Cisco ACS 网络安全设备管理3341.docx

思科ACCS网络络设备安安全管理理方案一、网络络设备安安全管理理需求概述述就北京中中行网络络布局来来看，网网络的基础设设施现包包含几百百个网络设设备。在在网络上上支撑的的业务日日益关键键，对网网络安全全和可靠靠性要求求更为严严格。可以预测测的是，大大型网络络管理需需要多种种网络管管理工具具协调工工作，不不同的网网络管理理协议、工工具和技技术将各各尽其力力，同时时发挥着着应有的的作用。比如：对于TTelnnet网网络管理理手段。有有些人可可能会认认为，今今后这些些传统的的设备管管理手段段，会减减少使用用甚或完完全消失失。但实实际上，TTelnnet命命令行设设备管理理仍因其其速度、强强大功能能、熟悉悉程度和和方便性性而广受受欢迎。尽尽管其他他网络设设备管理理方式中中有先进进之处，基基于Teelneet的管管理在未未来依然然会是一一种常用用管理方式式。随着BOOC网络络设备数数量的增增加，为为维持网网络运作作所需的的管理员员数目也也会随之之增加。这这些管理理员隶属属于不同同级别的的部门，系统管理员结构也比较复杂。网络管理部门现在开始了解，如果没有一个机制来建立整体网络管理系统，以控制哪些管理员能对哪些设备执行哪些命令，网络基础设施的安全性和可靠性问题是无法避免的。二、设备备安全管管理解决决之道建立网络络设备安安全管理理的首要要出发点点是定义义和规划划设备管管理范围围, 从这这一点我我门又可可以发现现，网络络设备安安全管理理的重点点是定义义设备操操作和管管理权限限。对于新新增加的的管理员员，我们们并不需需要对个个体用户户进行权权限分配配，而是是通过分分配到相相应的组组中，继继承用户户组的权限限定义。通过上面面的例子子，我们们可以发发现网络络安全管管理的核核心问题题就是定定义以下下三个概概念：设设备组、命命令组和和用户组组。设备备组规划划了设备备管理范范围；命命令组制制定了操操作权限限；用户户组定义义了管理理员集合合。根据据BOCC的设备备管理计计划，将将它们组组合在一一起，构构成BOOC所需需要的设设备安全全管理结结构。安全设备备管理包包括身份份验证AAuthhentticaatioon、授授权Auuthoorizzatiion和和记帐AAccoounttingg三个方方面的内内容。例例如：管管理员需需要通过过远程LLogiin或是是本地LLogiin到目目标设备备，能否否进入到到设备上上，首先先要通过过严格的的身份认认证；通通过身份份验证的的管理员员能否执执行相应应的命令令，要通通过检查查该管理理员的操操作权限限；管理理员在设设备上的的操作过过程，可可以通过过记帐方方式记录录在案。AAA的的应用大大大简化化了大型型网络复复杂的安安全管理理问题，提提高了设设备集中中控制强强度。目目前AAAA在企企业网络络中越来来越成为为网络管管理人员员不可缺缺少的网网络管理理工具。Ciscco SSecuure ACSS 3.1以后后的版本本提供的的Sheell壳壳式授权权命令集集提供的的工具可可使用思思科设备备支持的的高效、熟熟悉的TTCP/IP协协议及实实用程序序，来构构建可扩扩展的网络设设备安全全管理系系统。三、Ciiscoo ACCS帮助助BOCC实现设备备安全管管理熟悉Ciiscoo IOOS的用用户知道道，在IIOS软软件中，定义了16个级别权限，即从0到15。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。为改变缺省特权级别，您必须运行enable启用命令，提供用户的enable password和请求的新特权级别。如果口令正确，即可授予新特权级别。请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员可以在事先每台设备上定义新的操作命令权限。例如：可修改这些级别并定义新级别，如图1所示。图1 启启用命令令特权级级别示例例当值班的的管理员员enaablee 100之后，该该管理员员仅仅拥拥有在级级别100规定之之下的授授权命令令集合，其其可以执执行cllearr liine、ddebuug PPPP等等命令。这这种方式式是“分散”特权级级别授权权控制。这这种应用用方式要要求在所所有设备备都要执执行类似似同样的的配置，这这样同一一个管理理员才拥拥有同样样的设备备操作权权限，这这显然会会增加超超级管理理员的工工作负担担。