Функциональные возможности Eltex-NAICE версии 1.0:


Контроль доступа по протоколу RADIUS предоставляет следующие возможности:

  • Работа с локальной базой данных учетных записей пользователей;
  • Аутентификация и авторизация пользователей по протоколу 802.1x;
  • Аутентификация и авторизация администраторов сетевого оборудования;
  • Поддержка протоколов EAP-TLS, EAP-PEAP, MS-CHAPv2, PAP для контроля доступа и защиты от несанкционированных подключений к сети;
  • Аутентификация и авторизация эндпоинтов по протоколу MAB (MAC Authentication Bypass), PAP, EAP-MD5.

Контроль доступа по протоколу TACACS+ предоставляет следующие возможности:

  • Аутентификация и авторизация администраторов оборудования по протоколу TACACS+ с заданным уровнем привилегий;
  • Авторизация повышения уровня привилегий по протоколу TACACS+;
  • Авторизация команд администраторов сетевого оборудования по протоколу TACACS+; 
  • Поддержка протоколов ASCII/PAP при использовании протокола TACACS+.

Интеграция с внешними источниками идентификации:

  • MS Active Directory (MS AD). Имеет ограничения: отсутствует возможность использовать русскоязычные символы в логине и пароле пользователя, для авторизации можно использовать протоколы EAP-MS-CHAP-v2 или MS-CHAP-v2;
  • Произвольный LDAP (например, Open LDAP). Имеет ограничения: не поддержан SLDAP, требуется хранение паролей пользователей в LDAP в clear-text.

Портальная авторизация:

  • Управление внешним видом портала, поддержка возможности настройки нескольких порталов, управление способами регистрации и авторизации;
  • Регистрация гостевых пользователей с использованием подтверждения по SMS;
  • Авторизация пользователей на портале по логину / паролю, с использованием локальной базы УЗ или внешних источников идентификации.

Гибкая система политик безопасности:

  • Мультивендорное решение - система может работать с продуктами разных производителей, поддерживающих протокол RADIUS и TACACS+;
  • Настройка прав доступа на основе статических и динамических параметров;
  • Возможность использовать атрибуты пользователя из внешнего источника идентификации в политиках безопасности;
  • Предоставление прав в соответствии с принадлежностью пользователей и устройств к группам;
  • Встроенная библиотека RADIUS-атрибутов. На данный момент отсутствует возможность добавить новые словари и атрибуты RADIUS вручную (можно сделать через обращение с запросом на доработку);
  • Назначение VLAN, ACL и других произвольных атрибутов по протоколу RADIUS;
  • Автодобавление эндпоинтов при попытке подключения по протоколу RADIUS;
  • Поддержка профилирования эндпоинтов по MAC OUI- и DCHP-пробам, результаты профилирования можно использовать в настройках политик безопасности.

Централизованное управление - для управления аутентификацией и авторизацией пользователей и эндпоинтов используется WEB-интерфейс, созданный на основе опыта разработки отечественных и зарубежных продуктов. Это позволяет быстро и легко осуществить переход без необходимости длительного обучения.

Ролевая модель:

  • Доступ администраторов к WEB-интерфейсу системы и его разделам согласно ролевой модели доступа (RBAC);
  • Создание ролей с точной настройкой прав доступа к функциональностям системы с пятью уровнями доступа для разделов системы;
  • Назначение ролей администраторам с различным уровнем привилегий;
  • Предустановленные роли для типовых сценариев использования;
  • Завершение активных сессий при изменении привилегий роли для обеспечения безопасности.

Регистрация и мониторинг событий доступа - информация о подключениях пользователей даёт возможность определить результаты аутентификации и авторизации, а также выявить проблемы при подключении.

Интеграция с SIEM системами - отправка информации о попытках подключения по протоколам: RADIUS и TACACS+, а так же действиям администраторов NAICE с использованием протокола Syslog в формате CEF.

Встроенная документация - система содержит полную документацию по настройкам, позволяет получить необходимую информацию в контексте страницы, на которой находится администратор.

Резервирование - обеспечивает надежную работу по схеме Active-Active и сохранение работоспособности системы в случае отказа.

Дистрибуция системы

  • Система устанавливается в виде Docker-контейнеров;
  • Доступна установка как в системе с доступом в Интернет, так и в закрытом контуре;
  • Для автоматизации процесса развертывания используются Ansible-скрипты.

Системные требования описаны в разделе: v1.0_3.1 Системные требования.

  • Нет меток