Технологии, протоколы и способы авторизации

RADIUS (Remote Authentication in Dial-In User Service) - клиент-серверный протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, для передачи сведений между сетевыми устройствами и центральной системой контроля.

802.1x (dot1x) - стандарт IEEE 802.1x, определяющий протокол, который выполняет контроль и аутентификацию подключаемых к сетевому оборудованию устройств.

MAB (MAC Authentication Bypass) - аутентификация, которая основана на MAC-адресе устройства. В качестве логина и пароля передается MAC-адрес подключаемого устройства. Используется для авторизации устройств, не поддерживающих 802.1x, таких как принтеры, сканеры и т. п.

LDAP (Lightweight Directory Access Protocol) - прикладной протокол доступа к службе каталогов X.500.

Служба каталогов - средство иерархического представления ресурсов и данных об этих ресурсах.

X.500 - серия стандартов ITU-I для службы распределённого каталога сети.

Active Directory (AD) - служба каталогов, разработанная корпорацией Microsoft для ОС Windows Server. LDAP совместимая реализация, имеющая возможность интеграции с другими службами авторизации и расширенный функционал.

TACACS (terminal access controller access control system) - протокол аутентификации/авторизации/акканутинга администраторов сетевого оборудования через один или несколько централизованных серверов.

TACACS+ - дальнейшее развитие протокола TACACS, определён в RFC8907.

Netlogon - процедура аутентификации, реализованная в решении Windows Server, для аутентификации пользователей и служб в домене Active Directory.

Account (Учетная запись, УЗ) - данные определяющие пользователя в информационной системе. Необходимы для аутентификации и авторизации.

Идентификационные данные - совокупность данных, позволяющая идентифицировать физическое лицо (личность человека). К ним относятся личная информация (фамилия, имя, дата рождения, номера документов), имя пользователя и пароль, телефонный номер, адрес электронной почты и другая информацию позволяющая идентифицировать пользователя информационной системы.

Ролевая модель

Роль - набор привилегий, определяющий уровень доступа администратора к функциям системы.

Привилегия - право доступа к конкретному разделу или функции системы с определенным уровнем прав.

Уровень доступа - степень разрешенных действий для привилегии. У привилегии может быть 5 уровней доступа: 0/1/2/3/4 = none/read/read-create/read-create-edit/read-create-edit-delete. Каждый уровень включает в себе предыдущий. 

Аутентификация и авторизация

Аутентификация - процесс определения идентичности подключающегося клиентского устройства, пользователя путем проверки его учетной записи (логина/пароля), сертификата, анализа других параметров (место и время подключения, MAC-адрес устройства, а также результаты профилирования), что позволяет разрешить или запретить доступ в сеть данному устройству.

Авторизация - процесс определения прав подключающегося клиентского устройства, пользователя, то есть назначение определенных политик, например, VLAN или ACL.

NAC-система, сервер аутентификации/авторизации, сервер проверки подлинности - система, обеспечивающая контроль доступа к сети на основании политик, настраиваемых администратором. Политики позволяют настроить аутентификацию и авторизацию на основании ролей, местоположения, RADIUS-признаков сетевых устройств, а также групп пользователей. Может использовать в качестве источников данных аутентификации внутреннею базу данных пользователей, подключение к сторонним приложениям, таким как LDAP, MS AD. Взаимодействие с сетевыми устройствами выполняется по протоколу RADIUS.

Сетевое устройство, аутентификатор (authenticator, NAS (Network Access Server)) - сетевое устройство, обеспечивающее подключение клиентских устройств к сети и реализующее их аутентификацию с использованием протокола 802.1x, MAB или портальной авторизации.

Пользователь, клиент - физическое лицо, которое использует оконечное оборудование (персональный компьютер, ноутбук, смартфон и т. п.) для подключения к сети.

Эндпоинт, суппликант (supplicant) - оконечное сетевое оборудование, которое используется для подключения к сети через устройство-аутентификатор и проходит аутентификацию и авторизацию. В качестве уникального идентификатора эндпоинта используется его MAC-адрес.

Источники аутентификации, источник учетных данных пользователей - сервис, содержащий список пользователей сети, их пароли и принадлежность к определенным группам. Может быть как реализацией записей внутри базы данных, с которой взаимодействует NAC-система, так и сторонние сервисы, такие как LDAP, MS AD и т. п.

Цепочка идентификаций - упорядоченный список источников учетных данных для проверки пользователей при аутентификации и авторизации.

