思科ACS網(wǎng)絡設備安全管理方案

11419日ACSACS文檔僅供參考文檔僅供參考22419日ACS一、網(wǎng)絡設備安全治理需求概述就北京中行網(wǎng)絡布局來看,網(wǎng)絡的根底設施現(xiàn)包含幾百個網(wǎng)絡設備。在網(wǎng)絡上支撐的業(yè)務日益關鍵,對網(wǎng)絡安全和牢靠性要求更為嚴格。能夠推測的是,大型網(wǎng)絡治理需要多種網(wǎng)絡治理工具協(xié)調(diào)工作,不同的網(wǎng)絡治理協(xié)議、工具和技術將各盡其力,同時發(fā)揮著應有的Telnet這些傳統(tǒng)的設備治理手段,會削減使用甚或完全消逝。但實際上,Telnet性而廣受歡送。盡管其它網(wǎng)絡設備治理方式中有先進之處,基于Telnet隨著BOC數(shù)目也會隨之增加。這些治理員隸屬于不同級別的部門,系統(tǒng)治理員構造也比較簡單。網(wǎng)絡治理部門現(xiàn)在開頭了解,假設沒有一個機制來建立整體網(wǎng)絡治理系統(tǒng),以掌握哪些治理員能對哪些設備執(zhí)行哪些命令,網(wǎng)絡根底設施的安全性和牢靠性問題是無法避開的。二、設備安全治理解決之道建立網(wǎng)絡設備安全治理的首要動身點是定義和規(guī)劃設備治理范圍,從這一點我門又能夠覺察,網(wǎng)絡設備安全治理的重點是定義設備操作和治理權限。對于增加的治理員,我們并不需要對個體用戶進展權限安排,而是經(jīng)過安排到相應的組中,繼承用戶組的權限定義。經(jīng)過上面的例子,我們能夠覺察網(wǎng)絡安全治理的核心問題就是定義以下三個概念:設備組、命令組和用戶組。設備組規(guī)劃了設備治理范圍;命令組制定了操作權限;用戶組定義了治理員集合。依據(jù)BOCBOC備安全治理構造。AuthenticationAuthorization和記帳Accounting三個方面的內(nèi)容。例如:治理LoginLogin行相應的命令,要經(jīng)過檢查該治理員的操作權限;治理員在設備上的操作過程,能夠經(jīng)過記帳方式記錄在案。AAA設備集中掌握強度。當前AAA在企業(yè)網(wǎng)絡中越來越成為網(wǎng)絡治理人員不行缺少的網(wǎng)絡治理工具。CiscoSecureACS3.1Shell令集供給的工具可使用思科設備支持的高效、生疏的TCP/IP協(xié)議及有用程序,來構建可擴展的網(wǎng)絡設備安全治理系統(tǒng)。三、CiscoACSBOC生疏CiscoIOS的用戶知道,在IOS16015。在缺省配置下,初次連接到設備命令行后,用1。為轉變?nèi)笔√貦嗉墑e,您必需運行enable啟用命令,供給用戶的enablepassword級別。假設口令正確,即可授予特權級別。請留意可能會針對設備上每個權利級別而執(zhí)行的命令被本地存儲于那一設備配置中。超級治理員能夠在事先每臺設備上定義的操作命令權限。例如:11啟用命令特權級別例如enable1010規(guī)定之下的授權命令集合,其能夠執(zhí)行clearline、debugPPP命令。這種方式是”分散”特權級別授權掌握。這種應用方式要求在全部設備都要執(zhí)行類似同樣的配置,這樣同一個治理員才擁有同樣的設備操作權限,這明顯會增加超級治理員的工作負擔。為解決這種設備安全治理的局限性,CiscoACS的治理方式---”集中”特權級別授權掌握,CiscoACSTACACS＋,就可從中心位置供給特權級別授權掌握。TACACS＋效勞器一般允許各不同的治理員有自己的啟用口令并獲得特定特權級別。下面探討如何利用CiscoACS定義與關聯(lián)。設備組定義依據(jù)北京行的網(wǎng)絡構造,我們試定義以下設備組:(待定)交換機組---包含總行大樓的樓層交換機Cisco65/45;試定義以下設備組:(待定)交換機組---CiscoCatalyst6500或Catalyst4xxx(待定)網(wǎng)絡設備組---Cisco2811Shell授權命令集(ShellAuthorizationCommandSets)義殼式授權命令集可實現(xiàn)命令授權的共享,即不同用戶或組共享2,CiscoSecureACS(GUI)可獨立定義命令授權集。2GUI命令集會被賜予一個名稱,此名稱可用于用戶或組設置的命令集。(Role-basedAuthorization)命令集可被理解為職責定義。實際上它定義授予的命令并由此定義可能實行的任務類型。假設命令集圍繞BOC職責定義,用戶或組可共享它們。當與每個網(wǎng)絡設備組授權相結合時,用戶可為不同的設備組安排不同職責。BOC超級用戶命令組---具有IOS15/她能夠執(zhí)行全部的配置configure、show和Troubleshooting故障診斷命令組---具有全部Ping、Traceshowdebug網(wǎng)絡操作員命令組---具有簡潔的Troubleshooting對特別功能的客戶定制命令;用戶組定義(草案)BOC能夠試定義如下:運行治理組---負責治理掌握大樓網(wǎng)絡樓層設備,同時監(jiān)控BOC骨干網(wǎng)絡設備。人員包括分行網(wǎng)絡治理處的成員;操作維護組---對于負責日常網(wǎng)絡維護工作的網(wǎng)絡操作員,她們屬于該組。設備安全治理實現(xiàn)完成了設備組、命令組和用戶組的定義之后,接下來的工作是在用戶組的定義中,將設備組和命令組對應起來。TACAS+要求AAA的Clients配置相應的AAA過遠程或本地接入到目標設備的用戶都要經(jīng)過嚴格的授權,然后TACAS+依據(jù)用戶組定義的權限嚴格考察治理員所輸入的命令。四、TACAS+的審計跟蹤功能由于治理人員的不標準操作,可能會導致設備接口的down,或是路由協(xié)議的reset,或許更嚴峻的設備reload。因此設備操作審計功能是必需的。我們能夠在網(wǎng)絡相對集中的地方設立一個中心審計點,即是能夠有一個中心點來記錄全部網(wǎng)絡治理活動。這包括那些成功授權和那些未能成功授權的命令?？捎靡韵氯齻€報告來跟蹤用戶的整個治理進程。TA