思科ACS網(wǎng)絡(luò)設(shè)備安全管理方案說(shuō)明

1、 .DOC資料. 思科ACS網(wǎng)絡(luò)設(shè)備安全管理方案一、網(wǎng)絡(luò)設(shè)備安全管理需求概述就北京中行網(wǎng)絡(luò)布局來(lái)看，網(wǎng)絡(luò)的基礎(chǔ)設(shè)施現(xiàn)包含幾百個(gè)網(wǎng)絡(luò)設(shè)備。在網(wǎng)絡(luò)上支撐的業(yè)務(wù)日益關(guān)鍵，對(duì)網(wǎng)絡(luò)安全和可靠性要求更為嚴(yán)格?？梢灶A(yù)測(cè)的是，大型網(wǎng)絡(luò)管理需要多種網(wǎng)絡(luò)管理工具協(xié)調(diào)工作，不同的網(wǎng)絡(luò)管理協(xié)議、工具和技術(shù)將各盡其力，同時(shí)發(fā)揮著應(yīng)有的作用。比如：對(duì)于Telnet網(wǎng)絡(luò)管理手段。有些人可能會(huì)認(rèn)為，今后這些傳統(tǒng)的設(shè)備管理手段，會(huì)減少使用甚或完全消失。但實(shí)際上，Telnet命令行設(shè)備管理仍因其速度、強(qiáng)大功能、熟悉程度和方便性而廣受歡迎。盡管其他網(wǎng)絡(luò)設(shè)備管理方式中有先進(jìn)之處，基于Telnet的管理在未來(lái)依然會(huì)是一種常用管理方式。

2、隨著B(niǎo)OC網(wǎng)絡(luò)設(shè)備數(shù)量的增加，為維持網(wǎng)絡(luò)運(yùn)作所需的管理員數(shù)目也會(huì)隨之增加。這些管理員隸屬于不同級(jí)別的部門(mén)，系統(tǒng)管理員結(jié)構(gòu)也比較復(fù)雜。網(wǎng)絡(luò)管理部門(mén)現(xiàn)在開(kāi)始了解，如果沒(méi)有一個(gè)機(jī)制來(lái)建立整體網(wǎng)絡(luò)管理系統(tǒng)，以控制哪些管理員能對(duì)哪些設(shè)備執(zhí)行哪些命令，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性和可靠性問(wèn)題是無(wú)法避免的。二、設(shè)備安全管理解決之道建立網(wǎng)絡(luò)設(shè)備安全管理的首要出發(fā)點(diǎn)是定義和規(guī)劃設(shè)備管理范圍, 從這一點(diǎn)我門(mén)又可以發(fā)現(xiàn)，網(wǎng)絡(luò)設(shè)備安全管理的重點(diǎn)是定義設(shè)備操作和管理權(quán)限。對(duì)于新增加的管理員，我們并不需要對(duì)個(gè)體用戶(hù)進(jìn)行權(quán)限分配，而是通過(guò)分配到相應(yīng)的組中，繼承用戶(hù)組的權(quán)限定義。通過(guò)上面的例子，我們可以發(fā)現(xiàn)網(wǎng)絡(luò)安全管理的核心問(wèn)題就是

3、定義以下三個(gè)概念：設(shè)備組、命令組和用戶(hù)組。設(shè)備組規(guī)劃了設(shè)備管理范圍；命令組制定了操作權(quán)限；用戶(hù)組定義了管理員集合。根據(jù)BOC的設(shè)備管理計(jì)劃，將它們組合在一起，構(gòu)成BOC所需要的設(shè)備安全管理結(jié)構(gòu)。安全設(shè)備管理包括身份驗(yàn)證Authentication、授權(quán)Authorization和記帳Accounting三個(gè)方面的內(nèi)容。例如：管理員需要通過(guò)遠(yuǎn)程Login或是本地Login到目標(biāo)設(shè)備，能否進(jìn)入到設(shè)備上，首先要通過(guò)嚴(yán)格的身份認(rèn)證；通過(guò)身份驗(yàn)證的管理員能否執(zhí)行相應(yīng)的命令，要通過(guò)檢查該管理員的操作權(quán)限；管理員在設(shè)備上的操作過(guò)程，可以通過(guò)記帳方式記錄在案。AAA的應(yīng)用大大簡(jiǎn)化了大型網(wǎng)絡(luò)復(fù)雜的安全管理問(wèn)題，

