2023年度CiscoACS网络安全设备管理

下面是小编为大家整理的2023年度CiscoACS网络安全设备管理,供大家参考。

CiscoACS 网络安全设备管理 一、 网络设备安全管理 需求 概述 就北京中行网络布局来看，网络的基础设施现包含几百个网络设备。在网络上支撑的业务日益关键，对网络安全与可靠性要求更为严格。

　　能够预测的是，大型网络管理需要多种网络管理工具协调工作，不一致的网络管理协议、工具与技术将各尽其力，同时发挥着应有的作用。比如：关于 Telnet网络管理手段。有些人可能会认为，今后这些传统的设备管理手段，会减少使用甚或者完全消失。但实际上，Telnet 命令行设备管理仍因其速度、强大功能、熟悉程度与方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处，基于Telnet 的管理在未来依然会是一种常用管理方式。

　　随着 BOC 网络设备数量的增加，为维持网络运作所需的管理员数目也会随之增加。这些管理员隶属于不一致级别的部门，系统管理员结构也比较复杂。网络管理部门现在开始熟悉，假如没有一个机制来建立整体网络管理系统，以操纵什么管理员能对什么设备执行什么命令，网络基础设施的安全性与可靠性问题是无法避免的。

　　二、 设备安全管懂得决 之道 建立网络设备安全管理的首要出发点是定义与规划设备管理范围, 从这一点我门又能够发现，网络设备安全管理的重点是定义设备操作与管理权限。关于新增加的管理员，我们并不需要对个体用户进行权限分配，而是通过分配到相应的组中，继承用户组的权限定义。

　　通过上面的例子，我们能够发现网络安全管理的核心问题就是定义下列三个 概念：设备组、命令组与用户组。设备组规划了设备管理范围；命令组制定了操作权限；用户组定义了管理员集合。根据 BOC 的设备管理计划，将它们组合在一起，构成 BOC 所需要的设备安全管理结构。

　　 安全设备管理包含身份验证 Authentication、授权 Authorization 与记帐Accounting 三个方面的内容。比如：管理员需要通过远程 Login 或者是本地 Login到目标设备，能否进入到设备上，首先要通过严格的身份认证；通过身份验证的管理员能否执行相应的命令，要通过检查该管理员的操作权限；管理员在设备上的操作过程，能够通过记帐方式记录在案。

　　 AAA 的应用大大简化了大型网络复杂的安全管理问题，提高了设备集中操纵强度。目前 AAA 在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。

　　Cisco Secure ACS 3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的 TCP/IP 协议及有用程序，来构建可扩展的网络设备安全管理系统。

　　 三、Cisco ACS 帮助 BOC 实现 设备安全管理 熟悉 Cisco IOS 的用户明白，在 IOS 软件中，定义了 16 个级别权限，即从 0到 15。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为 1。为改变缺省特权级别，您务必运行 enable 启用命令，提供用户的 enable password与请求的新特权级别。假如口令正确，即可授予新特权级别。请注意可能会针对 设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员能够在事先每台设备上定义新的操作命令权限。比如：可修改这些级别并定义新级别，如图 1 所示。

　　图 图 1 启用命令特权级别示例 当值班的管理员 enable 10 之后，该管理员仅仅拥有在级别 10 规定之下的授权命令集合，其能够执行 clear line、debug PPP 等命令。这种方式是“分散”特权级别授权操纵。这种应用方式要求在所有设备都要执行类似同样的配置，这样同一个管理员才拥有同样的设备操作权限，这显然会增加超级管理员的工作负担。

　　为解决这种设备安全管理的局限性，Cisco ACS 提出了可扩展的管理方式---“集中”特权级别授权操纵，Cisco ACS 通过启用 TACACS＋，就可从中央位置提供特权级别授权操纵。TACACS＋服务器通常同意各不一致的管理员有自己的启用口令并获得特定特权级别。

　　下面探讨如何利用 Cisco ACS 实现设备组、命令集、用户组的定义与关联。

　　3.1 设备组定义 根据北京 行的网络结构，我们试定义下列设备组：

　　 (待定)交换机组---包含总行大楼的楼层交换机 Cisco65/45；

　　试定义下列设备组：

　　 (待定)交换机组---Cisco Catalyst6500 或者 Catalyst4xxx (待定)网络设备组---Cisco2811 3.2 l Shell 授权命令集 (Shell Authorization Command Sets) 定义 壳式授权命令集可实现命令授权的共享，即不一致用户或者组共享相同的命令集。如图 2 所示，Cisco Secure ACS 图形用户界面（GUI）可独立定义命令授权集。

　　 图 图 2 2 壳式命令授权集 GUI 命令集会被给予一个名称，此名称可用于用户或者组设置的命令集。

　　基于职责的授权 (Role- - based Authorization) 命令集可被懂得为职责定义。实际上它定义授予的命令并由此定义可能采取的任务类型。假如命令集围绕 BOC 内部不一致的网络管理职责定义，用户或者组可共享它们。当与每个网络设备组授权相结合时，用户可为不一致的设备组分配不一致职责。

　　BOC 网络设备安全管理的命令集，能够试定义如下：

　　超级用户命令组---具有 IOS 第 15 特权级别用户，他/她能够执行所有的配置configure、show 与 Troubleshooting 命令；

　　故障诊断命令组---具有所有 Ping、Trace 命令、show 命令与 debug 命令，与 简单的配置命令；

　　网络操作员命令组---具有简单的 Troubleshooting 命令与针对特别功能的客户定制命令；

　　3.3 用户组定义( ( 草案) ) 用户组的定义要根据 BOC 网络管理人员的分工组织构成来确定，能够试定义如下：

　　运行管理组---负责管理操纵大楼网络楼层设备，同时监控 BOC 骨干网络设备。人员包含分行网络管理处的成员；

　　操作保护组---关于负责日常网络保护工作的网络操作员，他们属于该组。

　　3.4 设备安全管理实现 完成了设备组、命令组与用户组的定义之后，接下来的工作是在用户组的定义中，将设备组与命令组对应起来。

　　TACAS+要求 AAA 的 Clients 配置相应的 AAA 命令，这样凡是通过远程或者本地接入到目标设备的用户都要通过严格的授权，然后 TACAS+根据用户组定义的权限严格考察管理员所输入的命令。

