華為網絡裝置上常用的安全技術2
安全技術5:AAA
說明:
AAA是 Authentication,Authorization and Accounting(認證、授權和計費)的簡稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構,實際上是對網絡安全的一種管理。
這裡的網絡安全主要是指通路控制,包括:
哪些使用者可以通路網絡伺服器。
具有通路權的使用者可以得到哪些服務。
如何對正在使用網絡資源的使用者進行計費。
針對以上問題,AAA必須提供認證功能、授權功能和計費功能。
AAA支援以下認證方式:
不認證:對使用者非常信任,不對其進行合法檢查。一般情況下不采用這種方式。
本地認證:将使用者資訊(包括本地使用者的使用者名、密碼和各種屬性)配置在裝置上。本地認證的優點是速度快,可以降低營運成本;缺點是存儲資訊量受裝置硬體條件限制。
遠端認證:支援通過 RADIUS 協定或 HWTACACS 協定進行遠端認證,裝置(如 Quidway系列交換機)作為用戶端,與 RADIUS伺服器或 TACACS伺服器通信。對于 RADIUS協定,可以采用标準或擴充的 RADIUS協定。
本地認證配置案例
裝置 一台華為交換機 一個用戶端
配置步驟:
# local-user test //建立本地使用者test
# service-type test level 3
# password simple 123
# quit
配置test使用者采用AAA認證方式。
# user-interface vty 0 4
# authentication-mode scheme
# domain system //配置預設system域采用的認證方式
登入時使用者名為test@system,使用system域進行認證
遠端認證案例參考AAA及RADIUS協定配置
安全技術6:dot1x
802.1x協定是一種基于端口的網絡接入控制(Port Based Network Access Control)協定。“基于端口的網絡接入控制”是指在區域網路接入控制裝置的端口這一級對所接入的裝置進行認證和控制。連接配接在端口上的使用者裝置如果能通過認證,就可以通路區域網路中的資源;如果不能通過認證,則無法通路區域網路中的資源——相當于連接配接被實體斷開。
使用 802.1x 的系統為典型的 Client/Server 體系結構,包括三個實體:Supplicant System(用戶端)、Authenticator System(裝置端)以及 Authentication Server System(認證伺服器)。
三個實體涉及如下四個基本概念:端口 PAE、受控端口、受控方向和端口受控方式。
1. PAE(Port Access Entity,端口通路實體)
PAE 是認證機制中負責執行算法和協定操作的實體。裝置端 PAE 利用認證伺服器對需要接入區域網路的用戶端執行認證,并根據認證結果相應地控制受控端口的授權/非授權狀态。用戶端 PAE負責響應裝置端的認證請求,向裝置端送出使用者的認證資訊。用戶端 PAE也可以主動向裝置端發送認證請求和下線請求。
2. 受控端口
裝置端為用戶端提供接入區域網路的端口,這個端口被劃分為兩個虛端口:受控端口和非受控端口。
z 非受控端口始終處于雙向連通狀态,主要用來傳遞 EAPOL協定幀,保證用戶端始終能夠發出或接受認證。
z 受控端口在授權狀态下處于連通狀态,用于傳遞業務封包;在非授權狀态下處于斷開狀态,禁止傳遞任何禁止從用戶端接收封包。
z 受控端口和非受控端口是同一端口的兩個部分;任何到達該端口的幀,在受控端口與非受控端口上均可見。
3. 受控方向
在非授權狀态下,受控端口可以被設定成單向受控: 實行單向受控時,禁止從用戶端接收幀,但允許向用戶端發送幀。 預設情況下,受控端口實行單向受控。
4. 端口受控方式
Quidway系列交換機支援以下兩種端口受控方式:
z 基于端口的認證:隻要該實體端口下的第一個使用者認證成功後,其他接入使用者無須認證就可使用網絡資源,當第一個使用者下線後,其他使用者也會被拒絕使用
網絡。
z 基于 MAC位址認證:該實體端口下的所有接入使用者都需要單獨認證,當某個使用者下線時,也隻有該使用者無法使用網絡。
IEEE 802.1x認證系統利用 EAP(Extensible Authentication Protocol,可擴充認證協定)協定,作為在用戶端和認證伺服器之間交換認證資訊的手段。
z 在用戶端 PAE與裝置端 PAE之間,EAP協定封包使用 EAPOL封裝格式,直接承載于 LAN環境中。
z 在裝置端 PAE與 RADIUS伺服器之間,EAP協定封包可以使用 EAPOR封裝格式(EAP over RADIUS),承載于 RADIUS協定中;也可以由裝置端 PAE進行終結,而在裝置端 PAE 與 RADIUS 伺服器之間傳送 PAP 協定封包或CHAP協定封包。
