j'ai compris

eSight: Gestion de la sécurité

publié il y a  2020-11-23 22:18:04 97 0 0 0 0


Gestion de la sécurité

La gestion de la sécurité contrôle la sécurité d' eSight lui-même. La gestion de la sécurité comprend la gestion des utilisateurs, la gestion des rôles (gestion des autorisations, c'est-à-dire la gestion des droits et des domaines), la gestion des connexions des utilisateurs et une série d'autres politiques de sécurité. Ensemble, ces fonctions protègent eSight . La solution de sécurité d' eSight est encore améliorée par la gestion des journaux (enregistrement des connexions utilisateur, des opérations et des journaux système) et la sauvegarde de la base de données.

La figure 1 montre le mécanisme de mise en œuvre de la gestion de la sécurité eSight.

Figure 1 Présentation de la gestion de la sécurité
en-us_image_0080903536.png
note_3.0-en-us.png

Cette section se concentre sur la sécurité des utilisateurs d'eSight.

  • Pour plus d'informations sur la gestion des journaux, reportez- vous à la section Gestion des journaux .

  • Pour plus de détails sur la sauvegarde et la restauration de la base de données, reportez-vous à la section Outil de maintenance .

Gestion des utilisateurs

Pour se connecter à un client eSight et effectuer des opérations de maintenance et de gestion, les utilisateurs doivent obtenir un nom d'utilisateur et un mot de passe corrects. Un nom d'utilisateur et un mot de passe sont utilisés ensemble pour définir de manière unique les droits de connexion et de fonctionnement d'un utilisateur.

Les mots de passe des utilisateurs sont stockés dans la base de données et cryptés à l'aide de SHA256, un algorithme de cryptage irréversible. Un eSight nouvellement installé ne fournit qu'un seul administrateur utilisateur par défaut qui dispose de tous les droits d'exploitation et de gestion. Les autres utilisateurs sont créés directement ou indirectement par l' utilisateur administrateur .

Les attributs utilisateur incluent le nom d'utilisateur, le mot de passe, les rôles, la description et le contrôle d'accès. Les utilisateurs ayant des rôles différents ont des droits d'exploitation et de gestion différents. Le contrôle d'accès limite le temps et les adresses IP disponibles pour que les utilisateurs se connectent à eSight , ce qui garantit la sécurité d'accès à eSight .

eSight dispose des fonctions de gestion des utilisateurs suivantes:

  • Création d'utilisateurs un par un ou par lots

  • Supprimer des utilisateurs

  • Interroger et modifier les attributs utilisateur

  • Modification des mots de passe des utilisateurs, notamment:

    • Réinitialiser un mot de passe

      Si un utilisateur oublie le mot de passe lors de la connexion au client eSight , il peut contacter l'administrateur avec l'autorisation de gestion de la sécurité pour réinitialiser le mot de passe. De cette manière, l'utilisateur peut se reconnecter au client eSight à l'aide du nouveau mot de passe.

      note_3.0-en-us.png

      Le mot de passe de l' utilisateur administrateur ne peut pas être réinitialisé.

    • Modification du mot de passe de l'utilisateur actuel

      Un utilisateur connecté peut modifier son propre mot de passe sur le client eSight . Pour sécuriser les informations des utilisateurs, il est recommandé de changer régulièrement les mots de passe des utilisateurs.

  • Activation et désactivation des utilisateurs

    Un compte d'utilisateur est automatiquement désactivé s'il n'est pas utilisé pendant la période spécifiée dans la stratégie de compte. Le compte utilisateur peut également être désactivé manuellement s'il n'est pas nécessaire.

    Un compte d'utilisateur désactivé peut être activé si nécessaire.

Gestion des rôles (gestion basée sur les droits et le domaine)

Chaque rôle est un ensemble de droits. Si un utilisateur a besoin de certains droits, le rôle correspondant doit lui être accordé. La gestion des rôles facilite la gestion des droits des utilisateurs. Une fois qu'un utilisateur eSight est planifié, un rôle doit lui être attribué afin que le nouvel utilisateur dispose des droits suffisants pour gérer les appareils.

Les rôles peuvent être créés, modifiés et supprimés sur eSight . Leurs attributs peuvent être interrogés.

eSight fournit un rôle par défaut Administrateurs qui ont des droits d'opération pour tous les objets gérés (MO) et ne peuvent pas être modifiés.

Les attributs de rôle incluent le nom du rôle, l'utilisateur, le MO, l'opération et la description.

  • MO: cet attribut spécifie les objets et la plage de données de configuration qui peuvent être gérés par un rôle. Si le rôle A ne peut pas gérer le périphérique C ou le groupe d'objets D, la vue de topologie masque le périphérique C et les périphériques du groupe d'objets D aux utilisateurs du rôle A.

