CiscoACS网络安全设备管理

1、思科AC洞络设备安全管理方案一、网络设备安全管理需求概述就北京中行网络布局来看，网络的基础设施现包含几百个网络设备。在网络 上支撑的业务日益关键，对网络安全和可靠性要求更为严格。可以预测的是，大型网络管理需要多种网络管理工具协调工作，不同的网络 管理协议、工具和技术将各尽其力，同时发挥着应有的作用。比如：对于Telnet 网络管理手段。有些人可能会认为，今后这些传统的设备管理手段，会减少使用 甚或完全消失。但实际上，Telnet命令行设备管理仍因其速度、强大功能、熟 悉程度和方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处，基于 Telnet的管理在未来依然会是一种常用管理方式。随着BO

2、C络设备数量的增加，为维持网络运作所需的管理员数目也会随之 增加。这些管理员隶属于不同级别的部门， 系统管理员结构也比较复杂。网络管 理部门现在开始了解，如果没有一个机制来建立整体网络管理系统，以控制哪些 管理员能对哪些设备执行哪些命令，网络基础设施的安全性和可靠性问题是无法 避免的。二、设备安全管理解决之道建立网络设备安全管理的首要出发点是 定义和规划设备管理范围，从这一 点我门又可以发现，网络设备安全管理的重点是定义设备操作和管理权限。对于 新增加的管理员，我们并不需要对个体用户进行权限分配，而是通过分配到相应 的组中，继承用户组的权限定义。通过上面的例子，我们可以发现网络安全管理的核心问

3、题就是定义以下三个 概念：设备组、命令组和用户组。设备组规划了设备管理范围；命令组制定了操 作权限；用户组定义了管理员集合。根据BOC勺设备管理计划，将它们组合在一 起，构成BOCT需要的设备安全管理结构。安全设备管理包括身份验证 Authentication 、授权Authorization 和记帐 Accounting三个方面的内容。例如：管理员需要通过远程Login或是本地Login 到目标设备，能否进入到设备上，首先要通过严格的身份认证；通过身份验证的 管理员能否执行相应的命令，要通过检查该管理员的操作权限；管理员在设备上 的操作过程，可以通过记帐方式记录在案。AAA的应用大大简化了大

4、型网络复杂的安全管理问题，提高了设备集中控制 强度。目前 AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工 具。Cisco Secure ACS3.1以后的版本提供的Shell壳式授权命令集提供的工具 可使用思科设备支持的高效、熟悉的 TCP/IP协议及实用程序，来构建可扩展的网络设备安全管理系统三、Cisco ACS帮助BO以现设备安全管理 TOC o 1-5 h z 熟悉Cisco IOS的用户知道，在IOS软件中，定义了 16个级别权限，即从0 到15。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。为改变缺省特权级别，您必须运行 enable启用命令，提供用

5、户的enable password和请求的新特权级别。如果口令正确，即可授予新特权级别。请注意 可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员可以在事先每台设备上定义新的操作命令权限。例如：可修改这些级别并定义新级别，如图1所示。图1启用命令特权级别示例当值班的管理员enable 10之后，该管理员仅仅拥有在级别10规定之下的授 权命令集合，其可以执行clear line 、debug PPP等命令。这种方式是“分散” 特权级别授权控制。这种应用方式要求在所有设备都要执行类似同样的配置，这样同一个管理员才拥有同样的设备操作权限， 这显然会增加超级管理员的工作负

6、担。为解决这种设备安全管理的局限性，Cisco ACSfg出了可扩展的管理方式-“集中”特权级别授权控制，Cisco ACS!过启用TACACS,就可从中央位置提 供特权级别授权控制。TACACS服务器通常允许各不同的管理员有自己的启用口 令并获得特定特权级别。下面探讨如何利用Cisco ACS实现设备组、命令集、用户组的定义与关联。设备组定义根据北京行的网络结构，我们试定义以下设备组：（待定）交换机组-包含总行大楼的楼层交换机 Cisco65/45 ;试定义以下设备组：（待定）交换机组-Cisco Catalyst6500或 Catalyst4xxx（待定）网络设备组-Cisco2811Sh

7、ell授权命令集（Shell Authorization Command Sets）定义壳式授权命令集可实现命令授权的共享，即不同用户或组共享相同的命令集 如图2所示，Cisco Secure ACS图形用户界面（GUI）可独立定义命令授权集.图2壳式命令授权集GUINhcll Uouiiiiatid Authoriiatiou Scl帅CM4：llllllffi!lil |f pppirtr餐DwF a null IjHviita! -v T*Iadf1金廿用廿11,I 取F,：匕TW上Md 不丽4 ft r-e ?imrund | 命令集会被赋予一个名称，此名称可用于用户或组设置的命令集基

8、于职责的授权(Role-based Authorization)命令集可被理解为职责定义。实际上它定义授予的命令并由此定义可能采取的任 务类型。如果命令集围绕BO6J部不同的网络管理职责定义，用户或组可共享它 们。当与每个网络设备组授权相结合时，用户可为不同的设备组分配不同职责。BOCR络设备安全管理的命令集，可以试定义如下：超级用户命令组-具有IOS第15特权级别用户，他/她可以执行所有的配置 configure、show和 Troubleshooting 命令；故障诊断命令组-具有所有Ping、Trace命令、show命令和debug命令，以及简单的配置命令；网络操作员命令组-具有简单的T

