設(shè)備管理_思科acs網(wǎng)絡(luò)設(shè)備安全管理方案

思科ACS網(wǎng)絡(luò)設(shè)備安全管理方案一、網(wǎng)絡(luò)設(shè)備安全管理需求概述就北京中行網(wǎng)絡(luò)布局來看，網(wǎng)絡(luò)的基礎(chǔ)設(shè)施現(xiàn)包含幾百個(gè)網(wǎng)絡(luò)設(shè)備。在網(wǎng)絡(luò)上支撐的業(yè)務(wù)日益關(guān)鍵，對網(wǎng)絡(luò)安全和可靠性要求更為嚴(yán)格?？梢灶A(yù)測的是，大型網(wǎng)絡(luò)管理需要多種網(wǎng)絡(luò)管理工具協(xié)調(diào)工作，不同的網(wǎng)絡(luò)管理協(xié)議、工具和技術(shù)將各盡其力，同時(shí)發(fā)揮著應(yīng)有的作用。比如：對于Telnet網(wǎng)絡(luò)管理手段。有些人可能會認(rèn)為，今后這些傳統(tǒng)的設(shè)備管理手段，會減少使用甚或完全消失。但實(shí)際上，Telnet命令行設(shè)備管理仍因其速度、強(qiáng)大功能、熟悉程度和方便性而廣受歡迎。盡管其他網(wǎng)絡(luò)設(shè)備管理方式中有先進(jìn)之處，基于Telnet的管理在未來依然會是一種常用管理方式。隨著BOC網(wǎng)絡(luò)設(shè)備數(shù)量的增加，為維持網(wǎng)絡(luò)運(yùn)作所需的管理員數(shù)目也會隨之增加。這些管理員隸屬于不同級別的部門，系統(tǒng)管理員結(jié)構(gòu)也比較復(fù)雜。網(wǎng)絡(luò)管理部門現(xiàn)在開始了解，如果沒有一個(gè)機(jī)制來建立整體網(wǎng)絡(luò)管理系統(tǒng)，以控制哪些管理員能對哪些設(shè)備執(zhí)行哪些命令，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性和可靠性問題是無法避免的。二、設(shè)備安全管理解決之道建立網(wǎng)絡(luò)設(shè)備安全管理的首要出發(fā)點(diǎn)是定義和規(guī)劃設(shè)備管理范圍, 從這一點(diǎn)我門又可以發(fā)現(xiàn)，網(wǎng)絡(luò)設(shè)備安全管理的重點(diǎn)是定義設(shè)備操作和管理權(quán)限。對于新增加的管理員，我們并不需要對個(gè)體用戶進(jìn)行權(quán)限分配，而是通過分配到相應(yīng)的組中，繼承用戶組的權(quán)限定義。通過上面的例子，我們可以發(fā)現(xiàn)網(wǎng)絡(luò)安全管理的核心問題就是定義以下三個(gè)概念：設(shè)備組、命令組和用戶組。設(shè)備組規(guī)劃了設(shè)備管理范圍；命令組制定了操作權(quán)限；用戶組定義了管理員集合。根據(jù)BOC的設(shè)備管理計(jì)劃，將它們組合在一起，構(gòu)成BOC所需要的設(shè)備安全管理結(jié)構(gòu)。安全設(shè)備管理包括身份驗(yàn)證Authentication、授權(quán)Authorization和記帳Accounting三個(gè)方面的內(nèi)容。例如：管理員需要通過遠(yuǎn)程Login或是本地Login到目標(biāo)設(shè)備，能否進(jìn)入到設(shè)備上，首先要通過嚴(yán)格的身份認(rèn)證；通過身份驗(yàn)證的管理員能否執(zhí)行相應(yīng)的命令，要通過檢查該管理員的操作權(quán)限；管理員在設(shè)備上的操作過程，可以通過記帳方式記錄在案。AAA的應(yīng)用大大簡化了大型網(wǎng)絡(luò)復(fù)雜的安全管理問題，提高了設(shè)備集中控制強(qiáng)度。