Портал авторизации

Captive Portal (Портал авторизации, портал) - сетевой сервис, выполненный в виде веб-сайта, требующий от подключившегося к сети пользователя выполнить определенные действия для получения доступа к сети. Как правило требует ввода заранее известного логина/пароля либо регистрации с подтверждением идентификационных данных. Как правило используется при подключении к общедоступным сетям WiFi.

WEB-redirect (Перенаправление URL) -  механизм позволяющий при выполнении попытки доступа по одному URL автоматически перенаправить пользовательское устройство на другой URL.

Captive Portal Authorization (Портальная авторизация) - механизм, выполняющий перехват пользовательского трафика на точке доступа или шлюзе и перенаправляющий его на специальную WEB-страницу, где пользователь должен пройти аутентификацию, прежде чем ему будет предоставлен доступ к сети.

Captive portal detection (Определение портала) - механизм, реализованный на стороне пользовательского устройства, позволяющий определить, что оно подключено к сети с портальной авторизацией и автоматически открыть после получения URL перенаправления портал для прохождения авторизации.

Гостевой пользователь (Портальный пользователь, пользователь портала) - физическое лицо, которому требуется предоставить временный ограниченный доступ к сети без предоставления постоянной учетной записи. Учетная запись такого пользователя может создаваться автоматически при выполнении регистрации на портале авторизации с подтверждением идентификационных данных (как правило используется номер телефона).

Гостевой эндпоинт - оконечное сетевое оборудование, которое используется для подключения к беспроводной сети гостевым пользователем. Проходит аутентификацию через web-редирект на портал. В качестве уникального идентификатора гостевого эндпоинта используется его MAC-адрес и идентификатор беспроводной сети.

Саморегистрация (регистрация) - процесс самостоятельного формирования учетной записи, подверженной определенными идентификационными данными. Один из возможных режимов портальной авторизации. Подтверждение идентификационных данных может выполняться по номеру телефона, ЕСИА и другими способами позволяющими идентифицировать пользователя сформировавшего УЗ.

SMS gateway (СМС шлюз) - интерфейс, реализованный оператором сотовой связи, позволяющий выполнять отправку SMS сообщений через Интернет или другие сети связи без использования мобильного телефона. Используется системами, которым требуется выполнять отправку SMS, например код для подтверждения номера телефона при авторизации на портале.

CAPCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) (Капча) - специальный тест, позволяющий определить кем является пользователь системы: человеком или роботом. Как правило (но не обязательно) - это картинка с искаженным текстом, который генерируется автоматически и может быть легко прочитан и введен человеком, но практически нераспознаваем для робота или программы. Используется для предотвращения злонамеренных действий, например: автоматический перебор паролей или автоматические массовые запросы, которые могут перегрузить сервер.

WiFi - технология беспроводной связи, позволяющая устройствам подключаться к сети используя радиоволны.

WLAN - беспроводная локальная сеть.

SSID (Service Set Identifier) - имя, идентифицирующее беспроводную сеть WiFi.

Политики

Логическое условие - структура, управляемая администратором NAC-системы, обеспечивающая проверку соответствия заданных условий, определяемых на основе анализа полученного RADIUS-запроса, определенным данным. Результатом проверки является определение, соответствует RADIUS-запрос заданным критериям или нет.

Политика - заданный администратором NAC-системы набор логических условий в рамках одной сущности, позволяющий обрабатывать попавшие под действие политики RADIUS-запросы определенным образом.

Список политик - список, сформированный администратором, позволяющий определить порядок обработки RADIUS-запросов и определить различный способы их обработки.

Словари - используются при создании условий политик аутентификации и авторизации, чтобы определить, какие действия должны быть выполнены для конкретного запроса. 

Библиотечные условия - предопределенные условия, которые были добавлены в библиотеку и хранятся в ней. 

Не библиотечные условия - условия, создаваемые администраторами для конкретных сценариев, являются одноразовыми.

Атрибут - критерий, используемый для идентификации или принятия решений.

RADIUS-атрибут - характеристика, используемая в протоколе RADIUS для передачи информации между сетевым устройством и сервером RADIUS для аутентификации, авторизации и учета. Пример: NAS-IP-Address - IP-адрес аутентификатора.

Не RADIUS-атрибут - характеристика, не входящая в стандарт RADIUS, но используемая для управления доступом, например, тип устройства или его местоположение.

