Технологии, протоколы и способы авторизации
RADIUS (Remote Authentication in Dial-In User Service) - клиент-серверный протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, для передачи сведений между сетевыми устройствами и центральной системой контроля.
802.1x (dot1x) - стандарт IEEE 802.1x, определяющий протокол, который выполняет контроль и аутентификацию подключаемых к сетевому оборудованию устройств.
MAB (MAC Authentication Bypass) - аутентификация, которая основана на MAC-адресе устройства. В качестве логина и пароля передается MAC-адрес подключаемого устройства. Используется для авторизации устройств, не поддерживающих 802.1x, таких как принтеры, сканеры и т.п.
LDAP (Lightweight Directory Access Protocol) - прикладной протокол доступа к службе каталогов X.500.
Служба каталогов - средство иерархического представления ресурсов и данных об этих ресурсах.
X.500 - серия стандартов ITU-I для службы распределённого каталога сети.
Active Directory (AD) - служба каталогов, разработанная корпорацией Microsoft для ОС Windows Server. LDAP совместимая реализация, имеющая возможность интеграции с другими службами авторизации и расширенный функционал.
Аутентификация и авторизация
Аутентификация - процесс определения идентичности подключающегося клиентского устройства, пользователя путем проверки его учетной записи (логина/пароля), сертификата, анализа других параметров (место и время подключения, MAC-адрес устройства, а так же результаты профилирования), что позволяет разрешить или запретить доступ в сеть данному устройству.
Авторизация - процесс определения прав подключающегося клиентского устройства, пользователя - т.е. назначение определенных политик, например VLAN или ACL.
NAC система, сервер аутентификации/авторизации, сервер проверки подлинности - система, обеспечивающая контроль доступа к сети на основании политик, настраиваемых администратором. Политики позволяют настроить аутентификацию и авторизацию на основании ролей, местоположения, RADIUS-признаков сетевых устройств, а так же групп пользователей. Может использовать в качестве источников данных аутентификации внутреннею базу данных пользователей, подключение к сторонним приложениям, таким как LDAP, MS AD. Взаимодействие с сетевыми устройствами выполняется по протоколу RADIUS.
Сетевое устройство, аутентификатор (authenticator, NAS - Network Attached Storage) - сетевое устройство, обеспечивающее подключение клиентских устройств к сети и реализующее их аутентификацию с использованием протокола 802.1x, MAB или портальной авторизации.
Пользователь, клиент - физическое лицо, которое использует оконечное оборудование (персональный компьютер, ноутбук, смартфон и т.п.) для подключения к сети.
Эндпоинт, суппликант (supplicant) - оконечное сетевое оборудование, которое используется для подключения к сети через устройство-аутентификатор и проходит аутентификацию и авторизацию. В качестве уникального идентификатора эндпоинта используется его MAC-адрес.
Источники аутентификации, источник учетных данных пользователей - сервис, содержащий список пользователей сети, их паролей и принадлежность к определенным группам. Может быть как реализацией записей внутри базы данных, с которой взаимодействует NAC-система, так и сторонние сервисы, такие как LDAP, MS AD и т.п.
Цепочка идентификаций - упорядоченный список источников учетных данных для проверки пользователей при аутентификации и авторизации.
Политики
Логическое условие - структура, управляемая администратором NAC системы, обеспечивающая проверку соответствия заданных условий, определяемых на основе анализа полученного RADIUS-запроса, определенным данным. Результатом проверки является определение, соответствует RADIUS-запрос заданным критериям или нет.
Политика - заданный администратором NAC системы набор логических условий в рамках одной сущности, позволяющий обрабатывать попавшие под действие политики RADIUS-запросы определенным образом.
Список политик - список, сформированный администратором, позволяющий определить порядок обработки RADIUS-запросов и определить различный способы их обработки.
Словари - используются при создании условий политик аутентификации и авторизации, чтобы определить, какие действия должны быть выполнены для конкретного запроса.
Библиотечные условия - предопределенные условия, которые были добавлены в библиотеку и хранятся в ней.
Не библиотечные условия - условия, создаваемые администраторами для конкретных сценариев, являются одноразовыми.
Атрибут - критерий, используемый для идентификации или принятия решений.
RADIUS атрибут - характеристика, используемая в протоколе RADIUS для передачи информации между сетевым устройством и сервером RADIUS для аутентификации, авторизации и учета. Пример: NAS-IP-Address - IP-адрес аутентификатора.
Не-RADIUS атрибут - характеристика, не входящая в стандарт RADIUS, но используемая для управления доступом, например, тип устройства или его местоположение.
Профилирование
Профилирование - процесс динамического обнаружения и классификации эндпоинтов на основе атрибутов, получаемых из различных проб. В ходе профилирования собранные атрибуты сопоставляются с заранее созданными или заданными пользователем условиями, которые затем сопоставляются с профилями для их присвоения эндпоинту.
Проба - способ сбора данных об эндпоинте, который используется в процессе профилирования.
