientskými systémy připojenými k síti protokol 802.1x. Aby bylo možné tento způsob používat, musí software přepínače podporovat protokol 802.1x a být správně nakonfigurován. Pokud chce správce ověřovat identitu uživatele i stav NAC, je zapotřebí také software žadatele o ověření 802.1x. Konfigurace přepínače musí být schopná zvládat kromě konfigurací systémů Symantec také výjimky pro systémy bez klientů. Tuto konfiguraci přepínače lze provést několika způsoby. Ty se liší v závislosti na typu přepínače a verzi použitého softwaru. Obvyklá metoda využívá techniku VLAN hosta (guest VLAN). Systémům bez klientů je přiřazena síť s omezenou funkčností. Jinou metodou je použití výjimek podle adres MAC. Na vybraných portech lze protokol 802.1x deaktivovat. Avšak jeho deaktivování na vybraných portech umožní komukoliv se přes ně připojit, proto se tato možnost nedoporučuje. Mnoho dodavatelů používá zvláštní nastavení pro telefony VoIP, čímž lze tato zařízení automaticky přesunout do zvláštních síti VLAN pro hlasovou komunikaci.
299
300
Často kladené otázky zařízení Gateway, DHCP a LAN Enforcer Otázky k zařízení Enforcer
Univerzální programátorské rozhraní pro vynucování
Pokud používáte univerzální programátorské rozhraní pro vynucování, stará se o ošetření výjimek implementace rozhraní jiného dodavatele.
Vynucování pomocí zařízení Cisco NAC
Pokud řešení Symantec využíváte ke komunikaci s technologií Cisco NAC, zajišťuje ošetření výjimek architektura Cisco NAC.
Oddíl
2
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP
■
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft
■
Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP
■
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP
302
Kapitola
14
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Tato kapitola obsahuje následující témata: ■
Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP server
■
Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje
■
Zahájení instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP
Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP server Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP pracuje v souladu se serverem Microsoft Windows Dynamic Host Configuration Protocol (DHCP). Zajišťuje, že klienti, kteří se pokoušejí připojit k síti, splňují konfigurované zásady zabezpečení. Modul Integrated Enforcer pro servery Microsoft DHCP dosahuje bezpečnosti zachycováním a kontrolou zpráv DHCP od všech klientů, kteří dostávají dynamickou adresu IP pomocí serveru DHCP. Pak seskupí nezabezpečené počítače do třídy karanténa a poskytne jim dostupné omezené zdroje podle konfigurací vytvořené zásady.
304
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje
Jak zařízení Integrated Enforcer pro servery Microsoft DHCP funguje Zařízení Integrated Enforcer pro servery Microsoft DHCP kontroluje instalace klientů Symantec Endpoint Protection nebo Symantec Network Access Control na všech klientech DHCP, které spravuje server DHCP. Pak pro tyto klienty vynutí zásady podle konfigurace v aplikaci Symantec Endpoint Security Manager. Modul Integrated Enforcer pro servery Microsoft DHCP také ověří, zda v klientovi existuje agent, identifikátor Globally Unique Identifier (GUID), integrita hostitele a verze profilu podle všech nakonfigurovaných zásad. Pak podle výsledku ověřování klienta povolí nebo jej umístí do karantény. Zařízení Integrated Enforcer pro servery Microsoft DHCP používá k interakci se serverem Microsoft DHCP zásuvný modul. I když musí být zařízení Integrated Enforcer pro servery Microsoft DHCP a DHCP Server instalováno ve stejném počítači, není zařízení Integrated Enforcer pro servery Microsoft DHCP na serveru DHCP závislé. Poznámka: Zastavení serveru DHCP nezastaví zařízení Integrated Enforcer pro servery Microsoft DHCP. Zastavení zařízení Integrated Enforcer pro servery Microsoft DHCP nezastaví server DHCP. Umístěním zařízení Integrated Enforcer pro servery Microsoft DHCP do stejného počítače jako serveru DHCP se vyloučí potřeba dalšího hardwaru pro zařízení Integrated Enforcer pro servery Microsoft DHCP. Aplikace Symantec Endpoint Protection Manager slouží ke konfiguraci zásad zabezpečení. Zařízení Integrated Enforcer pro servery Microsoft DHCP však vynutí zásady zabezpečení. Zařízení Integrated Enforcer pro servery Microsoft DHCP ověřuje klientské počítače zjišťováním odpovědí týkajících se následujících kritérií. ■
Je v klientském počítači spuštěný klient Symantec Endpoint Protection nebo Symantec Network Access Control?
■
Má klient Symantec Endpoint Protection nebo Symantec Network Access Control správný identifikátor GUID? Identifikátor GUID je 128bitové hexadecimální číslo přiřazené klientskému počítači se spuštěným klientem Symantec Endpoint Protection v klientovi Symantec Network Access Control. Server pro správu generuje identifikátor GUID při prvním připojení klienta.
■
Odpovídá klient nejnovější zásadě Integrita hostitele, kterou správce nastaví v konzole aplikace Symantec Endpoint Protection Manager?
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Zahájení instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Klient obdržel nejnovější zásadu zabezpečení.
■
Klient má důvěryhodnou aplikaci Network Access Control Scanner, důvěryhodnou adresu MAC nebo používá důvěryhodný operační systém (podle konfigurace).
Pokud modul Integrated Enforcer pro server Microsoft DHCP klienta neověří, získá klient přístup do oblasti karantény s omezenými síťovými zdroji. Oblast karantény se konfiguruje ve stejném počítači, ve kterém je uložen modul Integrated Enforcer pro servery Microsoft DHCP a server Microsoft DHCP. Můžete také nastavit přístup k serveru pro zotavení. Server pro zotavení poskytne klientům odkazy na software, který jim umožní opět získat soulad se zabezpečením.
Zahájení instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Tato dokumentace popisuje, jak nainstalovat, nakonfigurovat a používat zařízení Symantec Integrated Enforcer se serverem Microsoft DHCP server. Na začátku vykonejte tyto kroky: ■
Projděte si součásti, které jsou třeba k instalaci zařízení Integrated Enforcer pro servery Microsoft DHCP. Viz „Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 310.
■
Projděte si hardwarové požadavky pro zařízení Integrated Enforcer pro servery Microsoft DHCP. Viz „Požadavky na hardware pro zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 310.
■
Projděte si požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP. Viz „Požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 311.
■
Kam umístit zařízení Integrated Enforcer pro servery Microsoft DHCP v síťovém prostředí. Viz „Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 311.
■
Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Viz „Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 314.
■
Nakonfigurujte připojení a nastavení zařízení Integrated Enforcer pro servery Microsoft DHCP v konzole Enforcer.
305
306
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP
Viz „Konfigurace modulu Symantec NAC Integrated Enforcer v konzole Enforcer“ na straně 342.
Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP je součástí softwaru Symantec Network Access Control. Tab. 14-1 poskytuje další informace o úlohách, které může být nutné provádět před instalací zařízení Integrated Enforcer pro servery Microsoft DHCP nebo po ní. Tab. 14-1
Související dokumentace k zařízení Integrated Enforcer pro servery Microsoft DHCP
Název dokumentu
Popis
Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control
Popisuje způsob instalace následujících softwarových součástí: ■
Symantec Endpoint Protection Manager
Klient aplikace Symantec Endpoint Protection ■ Klient Symantec Network Access Control ■
Vysvětluje také způsob instalace a konfigurace zabudované databáze a databáze Microsoft SQL a uvádí postup nastavení replikace. Příručka správce aplikace Symantec Endpoint Popisuje způsob konfigurace a správy Protection a Symantec Network Access následujících softwarových součástí: Control ■ Symantec Endpoint Protection Manager Klient aplikace Symantec Endpoint Protection ■ Klient Symantec Network Access Control ■
Popisuje také nastavení zásad integrity hostitele, které modul Enforcer používá k implementaci shody v klientských počítačích.
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP
Název dokumentu
Popis
Online nápověda pro aplikace Symantec Endpoint Protection a Symantec Network Access Control
Vysvětluje, jak se používá aplikace Symantec Endpoint Protection Manager.
soubory sep_readme.txt a snac_readme.txt Obsahuje nejnovější informace o důležitých závadách spojených s modulem Enforcer, které mohou ovlivnit také aplikaci Symantec Endpoint Protection Manager. Informace o závadách týkajících se modulu Symantec Endpoint Protection získáte v souboru sep_readme.txt na instalačním disku označeném CD1. Informace o závadách týkajících se modulu Symantec Network Access Control získáte v souboru snac_readme na instalačním disku označeném CD2. Příručka klienta aplikace Symantec Endpoint Popisuje způsob použití následujících Protection a Symantec Network Access softwarových součástí: Control ■ Klient aplikace Symantec Endpoint Protection ■ Klient Symantec Network Access Control Online nápověda pro klienta Symantec Endpoint Protection a Symantec Network Access Control
Popisuje způsob použití následujících softwarových součástí:
Online nápověda k zařízení Integrated Enforcer pro servery Microsoft DHCP
Popisuje způsob konfigurace zařízení Integrated Enforcer pro servery Microsoft DHCP.
Klient aplikace Symantec Endpoint Protection ■ Klient Symantec Network Access Control ■
Online nápověda k zařízení Integrated Popisuje způsob konfigurace zařízení Enforcer pro architekturu Microsoft Network Integrated Enforcer pro architekturu NAP Access Protection (NAP) (Microsoft Network Access Protection).
307
308
Úvod do modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft Další zdroje informací o související dokumentaci pro zařízení Integrated Enforcer pro servery Microsoft DHCP
Kapitola
15
Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Tato kapitola obsahuje následující témata: ■
Plánování instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Požadavky na hardware pro zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP
Plánování instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Před zprovozněním modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP je třeba splnit několik požadavků. Tyto požadavky se vztahují na hardware i software a další softwarové komponenty, včetně aplikací třetích stran.
310
Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP
Typ modul Enforcer, které můžete implementovat, závisí na typu zakoupeného produktu Symantec Network Access Control. Další informace naleznete v licenční smlouvě.
Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP Zařízení Integrated Enforcer pro servery Microsoft DHCP pracuje se serverem Microsoft DHCP, aplikací Symantec Endpoint Protection Manager a klientem Symantec Network Access Control. Ověřuje, zda klienti, kteří se pokoušejí připojit k síti, splňují konfigurované zásady zabezpečení. Před použitím zařízení Integrated Enforcer pro servery Microsoft DHCP Servers nainstalujte následující požadované součásti: Aplikace Symantec Endpoint Protection Nutná součást k vytvoření zásad zabezpečení v Manager centrálním umístění a jejich přidělení klientům. Klient Symantec Network Access Control
Požadovaná součást, pokud chcete, aby koncoví uživatelé byli chráněni vynucením zásad zabezpečení poskytovaných zařízením Integrated Enforcer pro servery Microsoft DHCP.
Microsoft Windows DHCP Server
Požadovaná součást, pokud chcete, aby koncoví uživatelé byli chráněni zásadami zabezpečení poskytovanými zařízením Integrated Enforcer pro servery Microsoft DHCP.
Zařízení Integrated Enforcer pro Požadovaná součást k ověření klientů a vynucení servery Microsoft DHCP (instalované zásad zabezpečení. ve stejném počítači jako služba DHCP)
Požadavky na hardware pro zařízení Integrated Enforcer pro servery Microsoft DHCP Zařízení Integrated Enforcer pro servery Microsoft DHCP má hardwarové požadavky na paměť RAM, procesor, úložný prostor, monitor, síťový adaptér a kartu síťového rozhraní. Pro instalace do 10 000 uživatelů použijte tyto požadavky: ■
Pentium III 750 MHz
■
256 MB paměti
Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP
■
120 MB volného místa na disku
■
Síťové adaptéry Fast ethernet
■
Jednu kartu síťového rozhraní (NIC) s nainstalovaným protokolem TCP/IP
Pro instalace nad 10 000 uživatelů použijte tyto požadavky: ■
Pentium 4 2,4 GHz
■
512 MB paměti
■
512 MB volného místa na disku
■
Síťové adaptéry 1 GB
■
Monitor s rozlišením 800 x 600 a 256 barvami (minimálně)
■
Jednu kartu síťového rozhraní (NIC) s nainstalovaným protokolem TCP/IP
Požadavky na operační systém pro zařízení Integrated Enforcer pro servery Microsoft DHCP Zařízení Symantec Integrated Enforcer vyžaduje instalaci jednoho z následujících operačních systémů před instalací zařízení Enforcer pro servery Microsoft DHCP: ■
Windows Server 2000 Service Pack 4 se Microsoft DHCP server
■
Windows Server 2003 Service Pack se serverem Microsoft DHCP server
■
Windows Server 2003 Service Pack 1 a Microsoft DHCP Server
Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP Obr. 15-1 ukazuje, jak umístit zařízení Integrated Enforcer pro servery Microsoft DHCP, server Microsoft DHCP, aplikaci Symantec Endpoint Protection Manager a interní nebo vzdálené klienty v síti.
311
312
Plánování instalace modulu Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Plánování umístění zařízení Integrated Enforcer pro servery Microsoft DHCP
Obr. 15-1
Umístění modulu Symantec NAC Integrated Enforcer pro servery DHCP Microsoft
Symantec Endpoint Protection Manager
Klienti
Agent pro přenos
Páteř podnikové sítě Chráněné servery Rozbočovač/přepínač
Server DHCP s modulem Integrated Enforcer
Kapitola
16
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Tato kapitola obsahuje následující témata: ■
Před instalací zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Upgrade zařízení Integrated Enforcer pro servery Microsoft DHCP
Před instalací zařízení Integrated Enforcer pro servery Microsoft DHCP Než začnete instalovat zařízení Symantec Integrated Enforcer, je třeba provést následující instalace a konfigurace: ■
Instalace aplikace Symantec Endpoint Protection Manager Poznámka: Doporučujeme nainstalovat aplikaci Symantec Endpoint Protection Manager před instalací zařízení Integrated Enforcer pro servery Microsoft DHCP. Aplikace Symantec Endpoint Protection Manager musí být nainstalována, aby modul Integrated Enforcer pro servery Microsoft DHCP pracoval správně. Další informace o instalaci aplikace Symantec Endpoint Protection Manager najdete v příručce Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control.
314
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
■
Ověřte, že počítač, na kterém plánujete instalaci služby DHCP a modulu Symantec Integrated Enforcer pro servery Microsoft DHCP, splňuje systémové požadavky. Viz „Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 310.
■
Instalace serveru Microsoft Windows 2000 Server nebo Microsoft Windows 2003 Server Viz dokumentace dodávaná s aplikací Microsoft Windows Server. Viz „Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 310.
■
Konfigurace služby DHCP na serveru Microsoft Windows 2000 Server nebo Microsoft Windows 2003 Server Viz dokumentace ke službě DHCP dodávaná s aplikací Microsoft Windows Server.
Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP Modul Symantec Integrated Enforcer pro servery Microsoft DHCP je třeba nainstalovat do počítače, do něhož jste dříve nainstalovali operační systém Microsoft Windows server spolu se službou DHCP. Musíte se přihlásit jako správce nebo jako uživatel ze skupiny Administrators. Poznámka: Po instalaci serveru Microsoft DHCP je nutné nakonfigurovat zařízení Integrated Enforcer pro servery Microsoft DHCP. Zařízení Integrated Enforcer pro servery Microsoft DHCP se pak může připojit k aplikaci Symantec Endpoint Protection Manager. Zařízení Integrated Enforcer pro servery Microsoft DHCP můžete nainstalovat pomocí některé z následujících metod instalace: ■
Průvodce instalací Viz „Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP pomocí průvodce“ na straně 335.
■
Příkazový řádek Viz „Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP z příkazové řádky“ na straně 336.
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
315
Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP pomocí průvodce
1
Vložte instalační disk CD2. Pokud se instalace nespustí automaticky, poklepejte na soubor IntegratedEnforcerInstaller.exe. Pokud se zobrazí tato zpráva, musíte ukončit instalaci a nainstalovat server DHCP: Server DHCP musí být v tomto počítači, aby bylo možné tento produkt nainstalovat. Chcete-li nainstalovat server DHCP, klepněte v ovládacích panelech na průvodce odebráním součástí systému Windows.
Pokud je už server DHCP naistalovaný, objeví se panel Welcome to Symantec Integrated Enforcer Installation Wizard.
2
Na uvítacím panelu klepněte na tlačítko Next.
3
V panelu License Agreement klepněte na možnost I accept the license agreement.
4
Klepněte na tlačítko Next.
5
Na panelu Destination Folder proveďte jeden z těchto kroků:
6
■
Chcete-li potvrdit výchozí cílovou složku, klepněte na tlačítko Next.
■
Klepněte na tlačítko Browse, vyhledejte a vyberte požadovanou cílovou složku, klepněte na tlačítko OK a potom na tlačítko Next.
Pokud se zobrazí panel Role Selection, vyberte možnost DHCP Enforcement for Microsoft DHCP Server a klepněte na tlačítko Next. Panel Role Selection se zobrazí pouze v případě, že lze na základě služeb spuštěných na serveru nainstalovat více než jeden typ zařízení Symantec NAC Integrated Enforcer.
7
Na panelu Ready to Install the Application klepněte na tlačítko Next.
8
Po výzvě, jestli chcete restartovat server DHCP, proveďte jeden z těchto kroků: ■
Restartujte server DHCP ihned klepnutím na tlačítko Ano.
■
Restartujte server DHCP později ručně klepnutím na tlačítko No. Pokud restartujete server DHCP později, musíte ho ukončit a potom spustit.
Server DHCP musíte restartovat, jinak zařízení Symantec Integrated Enforcer nebude fungovat.
316
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP
Viz „Ruční ukončení a spuštění serveru Microsoft DHCP“ na straně 337.
9
Klepněte na tlačítko Dokončit. Pokud potřebujete modul Integrated Enforcer nainstalovat znovu, musíte ho nejprve odinstalovat. Viz „Odinstalace zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 316. Viz „Odinstalace zařízení Integrated Enforcer pro servery Microsoft DHCP z příkazové řádky“ na straně 317.
Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP z příkazové řádky
1
Instalaci z příkazového řádku začnete otevřením okna příkazového řádku DOS. Proces instalace z příkazové řádky používá pouze výchozí nastavení.
2
V příkazové řádce určete složku, ve které je umístěn program Integrated Enforcer Installer. Výchozí umístění instalace je C:\Program Files\Symantec\Integrated Enforcer.
3
Zadejte v příkazové řádce IntegratedEnforcerInstaller.exe /qr a zadejte: Enter.
Odinstalace zařízení Integrated Enforcer pro servery Microsoft DHCP
1
Na hlavním panelu systému Windows klepněte na tlačítko Start > Ovládací panely> Přidat nebo odebrat programy.
2
Klepněte na možnost Symantec Integrated Enforcer a potom klepněte na tlačítko Odebrat.
3
Po výzvě, jestli chcete software odebrat, klepněte na tlačítko Ano.
4
Po výzvě, jestli chcete restartovat server DHCP, udělejte jeden z těchto kroků: ■
Restartujte server DHCP ihned klepnutím na tlačítko Ano.
■
Restartujte server DHCP později ručně (výchozí možnost) klepnutím na tlačítko Ne. Pokud restartujete server DHCP později, musíte ho ukončit a potom spustit. Server DHCP musíte restartovat, abyste modul Symantec Integrated Enforcer odinstalovali kompletně.
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Upgrade zařízení Integrated Enforcer pro servery Microsoft DHCP
Odinstalace zařízení Integrated Enforcer pro servery Microsoft DHCP z příkazové řádky
1
Otevřete příkazovou řádku DOS.
2
Na příkazové řádce zadejte jeden z následujících příkazů podle nainstalované verze: verze 11.0.0000
MsiExec.exe /qn /X {C58BCCDF-A390-46CF-A328-323572E35735}
verze 11.0.1000 nebo vyšší
misexec.exe /qn /X Uvedený soubor se musí nacházet v cestě Program Files\Common Files\Wise Installation Wizard.
Ruční ukončení a spuštění serveru Microsoft DHCP
1
Na hlavním panelu systému Windows klepněte na tlačítko Start > Ovládací panely> Nástroje pro správu > Služby.
2
Klepněte na položku Server DHCP.
3
Klepněte pravým tlačítkem myši a potom klepněte na možnost Ukončit.
4
Klepněte na tlačítko Start.
Upgrade zařízení Integrated Enforcer pro servery Microsoft DHCP Následující úlohy podrobně popisují, jak upgradovat na zařízení Symantec NAC Integrated Enforcer:
317
318
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Microsoft DHCP Upgrade zařízení Integrated Enforcer pro servery Microsoft DHCP
Upgrade zařízení Symantec NAC Integrated Enforcer
1
Odinstalujte stávající verzi zařízení Integrated Enforcer. Viz „Odinstalace zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 316. Viz „Odinstalace zařízení Integrated Enforcer pro servery Microsoft DHCP z příkazové řádky“ na straně 317. Poznámka: Před instalací nové verze zařízení Integrated Enforcer restartujte službu DHCP.
2
Nainstalujte novou verzi zařízení Integrated Enforcer. Viz „Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP pomocí průvodce“ na straně 335. Viz „Instalace zařízení Integrated Enforcer pro servery Microsoft DHCP z příkazové řádky“ na straně 336.
Oddíl
3
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
■
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
■
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer
■
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP
320
Kapitola
17
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Tato kapitola obsahuje následující témata: ■
Informace o zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP (Integrated Lucent Enforcer)
■
K čemu zařízení Integrated Lucent Enforcer slouží
■
Jak funguje zařízení Integrated Lucent Enforcer
■
Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer
Informace o zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP (Integrated Lucent Enforcer) Zařízení Integrated Lucent Enforcer pracuje se serverem Lucent VitalQIP DHCP Server verze 6.2.