　　四、 TACAS+ 的 审计跟踪 功能 由于管理人员的不规范操作，可能会导致设备接口的 down，或者是路由协议的 reset，或者许更严重的设备 reload。因此设备操作审计功能是务必的。

　　我们能够在网络相对集中的地方设立一个中央审计点，即是能够有一个中央点来记录所有网络管理活动。这包含那些成功授权与那些未能成功授权的命令。可用下列三个报告来跟踪用户的整个管理进程。

　　 TACACS＋记帐报告可记录管理进程的起始与结束。在 AAA 客户机上务必启 动记帐功能；

　　 TACACS＋管理报告记录了设备上发出的所有成功授权命令；在 AAA 客户机上务必启动记帐功能；

　　 尝试失败报告记录了设备的所有失败登录尝试与设备的所有失败命令授权；在 AAA 客户机上务必启动记帐功能；。

　　图 图 4 4 审计示例 —— 登录 当管理员在某一设备上开始一个新管理进程时，它就被记录在 TACACS＋记帐报告中。当管理进程结束时，也创建一个数值。Acct-Flags 字段可区分这两个事件。

　　图 图 5 5 审计示例 —— 计帐报告节选 [ [ 按文本给出] ] 当管理员获得对设备的接入，所有成功执行的命令都作为 TACACS＋记帐请求送至 TACACS＋服务器。TACACS＋服务器随后会将这些记帐请求记录在TACACS＋管理报告中。图 6 为管理进程示例。

　　图 图 6 6 审计示例 —— 记帐请求 图 7 中显示的 TACACS＋管理报告节选以时间顺序列出了用户在特定设备 上成功执行的所有命令。

　　图 图 7 7 审计示例 —— 管理报告节选 注：本报告仅包含成功授权与执行的命令。它不包含含排字错误或者未授权命令的命令行。

　　在图 8 显示的示例中，用户从执行某些授权命令开始，然后就试图执行用户未获得授权的命令（配置终端）。

　　图 图 8 8 审计示例 —— 未授权请求 图 8 为 TACACS＋管理报告节选，具体说明了用户 andy 在网关机上执行的命令。

　　图 图 9 9 审计示例 —— 管理报告节选 当 Andy 试图改变网关机器的配置，TACACS＋服务器不给予授权，且此试图记录在失败试图报告中（图 10）。

　　图 图 10 审计示例 —— 失败试图报告节选 提示：假如失败试图报告中包含网络设备组与设备命令集栏，您可轻松确定用户 andy 为何被拒绝使用配置命令。

　　这三个报告结合起来提供了已试图与已授权的所有管理活动的完整记录。

　　五 、S Cisco ACS 在 北京中行 网络中的配置 方案 在各个分行中心配置两台 ACS 服务器（数据库同步，保证配置冗余），由个分行操纵与管内所辖的网络设备。

　　 我们建议 Cisco ACS 安装在网络 Firewall 保护的区域。参见下图: 六、 TACAS+与 与 S RADIUS 协议比较 网络设备安全管理要求的管理协议首先务必是安全的。RADIUS 验证管理员身份过程中使用的是明文格式，而 TACAS 使用的是密文格式，因此 TACAS 能够抵御 Sniffer 的窃听。

　　 TACAS 使用 TCP 传输协议，RADIUS 使用 UDP 传输协议，当 AAA 的客户端与服务器端之间有 low speed 的链接时，TCP 机制能够保证数据的可靠传输，而 UDP 传输没有保证。

　　TACAS 与 RADIUS 都是 IETF 的标准化协议，Cisco 在 TACAS 基础上开发了TACAS增强型协议---TACAS+，因此Cisco ACS能够同时支持TACAS+与RADIUS认证协议。

　　RADIUS 对授权 Authorization 与记帐 Accounting 功能有限，而 Cisco 的TACAS+的授权能力非常强，上面介绍的 RBAC（基于职责的授权操纵）是TACAS+所特有的。同时 TACAS+的记帐内容能够通过管理员制定 AV 值，来客户花客户所需要的记帐报告。

　　 在 BOC 这样复杂的网络环境，我们建议启动 Cisco ACS 的 TACAS+与 RADIUS服务。关于 Cisco 的网络设备，我们强烈加以使用 TACAS+ AAA 协议；关于非Cisco 网络设备，建议使用 RADIUS 协议。

　　 七、S Cisco ACS 其它应用 环境 除了设备安全管理使用 AAA 认证之外，我们还能够在 RAS---远程访问接入服务、VPN 接入安全认证操纵、PIX 防火墙 In/Out 操纵、 有线/ / 无线 LAN 的 的 802.1x安全接入认证、VOIP 记帐服务等领域使用 Cisco ACS。

　　Cisco ACS 能够结合第三方数据库比如 Sybase、Oracle 与 Microsoft NT Domain Database、Microsoft SQL。同时 Cisco ACS 支持与 OTP---One-time-password 集成，为用户提供更为安全的身份认证方式，该功能在数据中心有应用实例。

推荐访问： 标签 设备管理 网络安全 CiscoACS网络安全设备管理 cisco网络管理软件