Функциональные возможности Eltex-NAICE версии 1.2:
Контроль доступа по протоколу RADIUS предоставляет следующие возможности:
- Работа с локальной базой данных учетных записей пользователей;
- Аутентификация и авторизация пользователей по протоколу 802.1x;
- Аутентификация и авторизация администраторов сетевого оборудования;
- Поддержка протоколов EAP-TLS, EAP-PEAP, MS-CHAPv2, PAP для контроля доступа и защиты от несанкционированных подключений к сети;
- Аутентификация и авторизация эндпоинтов по протоколу MAB (MAC Authentication Bypass), PAP, EAP-MD5.
Контроль доступа по протоколу TACACS+ предоставляет следующие возможности:
- Аутентификация и авторизация администраторов оборудования по протоколу TACACS+ с заданным уровнем привилегий;
- Авторизация повышения уровня привилегий по протоколу TACACS+;
- Авторизация команд администраторов сетевого оборудования по протоколу TACACS+;
- Поддержка протоколов ASCII/PAP при использовании протокола TACACS+.
Интеграция с внешними источниками идентификации:
- MS Active Directory (MS AD). Имеет ограничения: отсутствует возможность использовать русскоязычные символы в логине и пароле пользователя;
- Произвольный LDAP (например, Open LDAP).
Вход по внешним источникам идентификации:
Поддержка входа в веб-интерфейс NAICE с использованием учётных записей из внешних источников (MS AD, OpenLDAP);
Автоматическое создание локальной копии внешней учётной записи при первом успешном входе;
Синхронизация атрибутов пользователя (имя, фамилия, email, статус) и пересчёт роли при каждом последующем входе;
Автоматическое вычисление и назначение роли пользователю на основе сопоставления групп, в которые входит пользователь во внешнем источнике, с группами, настроенными для внешних ролей NAICE;
Гибкая настройка условий маппинга ролей на основе групп из внешнего источника:
Логическое «И» (AND) — роль назначается пользователю только в том случае, если он состоит во всех указанных группах;
Логическое «ИЛИ» (OR) — роль назначается пользователю, если он входит хотя бы в одну из указанных групп.
Портальная авторизация:
- Управление внешним видом портала, поддержка возможности настройки нескольких порталов, управление способами регистрации и авторизации;
- Регистрация гостевых пользователей с использованием подтверждения по SMS;
- Авторизация пользователей на портале по логину / паролю, с использованием локальной базы УЗ или внешних источников идентификации.
Гибкая система политик безопасности:
- Мультивендорное решение - система может работать с продуктами разных производителей, поддерживающих протокол RADIUS и TACACS+;
- Настройка прав доступа на основе статических и динамических параметров;
- Возможность использовать атрибуты пользователя из внешнего источника идентификации в политиках безопасности;
- Предоставление прав в соответствии с принадлежностью пользователей и устройств к группам;
- Встроенная библиотека RADIUS-атрибутов. На данный момент отсутствует возможность добавить новые словари и атрибуты RADIUS вручную (можно сделать через обращение с запросом на доработку);
- Назначение VLAN, ACL и других произвольных атрибутов по протоколу RADIUS;
- Автодобавление эндпоинтов при попытке подключения по протоколу RADIUS;
- Поддержка профилирования эндпоинтов по MAC OUI- и DCHP-пробам, результаты профилирования можно использовать в настройках политик безопасности.
Централизованное управление - для управления аутентификацией и авторизацией пользователей и эндпоинтов используется WEB-интерфейс, созданный на основе опыта разработки отечественных и зарубежных продуктов. Это позволяет быстро и легко осуществить переход без необходимости длительного обучения.
Ролевая модель:
- Доступ администраторов к WEB-интерфейсу системы и его разделам согласно ролевой модели доступа (RBAC);
- Создание ролей с точной настройкой прав доступа к функциональностям системы с пятью уровнями доступа для разделов системы;
- Назначение ролей администраторам с различным уровнем привилегий;
- Предустановленные роли для типовых сценариев использования;
- Завершение активных сессий при изменении привилегий роли для обеспечения безопасности.
Двухфакторная аутентификация (2FA):
Поддержка двухфакторной аутентификации для входа в веб-интерфейс NAICE;
Поддерживаемые методы подтверждения: TOTP (приложение-аутентификатор), Email OTP (одноразовый код на электронную почту), резервные коды (10 кодов для восстановления доступа);
Самостоятельное управление 2FA пользователями в разделе «Настройки аккаунта» (активация, деактивация, перегенерация резервных кодов);
Защита от подбора кодов: ограничение количества попыток ввода с временной блокировкой учётной записи.
Управление учётными записями:
Автоматическая блокировка учётной записи при превышении лимита неудачных попыток входа (по паролю или кодам 2FA);
Гибкая настройка параметров блокировки: порог попыток (N), время наблюдения (M минут), время блокировки (T минут);
Автоматическая разблокировка учётной записи после истечения времени блокировки или ручная разблокировка администратором;
Поддержка отложенного отключения учётных записей с возможностью указания периода и причины;
Возможность бессрочного отключения учётной записи администратором;
Регистрация и мониторинг событий доступа - информация о подключениях пользователей даёт возможность определить результаты аутентификации и авторизации, а также выявить проблемы при подключении.
Интеграция с SIEM системами - отправка информации о попытках подключения по протоколам: RADIUS и TACACS+, а так же действиям администраторов NAICE с использованием протокола Syslog в формате CEF.
Встроенная документация - система содержит полную документацию по настройкам, позволяет получить необходимую информацию в контексте страницы, на которой находится администратор.
Резервирование - обеспечивает надежную работу по схеме Active-Active и сохранение работоспособности системы в случае отказа.
Дистрибуция системы
- Система устанавливается в виде Docker-контейнеров;
- Доступна установка как в системе с доступом в Интернет, так и в закрытом контуре;
- Для автоматизации процесса развертывания используются Ansible-скрипты.
Системные требования описаны в разделе: v1.2_3.1 Системные требования.