322
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP K čemu zařízení Integrated Lucent Enforcer slouží
Zařízení Integrated Lucent Enforcer a aplikace Symantec Endpoint Protection Manager zajišťují, že následující aplikace vyhovují nakonfigurovaným zásadám zabezpečení: ■
Klient aplikace Symantec Endpoint Protection
■
Klient Symantec Network Access Control
Zařízení Integrated Lucent Enforcer ověří shodu klientských počítačů se zásadami zabezpečení nakonfigurovanými správcem. Zabezpečení dosahuje zachycením a kontrolou zpráv DHCP z jednotlivých klientů, kteří obdrží dynamickou IP adresu ze serveru Lucent VitalQIP Enterprise DHCP. Zařízení Integrated Lucent Enforcer pak seskupí nezabezpečené počítače do karantény. Poskytuje také nezabezpečeným počítačům dostupné, ale omezené zdroje pro jednotlivé stanovené zásady zabezpečení.
K čemu zařízení Integrated Lucent Enforcer slouží Konzola Integrated Lucent Enforcer nabízí provádění následujících klíčových úkolů: ■
Konfigurace připojení na server Symantec Endpoint Protection Server.
■
Spuštění a zastavení služby Enforcer.
■
Konfigurace spojení s aplikací Network Access Control Scanners.
■
Konfigurace automatických karantén.
■
Sledovat stav připojení.
■
Zobrazení protokolu klienta a systému.
■
Zobrazení důvěryhodných dodavatelů DHCP.
Jak funguje zařízení Integrated Lucent Enforcer Zařízení Integrated Lucent Enforcer zjišťuje v klientském počítači přítomnost klientů Symantec Endpoint Protection a Symantec Network Access Control, které server Lucent VitalQIP Enterprise DHCP spravuje. Zařízení Integrated Lucent Enforcer pak pro tyto klienty vynutí zásady podle konfigurace v aplikaci Symantec Endpoint Protection Manager, což je tzv. server pro správu. Zařízení Integrated Lucent Enforcer ověřuje klientské počítače zjišťováním odpovědí týkajících se následujících kritérií: ■
Je v klientském počítači spuštěný klient Symantec Endpoint Protection nebo Symantec Network Access Control?
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Jak funguje zařízení Integrated Lucent Enforcer
■
Má klient Symantec Endpoint Protection nebo Symantec Network Access Control správný identifikátor GUID? Identifikátor GUID je 128bitové hexadecimální číslo přiřazené klientskému počítači se spuštěným klientem Symantec Endpoint Protection v klientovi Symantec Network Access Control. Server pro správu generuje identifikátor GUID při první instalaci klienta.
■
Zásada Integrita hostitele (HI) Zásada Integrita hostitele zajišťuje, aby v klientském počítači byly spuštěny požadované aplikace a datové soubory, když se klientský počítač pokusí připojit k síti.
■
Sériové číslo profilu založené na nejnověji nakonfigurovaných zásadách zabezpečení včetně nejnovější zásady Integrita hostitele. Zařízení Integrated Lucent Enforcer ověří, zda klientský počítač obdržel nejnovější zásady zabezpečení ze serveru pro správu. Pokud sériové číslo profilu neodpovídá, pak zařízení Integrated Lucent Enforcer upozorní klientský počítač, aby aktualizoval své zásady zabezpečení.
Poznámka: Zařízení Integrated Lucent Enforcer spolupracuje se serverem Lucent VitalQIP Enterprise DHCP Server pomocí zásuvného modulu. Zařízení Integrated Lucent Enforcer však není závislé na serveru Lucent VitalQIP Enterprise DHCP Server. Pokud server Lucent VitalQIP Enterprise DHCP zastavíte, zařízení Integrated Lucent Enforcer nadále funguje. Pokud zastavíte zařízení Integrated Lucent Enforcer, server Lucent VitalQIP Enterprise DHCP Server nadále funguje. Máte-li zařízení Integrated Lucent Enforcer a Lucent VitalQIP Enterprise DHCP Server nainstalované ve stejném počítači, není třeba další hardware. Server pro správu slouží ke konfiguraci zásad zabezpečení, které vynucuje zařízení Integrated Lucent Enforcer. Před tím, než zařízení Integrated Enforcer povolí klientovi připojit se k síti, ověří klienta kontrolou těchto podmínek: ■
Na klientském počítači musí být nainstalován a spuštěn klient Symantec Endpoint Protection nebo Symantec Network Access Control.
■
Klient má správný identifikátor GUID.
■
Klient odpovídá nejnovější výchozí zásadě Integrita hostitele nebo vaší vlastní zásadě Integrita hostitele.
■
Klient obdržel nejnovější zásadu zabezpečení.
■
Klient má důvěryhodnou aplikaci Network Access Control Scanner, důvěryhodnou adresu MAC nebo používá důvěryhodný operační systém (podle konfigurace).
323
324
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer
Pokud zařízení Integrated Lucent Enforcer klienta neověří, získá klient přístup do oblasti karantény s omezenými síťovými prostředky. Oblast karantény je konfigurována ve stejném počítači jako zařízení Integrated Lucent Enforcer a Lucent VitalQIP Enterprise DHCP Server. Můžete také nastavit přístup k serveru pro zotavení. Server pro zotavení poskytne klientům odkazy na software, který jim umožní opět získat soulad se zabezpečením.
Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer Zařízení Integrated Lucent Enforcer je součástí softwaru Symantec Network Access Control. Tab. 17-1 poskytuje další informace o úlohách, které může být nutné provádět před instalací zařízení Integrated Lucent Enforcer nebo po ní. Tab. 17-1
Související dokumentace pro zařízení Integrated Lucent Enforcer
Název dokumentu
Popis
Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control
Popisuje způsob instalace následujících softwarových součástí: ■
Symantec Endpoint Protection Manager
■
Klient aplikace Symantec Endpoint Protection
■
Klient Symantec Network Access Control
Vysvětluje také způsob instalace a konfigurace zabudované databáze a databáze Microsoft SQL a uvádí postup nastavení replikace. Příručka správce aplikace Symantec Endpoint Protection a Symantec Network Access Control
Popisuje způsob konfigurace a správy následujících softwarových součástí: ■
Symantec Endpoint Protection Manager
■
Klient aplikace Symantec Endpoint Protection
■
Klient Symantec Network Access Control
Popisuje také nastavení zásad integrity hostitele, které modul Enforcer používá k implementaci shody v klientských počítačích. Online nápověda pro aplikace Symantec Vysvětluje, jak se používá aplikace Symantec Endpoint Protection a Symantec Endpoint Protection Manager. Network Access Control
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer
Název dokumentu
Popis
soubory sep_readme.txt a snac_readme.txt
Obsahuje nejnovější informace o důležitých závadách spojených s modulem Enforcer, které mohou ovlivnit také aplikaci Symantec Endpoint Protection Manager. Informace o závadách týkajících se modulu Symantec Endpoint Protection získáte v souboru sep_readme.txt na instalačním disku označeném CD1. Informace o závadách týkajících se modulu Symantec Network Access Control získáte v souboru snac_readme na instalačním disku označeném CD2.
Příručka klienta aplikace Symantec Endpoint Protection a Symantec Network Access Control
Popisuje způsob použití následujících softwarových součástí: ■
Klient aplikace Symantec Endpoint Protection
■
Klient Symantec Network Access Control
Online nápověda pro klienta Symantec Popisuje způsob použití následujících Endpoint Protection a Symantec softwarových součástí: Network Access Control ■ Klient aplikace Symantec Endpoint Protection ■
Online nápověda pro zařízení Integrated Lucent Enforcer
Klient Symantec Network Access Control
Popisuje, jak konfigurovat zařízení Integrated Lucent Enforcer.
Online nápověda k zařízení Integrated Popisuje způsob konfigurace zařízení Integrated Enforcer pro servery Microsoft DHCP Enforcer pro servery Microsoft DHCP. Online nápověda k zařízení Integrated Popisuje způsob konfigurace zařízení Integrated Enforcer pro architekturu Microsoft Enforcer pro architekturu NAP (Microsoft Network Access Protection (NAP) Network Access Protection).
325
326
Základní informace o zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Další zdroje informací o související dokumentaci pro zařízení Integrated Lucent Enforcer
Kapitola
18
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Tato kapitola obsahuje následující témata: ■
Plánování instalace zařízení Integrated Lucent Enforcer
■
Nutné komponenty zařízení Integrated Lucent Enforcer
■
Plánování umístění zařízení Integrated Lucent Enforcer
■
Hardwarové požadavky pro zařízení Integrated Lucent Enforcer
■
Požadavky operačního systému pro zařízení Integrated Lucent Enforcer
Plánování instalace zařízení Integrated Lucent Enforcer Před zprovozněním zařízení Integrated Lucent Enforcer je nutné splnit řadu požadavků. Tyto požadavky se vztahují na hardware i software a další softwarové komponenty, včetně aplikací třetích stran. Typ modulu Enforcer, který můžete implementovat, závisí na typu zakoupeného produktu Symantec Network Access Control. Další informace naleznete v licenční smlouvě.
328
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Nutné komponenty zařízení Integrated Lucent Enforcer
Nutné komponenty zařízení Integrated Lucent Enforcer Před instalací zařízení Symantec Integrated Lucent Enforcer je nutné mít předem instalované a konfigurované následující součásti: ■
Lucent VitalQIP Enterprise DHCP 6.2 Server Informace o instalaci a konfiguraci serveru Lucent VitalQIP Enterprise DHCP 6.2 Server získáte v dokumentaci k serveru Lucent VitalQIP Enterprise DHCP 6.2.
■
Sybase Adaptive Server Enterprise Suite 12.5.2 Informace o instalaci a konfiguraci databáze Sybase získáte v doporovodné dokumentaci k databázi Sybase.
■
Symantec Endpoint Protection Manager, verze 11.0.3 Další informace o instalaci aplikace Symantec Endpoint Protection Manager najdete v příručce Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control.
■
Klienti Symantec Network Access Control, verze 11.0.3 Další informace o instalaci klientů Symantec Network Access Control najdete v příručce Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. Další informace o instalaci klientů Symantec Network Access Control najdete v příručce Příručka pro správu aplikací Symantec Endpoint Protection a Symantec Network Access Control.
■
Další informace o používání klientů Symantec Network Access Control najdete v příručce Klientská příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control.
Před úspěšnou ochranou jakýchkoli klientů musí být nainstalována aplikace Tab. 18-1. Tab. 18-1
Nutné komponenty zařízení Symantec NAC Integrated Lucent Enforcer
Název součásti
Funkce součásti
Symantec Endpoint Protection Manager, verze 11.0.3
Aplikace Symantec Endpoint Protection Manager je požadována k vytvoření zásad zabezpečení v centralizovaném umístění a jejich přiřazení klientům aplikace Symantec Network Access Control.
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Plánování umístění zařízení Integrated Lucent Enforcer
Název součásti
Funkce součásti
Klient Symantec Network Access Control, verze 11.0.3
Před zahájením ochrany prostřednictvím zásad zabezpečení je nutné v klientských počítačích nainstalovat a nasadit klienty Symantec. Zásady integrity hostitele se nastavují v aplikaci Symantec Endpoint Protection Manager.
Sybase Adaptive Server Enterprise Suite 12.5.2
Tato sada Sybase je povinná.
Lucent VitalQIP Enterprise DHCP 6.2 Server
Server Lucent VitalQIP Enterprise DHCP 6.2 Server je požadován pro přiřazení pronájmů DHCP a IP adres.
Symantec NAC Integrated Lucent Enforcer
Zařízení Symantec NAC Integrated Lucent Enforcer je požadováno k ověření oprávnění klientů a k vynucení shody klientů se zásadami zabezpečení.
Plánování umístění zařízení Integrated Lucent Enforcer Obr. 18-1 ukazuje, jak umístit zařízení Integrated Lucent Enforcer, Lucent VitalQIP Enterprise DHCP 6.2 Server a aplikaci Symantec Endpoint Protection Manager a interní nebo vzdálené klienty v síti.
329
330
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Plánování umístění zařízení Integrated Lucent Enforcer
Obr. 18-1
Umístění zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP se serverem Lucent VitalQIP Enterprise DHCP 6.2
Symantec Endpoint Protection Manager
Klienti
Agent pro přenos
Páteř podnikové sítě Chráněné servery Rozbočovač/přepínač
Server DHCP s modulem Integrated Enforcer
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Hardwarové požadavky pro zařízení Integrated Lucent Enforcer
Hardwarové požadavky pro zařízení Integrated Lucent Enforcer Zařízení Integrated Lucent Enforcer má hardwarové požadavky na paměť RAM, procesor, úložný prostor, monitor, síťový adaptér a kartu síťového rozhraní. Pro instalace do 10 000 uživatelů použijte tyto požadavky: ■
Pentium III 750 MHz
■
256 MB paměti
■
120 MB volného místa na disku
■
Síťové adaptéry Fast ethernet
■
Jednu kartu síťového rozhraní (NIC) s nainstalovaným protokolem TCP/IP
Pro instalace nad 10 000 uživatelů použijte tyto požadavky: ■
Pentium 4 2,4 GHz
■
512 MB paměti
■
512 MB volného místa na disku
■
Síťové adaptéry 1 GB
■
Monitor s rozlišením 800 x 600 a 256 barvami (minimálně)
■
Jednu kartu síťového rozhraní (NIC) s nainstalovaným protokolem TCP/IP
Požadavky operačního systému pro zařízení Integrated Lucent Enforcer Před instalací zařízení Integrated Lucent Enforcer ve stejném počítači, jako je server Lucent VitalQIP Enterprise DHCP 6.2 Server, je nutné nainstalovat jeden z následujících operačních systémů: ■
Windows 2000 Advanced Server s aktualizací Service Pack 4 a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
■
32bitový Windows Server 2003 Standard Edition a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
■
32bitový Windows Server 2003 Standard Edition s aktualizací Service Pack 1 a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
■
32bitový Windows Server 2003 Standard Edition s aktualizací Service Pack 2 a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
331
332
Plánování instalace zařízení Symantec NAC Integrated Lucent Enforcer Požadavky operačního systému pro zařízení Integrated Lucent Enforcer
■
32bitový Windows Server 2003 Advanced Edition a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
■
32bitový Windows Server 2003 Advanced Edition s aktualizací Service Pack 1 a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
■
32bitový Windows Server 2003 Advanced Edition s aktualizací Service Pack 2 a Lucent VitalQIP Enterprise DHCP 6.2 Server nebo novější
Kapitola
19
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Tato kapitola obsahuje následující témata: ■
Před první instalací zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP
■
Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
■
Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
■
Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP
Před první instalací zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Než zahájíte instalaci zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP, je nutné dokončit následující úkoly: ■
Dokončení instalace aplikace Symantec Network Access Control zahrnující zařízení Symantec Endpoint Protection Manager
334
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
Poznámka: Zařízení Integrated Enforcer pro server Alcatel-Lucent VitalQIP Enterprise DHCP začne fungovat správně až po instalaci aplikace Symantec Endpoint Protection Manager. Další informace o instalaci aplikace Symantec Endpoint Protection Manager najdete v příručce Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. ■
Dokončení konfigurace, nasazení a instalace klienta Symantec Network Access Control Další informace o instalaci klienta Symantec Network Access Control najdete v příručce Instalační příručka pro aplikace Symantec Enterprise Protection a Symantec Network Access Control.
■
Ověřené systémové požadavky pro počítač, do něhož se chystáte nainstalovat následující součásti: ■
Databáze Sybase
■
Lucent VitalQIP Enterprise DHCP Server
■
Zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
Další informace o instalaci a konfiguraci databáze získáte v dokumentaci k databázi Sybase. Další informace o instalaci a konfiguraci služby DHCP získáte v dokumentaci k serveru Lucent VitalQIP Enterprise DHCP. Viz „Požadované součásti pro zařízení Integrated Enforcer pro servery Microsoft DHCP“ na straně 310.
Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP pro servery Alcatel-Lucent VitalQIP Enterprise DHCP je nutné instalovat ve stejném počítači, do něhož jste již nainstalovali následující software: ■
Serverový operační systém Microsoft Windows
■
Databáze Sybase
■
Lucent VitalQIP Enterprise DHCP 6.2 Server
Musíte se přihlásit jako správce nebo jako uživatel ze skupiny Administrators.
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
Poznámka: Po dokončení instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP je třeba zařízení nakonfigurovat. Zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Servers musí mít možnost navázat připojení k aplikaci Symantec Endpoint Protection Manager, která je známá také jako server pro správu. Zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP můžete nainstalovat pomocí některé z následujících metod: ■
Průvodce instalací
■
Příkazový řádek
Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP pomocí průvodce
1
Vložte instalační disk označený CD2. Pokud se instalace nespustí automaticky, poklepejte na soubor IntegratedEnforcerInstaller.exe.
2
Pokud je server VitalQIP Enterprise DHCP Server již nainstalován, na úvodním panelu průvodce instalací zařízení Symantec Integrated Lucent Enforcer klepněte na tlačítko Next.
3
V panelu License Agreement klepněte na možnost I accept the license agreement.
4
Klepněte na tlačítko Next.
5
Na panelu Destination Folder proveďte jeden z těchto kroků:
6
■
Chcete-li potvrdit výchozí cílovou složku, klepněte na tlačítko Next.
■
Klepněte na tlačítko Browse, vyhledejte a vyberte požadovanou cílovou složku, klepněte na tlačítko OK a potom na tlačítko Next.
Pokud se zobrazí panel Role Selection, vyberte možnost DHCP Enforcement for Alcatel-Lucent VitalQIP® DHCP Server a klepněte na tlačítko Next. Panel Role Selection se zobrazí pouze v případě, že lze na základě služeb spuštěných na serveru nainstalovat více než jeden typ zařízení Symantec NAC Integrated Enforcer.
7
Na panelu Ready to Install the Application klepněte na tlačítko Next.
8
Po zobrazení dotazu, zda chcete restartovat server Lucent VitalQIP Enterprise DHCP Server, proveďte některý z následujících kroků: ■
Restartujte server Lucent VitalQIP Enterprise DHCP ihned klepnutím na tlačítko Ano.
335
336
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
■
Restartujte server Lucent VitalQIP Enterprise DHCP Server později ručně klepnutím na tlačítko Ne. Pokud restartujete server Lucent VitalQIP Enterprise DHCP později, musíte ho ukončit a potom spustit.
Server Lucent VitalQIP Enterprise DHCP Server musíte restartovat, jinak zařízení Integrated Lucent Enforcer nebude fungovat. Viz „Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP“ na straně 337.
9
Klepněte na tlačítko Dokončit. Pokud je nutné přeinstalovat zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Servers, je třeba je nejprve přeinstalovat. Viz „Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP“ na straně 336.
Instalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP z příkazové řádky
1
Instalaci z příkazové řádky začnete otevřením příkazové řádky DOS. Proces instalace z příkazové řádky používá pouze výchozí nastavení.
2
V příkazové řádce určete složku, ve které je umístěn program Integrated Lucent Enforcer Installer. Výchozí umístění instalace je C:\Program Files\Symantec\Integrated Enforcer.
3
Zadejte na příkazovém řádku příkaz IntegratedEnforcerInstaller.exe /qr a stiskněte klávesu Enter.
Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP Čas od času může být nutné odinstalovat server Lucent VitalQIP Enterprise DHCP. Zařízení Integrated Lucent Enforcer lze odinstalovat pomocí programu v Ovládacích panelech nebo z příkazového řádku. Odinastalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP
1
Na hlavním panelu systému Windows klepněte na tlačítko Start > Ovládací panely> Přidat nebo odebrat programy.
2
Klepněte na možnost Symantec Integrated Enforcer a potom klepněte na tlačítko Odebrat.
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP
3
Po výzvě, jestli chcete software odebrat, klepněte na tlačítko Ano.
4
Po zobrazení dotazu, zda chcete restartovat server Lucent VitalQIP Enterprise DHCP Server, proveďte některý z následujících kroků: ■
Restartujte server Lucent VitalQIP Enterprise DHCP ihned klepnutím na tlačítko Ano.
■
Restartujte server Lucent VitalQIP Enterprise DHCP Server později ručně (výchozí možnost) klepnutím na tlačítko Ne. Pokud restartujete server Lucent VitalQIP Enterprise DHCP později, musíte ho ukončit a potom spustit. Server Lucent VitalQIP Enterprise DHCP je nutné restartovat, aby se zcela odinstaloval modul Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP.
Odinstalace zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP z příkazového řádku
1
Otevřete příkazovou řádku DOS.
2
V příkazové řádce zadejte: MsiExec.exe /qn /X{A145EB45-0852-4E18-A9DC-9983A6AF2329}
Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP Čas od času může být nutné zastavit a znovu spustit server Lucent VitalQIP Enterprise DHCP. Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP
1
Na hlavním panelu systému Windows klepněte na tlačítko Start > Ovládací panely> Nástroje pro správu > Služby.
2
Klepněte na položku Lucent DHCP Service.
3
Klepněte pravým tlačítkem myši a potom klepněte na možnost Ukončit.
4
Klepněte na tlačítko Start.
