思科ACS网络设备安全管理方案样本.doc

思科ACS网络设备安全管理方案 一、网络设备安全管理需求概述 就北京中行网络布局来看，网络基础设施现包含几百个网络设备。在网络上支撑业务日益关键，对网络安全和可靠性要求更为严格。 能够估计是，大型网络管理需要多个网络管理工具协调工作，不一样网络管理协议、工具和技术将各尽其力，同时发挥着应有作用。比如：对于Telnet网络管理手段。有些人可能会认为，以后这些传统设备管理手段，会降低使用甚或完全消失。但实际上，Telnet命令行设备管理仍因其速度、强大功效、熟悉程度和方便性而广受欢迎。尽管其它网络设备管理方法中有优异之处，基于Telnet管理在未来仍然会是一个常见管理方法。 伴随BOC网络设备数量增加，为维持网络运作所需管理员数目也会随之增加。这些管理员隶属于不一样等级部门，系统管理员结构也比较复杂。网络管理部门现在开始了解，假如没有一个机制来建立整体网络管理系统，以控制哪些管理员能对哪些设备实施哪些命令，网络基础设施安全性和可靠性问题是无法避免。 二、设备安全管了处理之道 建立网络设备安全管理首要出发点是定义和计划设备管理范围, 从这一点我门又能够发觉，网络设备安全管理关键是定义设备操作和管理权限。对于新增加管理员，我们并不需要对个体用户进行权限分配，而是经过分配到对应组中，继承用户组权限定义。 经过上面例子，我们能够发觉网络安全管理关键问题就是定义以下三个概念：设备组、命令组和用户组。设备组计划了设备管理范围；命令组制订了操作权限；用户组定义了管理员集合。依据BOC设备管理计划，将它们组合在一起，组成BOC所需要设备安全管理结构。 安全设备管理包含身份验证Authentication、授权Authorization和记帐Accounting三个方面内容。比如：管理员需要经过远程Login或是当地Login到目标设备，能否进入到设备上，首先要经过严格身份认证；经过身份验证管理员能否实施对应命令，要经过检验该管理员操作权限；管理员在设备上操作过程，能够经过记帐方法统计在案。 AAA应用大大简化了大型网络复杂安全管理问题，提升了设备集中控制强度。现在AAA在企业网络中越来越成为网络管理人员不可缺乏网络管理工具。 Cisco Secure ACS 3.1以后版本提供Shell壳式授权命令集提供工具可使用思科设备支持高效、熟悉TCP/IP协议及实用程序，来构建可扩展网络设备安全管理系统。 三、Cisco ACS帮助BOC实现设备安全管理 熟悉Cisco IOS用户知道，在IOS软件中，定义了16个等级权限，即从0到15。在缺省配置下，首次连接到设备命令行后，用户特权等级就设置为1。为改变缺省特权等级，您必需运行enable启用命令，提供用户enable password和请求新特权等级。假如口令正确，即可授予新特权等级。请注意可能会针对设备上每个权利等级而实施命令被当地存放于那一设备配置中。超级管理员能够在事先每台设备上定义新操作命令权限。比如：可修改这些等级并定义新等级，图1所表示。 图1 启用命令特权等级示例 当值班管理员enable 10以后，该管理员仅仅拥有在等级10要求之下授权命令集合，其能够实施clear line、debug PPP等命令。这种方法是“分散”特权等级授权控制。这种应用方法要求在全部设备全部要实施类似一样配置，这么同一个管理员才拥有一样设备操作权限，这显然会增加超级管理员工作负担。 为处理这种设备安全管理不足，Cisco ACS提出了可扩展管理方法---“集中”特权等级授权控制，Cisco ACS经过启用TACACS＋，就可从中央位置提供特权等级授权控制。TACACS＋服务器通常许可各不一样管理员有自己启用口令并取得特定特权等级。 下面探讨怎样利用Cisco ACS实现设备组、命令集、用户组定义和关联。 3.1 设备组定义 依据北京行网络结构，我们试定义以下设备组： (待定)交换机组---包含总行大楼楼层交换机Cisco65/45； 试定义以下设备组： (待定)交换机组---Cisco Catalyst6500或Catalyst4xxx (待定)网络设备组---Cisco2811 3.2 Shell授权命令集(Shell Authorization Command Sets)定义 壳式授权命令集可实现命令授权共享，即不一样用户或组共享相同命令集。图2所表示，Cisco Secure ACS图形用户界面（GUI）可独立定义命令授权集。 图2 壳式命令授权集GUI 命令集会被给予一个名称，此名称可用于用户或组设置命令集。 基于职责授权(Role-based Authorization) 命令集可被了解为职责定义。实际上它定义授予命令并由此定义可能采取任务类型。假如命令集围绕BOC内部不一样网络管理职责定义，用户或组可共享它们。当和每个网络设备组授权相结合时，用户可为不一样设备组分配不一样职责。 