目前AAA在企業(yè)網(wǎng)絡(luò)中越來越成為網(wǎng)絡(luò)管理人員不可缺少的網(wǎng)絡(luò)管理工具。Cisco Secure ACS 3.1以后的版本提供的Shell殼式授權(quán)命令集提供的工具可使用思科設(shè)備支持的高效、熟悉的TCP/IP協(xié)議及實(shí)用程序，來構(gòu)建可擴(kuò)展的網(wǎng)絡(luò)設(shè)備安全管理系統(tǒng)。三、Cisco ACS幫助BOC實(shí)現(xiàn)設(shè)備安全管理熟悉Cisco IOS的用戶知道，在IOS軟件中，定義了16個(gè)級別權(quán)限，即從0到15。在缺省配置下，初次連接到設(shè)備命令行后，用戶的特權(quán)級別就設(shè)置為1。為改變?nèi)笔√貦?quán)級別，您必須運(yùn)行enable啟用命令，提供用戶的enable password和請求的新特權(quán)級別。如果口令正確，即可授予新特權(quán)級別。請注意可能會針對設(shè)備上每個(gè)權(quán)利級別而執(zhí)行的命令被本地存儲于那一設(shè)備配置中。超級管理員可以在事先每臺設(shè)備上定義新的操作命令權(quán)限。例如：可修改這些級別并定義新級別，如圖1所示。圖1 啟用命令特權(quán)級別示例當(dāng)值班的管理員enable 10之后，該管理員僅僅擁有在級別10規(guī)定之下的授權(quán)命令集合，其可以執(zhí)行clear line、debug PPP等命令。這種方式是“分散”特權(quán)級別授權(quán)控制。這種應(yīng)用方式要求在所有設(shè)備都要執(zhí)行類似同樣的配置，這樣同一個(gè)管理員才擁有同樣的設(shè)備操作權(quán)限，這顯然會增加超級管理員的工作負(fù)擔(dān)。為解決這種設(shè)備安全管理的局限性，Cisco ACS提出了可擴(kuò)展的管理方式-“集中”特權(quán)級別授權(quán)控制，Cisco ACS通過啟用TACACS，就可從中央位置提供特權(quán)級別授權(quán)控制。TACACS服務(wù)器通常允許各不同的管理員有自己的啟用口令并獲得特定特權(quán)級別。下面探討如何利用Cisco ACS實(shí)現(xiàn)設(shè)備組、命令集、用戶組的定義與關(guān)聯(lián)。3.1 設(shè)備組定義根據(jù)北京行的網(wǎng)絡(luò)結(jié)構(gòu)，我們試定義以下設(shè)備組：(待定)交換機(jī)組-包含總行大樓的樓層交換機(jī)Cisco65/45；試定義以下設(shè)備組：(待定)交換機(jī)組-Cisco Catalyst6500或Catalyst4xxx(待定)網(wǎng)絡(luò)設(shè)備組-Cisco28113.2 Shell授權(quán)命令集(Shell Authorization Command Sets)定義殼式授權(quán)命令集可實(shí)現(xiàn)命令授權(quán)的共享，即不同用戶或組共享相同的命令集。如圖2所示，Cisco Secure ACS圖形用戶界面（GUI）可獨(dú)立定義命令授權(quán)集。圖2 殼式命令授權(quán)集GUI命令集會被賦予一個(gè)名稱，此名稱可用于用戶或組設(shè)置的命令集。基于職責(zé)的授權(quán)(Role-based Authorization)命令集可被理解為職責(zé)定義。實(shí)際上它定義授予的命令并由此定義可能采取的任務(wù)類型。如果命令集圍繞BOC內(nèi)部不同的網(wǎng)絡(luò)管理職責(zé)定義，用戶或組可共享它們。