思科ACS网络设备安全管理方案一、网络设备安全管理需求概述就北京中行网络布局来看，网络的基础设施现包含几百个网络设备。

在网络上支撑的业务日益关键，对网络安全和可靠性要求更为严格。

可以预测的是，大型网络管理需要多种网络管理工具协调工作，不同的网络管理协议、工具和技术将各尽其力，同时发挥着应有的作用。

比如：对于Telnet 网络管理手段。

有些人可能会认为，今后这些传统的设备管理手段，会减少使用甚或完全消失。

但实际上，Telnet命令行设备管理仍因其速度、强大功能、熟悉程度和方便性而广受欢迎。

尽管其他网络设备管理方式中有先进之处，基于Telnet的管理在未来依然会是一种常用管理方式。

随着BOC网络设备数量的增加，为维持网络运作所需的管理员数目也会随之增加。

这些管理员隶属于不同级别的部门，系统管理员结构也比较复杂。

网络管理部门现在开始了解，如果没有一个机制来建立整体网络管理系统，以控制哪些管理员能对哪些设备执行哪些命令，网络基础设施的安全性和可靠性问题是无法避免的。

二、设备安全管理解决之道建立网络设备安全管理的首要出发点是定义和规划设备管理范围, 从这一点我门又可以发现，网络设备安全管理的重点是定义设备操作和管理权限。

对于新增加的管理员，我们并不需要对个体用户进行权限分配，而是通过分配到相应的组中，继承用户组的权限定义。

通过上面的例子，我们可以发现网络安全管理的核心问题就是定义以下三个概念：设备组、命令组和用户组。

设备组规划了设备管理范围；命令组制定了操作权限；用户组定义了管理员集合。

根据BOC的设备管理计划，将它们组合在一起，构成BOC所需要的设备安全管理结构。

安全设备管理包括身份验证Authentication、授权Authorization和记帐Accounting三个方面的内容。

例如：管理员需要通过远程Login或是本地Login 到目标设备，能否进入到设备上，首先要通过严格的身份认证；通过身份验证的管理员能否执行相应的命令，要通过检查该管理员的操作权限；管理员在设备上的操作过程，可以通过记帐方式记录在案。

AAA的应用大大简化了大型网络复杂的安全管理问题，提高了设备集中控制强度。

目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工具。

Cisco Secure ACS 3.1以后的版本提供的Shell壳式授权命令集提供的工具可使用思科设备支持的高效、熟悉的TCP/IP协议及实用程序，来构建可扩展的网络设备安全管理系统。

三、Cisco ACS帮助BOC实现设备安全管理熟悉Cisco IOS的用户知道，在IOS软件中，定义了16个级别权限，即从0到15。

在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。

为改变缺省特权级别，您必须运行enable启用命令，提供用户的enable password和请求的新特权级别。

如果口令正确，即可授予新特权级别。

请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。

超级管理员可以在事先每台设备上定义新的操作命令权限。

例如：可修改这些级别并定义新级别，如图1所示。

图1 启用命令特权级别示例当值班的管理员enable 10之后，该管理员仅仅拥有在级别10规定之下的授权命令集合，其可以执行clear line、debug PPP等命令。

这种方式是“分散”特权级别授权控制。

这种应用方式要求在所有设备都要执行类似同样的配置，这样同一个管理员才拥有同样的设备操作权限，这显然会增加超级管理员的工作负担。

为解决这种设备安全管理的局限性，Cisco ACS提出了可扩展的管理方式---“集中”特权级别授权控制，Cisco ACS通过启用TACACS＋，就可从中央位置提供特权级别授权控制。

TACACS＋服务器通常允许各不同的管理员有自己的启用口令并获得特定特权级别。

下面探讨如何利用Cisco ACS实现设备组、命令集、用户组的定义与关联。

3.1 设备组定义根据北京行的网络结构，我们试定义以下设备组：(待定)交换机组---包含总行大楼的楼层交换机Cisco65/45；试定义以下设备组：(待定)交换机组---Cisco Catalyst6500或Catalyst4xxx(待定)网络设备组---Cisco28113.2 Shell授权命令集(Shell Authorization Command Sets)定义壳式授权命令集可实现命令授权的共享，即不同用户或组共享相同的命令集。

如图2所示，Cisco Secure ACS图形用户界面（GUI）可独立定义命令授权集。

图2 壳式命令授权集GUI命令集会被赋予一个名称，此名称可用于用户或组设置的命令集。

基于职责的授权(Role-based Authorization)命令集可被理解为职责定义。

实际上它定义授予的命令并由此定义可能采取的任务类型。

如果命令集围绕BOC内部不同的网络管理职责定义，用户或组可共享它们。

当与每个网络设备组授权相结合时，用户可为不同的设备组分配不同职责。

BOC网络设备安全管理的命令集，可以试定义如下：超级用户命令组---具有IOS第15特权级别用户，他/她可以执行所有的配置configure、show和Troubleshooting命令；故障诊断命令组---具有所有Ping、Trace命令、show命令和debug命令，以及简单的配置命令；网络操作员命令组---具有简单的Troubleshooting命令和针对特别功能的客户定制命令；3.3 用户组定义(草案)用户组的定义要根据BOC网络管理人员的分工组织构成来确定，可以试定义如下：运行管理组---负责管理控制大楼网络楼层设备，同时监控BOC骨干网络设备。

