CiscoACS网络安全设备管理
- 格式:docx
- 大小:92.89 KB
- 文档页数:10
CiscoACS网络安全设备管理
一、网络设备安全管理需求概述
就北京中行网络布局来看,网络的基础设施现包含几百个网络设备。在网络 上支撑的业务日益关键,对网络安全与可靠性要求更为严格。
能够预测的是,大型网络管理需要多种网络管理工具协调工作,不一致的网 络管理协议、工具与技术将各尽其力,同时发挥着应有的作用。比如:关于TeInet 网络管理手段。有些人可能会认为,今后这些传统的设备管理手段,会减少使用 甚或者完全消失。但实际上,TeInet命令行设备管理仍因其速度、强大功能、熟 悉程度与方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处,基于 Telnet的管理在未来依然会是一种常用管理方式。
随着BOC网络设备数量的增加,为维持网络运作所需的管理员数目也会随 之增加。这些管理员隶属于不一致级别的部门,系统管理员结构也比较复杂。网 络管理部门现在开始熟悉,假如没有一个机制来建立整体网络管理系统,以操纵 什么管理员能对什么设备执行什么命令,网络基础设施的安全性与可靠性问题是 无法避免的。
二、设备安全管懂得决之道
建立网络设备安全管理的首要出发点是定义与规划设备管理范围,从这一点 我门又能够发现,网络设备安全管理的重点是定义设备操作与管理权限。关于新 增加的管理员,我们并不需要对个体用户进行权限分配,而是通过分配到相应的 组中,继承用户组的权限定义。
通过上面的例子,我们能够发现网络安全管理的核心问题就是定义下列三个 概念:设备组、命令组与用户组。设备组规划了设备管理范围;命令组制定了操 作权限;用户组定义了管理员集合。根据BOC的设备管理计划,将它们组合在 一起,构成BoC所需要的设备安全管理结构。
安全设备管理包含身份验证 Authentication>授:权 Authorisation与记帐
Accounting三个方面的内容。比如:管理员需要通过远程Login或者是本地Login 到目标设备,能否进入到设备上,首先要通过严格的身份认证;通过身份验证的 管理员能否执行相应的命令,要通过检查该管理员的操作权限;管理员在设备上 的操作过程,能够通过记帐方式记录在案。
AAA的应用大大简化了大型网络复杂的安全管理问题,提高了设备集中操纵 强度。目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工 具。
Cisco Secure ACS 3.1以后的版本提供的Sheil壳式授权命令集提供的工具可使 用思科设备支持的高效、熟悉的TCP/IP协议及有用程序,来构建可扩展的网络 设备安全管理系统。
三、Cisco ACS帮助BOC实现设备安全管理
熟悉CiSCOIoS的用户明白,在IoS软件中,定义了 16个级别权限,即从0 到15。在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。 为改变缺省特权级别,您务必运行enable启用命令,提供用户的enable password
与请求的新特权级别。假如口令正确,即可授予新特权级别。请注意可能会针对 设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员能 够在事先每台设备上定义新的操作命令权限。比如:可修改这些级别并定义新级 别,如图1所示。
_______________________ 图1启用命令特权级别示例 __________________________
enable password level 10 ps⅞rdl0
privilege exec Level 10 clear line
privilege exec level 10 debug ppp chap
privilege exec level 10 debug ppp error
privilege exec Level ID Iebug PPP πeg□tiati□π 当值班的管理员enable 10之后,该管理员仅仅拥有在级别10规定之下的授 权命令集合,其能够执行Clearlinc、debugPPP等命令。这种方式是“分散”特 权级别授权操纵。这种应用方式要求在所有设备都要执行类似同样的配置,这样 同一个管理员才拥有同样的设备操作权限,这显然会增加超级管理员的工作负 担。
为解决这种设备安全管理的局限性,CiSeOACS提出了可扩展的管理方式… “集中”特权级别授权操纵,CiSCoACS通过启用TACACS+,就可从中央位置 提供特权级别授权操纵。TACACS+服务器通常同意各不一致的管理员有自己的 启用口令并获得特定特权级别。
下面探讨如何利用QSCOACS实现设备组、命令集、用户组的定义与关联。
3.1 设备组定义
根据北京行的网络结构,我们试定义下列设备组:
(待定)交换机组--包含总行大楼的楼层交换机Cis∞65∕45;
试定义下列设备组:
(待定)交换机组一Cisco Catalyst6500 或者 Catalyst4xxx
(待定)网络设备组---Cisco2811
3.2 Shell 授权命令集(Sheil AUthoriZation Command Sets)定义
壳式授权命令集可实现命令授权的共享,即不一致用户或者组共享相同的命