Профилирование

Профилирование - процесс динамического обнаружения и классификации эндпоинтов на основе атрибутов, получаемых из различных проб. В ходе профилирования собранные атрибуты сопоставляются с заранее созданными или заданными пользователем условиями, которые затем сопоставляются с профилями для их присвоения эндпоинту.

Проба - способ сбора данных об эндпоинте, который используется в процессе профилирования. 

Данные, которые можно собрать:

• Hostname [DHCP option: 12] - имя хоста (например, HT inc);

• Class id [DHCP option: 60] - вендор (например, MSFT 5.0);

• Parameter List [DHCP option: 55] - параметры, запрашиваемые клиентом (например, 1,3,6,15,31,33,43,44,46,47,119,121,249,252);

• OUI [MAC address] - уникальный идентификатор организации (например, AccuSpec Electronics, LLC);
• Requested address [DHCP option: 50] - IP-адрес (например, 192.100.1.5);
• Client Id [DHCP option: 61] - MAC-адрес (например, 1C:3A:4F:6C:1A:B8).

Условие профилирования - набор условий, который определяет, как собранные атрибуты должны быть интерпретированы для классификации эндпоинта. Условие профилирования связывает определенные значения атрибутов с конкретными действиями или профилями. Например, если устройство имеет определенные атрибуты, оно может быть классифицировано как принтер или смартфон.

Политика профилирования - набор правил, которые используются для автоматической классификации и управления доступом эндпоинтов на основе результатов профилирования. Политика профилирования определяет, какие логические профили применяются к устройствам и как они должны быть обработаны в сети (например, какие права доступа им предоставляются).

Логический профиль - категория, которая объединяет устройства с общими характеристиками, выявленными в результате профилирования. Логические профили используются в политике профилирования для назначения соответствующих уровней доступа и управляемости устройств, соответствующих данному профилю.

Лицензирование

Лицензирование - процесс, в ходе которого правообладатель предоставляет пользователю разрешение на использование объекта собственности (например, программного обеспечения) на определенных условиях. В контексте документации NAICE под лицензированием понимается схема, по которой реализовано лицензирование.

Сервер лицензий ELM - система, выполняющая функцию генерации и распространения лицензий на конечные продукты компании «Элтекс».

PLR (permanent license request), файловое лицензирование - лицензирование с привязкой к физическим параметрам хоста, на котором установлен NAICE. Особенностью данного вида лицензирования является отсутствие необходимости соединения с ELM-сервером и обязательная ре-активация при изменении параметров хоста.

Параметры лицензирования, параметры лицензии - набор параметров, свойственных каждой лицензии, определяющий условия и ограничения использования NAICE. Пример: срок действия лицензии.

Уровень лицензирования, уровень лицензии, тип лицензии - параметр лицензии, определяющий набор функциональных возможностей NAICE, доступный при применении лицензии с данным уровнем. Пример: «BASIC» — базовый функционал NAICE.

Лицензия - набор значений параметров лицензии, уникальный для каждого экземпляра NAICE. Пример: лицензия уровня «BASIC» на 1000 уникальных эндпоинтов сроком на 3 года.

ID продукта, product ID - идентификатор лицензии, который обеспечивает уникальность лицензии и позволяет идентифицировать экземпляр NAICE, использующий данную лицензию.

Активация лицензии - процесс применения лицензии на экземпляре NAICE, после которого становится доступным функционал, соответствующий лицензии. 

Файл ключа продукта, ключ продукта - файл, содержащий ID продукта и уникальный ключ, позволяющий провалидировать правомерность попытки использования лицензии с данным ID продукта. Генерируется сотрудником «Элтекс» при приобретении лицензии. Для старта активации лицензии необходимо загрузить данный файл в систему через web-интерфейс NAICE на странице Лицензирование.

Файл активации лицензии, файл-активатор - файл, выгружаемый на стороне ПО для активации файловой (PLR) лицензии.

Файл PLR-лицензии - файл для лицензирования ПО через файлы (PLR), генерируемый со стороны «Элтекс» на основе файла активации лицензии. Файл загружается в систему через web-интерфейс NAICE на странице Лицензирование как финальный шаг активации файловой лицензии.

Цифровые сертификаты

Цифровой сертификат - выпущенный удостоверяющим центром электронный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

Удостоверяющий центр (УЦ) или Центр сертификации (ЦС) (Certification authority, CA) - сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации подтверждать подлинность ключей шифрования с помощью сертификатов открытого ключа.