Данные которые можно собрать:
- Hostname [DHCP option: 12] - имя хоста (Например, HT inc)
Class id [DHCP option: 60] - Вендор (Например, MSFT 5.0)
Parameter List [DHCP option: 55] - параметры запрашиваемые клиентом (Например, 1,3,6,15,31,33,43,44,46,47,119,121,249,252)
- OUI [MAC address] - уникальный идентификатор организации (Например, AccuSpec Electronics, LLC)
- Requested address [DHCP option: 50] - IP адрес (Например, 192.100.1.5)
- Client Id [DHCP option: 61] - MAC адрес (Например, 1C:3A:4F:6C:1A:B8)
Условие профилирования - набор условий, который определяет, как собранные атрибуты должны быть интерпретированы для классификации эндпоинта. Условие профилирования связывает определенные значения атрибутов с конкретными действиями или профилями. Например, если устройство имеет определенные атрибуты, оно может быть классифицировано как принтер или смартфон.
Политика профилирования - набор правил, которые используются для автоматической классификации и управления доступом эндпоинтов на основе результатов профилирования. Политика профилирования определяет, какие логические профили применяются к устройствам и как они должны быть обработаны в сети (например, какие права доступа им предоставляются).
Логический профиль - категория, которая объединяет устройства с общими характеристиками, выявленными в результате профилирования. Логические профили используются в политике профилирования для назначения соответствующих уровней доступа и управляемости устройствам, соответствующим данному профилю.
Лицензирование
Лицензирование - процесс, в ходе которого правообладатель предоставляет пользователю разрешение на использование объекта собственности (например, программного обеспечения) на определенных условиях. В контексте документации NAICE под лицензированием понимается схема, по которой реализовано лицензирование.
Сервер лицензий ELM - система, выполняющая функцию генерации и распространения лицензий на конечные продукты компании «Элтекс».
Параметры лицензирования, параметры лицензии - набор параметров, свойственных каждой лицензии, определяющий условия и ограничения использования NAICE. Пример: срок действия лицензии.
Уровень лицензирования, уровень лицензии, тип лицензии - параметр лицензии, определяющий набор функциональных возможностей NAICE, доступный при применении лицензии с данным уровнем. Пример: "BASIC" - базовый функционал NAICE.
ID продукта, product ID - параметр лицензии, который обеспечивает уникальность лицензии и позволяет идентифицировать экземпляр NAICE, использующий данную лицензию.
Лицензия - набор значений параметров лицензии, уникальный для каждого экземпляра NAICE. Пример: лицензия уровня "BASIC" на 1000 уникальных эндпоинтов сроком на 3 года.
Активация лицензии - процесс применения лицензии на экземпляре NAICE, после которого становится доступным функционал, соответствующий лицензии. Для активации лицензии необходимо загрузить файл-активатор в web-интерфейсе NAICE.
Файл активации лицензии, файл-активатор - специальный файл, содержащий данные о лицензии для ее применения в NAICE. Файл генерируется сотрудниками компании «Элтекс».
Цифровые сертификаты
Цифровой сертификат - выпущенный удостоверяющим центром электронный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.
Удостоверяющий центр (УЦ) или Центр сертификации (ЦС) (Certification authority, CA) - сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации подтверждать подлинность ключей шифрования с помощью сертификатов открытого ключа.
Сертификат открытого ключа или сертификат электронной подписи (сокр. сертификат) - электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу.
Закрытый или приватный ключ сертификата - ключ, полученный в ходе генерации открытого ключа сертификата. Должен сохраняться в тайне владельцем и не подлежит распространению. Позволяет создавать ЭЦП и расшифровывать данные, зашифрованные открытым ключом сертификата.
X.509 - стандарт ITU-T описывающий инфраструктуру открытых ключей (Public key infrastructure, PKI) и инфраструктуру управления привилегиями (Privilege Management Infrastructure). Определяет стандартны форматов данных и процедуры взаимодействия.
Криптографическая система с открытым ключом - система шифрования и/или электронной подписи (ЭП), в которой формируются два ключа: открытый и секретный. Открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу и используется для проверки ЭП и для шифрования сообщения. Закрытый ключ хранится у владельца, его распространение не требуется. Расшифровка сообщения возможна только с помощью закрытого ключа соответствующего открытому ключу, которым выполнялось шифрование.
Электронная цифровая подпись (сокр. ЭЦП) - реквизит данных, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие изменений в данных с момента формирования подписи (целостность) и принадлежность подписи владельцу открытого ключа или сертификату открытого ключа (неотрекаемость).
EAP-TLS - протокол обеспечивающий двухстороннюю криптографическую аутентификацию между удаленным пользователем и RADIUS-сервером на основе механизмов ЭЦП, сертификатов открытых ключей и протокола TLS.
TLS (transport tunnel security) - протокол защиты транспортного уровня, использующий криптографические протоколы для шифрования данных и обеспечивающий защищенную передачу данных между сервером и клиентом.
OCSP (online certificate status protocol) - протокол используемый для получения статуса отзыва цифрового сертификата (отозван сертификат или нет).