337
338
Instalace zařízení Symantec NAC Integrated Enforcer pro servery Alcatel-Lucent VitalQIP Enterprise DHCP Zastavení a spuštění serveru Lucent VitalQIP Enterprise DHCP
Oddíl
4
Konfigurace zařízení Symantec NAC Integrated Enforcer v konzole Enforcer
■
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer
340
Kapitola
20
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Tato kapitola obsahuje následující témata: ■
Konfigurace modulu Symantec NAC Integrated Enforcer v konzole Enforcer
■
Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager
■
Konfigurace automatické karantény
■
Konfigurace základních nastavení modulu Symantec Integrated Enforcer
■
Úprava připojení aplikace Symantec Endpoint Protection Manager
■
Konfigurace seznamu důvěryhodných dodavatelů
■
Prohlížení protokolů modulu Enforcer v konzole Enforcer
■
Konfigurace protokolů modulu Symantec Integrated Enforcer
■
Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
■
Navázání komunikace mezi modulem Symantec Integrated Enforcer a zařízením Network Access Control Scanner v konzole Enforcer
■
Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer
■
Zastavení a spuštění komunikačních služeb mezi modulem Integrated Enforcer a serverem pro správu
342
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace modulu Symantec NAC Integrated Enforcer v konzole Enforcer
■
Odpojení zařízení Symantec NAC Lucent Integrated Enforcer od serveru pro správu v konzole Enforcer
■
Připojení k zastaralým serverům Symantec Endpoint Protection Manager
Konfigurace modulu Symantec NAC Integrated Enforcer v konzole Enforcer Po dokončení instalace zařízení Symantec Integrated Enforcer následují dvě fáze konfigurace. Nejprve proveďte nastavení konfigurace z konzoly Integrated Enforcer. Pak přesuňte konzolu pro správu Symantec aplikace Endpoint Protection Manager k provedení všech požadovaných změn nastavení konfigurace skupiny, jejíž součástí je zařízení Integrated Enforcer. Tyto kroky uvádíme zde. ■
V konzole Enforcer zařízení Integrated Enforcer pro servery Microsoft DHCP nastavte komunikaci mezi modulem Integrated Enforcer a serverem pro správu. Viz „Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager“ na straně 342. V konzole pro správu aplikace Symantec Endpoint Protection Manager nakonfigurujte nastavení modulu Symantec Integrated Enforcer.
■
Nastavte na serveru DHCP konfiguraci karantény. Musíte nakonfigurovat třídu uživatelů karanténa a přidat pro každou podsíť třídě karanténa zdroje. Místo toho můžete použít možnost modulu Integrated Enforcer Automatická konfigurace karantény. Tato možnost umožní modulu Integrated Enforcer pro servery Microsoft DHCP nakonfigurovat třídu uživatelů a zdroje, ale jen tehdy, pokud se předtím žádná třída karantény ještě nekonfigurovala. Viz „Konfigurace automatické karantény“ na straně 345.
■
Pokud jste při instalaci zařízení Integrated Enforcer nerestartovali službu DHCP na serveru DHCP, ukončete ho a spusťte ručně nyní.
Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager Musíte určit jednu či více aplikací Symantec Endpoint Protection Manager, ke kterým se zařízení Integrated Enforcer může připojit. Po nastavení seznamu serverů pro správu musíte nakonfigurovat připojení s šifrovaným heslem, názvem skupiny a komunikačním protokolem. Šifrované heslo bylo dříve označováno jako předsdílený klíč.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager
Jakmile se zařízení Integrated Enforcer připojí k serveru pro správu, automaticky se zaregistruje. Další informace o seznamech serverů pro správu naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Navázání komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager z konzoly Symantec NAC Integrated Enforcer
1
Na hlavním panelu systému Windows na počítači se zařízením Integrated Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer. Zobrazí se konfigurační konzola modulu Symantec Integrated Enforcer. Tato hlavní stránka ukazuje stav připojení mezi zařízením Integrated Enforcer a aplikací Symantec Endpoint Protection Manager. Zelená barva ukazuje, že je modul Integrated Enforcer aktivně připojen k serveru pro správu. Červená barva ukazuje, že spojení je nedostupné.
2
V levém panelu klepněte na položky Symantec Integrated Enforcer > Configure > Management Servers.
3
V panelu Management Servers klepněte na tlačítko Add ve sloupci ikon, který se nachází vpravo od seznamu serverů pro správu.
4
V dialogovém okně Add/Edit Management Server zadejte adresu IP nebo název aplikace Symantec Endpoint Protection Manager do textového pole Server address. Můžete zadat adresu IP, název hostitele nebo název domény. Chcete-li použít název hostitele nebo název domény, musí být název správně přeložen serverem pojmenování domén (DNS).
5
V dialogovém okně Add/Edit Management Server upravte číslo portu, který zařízení Integrated Enforcer používá ke komunikaci s aplikací Symantec Endpoint Protection Manager. Výchozí číslo portu protokolu HTTP je 8006 a protokolu HTTPS je 443. Protokol HTTPS musí být stejně konfigurován v aplikaci Symantec Endpoint Protection Manager i v zařízení Integrated Enforcer.
6
Klepněte na tlačítko OK.
343
344
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager
7
Klepněte na šipku Nahoru nebo Dolů ve sloupci ikony, který je umístěný napravo od seznamu serverů pro správu. Tím podle potřeby změníte pořadí serverů pro správu, které zařízení Symantec Integrated Enforcer používá pro připojení k aplikaci Symantec Endpoint Protection Manager. Nejprve se zařízení Symantec NAC Integrated Enforcer připojí k aplikaci Symantec Endpoint Protection Manager, pokusí se připojit k prvnímu serveru uvedenému na seznamu serverů pro správu. Pokud tento server pro správu není dostupný, připojí se zařízení Symantec Integrated Enforcer k dalšímu serveru pro správu, který je na seznamu.
8
Do textového pole Encrypted password zadejte heslo aplikace Symantec Endpoint Protection Manager, k níž se připojujete. Aplikace Symantec Endpoint Protection Manager a zařízení Integrated Enforcer musí ke komunikaci používat stejné šifrované heslo. Písmena a číslice předsdíleného klíče místo hvězdiček zobrazíte volbou Unmask.
9
V textovém poli Preferred group zadejte název pro skupinu Integrated Enforcer. Pokud neurčíte název skupiny, přidělí aplikace Symantec Endpoint Protection Manager zařízení Symantec Integrated Enforcer do výchozí skupiny Enforcer s výchozími nastaveními. Výchozí název skupiny je I-DHCP. Zařízení Symantec NAC Integrated Enforcer pro servery Microsoft NAP a moduly pro zařízení však musí být v samostatných skupinách. Můžete zobrazit nastavení skupiny v konzole Symantec Endpoint Protection Manager na stránce View Servers.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace automatické karantény
10 Protokol, který zařízení Symantec Integrated Enforcer používá ke komunikaci s aplikací Symantec Endpoint Protection Manager, určíte volbou položky HTTP nebo HTTPS. Pokud na aplikaci Symantec Endpoint Protection Manager běží protokol Secure Sockets Layer (SSL), můžete použít pouze protokol HTTPS. Pokud vyberete protokol HTTPS a požadujete ověření certifikátu aplikace Symantec Endpoint Protection Manager důvěryhodným certifikačním orgánem třetí strany, zaškrtněte pole Verify certificate when using HTTPs protocol.
11 Klepněte na tlačítko Uložit. Po připojení modulu Integrated Enforcer k aplikaci Symantec Endpoint Protection Manager můžete změnit většinu konfiguračních nastavení z konzoly aplikace Symantec Endpoint Protection Manager. Aby mohl modul Integrated Enforcer a aplikace Symantec Endpoint Protection Manager komunikovat, musí být na obou stejný předsdílený tajný klíč nebo šifrované heslo.
Konfigurace automatické karantény Klienti, kteří se pokoušejí připojit k síti, zašlou požadavek DHCP serveru DHCP. Buď může modul Symantec NAC Integrated Enforcer provést konfiguraci karantény na základě povolených IP adres, nebo můžete nakonfigurovat třídu uživatelů karantény a přidat k ní zdroje pro každou masku podsítě ze serveru DHCP. Modul Integrated Enforcer přidá třídu uživatelů karanténa všem zprávám DHCP, které přijdou z neznámých klientů nebo klientů, kteří nejsou v souladu. Obnoví také požadavky z klienta na server DHCP. Důvěryhodní klienti dostanou okamžitě normální adresu IP a nejsou zařazeni do karantény. Neznámí nebo nedůvěryhodní klienti jsou zařazení do karantény, ověřeni, pokud ověření uspěje, tak obnoveni a potom jim je přiřazena normální adresa IP. Přístup je založen na zásadě integrity hostitele a nastavení skupiny definovaných v aplikaci Symantec Endpoint Protection Manager. Zadejte seznam adres IP, ke kterým chcete počítačům v karanténě povolit přistup, i když ověření selže.
345
346
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace automatické karantény
Konfigurace automatické karantény pro zařízení Symantec NAC Integrated Enforcer
1
Na hlavním panelu systému Windows na počítači se zařízením Integrated Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer.
2
V levém panelu klepněte na položky Symantec Integrated Enforcer > Configure > Automatic Quarantine Configuration.
3
Seznam adres IP začnete vytvářet na stránce Automatic Quarantine Configuration modulu Integrated Enforcer klepnutím na tlačítko Add.
4
Adresu IP na seznam přidáte zadáním povolené adresy IP a klepnutím na tlačítko OK.
5
Dalším klepnutím na tlačítko Add můžete pokračovat v zadávání adres IP do seznamu.
6
Seznam adres IP změníte klepnutím na tlačítka Edit, Remove, Remove all, Move Up nebo Move down.
7
Když jste zadali nebo změnili všechny adresy IP, klepnutím na tlačítko OK v dolní části stránky konfigurace uložíte.
Nastavení konfigurace karantény na serveru Microsoft DHCP (pokročilá volitelná úloha)
1
Na serveru DHCP klepněte na tlačítko Start > Nástroje pro správu > DHCP. Aby obnovil požadavek s konfigurací karantény, přidává modul Integrated Enforcer dynamicky třídu uživatelů DHCP karanténa ke zprávám DHCP, které přichází z klientů, kteří nejsou v souladu. Třídu uživatelů karanténa definujete přidáním identifikátoru s názvem: SYGATE_ENF. Potom třídě uživatelů přiřadíte různé zdroje, mimo jiné adresu IP brány, dobu pronájmu, server DNS a dostatek staticky definovaných tras pro nápravu.
2
Ve stromové struktuře v dialogovém okně DHCP klepněte pravým tlačítkem na server DHCP a potom klepněte na tlačítko Definovat třídy uživatelů.
3
V dialogovém okně Třídy uživatelů DHCP klepněte na tlačítko Přidat.
4
V dialogovém okně Nová třída zadejte název k zobrazení, který označuje tuto třídu uživatelů karanténa jako konfiguraci karantény, případně i popis. Můžete třídu uživatelů karanténa označit například jako KARANTÉNA.
5
Novou třídu uživatelů definujete klepnutím na sloupec ASCII a zadáním SYGATE_ENF velkými písmeny.
6
Klepněte na tlačítko OK.
7
Klepněte na tlačítko Zavřít.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace základních nastavení modulu Symantec Integrated Enforcer
Konfigurace možností rozsahu na serveru Microsoft DHCP (pokročilá volitelná úloha)
1
Ve stromové struktuře klepněte pravým tlačítkem na uzel Možnosti serveru.
2
Klepněte na tlačítko Možnosti konfigurace....
3
Na kartě Obecné zaškrtněte položku Směrovač 003 a nakonfigurujte adresu IP směrovače, který je spojený s klientem přenosu protokolu DHCP.
4
Na kartě Pokročilé, v rozevíracím seznamu Třída výrobce klepněte na možnost Standardní možnosti DHCP.
5
Na kartě Pokročilé, v rozevíracím seznamu Třída uživatele, klepněte na možnost KARANTÉNA.
6
Označte možnost Směrovač 003.
7
V poli adresy IP doporučujeme zadat 127.0.0.1. Záleží ale na správci, jakou adresu IP směrovače přidělí klientům v karanténě, pokud jim nějakou přidělí.
8
Označte možnost Pronájem 051.
9
Zadejte dobu pronájmu v sekundách v hexadecimálním tvaru. Například 2 minuty zadejte jako 0x78.
10 Klepněte na tlačítko OK. 11 Klepněte na možnost Soubor > Konec.
Konfigurace základních nastavení modulu Symantec Integrated Enforcer Popis zařízení Symantec Integrated Enforcer nebo skupiny zařízení Integrated Enforcer můžete přidat nebo upravit v konzole aplikace Symantec Endpoint Protection Manager. Tyto úkony můžete provést také v konzole modulu Integrated Enforcer. Viz „Přidání nebo úprava popisu skupiny modulů Enforcer se zařízením Symantec Integrated Enforcer“ na straně 348. Viz „Přidání nebo úprava popisu zařízení Symantec Integrated Enforcer“ na straně 349. V konzole Symantec Endpoint Protection Manager však není možné přidávat nebo upravovat název skupiny zařízení Integrated Enforcer. V konzole Symantec Endpoint Protection Manager není možné přidávat nebo upravovat adresu IP nebo název hostitele zařízení Integrated Enforcer. Tyto úkony je nutné provádět v konzole zařízení Enforcer.
347
348
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace základních nastavení modulu Symantec Integrated Enforcer
Viz „Přidání nebo úprava názvu skupiny modulů Enforcer pro zařízení Symantec Integrated Enforcer“ na straně 348. Adresu IP nebo název hostitele modulu Integrated Enforcer můžete přidat nebo upravit v seznamu serverů pro správu. Viz „Přidání nebo úprava adresy IP nebo názvu hostitele zařízení Symantec Integrated Enforcer“ na straně 349. Modul Integrated Enforcer je nutné připojit k aplikaci Symantec Endpoint Protection Manager. Viz „Připojení zařízení Symantec Integrated Enforcer k aplikaci Symantec Endpoint Protection Manager“ na straně 349.
Přidání nebo úprava názvu skupiny modulů Enforcer pro zařízení Symantec Integrated Enforcer Je možné přidat nebo upravit název skupiny modulů Enforcer, jíž je modul Integrated Enforcer členem. Tyto úkony se provádí v konzole zařízení Enforcer během instalace. Pokud budete chtít později změnit název skupiny modulů Enforcer, můžete to provést v konzole modulu Enforcer. Viz „Navázání nebo změna komunikace mezi zařízením Integrated Enforcer a serverem Symantec Endpoint Protection Manager“ na straně 342. Všechny zařízení Enforcer ve skupině sdílejí stejná konfigurační nastavení.
Přidání nebo úprava popisu skupiny modulů Enforcer se zařízením Symantec Integrated Enforcer Můžete přidat nebo upravit popis skupiny modulů Enforcer, jejímž je zařízení Symantec Integrated Enforcer členem. Můžete to provést v konzole Symantec Endpoint Protection Manager namísto v konzole Integrated Enforcer. Přidání nebo úprava popisu skupiny modulů Enforcer se zařízením Symantec Integrated Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v podokně Zobrazit servery zvolte skupinu modulů Enforcer, jejíž popis chcete přidat nebo změnit.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace základních nastavení modulu Symantec Integrated Enforcer
5
V dialogu Nastavení na kartě Obecné v poli Popis přidejte nebo upravte popis pro skupinu modulů Enforcer.
6
V dialogovém okně Nastavení klepněte na tlačítko OK.
Přidání nebo úprava adresy IP nebo názvu hostitele zařízení Symantec Integrated Enforcer Během instalace můžete adresu IP nebo název hostitele modulu Integrated Enforcer změnit pouze v konzole modulu Enforcer. Pokud budete chtít později změnit adresu IP nebo název hostitele modulu Integrated Enforcer, můžete to provést v konzole Integrated Enforcer.
Přidání nebo úprava popisu zařízení Symantec Integrated Enforcer Popis zařízení Symantec Integrated Enforcer můžete přidat nebo upravit. Můžete to provést v konzole Symantec Endpoint Protection Manager namísto v konzole Integrated Enforcer. Po dokončení této úlohy se v poli Popis podokna Server správy objeví popis. Přidání nebo úprava popisu zařízení Symantec Integrated Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V podokně Zobrazit servery zvolte a roztáhněte skupinu modulů Enforcer, která obsahuje modul Integrated Enforcer, jehož popis chcete přidat nebo upravit.
4
Vyberte modul Integrated Enforcer, jehož popis chcete přidat nebo upravit.
5
V části Úlohy klepněte na možnost Upravit vlastnosti modulu Enforcer.
6
V dialogu Vlastnosti zařízení Enforcer v poli Popis přidejte nebo upravte popis modulu Integrated Enforcer.
7
Klepněte na tlačítko OK.
Připojení zařízení Symantec Integrated Enforcer k aplikaci Symantec Endpoint Protection Manager Zařízení Enforcer musí být umožněno připojení k serverům, na nichž je nainstalována aplikace Symantec Endpoint Protection Manager. Aplikace Symantec Endpoint Protection Manager obsahuje soubor, který pomáhá spravovat provoz mezi klienty, aplikacemi Symantec Endpoint Protection Manager a volitelnými
349
350
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace základních nastavení modulu Symantec Integrated Enforcer
zařízeními Enforcer, jako je například modul Integrated Enforcer. Tento soubor se nazývá seznam serverů pro správu. Seznam serverů pro správu určuje, ke kterému serveru Symantec Endpoint Protection Manager se modul Integrated Enforcer připojuje. Rovněž určuje, ke kterému serveru Symantec Endpoint Protection Manager se modul Integrated Enforcer připojuje v případě selhání serveru pro správu. Během úvodní instalace se pro každou lokaci automaticky vytvoří výchozí seznam serverů pro správu. Do výchozího seznamu serverů pro správu jsou automaticky přidány všechny aplikace Symantec Endpoint Protection Manager, které jsou v lokaci k dispozici. Výchozí seznam serverů pro správu obsahuje adresy IP nebo názvy hostitelů serverů pro správu, ke kterým se zařízení Integrated Enforcer mohou připojit po úvodní instalaci. Před zavedením modulů Enforcer může být vhodné vytvořit vlastní seznam serverů pro správu. Pokud vlastní seznam serverů pro správu vytvoříte, můžete zadat prioritu, podle které se bude modul Integrated Enforcer připojovat k serverům pro správu. Můžete zvolit konkrétní seznam serverů pro správu, který obsahuje adresy IP nebo názvy hostitelů těch serverů pro správu, ke kterým se má modul Integrated Enforcer připojovat. Pokud je v lokaci pouze jeden server pro správu, můžete zvolit výchozí seznam serverů pro správu. Další informace o přizpůsobení seznamů serverů pro správu naleznete v Průvodci správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Připojení modulu Integrated Enforcer Symantec k aplikaci Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Integrated Enforcer, pro nějž chcete změnit adresu IP nebo název hostitele v seznamu serverů pro správu.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Obecné v části Komunikace zvolte seznam serverů pro správu, který má modul Integrated Enforcer používat.
6
Na kartě Obecné v části Komunikace klepněte na položku Vybrat. Můžete prohlížet adresy IP a názvy hostitelů všech dostupných serverů pro správu, stejně jako priority, které jim byly přiřazeny.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Úprava připojení aplikace Symantec Endpoint Protection Manager
7
V dialogovém okně Seznam serverů pro správu klepněte na tlačítko Zavřít.
8
V dialogovém okně Obecné klepněte na tlačítko OK.
Úprava připojení aplikace Symantec Endpoint Protection Manager Podle potřeby můžete aktualizovat adresu serveru Symantec Endpoint Protection Manager a informace o portu. Úprava připojení aplikace Symantec Endpoint Protection Manager
1
Na hlavním panelu systému Windows v počítači se zařízením Enforcer klepněte na tyto možnosti:Start > Programy > Symantec Endpoint Protection > Symantec Integrated Enforcer.
2
V levém podokně rozbalte položku Symantec Integrated Enforcer.
3
Rozbalte položku Configure.
4
Klepněte na položku Management Servers.
5
V panelu Management Servers klepněte ve sloupci ikon, který se nachází vpravo od seznamu serverů pro správu, na tlačítko Upravit .
6
V dialogovém okně Add/Edit Management Server zadejte adresu IP nebo název aplikace Symantec Endpoint Protection Manager do textového pole Server address. Můžete zadat adresu IP, název hostitele nebo název domény. Pokud chcete použít název hostitele nebo domény, musí se modul Symantec Integrated Enforcer připojit k serveru DNS.
7
Klepněte na tlačítko OK.
Konfigurace seznamu důvěryhodných dodavatelů Agenty nelze instalovat do některých síťových zařízení, jako jsou tiskárny nebo IP telefony. Aby bylo možné tyto případy umožnit, je možné nakonfigurovat seznam důvěryhodných dodavatelů. Pokud je název dodavatele považován za důvěryhodný, modul Symantec NAC Integrated Enforcer zařízení neověří. Zařízení obdrží normální IP adresy ze serveru DHCP.
351
352
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Prohlížení protokolů modulu Enforcer v konzole Enforcer
Konfigurace seznamu důvěryhodných dodavatelů
1
Na hlavním panelu systému Windows na počítači se zařízením Integrated Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer.
2
V levém panelu klepněte na položky Symantec Integrated Enforcer > Configure > DHCP Trusted Vendors Configuration.
3
Seznam důvěryhodných dodavatelů povolíte zaškrtnutím políčka Turn on Trusted Vendors. Když je políčko Turn on Trusted Vendors zaškrtnuté, zásada Integrita hostitele nebude vynucena pro přenos DHCP od vybraných důvěryhodných dodavatelů.
4
Vyberte dodavatele, které chcete stanovit jako důvěryhodné.
5
Klepněte na tlačítko Save.
Prohlížení protokolů modulu Enforcer v konzole Enforcer Modul Symantec Integrated Enforcer automaticky zaznamenává zprávy do klientského a systémového protokolu. Tyto protokoly Enforcer se nahrávají do aplikace Symantec Endpoint Protection Manager. Klientský protokol poskytuje informace o připojení klientů a komunikaci se zařízením Integrated Enforcer. Systémový protokol zaznamenává údaje, které se vztahují k samotnému modulu Integrated Enforcer, jako jsou instance spuštění a ukončení služby Enforcer. V aplikaci Symantec Endpoint Protection Manager můžete povolit a zakázat protokolování a nastavit parametry souboru protokolu pro modul Integrated Enforcer. Všechny protokoly jsou ve výchozím nastavení povoleny a odesílány aplikaci Symantec Endpoint Protection Manager. Prohlížení protokolů modulu Enforcer v konzole Enforcer
1
V levém podokně rozbalte položku Symantec NAC Integrated Enforcer.
2
Rozbalte položku View Logs a klepněte na možnost System Log nebo Client Log.