为解决这这种设备备安全管管理的局局限性，CCiscco AACS提提出了可可扩展的的管理方式式-“集中”特权级级别授权权控制，CCiscco AACS通通过启用用TACCACSS，就就可从中中央位置置提供特特权级别别授权控控制。TTACAACS服务器器通常允允许各不不同的管管理员有有自己的的启用口口令并获获得特定定特权级级别。下面探讨讨如何利利用Ciiscoo ACCS实现现设备组组、命令集集、用户户组的定义与与关联。3.1 设备组组定义根据北京京行的网网络结构构，我们们试定义义以下设设备组：(待定)交换机机组-包含含总行大大楼的楼楼层交换换机Ciiscoo65/45；试定义以以下设备备组：(待定)交换机机组-Ciiscoo Caatallystt65000或CCataalysst4xxxx(待定)网络设设备组-CCiscco288113.2SShelll授权权命令集集(Shhelll Auuthoorizzatiion Commmannd SSetss)定义义壳式授权权命令集集可实现现命令授授权的共共享，即即不同用用户或组组共享相相同的命命令集。如如图2所示，CCiscco SSecuure ACSS图形用用户界面面（GUUI）可可独立定定义命令令授权集集。图2 壳壳式命令令授权集集GUII命令集会会被赋予予一个名名称，此此名称可可用于用用户或组组设置的的命令集集。基于职责责的授权权(Roole-bassed Autthorrizaatioon)命令集可可被理解解为职责责定义。实实际上它它定义授授予的命命令并由由此定义义可能采采取的任任务类型型。如果果命令集集围绕BBOC内内部不同同的网络络管理职责责定义，用用户或组组可共享享它们。当当与每个个网络设设备组授授权相结结合时，用户户可为不不同的设设备组分分配不同同职责。BOC网网络设备备安全管管理的命命令集，可可以试定定义如下下：超级用户户命令组组-具有IIOS第第15特特权级别别用户，他他/她可可以执行行所有的的配置cconffiguure、sshoww和Trroubblesshoootinng命令令；故障诊断断命令组-具有所所有Piing、TTracce命令令、shhow命命令和ddebuug命令令，以及及简单的的配置命命令；网络操作作员命令组-具有简简单的TTrouubleeshoootiing命命令和针针对特别别功能的的客户定定制命令令；3.3 用户户组定义义(草案案)用户组的的定义要要根据BBOC网网络管理理人员的的分工组组织构成成来确定定，可以以试定义义如下：运行管理理组-负责责管理控控制大楼楼网络楼楼层设备备，同时时监控BBOC骨骨干网络络设备。人人员包括括分行网网络管理理处的成成员；操作维护护组-对于于负责日日常网络络维护工工作的网网络操作作员，他他们属于于该组。3.4 设备备安全管管理实现现完成了设设备组、命命令组和和用户组组的定义义之后，接接下来的的工作是是在用户户组的定定义中，将将设备组组和命令令组对应应起来。TACAAS+要要求AAAA的CClieentss配置相相应的AAAA命命令，这这样凡是是通过远远程或本本地接入入到目标标设备的的用户都都要通过过严格的的授权，然然后TAACASS+根据据用户组组定义的的权限严严格考察察管理员员所输入入的命令令。四、TAACASS+的审审计跟踪踪功能由于管理理人员的的不规范范操作，可可能会导导致设备备接口的的dowwn，或或是路由由协议的的resset，或或许更严严重的设设备reeloaad。所所以设备备操作审审计功能能是必须须的。我们可以以在网络络相对集集中的地地方设立立一个中中央审计计点，即即是可以以有一个个中央点点来记录录所有网网络管理理活动。这这包括那那些成功功授权和和那些未未能成功功授权的的命令。可可用以下下三个报报告来跟跟踪用户户的整个个管理进进程。· TACAACS记帐报报告可记记录管理理进程的的起始和和结束。在AAA客户机上必须启动记帐功能；· TACAACS管理报报告记录录了设备备上发出出的所有有成功授授权命令令；在AAAA客客户机上上必须启启动记帐帐功能；· 尝试失败败报告记记录了设设备的所所有失败败登录尝尝试和设设备的所所有失败败命令授授权；在在AAAA客户机机上必须须启动记记帐功能能；。