思科ACS网络设备安全管理方案

11419日ACSACS文档仅供参考文档仅供参考22419日ACS一、网络设备安全治理需求概述就北京中行网络布局来看,网络的根底设施现包含几百个网络设备。在网络上支撑的业务日益关键,对网络安全和牢靠性要求更为严格。能够推测的是,大型网络治理需要多种网络治理工具协调工作,不同的网络治理协议、工具和技术将各尽其力,同时发挥着应有的Telnet这些传统的设备治理手段,会削减使用甚或完全消逝。但实际上,Telnet性而广受欢送。尽管其它网络设备治理方式中有先进之处,基于Telnet随着BOC数目也会随之增加。这些治理员隶属于不同级别的部门,系统治理员构造也比较简单。网络治理部门现在开头了解,假设没有一个机制来建立整体网络治理系统,以掌握哪些治理员能对哪些设备执行哪些命令,网络根底设施的安全性和牢靠性问题是无法避开的。二、设备安全治理解决之道建立网络设备安全治理的首要动身点是定义和规划设备治理范围,从这一点我门又能够觉察,网络设备安全治理的重点是定义设备操作和治理权限。对于增加的治理员,我们并不需要对个体用户进展权限安排,而是经过安排到相应的组中,继承用户组的权限定义。经过上面的例子,我们能够觉察网络安全治理的核心问题就是定义以下三个概念:设备组、命令组和用户组。设备组规划了设备治理范围;命令组制定了操作权限;用户组定义了治理员集合。依据BOCBOC备安全治理构造。AuthenticationAuthorization和记帐Accounting三个方面的内容。例如:治理LoginLogin行相应的命令,要经过检查该治理员的操作权限;治理员在设备上的操作过程,能够经过记帐方式记录在案。AAA设备集中掌握强度。当前AAA在企业网络中越来越成为网络治理人员不行缺少的网络治理工具。CiscoSecureACS3.1Shell令集供给的工具可使用思科设备支持的高效、生疏的TCP/IP协议及有用程序,来构建可扩展的网络设备安全治理系统。三、CiscoACSBOC生疏CiscoIOS的用户知道,在IOS16015。在缺省配置下,初次连接到设备命令行后,用1。为转变缺省特权级别,您必需运行enable启用命令,供给用户的enablepassword级别。假设口令正确,即可授予特权级别。请留意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级治理员能够在事先每台设备上定义的操作命令权限。例如:11启用命令特权级别例如enable1010规定之下的授权命令集合,其能够执行clearline、debugPPP命令。这种方式是”分散”特权级别授权掌握。这种应用方式要求在全部设备都要执行类似同样的配置,这样同一个治理员才拥有同样的设备操作权限,这明显会增加超级治理员的工作负担。为解决这种设备安全治理的局限性,CiscoACS的治理方式---”集中”特权级别授权掌握,CiscoACSTACACS＋,就可从中心位置供给特权级别授权掌握。TACACS＋效劳器一般允许各不同的治理员有自己的启用口令并获得特定特权级别。下面探讨如何利用CiscoACS定义与关联。设备组定义依据北京行的网络构造,我们试定义以下设备组:(待定)交换机组---包含总行大楼的楼层交换机Cisco65/45;试定义以下设备组:(待定)交换机组---CiscoCatalyst6500或Catalyst4xxx(待定)网络设备组---Cisco2811Shell授权命令集(ShellAuthorizationCommandSets)义壳式授权命令集可实现命令授权的共享,即不同用户或组共享2,CiscoSecureACS(GUI)可独立定义命令授权集。2GUI命令集会被赐予一个名称,此名称可用于用户或组设置的命令集。(Role-basedAuthorization)命令集可被理解为职责定义。实际上它定义授予的命令并由此定义可能实行的任务类型。假设命令集围绕BOC职责定义,用户或组可共享它们。当与每个网络设备组授权相结合时,用户可为不同的设备组安排不同职责。BOC超级用户命令组---具有IOS15/她能够执行全部的配置configure、show和Troubleshooting故障诊断命令组---具有全部Ping、Traceshowdebug网络操作员命令组---具有简洁的Troubleshooting对特别功能的客户定制命令;用户组定义(草案)BOC能够试定义如下:运行治理组---负责治理掌握大楼网络楼层设备,同时监控BOC骨干网络设备。人员包括分行网络治理处的成员;操作维护组---对于负责日常网络维护工作的网络操作员,她们属于该组。设备安全治理实现完成了设备组、命令组和用户组的定义之后,接下来的工作是在用户组的定义中,将设备组和命令组对应起来。TACAS+要求AAA的Clients配置相应的AAA过远程或本地接入到目标设备的用户都要经过严格的授权,然后TACAS+依据用户组定义的权限严格考察治理员所输入的命令。四、TACAS+的审计跟踪功能由于治理人员的不标准操作,可能会导致设备接口的down,或是路由协议的reset,或许更严峻的设备reload。因此设备操作审计功能是必需的。我们能够在网络相对集中的地方设立一个中心审计点,即是能够有一个中心点来记录全部网络治理活动。这包括那些成功授权和那些未能成功授权的命令。可用以下三个报告来跟踪用户的整个治理进程。TA