3
Všechny změny protokolu od jeho posledního otevření si prohlédnete klepnutím na možnost Refresh.
4
Klepněte na tlačítko OK.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace protokolů modulu Symantec Integrated Enforcer
Konfigurace protokolů modulu Symantec Integrated Enforcer Protokoly modulu Symantec Integrated Enforcer se ukládají na stejném počítači, kde je instalovaný modul Symantec Integrated Enforcer. Protokoly Enforcer jsou generovány automaticky. Chcete-li zobrazit protokoly Enforcer v konzole Symantec Endpoint Protection Manager, je třeba povolit zasílání protokolů na konzolu Symantec Endpoint Protection Manager. Je-li tato možnost povolená, data protokolu jsou odeslána z modulu Integrated Enforcer do aplikace Symantec Endpoint Protection Manager a uložena v databázi. Nastavení protokolů modulu Integrated Enforcer můžete v konzole Symantec Endpoint Protection Manager změnit. Aktivity jsou zaznamenávány do stejného protokolu serveru modulu Enforcer pro modul Enforcer na stránce. Je možné konfigurovat nastavení pro následující protokoly, které modul Integrated Enforcer generuje: ■
Protokol serveru modulu Enforcer Protokol serveru modulu Enforcer poskytuje informace, které souvisejí s fungováním modulu Enforcer.
■
Protokol klienta modulu Enforcer Protokol klienta poskytuje informace o interakcích modulu Integrated Enforcer s klienty, kteří se pokusili o připojení k síti. Zobrazuje informace o ověřování, selhání ověření a odpojení.
Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer Můžete zadat počet nastavení ověřování pro relaci ověřování modulu Integrated Enforcer. Po aplikaci změn budou změny automaticky odeslány vybranému modulu Integrated Enforcer během následujícího prezenčního signálu.
Informace o použití nastavení ověřování Chcete-li síť zabezpečit ještě důkladněji, můžete použít řadu nastavení ověřování. Tab. 20-1 poskytuje další informace o možnostech na kartě Ověřování.
353
354
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
Tab. 20-1
Nastavení ověřování zařízení Symantec Integrated Enforcer
Možnost
Popis
Maximální počet paketů na relaci ověřování
Maximální počet paketů typu challenge, které modul Integrated Enforcer odesílá v rámci každé relace ověřování. Výchozí počet je 10. Viz „Zadání maximálního počtu paketů typu challenge během relace ověřování“ na straně 356.
Čas mezi pakety v relaci ověřování
Čas (v sekundách) mezi každým paketem typu challenge odeslaným zařízením Enforcer. Výchozí hodnota je 3 sekundy. Viz „Uvedení frekvence paketů typu challenge, které se mají odeslat klientům“ na straně 357.
Povolit všechny klienty, ale pokračovat v zaznamenávání neověřených klientů do protokolu
Pokud je tato možnost povolena, zařízení Enforcer bude ověřovat všechny uživatele tak, že zkontroluje, zda mají spuštěného klienta. Následně předá integrovaný požadavek na získání normální (ne karanténní) síťové konfigurace bez ohledu na to, zda je ověření úspěšné, či nikoliv. Ve výchozím nastavení tato možnost není povolena. Viz „Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu“ na straně 358.
Povolit všechny klienty Je-li tato možnost povolena, modul Integrated Enforcer s jinými operačními systémy, kontroluje operační systém klienta. Modul Integrated než je systém Windows Enforcer potom umožní všem klientům s jiným systémem než Windows získat normální síťovou konfiguraci bez nutnosti ověření. Není-li tato možnost povolena, obdrží klienti karanténní síťovou konfiguraci. Ve výchozím nastavení tato možnost není povolena. Viz „Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows“ na straně 359.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
Možnost
Popis
Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady
Pokud je tato možnost povolena, modul Integrated Enforcer ověří, zda klient získal ze serveru pro správu nejnovější zásady zabezpečení. Pokud sériové číslo zásady není nejnovější, modul Integrated Enforcer oznámí klientovi, že má provést aktualizaci zásady zabezpečení. Klient následně předá integrovaný požadavek na získání karanténní síťové konfigurace. Pokud tato možnost není povolena a kontrola integrity hostitele je úspěšná, modul Integrated Enforcer předá integrovaný požadavek na získání normální síťové konfigurace. Modul Integrated Enforcer předá integrovaný požadavek i v případě, že klient nemá nejnovější zásadu zabezpečení. Ve výchozím nastavení tato možnost není povolena. Viz „Nastavení zařízení Symantec Integrated Enforcer pro kontrolu sériového čísla zásady klienta“ na straně 360.
Pokud není klient spuštěn, Tato možnost je zobrazena, ale momentálně ji nelze použít povolit na něm místní zprávy pro konfiguraci zařízení Symantec Integrated Enforcer. Viz „Zasílání zprávy o neshodě klienta zařízením Symantec Integrated Enforcer“ na straně 361.
Relace ověřování Při pokusu klientského počítače o přístup k interní síti zařízení Symantec Integrated Enforcer nejprve zjistí, zda má tento počítač spuštěného klienta. Pokud ano, předá zařízení Enforcer zprávu DHCP od klienta serveru DHCP, čímž získá dočasnou karanténní adresu IP. Tento proces používá modul Integrated Enforcer interně za účelem svého ověření. Modul Integrated Enforcer poté zahájí relaci ověřování klientského počítače. Relace ověřování je tvořena sadou paketů typu challenge, které modul Integrated Enforcer zasílá klientovi. Během relace ověřování jsou pakety typu challenge odesílány ze zařízení Enforcer ke klientovi v zadané frekvenci. Výchozí nastavení je každé 3 sekundy. Modul Integrated Enforcer pokračuje v odesílání paketů, dokud není splněna jedna z následujících podmínek: ■
modul Integrated Enforcer dostane odpověď od klienta,
■
modul Integrated Enforcer odeslal zadaný maximální počet paketů. Výchozí nastavení je 10.
355
356
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
Součin frekvence (3 sekundy) a počtu paketů (10) udává hodnotu, která je použita pro prezenční signál zařízení Enforcer. Prezenční signál je interval, který předchází zahájení nové relace ověřování a během něhož modul Integrated Enforcer nechává klienta připojeného k síti. Výchozí nastavení jsou 3 sekundy. Klient zasílá modulu Integrated Enforcer následující informace: ■
Jedinečný identifikátor (UID)
■
Sériové číslo svého aktuálního profilu
■
Výsledky kontroly integrity hostitele
Modul Integrated Enforcer ověří identifikátor UID klienta a sériové číslo zásady klienta pomocí aplikace Symantec Endpoint Protection Manager. Pokud klient používá nejnovější zásady zabezpečení, bude se jeho sériové číslo zásady shodovat s číslem, které modul Integrated Enforcer obdrží od serveru pro správu. Výsledky kontroly integrity hostitele ukazují, zda klient vyhovuje, či nevyhovuje aktuálním zásadám zabezpečení. Pokud informace od klienta vyhoví požadavkům ověření, modul Integrated Enforcer předá jeho požadavek DHCP serveru DHCP. Modul Integrated Enforcer předpokládá obdržení normální síťové konfigurace. V opačném případě modul Integrated Enforcer předá požadavek DHCP karanténnímu serveru DHCP za účelem získání karanténní síťové konfigurace. Je možné nainstalovat jeden server DHCP na jeden počítač a nakonfigurovat jej tak, aby poskytoval jak normální, tak karanténní síťovou konfiguraci. Po uplynutí prezenčního intervalu nebo při pokusu klienta o obnovení adresy IP zahájí modul Integrated Enforcer novou relaci ověřování. Aby si klient zachoval připojení k interní síti, musí odpovědět. Klienti, kteří neodpoví, jsou modulem Integrated Enforcer odpojeni. V případě neúspěšně ověřených klientů, jejichž předchozí ověření bylo úspěšné, odešle modul Integrated Enforcer zprávu na server DHCP. Zpráva je žádostí o uvolnění aktuální adresy IP. Modul Integrated Enforcer následně odešle zprávu DHCP klientovi. Klient potom zašle požadavek na novou adresu IP a síťovou konfiguraci modulu Integrated Enforcer. Modul Integrated Enforcer předá tento požadavek karanténnímu serveru DHCP.
Zadání maximálního počtu paketů typu challenge během relace ověřování Při relaci ověřování modul Integrated Enforcer odešle klientovi paket typu challenge se zadanou četností.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
Modul Integrated Enforcer pokračuje v odesílání paketů do splnění těchto podmínek: ■
Modul Integrated Enforcer dostane odpověď od klienta
■
Modul Integrated Enforcer odeslal uvedené maximální množství paketů.
Výchozí nastavení pro maximální počet paketů typu challenge pro ověření je 10. Zadání maximálního počtu paketů typu challenge během relace ověřování
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Integrated Enforcer, pro který chcete uvést maximální počet paketů typu challenge na relaci ověřování.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V kartě Ověření napište maximální počet paketů typu challenge, který chcete povolit při relaci ověřování v poli Maximální počet paketů na relaci ověřování. Výchozí nastavení je 10.
6
V dialogu Nastavení na kartě Ověření klepněte na OK.
Uvedení frekvence paketů typu challenge, které se mají odeslat klientům Při relaci ověřování modul Integrated Enforcer odešle klientovi paket typu challenge se zadanou četností. Modul Integrated Enforcer pokračuje v odesílání paketů do splnění těchto podmínek: ■
modul Integrated Enforcer dostane odpověď od klienta,
■
modul Integrated Enforcer odeslal uvedené maximální množství paketů.
Výchozí nastavení je každé 3 sekundy. Uvedení frekvence paketů typu challenge, které se mají odeslat klientům
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
357
358
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Integrated Enforcer, pro nějž chcete uvést frekvenci odesílání paketů typu challenge klientům.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
Na kartě Ověření pod Parametry ověření napište maximální počet paketů typu challenge, který chcete odesílat klientovi pomocí modulu Integrated Enforcer při ověřovací relaci v poli Čas mezi pakety v relaci ověřování. Výchozí nastavení je 10.
6
V dialogu Nastavení na kartě Ověření klepněte na OK.
Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu Zavedení veškerého klientského softwaru může určitou dobu trvat. Dokud všichni uživatelé neobdrží klientský balík, může být vhodné nakonfigurovat modul Integrated Enforcer takovým způsobem, aby povoloval připojení k síti všem klientům. Všichni tito uživatelé se budou připojovat k integrovanému serveru, který se nachází ve stejné lokaci jako modul Integrated Enforcer. Modul Integrated Enforcer bude stále provádět ověřování uživatelů - bude kontrolovat spuštění klienta, integritu hostitele a výsledky bude zaznamenávat do protokolu. Bude předávat požadavky DHCP na získání normální (ne karanténní) síťové konfigurace. Tento proces probíhá nezávisle na tom, zda je kontrola integrity hostitele úspěšná, či nikoliv. Ve výchozím nastavení tato možnost není povolena. Při použití konfiguračních nastavení se řiďte následujícími pokyny: ■
Toto nastavení by mělo být použito pouze přechodně, protože snižuje zabezpečení sítě.
■
Je-li toto nastavení aktivní, můžete prohlížet protokoly modulu Enforcer. Můžete získat informace o typech klientů, kteří se pokoušejí o připojení k síti v této lokaci. V protokolu aktivity klienta můžete například zjistit, že někteří z klientů nemají nainstalován klientský software. Před vypnutím této možnosti pak můžete zajistit, aby byl klientský software na tyto klienty nainstalován.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
Povolení přístupu všem klientům; neověření klienti budou i nadále zaznamenáváni do protokolu
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Integrated Enforcer, pro nějž chcete povolit všechny klienty a neověřené klienty zaznamenávat do protokolu.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Povolit všechny klienty, ale pokračovat v zaznamenávání neověřených klientů do protokolu. Ve výchozím nastavení tato možnost není povolena.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows Modul Integrated Enforcer nedokáže ověřit klienta, který používá jiný systém než Windows. Klienti s jiným systémem než Windows se tedy nemohou připojovat k síti, pokud jim výslovně nepovolíte připojování bez ověření. Ve výchozím nastavení tato možnost není povolena. Povolení přístupu k síti klientům s jiným systémem než Windows můžete provést následujícími způsoby: ■
Označte každého klienta s jiným systémem než Windows jako důvěryhodného hostitele.
■
Povolte všechny klienty s jiným systémem než Windows.
Povolení přístupu k síti bez ověření klientů s jiným systémem než Windows
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Integrated Enforcer, pro nějž chcete povolit přístup k síti všem klientům s jiným systémem než Windows.
359
360
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace nastavení ověřování zařízení Symantec Integrated Enforcer
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Povolit všechny klienty s jiným systémem než Windows. Ve výchozím nastavení tato možnost není povolena.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Nastavení zařízení Symantec Integrated Enforcer pro kontrolu sériového čísla zásady klienta Aplikace Symantec Endpoint Protection Manager aktualizuje sériové číslo zásady klienta pokaždé, když se změní bezpečnostní zásada klienta. Při každém připojení k aplikaci Symantec Endpoint Protection Manager obdrží klient nejnovější zásady zabezpečení a nejnovější sériové číslo zásady. Při pokusu klienta o připojení k síti přes modul Integrated Enforcer si tento modul načte sériové číslo zásady z aplikace Symantec Endpoint Protection Manager. Následně modul Integrated Enforcer porovná sériové číslo zásady s číslem, které získal od klienta. Pokud se sériová čísla zásady shodují, modul Integrated Enforcer považuje zásadu zabezpečení klienta za aktuální. Ve výchozím nastavení tato možnost není povolena. Platí následující zásady: ■
Je-li zaškrtnuta možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady, klient se může připojit k síti prostřednictvím normálního serveru DHCP, pouze má-li nejnovější zásadu zabezpečení. Pokud klient nejnovější zásadu zabezpečení nemá, je upozorněn, že si má tuto zásadu stáhnout. Modul Integrated Enforcer následně předá požadavek DHCP na získání karanténní síťové konfigurace.
■
Pokud možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady zaškrtnuta není a test integrity hostitele je úspěšný, potom se klient může připojit k síti. Přes normální server DHCP se klient může připojovat i v případě, že jeho zásada zabezpečení není aktuální.
Nastavení zařízení Symantec Integrated Enforcer pro kontrolu sériového čísla zásady klienta
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Navázání komunikace mezi modulem Symantec Integrated Enforcer a zařízením Network Access Control Scanner v konzole Enforcer
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer. Skupina modulů Enforcer musí obsahovat modul Integrated Enforcer, který bude kontrolovat sériové číslo zásady klienta.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Ověřování zaškrtněte možnost Před povolením přístupu klienta do sítě zkontrolovat sériové číslo zásady.
6
V dialogovém okně Nastavení na kartě Ověřování klepněte na tlačítko OK.
Zasílání zprávy o neshodě klienta zařízením Symantec Integrated Enforcer I když je tato možnost zobrazena, momentálně ji nelze použít pro konfiguraci zařízení Symantec Integrated Enforcer.
Navázání komunikace mezi modulem Symantec Integrated Enforcer a zařízením Network Access Control Scanner v konzole Enforcer Modul Integrated Enforcer lze nakonfigurovat pro připojení k Network Access Control Scanners. Když je Network Access Control Scanner zapnutý, kontroluje zabezpečení klienta. Pokud skener určí, že klient na počítači klienta není spuštěný, uplatní se pravidlo zásady. Klientovi je umožněn nebo zamítnut přístup do interní sítě. Poznámka: Symantec Network Access Control Scanner nepodporuje připojení tiskárny k modulům Symantec NAC Integrated Enforcers. Tiskárny nepřijímají staticky definované trasy, které jsou konfigurované pro modul Symantec Integrated Enforcer. Proto aplikace Symantec Network Access Control Scanner nemůže komunikovat s tiskárnou připojenou k modulu Integrated Enforcer.
Poznámka: Službu Integrated Enforcer musíte po zapnutí nebo vypnutí skeneru restartovat.
361
362
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer
Navázání komunikace mezi modulem Symantec NAC Integrated Enforcer a zařízením Network Access Control Scanner v konzole Enforcer
1
Na hlavním panelu systému Windows na počítači se zařízením Integrated Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec NAC Integrated Enforcer.
2
V levém panelu klepněte na položky Symantec Integrated Enforcer > Configure > Network Access Control Scanner.
3
Síťové skenery zapnete označením možnosti Turn on NAC scanner.
4
Chcete-li přidat nebo upravit aplikaci Network Access Control Scanner, klepněte na položku Add.
5
V dialogu Add/Edit Management Server zadejte adresu, název hostitele nebo název DNS a klepněte na tlačítko OK.
6
Zadejte zašifrované heslo nakonfigurované ve skeneru. Předsdílený tajný klíč nebo šifrované heslo se musí shodovat s předsdíleným tajným klíčem nebo šifrovaným heslem definovaným na skeneru. Písmena a čísla předsdíleného tajného klíče zobrazíte místo hvězdiček volbou Unmask.
7
Po přidání adres skeneru do seznamu adres můžete seznam změnit klepnutím na Edit, Remove, Remove all, Move Up neboMove down. Modul Integrated Enforcer se připojí ke skenerům NAC v pořadí, v jakém jsou uvedeny v seznamu NAC Scanner Address.
8
Seznam a konfiguraci adresy skeneru NAC dokončíte klepnutím na tlačítko OK. Službu Integrated Enforcer musíte po zapnutí nebo vypnutí skeneru restartovat.
Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer Konfigurovat můžete následující rozšířená nastavení zařízení Symantec Integrated Enforcer: ■
Parametry časového limitu, časový limit ověřování a časový limit zprávy DHCP I když jsou tyto možnosti zobrazeny, momentálně je nelze použít pro konfiguraci zařízení Symantec Integrated Enforcer.
■
Adresy MAC důvěryhodných hostitelů, kterým modul Integrated Enforcer povolí připojení k normálnímu serveru DHCP bez nutnosti ověření
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer
Viz „Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé“ na straně 363. ■
Povolení místního ověřování Viz „Povolení místního ověřování v modulu Integrated Enforcer“ na straně 365.
Po použití kteréhokoli z těchto konfiguračních nastavení budou změny odeslány vybranému modulu Symantec Integrated Enforcer během následujícího prezenčního signálu.
Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé Důvěryhodný hostitel je obvykle server, na který nelze instalovat klientský software, například server s jiným operačním systémem než Windows nebo jiné zařízení, například tiskárna. Také klienty s jiným systémem než Windows může být vhodné označit za důvěryhodné hostitele. Modul Integrated Enforcer totiž nedokáže ověřit klienty, kteří nemají spuštěného klienta Symantec Endpoint Protection nebo Symantec Network Access Control. Určité servery, klienty a zařízení můžete označit jako důvěryhodné hostitele pomocí adresy MAC. Pokud server, klienta nebo zařízení označíte jako důvěryhodného hostitele, modul Integrated Enforcer bude předávat všechny zprávy DHCP od takového hostitele normálnímu serveru DHCP bez ověřování. Povolení serverům, klientům a zařízením připojovat se k síti bez ověřování jako důvěryhodní hostitelé
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Enforcer.
4
Vyberte modul Integrated Enforcer, který serverům, klientům a zařízením označeným jako důvěryhodní hostitelé povolí přístup k síti bez ověřování.
5
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
6
V dialogovém okně Nastavení na kartě Upřesnit v části Důvěryhodní hostitelé klepněte na tlačítko Přidat.
363
364
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Konfigurace rozšířených nastavení zařízení Symantec Integrated Enforcer
7
V dialogovém okně Přidat důvěryhodného hostitele zadejte adresu MAC klienta nebo důvěryhodného hostitele do pole adresa MAC hostitele. Můžete také zkopírovat sadu adres MAC z textového souboru. Při zadávání adresy MAC můžete použít zástupný znak, ale pouze pro všechna tři pole vpravo. Například řetězec 11-22-23-*-*-* ukazuje správné použití zástupného znaku. Naproti tomu řetězec 11-22-33-44-*-66 ukazuje nesprávné použití zástupného znaku.
8
Klepněte na tlačítko OK.
9
V dialogovém okně Nastavení na kartě Rozšířené klepněte na tlačítko OK. Adresa MAC přidaného důvěryhodného hostitele je nyní zobrazena v dialogovém okně Nastavení v části Adresa MAC.
10 Klepněte na tlačítko OK.
Povolení připojení staršího klienta k síti pomocí zařízení Integrated Enforcer V zařízení Symantec Integrated Enforcer můžete povolit připojování ke starším klientům verze 5.1.x. Pokud vaše síť podporuje aplikaci 11.0.2 Symantec Endpoint Protection Manager, zařízení Symantec Integrated Enforcer, a potřebujete podporovat starší klienty verze 5.1.x, můžete povolit podporu starších klientů v konzole serveru pro správu, aby je zařízení Symantec Integrated Enforcer neblokovalo. Jak povolit připojení staršího klienta k síti pomocí zařízení Integrated Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery vyberte a rozbalte skupinu zařízení Integrated Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení na kartě Upřesnit zaškrtněte Povolit zastaralé klienty.
6
Klepněte na tlačítko OK.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Zastavení a spuštění komunikačních služeb mezi modulem Integrated Enforcer a serverem pro správu
Povolení místního ověřování v modulu Integrated Enforcer Pokud je místní ověřování povoleno a modul Integrated Enforcer ztratí propojení s klientem, na němž je nainstalována aplikace Symantec Endpoint Protection Manager, potom bude integrovaný modul Enforcer ověřovat klienty místně. V takovém případě modul Integrated Enforcer považuje klienta za platného uživatele a kontroluje pouze klientův stav integrity hostitele. Poznámka: Pokud zařízení Integrated Enforcer neztratí propojení se serverem Symantec Endpoint Protection Manager, potom bude po tomto serveru požadovat ověření UID klienta nezávisle na tom, zda je místní ověřování povoleno či nikoliv. Jak povolit místní ověřování v modulu Integrated Enforcer
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Integrated Enforcer.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Upřesnit zaškrtněte možnost Povolit místní ověřování.