令集。如图2所示,CiSCOSeCUreACS图形用户界面(GUD 可独立定义命令授权 集。 命令集会被给予一个名称,此名称可用于用户或者组设置的命令集。
基 于职责■的授我(ROIe-based Authorisation)
命令集可被懂得为职责定义。实际上它定义授予的命令并由此定义可能采取的任 务类型。假如命令集围绕BoC内部不一致的网络管理职责定义,用户或者组可 共享它们。当与每个网络设备组授权相结合时,用户可为不一致的设备组分配不 一致职责。
BoC网络设备安全管理的命令集,能够试定义如下:
超级用户命令组--具有IOS第15特权级别用户,他/她能够执行所有的配置
configure > show 与 Troubleshooting 命令;
故障诊断命令组---具有所有Ping、Trace命令、show命令与debug命令,与 简单的配置命令;
网络操作员命令组--具有简单的Troubleshooting命令与针对特别功能的客户
定制命令;
3.3 用户组定义(草案)
用户组的定义要根据BoC网络管理人员的分工组织构成来确定,能够试定义 如下:
运行管理组--负责管理操纵大楼网络楼层设备,同时监控BoC骨干网络设 备。人员包含分行网络管理处的成员;
操作保护组--关于负责日常网络保护工作的网络操作员,他们属于该组。
3.4 设备安全管理实现
完成了设备组、命令组与用户组的定义之后,接下来的工作是在用户组的定 义中,将设备组与命令组对应起来。
TACAS+要求AAA的Clients配置相应 的AAA命令,这样凡是通过远程或者 本地接入到目标设备的用户都要通过严格的授权,然后TACAS+根据用户组定义 的权限严格考察管理员所输入的命令。
四、TACAS+的审计跟踪功能
由于管理人员的不规范操作,可能会导致设备接口的down,或者是路由协 议的reset,或者许更严重的设备reload。因此设备操作审计功能是务必的。
我们能够在网络相对集中的地方设立一个中央审计点,即是能够有一个中央 点来记录所有网络管理活动。这包含那些成功授权与那些未能成功授权的命令。 可用下列三个报告来跟踪用户的整个管理进程。
TACACS +记帐报告可记录管理进程的起始与结束。在AAA客户机上务必启
动记帐功能;
• TACACS +管理报告记录了设备上发出的所有成功授权命令;在AAA客户机
上务必启动记帐功能;
• 尝试失败报告记录了设备的所有失败登录尝试与设备的所有失败命令授权;
在AAA客户机上务必启动记帐功能;o
图4审计示例 ---- 登录 LA-Gateway
Lcgint andy
Password: ••**•••
LA-Gateway>
当管理员在某一设备上开始一个新管理进程时,它就被记录在TACACS +记 帐报告中。当管理进程结束时,也创建一个数值。ACCt-FIagS字段可区分这两个 事件。
图5审计示例——计帐报告节选[按文本给出]
当管理员获得对设备的接入,所有成功执行的命令都作为TACACS +记帐请
求送至TACACS +服务器。TACACS +服务器随后会将这些记帐请求记录在
TACACS+管理报告中。图6为管理进程示例。
图6审计示例——记帐请求
LA-□ate¾ray> enable
Passwordι ♦♦♦♦•・♦・
LΛ-Gateway¼coπfig terminal
Enter QGnfiguration cotπnands, one PeX line. End with 二NTL∕Z.
LA-Gateway(Config)#intarface brio
LΛ-C3aceway
图7中显示的TACACS+管理报告节选以时间顺序列出了用户在特定设备上成功执行的所有命令。
图7审计示例——管理报告节选 「二三二—丁― _= 5
12»,♦ |施 l∙aL⅛M? GJSSLIw, "^{g¾⅞x. B加 ”「,,,I ryj⅛skΛ tIftMdLQ≡⅛BΛ
1t∏4√2e<*l w4y UL urιy DE CaIrt
HΠ4.2001 15S453 mdy 口卬依“ Itrnaul ,4 一】 IAXStteMnqr ¾ft CMrt
1 U1½IM>3 jlS31O7 L⅛La心 XJLtiZjce WiLX1GAfiew” Vert CGaH
IMMQM工168q山和 C<*uιit
<3r⅛⅛< JUgafta LM3ι⅛⅛r*y 4WeιrC
在图8显示的示例中,用户从执行某些授权命令开始,然后就试图执行用户
未获得授权的命令(配置终端)。
图8审计示例——未授权请求
NY-Gateway
Login: andy
Password:
lΓf-Gateway>
TΓY ∙Gateway>> enable
Passvord: •*<♦♦♦
NY - Gateway¼3hσw run
NY-αateway¼confιgure terminal
图8为TACACS+管理报告节选,具体说明了用户andy在网关机上执行的 命令。
图9审计示例——管理报告节选
当Andy试图改变网关机器的配置,TACACS +服务器不给予授权,且此试图 记录在失败试图报告中(图10)。
图10审计示例——失败试图报告节选
提示:假如失败试图报告中包含网络设备组与设备命令集栏,您可轻松确定 用户andy为何被拒绝使用配置命令。
这三个报告结合起来提供了已试图与已授权的所有管理活动的完整记录。