思科ACS網(wǎng)絡設備安全管理方案說明

1、 .DOC資料. 思科ACS網(wǎng)絡設備安全管理方案一、網(wǎng)絡設備安全管理需求概述就北京中行網(wǎng)絡布局來看，網(wǎng)絡的基礎設施現(xiàn)包含幾百個網(wǎng)絡設備。在網(wǎng)絡上支撐的業(yè)務日益關鍵，對網(wǎng)絡安全和可靠性要求更為嚴格?？梢灶A測的是，大型網(wǎng)絡管理需要多種網(wǎng)絡管理工具協(xié)調工作，不同的網(wǎng)絡管理協(xié)議、工具和技術將各盡其力，同時發(fā)揮著應有的作用。比如：對于Telnet網(wǎng)絡管理手段。有些人可能會認為，今后這些傳統(tǒng)的設備管理手段，會減少使用甚或完全消失。但實際上，Telnet命令行設備管理仍因其速度、強大功能、熟悉程度和方便性而廣受歡迎。盡管其他網(wǎng)絡設備管理方式中有先進之處，基于Telnet的管理在未來依然會是一種常用管理方式。

2、隨著BOC網(wǎng)絡設備數(shù)量的增加，為維持網(wǎng)絡運作所需的管理員數(shù)目也會隨之增加。這些管理員隸屬于不同級別的部門，系統(tǒng)管理員結構也比較復雜。網(wǎng)絡管理部門現(xiàn)在開始了解，如果沒有一個機制來建立整體網(wǎng)絡管理系統(tǒng)，以控制哪些管理員能對哪些設備執(zhí)行哪些命令，網(wǎng)絡基礎設施的安全性和可靠性問題是無法避免的。二、設備安全管理解決之道建立網(wǎng)絡設備安全管理的首要出發(fā)點是定義和規(guī)劃設備管理范圍, 從這一點我門又可以發(fā)現(xiàn)，網(wǎng)絡設備安全管理的重點是定義設備操作和管理權限。對于新增加的管理員，我們并不需要對個體用戶進行權限分配，而是通過分配到相應的組中，繼承用戶組的權限定義。通過上面的例子，我們可以發(fā)現(xiàn)網(wǎng)絡安全管理的核心問題就是

3、定義以下三個概念：設備組、命令組和用戶組。設備組規(guī)劃了設備管理范圍；命令組制定了操作權限；用戶組定義了管理員集合。根據(jù)BOC的設備管理計劃，將它們組合在一起，構成BOC所需要的設備安全管理結構。安全設備管理包括身份驗證Authentication、授權Authorization和記帳Accounting三個方面的內容。例如：管理員需要通過遠程Login或是本地Login到目標設備，能否進入到設備上，首先要通過嚴格的身份認證；通過身份驗證的管理員能否執(zhí)行相應的命令，要通過檢查該管理員的操作權限；管理員在設備上的操作過程，可以通過記帳方式記錄在案。AAA的應用大大簡化了大型網(wǎng)絡復雜的安全管理問題，

4、提高了設備集中控制強度。目前AAA在企業(yè)網(wǎng)絡中越來越成為網(wǎng)絡管理人員不可缺少的網(wǎng)絡管理工具。Cisco Secure ACS 3.1以后的版本提供的Shell殼式授權命令集提供的工具可使用思科設備支持的高效、熟悉的TCP/IP協(xié)議及實用程序，來構建可擴展的網(wǎng)絡設備安全管理系統(tǒng)。三、Cisco ACS幫助BOC實現(xiàn)設備安全管理熟悉Cisco IOS的用戶知道，在IOS軟件中，定義了16個級別權限，即從0到15。在缺省配置下，初次連接到設備命令行后，用戶的特權級別就設置為1。為改變缺省特權級別，您必須運行enable啟用命令，提供用戶的enable password和請求的新特權級別。如果口令正確