6
Klepněte na tlačítko OK.
Zastavení a spuštění komunikačních služeb mezi modulem Integrated Enforcer a serverem pro správu Za účelem řešení potíží můžete ukončit a spustit buď službu Enforcer nebo službu (SNACLink.exe), která komunikuje s aplikací Symantec Endpoint Protection Manager. Pokud zastavíte službu Enforcer, modul Integrated Enforcer odstraní informace o souladu existujících klientů. Přestane také získávat informace od nových klientů. Stále ale pokračuje v komunikaci s aplikací Symantec Endpoint Protection Manager. Pokud není aplikace Symantec Endpoint Protection Manager dostupná, modul Integrated Enforcer u všech ověřených klientů stále vynucuje verzi zásady a identifikátor GUID. Stejný proces probíhá, pokud ukončíte připojení k aplikaci Symantec Endpoint Protection Manager. Tyto údaje se uchovávají v místní mezipaměti (ale jen pokud je mezipaměť povolená). Automaticky ověřuje nové klienty (podle jejich stavu integrity hostitele), ale přeskakuje ověření identifikátoru GUID a zásady.
365
366
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Zastavení a spuštění komunikačních služeb mezi modulem Integrated Enforcer a serverem pro správu
Jakmile se obnoví komunikace s aplikací Symantec Endpoint Protection Manager, modul Integrated Enforcer aktualizuje verzi zásady. Ověří také klienty, kteří se přidali od okamžiku ztráty spojení. Poznámka: Zařízení Symantec Integrated Enforcer můžete nastavit při nedostupnosti spojení s aplikací Symantec Endpoint Protection Manager tak, aby nové klienty zařazovalo do karantény místo jejich ověření. Toho dosáhnete změnou výchozí hodnoty klíče DetectEnableUidCache v registru. Ukončení modulu Integrated Enforcer neovlivní server DHCP. Pokud je modul Integrated Enforcer zastaven, server DHCP funguje, jakoby modul Enforcer nebyl neinstalovaný. Pokud přestane být server DHCP dostupný, modul Integrated Enforcer přestane shromažďovat údaje o stavu souladu u nových klientů. Stále ale komunikuje s existujícími klienty a pokračuje v protokolování změn stavu. Server DHCP může přestat být dostupný kvůli údržbě nebo jiným problémům. Jak zastavit a spustit komunikační služby mezi modulem Integrated Enforcer a serverem pro správu
1
Spusťte zařízení Symantec Integrated Enforcer.
2
Klepněte na Symantec NAC Integrated Enforcer.
3
Proveďte jeden nebo více z následujících kroků: ■
Ve skupině tlačítek služby Enforcer klepněte na tlačítko Stop. Tato možnost ukončí službu Enforcer.
■
Ve skupině tlačítek služby Management server communication service klepněte na tlačítko Stop. Tato možnost ukončí službu Enforcer, která se připojuje k aplikaci Symantec Endpoint Protection Manager.
Pokud se nastaví stav na Stopped, služba není spuštěna.
4
Obě služby restartujete klepnutím na možnost Start. Pokud vypnete nebo restartujete počítač, ke kterému je modul Symantec Integrated Enforcer připojen, služba Enforcer se restartuje automaticky při restartu počítače. Pokud se ukončí a následně restartuje služba komunikace se serverem, zařízení Symantec Integrated Enforcer se pokusí připojit k aplikaci Symantec Endpoint Protection Manager, ke které bylo připojeno naposledy. Pokud tato aplikace Symantec Endpoint Protection Manager není dostupná, připojí se zařízení Symantec Integrated Enforcer k prvnímu serveru pro správu, který je na seznamu serverů pro správu.
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Odpojení zařízení Symantec NAC Lucent Integrated Enforcer od serveru pro správu v konzole Enforcer
Odpojení zařízení Symantec NAC Lucent Integrated Enforcer od serveru pro správu v konzole Enforcer Za následujících okolností může být nutné odpojit zařízení Integrated Lucent Enforcer od serveru pro správu: ■
Řešení potíží se zařízením Integrated Lucent Enforcer.
■
Odstraňování problémů se serverem pro správu.
Varování: Před pokusem o odpojení zařízení Integrated Lucent Enforcer od serveru pro správu zastavte službu Enforcer. Klienti nemusí mít nadále možnost připojovat se k síti, pokud nenastavíte servery pro správu zotavení při selhání. Chcete-li odpojit zařízení Integrated Lucent Enforcer od serveru pro správu, je nutné odstranit IP adresu, název hostitele nebo název domény ze seznamu vyhrazených serverů pro správu. Tuto úlohu lze provést v konzole Enforcer nebo konzole serveru pro správu. Odpojení zařízení Integrated Lucent Enforcer od serveru pro správu v konzole Enforcer
1
Na hlavním panelu systému Windows na počítači se zařízením Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec Integrated Lucent Enforcer.
2
V levém podokně rozbalte položku Symantec Lucent Enforcer.
3
Rozbalte položku Configure.
4
Klepněte na položku Management Servers.
5
Na panelu Servery pro správu vyberte server pro správu, který chcete odpojit od zařízení Integrated Lucent Enforcer.
6
Ve sloupci ikony umístěném vpravo od seznamu serverů pro správu klepněte na tlačítko Odebrat nebo Odebrat vše.
7
Klepněte na tlačítko Uložit.
Připojení k zastaralým serverům Symantec Endpoint Protection Manager Na stránce konfigurace rozšířených nastavení modulu Integrated Enforcer můžete zvolit obejití karantény a komunikaci se starším serverem 5.1.x Symantec Policy Manager.
367
368
Konfigurace modulů Symantec NAC Integrated Enforcer v konzole Enforcer Připojení k zastaralým serverům Symantec Endpoint Protection Manager
Poznámka: Možnost zabezpečené masky podsítě (255.255.255.255) je dostupná pouze u zařízení Lucent Integrated Enforcer. Postup pro připojení k zastaralému serveru Symantec Endpoint Protection Manager
1
Zaškrtněte možnost Use secure subnet mask (255.255.255.255) for quarantine IP address nebo zaškrtnutí zrušte pro použití výchozí podsítě 255.255.255.0
2
Klepnutím na tlačítko OK uložte nastavení.
Oddíl
5
Instalace a konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
■
Úvod do modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
■
Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
■
Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
■
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer
■
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager
370
Kapitola
21
Úvod do modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Tato kapitola obsahuje následující témata: ■
Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Modul Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) spolupracuje se serverem Microsoft Windows Network Policy Server (NPS) v prostředí Microsoft Windows Server 2008. Modul Symantec Integrated NAP Enforcer zajišťuje, že klienti pokoušející se připojit k síti, jsou v souladu s nakonfigurovanými zásadami zabezpečení. NAP omezuje přístup k sítím vytvořením kontrolovaného prostředí. Kontroluje zabezpečení klienta, než mu povolí připojit se k firemní síti. Pokud klient nesplňuje zásady, NAP buď opraví úroveň zabezpečení, nebo omezí přístup koncovým bodům, které nesplňují firemní zásady zabezpečení.
372
Úvod do modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Ochrana Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection)
Network Access Protection je technologie pro vytváření, vynucování a nápravu zásad stavu klienta, která je součástí operačního systému Windows Server 2008. Správci systému mohou vytvářet a automaticky vynucovat zásady stavu zabezpečení. Tyto zásady mohou obsahovat požadavky na software, požadavky na aktualizaci zabezpečení, požadavky na konfiguraci počítače a další nastavení. Klientským počítačům, které nesplňují zásady stavu zabezpečení, může být udělen omezený přístup k síti, dokud nebude jejich konfigurace aktualizována, tak aby splňovala zásady. V závislosti na tom, jakým způsobem NAP zavedete, je možné nevyhovující klienty automaticky aktualizovat, aby uživatelé mohli rychle znovu získat plný přístup k síti a nemuseli ručně aktualizovat nebo měnit konfiguraci počítače. Pokud konfigurujete Network Policy Server (NPS) jako server Network Access Protection (NAP), NPS bude vyhodnocovat údaje o stavu (SoH) zasílané klientskými počítači s podporou NAP, které se chtějí připojit k síti. Na serveru NPS můžete konfigurovat zásady NAP, které umožní klientským počítačům aktualizovat konfiguraci a splnit zásady firemní sítě. NAP může pomoci vyřešit následující problémy díky: ■
kontrole dodržování zásad zabezpečení koncových bodů
■
řízení přístupu hostů
■
ověřování koncových uživatelů
Kapitola
22
Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Tato kapitola obsahuje následující témata: ■
Plánování instalace modulu Symantec Integrated NAP Enforcer
■
Nutné komponenty zařízení Symantec Integrated NAP Enforcer
■
Požadavky na hardware pro zařízení Symantec Integrated NAP Enforcer
■
Požadavky na operační systém pro zařízení Symantec Integrated NAP Enforcer
■
Požadavky na operační systém pro klienta Symantec Network Access Control
Plánování instalace modulu Symantec Integrated NAP Enforcer Před zprovozněním modulu Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) je nutné splnit řadu požadavků. Tyto požadavky se vztahují na hardware i software a další softwarové komponenty, včetně aplikací třetích stran.
374
Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Nutné komponenty zařízení Symantec Integrated NAP Enforcer
Typ modulu Enforcer, který můžete implementovat, závisí na typu zakoupeného produktu Symantec Network Access Control. Další informace naleznete v licenční smlouvě.
Nutné komponenty zařízení Symantec Integrated NAP Enforcer Modul Symantec Integrated NAP Enforcer spolupracuje se serverem Microsoft DHCP Server, aplikací Symantec Endpoint Protection Manager a klientem Symantec Network Access Control s povolenou ochranou Network Access Protection. Modul Symantec Integrated NAP Enforcer ověřuje, zda klienti splňují konfigurované zásady zabezpečení, než povolí připojení k síti jakýmkoli klientům. Následující požadované součásti je nutné nainstalovat před použitím zařízení Symantec Integrated NAP Enforcer: Symantec Endpoint Protection Manager Nutná k vytvoření zásad zabezpečení v centrálním verze 11.0.2 umístění a jejich přidělení klientům. Server Windows 2008 Na stejném počítači musí být také instalovaná služba DHCP Server a služba Network Policy Server (NPS)
Povinná instalace Microsoft Windows Server se službou DHCP Server a službou Network Policy Server (NPS). Tyto dvě služby je třeba nainstalovat a konfigurovat, než budete moci instalovat modul Symantec Integrated NAP Enforcer.
Řadič domény
Je nutná instalace řadiče domény na stejném počítači jako aplikace Symantec Endpoint Protection Manager nebo na jiném počítači, který podporuje systém Microsoft Windows Server 2003.
Modul Symantec Integrated NAP Enforcer
Nutné k ověření klientů a vynucení zásad zabezpečení.
Klient Symantec Network Access Control
Povinná instalace klienta Symantec Network Access Control.
Požadavky na hardware pro zařízení Symantec Integrated NAP Enforcer Zařízení Symantec Integrated NAP Enforcer má hardwarové požadavky na paměť RAM, procesor, úložný prostor, monitor, síťový adaptér a kartu síťového rozhraní. Pro instalace do 10 000 uživatelů použijte tyto požadavky:
Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Požadavky na operační systém pro zařízení Symantec Integrated NAP Enforcer
■
Pentium III 750 MHz
■
256 MB paměti
■
120 MB volného místa na disku
■
Síťové adaptéry Fast ethernet
■
Jednu kartu síťového rozhraní (NIC) s nainstalovaným protokolem TCP/IP
Pro instalace nad 10 000 uživatelů použijte tyto požadavky: ■
Pentium 4 2,4 GHz
■
512 MB paměti
■
512 MB volného místa na disku
■
Síťové adaptéry 1 GB
■
Monitor s rozlišením 800 x 600 a 256 barvami (minimálně)
■
Jednu kartu síťového rozhraní (NIC) s nainstalovaným protokolem TCP/IP
Požadavky na operační systém pro zařízení Symantec Integrated NAP Enforcer Modul Symantec Integrated NAP Enforcer vyžaduje instalaci následujících operačních systémů a služeb: ■
Windows 2008 server Standard Edition a Windows 2008 server Enterprise Edition
■
Můžete vybrat jednu z následujících konfigurací:
■
■
Služba Windows Server 2008 DHCP, pokud plánujete použít vynucení DHCP Služba Windows 2008 DHCP by měla být ve stejném počítači jako služba Windows Server 2008 Network Policy Server.
■
Služba Windows DHCP, pokud se chystáte použít vynucení 802.1x Služba Windows DHCP může být ve stejném počítači jako služba Windows Server 2008 Network Policy Server. Službu DHCP je možné nakonfigurovat také v samostatném počítači, který jste nakonfigurovali jako Windows 2008 DHCP nebo Windows 2003 DHCP Server.
Služba Windows Server 2008 Network Policy Server (NPS)
375
376
Plánování instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Požadavky na operační systém pro klienta Symantec Network Access Control
Požadavky na operační systém pro klienta Symantec Network Access Control Klient Symantec Network Access Control vyžaduje na klientském počítači nainstalovaný jeden z těchto operačních systémů: ■
Windows Vista (x86) Home Basic Edition, Home Premium Edition, Business Edition, Enterprise Edition, Ultimate Edition
■
Windows Vista Home Basic x64 Edition, Home Premium x64 Edition, Business x64 Edition, Enterprise x64 Edition, Ultimate x64 Edition
■
Windows Vista (x86) Service Pack 1 Home Basic Edition, Home Premium Edition, Business Edition, Enterprise Edition, Ultimate Edition
■
Windows Vista Service Pack 1 Home Basic x64 Edition, Home Premium x64 Edition, Business x64 Edition, Enterprise x64 Edition, Ultimate x64 Edition
■
XP Professional Service Pack 3
Kapitola
23
Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Tato kapitola obsahuje následující témata: ■
Před instalací zařízení Symantec Integrated NAP Enforcer
■
Instalace modulu Symantec Integrated NAP Enforcer
Před instalací zařízení Symantec Integrated NAP Enforcer Než začnete instalovat modul Symantec Integrated NAP Enforcer, je třeba provést následující instalace a konfigurace: ■
Instalace aplikace Symantec Endpoint Protection Manager Poznámka: Doporučujeme nainstalovat aplikaci Symantec Endpoint Protection Manager před instalací modulu Symantec Integrated NAP Enforcer. Aplikace Symantec Endpoint Protection Manager musí být nainstalována, aby modul Symantec Integrated NAP Enforcer pracoval správně.
378
Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Instalace modulu Symantec Integrated NAP Enforcer
Další informace o instalaci aplikace Symantec Endpoint Protection Manager najdete v příručce Instalační příručka pro aplikace Symantec Endpoint Protection a Symantec Network Access Control. ■
Ověření hardwarových a softwarových požadavků na počítač, na který chcete nainstalovat následující součásti: ■
Služba serveru DHCP
■
Služba serveru Network Access Protection
■
Řadič domény
■
Modul Symantec Integrated NAP Enforcer
Viz „Nutné komponenty zařízení Symantec Integrated NAP Enforcer“ na straně 374.
Instalace modulu Symantec Integrated NAP Enforcer Modul Symantec Integrated NAP Enforcer je třeba nainstalovat na počítač, na který jste už dříve nainstalovali operační systém Microsoft Windows server. Na stejném počítači už by měly být instalovány a nakonfigurovány služby DHCP Server a Network Access Protection Server. Musíte se přihlásit jako správce nebo jako uživatel ze skupiny Administrators. Poznámka: Po dokončení instalace modulu Symantec Integrated NAP Enforcer je třeba připojit se k aplikaci Symantec Endpoint Protection Manager. Zařízení Symantec Integrated NAP Enforcer můžete nainstalovat pomocí Průvodce instalací. Viz „Jak instalovat modul Symantec Integrated NAP Enforcer pomocí Průvodce instalací“ na straně 378. Jak instalovat modul Symantec Integrated NAP Enforcer pomocí Průvodce instalací
1
Vložte do jednotky CD-ROM instalační disk CD aplikace Symantec Network Access Control a instalace se spustí automaticky. Pokud se instalace nespustí automaticky, klepněte na soubor IntegratedEnforcerInstaller.exe. Pokud ještě není nainstalován server NAP, je nutné ukončit instalaci a nainstalovat server NAP. Pokud je už služba NAP Server nainstalována, objeví se panel Welcome to Symantec Integrated NAP Enforcer Installation Wizard.
2
Na uvítacím panelu klepněte na tlačítko Next.
Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Instalace modulu Symantec Integrated NAP Enforcer
3
V panelu License Agreement klepněte na možnost I accept the license agreement.
4
Klepněte na tlačítko Next.
5
Na panelu Destination Folder proveďte jeden z těchto kroků:
6
■
Chcete-li potvrdit výchozí cílovou složku, klepněte na tlačítko Next. Aplikace je automaticky nainstalována do adresáře C:\Program Files\Symantec\Integrated Enforcer\.
■
Klepněte na tlačítko Browse, vyhledejte a vyberte požadovanou cílovou složku, klepněte na tlačítko OK a potom na tlačítko Next.
Pokud se zobrazí panel Role Selection (Výběr role), zaškrtněte políčko NAP Enforcement a klepněte na tlačítko Next (Další). Panel Role Selection se zobrazí pouze v případě, že lze na základě služeb spuštěných na serveru nainstalovat více než jeden typ zařízení Symantec NAC Integrated Enforcer.
7
Na panelu Ready to Install the Application klepněte na tlačítko Next. Budete-li chtít změnit nějaké předchozí nastavení, klepněte na položku Back.
8
Klepněte na tlačítko Finish. Pokud potřebujete modul Symantec Integrated NAP Enforcer nainstalovat znovu, je třeba ho nejprve odinstalovat. Viz „Odinstalování modulu Symantec Integrated NAP Enforcer“ na straně 379. Viz „Odinstalování zařízení Symantec Integrated NAP Enforcer z příkazového řádku“ na straně 380.
9
Klepněte na položky Start > Programy > Symantec Enterprise Protection > Symantec Integrated Enforcer.
Odinstalování modulu Symantec Integrated NAP Enforcer
1
Na hlavním panelu systému Windows klepněte na tlačítko Start > Ovládací panely> Přidat nebo odebrat programy.
2
Klepněte na možnost Symantec Integrated Enforcer a potom klepněte na tlačítko Odebrat.
3
Po výzvě, jestli chcete software odebrat, klepněte na tlačítko Ano.
4
Po zobrazení výzvy, zda chcete restartovat server NAP, proveďte jeden z těchto kroků: ■
Restartujte server NAP ihned klepnutím na tlačítko Ano.
379
380
Instalace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) Instalace modulu Symantec Integrated NAP Enforcer
■
Restartujte službu NAP později ručně (výchozí možnost) klepnutím na tlačítko Ne. Pokud restartujete službu NAP později, je třeba ji ukončit a potom spustit. Abyste modul Symantec Integrated Enforcer odinstalovali kompletně, je třeba restartovat službu NAP.
Odinstalování zařízení Symantec Integrated NAP Enforcer z příkazového řádku
1
Otevřete příkazovou řádku DOS.
2
V příkazové řádce zadejte: MsiExec.exe /qn /X{A145EB45-0852-4E18-A9DC-9983A6AF2329}
3
Restartujte server NAP
Ruční ukončení a spuštění serveru NAP
1
Na hlavním panelu systému Windows klepněte na tlačítko Start > Ovládací panely> Nástroje pro správu > Služby.
2
Klepněte na položku NAP Server.
3
Klepněte pravým tlačítkem myši a potom klepněte na možnost Ukončit.
4
Klepněte na tlačítko Spustit.
Kapitola
24
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Tato kapitola obsahuje následující témata: ■
Konfigurace modulu Symantec Integrated NAP Enforcer v konzole Enforcer
■
Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer
■
Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu
■
Nastavení názvu skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer
■
Nastavení komunikačního protokolu HTTP v konzole modulu Symantec Integrated NAP Enforcer
382
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Konfigurace modulu Symantec Integrated NAP Enforcer v konzole Enforcer
Konfigurace modulu Symantec Integrated NAP Enforcer v konzole Enforcer Po dokončení instalace modulu Symantec Integrated NAP Enforcer je nutné před uvedením modulu Symantec Integrated NAP Enforcer do provozu provést následující úkoly: ■
Určit nejméně jednu aplikaci Symantec Endpoint Protection Manager, ke které se modul Symantec Network Access Control Integrated NAP Enforcer může připojit. Název hostitele nebo adresu IP aplikace Symantec Endpoint Protection Manager uvedete do souboru, kterému se říká seznam serverů pro správu. Modul Symantec NAP Enforcer se musí připojit k adrese IP nebo názvu hostitele aplikace Symantec Endpoint Protection Manager. V opačném případě se konfigurace nezdaří. Viz „Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer“ na straně 382.
■
Přidat šifrované heslo nebo předsdílený tajný klíč nakonfigurovaný při instalaci aplikace Symantec Endpoint Protection Manager. Šifrované heslo bylo dříve označováno jako předsdílený klíč. Viz „Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu“ na straně 384.
■
Nastavit název skupiny Enforcer Viz „Nastavení názvu skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer“ na straně 385.
■
Nastavit komunikační protokol HTTP Viz „Nastavení komunikačního protokolu HTTP v konzole modulu Symantec Integrated NAP Enforcer“ na straně 386.
Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer Modul Symantec Integrated Network Access Protection Enforcer je nutné připojit k serveru pro správu v konzole Network Access Protection Enforcer.
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer
Připojení modulu Symantec Integrated NAP Enforcer k serveru pro správu v konzole Enforcer
1
Na hlavním panelu Windows na počítači se zařízením Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. Zobrazí se konfigurační konzola modulu Symantec Integrated NAP Enforcer. Tato hlavní stránka ukazuje stav připojení mezi modulem Symantec Integrated NAP Enforcer a aplikací Symantec Endpoint Protection Manager. Zelená barva ukazuje, že je modul Symantec Integrated NAP Enforcer aktivně připojen k serveru pro správu. Červená barva ukazuje, že spojení se nezdařilo.