z 當使用者通過認證後,認證伺服器會把使用者的相關資訊傳遞給裝置端,裝置端PAE 根據 RADIUS 伺服器的訓示(Accept 或 Reject)決定受控端口的授權/非授權狀态。
802.1x在 S2000-HI交換機上的實作
配置802.1x簡介
802.1x 提供了一個使用者身份認證的實作方案,為了實作此方案,除了配置 802.1x相關指令外,還需要在交換機上配置 AAA 方案,選擇使用 RADIUS 或本地認證方案,以配合 802.1x完成使用者身份認證:
z 802.1x使用者通過域名和交換機上配置的 ISP域相關聯。
z 配置 ISP域使用的 AAA方案,包括本地認證方案和 RADIUS方案。
z 如果采用 RADIUS 方案,通過遠端的 RADIUS 伺服器進行認證,則需要在RADIUS 伺服器上配置相應的使用者名和密碼,然後在交換機上進行 RADIUS用戶端的相關設定。
z 如果是需要本地認證,則需要在交換機上手動添加認證的使用者名和密碼,當使用者使用和交換機中記錄相同的使用者名和密碼,啟動 802.1x 用戶端軟體進行認證時,就可以通過認證。
z 也可以配置交換機先采用 RADIUS 方案,通過 RADIUS 伺服器進行認證,如果 RADIUS伺服器無效,則使用本地認證。
配置準備
z 配置 ISP域及其使用的 AAA方案,選擇使用 RADIUS或者本地認證方案,以配合 802.1x完成使用者的身份認證。
z 配置本地認證時,本地使用者的服務類型(service-type)必須配置為lan-access。
配置802.1x基本功能
開啟全局的802.1x特性 dot1x 必選 預設情況下,全局的802.1x特性為關閉狀态
開啟端口的802.1x特性 系統視圖下 dot1x [ interface interface-list ]
或端口視圖下 dot1x 必選 預設情況下,端口的802.1x特性均為關閉狀态
設定端口接入控制的模式 dot1x port-control{ authorized-force | unauthorized-force | auto }[ interface interface-list ] 預設情況下,802.1x在端口上進行接入控制的模式為auto
設定端口接入控制方式 dot1x port-method { macbased | portbased }[ interface interface-list ] 預設情況下,802.1x在端口上進行接入控制方式為macbased,即基于MAC位址進行認證
設定802.1x使用者的認證方法 dot1x authentication-method { chap | pap | eap } 可選 預設情況下,交換機采用EAP終結方式的CHAP認證方法
配置ISP域,并進入其視圖 domain isp-name
配置ISP域使用的AAA方案 scheme { radius-scheme radius-scheme-name [ local ] | local | none } 預設情況下,交換機采用本地認證(local)
建立本地使用者,并進入本地使用者視圖 local-user user-name 如果配置ISP域采用本地認證,則必須配置此指令
設定本地使用者的密碼 password { simple | cipher } password
設定本地使用者的服務類型及使用者級别 service-type lan-access 如果配置ISP域采用本地認證,則必須配置此指令
建立RADIUS方案,并進入其視圖 radius scheme radius-scheme-name
設定主RADIUS認證/授權伺服器的IP位址和端口号 primary authentication ip-address [ port-number ]
注意:
z 802.1x的各項配置任務都可以在系統視圖下完成。其中,設定端口接入控制的模式、設定端口接入控制方式還可以在端口視圖下進行配置。
z 對于 dot1x port-control、dot1x port-method指令:在系統視圖下,當沒有指定任何确定的端口時,是對所有端口進行相關配置。在以太網端口視圖下,不能輸入 interface-list參數,僅對目前端口進行配置。
z 必須同時開啟全局和端口的 802.1x特性後,802.1x的配置才能生效。
顯示802.1x的配置資訊、運作情況和統計資訊 display dot1x [ sessions | statistics ] [ interface interface-list ]
清除802.1x的統計資訊 reset dot1x statistics [ interface interface-list ]