5、，即可授予新特權級別。請注意可能會針對設備上每個權利級別而執(zhí)行的命令被本地存儲于那一設備配置中。超級管理員可以在事先每臺設備上定義新的操作命令權限。例如：可修改這些級別并定義新級別，如圖1所示。圖1 啟用命令特權級別示例當值班的管理員enable 10之后，該管理員僅僅擁有在級別10規(guī)定之下的授權命令集合，其可以執(zhí)行clear line、debug PPP等命令。這種方式是“分散”特權級別授權控制。這種應用方式要求在所有設備都要執(zhí)行類似同樣的配置，這樣同一個管理員才擁有同樣的設備操作權限，這顯然會增加超級管理員的工作負擔。為解決這種設備安全管理的局限性，Cisco ACS提出了可擴展的管理方式

6、-“集中”特權級別授權控制，Cisco ACS通過啟用TACACS，就可從中央位置提供特權級別授權控制。TACACS服務器通常允許各不同的管理員有自己的啟用口令并獲得特定特權級別。下面探討如何利用Cisco ACS實現(xiàn)設備組、命令集、用戶組的定義與關聯(lián)。3.1 設備組定義根據(jù)北京行的網(wǎng)絡結構，我們試定義以下設備組：(待定)交換機組-包含總行大樓的樓層交換機Cisco65/45；試定義以下設備組：(待定)交換機組-Cisco Catalyst6500或Catalyst4xxx(待定)網(wǎng)絡設備組-Cisco28113.2 Shell授權命令集(Shell Authorization Command

7、 Sets)定義殼式授權命令集可實現(xiàn)命令授權的共享，即不同用戶或組共享相同的命令集。如圖2所示，Cisco Secure ACS圖形用戶界面（GUI）可獨立定義命令授權集。圖2 殼式命令授權集GUI命令集會被賦予一個名稱，此名稱可用于用戶或組設置的命令集。基于職責的授權(Role-based Authorization)命令集可被理解為職責定義。實際上它定義授予的命令并由此定義可能采取的任務類型。如果命令集圍繞BOC內部不同的網(wǎng)絡管理職責定義，用戶或組可共享它們。當與每個網(wǎng)絡設備組授權相結合時，用戶可為不同的設備組分配不同職責。BOC網(wǎng)絡設備安全管理的命令集，可以試定義如下：超級用戶命令組-具

8、有IOS第15特權級別用戶，他/她可以執(zhí)行所有的配置configure、show和Troubleshooting命令；故障診斷命令組-具有所有Ping、Trace命令、show命令和debug命令，以及簡單的配置命令；網(wǎng)絡操作員命令組-具有簡單的Troubleshooting命令和針對特別功能的客戶定制命令；3.3 用戶組定義(草案)用戶組的定義要根據(jù)BOC網(wǎng)絡管理人員的分工組織構成來確定，可以試定義如下：運行管理組-負責管理控制大樓網(wǎng)絡樓層設備，同時監(jiān)控BOC骨干網(wǎng)絡設備。人員包括分行網(wǎng)絡管理處的成員；操作維護組-對于負責日常網(wǎng)絡維護工作的網(wǎng)絡操作員，他們屬于該組。3.4 設備安全管理實現(xiàn)完

9、成了設備組、命令組和用戶組的定義之后，接下來的工作是在用戶組的定義中，將設備組和命令組對應起來。TACAS+要求AAA的Clients配置相應的AAA命令，這樣凡是通過遠程或本地接入到目標設備的用戶都要通過嚴格的授權，然后TACAS+根據(jù)用戶組定義的權限嚴格考察管理員所輸入的命令。四、TACAS+的審計跟蹤功能由于管理人員的不規(guī)范操作，可能會導致設備接口的down，或是路由協(xié)議的reset，或許更嚴重的設備reload。所以設備操作審計功能是必須的。我們可以在網(wǎng)絡相對集中的地方設立一個中央審計點，即是可以有一個中央點來記錄所有網(wǎng)絡管理活動。這包括那些成功授權和那些未能成功授權的命令?？捎靡韵氯?/p>