人员包括分行网络管理处的成员；操作维护组---对于负责日常网络维护工作的网络操作员，他们属于该组。

3.4 设备安全管理实现完成了设备组、命令组和用户组的定义之后，接下来的工作是在用户组的定义中，将设备组和命令组对应起来。

TACAS+要求AAA的Clients配置相应的AAA命令，这样凡是通过远程或本地接入到目标设备的用户都要通过严格的授权，然后TACAS+根据用户组定义的权限严格考察管理员所输入的命令。

四、TACAS+的审计跟踪功能由于管理人员的不规范操作，可能会导致设备接口的down，或是路由协议的reset，或许更严重的设备reload。

所以设备操作审计功能是必须的。

我们可以在网络相对集中的地方设立一个中央审计点，即是可以有一个中央点来记录所有网络管理活动。

这包括那些成功授权和那些未能成功授权的命令。

可用以下三个报告来跟踪用户的整个管理进程。

•TACACS＋记帐报告可记录管理进程的起始和结束。

在AAA客户机上必须启动记帐功能；•TACACS＋管理报告记录了设备上发出的所有成功授权命令；在AAA客户机上必须启动记帐功能；•尝试失败报告记录了设备的所有失败登录尝试和设备的所有失败命令授权；在AAA客户机上必须启动记帐功能；。

图4 审计示例——登录当管理员在某一设备上开始一个新管理进程时，它就被记录在TACACS＋记帐报告中。

当管理进程结束时，也创建一个数值。

Acct-Flags字段可区分这两个事件。

图5 审计示例——计帐报告节选 [按文本给出]当管理员获得对设备的接入，所有成功执行的命令都作为TACACS＋记帐请求送至TACACS＋服务器。

TACACS＋服务器随后会将这些记帐请求记录在TACACS＋管理报告中。

图6为管理进程示例。

图6 审计示例——记帐请求图7 中显示的TACACS＋管理报告节选以时间顺序列出了用户在特定设备上成功执行的所有命令。

图7 审计示例——管理报告节选注：本报告仅包含成功授权和执行的命令。

它不包括含排字错误或未授权命令的命令行。

在图8显示的示例中，用户从执行某些授权命令开始，然后就试图执行用户未获得授权的命令（配置终端）。

图8 审计示例——未授权请求图8 为TACACS＋管理报告节选，具体说明了用户andy在网关机上执行的命令。

图9 审计示例——管理报告节选当Andy试图改变网关机器的配置，TACACS＋服务器不给予授权，且此试图记录在失败试图报告中（图10）。

图10 审计示例——失败试图报告节选提示：如果失败试图报告中包括网络设备组和设备命令集栏，您可轻松确定用户andy为何被拒绝使用配置命令。

这三个报告结合起来提供了已试图和已授权的所有管理活动的完整记录。

五、Cisco ACS在北京中行网络中的配置方案在各个分行中心配置两台ACS服务器（数据库同步，保证配置冗余），由个分行控制和管内所辖的网络设备。

我们建议Cisco ACS安装在网络Firewall保护的区域。

参见下图:六、TACAS+与RADIUS协议比较网络设备安全管理要求的管理协议首先必须是安全的。

RADIUS验证管理员身份过程中使用的是明文格式，而TACAS使用的是密文格式，所以TACAS可以抵御Sniffer的窃听。

TACAS使用TCP传输协议，RADIUS使用UDP传输协议，当AAA的客户端和服务器端之间有low speed的链接时，TCP机制可以保证数据的可靠传输，而UDP 传输没有保证。

TACAS和RADIUS都是IETF的标准化协议，Cisco在TACAS基础上开发了TACAS 增强型协议---TACAS+，所以Cisco ACS可以同时支持TACAS+和RADIUS认证协议。

RADIUS对授权Authorization和记帐Accounting功能有限，而Cisco的TACAS+的授权能力非常强，上面介绍的RBAC（基于职责的授权控制）是TACAS+所特有的。

同时TACAS+的记帐内容可以通过管理员制定AV值，来客户花客户所需要的记帐报告。

在BOC这样复杂的网络环境，我们建议启动Cisco ACS的TACAS+和RADIUS服务。

对于Cisco的网络设备，我们强烈加以采用TACAS+ AAA协议；对于非Cisco网络设备，建议使用RADIUS协议。

七、Cisco ACS其它应用环境除了设备安全管理使用AAA认证之外，我们还可以在RAS---远程访问接入服务、VPN接入安全认证控制、PIX防火墙In/Out控制、有线/无线LAN的802.1x 安全接入认证、VOIP记帐服务等领域使用Cisco ACS。

Cisco ACS可以结合第三方数据库比如Sybase、Oracle和Microsoft NT Domain Database、Microsoft SQL。

同时Cisco ACS支持与OTP---One-time-password集成，为用户提供更为安全的身份认证方式，该功能在数据中心有应用实例。