4、提高了設(shè)備集中控制強(qiáng)度。目前AAA在企業(yè)網(wǎng)絡(luò)中越來(lái)越成為網(wǎng)絡(luò)管理人員不可缺少的網(wǎng)絡(luò)管理工具。Cisco Secure ACS 3.1以后的版本提供的Shell殼式授權(quán)命令集提供的工具可使用思科設(shè)備支持的高效、熟悉的TCP/IP協(xié)議及實(shí)用程序，來(lái)構(gòu)建可擴(kuò)展的網(wǎng)絡(luò)設(shè)備安全管理系統(tǒng)。三、Cisco ACS幫助BOC實(shí)現(xiàn)設(shè)備安全管理熟悉Cisco IOS的用戶(hù)知道，在IOS軟件中，定義了16個(gè)級(jí)別權(quán)限，即從0到15。在缺省配置下，初次連接到設(shè)備命令行后，用戶(hù)的特權(quán)級(jí)別就設(shè)置為1。為改變?nèi)笔√貦?quán)級(jí)別，您必須運(yùn)行enable啟用命令，提供用戶(hù)的enable password和請(qǐng)求的新特權(quán)級(jí)別。如果口令正確

5、，即可授予新特權(quán)級(jí)別。請(qǐng)注意可能會(huì)針對(duì)設(shè)備上每個(gè)權(quán)利級(jí)別而執(zhí)行的命令被本地存儲(chǔ)于那一設(shè)備配置中。超級(jí)管理員可以在事先每臺(tái)設(shè)備上定義新的操作命令權(quán)限。例如：可修改這些級(jí)別并定義新級(jí)別，如圖1所示。圖1 啟用命令特權(quán)級(jí)別示例當(dāng)值班的管理員enable 10之后，該管理員僅僅擁有在級(jí)別10規(guī)定之下的授權(quán)命令集合，其可以執(zhí)行clear line、debug PPP等命令。這種方式是“分散”特權(quán)級(jí)別授權(quán)控制。這種應(yīng)用方式要求在所有設(shè)備都要執(zhí)行類(lèi)似同樣的配置，這樣同一個(gè)管理員才擁有同樣的設(shè)備操作權(quán)限，這顯然會(huì)增加超級(jí)管理員的工作負(fù)擔(dān)。為解決這種設(shè)備安全管理的局限性，Cisco ACS提出了可擴(kuò)展的管理方式

6、-“集中”特權(quán)級(jí)別授權(quán)控制，Cisco ACS通過(guò)啟用TACACS，就可從中央位置提供特權(quán)級(jí)別授權(quán)控制。TACACS服務(wù)器通常允許各不同的管理員有自己的啟用口令并獲得特定特權(quán)級(jí)別。下面探討如何利用Cisco ACS實(shí)現(xiàn)設(shè)備組、命令集、用戶(hù)組的定義與關(guān)聯(lián)。3.1 設(shè)備組定義根據(jù)北京行的網(wǎng)絡(luò)結(jié)構(gòu)，我們?cè)嚩x以下設(shè)備組：(待定)交換機(jī)組-包含總行大樓的樓層交換機(jī)Cisco65/45；試定義以下設(shè)備組：(待定)交換機(jī)組-Cisco Catalyst6500或Catalyst4xxx(待定)網(wǎng)絡(luò)設(shè)備組-Cisco28113.2 Shell授權(quán)命令集(Shell Authorization Command

7、 Sets)定義殼式授權(quán)命令集可實(shí)現(xiàn)命令授權(quán)的共享，即不同用戶(hù)或組共享相同的命令集。如圖2所示，Cisco Secure ACS圖形用戶(hù)界面（GUI）可獨(dú)立定義命令授權(quán)集。圖2 殼式命令授權(quán)集GUI命令集會(huì)被賦予一個(gè)名稱(chēng)，此名稱(chēng)可用于用戶(hù)或組設(shè)置的命令集。基于職責(zé)的授權(quán)(Role-based Authorization)命令集可被理解為職責(zé)定義。實(shí)際上它定義授予的命令并由此定義可能采取的任務(wù)類(lèi)型。如果命令集圍繞BOC內(nèi)部不同的網(wǎng)絡(luò)管理職責(zé)定義，用戶(hù)或組可共享它們。當(dāng)與每個(gè)網(wǎng)絡(luò)設(shè)備組授權(quán)相結(jié)合時(shí)，用戶(hù)可為不同的設(shè)備組分配不同職責(zé)。BOC網(wǎng)絡(luò)設(shè)備安全管理的命令集，可以試定義如下：超級(jí)用戶(hù)命令組-具

