Служебные протоколы
Previous 

RADIUS

 Next

ФПСУ как клиент поддерживает сетевой протокол RADIUS (Remote Authentication Dial In User Service), для обеспечения возможности централизованных аутентификации, авторизации и аккаунтинга.Технические детали реализации RADIUS-клиента на ФПСУ приводятся в пункте «Спецификация реализации RADIUS на ФПСУ».

ФПСУ поддерживает протокол RADIUS для реализации двухфакторной аутентификации ФПСУ-IP/Клиентов при удаленном доступе к защищенной сети. После прохождения аутентификации ФПСУ-IP/Клиенты авторизуются для доступа к определенным сетевым ресурсам.

Схема аутентификации и последующей авторизации

Аутентификация ФПСУ на сервере RADIUS проводится согласно RFC 2865 с применением протокола PAP.

ФПСУ-IP/Клиента удаленно подключается к сетевым ресурсам защищенной области. На схеме ниже приведен пример аутентификации ФПСУ-IP/Клиента по доменному паролю на сервере RADIUS и дальнейшей его авторизации:

ФПСУ-IP/Клиент отправляет запрос ФПСУ, который является сервером сетевого доступа, чтобы получить доступ к защищенной области, используя имя пользователя и пароль.

ФПСУ отправляет сообщение с данными ФПСУ-IP/Клиента на сервер RADIUS, запрашивая его авторизацию для предоставления доступа.

Сервером RADIUS подтверждается личность пользователя, а также права доступа к сетевым службам. Сервер RADIUS разрешает или запрещает доступ, отвечая ФПСУ на запрос.

В случае получения разрешения от сервера RADIUS, ФПСУ-IP/Клиент получает доступ к запрошенному сетевому ресурсу, защищенной области А.

При получении доступа к запрошенному сетевому ресурсу в случае настроенного аккаутинга информация об активности ФПСУ-IP/Клиента в сети может отправляться на сервер RADIUS для ведения учета действий ФПСУ-IP/Клиента и дальнейшего анализа.

Двухфакторная аутентификация

Первым фактором аутентификации ФПСУ-IP/Клиента на ФПСУ является PIN-код VPN-Key или VPN-профиля, который известен только пользователю VPN-Key или VPN-профиля.

Вторым фактором является внешняя проверка подлинности пользователя ФПСУ-IP/Клиента, где задействуется внешний сервис удаленной аутентификации пользователей, RADIUS-сервер. При двухфакторной аутентификации в случае успешной аутентификации ФПСУ запрашивает у пользователя подтверждение доступа вторым фактором. Вторым фактором на ФПСУ служит пароль, доменный пароль или OTP-пароль. Настройки клиентов на работу с RADIUS описаны в пункте «Настройка диапазона клиентов на работу с Radius».

OTP-пароль пользователь ФПСУ-IP/Клиента получает по дополнительному каналу связи. Таким каналом связи может быть персональное мобильное устройство, доступ к которому имеет только пользователь VPN-Key или VPN-профиля.

ФПСУ становится транспортом пароля между ФПСУ-IP/Клиентом и внешним сервером RADIUS. ФПСУ передает пароль по протоколу RADIUS на сервер и возвращает ответ с разрешением или запретом, в случае разрешения пользователь авторизуется в защищенной сети.

В случае с установленным доменным паролем RADIUS сервер отправляет данные авторизации контроллеру домена для проверки.

Авторизация

Авторизация обеспечивает безопасность сети посредством предоставления доступа ФПСУ-IP/Клиентам только к тем ресурсам, на которые у них есть права. ФПСУ-IP/Клиенты, прошедшие аутентификацию, авторизуются в сети на основе данных, полученных от сервера RADIUS.

Динамическая авторизация

Динамическая авторизация ФПСУ-IP/Клиентов в сети проводится согласно RFC 5176. Динамическая авторизация позволяет быстро изменять права доступа пользователей в зависимости от их уровня доступа или принадлежности к доменной группе.

ФПСУ может предоставлять доступ клиентов в защищенную сеть на основе установленного уровня доступа клиента, присылаемого сервером RADIUS.

ФПСУ может предоставлять доступ клиентов PKI в защищенную сеть на основе установленного уровня доступа клиента. Уровень доступа может изменяться в течение сессии подключения. Данное решение предполагает интеграцию с Комплексом информационной безопасности САКУРА разработки компании «ИТ-Экспертиза» (см пункт «Настройка уровней доступа в правилах трафика»).

Аккаунтинг

Аккаунтинг включает сбор, хранение и анализ данных о действиях ФПСУ-IP/Клиентов в сети. Позволяет проводить мониторинг активности ФПСУ-IP/Клиентов, управлять сетевыми ресурсами, генерировать отчеты. С настройкой аккаутинга фиксируются факты доступа к системе: клиент получил доступ, доступ клиента прекращен, обновление статуса активности клиента, продолжительность соединения, объем данных, отправленных и полученных клиентом во время сеанса и другие факты.