BOC网络设备安全管理命令集，能够试定义以下： 超级用户命令组---含有IOS第15特权等级用户，她/她能够实施全部配置configure、show和Troubleshooting命令； 故障诊疗命令组---含有全部Ping、Trace命令、show命令和debug命令，和简单配置命令； 网络操作员命令组---含有简单Troubleshooting命令和针对尤其功效用户定制命令； 3.3 用户组定义(草案) 用户组定义要依据BOC网络管理人员分工组织组成来确定，能够试定义以下： 运行管理组---负责管理控制大楼网络楼层设备，同时监控BOC骨干网络设备。人员包含分行网络管理处组员； 操作维护组---对于负责日常网络维护工作网络操作员，她们属于该组。 3.4 设备安全管理实现 完成了设备组、命令组和用户组定义以后，接下来工作是在用户组定义中，将设备组和命令组对应起来。 TACAS+要求AAAClients配置对应AAA命令，这么通常经过远程或当地接入到目标设备用户全部要经过严格授权，然后TACAS+依据用户组定义权限严格考察管理员所输入命令。 四、TACAS+审计跟踪功效 因为管理人员不规范操作，可能会造成设备接口down，或是路由协议reset，或许更严重设备reload。所以设备操作审计功效是必需。 我们能够在网络相对集中地方设置一个中央审计点，即是能够有一个中央点来统计全部网络管理活动。这包含那些成功授权和那些未能成功授权命令。可用以下三个汇报来跟踪用户整个管理进程。 · TACACS＋记帐汇报可统计管理进程起始和结束。在AAA用户机上必需开启记帐功效； · TACACS＋管理汇报统计了设备上发出全部成功授权命令；在AAA用户机上必需开启记帐功效； · 尝试失败汇报统计了设备全部失败登录尝试和设备全部失败命令授权；在AAA用户机上必需开启记帐功效；。 图4 审计示例——登录 当管理员在某一设备上开始一个新管理进程时，它就被统计在TACACS＋记帐汇报中。当管理进程结束时，也创建一个数值。Acct-Flags字段可区分这两个事件。 图5 审计示例——计帐汇报节选 [按文本给出] 当管理员取得对设备接入，全部成功实施命令全部作为TACACS＋记帐请求送至TACACS＋服务器。TACACS＋服务器随即会将这些记帐请求统计在TACACS＋管理汇报中。图6为管理进程示例。 图6 审计示例——记帐请求 图7 中显示TACACS＋管理汇报节选以时间次序列出了用户在特定设备上成功实施全部命令。 图7 审计示例——管理汇报节选 注：本汇报仅包含成功授权和实施命令。它不包含含排字错误或未授权命令命令行。 在图8显示示例中，用户从实施一些授权命令开始，然后就试图实施用户未取得授权命令（配置终端）。 图8 审计示例——未授权请求 图8 为TACACS＋管理汇报节选，具体说明了用户andy在网关机上实施命令。 图9 审计示例——管理汇报节选 当Andy试图改变网关机器配置，TACACS＋服务器不给授权，且此试图统计在失败试图汇报中（图10）。 图10 审计示例——失败试图汇报节选 提醒：假如失败试图汇报中包含网络设备组和设备命令集栏，您可轻松确定用户andy为何被拒绝使用配置命令。 这三个汇报结合起来提供了已试图和已授权全部管理活动完整统计。 五、Cisco ACS在北京中行网络中配置方案 在各个分行中心配置两台ACS服务器（数据库同时，确保配置冗余），由个分行控制和管内所辖网络设备。 我们提议Cisco ACS安装在网络Firewall保护区域。参见下图: 六、TACAS+和RADIUS协议比较 网络设备安全管理要求管理协议首先必需是安全。RADIUS验证管理员身份过程中使用是明文格式，而TACAS使用是密文格式，所以TACAS能够抵御Sniffer窃听。 TACAS使用TCP传输协议，RADIUS使用UDP传输协议，当AAA用户端和服务器端之间有low speed链接时，TCP机制能够确保数据可靠传输，而UDP传输没有确保。 TACAS和RADIUS全部是IETF标准化协议，Cisco在TACAS基础上开发了TACAS增强型协议---TACAS+，所以Cisco ACS能够同时支持TACAS+和RADIUS认证协议。 RADIUS对授权Authorization和记帐Accounting功效有限，而CiscoTACAS+授权能力很强，上面介绍RBAC（基于职责授权控制）是TACAS+所特有。同时TACAS+记帐内容能够经过管理员制订AV值，来用户花用户所需要记帐汇报。 在BOC这么复杂网络环境，我们提议开启Cisco ACSTACAS+和RADIUS服务。对于Cisco网络设备，我们强烈加以采取TACAS+ AAA协议；对于非Cisco网络设备，提议使用RADIUS协议。 七、Cisco ACS其它应用环境 除了设备安全管理使用AAA认证之外，我们还能够在RAS---远程访问接入服务、VPN接入安全认证控制、PIX防火墙In/Out控制、有线/无线LAN802.1x安全接入认证、VOIP记帐服务等领域使用Cisco ACS。 Cisco ACS能够结合第三方数据库比如Sybase、Oracle和Microsoft NT Domain Database、Microsoft SQL。同时Cisco ACS支持和OTP---One-time-password集成，为用户提供更为安全身份认证方法，该功效在数据中心有应用实例。