    Un groupe d'objets est un groupe d'appareils. Les utilisateurs peuvent créer, modifier et supprimer des groupes d'objets sur eSight .

  • Opération: cet attribut spécifie les opérations qui peuvent être effectuées par un rôle. Les droits d'exploitation d'un périphérique peuvent être attribués à différents rôles. Par conséquent, différents rôles ont des droits d'exploitation différents pour le même périphérique.

eSight réalise une gestion basée sur les droits et le domaine en fournissant le MO et les attributs d'opération. Les utilisateurs dans le rôle Administrateurs ou avec les droits de gestion des utilisateurs peuvent attribuer des MO et des opérations à d'autres utilisateurs.

  • La gestion basée sur le domaine consiste à attribuer différents MO à différents rôles. Cette fonction permet aux ingénieurs de différents services O&M de gérer différents objets réseau.

  • La gestion basée sur les droits consiste à attribuer différents droits d'exploitation à différents rôles. La gestion basée sur les droits et la gestion basée sur le domaine permettent aux ingénieurs ayant des fonctions différentes (à différents postes ou provenant de différents départements O&M) d'effectuer différentes opérations sur les OM dans le même domaine. Les utilisateurs peuvent effectuer des opérations uniquement sur les éléments de réseau pour lesquels ils ont des droits.

La gestion basée sur les droits et le domaine unifie la gestion des périphériques et des fonctions. Plus précisément, les MO sont attribués en fonction des appareils; les droits de fonctionnement sont attribués en fonction des fonctions des appareils.

note_3.0-en-us.png

Si les droits des utilisateurs changent, un utilisateur sera invité à se déconnecter.

  • Si l'utilisateur sélectionne Oui , l'utilisateur peut afficher les MO après la modification des droits uniquement après que l'utilisateur se reconnecte.

  • Si l'utilisateur sélectionne Non , il peut toujours afficher les MO actuels.

Authentification d'utilisateur

eSight utilise trois modes pour authentifier les utilisateurs: authentification locale, authentification RADIUS ( Remote Authentication Dial In User Service ) et authentification LDAP ( Lightweight Directory Access Protocol ).

  • Authentification locale: la gestion des utilisateurs, l'authentification et les politiques de sécurité sont toutes contrôlées par le serveur eSight . eSight utilise ce mode par défaut. Pour plus de détails sur ce mode, consultez la section « Authentification locale ».

  • Authentification RADIUS: lorsqu'un utilisateur se connecte, eSight vérifie et authentifie la demande de connexion via le serveur RADIUS, trouve le rôle de l'utilisateur en fonction du groupe d'utilisateurs obtenu à partir du serveur RADIUS et autorise l'utilisateur. Pour plus d'informations sur ce mode, consultez Authentification RADIUS .

  • Authentification LDAP: lorsqu'un utilisateur se connecte, eSight vérifie et authentifie la demande de connexion via le serveur LDAP, trouve le rôle de l'utilisateur en fonction du groupe d'utilisateurs obtenu à partir du serveur LDAP et autorise l'utilisateur. L'authentification LDAP est similaire à l'authentification RADIUS, sauf que les deux modes utilisent des protocoles d'authentification différents. Pour plus de détails sur ce mode, consultez Authentification LDAP .

Authentification locale

En mode d'authentification locale, la gestion de la sécurité des utilisateurs garantit la sécurité de l'eSight à plusieurs niveaux, y compris la gestion des utilisateurs locaux, la gestion des droits, la stratégie de mot de passe, la stratégie de compte, le contrôle de connexion et la déconnexion automatique du client. Les stratégies de mot de passe et de compte, une fois configurées, prennent effet pour tous les utilisateurs d' eSight .

  • Politique de mot de passe

    • Longueur minimale du mot de passe (8 caractères par défaut)

    • Nombre maximal de tentatives de saisie du mot de passe identique aux anciens mots de passe (3 tentatives par défaut)

    • Nombre maximum d'occurrences d'un caractère dans un mot de passe (3 fois par défaut)

    • Intervalle de temps minimum entre les tentatives de changement de mot de passe (5 minutes par défaut)

    • Au moins un caractère spécial dans un mot de passe (non limité par défaut)

    • Période de validité du mot de passe, y compris le nombre de jours (90 jours par défaut) pendant lesquels un mot de passe est valide et le délai (7 jours par défaut) auquel l'eSight envoie un avertissement avant l'expiration d'un mot de passe

  • Politique de compte

    • Longueur minimale d'un nom d'utilisateur (6 caractères par défaut)

    • Invalidation de compte: le nombre de jours (60 jours par défaut) pendant lesquels un compte est inactif

    • Verrouillage de compte: le nombre maximum d'échecs de tentatives de connexion (5 tentatives par défaut) pendant une certaine période (10 minutes par défaut) avant qu'un compte ne soit automatiquement verrouillé (pendant 30 minutes par défaut)

  • Contrôle de connexion

    Le contrôle de connexion comprend le contrôle de l'heure et de l'adresse IP.
    • Le contrôle du temps spécifie la durée pendant laquelle les utilisateurs peuvent se connecter. Les utilisateurs ne peuvent pas se connecter à eSight au-delà de l'heure spécifiée.