8、有IOS第15特權(quán)級(jí)別用戶(hù)，他/她可以執(zhí)行所有的配置configure、show和Troubleshooting命令；故障診斷命令組-具有所有Ping、Trace命令、show命令和debug命令，以及簡(jiǎn)單的配置命令；網(wǎng)絡(luò)操作員命令組-具有簡(jiǎn)單的Troubleshooting命令和針對(duì)特別功能的客戶(hù)定制命令；3.3 用戶(hù)組定義(草案)用戶(hù)組的定義要根據(jù)BOC網(wǎng)絡(luò)管理人員的分工組織構(gòu)成來(lái)確定，可以試定義如下：運(yùn)行管理組-負(fù)責(zé)管理控制大樓網(wǎng)絡(luò)樓層設(shè)備，同時(shí)監(jiān)控BOC骨干網(wǎng)絡(luò)設(shè)備。人員包括分行網(wǎng)絡(luò)管理處的成員；操作維護(hù)組-對(duì)于負(fù)責(zé)日常網(wǎng)絡(luò)維護(hù)工作的網(wǎng)絡(luò)操作員，他們屬于該組。3.4 設(shè)備安全管理實(shí)現(xiàn)完

9、成了設(shè)備組、命令組和用戶(hù)組的定義之后，接下來(lái)的工作是在用戶(hù)組的定義中，將設(shè)備組和命令組對(duì)應(yīng)起來(lái)。TACAS+要求AAA的Clients配置相應(yīng)的AAA命令，這樣凡是通過(guò)遠(yuǎn)程或本地接入到目標(biāo)設(shè)備的用戶(hù)都要通過(guò)嚴(yán)格的授權(quán)，然后TACAS+根據(jù)用戶(hù)組定義的權(quán)限嚴(yán)格考察管理員所輸入的命令。四、TACAS+的審計(jì)跟蹤功能由于管理人員的不規(guī)范操作，可能會(huì)導(dǎo)致設(shè)備接口的down，或是路由協(xié)議的reset，或許更嚴(yán)重的設(shè)備reload。所以設(shè)備操作審計(jì)功能是必須的。我們可以在網(wǎng)絡(luò)相對(duì)集中的地方設(shè)立一個(gè)中央審計(jì)點(diǎn)，即是可以有一個(gè)中央點(diǎn)來(lái)記錄所有網(wǎng)絡(luò)管理活動(dòng)。這包括那些成功授權(quán)和那些未能成功授權(quán)的命令?？捎靡韵氯?/p>

10、個(gè)報(bào)告來(lái)跟蹤用戶(hù)的整個(gè)管理進(jìn)程。TACACS記帳報(bào)告可記錄管理進(jìn)程的起始和結(jié)束。在AAA客戶(hù)機(jī)上必須啟動(dòng)記帳功能；TACACS管理報(bào)告記錄了設(shè)備上發(fā)出的所有成功授權(quán)命令；在AAA客戶(hù)機(jī)上必須啟動(dòng)記帳功能；嘗試失敗報(bào)告記錄了設(shè)備的所有失敗登錄嘗試和設(shè)備的所有失敗命令授權(quán)；在AAA客戶(hù)機(jī)上必須啟動(dòng)記帳功能；。圖4 審計(jì)示例登錄當(dāng)管理員在某一設(shè)備上開(kāi)始一個(gè)新管理進(jìn)程時(shí)，它就被記錄在TACACS記帳報(bào)告中。當(dāng)管理進(jìn)程結(jié)束時(shí)，也創(chuàng)建一個(gè)數(shù)值。Acct-Flags字段可區(qū)分這兩個(gè)事件。圖5 審計(jì)示例計(jì)帳報(bào)告節(jié)選 按文本給出當(dāng)管理員獲得對(duì)設(shè)備的接入，所有成功執(zhí)行的命令都作為T(mén)ACACS記帳請(qǐng)求送至TACAC