2
V levém podokně rozbalte položku Symantec NAP Enforcer.
3
V levém podokně rozbalte položku Configure.
4
V levém panelu klepněte na položku Management Servers.
5
V panelu Management Servers klepněte na tlačítko Add ve sloupci ikon, který se nachází vpravo od seznamu serverů pro správu.
6
V dialogovém okně Add/Edit Management Server zadejte adresu IP nebo název aplikace Symantec Endpoint Protection Manager do textového pole Server address. Můžete zadat adresu IP, název hostitele nebo název domény. Pokud chcete použít název domény, modul Symantec Integrated NAP Enforcer je nutno připojit k serveru DNS.
7
V dialogovém okně Add/Edit Management Server upravte číslo portu, který modul Symantec Integrated NAP Enforcer používá ke komunikaci s aplikací Symantec Endpoint Protection Manager. Výchozí číslo portu protokolu HTTP je 80 a protokolu HTTPS je 443. Protokol HTTPS můžete použít, pouze pokud je stejně nakonfigurován v aplikaci Symantec Endpoint Protection Manager.
8
Klepněte na tlačítko OK.
9
V dialogovém okně Add/Edit management server vyberte jiný server pro správu. Můžete změnit pořadí serverů pro správu, které modul Symantec Integrated NAP Enforcer používá na připojení k aplikaci Symantec Endpoint Protection Manager.
383
384
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu
10 Klepněte na šipky Move up nebo Move down ve sloupci ikon, který se nachází vpravo od seznamu serverů pro správu. Když se modul Symantec Integrated NAP Enforcer poprvé připojí k aplikaci Symantec Endpoint Protection Manager, pokusí se připojit k prvnímu serveru uvedenému v seznamu serverů pro správu. Pokud tento server pro správu není dostupný, připojí se modul Symantec Integrated NAP Enforcer k dalšímu serveru pro správu, který je na seznamu.
11 Server pro správu upravíte klepnutím na tlačítko Edit ve sloupci ikon a změnou adresy serveru pro správu nebo údajů o portu. Jak odebrat aplikaci Symantec Endpoint Protection Manager ze seznamu serverů pro správu v konzole Symantec Integrated NAP Enforcer
1
Na hlavním panelu Windows na počítači se zařízením Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer.
2
V levém podokně rozbalte položku Symantec NAP Enforcer.
3
Rozbalte položku Configure.
4
Klepněte na položku Management Servers.
5
Aplikaci Symantec Endpoint Protection Manager odstraníte klepnutím na tlačítka Remove nebo Remove All ve sloupci ikon.
Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu Chcete-li přidat další vrstvu zabezpečení, můžete zabezpečit komunikaci mezi modulem Symantec Integrated NAP Enforcer a Symantec Endpoint Protection Manager pomocí šifrování. Šifrovaná komunikace vyžaduje použití protokolu HTTPS místo HTTP. Je nutné také zakoupit certifikát jiného výrobce. Šifrované heslo se zpravidla konfiguruje při první instalaci aplikace Symantec Endpoint Protection Manager. Stejné heslo je nutné nakonfigurovat v modulu Symantec Integrated NAP Enforcer. Pokud šifrovaná hesla nejsou shodná, komunikace mezi modulem Symantec Integrated NAP Enforcer a aplikací Symantec Endpoint Protection Manager selže.
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Nastavení názvu skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer
Šifrování komunikace mezi modulem Symantec Integrated NAP Enforcer a serverem pro správu
1
Na hlavním panelu Windows na počítači se zařízením Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer.
2
V levém podokně rozbalte položku Symantec NAP Enforcer.
3
Rozbalte položku Configure.
4
Klepněte na položku Management Servers.
5
Do textového pole Encrypted Password konzoly Symantec Integrated NAP Enforcer zadejte šifrované heslo. Modul Symantec Integrated NAP Enforcer musí používat stejné šifrované heslo pro komunikaci s aplikací Symantec Endpoint Protection Manager. Šifrované heslo je vždy nakonfigurováno během instalace konzoly Symantec Endpoint Protection Manager.
6
Zaškrtněte možnost Unmask. Místo hvězdiček se nyní zobrazují písmena a čísla šifrovaného hesla.
7
Klepněte na tlačítko OK.
Nastavení názvu skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer Je třeba přidat název skupiny Enforcer. Po připojení modulu Symantec Integrated NAP Enforcer k aplikaci Symantec Endpoint Protection Manager se název skupiny Enforcer zaregistruje automaticky na serveru pro správu. Jak nastavit název skupiny Enforcer v konzole modulu Symantec Integrated NAP Enforcer
1
Na hlavním panelu Windows na počítači se zařízením Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer.
2
V levém podokně rozbalte položku Symantec NAP Enforcer.
3
Rozbalte položku Configure.
4
Klepněte na položku Management Servers.
385
386
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Enforcer Nastavení komunikačního protokolu HTTP v konzole modulu Symantec Integrated NAP Enforcer
5
V pravém podokně zadejte název skupiny Enforcer do textového pole Preferred group v konzole Symantec Integrated NAP Enforcer. Pokud v konzole Enforcer nepřidáte název skupiny Integrated Enforcer, všechny moduly Integrated Enforcer budou automaticky přiřazeny do skupiny Temporary na serveru pro správu. Pokud v konzole Enforcer přidáte název skupiny Integrated Enforcer, název skupiny se automaticky zaregistruje na serveru pro správu.
6
Klepněte na tlačítko OK.
Nastavení komunikačního protokolu HTTP v konzole modulu Symantec Integrated NAP Enforcer Je nutné nastavit komunikační protokol mezi zařízením Symantec Integrated NAP Enforcer a aplikací Symantec Endpoint Protection Manager. Jinak komunikace mezi zařízením Symantec Integrated NAP Enforcer a aplikací Symantec Endpoint Protection Manager selže. Můžete nastavit protokol HTTP nebo HTTPS. Pokud se rozhodnete pro protokol HTTPS, je nutné zakoupit certifikát od jiného dodavatele. Jak nastavit komunikační protokol HTTP v konzole modulu Symantec Integrated NAP Enforcer
1
Na hlavním panelu Windows na počítači se zařízením Enforcer klepněte na tlačítko Start > Programy > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer.
2
V levém podokně rozbalte položku Symantec NAP Enforcer.
3
Rozbalte položku Configure.
4
Klepněte na položku Management Servers.
5
Na pravém panelu konzoly Symantec Integrated NAP Enforcer klepněte na položku HTTP. Pokud chcete nastavit šifrovanou komunikaci mezi modulem Symantec Integrated NAP Enforcer a aplikací Symantec Endpoint Protection Manager, je třeba použít protokol HTTPS.
6
Pokud potřebujete ověřit certifikát, protože používáte protokol HTTPS, zaškrtněte políčko Ověřit certifikát při použití protokolu HTTPS.
7
Klepněte na tlačítko OK.
Kapitola
25
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Tato kapitola obsahuje následující témata: ■
Konfigurace modulu Symantec Integrated NAP Enforcer v konzole aplikace Symantec Endpoint Protection Manager
■
Povolení vynucování NAP u klientů
■
Ověření, zda server pro správu spravuje klienta
■
Zásady programu pro ověření stavu zabezpečení
■
Ověření, zda klient úspěšně prochází kontrolou integrity hostitele
■
Povolení místního ověřování v zařízení Symantec Integrated NAP Enforcer
■
Konfigurace protokolů modulu Symantec Integrated NAP Enforcer
388
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Konfigurace modulu Symantec Integrated NAP Enforcer v konzole aplikace Symantec Endpoint Protection Manager
Konfigurace modulu Symantec Integrated NAP Enforcer v konzole aplikace Symantec Endpoint Protection Manager Chcete-li v síťovém prostředí podporovat modul Symantec Integrated NAP Enforcer, je třeba povolit vynucování NAP v aplikaci Symantec Endpoint Protection Manager. Jinak zařízení Enforcer nebude fungovat správně. Je také třeba definovat jedno nebo více kritérií pro požadavky na zásadu programu pro ověření stavu zabezpečení. Můžete například ověřit, zda je klientova zásada programu pro ověření stavu zabezpečení nejnovější verzí instalovanou na klienta. Pokud to není poslední zásada programu pro ověření stavu zabezpečení, klient bude zablokován a nebude se moci připojit k síti.
Povolení vynucování NAP u klientů Pro klienty aplikace Symantec Endpoint Protection a Symantec Network Access Control je třeba povolit vynucování NAP. Pokud u klientů nepovolíte vynucování Network Access Protection (NAP), modul Symantec Integrated NAP Enforcer nemůže zavádět žádné zásady ověřování stavu zabezpečení. Jak povolit vynucování NAP u klientů
1
V konzole aplikace Symantec Endpoint Protection Manager klepněte na položku Klienti.
2
Na stránce Klienti v části Zobrazit skupiny vyberte skupinu, u které chcete povolit vynucování NAP.
3
Na kartě Zásady klepněte na položku Obecná nastavení.
4
V dialogovém okně Nastavení klepněte na tlačítko Nastavení zabezpečení.
5
Na kartě Nastavení zabezpečení v části Vynutit klienta zaškrtněte položku Povolit vynucení NAP. Ve výchozí konfiguraci je nastavení Povolit vynucení NAP vypnuto.
6
Klepněte na tlačítko OK.
Ověření, zda server pro správu spravuje klienta Můžete nastavit kontrolu ověření, která zajistí, že aplikace Symantec Endpoint Protection Manager spravuje klienta Symantec Endpoint Protection nebo Symantec Network Access Control.
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Zásady programu pro ověření stavu zabezpečení
Jak ověřit, zda server pro správu spravuje klienta
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit vyberte skupinu Enforcer, pro kterou chcete ověřit, zda server pro správu spravuje klienta.
4
Klepněte pravým tlačítkem na skupinu Enforcer a vyberte položku Upravit vlastnosti.
5
V části Informace o klientovi na kartě Nastavení NAP v dialogu Nastavení I-DHCP zaškrtněte políčko Ověřte, zda server pro správu spravuje klienta. Možnost Ověřte, zda server pro správu spravuje klienta je ve výchozím nastavení vypnutá.
6
V části Informace o klientovi na kartě Nastavení NAP v dialogu Nastavení I-DHCP klepněte na tlačítko OK.
Zásady programu pro ověření stavu zabezpečení Můžete ověřit, zda klienti Symantec Endpoint Protection a Symantec Network Access Control mají nainstalované nejnovější zásady ověřování stavu zabezpečení. Ověření zásad programu pro ověření stavu zabezpečení
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit zvolte skupinu, pro níž chcete nastavit zásady ověřování stavu zabezpečení.
4
Klepněte pravým tlačítkem na skupinu Enforcer a vyberte položku Upravit vlastnosti.
5
V části Informace o klientovi na kartě Nastavení NAP v dialogu Nastavení I-DHCP zaškrtněte políčko Ověřte, zda zásada ověřování stavu zabezpečení je aktuální. Možnost Ověřte, zda zásada ověřování stavu zabezpečení je aktuální je ve výchozím nastavení vypnutá.
6
Klepněte na tlačítko OK.
389
390
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Ověření, zda klient úspěšně prochází kontrolou integrity hostitele
Ověření, zda klient úspěšně prochází kontrolou integrity hostitele V aplikaci Symantec Endpoint Protection Manager můžete nastavit kontrolu, zda klienti splňují zásady. Jak ověřit, zda klient úspěšně prochází kontrolou integrity hostitele
1
V konzole Symantec Endpoint Protection Manager klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit vyberte skupinu Enforcer, pro kterou chcete ověřit, zda klient úspěšně prochází kontrolou integrity hostitele.
4
Klepněte pravým tlačítkem na skupinu Enforcer a vyberte položku Upravit vlastnosti.
5
V části Stav integrity hostitele na kartě Nastavení NAP v dialogu Nastavení I-DHCP zaškrtněte políčko Ověřte, zda klient úspěšně prochází kontrolou integrity hostitele. Možnost Ověřte, zda klient úspěšně prochází kontrolou integrity hostitele je ve výchozím nastavení vypnuta.
6
Klepněte na tlačítko OK.
Povolení místního ověřování v zařízení Symantec Integrated NAP Enforcer Pokud je místní ověřování povoleno a modul Symantec Integrated NAP Enforcer ztratí propojení s klientem, na němž je nainstalována aplikace Symantec Endpoint Protection Manager, potom bude Symantec Integrated NAP Enforcer ověřovat klienty místně. V takovém případě modul Symantec Integrated NAP Enforcer považuje klienta za platného uživatele a kontroluje pouze klientův stav integrity hostitele. Poznámka: Pokud modul Symantec Integrated NAP Enforcer neztratí propojení se serverem Symantec Endpoint Protection Manager, potom bude po tomto serveru požadovat ověření UID klienta nezávisle na tom, zda je místní ověřování povoleno, či nikoli.
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Konfigurace protokolů modulu Symantec Integrated NAP Enforcer
Jak povolit místní ověřování v modulu Symantec Integrated NAP Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
V části Zobrazit servery vyberte a rozbalte skupinu modulů Symantec Integrated NAP Enforcer.
4
V části Úlohy klepněte na možnost Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení na kartě Upřesnit zaškrtněte možnost Povolit místní ověřování.
6
Klepněte na tlačítko OK.
Konfigurace protokolů modulu Symantec Integrated NAP Enforcer Protokoly modulu Symantec Integrated NAP Enforcer se ukládají na stejném počítači, kde je instalovaný modul Symantec Integrated Enforcer. Protokoly Enforcer jsou generovány automaticky. Chcete-li zobrazit protokoly Enforcer v konzole Symantec Endpoint Protection Manager Console, je třeba povolit zasílání protokolů na konzolu Symantec Endpoint Protection Manager Console. Je-li tato možnost povolená, data protokolu jsou odeslána z modulu Symantec Integrated NAP Enforcer do aplikace Symantec Endpoint Protection Manager a uložena v databázi. Nastavení protokolů zařízení Symantec Integrated NAP Enforcer můžete v konzole Symantec Endpoint Protection Manager Console změnit. Aktivity jsou zaznamenávány do stejného protokolu serveru modulu Enforcer pro všechny moduly Enforcer na stránce. Je možné konfigurovat nastavení pro následující protokoly, které modul Symantec Integrated NAP Enforcer generuje: ■
Protokol serveru modulu Enforcer
■
Protokol klienta modulu Enforcer Protokol klienta poskytuje informace o interakcích modulu Integrated Enforcer s klienty, kteří se pokusili o připojení k síti. Zobrazuje informace o ověřování, selhání ověření a odpojení.
391
392
Konfigurace modulu Symantec NAC Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) na konzole Symantec Endpoint Protection Manager Konfigurace protokolů modulu Symantec Integrated NAP Enforcer
Oddíl
6
Administrace modulů Enforcer z konzoly Symantec Endpoint Protection Manager
■
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager
394
Kapitola
26
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager Tato kapitola obsahuje následující témata: ■
O správě modulu Enforcer pomocí konzoly serveru pro správu
■
O správě modulů Enforcer ze stránky Servery
■
O skupinách modulů Enforcer
■
O informacích o zařízeních Enforcer zobrazovaných v konzole Enforcer
■
Zobrazení informací o modulu Enforcer z konzoly pro správu
■
Změna názvu a popisu modulu Enforcer
■
Odstranění modulu Enforcer nebo skupiny modulů Enforcer
■
Export a import nastavení skupin modulů Enforcer
■
Překryvné zprávy pro blokované klienty
■
O nastavení klienta a o modulu Enforcer
■
Konfigurace klientů pro zastavení služby klienta pomocí hesla
396
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager O správě modulu Enforcer pomocí konzoly serveru pro správu
O správě modulu Enforcer pomocí konzoly serveru pro správu Nastavení modulů Enforcer společnosti Symantec pomocí konzoly pro správu serveru vám pomůže konfigurovat modul Enforcer, jeho ověřovací interakce a interakce vynucení s klienty. Předtím než budete Enforcer konfigurovat v konzole, dokončete jeho instalaci a nastavení v modulu Enforcer nebo na počítači. Nastavení modulu Enforcer na konzole Symantec Endpoint Protection Manager závisí na tom, jaký typ zařízení Enfocer konfigurujete: zařízení Gateway, LAN nebo DHCP. Nastavení každého z nich je proto popsáno zvlášť. Většinu nastavení modulu Enforcer a administrace provedete pomocí konzoly. Většinu konfiguračních nastavení modulu Enforcer lze měnit pouze pomocí konzoly. Některá nastavení však pomocí konzoly měnit nelze a soubor modulu Enforcer je třeba upravovat na počítači modulu Enforcer. Téměř všechna nastavení modulu Enforcer lze měnit na stránce Servery v konzole. Modul LAN Enforcer má na stránce Zásady několik dalších požadovaných nastavení. Pokud spravujete více modulů Enforcer a jste odpovědní za další úkoly, může pro vás být pohodlnější spravovat je všechny z jednoho centrálního místa. Konzola tuto možnost nabízí. Po přihlášená do konzoly můžete zobrazit informace o všech modulech Enforcer. Na počítači, na kterém je nainstalován modul Enforcer, je třeba provést několik úkolů. Tyto úkoly zahrnují použití místní konzoly modulu Enforcer místo konzoly pro správu a úkoly údržby hardwaru. Můžete například odstraňovat potíže se modulem Enforcer a s připojením konzoly k tomuto zařízení. Abyste definovali tento problém, možná budete muset fyzicky zkontrolovat stav hardwaru počítače modulu Enforcer nebo měnit jeho síťové připojení. Tato kapitola neobsahuje informace o tom, jak konfigurovat klienta zařízení Symantec Enforcement, který je samostatnou součástí modulu Enforcer.
O správě modulů Enforcer ze stránky Servery Stránka Servery v konzole pro správu udává v podokně Zobrazit servery seznam instalovaných modulů Enforcer, připojených serverů a konzolí. Každý z modulů Enforcer je uveden pod názvem skupiny. Vlastnosti modulů Enforcer se mění na úrovni skupiny. Viz „Změna názvu a popisu modulu Enforcer“ na straně 400. Abyste mohli zobrazit stránku Servery, je třeba mít plná oprávnění správce systému.
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager O skupinách modulů Enforcer
O skupinách modulů Enforcer Konfigurace modulů Enforcer v konzole se provádí spíše na úrovni skupin modulů Enforcer než na úrovni jednotlivých modulů Enforcer. Moduly Enforcer jsou uvedeny v seznamu konzoly na stránce Servery pod názvy skupin. Skupiny modulů Enforcer slouží k synchronizaci nastavení modulů Enforcer. Všechny moduly Enforcer ve skupině sdílejí stejná nastavení (vlastnosti). Abyste mohli aktualizovat vlastnosti modulů Enforcer, je třeba zvolit název skupiny v podokně Zobrazit servery a upravit vlastnosti skupiny.
Jak konzola určí název skupiny modulů Enforcer Když nastavíte spojení konzoly v místní konzole modulu Enforcer, můžete určit název skupiny. Modul Enforcer se po navázání spojení zaregistruje do konzoly. Konzola automaticky přiřadí modul Enforcer dané skupině a uvede tento modul Enforcer pod jménem skupiny v konzole v podokně Zobrazit servery. Nezadáte-li při nastavování název, konzola modul Enforcer zařadí do výchozí skupiny modulů Enforcer. Konzola použije název počítače modulu Enforcer jako název skupiny.
O skupinách modulů Enforcer s funkcí zotavení při selhání Nový modul Enforcer se pro konzolu identifikuje jako modul Enforcer s funkcí zotavení při selhání v pohotovostním režimu. K této identifikaci dojde, pokud přidáte modul DHCP Enforcer s funkcí zotavení při selhání nebo modul Gateway Enforcer připojený přes rozbočovač nebo přepínač ke stejné podsíti. Konzola poté přiřadí nový modul Enforcer s funkcí zotavení při selhání v pohotovostním režimu ke stejné skupině jako aktivní modul Enforcer. K přiřazení dojde bez ohledu na to, zda jste při nastavování v místní konzoli zadali název skupiny. Tato akce zajistí, že modul DHCP s funkcí zotavení při selhání nebo modul Gateway Enforcer má stejné nastavení jako primární modul Enforcer. U modulů LAN Enforcer je funkce zotavení při selhání zajištěna spíše pomocí přepínače než modulu Enforcer, takže k automatickému přiřazení ke stejné skupině nedojde. Můžete zajistit, aby více modulů LAN Enforcer sdílelo nastavení. V místní konzoli modulu Enforcer v dialogovém okně konzoly Nastavení zadejte stejný název skupiny.
O změnách názvu skupiny Z konzoly nelze změnit název skupiny modulů Enforcer. Můžete však určit nový název skupiny z místní konzoly modulu Enforcer. Modul Enforcer je poté přesunut do nové skupiny. Může být potřeba aktualizovat obrazovku konzoly, aby byla změna viditelná.
397
398
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager O informacích o zařízeních Enforcer zobrazovaných v konzole Enforcer
O vytváření nových skupin modulů Enforcer Obvykle je třeba vytvořit novou skupinu modulů Enforcer, když přidáte modul Enforcer vyžadující jiná nastavení než existující moduly Enforcer. Novou skupinu modulů Enforcer můžete vytvořit v místní konzoli modulu Enforcer určením nového názvu v dialogovém okně Nastavení . Nová skupina má výchozí nastavení modulů Enforcer. Když připojujete nový modul Enforcer z místní konzoly, můžete pole názvu skupiny ponechat prázdné. V takovém případě zařadí konzola modul Enforcer do nové skupiny. Tato skupina přebírá název počítače modulu Enforcer a jeho výchozí nastavení. Stejnou metodu lze použít k přesunutí modulu Enforcer do jiné skupiny. Určete požadovaný název skupiny z místní konzoly modulu Enforcer. Modul Enforcer přebírá nastavení skupiny, do níž je přesunut.