Сертификат открытого ключа или сертификат электронной подписи (сокр. сертификат) - электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу.

Закрытый или приватный ключ сертификата - ключ, полученный в ходе генерации открытого ключа сертификата. Должен сохраняться в тайне владельцем и не подлежит распространению. Позволяет создавать ЭЦП и расшифровывать данные, зашифрованные открытым ключом сертификата.

X.509 - стандарт ITU-T, описывающий инфраструктуру открытых ключей (Public key infrastructure, PKI) и инфраструктуру управления привилегиями (Privilege Management Infrastructure). Определяет стандарты форматов данных и процедуры взаимодействия.

Криптографическая система с открытым ключом - система шифрования и/или электронной подписи (ЭП), в которой формируются два ключа: открытый и секретный. Открытый ключ передается по открытому (то есть незащищенному, доступному для наблюдения) каналу и используется для проверки ЭП и для шифрования сообщения. Закрытый ключ хранится у владельца, его распространение не требуется. Расшифровка сообщения возможна только с помощью закрытого ключа, соответствующего открытому ключу, которым выполнялось шифрование.

Электронная цифровая подпись (сокр. ЭЦП) - реквизит данных, полученный в результате криптографического преобразования информации с использованием закрытого ключа-подписи. Позволяет проверить отсутствие изменений в данных с момента формирования подписи (целостность) и принадлежность подписи владельцу открытого ключа или сертификату открытого ключа (неотрекаемость).

EAP-TLS - протокол, обеспечивающий двухстороннюю криптографическую аутентификацию между удаленным пользователем и RADIUS-сервером на основе механизмов ЭЦП, сертификатов открытых ключей и протокола TLS. 

TLS (transport tunnel security) - протокол защиты транспортного уровня, использующий криптографические протоколы для шифрования данных. Протокол обеспечивает защищенную передачу данных между сервером и клиентом.

OCSP (online certificate status protocol) - протокол, используемый для получения статуса отзыва цифрового сертификата (отозван сертификат или нет).

Прочее

OS, ОС (operation system, операционная система) - специальная программа, предназначенная для управления ресурсами компьютера, обеспечения взаимодействия установленного программного обеспечения и взаимодействия с пользователем или другими операционными системами.

VM, ВМ (virtual machine, вирутальная машина) - программная или аппаратная система эмулирующая компьютер и обеспечивающая на данном компьютере в изолированную аппаратную среду.

Guest system, гостевая система - ОС и исполняемые программы, запускаемые на ВМ.

Hypervisor, гипервизор - специальное программное обеспечение, которое обеспечивает работу VM и позволяет выполнить запуск нескольких разлчиных ВМ на одной аппартаной платформе.

Docker, контейнеризация - технология с открытым исходным кодом, которая позволяет автоматизировать развертывание, перенос и выполнение приложений с помощью контейнеров и обеспечивающая изолированную среду выполнения для каждого приложения в рамках одной ОС. Требует наличия поддержки в ОС технологии контейнерной виртуализации. Официальный сайт проекта https://www.docker.com.

Image, (образ, образ контейнера) - шаблон контенйера, который содержит все необходимое ПО для запуска приложения с использованием технологии контейнеризации.

 Container (Контейнер) - изолированное окружение, в котором работает запущенное из образа ПО, как если бы оно было запущено на отдельном компьютере.

Docker Compose - инструмент, входящий в состав технологии Docker, который позволяет определить и запустить многоконтейнерные приложения в среде контейнеризации. Используется для описания и управления взаимодействием нескольких контейнеров, составляющих единое ПО, в одном или нескольких конфигурационных файлах.

SIEM (Security Information and Event Management) - специальное программное обеспечение, которое собирает, агрегирует и анализирует события безопасности из различных источников в ИТ инфраструктуре, что бы выявлять и реагировать на угрозы информационной безопасности.

Syslog - стандартный протокол для сбора, передачи и хранения сообщений о событиях (логов) из информационных систем и сетей. Он позволяет централизованно собирать журналы с различных устройств, таких как маршрутизаторы, серверы и приложения, для последующего анализа, мониторинга и обеспечения безопасности. Сообщения передаются по сети, обычно через протоколы UDP или TCP, и содержат информацию о происходящих событиях.

CEF (Common Event Format) - стандартизированный формат представления логов для событий информационной и сетевой безопасности, использующий в качестве транспорта протокол Syslog. Предназначен для передачи информации о событиях безопасности в SIEM систему.