11、S服務(wù)器。TACACS服務(wù)器隨后會(huì)將這些記帳請(qǐng)求記錄在TACACS管理報(bào)告中。圖6為管理進(jìn)程示例。圖6 審計(jì)示例記帳請(qǐng)求圖7 中顯示的TACACS管理報(bào)告節(jié)選以時(shí)間順序列出了用戶(hù)在特定設(shè)備上成功執(zhí)行的所有命令。圖7 審計(jì)示例管理報(bào)告節(jié)選注：本報(bào)告僅包含成功授權(quán)和執(zhí)行的命令。它不包括含排字錯(cuò)誤或未授權(quán)命令的命令行。在圖8顯示的示例中，用戶(hù)從執(zhí)行某些授權(quán)命令開(kāi)始，然后就試圖執(zhí)行用戶(hù)未獲得授權(quán)的命令（配置終端）。圖8 審計(jì)示例未授權(quán)請(qǐng)求圖8 為T(mén)ACACS管理報(bào)告節(jié)選，具體說(shuō)明了用戶(hù)andy在網(wǎng)關(guān)機(jī)上執(zhí)行的命令。圖9 審計(jì)示例管理報(bào)告節(jié)選當(dāng)Andy試圖改變網(wǎng)關(guān)機(jī)器的配置，TACACS服務(wù)器不給予授權(quán)

12、，且此試圖記錄在失敗試圖報(bào)告中（圖10）。圖10 審計(jì)示例失敗試圖報(bào)告節(jié)選提示：如果失敗試圖報(bào)告中包括網(wǎng)絡(luò)設(shè)備組和設(shè)備命令集欄，您可輕松確定用戶(hù)andy為何被拒絕使用配置命令。這三個(gè)報(bào)告結(jié)合起來(lái)提供了已試圖和已授權(quán)的所有管理活動(dòng)的完整記錄。五、Cisco ACS在北京中行網(wǎng)絡(luò)中的配置方案在各個(gè)分行中心配置兩臺(tái)ACS服務(wù)器（數(shù)據(jù)庫(kù)同步，保證配置冗余），由個(gè)分行控制和管內(nèi)所轄的網(wǎng)絡(luò)設(shè)備。 我們建議Cisco ACS安裝在網(wǎng)絡(luò)Firewall保護(hù)的區(qū)域。參見(jiàn)下圖:六、TACAS+與RADIUS協(xié)議比較網(wǎng)絡(luò)設(shè)備安全管理要求的管理協(xié)議首先必須是安全的。RADIUS驗(yàn)證管理員身份過(guò)程中使用的是明文格式，而

13、TACAS使用的是密文格式，所以TACAS可以抵御Sniffer的竊聽(tīng)。TACAS使用TCP傳輸協(xié)議，RADIUS使用UDP傳輸協(xié)議，當(dāng)AAA的客戶(hù)端和服務(wù)器端之間有l(wèi)ow speed的鏈接時(shí)，TCP機(jī)制可以保證數(shù)據(jù)的可靠傳輸，而UDP傳輸沒(méi)有保證。TACAS和RADIUS都是IETF的標(biāo)準(zhǔn)化協(xié)議，Cisco在TACAS基礎(chǔ)上開(kāi)發(fā)了TACAS增強(qiáng)型協(xié)議-TACAS+，所以Cisco ACS可以同時(shí)支持TACAS+和RADIUS認(rèn)證協(xié)議。RADIUS對(duì)授權(quán)Authorization和記帳Accounting功能有限，而Cisco的TACAS+的授權(quán)能力非常強(qiáng)，上面介紹的RBAC（基于職責(zé)的授權(quán)控制）是TACAS+所特有的。同時(shí)TACAS+的記帳內(nèi)容可以通過(guò)管理員制定AV值，來(lái)客戶(hù)花客戶(hù)所需要的記帳報(bào)告。在BOC這樣復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們建議啟動(dòng)Cisco ACS的TACAS+和RADIUS服務(wù)。對(duì)于Cisco的網(wǎng)絡(luò)設(shè)備，我們強(qiáng)烈加以采用TACAS+ AAA協(xié)議；對(duì)于非Cisco網(wǎng)絡(luò)設(shè)備，建議使用RADIUS協(xié)議。七、Cisco ACS其它應(yīng)用環(huán)境除了設(shè)備安全管理使用AAA認(rèn)證之外，我們還可以在RAS-遠(yuǎn)程訪問(wèn)接入服務(wù)、VPN