    • Le contrôle d'adresse IP spécifie les adresses IP que les clients eSight peuvent utiliser pour se connecter au serveur eSight. Le contrôle de l'adresse IP empêche ceux qui volent les noms d'utilisateur et les mots de passe de se connecter au serveur eSight et améliore par conséquent la sécurité d'eSight.

  • Automatic client logout

    Pour empêcher d'autres utilisateurs d'effectuer des opérations non autorisées, l'eSight permet aux utilisateurs de configurer le client pour qu'il soit automatiquement déconnecté. Si un utilisateur n'effectue aucune opération dans un laps de temps spécifié, le client est automatiquement déconnecté.

Authentification RADIUS

Lorsque l'authentification RADIUS est adoptée, l'administrateur n'a pas besoin de créer un compte utilisateur sur l'eSight à l'avance. Le compte utilisateur permettant de se connecter à l'eSight est un compte existant qui peut passer l'authentification du serveur RADIUS.

Lorsqu'un utilisateur entre le nom d'utilisateur et le mot de passe, le processus de sécurité du serveur eSight envoie le nom d'utilisateur et le mot de passe au serveur RADIUS. Si l'utilisateur est authentifié par le serveur RADIUS, le processus de sécurité obtient le groupe d'utilisateurs de l'utilisateur à partir du serveur RADIUS, trouve le rôle correspondant sur l'eSight et autorise l'utilisateur.

note_3.0-en-us.png

Avant d'utiliser le mode d'authentification RADIUS, assurez-vous que le nom du rôle défini sur l'eSight est le même que celui défini dans la base de données des comptes du serveur RADIUS. De plus, assurez-vous que le compte à autoriser est ajouté à un groupe d'utilisateurs.

Pour le processus d'authentification RADIUS, voir la figure 2 .

Figure 2 Authentification RADIUS
en-us_image_0080903249.png

Authentification LDAP

En tant que protocole système client / serveur distribué, LDAP est utilisé dans le VPN et le WAN pour contrôler l'accès des utilisateurs au réseau et empêcher les utilisateurs non autorisés d'accéder aux réseaux.

L'authentification LDAP est similaire à l'authentification RADIUS, sauf que les deux modes utilisent des protocoles d'authentification différents. Le mode d'authentification LDAP prend en charge les fonctionnalités suivantes qui ne sont pas prises en charge par l'authentification RADIUS:

  • Mode commun (sans cryptage), mode SSL (Secure Sockets Layer) et mode de sécurité de la couche de transport (TLS) pour la communication entre les serveurs eSight et LDAP

  • Plusieurs serveurs d'authentification LDAP

Pour le processus d'authentification LDAP, voir la figure 3 .

Figure 3 Authentification LDAP
en-us_image_0080903088.png

Session Management

eSight dispose des fonctions de gestion de session suivantes:

  • Interroger les utilisateurs en ligne

    Les informations utilisateur en ligne peuvent être interrogées, y compris le nom d'utilisateur, l'heure de connexion et l'adresse IP de connexion.

  • Déconnexion des utilisateurs

    Un utilisateur est obligé de se déconnecter lorsque des opérations dangereuses ou des sessions non valides sont détectées pendant le processus de surveillance des opérations ou sessions utilisateur.

  • Changement du mode de connexion utilisateur

  • Le mode de connexion utilisateur spécifie s'il faut autoriser plusieurs utilisateurs à se connecter simultanément au client eSight. Le mode multi-utilisateurs est utilisé dans la plupart des cas. Le mode mono-utilisateur est utilisé pour éviter les interférences d'autres utilisateurs lorsqu'un utilisateur doit effectuer des opérations spéciales sur le serveur eSight.

    • En mode mono-utilisateur, eSight autorise uniquement l'utilisateur actuel à se connecter au client eSight, et tous les autres utilisateurs en ligne sont déconnectés de force.

    • Une fois que l'utilisateur actuel a quitté le mode utilisateur unique, les autres utilisateurs peuvent se reconnecter au client.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.