O informacích o zařízeních Enforcer zobrazovaných v konzole Enforcer V konzole můžete zobrazit informace o modulu Enforcer. Nastavení karet síťových rozhraní můžete měnit pouze v modulu Enforcer, ne v konzoli pro správu. Změníte-li konfiguraci karty síťového rozhraní na modulu Enforcer, tato nová nastavení budou v dalším okamžiku odeslána do konzoly pro správu. Podobné informace o modulu Enforcer lze prohlížet z místní konzoly modulu Enforcer. Tab. 26-1popisuje, jaký typ informací lze prohlížet. Tab. 26-1
Informace o modulu Enforcer v konzole
Pole
Popis
Název
Stejné jako pole Název hostitele.
Popis
Stručný popis modulu Enforcer. Popis je jediným údajem, který můžete v konzole pro správu upravit.
Verze
Verze softwaru modulu Enforcer spuštěného na zvoleném počítači Enforcer.
Název hostitele
Název počítače, v němž je modul Enforcer nainstalován.
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager Zobrazení informací o modulu Enforcer z konzoly pro správu
Pole
Popis
Operační systém
Operační systém spuštěný na počítači, v němž je nainstalován zvolený modul Enforcer.
Stav online
Online: Služba je spuštěná a je primárním aktivním zařízením Enforcer. Offline: Služba je zastavena.
Stav při selhání
(pouze zařízení Gateway a DHCP Enforcer) Zda je modul Enforcer aktivní, nebo v pohotovostním režimu.
Interní adresa IP
Adresa IP interní karty síťového rozhraní.
Externí adresa IP
(pouze zařízení Gateway a DHCP Enforcer) Adresa IP externí karty síťového rozhraní.
Interní adresa MAC
Adresa MAC interní karty síťového rozhraní.
Externí adresa MAC
(pouze zařízení Gateway a DHCP Enforcer) Adresa MAC externí karty síťového rozhraní.
Interní síťová karta
Výrobce a model interní karty síťového rozhraní.
Externí síťová karta
(pouze zařízení Gateway a DHCP Enforcer) Výrobce a model externí karty síťového rozhraní.
Zobrazení informací o modulu Enforcer z konzoly pro správu Informace o modulu Enforcer můžete zobrazit z konzoly. Viz Tab. 26-1 na straně 398. Jak zobrazit informace o modulu Enforcer z konzoly pro správu
1
V konzole Symantec Endpoint Protection Manager na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery klepněte na název modulu Enforcer, o němž si přejete zobrazit informace. Informace o zařízení LAN Enforcer se nezobrazují v polích pro externí síťovou kartu, protože toto zařízení vyžaduje pouze interní síťovou kartu. Nezobrazuje se také žádný stav zotavení při selhání, protože zotavení zařízení LAN Enforcer spravuje přepínač.
399
400
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager Změna názvu a popisu modulu Enforcer
Změna názvu a popisu modulu Enforcer Název modulu Enforcer je vždy název hostitele zařízení nebo počítače, v němž je nainstalováno. Název modulu Enforcer lze změnit jen změnou názvu hostitelského počítače. Popis modulu Enforcer lze změnit v konzoli. Můžete například zadat popis pro označení umístění modulu Enforcer. Postup pro změnu popisu modulu Enforcer
1
V konzoli na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery klepněte na název modulu Enforcer a poté v části Úlohy klepněte na položku Upravit vlastnosti modulu Enforcer. Zobrazí se dialogové okno Vlastnosti. Pole pro název nelze upravit.
3
Do textového pole Popis zadejte požadovaný text.
4
Klepněte na tlačítko OK. Popis modulu Enforcer můžete upravit také klepnutím pravým tlačítkem na název modulu Enforcer a zvolením možnosti Vlastnosti.
Odstranění modulu Enforcer nebo skupiny modulů Enforcer Modul Enforcer můžete odstranit v konzole pro správu. Když odstraníte modul Enforcer, uvolní se licence, protože používaný počítač již nemá spuštěn modul Enforcer. Modul Enforcer nemůžete z konzoly odstranit, pokud je v režimu online. Můžete modul Enforcer vypnout a poté jej odstranit. Když restartujete počítač modulu Enforcer, modul se opět připojí ke konzoli. Modul Enforcer se opět zaregistruje a zobrazí se na stránce Servery. Chcete-li modul Enforcer trvale odstranit z konzoly, nejdříve jej odinstalujte z počítače modulu Enforcer. Postup pro odstranění skupiny modulů Enforcer po odinstalování z počítače
1
Vypněte nebo odinstalujte modul Enforcer z počítače modulu Enforcer.
2
V konzoli na stránce Správce klepněte na položku Servery.
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager Export a import nastavení skupin modulů Enforcer
3
V části Zobrazit servery klepněte na název modulu Enforcer a poté v části Úlohy klepněte na položku Odstranit modul Enforcer. Okno zprávy vás požádá o potvrzení odstranění.
4
Potvrďte odstranění klepnutím na tlačítko Ano. Nejsou-li v seznamu skupiny uvedeny žádné moduly Enforcer a tuto skupinu již nehodláte používat, můžete ji odstranit. Skupina nesmí obsahovat žádné názvy modulů Enforcer, aby bylo možné ji odstranit. Když odstraníte skupinu modulů Enforcer, odstraníte všechna přizpůsobená nastavení této skupiny.
Postup pro odstranění skupiny modulů Enforcer
1
V konzole aplikace Symantec Endpoint Protection klepněte na položku Správce. Na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery klepněte na název skupiny modulů Enforcer.
3
Klepněte na tlačítko Odstranit skupinu. Okno zprávy vás požádá o potvrzení odstranění.
4
Potvrďte odstranění klepnutím na tlačítko Ano.
Export a import nastavení skupin modulů Enforcer Je možné exportovat a importovat nastavení skupiny modulů Enforcer. Nastavení jsou exportována do souboru ve formátu XML. Při importu nastavení je musíte importovat do existující skupiny modulů Enforcer, což přepíše nastavení dané skupiny. Postup pro export nastavení skupiny modulů Enforcer
1
V konzole pro správu na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery klepněte na název modulu Enforcer a poté v části Úlohy klepněte na položku Exportovat vlastnosti skupiny.
3
Zvolte umístění, do kterého má být soubor uložen, a určete název souboru.
4
Klepněte na tlačítko Uložit.
Při importu nastavení je musíte importovat do existující skupiny modulů Enforcer, což přepíše nastavení dané skupiny.
401
402
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager Překryvné zprávy pro blokované klienty
Postup pro import nastavení skupiny modulů Enforcer
1
V konzole pro správu na stránce Správce klepněte na položku Servery.
2
V části Zobrazit servery klepněte na název modulu Enforcer, jehož nastavení si přejete přepsat, a poté v části Úlohy klepněte na položku Importovat vlastnosti skupiny.
3
Vyberte soubor, který chcete importovat, a klepněte na tlačítko Otevřít. Budete požádáni o potvrzení přepsání stávajících vlastností skupiny modulů Enforcer.
4
Klepněte na tlačítko Ano.
Překryvné zprávy pro blokované klienty Když modul Enforcer zablokuje klienta, který se pokouší připojit k síti, lze nakonfigurovat následující dva typy překryvných zpráv: ■
Zpráva pro počítače se spuštěným klientem
■
Zpráva pro počítače se systémem Windows, které nemají spuštěný klient (pouze moduly Gateway a DHCP Enforcer)
Zprávy pro počítače se spuštěným klientem Pokud modul Enforcer zablokuje počítač přesto, že má spuštěn klient, nabízí se několik příčin. K zablokování může dojít v důsledku selhání kontroly integrity hostitele nebo proto, že zásada klienta není aktuální. Můžete určit místní zprávu, která se klientovi zobrazí, když dojde k těmto problémům. Tato zpráva upozorní uživatele, že modul Enforcer zablokoval veškerou komunikaci od klienta, a sdělí důvod blokování. Následující zpráva bude například zobrazena, pokud klient neprojde kontrolou integrity hostitele: Modul Symantec Enforcer zablokoval veškerou komunikaci od klienta, protože klient neprošel kontrolou integrity hostitele.
K výchozí zprávě můžete přidat vlastní text. Můžete například sdělit uživateli počítače, jak napravit tuto situaci. Tuto zprávu konfigurujete jako součást nastavení zásady skupiny klientů, ne nastavení modulu Enforcer.
Zprávy pro počítače se systémem Windows, které nemají spuštěný klient (pouze moduly Gateway a DHCP Enforcer) V některých případech se klienti pokouší připojit k podnikové síti, aniž by měli spuštěný klient. Moduly Gateway a DHCP Enforcer informují uživatele počítačů
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager Překryvné zprávy pro blokované klienty
se systémem Windows pomocí místní zprávy o nutnosti nainstalovat software klientu. Tato zpráva informuje klienty o tom, že jim byl blokován přístup do sítě, protože není spuštěn klient Symantec. Obsah zprávy můžete konfigurovat na kartě Ověření dialogového okna Nastavení modulu Enforcer. Pokud není spuštěn klient, použijte možnost klienta Povolit místní zprávy Poznámka: U modulu Gateway Enforcer je alternativou místní zprávy možnost Přesměrování HTTP. Možnost Přesměrování HTTP připojí klienta k webové stránce se schopnostmi nebo instrukcemi k nápravě. Aby mohl modul Enforcer zobrazit zprávu u klienta, musí být otevřeny porty UDP 137 a 138, aby bylo možné zprávu poslat. Aby bylo možné zprávu zobrazit v systémech založených na Windows NT (Windows NT 4.0, 2000, XP, a Windows Server 2003), musí být na těchto počítačích spuštěna aplikace Windows Messaging, neboli Messenger. Pokud je klient spuštěn, aplikace Windows Messaging není nutná k zobrazení místní zprávy z klientu.
Instalace zpráv zařízení Enforcer Můžete nakonfigurovat zprávy, které se na klientských počítačích zobrazí, pokud dojde k jejich zablokování zařízením Enforcer. Poznámka: Nastavení lze měnit pouze pro skupiny, které nedědí nastavení z nadřazené skupiny. Nastavení zpráv zařízení Enforcer
1
V konzole na stránce Klienti vyberte záložku Zásady.
2
V části Zobrazení zásad vyberte skupinu, pro kterou chcete zadat místní zprávu.
3
V části Nastavení vyberte položku Obecná nastavení. Zobrazí se dialogové okno Nastavení skupiny s vybranou kartou Obecná nastavení.
4
Na kartě Nastavení zabezpečení vyberte položku Zobrazit zprávu, je-li klient zablokován zařízením Enforcer společnosti Symantec.
5
Chcete-li k výchozí zprávě přidat text, klepněte na položku Nastavit dodatečný text, zadejte text a klepněte na tlačítko OK.
6
Klepněte na tlačítko OK.
403
404
Správa modulů Enforcer v konzole Symantec Endpoint Protection Manager O nastavení klienta a o modulu Enforcer
O nastavení klienta a o modulu Enforcer Klienty Symantec spolupracují s modulem Enforcer bez zvláštních konfigurací. Výjimkou je několik nastavení ověřování 802.1x, potřebných pro modul LAN Enforcer. Také existuje jedna situace, které byste si měli být při konfiguraci klientů vědomi. Pokud koncový uživatel zastaví klienta, když je spuštěn, může dojít k problému.
Konfigurace klientů pro zastavení služby klienta pomocí hesla Během svého spuštění může klient úspěšně projít prvním ověřením zařízení Enforcer a získat obvyklou síťovou konfiguraci a adresu IP. Pokud klient při pozdějším ověření selže, zařízení Enforcer pošle klientovi zprávu. Toto selhání způsobí, že klient uvolní a obnoví svou adresu IP. Pokud však koncový uživatel zastaví klienta na klientském počítači, zařízení Enforcer není schopno vynutit uvolnění a obnovu. Chcete-li zajistit, aby zařízení Enforcer mohlo dále blokovat klienty a ukládat je do karantény, je nutné omezit uživatele, kteří mohou klienta zastavit. Uživatele lze omezit pomocí hesla, které bude požadováno při pokusu o zastavení klienta koncovým uživatelem. Konfigurace klientů pro zastavení služby klienta pomocí hesla
1
V konzole na stránce Klient vyberte skupinu klienta.
2
Na kartě Zásady v části Nastavení klepněte na položku Obecná nastavení.
3
Na kartě Nastavení zabezpečení v části Ochrana klienta pomocí hesla vyberte položku Vyžadovat heslo pro zastavení služby klienta a zadejte heslo.
4
Klepněte na tlačítko OK.
Oddíl
7
Práce se zprávami a protokoly modulů Enforcer
■
Správa zpráv a protokolů modulu Enforcer
406
Kapitola
27
Správa zpráv a protokolů modulu Enforcer Tato kapitola obsahuje následující témata: ■
Zprávy modulů Enforcer
■
Protokoly zařízení Enforcer
■
Konfigurace nastavení protokolu modulu Enforcer
Zprávy modulů Enforcer Stránka Zprávy v konzole Symantec Endpoint Protection Manager poskytuje předdefinované i vlastní zprávy. Předdefinované Rychlé zprávy, které obsahují informace o zařízeních Enforcer, je také možné zobrazit na stránce Zprávy. K dispozici jsou následující zprávy modulu Enforcer: ■
Systémová zpráva "Hlavní moduly Enforcer, které generovaly chyby" obsahuje informace o modulech Enforcer, které generovaly chyby a varování.
■
Systémová zpráva "Stav lokace" obsahuje informace o systému modulu Enforcer, provozu a propustnosti protokolu paketů.
■
Zprávy souladu obsahují informace o stavu souladu klientů.
Více informací o zprávách modulů Enforcer najdete v přířučce Průvodce správou aplikací Symantec Endpoint Protection a Symantec Network Access Control. Viz „Protokoly zařízení Enforcer“ na straně 408.
408
Správa zpráv a protokolů modulu Enforcer Protokoly zařízení Enforcer
Protokoly zařízení Enforcer Zařízení Enforcer poskytují následující protokoly, které můžete použít k monitorování a řešení problémů aktivity systému: ■
Protokol serveru modulu Enforcer Viz „Protokol serveru modulu Enforcer“ na straně 408.
■
Protokol klienta modulu Enforcer Viz „Protokol klienta modulu Enforcer“ na straně 409.
■
Protokol provozu Enforcer (pouze zařízení Gateway Enforcer) Viz „Protokol provozu modulu Gateway Enforcer“ na straně 410.
Ve výchozím nastavení se protokoly Enforcer ukládají na počítači, na němž je nainstalován software Enforcer, nebo na samotném zařízení Enforcer. Můžete nechat protokoly automaticky zasílat ze zařízení Enforcer nebo z počítače, na němž je nainstalovaný modul Integrated Enforcer, na konzolu Symantec Endpoint Protection Manager. Musíte však povolit zasílání protokolů na konzole Symantec Endpoint Protection Manager. Data protokolu jsou zaslána z modulu Enforcer do aplikace Symantec Endpoint Protection Manager a uložena do databáze. Prostřednictvím konzoly Symantec Endpoint Protection Manager můžete upravovat nastavení protokolů Enforcer, prohlížet protokoly a generovat zprávy o zařízeních Enforcer. Aktivity jsou zaznamenávány do stejného protokolu serveru zařízení Enforcer pro zařízení Enforcer na stránce. Poznámka: Systémový protokol Aktivita modulu Enforcer je také přístupný z konzoly Symantec Endpoint Protection Manager. Obsahuje informace o událostech, jako kdy se zařízení Enforcer spustí a kdy se připojí k aplikaci Symantec Endpoint Protection Manager.
Protokol serveru modulu Enforcer Protokol serveru modulu Enforcer poskytuje informace, které souvisejí s fungováním modulu Enforcer. Tab. 27-1 popisuje informace, které jsou k dispozici v protokolu serveru modulu Enforcer.
Správa zpráv a protokolů modulu Enforcer Protokoly zařízení Enforcer
Tab. 27-1
Informace v protokolu serveru modulu Enforcer
Název sloupce protokolu
Popis
Čas
Datum a čas události zaznamenané v protokolu. Čas protokolu serveru modulu Enforcer byste měli udržovat v synchronizaci se systémovým časem prostředí Linux v modulu Enforcer. Může se stát, že čas v modulu Enforcer bude třeba ručně měnit tak, aby reagoval na změny letního a zimního času.
Typ události
Typ události. Typy událostí jsou například Modul Enforcer zaregistrován nebo Server přijal protokol modulu Enforcer.
Název modulu Enforcer
Název modulu Enforcer, kterého se příslušná událost týká.
Lokace
Název lokace, ke které se tato událost vztahuje.
Server
Název serveru, kterého se příslušná událost týká.
Protokol klienta modulu Enforcer Protokol klienta poskytuje informace o interakcích modulu Enforcer s klientem, který se pokusil o připojení k síti. Zobrazuje informace o ověřování, selhání ověření a odpojení. Při ověřování rovnocenného spojení, protokol klienta Enforcer také zobrazuje informace o ověřování, nezdařeném ověření a odpojení. Informace slouží pro interakci mezi klienty, kteří slouží jako moduly Enforcer, a vzdálenými klienty. Vzdálení klienti se snaží připojit k síti prostřednictvím klientů, kteří slouží jako moduly Enforcer. Tab. 27-2 popisuje informace, které jsou k dispozici v protokolu klienta Enforcer. Tab. 27-2
Informace v protokolu klienta modulu Enforcer
Název sloupce protokolu
Popis
Čas
Datum a čas, kdy došlo k interakci s klientem.
Název modulu Enforcer
Hostitelský název modulu Enforcer nebo počítače, kterého se tato událost týká.
Typ modulu Enforcer
Typ modulu Enforcer, kterého se tato událost týká. Je to buď zařízení Gateway Enforcer, DHCP Enforcer nebo LAN Enforcer.
Lokace
Název lokace, ke které se tato událost vztahuje.
409
410
Správa zpráv a protokolů modulu Enforcer Protokoly zařízení Enforcer
Název sloupce protokolu
Popis
Vzdálený hostitel
Název hostitele klienta, kterého se tato událost týká, pokud existuje.
Akce
Akce, kterou modul Enforcer provedl. Tento sloupec může obsahovat následující akce: ■
■
■
■
■
Vzdálená adresa MAC
Ověřeno Jedinečný identifikátor (UID) klienta byl správný. Zamítnuto Jedinečný identifikátor (UID) klienta byl nesprávný nebo klient nebyl spuštěn. Odpojeno Klient se odpojil od modulu Enforcer nebo došlo k ukončení služby modulu Enforcer. Proběhlo úspěšně Klient úspěšně prošel kontrolou integrity hostitele. Došlo k chybě Klient neprošel kontrolou integrity hostitele.
Adresa MAC klienta.
Protokol provozu modulu Gateway Enforcer Protokol provozu zaznamenává veškerý provoz, který vstupuje externím adaptérem zařízení Gateway Enforcer a odchází interním adaptérem. Poznámka: Protokoly provozu jsou dostupné jen na zařízeních Gateway Enforcer. Obsah závisí na nastavení filtru protokolu provozu provedeném v dialogu Nastavení modulu Gateway Enforcer. Tab. 27-3 popisuje informace, které jsou k dispozici v protokolu provozu modulu Gateway Enforcer. Tab. 27-3
Informace v protokolu provozu zařízení Gateway Enforcer
Název sloupce protokolu
Popis
Čas
Datum a čas události související s provozem.
Název modulu Enforcer
Název zařízení Gateway Enforcer, kterého se příslušná událost týká.
Správa zpráv a protokolů modulu Enforcer Konfigurace nastavení protokolu modulu Enforcer
Název sloupce protokolu
Popis
Typ modulu Enforcer
Název typu modulu Enforcer, kterého se příslušná událost týká. Je to buď zařízení Gateway Enforcer, DHCP Enforcer nebo LAN Enforcer.
Lokace
Název lokace, ke které se tato událost vztahuje.
Místní port
Port protokolů TCP nebo UDP cíle paketu.
Místní adresa IP hostitele
Adresa IP zdroje paketu. Adresa IP cíle paketu.
Adresa IP vzdáleného hostitele Směr
Směr provozu: buď příchozí, který vstupuje do zařízení Gateway Enforcer, nebo odchozí, který vychází ze zařízení Gateway Enforcer.
Akce
Provedená akce. Touto akcí může být například ověření nebo blokování.
Počet
Počet případů, kdy byl přijat tentýž paket.
Konfigurace nastavení protokolu modulu Enforcer Nastavení protokolů modulu Enforcer lze konfigurovat v dialogovém okně Nastavení název modulu Enforcer na kartě Protokolování. Změny budou odeslány vybranému modulu Enforcer během následujícího prezenčního signálu.
Zakázání protokolů Enforcer v konzole Symantec Endpoint Protection Manager Console Ve výchozím nastavení je protokolování Enforcer povoleno. Je možné ho zakázat v konzole aplikace Symantec Endpoint Protection Manager Console. Pokud protokolování zakážete, na stejném místě jej můžete opět povolit. Jak zakázat protokoly Enforcer v konzole Symantec Endpoint Protection Manager Console
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
411
412
Správa zpráv a protokolů modulu Enforcer Konfigurace nastavení protokolu modulu Enforcer
3
Na stránce Správce v části Zobrazit servery zvolte skupinu modulu Enforcer, pro níž chcete zakázat protokolování
4
Na stránce Správce, v části Úlohy, klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení název modulu Enforcer na kartě Protokolování zrušte zaškrtnutí políčka Povolit protokolování u každého protokolu, který chcete zakázat.
6
Klepněte na tlačítko OK.
