安全技術3:aaa
說明:
1.簡介:
AAA是Authentication,Authorization and Accounting(認證、授權和計費)的簡
稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構,實
際上是對網絡安全的一種管理。
這裡的網絡安全主要是指通路控制,包括:
哪些使用者可以通路網絡伺服器。
具有通路權的使用者可以得到哪些服務。
如何對正在使用網絡資源的使用者進行計費。
針對以上問題,AAA必須提供認證功能、授權功能和計費功能。
2. 授權功能
AAA支援以下授權方式:
直接授權:對使用者非常信任,直接授權通過。
本地授權:根據裝置上為本地使用者帳号配置的相關屬性進行授權。
RADIUS 認證成功後授權:RADIUS 協定的認證和授權是綁定在一起的,不能
單獨使用RADIUS 進行授權。
HWTACACS 授權:由TACACS伺服器對使用者進行授權。
3. 計費功能
AAA支援以下計費方式:
不計費:不對使用者計費。
遠端計費:支援通過RADIUS 伺服器或TACACS伺服器進行遠端計費。
AAA一般采用用戶端/ 伺服器結構:用戶端運作于被管理的資源側,伺服器上集中存
放使用者資訊。是以,AAA架構具有良好的可擴充性,并且容易實作使用者資訊的集中
管理。
案例:關于利用radius 實作對使用者telnet的控制:
其中認證伺服器是思科的ACS。
拓撲圖:本實驗實作接入使用者telnet交換機時采用acs伺服器認證,并且進入後是管理者。
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIn5GcuIjN5gjM1UzMx8CX0AjMxAjMvwFduVWboNWY0RXYvwVbvNmLvR3YxUjL1M3Lc9CX6MHc0RHaiojIsJye.png)
#
radius scheme system(建立radius方案)
radius scheme test
server-type huawei 這個地方一定要是華為
primary authentication 192.168.100.2
accounting optional
key authentication 123456
user-name-format without-domain
domain system
domain tec(建立域)
scheme radius-scheme test
access-limit enable 30
vlan 1
interface Vlan-interface1
ip address 192.168.100.24 255.255.255.0
Acs 的配置:首先安裝jdk 然後安裝acs伺服器。
安裝完後導入h3c的私有radius 屬性:
1. 編寫h3c.ini檔案(綠色部分即為檔案内容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
此檔案主要用于定義私有屬性的值
2. 将上面定義的檔案導入到ACS中
ACS提供了指令接口來導入私有屬性,此步驟主要将h3c.ini通過指令導入到ACS中去。導入過程如下:
(1) 點選ACS Server的windows開始菜單,在運作中輸入cmd,打開一個指令行視窗。
(2) 進入ACS的bin目錄,在預設安裝的情況下,該目錄為
c:\Program Files\CiscoSecure ACS v4.0\bin
(3) 執行導入指令:
選擇y,繼續
3. 檢視是否導入成功
導入完畢,可以通過指令來檢視:
可以看到UDV 0 已經添加了RADIUS (Huawei) 私有屬性
另外可以進入ACS頁面來檢視通過點選interface configuration 檢視是否出現RADIUS Huawei 。:裡面有一項需要打勾。如下圖:
使用者的建立:
組的建立:
Network 配置:
使用者user2 登陸成功:權限是0級别。
使用者asd登陸成功;
安全技術4:dot1x
802.1x協定是基于Client/Server的通路控制和認證協定。它可以限制未經授權的使用者/裝置通過接入端口(access port)通路LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接配接到交換機端口上的使用者/裝置進行認證。在認證通過之前,802.1x隻允許EAPoL(基于區域網路的擴充認證協定)資料通過裝置連接配接的交換機端口;認證通過以後,正常的資料可以順利地通過以太網端口。
802.1X應用環境特點
(1)交換式以太網絡環境
對于交換式以太網絡中,使用者和網絡之間采用點到點的實體連接配接,使用者彼此之間通過VLAN隔離,此網絡環境下,網絡管理控制的關鍵是使用者接入控制,802.1x不需要提供過多的安全機制。
(2)共享式網絡環境
當802.1x應用于共享式的網絡環境時,為了防止在共享式的網絡環境中出現類似“搭載”的問題,有必要将PAE實體由實體端口進一步擴充為多個互相獨立的邏輯端口。邏輯端口和使用者/裝置形成一一對應關系,并且各邏輯端口之間的認證過程和結果互相獨立。在共享式網絡中,使用者之間共享接入實體媒介,接入網絡的管理控制必須兼顧使用者接入控制和使用者資料安全,可以采用的安全措施是對EAPoL和使用者的其它資料進行加密封裝。在實際網絡環境中,可以通過加速WEP密鑰重配置設定周期,彌補WEP靜态配置設定秘鑰導緻的安全性的缺陷。
802.1X認證的安全性分析
802.1x協定中,有關安全性的問題一直是802.1x反對者攻擊的焦點。實際上,這個問題的确困擾了802.1x技術很長一段時間,甚至限制了802.1x技術的應用。但技術的發展為這個問題給出了答案:802.1x結合EAP,可以提供靈活、多樣的認證解決方案。
案例:
拓撲圖:本實驗實作的是接入的客戶可以成功通過802.1x的認證。
交換機的配置:dot1x
dot1x authentication-method pap
radius scheme system
radius scheme abc
server-type standard
primary authentication 192.168.101.250
domain tec
scheme radius-scheme abc
authentication radius-scheme abc
local-user user1
password simple 123
service-type telnet
level 3
interface Vlan-interface1
ip address 192.168.101.21 255.255.255.0
interface Ethernet1/0/14
windows 下的 aaa 伺服器搭建: 在 裡面的添加删除元件中,選擇網絡服務中的 internet 驗證服務,并安裝。 安裝完建立 radius 用戶端:名為 test ip : 192.168.101.21安全技術5:arp綁定
為了更好的對網絡中的計算機進行管理,您可以通過ARP綁定功能來控制網絡中計算機間的通路(IP綁定)。
MAC位址: 網絡中被控制的計算機的MAC位址。
IP位址: 設定被控制計算機MAC位址的主機的IP位址。
綁定: 是否使能改MAC和IP的綁定比對
華為網絡裝置上的常用安全技術(二)
案例1:端口+MAC
[sw]mac-address static 0026-22bb-22ff interface Ethernet0/2 vlan 1
[sw-Ethernet0/1]mac-address max-mac-count 0限制學習的位址,讓其不會學習别的mac位址。
當pc1接在e0/1接口時:
案例2:
ip和mac的綁定
隻需要全局下配置如下指令即可
[sw]arp static 192.168.100.1 0026-22bb-22ff
其主要用來防止arp欺騙。
此外還有下面的一些方法:
AM指令實作的綁定:
使用特殊的AM User-bind指令,來完成MAC位址與端口之間的綁定。
例如:[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置說明:由于使用了端口參數,則會以端口為參照物,即此時端口E0/1隻允許PC1上網,而使用其他未綁定的MAC位址的PC機則無法上網。但是PC1使用該MAC位址可以在其他端口上網。
IP+MAC
華為交換機H3C端口AM指令
使用特殊的AM User-bind指令,來完成IP位址與MAC位址之間的綁定。例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
配置說明:以上配置完成對PC機的IP位址和MAC位址的全局綁定。
即與綁定的IP位址或者MAC位址不同的PC機,在任何端口都無法上網。
端口+IP+MAC
使用特殊的AM User-bind指令,來完成IP、MAC位址與端口之間的綁定。華為交換機H3C端口例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1。