10、個報告來跟蹤用戶的整個管理進程。TACACS記帳報告可記錄管理進程的起始和結束。在AAA客戶機上必須啟動記帳功能；TACACS管理報告記錄了設備上發(fā)出的所有成功授權命令；在AAA客戶機上必須啟動記帳功能；嘗試失敗報告記錄了設備的所有失敗登錄嘗試和設備的所有失敗命令授權；在AAA客戶機上必須啟動記帳功能；。圖4 審計示例登錄當管理員在某一設備上開始一個新管理進程時，它就被記錄在TACACS記帳報告中。當管理進程結束時，也創(chuàng)建一個數(shù)值。Acct-Flags字段可區(qū)分這兩個事件。圖5 審計示例計帳報告節(jié)選 按文本給出當管理員獲得對設備的接入，所有成功執(zhí)行的命令都作為TACACS記帳請求送至TACAC

11、S服務器。TACACS服務器隨后會將這些記帳請求記錄在TACACS管理報告中。圖6為管理進程示例。圖6 審計示例記帳請求圖7 中顯示的TACACS管理報告節(jié)選以時間順序列出了用戶在特定設備上成功執(zhí)行的所有命令。圖7 審計示例管理報告節(jié)選注：本報告僅包含成功授權和執(zhí)行的命令。它不包括含排字錯誤或未授權命令的命令行。在圖8顯示的示例中，用戶從執(zhí)行某些授權命令開始，然后就試圖執(zhí)行用戶未獲得授權的命令（配置終端）。圖8 審計示例未授權請求圖8 為TACACS管理報告節(jié)選，具體說明了用戶andy在網(wǎng)關機上執(zhí)行的命令。圖9 審計示例管理報告節(jié)選當Andy試圖改變網(wǎng)關機器的配置，TACACS服務器不給予授權

12、，且此試圖記錄在失敗試圖報告中（圖10）。圖10 審計示例失敗試圖報告節(jié)選提示：如果失敗試圖報告中包括網(wǎng)絡設備組和設備命令集欄，您可輕松確定用戶andy為何被拒絕使用配置命令。這三個報告結合起來提供了已試圖和已授權的所有管理活動的完整記錄。五、Cisco ACS在北京中行網(wǎng)絡中的配置方案在各個分行中心配置兩臺ACS服務器（數(shù)據(jù)庫同步，保證配置冗余），由個分行控制和管內所轄的網(wǎng)絡設備。 我們建議Cisco ACS安裝在網(wǎng)絡Firewall保護的區(qū)域。參見下圖:六、TACAS+與RADIUS協(xié)議比較網(wǎng)絡設備安全管理要求的管理協(xié)議首先必須是安全的。RADIUS驗證管理員身份過程中使用的是明文格式，而

13、TACAS使用的是密文格式，所以TACAS可以抵御Sniffer的竊聽。TACAS使用TCP傳輸協(xié)議，RADIUS使用UDP傳輸協(xié)議，當AAA的客戶端和服務器端之間有l(wèi)ow speed的鏈接時，TCP機制可以保證數(shù)據(jù)的可靠傳輸，而UDP傳輸沒有保證。TACAS和RADIUS都是IETF的標準化協(xié)議，Cisco在TACAS基礎上開發(fā)了TACAS增強型協(xié)議-TACAS+，所以Cisco ACS可以同時支持TACAS+和RADIUS認證協(xié)議。RADIUS對授權Authorization和記帳Accounting功能有限，而Cisco的TACAS+的授權能力非常強，上面介紹的RBAC（基于職責的授權控制）是TACAS+所特有的。同時TACAS+的記帳內容可以通過管理員制定AV值，來客戶花客戶所需要的記帳報告。在BOC這樣復雜的網(wǎng)絡環(huán)境，我們建議啟動Cisco ACS的TACAS+和RADIUS服務。對于Cisco的網(wǎng)絡設備，我們強烈加以采用TACAS+ AAA協(xié)議；對于非Cisco網(wǎng)絡設備，建議使用RADIUS協(xié)議。七、Cisco ACS其它應用環(huán)境除了設備安全管理使用AAA認證之外，我們還可以在RAS-遠程訪問接入服務、VPN