Povolení zasílání protokolů Enforcer z modulu Enforcer do aplikace Symantec Endpoint Protection Manager Ve výchozím nastavení jsou všechny protokoly automaticky zasílány ze zařízení Enforcer nebo z počítače, ve kterém je nainstalován softwarový modul Integrated Enforcer, do aplikace Symantec Endpoint Protection Manager. Až povolíte zasílání protokolů, můžete zobrazit všechny protokoly Symantec v centrálním umístění v konzole Symantec Endpoint Protection Manager Console. Jak povolit zasílání protokolů Enforcer z modulu Enforcer do aplikace Symantec Endpoint Protection Manager
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte skupinu modulů Enforcer, pro níž chcete povolit zasílání protokolů do aplikace Symantec Endpoint Protection Manager.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogovém okně Nastavení název modulu Enforcer na kartě Protokolování zaškrtněte políčko Odeslat protokol na server pro správu. Můžete povolit zasílání jednotlivých typů protokolu z modulu Enforcer nebo z počítače, na němž je nainstalovaný softwarový modul Integrated Enforcer, do aplikace Symantec Endpoint Protection Manager.
6
Klepněte na tlačítko OK.
Nastavení velikosti a stáří protokolů modulu Enforcer Je možné určit maximální velikost souborů protokolu modulu Enforcer a dobu, po kterou mají být položky protokolu uchovávány.
Správa zpráv a protokolů modulu Enforcer Konfigurace nastavení protokolu modulu Enforcer
Jak nastavit velikost a stáří protokolů modulů Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte skupinu modulu Enforcer, pro níž chcete nastavit velikost a stáří protokolů Enforcer.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
5
V dialogu Nastavení název modulu Enforcer určete v každém z polí Maximální velikost souboru protokolu na kartě Protokolování velikost dat v kB, která mají být uchovávána v jednotlivých protokolech. Výchozí nastavení je 512 kB.
6
V poli Platnost položky protokolu vyprší po určete počet dnů, po které položka zůstane v databázi, dokud nebude odstraněna. Rozsah je 1 den až 365 dnů, výchozí rozsah je 30 dnů.
7
Klepněte na tlačítko OK.
Filtrování protokolů provozu pro modul Enforcer Připojuje-li se k vaší síti mnoho klientů prostřednictvím modulu Enforcer, může se generovat rozsáhlý protokol provozu. Typ dat zaznamenávaný zařízením Enforcer do protokolu provozu je možné filtrovat a omezit průměrnou velikost protokolu. Seznam filtrů, které modul Enforcer zaznamenává do protokolu, umožňuje filtrovat provoz před uchováním dat. Jak filtrovat protokoly provozu pro modul Enforcer
1
V konzole Symantec Endpoint Protection Manager Console klepněte na položku Správce.
2
Na stránce Správce klepněte na položku Servery.
3
Na stránce Správce v části Zobrazit servery zvolte skupinu modulů Enforcer, pro níž chcete filtrovat protokolování provozu.
4
Na stránce Správce v části Úlohy klepněte na položku Upravit vlastnosti skupiny.
413
414
Správa zpráv a protokolů modulu Enforcer Konfigurace nastavení protokolu modulu Enforcer
5
6
V dialogu Nastavení název modulu Enforcer na kartě Protokolování vyberte v seznamu filtrů protokolů provozu jednu z následujících možností filtrování: Veškerý provoz
Do protokolu se zaznamenává veškerý provoz, včetně provozu, který je povolen a pozastaven.
Pouze zablokovaný provoz
Do protokolu se zaznamenávají pouze klienti, které modul Enforcer blokuje.
Pouze povolený provoz
Do protokolu se zaznamenává pouze provoz, který je zařízením Enforcer povolen.
Klepněte na tlačítko OK.
Rejstřík
Symboly
B
802.1x bezdrátové přístupové body 149 EAP-over-LAN (EAPOL) 37 Extensible Authentication Protocol (EAP) 37 konfigurace ověřování 193 konfigurace přepínače 184 ověřovací server 37 ověřování 35, 191 ověřovatel 37 žadatel 37, 298
bezdrátové protokoly 149, 181 bezdrátové přístupový body (WAP) zařízení Gateway Enforcer 46 bezdrátový přístupový bod (WAP) zařízení Gateway Enforcer 43
A
debug příkazy 256 důvěryhodná síť 303, 342 důvěryhodní dodavatelé 351 důvěryhodný hostitel klient bez ověřování 142 konfigurace 362 server bez ověřování 142 zařízení bez ověřování 142
Adresa IP karanténa 56 zařízení DHCP Enforcer 54 zařízení Gateway Enforcer 45 adresa IP důvěryhodná 108–109 Modul Integrated Enforcer 349 zařízení Gateway Enforcer 97 adresa MAC důvěryhodný hostitel 362 adresování podsítě 78 Integrated Enforcer 342 zabezpečené 303 antivirový software 295 Aplikace Symantec Endpoint Protection Manager důvěryhodná adresa IP 113 integrita hostitele 30 komunikace se zařízením Enforcer 31, 297 konfigurace zařízení LAN Enforcer 147 Zařízení Integrated Enforcer pro servery Microsoft DHCP 303 aplikace Symantec Endpoint Protection Manager a zařízení DHCP Enforcer 122 a zařízení Gateway Enforcer 92 příkaz configure SPM 254 automatická karanténa 345 klient 141
C Cisco Network Admissions Control 38
D
E Enforcer konzola 398 konzoly správa 396 o skupině 397 odstranění 400 produkty jiných výrobců 38 protokol provozu 410 protokol serveru 408 skupina export nastavení 401 úprava názvu 400 vytvoření skupiny 398 změna názvu skupiny 397 zotavení po selhání 397 export nastavení skupiny modulů Enforcer 401
416
Rejstřík
H
J
hardwarové požadavky pro zařízení Integrated Lucent Enforcer 331 hardwarové specifikace Modul Enforcer 74 heslo náhrada 78 šifrování 178
jedinečný identifikátor (UID) 31 ověření klienta zařízením Enforcer 31
I import nastavení skupiny modulů Enforcer 401 indikátory Modul Enforcer 73 instalace Modul Symantec Integrated NAP Enforcer 377 předpoklady 71 Symantec Integrated Enforcer instalace průvodce 313 příkazový řádek 313 Zařízení DHCP Enforcer 72, 76 zařízení DHCP Enforcer 71 Zařízení Gateway Enforcer 71–72, 76 Zařízení LAN Enforcer 73, 76 zařízení LAN Enforcer 71 Integrated DHCP Enforcer Servery Microsoft DHCP 303 Integrated Enforcer a aplikace Symantec Endpoint Security Manager – komunikace 342 a klienti Symantec Network Access Control 313 a zařízení Network Access Control Scanner 361 instalace 313 karanténa 345 Microsoft NAP 27 nastavení komunikace 342 Servery Microsoft DHCP 27 Integrated Lucent Enforcer odpojení ze seznamu serverů pro správu 367 požadavky na operační systém 331 integrita hostitele kontrola 30 modul Enforcer 30 podporovaný software 295 server RADIUS 148 stav 31 zpráva 297 často kladené otázky 297
K karanténa 137 a modul Integrated Enforcer 342, 345, 355 Server DHCP 56 server DHCP 56, 72 user-class ID 248 zařízení DHCP Enforcer 52 Zařízení Integrated Enforcer pro servery Microsoft DHCP 303 karta síťového rozhraní příkaz configure 251 Zařízení DHCP Enforcer 75 Zařízení Gateway Enforcer 75 karty NIC (network interface card) příkaz shutdown 250 klient Aplikace Symantec Network Access Control 303 bezdrátový 149 karanténa 32, 137, 342 neověřený 358 ověření 303 ověřeno 129 ověřený 97 ověřování 342 shoda 135, 342 soulad 303 Symantec Network Access Control 342 v karanténě 303 zprávy při zablokování 402 klient s jiným operačním systémem než Windows zařízení Gateway Enforcer 46 Klient Symantec Enforcement 396 klientský protokol Enforcer 409 komu je dokumentace určena 26 konektory Modul Enforcer 73 konfigurace protokol Enforcer 411 Kontrola integrity hostitele a modul Integrated Enforcer 355 kontrola jedinečného identifikátoru 355 kontrola sériového čísla zásady 360 a zařízení Gateway Enforcer 104
Rejstřík
konzola Správa modulu Enforcer 396 stránka Servery 396 zobrazení informací o modulu Enforcer 399 konzola pro správu. Viz konzola protokol Enforcer 412 konzoly modul Enforcer 398
L ladění protokol 293 příkazy 293 local authentication příkaz 246
M místní ověřování 362 povolení v zařízení DHCP Enforcer 145 povolení v modulu Integrated Enforcer 365 povolení v modulu Symantec Integrated NAP Enforcer 390 povolení v zařízení Gateway Enforcer 119 povolení v zařízení LAN Enforcer 191 model přepínače 164 Modul Enforcer DHCP 27 Gateway 27 hardwarové specifikace 74 indikátory 73 konektory 73 LAN 27 odkaz na abecední příkaz 218 ovládací prvky 73 přihlášování 82 příkazy console 255 zadní panel 74 čelní panel 73 modul Enforcer brána 88 instalace 71 klientský protokol 409 konfigurace 78 nastavení 396 ověřuje klienta pomocí UID 31 protokol 408 skupina import nastavení 401
úprava popisu 400 zámek 80 změna skupiny 398 zobrazení stavu 85 zotavení DHCP 397 zotavení Gateway 397 zotavení LAN 397 zpráva 407 řešení potíží 291 Modul Integrated Enforcer a kontrola sériového čísla zásady 360 důvěryhodní dodavatelé 351 nastavení komunikace 361 připojení k serveru pro správu 349 Modul Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) plánování 373 požadavky na operační systém 374 požadovaná součást 374 Modul Symantec Integrated NAP Enforcer hardwarové požadavky 374 instalace 377 komunikační protokol HTTP 386 konfigurace v konzole NAP Enforcer 382 požadavek na operační systém 375 připojení k serveru pro správu 382 šifrované heslo 384 modul Symantec Integrated NAP Enforcer název skupiny 385 odebrání ze seznamu serverů pro správu 384 protokol HTTP 384 protokol HTTPS 384 Moduly Enforcer nastavení klienta 404
N náprava 32 Network Access Control Scanner a modul Integrated Enforcer 361 Zařízení Integrated Enforcer pro servery Microsoft DHCP 303 Network Access Control Scanners a modul Integrated Enforcer 342 NIC. Viz karta síťového rozhraní normální přihlášení 82
417
418
Rejstřík
O ochrana heslem klient 404 moduly Enforcer 404 ochrana serverů zařízení Gateway Enforcer 46 operační systém Linux 70 opětovné ověření 194 opětovné vytváření bitové kopie modul Enforcer 70 ovládací prvky modul Enforcer 73 ověření 109 důvěryhodný rozsah 107 Modul Integrated Enforcer 365 modul Symantec Integrated NAP Enforcer 390 opětovné ověření 180, 194 příkazy 218, 246, 248, 297 selhání 141 typy 30 zařízení Gateway Enforcer 119 zařízení LAN Enforcer 73, 191 ověřování a důvěryhodní hostitelé 362 a klienti s jiným systémem než Windows 103, 359 a modul Integrated Enforcer 342 a neověření klienti 101, 358 a opětovné ověření 101 místní 362 Modul Integrated Enforcer 353, 355 povolení klientů s jiným operačním systémem než Windows 133 povolení neovřených klientů 132 proces 31 příkazy 239 selhání 100 základní konfigurace 802.1x 35 zásada přepínače 188 zařízení DHCP Enforcer 127, 145 zařízení Gateway Enforcer 32, 94 Zařízení Integrated Enforcer pro servery Microsoft DHCP 303
P paket challenge zadání frekvence 132 zadání maximálního počtu 131 pakety challenge 97
pakety požadavků ARP 117 pakety požadavků DHCP 117 pakety požadavků DNS 117 pakety typu challenge 355 frekvence 99, 357 určení 356 zadání 98 password výchozí 78 plánování Modul Integrated Enforcer pro architekturu NAP (Microsoft Network Access Protection) 373 Zařízení Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP 327 Zařízení Integrated Enforcer pro servery Microsoft DHCP 311 plánování instalace zařízení DHCP Enforcer 52 zařízení Gateway Enforcer 42 zařízení LAN Enforcer 60 port naslouchání zařízení LAN Enforcer 153 požadavek hardware pro zařízení Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP 331 operační systém pro server Integrated Lucent Enforcer 331 požadavek na operační systém 331 prezenční signál mezi aplikací Symantec Endpoint Protection Manager a zařízením Enforcer 31 proces ověřování zařízení DHCP Enforcer 129 zařízení Gateway Enforcer 97 protokol. Viz Protokol serveru modulu Enforcer filtrování dat protokolu provozu Enforcer 413 shoda 408 umístění 408 zaslání z modulu Enforcer do aplikace Symantec Endpoint Protection Manager 408 zařízení Enforcer 408 protokol Enforcer odesílání na konzolu pro správu 412 uchovávání 412 velikost 412 zakázání 411 protokol modulu Enforcer konfigurace 411
Rejstřík
protokol provozu Zařízení Gateway Enforcer 410 protokol provozu Enforcer filtrování 413 Protokol serveru modulu Enforcer lokace, kde k události došlo 409 název modulu Enforcer, kterého se událost týká 409 název serveru, který za událost odpovídá 409 typ události 409 čas události v protokolu 409 přepínač VLAN a zařízení LAN Enforcer 153 zařízení LAN Enforcer 163 přesměrování požadavků HTTP 106 přihlášení normální 82 superuser 82 příkaz capture 210, 239 filter 239 show 240 start 241 upload 242 verbose 242 příkaz clear 210, 233 příkaz configure 210, 243 advanced 243 advanced failover 244 advanced legacy 245 advanced local authentication 246 advanced show 248 advanced user-class 248 DNS add IP address 249 DNS delete IP address 249 interface 250 interface-role 251 ntp 252 příkaz advanced CATOS 243 příkaz advanced check-UID 243 příkaz advanced DNS spoofing 244 příkaz advanced legacy-UID 246 příkaz advanced Radius 246 příkaz advanced re-initialize 247 příkaz advanced SNACS 247 redirect 252 route 253 show 253 spm 254
příkaz console 210 baud-rate 255 show 256 ssh 255 příkaz date 233 příkaz debug 210 destination 256 level 257 show 257 upload 258 příkaz DNS spoofing aktivace 143 příkaz 244 příkaz exit 210, 234 příkaz help 210, 234 příkaz hostname 210, 235 příkaz interface-role 251 příkaz mab disable 259 enable 259 ldap disable 259 ldap enable 260 ldap host 260 ldap password 261 ldap port 261 show 262 příkaz monitor 210, 262 refresh 263 show 263 show blocked-hosts 263 show connected-guests 264 show connected-users 266 příkaz ntp diable 252 enable 252 server string 252 příkaz on-demand 269 příkaz on-demand authentication 269 disable 272 enable 272 příkaz on-demand authentication ad 270 ad domain 271 disable 270 enable 271 příkaz on-demand authentication local-db 272 add 273 disable 273 enable 273 příkaz on-demand banner 275
419
420
Rejstřík
příkaz on-demand client-group 275 příkaz on-demand dot1x 276 příkaz on-demand dot1x certificate 276 import 277 remove 278 Příkaz On-Demand dot1x show certificate show 278 příkaz password 210, 235 příkaz ping 210, 235 příkaz reboot 210, 236 příkaz redirect 252 příkaz route 253 příkaz show 210, 237, 253 advanced 248 capture 237 configure 237 console 256 debug 257 konzola 237 stav 237 update 237 version 237 příkaz shutdown 210, 236 příkaz spm 254 příkaz start 210, 238 příkaz stop 210, 238 příkaz traceroute 210, 238 příkaz update 210, 238 příkazy console 255 sshkey 255 příkazy mab ldap 259
R redundantní aplikace Manager 297 řešení potíží 205, 291
S sdílený tajný klíč 161 úpravy 178 sériové číslo profilu 129 sériové číslo zásady 134 Server DHCP a modul Integrated Enforcer 313 restart 342 Zařízení Integrated Enforcer pro servery Microsoft DHCP 342 server DHCP a neověření klienti 358
jako karanténní server 355 karanténa 248 klienti v karanténě 137 maximální počet v síti 137 zařízení DHCP Enforcer 137 Zařízení Integrated Enforcer pro servery Microsoft DHCP 303 server názvu domény 249 server pro správu. Viz Aplikace Symantec Endpoint Protection Manager. Viz Symantec Endpoint Protection Manager legacy 342 server pro vzdálený přístup (RAS) zařízení Gateway Enforcer 45 server RADIUS 298 a zařízení LAN Enforcer 156 popisný název 159 sdílený tajný klíč 161 zásada integrity hostitele 148 zařízení LAN Enforcer 148 server s jiným operačním systémem než Windows Zařízení Gateway Enforcer 46 seznam serverů pro správu 92 Seznamy pro řízení přístupu (ACL) 150 skupina Modul Integrated Enforcer 347 server RADIUS 156, 179 zařízení DHCP Enforcer 124 zařízení Gateway Enforcer 91 zařízení LAN Enforcer 152 soubory protokolu ladění 293 soulad protokol 408 zpráva 407 starší klient připojení k zařízení DHCP Enforcer 144 připojení k zařízení Gateway Enforcer 118 připojení k zařízení Integrated Enforcer 364 připojení k zařízení LAN Enforcer 190 superuser přihlášení 82 Symantec Endpoint Protection Manager a modul Integrated Enforcer 313, 342 Systém zpráva 407 šifrované heslo 342 šifrování Modul Symantec Integrated NAP Enforcer 384
Rejstřík
password 178
T Transparentní režim 149 transparentní režim ověřování 36
U uchovávání protokolu Enforcer 412 Univerzální programátorské rozhraní pro vynucování 38
V velikost protokolu Enforcer 412 VLAN bezdrátové přístupové body 149 VPN 205 zařízení Gateway Enforcer 46 Vzdálený přístup 85
Z zásada integrity hostitele globální úroveň 297 úroveň skupin 297 zásada přepínače 176 stavy a akce 186 zásada zabezpečení aktualizace sériového čísla 360 Cisco NAC 298 DHCP 298 jiné než Symantec 298 LAN 298 soulad 303, 342 Univerzální programátorské rozhraní pro vynucování 298 vlastní vynucení 298 zásady vynucení 298 Zařízení DHCP Enforcer instalace 76 konfigurace karty síťového rozhraní 251 NIC 75 plánování instalace 52 server pro nápravu 72 zotavení při selhání 57, 72 zařízení DHCP Enforcer Adresa IP 54
jak funguje 33 konfigurace 122 o 27, 72, 122 ověřování 127 příkaz advanced user-class 248 příkazy zařízení 218 Zařízení Enforcer opětovné vytváření bitové kopie 70 Příkazy mab 258 rozhraní příkazového řádku 209 klávesové zkratky 213 příkazy nejvyšší úrovně 233 systém nápovědy 215 účel 28 zařízení Enforcer kontrola stavu komunikace 84 Omezení zastavení klienta 404 použití 28 příkazy debug 256 rozhraní příkazového řádku modulu Enforcer příkazové konvence 217 typ vynucování 27 zprávy monitoru 85 často kladené otázky 295 Zařízení Gateway Enforcer a konfigurace aplikace Symantec Endpoint Protection Manager 88 instalace 72, 76 jiné protokoly 117 NIC 75 ochrana serverů 46 pakety požadavků ARP 117 pakety požadavků DNS 117 umístění sítě 72 umístění v síti 42 zařízení Gateway Enforcer Adresa IP 45 bezdrátové přístupový body (WAP) 46 bezdrátový přístupový bod (WAP) 43 instalace 71 jak funguje 32 klient s jiným operačním systémem než Windows 46 konfigurace karty síťového rozhraní 251 o 27, 72 ověření 32 pakety požadavků DHCP 117 plánování instalace 42 protokol provozu 410
421
422
Rejstřík
příkazy zařízení 218 server pro vzdálený přístup (RAS) 45 server s jiným operačním systémem než Windows 46 servery 43 síť VPN 43 síť VPN, 46 vícenásobné instalace 113 Zotavení po selhání 49 zotavení po selhání 45 Zařízení Integrated DHCP Enforcer pro servery Alcatel-Lucent VitalQIP DHCP hardwarové požadavky 331 plánování 327 součást 328 Zařízení Integrated Enforcer pro architekturu Microsoft NAP typ vynucování 28 Zařízení Integrated Enforcer pro servery Alcatel-Lucent VitalQIP DHCP typ vynucování 28 Zařízení Integrated Enforcer pro servery Microsoft DHCP hardwarové požadavky 310 Klient Symantec Network Access Control 303, 342 plánování 311 požadavek na operační systém 311 požadovaná součást 310 Server Microsoft DHCP 342 typ vynucování 28 Zařízení LAN Enforcer Bezdrátové přístupové body 802.1x 149 dynamické přepínání sítě VLAN 73 instalace 76 konfigurace z konzoly Symantec Endpoint Protection Manager 147 plánování instalace 60 transparentní režim 298 žadatel o ověření 802.1x 73 zařízení LAN Enforcer 802.1x 191 dynamické přepínání sítě VLAN 149 instalace 71, 73 jak funguje 34 konfigurační nastavení 150 nastavení přepínače 163 o 27 podporovaný model přepínače 164
příkazy zařízení 218 Transparentní režim 36 základní konfigurace 802.1x 35 zotavení při selhání 64 známé problémy 205, 292 zotavení po selhání zařízení Gateway Enforcer 45 zotavení při selhání příkaz 244 zařízení DHCP Enforcer 57 zařízení Gateway Enforcer 49 zařízení LAN Enforcer 64 zpráva Enforcer 407 Hlavní moduly Enforcer, které generovaly chyby 407 modul Enforcer 402 soulad 407 Stav umístění 407 Systém 407 zpráva o neshodě 105 zaslání ze zařízení DHCP Enforcer 135 zprávy zařízení Enforcer úprava 403 zobrazování 403