當(dāng)與每個(gè)網(wǎng)絡(luò)設(shè)備組授權(quán)相結(jié)合時(shí)，用戶可為不同的設(shè)備組分配不同職責(zé)。BOC網(wǎng)絡(luò)設(shè)備安全管理的命令集，可以試定義如下：超級用戶命令組-具有IOS第15特權(quán)級別用戶，他/她可以執(zhí)行所有的配置configure、show和Troubleshooting命令；故障診斷命令組-具有所有Ping、Trace命令、show命令和debug命令，以及簡單的配置命令；網(wǎng)絡(luò)操作員命令組-具有簡單的Troubleshooting命令和針對特別功能的客戶定制命令；3.3 用戶組定義(草案)用戶組的定義要根據(jù)BOC網(wǎng)絡(luò)管理人員的分工組織構(gòu)成來確定，可以試定義如下：運(yùn)行管理組-負(fù)責(zé)管理控制大樓網(wǎng)絡(luò)樓層設(shè)備，同時(shí)監(jiān)控BOC骨干網(wǎng)絡(luò)設(shè)備。人員包括分行網(wǎng)絡(luò)管理處的成員；操作維護(hù)組-對于負(fù)責(zé)日常網(wǎng)絡(luò)維護(hù)工作的網(wǎng)絡(luò)操作員，他們屬于該組。3.4 設(shè)備安全管理實(shí)現(xiàn)完成了設(shè)備組、命令組和用戶組的定義之后，接下來的工作是在用戶組的定義中，將設(shè)備組和命令組對應(yīng)起來。TACAS+要求AAA的Clients配置相應(yīng)的AAA命令，這樣凡是通過遠(yuǎn)程或本地接入到目標(biāo)設(shè)備的用戶都要通過嚴(yán)格的授權(quán)，然后TACAS+根據(jù)用戶組定義的權(quán)限嚴(yán)格考察管理員所輸入的命令。四、TACAS+的審計(jì)跟蹤功能由于管理人員的不規(guī)范操作，可能會導(dǎo)致設(shè)備接口的down，或是路由協(xié)議的reset，或許更嚴(yán)重的設(shè)備reload。所以設(shè)備操作審計(jì)功能是必須的。我們可以在網(wǎng)絡(luò)相對集中的地方設(shè)立一個(gè)中央審計(jì)點(diǎn)，即是可以有一個(gè)中央點(diǎn)來記錄所有網(wǎng)絡(luò)管理活動。這包括那些成功授權(quán)和那些未能成功授權(quán)的命令?？捎靡韵氯齻€(gè)報(bào)告來跟蹤用戶的整個(gè)管理進(jìn)程。 TACACS記帳報(bào)告可記錄管理進(jìn)程的起始和結(jié)束。在AAA客戶機(jī)上必須啟動記帳功能； TACACS管理報(bào)告記錄了設(shè)備上發(fā)出的所有成功授權(quán)命令；在AAA客戶機(jī)上必須啟動記帳功能； 嘗試失敗報(bào)告記錄了設(shè)備的所有失敗登錄嘗試和設(shè)備的所有失敗命令授權(quán)；在AAA客戶機(jī)上必須啟動記帳功能；。圖4 審計(jì)示例登錄當(dāng)管理員在某一設(shè)備上開始一個(gè)新管理進(jìn)程時(shí)，它就被記錄在TACACS記帳報(bào)告中。當(dāng)管理進(jìn)程結(jié)束時(shí)，也創(chuàng)建一個(gè)數(shù)值。Acct-Flags字段可區(qū)分這兩個(gè)事件。圖5 審計(jì)示例計(jì)帳報(bào)告節(jié)選 按文本給出當(dāng)管理員獲得對設(shè)備的接入，所有成功執(zhí)行的命令都作為TACACS記帳請求送至TACACS服務(wù)器。TACACS服務(wù)器隨后會將這些記帳請求記錄在TACACS管理報(bào)告中。圖6為管理進(jìn)程示例。