图4 审审计示例例登录录当管理员员在某一一设备上上开始一一个新管管理进程程时，它它就被记记录在TTACAACS记帐报报告中。当当管理进进程结束束时，也也创建一一个数值值。Accct-Flaags字字段可区区分这两两个事件件。图5 审审计示例例计帐帐报告节节选 按文本本给出当管理员员获得对对设备的的接入，所所有成功功执行的的命令都都作为TTACAACS记帐请请求送至至TACCACSS服务务器。TTACAACS服务器器随后会会将这些些记帐请请求记录录在TAACACCS管管理报告告中。图图6为管理理进程示示例。图6 审审计示例例记帐帐请求图7 中中显示的的TACCACSS管理理报告节节选以时时间顺序序列出了了用户在在特定设设备上成成功执行行的所有有命令。图7 审审计示例例管理理报告节节选注：本报报告仅包包含成功功授权和和执行的的命令。它它不包括括含排字字错误或或未授权权命令的的命令行行。在图8显显示的示示例中，用用户从执执行某些些授权命命令开始始，然后后就试图图执行用用户未获获得授权权的命令令（配置置终端）。图8 审审计示例例未授授权请求求图8 为为TACCACSS管理理报告节节选，具具体说明明了用户户anddy在网网关机上上执行的的命令。图9 审审计示例例管理理报告节节选当Anddy试图图改变网网关机器器的配置置，TAACACCS服服务器不不给予授授权，且且此试图图记录在在失败试试图报告告中（图图10）。图10 审计示示例失败试试图报告告节选提示：如如果失败败试图报报告中包包括网络络设备组组和设备备命令集集栏，您您可轻松松确定用用户anndy为为何被拒拒绝使用用配置命命令。这三个报报告结合合起来提提供了已已试图和和已授权权的所有有管理活活动的完完整记录录。五、Ciiscoo ACCS在北北京中行行网络中中的配置置方案在各个分分行中心心配置两两台ACCS服务务器（数数据库同同步，保保证配置置冗余），由个分行控制和管内所辖的网络设备。 我们建议议Cissco ACSS安装在在网络FFireewalll保护护的区域域。参见见下图:六、TAACASS+与RRADIIUS协协议比较较网络设备备安全管管理要求求的管理理协议首首先必须须是安全全的。RRADIIUS验验证管理理员身份份过程中中使用的的是明文文格式，而而TACCAS使使用的是是密文格格式，所所以TAACASS可以抵抵御Snnifffer的的窃听。TACAAS使用用TCPP传输协协议，RRADIIUS使使用UDDP传输输协议，当当AAAA的客户户端和服服务器端端之间有有loww sppeedd的链接接时，TTCP机机制可以以保证数数据的可可靠传输输，而UUDP传传输没有有保证。TACAAS和RRADIIUS都都是IEETF的的标准化化协议，CCiscco在TTACAAS基础础上开发发了TAACASS增强型型协议-TTACAAS+，所所以Ciiscoo ACCS可以以同时支支持TAACASS+和RRADIIUS认认证协议议。RADIIUS对对授权AAuthhoriizattionn和记帐帐Acccounntinng功能能有限，而而Cissco的的TACCAS+的授权权能力非非常强，上上面介绍绍的RBBAC（基基于职责责的授权权控制）是是TACCAS+所特有有的。同同时TAACASS+的记记帐内容容可以通通过管理理员制定定AV值值，来客客户花客客户所需需要的记记帐报告告。在BOCC这样复复杂的网网络环境境，我们们建议启启动Ciiscoo ACCS的TTACAAS+和和RADDIUSS服务。对于Cisco的网络设备，我们强烈加以采用TACAS+ AAA协议；对于非Cisco网络设备，建议使用RADIUS协议。七、Ciiscoo ACCS其它它应用环环境除了设备备安全管管理使用用AAAA认证之之外，我我们还可可以在RRAS-远远程访问问接入服服务、VVPN接接入安全全认证控控制、PPIX防防火墙IIn/OOut控控制、有有线/无无线LAAN的8802.1x安安全接入入认证、VVOIPP记帐服服务等领域使用用Cissco ACSS。Ciscco AACS可可以结合合第三方方数据库库比如SSybaase、Oracle和Microsoft NT Domain Database、Microsoft SQL。同时Cisco ACS支持与OTP-One-time-password集成，为用户提供更为安全的身份认证方式，该功能在数据中心有应用实例。9