9、roubleshooting 命令和针对特别功能的 客户定制命令；用户组定义(草案)用户组的定义要根据BOCW络管理人员的分工组织构成来确定，可以试定义 如下：运行管理组-负责管理控制大楼网络楼层设备，同时监控BOCt干网络设备。人员包括分行网络管理处的成员；操作维护组-对于负责日常网络维护工作的网络操作员，他们属于该组。设备安全管理实现完成了设备组、命令组和用户组的定义之后，接下来的工作是在用户组的定 义中，将设备组和命令组对应起来。TACAS+求AAA的Clients配置相应的AAA命令，这样凡是通过远程或本地 接入到目标设备的用户都要通过严格的授权，然后 TACAS+据用户组定义的权 限

10、严格考察管理员所输入的命令。四、TACAS的审计跟踪功能由于管理人员的不规范操作，可能会导致设备接口的down,或是路由协议的 reset ,或许更严重的设备reload。所以设备操作审计功能是必须的。我们可以在网络相对集中的地方设立一个中央审计点，即是可以有一个中央点来记录所有网络管理活动。这包括那些成功授权和那些未能成功授权的命令。可用以下三个报告来跟踪用户的整个管理进程。? TACACS记帐报告可记录管理进程的起始和结束。在AAA客户机上必须启动 记帐功能；? TACACS管理报告记录了设备上发出的所有成功授权命令；在AA蛤户机上必须启动记帐功能；? 尝试失败报告记录了设备的所有失败登录

11、尝试和设备的所有失败命令授权； 在AAA客户机上必须启动记帐功能；。图4审计示例一一登录当管理员在某一设备上开始一个新管理进程时,它就被记录在TACACS记帐报告中。当管理进程结束时，也创建一个数值。 Acct-Flags字段可区分这两个 事件。图5审计示例一一计帐报告节选按文本给出氏1如Idto: .3tomt .rjnllp*工4U 51 S：卑知nsnV*Jt 口 K!ibtHL-re&cJl- 0Q j当管理员获得对设备的接入，所有成功执行白命令都作为TACAC S记帐请求 送至TACAC$服务器。TACAC$服务器随后会将这些记帐请求记录在 TACACS 管理报告中。图6为管理进程示

12、例。图6审计示例一一记帐请求三口段口 近m SEiaro rd i * *- Ga t =iua y( E 1g1Silt st cz-nf1 -n iioirmaiids t 二口e pr, 1 l.ne . Iir- J. itf ith. zrJTL./ ZLA -dat-=：Wa 甘uc1口 t io k AS： j Lite rt a ce Li J.DLA - Cay2 dei t nj-1 f ) ettppp =uLh=nL Loa匚 1 cn 二La匚图7中显示的TACAC$管理报告节选以时间顺序列出了用户在特定设备上 成功执行的所有命令。图7审计示例一一管理报告节选has*

13、- hk 蟠回pm-IPHMJ，u-、“T La 。山中mqItfUOO I j T4 53 由办脾 E &ifiE也闫 Ml LMlidfwar WmICmuI11 Lfi15 55U7 jn.dy亡田业& cfiiiA! tsUJ? .H1Z Vi维宙ifNeECanal；111,2603 1j2J3 0心D-LiJ 1工厘j空1A-G1JW5W *34.:.一! 一j 丁员注：本报告仅包含成功授权和执行的命令。它不包括含排字错误或未授权命令的 命令行。在图8显示的示例中，用户从执行某些授权命令开始，然后就试图执行用户 未获得授权的命令（配置终端）。图8审计示例 未授权请求图9审计示例一一

14、管理报告节选B吗tid 町15 |n-.Mm式iLrfl m -tifiv-aMf Ewl当Andy试图改变网关机器的配置，TACACS服务器不给予授权，且此试图 记录在失败试图报告中（图10）。图10审计示例一一失败试图报告节选提示：如果失败试图报告中包括网络设备组和设备命令集栏，您可轻松确定 用户andy为何被拒绝使用配置命令。这三个报告结合起来提供了已试图和已授权的所有管理活动的完整记录。五、Cisco ACS在北京中行网络中的配置方案在各个分行中心配置两台ACSK务器（数据库同步，保证配置冗余），由个 分行控制和管内所辖的网络设备。我们建议Cisco ACS安装在网络Firewall保

15、护的区域。参见下图：Re$iun 1Rey kjr 2FkewallRegion 之六、TACAS与RADIU砌、议比较网络设备安全管理要求的管理协议首先必须是安全的。 RADIUS佥证管理员身 份过程中使用的是明文格式，而TACA皱用的是密文格式，所以TACAST以抵御 Sniffer 的窃听。TACASS用TCP传输协、议,RADIUS用UDP专输协议，当AAA的客户端和服 务器端之间有low speed的链接时，TCP机制可以保证数据的可靠传输，而 UDP 传输没有保证。TACAS口 RADIUSTB是IETF的标准化协议，Cisco在TACASS础上开发了 TACAS 增强型协议-TA

16、CAS+,所以Cisco ACS可以同时支持TACAS+ RADIU纵证协RADIUS对授权 Authorization和记帐Accounting 功能有限，而 Cisco的TACAS的授权能力非常强，上面介绍的 RBAC（基于职责的授权控制）是 TACAS+ 所特有的。同时TACAS的记帐内容可以通过管理员制定 AV值，来客户花客户所 需要的记帐报告。在BOC&样复杂的网络环境，我们建议启动Cisco ACS勺TACAS+ RADIUS务。 对于Cisco的网络设备，我们强烈加以采用 TACAS+ AAA、议；Xt于非Cisco网络设备，建议使用RADIU的、议。七、Cisco ACS其它应用环境除了设备安全管理使用 A