圖6 審計(jì)示例記帳請求圖7 中顯示的TACACS管理報(bào)告節(jié)選以時(shí)間順序列出了用戶在特定設(shè)備上成功執(zhí)行的所有命令。圖7 審計(jì)示例管理報(bào)告節(jié)選注：本報(bào)告僅包含成功授權(quán)和執(zhí)行的命令。它不包括含排字錯誤或未授權(quán)命令的命令行。在圖8顯示的示例中，用戶從執(zhí)行某些授權(quán)命令開始，然后就試圖執(zhí)行用戶未獲得授權(quán)的命令（配置終端）。圖8 審計(jì)示例未授權(quán)請求圖8 為TACACS管理報(bào)告節(jié)選，具體說明了用戶andy在網(wǎng)關(guān)機(jī)上執(zhí)行的命令。圖9 審計(jì)示例管理報(bào)告節(jié)選當(dāng)Andy試圖改變網(wǎng)關(guān)機(jī)器的配置，TACACS服務(wù)器不給予授權(quán)，且此試圖記錄在失敗試圖報(bào)告中（圖10）。圖10 審計(jì)示例失敗試圖報(bào)告節(jié)選提示：如果失敗試圖報(bào)告中包括網(wǎng)絡(luò)設(shè)備組和設(shè)備命令集欄，您可輕松確定用戶andy為何被拒絕使用配置命令。這三個(gè)報(bào)告結(jié)合起來提供了已試圖和已授權(quán)的所有管理活動的完整記錄。五、Cisco ACS在北京中行網(wǎng)絡(luò)中的配置方案在各個(gè)分行中心配置兩臺ACS服務(wù)器（數(shù)據(jù)庫同步，保證配置冗余），由個(gè)分行控制和管內(nèi)所轄的網(wǎng)絡(luò)設(shè)備。 我們建議Cisco ACS安裝在網(wǎng)絡(luò)Firewall保護(hù)的區(qū)域。參見下圖:六、TACAS+與RADIUS協(xié)議比較網(wǎng)絡(luò)設(shè)備安全管理要求的管理協(xié)議首先必須是安全的。RADIUS驗(yàn)證管理員身份過程中使用的是明文格式，而TACAS使用的是密文格式，所以TACAS可以抵御Sniffer的竊聽。TACAS使用TCP傳輸協(xié)議，RADIUS使用UDP傳輸協(xié)議，當(dāng)AAA的客戶端和服務(wù)器端之間有l(wèi)ow speed的鏈接時(shí)，TCP機(jī)制可以保證數(shù)據(jù)的可靠傳輸，而UDP傳輸沒有保證。TACAS和RADIUS都是IETF的標(biāo)準(zhǔn)化協(xié)議，Cisco在TACAS基礎(chǔ)上開發(fā)了TACAS增強(qiáng)型協(xié)議-TACAS+，所以Cisco ACS可以同時(shí)支持TACAS+和RADIUS認(rèn)證協(xié)議。RADIUS對授權(quán)Authorization和記帳Accounting功能有限，而Cisco的TACAS+的授權(quán)能力非常強(qiáng)，上面介紹的RBAC（基于職責(zé)的授權(quán)控制）是TACAS+所特有的。同時(shí)TACAS+的記帳內(nèi)容可以通過管理員制定AV值，來客戶花客戶所需要的記帳報(bào)告。在BOC這樣復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們建議啟動Cisco ACS的TACAS+和RADIUS服務(wù)。對于Cisco的網(wǎng)絡(luò)設(shè)備，我們強(qiáng)烈加以采用TACAS+ AAA協(xié)議；對于非Cisco網(wǎng)絡(luò)設(shè)備，建議使用RADIUS協(xié)議。七、Cisco ACS其它應(yīng)用環(huán)境除了設(shè)備安全管理使用AAA認(rèn)證之外，我們還可以在RAS-遠(yuǎn)程訪問接入服務(wù)、VPN