Технологии, протоколы и способы авторизации
RADIUS (Remote Authentication in Dial-In User Service) - клиент-серверный протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, для передачи сведений между сетевыми устройствами и центральной системой контроля.
802.1x (dot1x) - стандарт IEEE 802.1x, определяющий протокол, который выполняет контроль и аутентификацию подключаемых к сетевому оборудованию устройств.
MAB (MAC Authentication Bypass) - аутентификация, которая основана на MAC-адресе устройства. В качестве логина и пароля передается MAC-адрес подключаемого устройства. Используется для авторизации устройств, не поддерживающих 802.1x, таких как принтеры, сканеры и т.п.
LDAP (Lightweight Directory Access Protocol) - прикладной протокол доступа к службе каталогов X.500.
Служба каталогов - средство иерархического представления ресурсов и данных об этих ресурсах.
X.500 - серия стандартов ITU-I для службы распределённого каталога сети.
Active Directory (AD) - служба каталогов, разработанная корпорацией Microsoft для ОС Windows Server. LDAP совместимая реализация, имеющая возможность интеграции с другими службами авторизации и расширенный функционал.
Аутентификация и авторизация
Аутентификация - процесс определения идентичности подключающегося клиентского устройства, пользователя путем проверки его учетной записи (логина/пароля), сертификата, анализа других параметров (место и время подключения, MAC-адрес устройства, а так же результаты профилирования), что позволяет разрешить или запретить доступ в сеть данному устройству.
Авторизация - процесс определения прав подключающегося клиентского устройства, пользователя - т.е. назначение определенных политик, например VLAN или ACL.
NAC система, сервер аутентификации/авторизации, сервер проверки подлинности - система, обеспечивающая контроль доступа к сети на основании политик, настраиваемых администратором. Политики позволяют настроить аутентификацию и авторизацию на основании ролей, местоположения, RADIUS-признаков сетевых устройств, а так же групп пользователей. Может использовать в качестве источников данных аутентификации внутреннею базу данных пользователей, подключение к сторонним приложениям, таким как LDAP, MS AD. Взаимодействие с сетевыми устройствами выполняется по протоколу RADIUS.
Сетевое устройство, аутентификатор (authenticator, NAS - Network Attached Storage) - сетевое устройство, обеспечивающее подключение клиентских устройств к сети и реализующее их аутентификацию с использованием протокола 802.1x, MAB или портальной авторизации.
Пользователь, клиент - физическое лицо, которое использует оконечное оборудование (персональный компьютер, ноутбук, смартфон и т.п.) для подключения к сети.
Эндпоинт, суппликант (supplicant) - оконечное сетевое оборудование, которое используется для подключения к сети через устройство-аутентификатор и проходит аутентификацию и авторизацию. В качестве уникального идентификатора эндпоинта используется его MAC-адрес.
Источники аутентификации, источник учетных данных пользователей - сервис, содержащий список пользователей сети, их паролей и принадлежность к определенным группам. Может быть как реализацией записей внутри базы данных, с которой взаимодействует NAC-система, так и сторонние сервисы, такие как LDAP, MS AD и т.п.
Цепочка идентификаций - упорядоченный список источников учетных данных для проверки пользователей при аутентификации и авторизации.
Политики
Логическое условие - структура, управляемая администратором NAC системы, обеспечивающая проверку соответствия заданных условий, определяемых на основе анализа полученного RADIUS-запроса, определенным данным. Результатом проверки является определение, соответствует RADIUS-запрос заданным критериям или нет.
Политика - заданный администратором NAC системы набор логических условий в рамках одной сущности, позволяющий обрабатывать попавшие под действие политики RADIUS-запросы определенным образом.
Список политик - список, сформированный администратором, позволяющий определить порядок обработки RADIUS-запросов и определить различный способы их обработки.
Словари - используются при создании условий политик аутентификации и авторизации, чтобы определить, какие действия должны быть выполнены для конкретного запроса.
Библиотечные условия - предопределенные условия, которые были добавлены в библиотеку и хранятся в ней.
Не библиотечные условия - условия, создаваемые администраторами для конкретных сценариев, являются одноразовыми.
Атрибут - критерий, используемый для идентификации или принятия решений.
RADIUS атрибут - характеристика, используемая в протоколе RADIUS для передачи информации между сетевым устройством и сервером RADIUS для аутентификации, авторизации и учета. Пример: NAS-IP-Address - IP-адрес аутентификатора.
Не-RADIUS атрибут - характеристика, не входящая в стандарт RADIUS, но используемая для управления доступом, например, тип устройства или его местоположение.
Профилирование
Профилирование - процесс динамического обнаружения и классификации эндпоинтов на основе атрибутов, получаемых из различных проб. В ходе профилирования собранные атрибуты сопоставляются с заранее созданными или заданными пользователем условиями, которые затем сопоставляются с профилями для их присвоения эндпоинту.
Проба - способ сбора данных об эндпоинте, который используется в процессе профилирования.
Данные которые можно собрать:
- Hostname [DHCP option: 12] - имя хоста (Например, HT inc)
Class id [DHCP option: 60] - Вендор (Например, MSFT 5.0)
Parameter List [DHCP option: 55] - параметры запрашиваемые клиентом (Например, 1,3,6,15,31,33,43,44,46,47,119,121,249,252)
- OUI [MAC address] - уникальный идентификатор организации (Например, AccuSpec Electronics, LLC)
- Requested address [DHCP option: 50] - IP адрес (Например, 192.100.1.5)
- Client Id [DHCP option: 61] - MAC адрес (Например, 1C:3A:4F:6C:1A:B8)
Условие профилирования - набор условий, который определяет, как собранные атрибуты должны быть интерпретированы для классификации эндпоинта. Условие профилирования связывает определенные значения атрибутов с конкретными действиями или профилями. Например, если устройство имеет определенные атрибуты, оно может быть классифицировано как принтер или смартфон.
Политика профилирования - набор правил, которые используются для автоматической классификации и управления доступом эндпоинтов на основе результатов профилирования. Политика профилирования определяет, какие логические профили применяются к устройствам и как они должны быть обработаны в сети (например, какие права доступа им предоставляются).
Логический профиль - категория, которая объединяет устройства с общими характеристиками, выявленными в результате профилирования. Логические профили используются в политике профилирования для назначения соответствующих уровней доступа и управляемости устройствам, соответствующим данному профилю.