aaa服务器解决方案.docx
《aaa服务器解决方案.docx》由会员分享,可在线阅读,更多相关《aaa服务器解决方案.docx(8页珍藏版)》请在冰豆网上搜索。
aaa服务器解决方案
AAA服务器解决方案
一、AAA概述
1.什么是AAA
AAA是Authentication,AuthorizationandAccounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
Ø哪些用户可以访问网络服务器?
Ø具有访问权的用户可以得到哪些服务?
Ø如何对正在使用网络资源的用户进行计费?
针对以上问题,AAA必须提供下列服务:
Ø认证:
验证用户是否可获得访问权。
Ø授权:
授权用户可使用哪些服务。
Ø计费:
记录用户使用网络资源的情况。
2.AAA的优点
由于AAA一般采用客户/服务器结构:
客户端运行于被管理的资源侧,服务器上集中存放用户信息,因此,AAA框架具有如下的优点:
Ø具有良好的可扩展性
Ø可以使用标准化的认证方法
Ø容易控制,便于用户信息的集中管理
Ø可以使用多重备用系统来提升整个框架的安全系数
3、RADIUS协议概述
如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。
在实践中,人们最常使用RADIUS协议来实现AAA。
3.1什么是RADIUS
RADIUS是RemoteAuthenticationDial-InUserService(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。
RADIUS系统是NAS(NetworkAccessServer,网络接入服务器)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。
RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。
RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。
在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
3.2RADIUS操作
RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:
Ø将客户端的用户名和加密口令发送至RADIUS服务器。
Ø用户可从RADIUS服务器收到下述响应报文之一:
ØACCEPT:
表明用户通过认证。
ØREJECT:
表明用户没有通过认证,提示用户重新输入用户名和口令,否则访问被拒绝。
3.3AAA/RADIUS在以太网交换机中的实现
由前面的概述,我们可以明白,在这样一个AAA/RADIUS框架中,S5516以太网交换机是作为用户接入设备即NAS,相对于RAIDUS服务器来说,S5516以太网交换机是RADIUS系统的客户端;换句话说,AAA/RADIUS在以太网交换机中实现的是其客户端部分
3.4、AAA协议在协议笺中的位置
4、AAA配置
4.1、AAA配置任务列表
AAA的配置任务列表如下:
Ø设置认证/授权方法表
Ø设置计费方法表
Ø创建/删除ISP域
Ø配置ISP域的相关属性
Ø配置用户模板属性
Ø指定缺省的ISP域
Ø添加本地用户
Ø配置本地用户属性
Ø强制切断用户连接
在以上的配置任务中,创建ISP域是必需的,否则无法区分接入用户的属性;其余任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
4.2、设置认证/授权方法表
认证/授权方法是指系统对接入用户在请求登录过程中采取的认证/授权策略,可以采用远端认证/授权(RADIUS认证/授权)、本地认证/授权或无须认证/授权三种方法中的一种或几种的组合。
其中,method1为首次认证/授权方法;method2为二次认证/授权方法。
认证/授权方法的取值可以从以下三种中选择一种:
Øradius——使用RADIUS服务器进行认证/授权
Ølocal——由接入设备(即以太网交换机)在本地进行认证/授权
Øsimple——用户不需要进行认证/授权即可获得服务
上述命令只是设置了一个认证/授权方法表,但要让它实际发挥作用则必须在某个用户域(限定了某类用户)的设置中明确地引用它。
二、网络对AAA需求
网络的AAA是在窄带接入服务成功的基础上发展起来,如大多数宽带接入服务和PDSN/GGSN都采用和RADIUS服务器接口。
但随着用户对业务要求越来越细致,比如VPN、按流量计费等方式的加入,AAA也需要综合考虑诸种业务,做到更科学的控制和管理。
AAA功能一是认证(Authentication),也就是辨别用户;二是授权(Authorization),也就是控制访问、提供业务;三是计费(Accounting),就是跟踪用户所使用网络资源,提供计费记录。
在认证方面,仍然可以沿用RADIUS服务器,但过去的CHAP和PAP方式都不是非常安全的方式,现在需要更复杂的认证算法,如移动IP所要求的HMAC-MD5算法。
此外,在移动用户越来越普及的情况下,认证支持漫游也是必选。
授权功能决定用户需要何种业务,包括连接种类和QoS参数等。
这里,扩展的可能性非常丰富:
例如需要考虑新增的漫游功能,以及根据QoS参数和现有网络资源状况,决定是否有足够资源向用户提供所需连接。
细分的业务控制能力在此处实现,如根据时间段、地点、会话数目等参数对连接进行控制等。
计费记录也要根据细致的要求提供详细的计费信息,如根据时长的计费、根据流量的计费、根据业务种类的计费等等。
AAA服务器不仅能应付现有的需要,更重要的是能根据新的需要进行扩充。
另一个重要的功能是,计费功能要完成尽可能多的工作,减少下游子系统如计费网关的负担。
在实现上,AAA也不一定要沿用旧有方式。
在宽带接入服务情况下,如以太网接入,用户需要的仅仅是一个IP地址,运营商需要的资源访问记录可在交换机和路由器中完成,这样,从理论上讲,就可以不使用接入服务器,也没有必要使用RADIUS服务器(如使用改造后的DHCP服务器),只是对交换机路由器等网络的设备有一定要求,如Cisco路由器的netflow功能。
根据网络发展和现有的水平,可以预见的对AAA的需求有以下几个方面:
一是对漫游给予不同程度的支持;二是对不同业务给予支持;三是对企业用户等重要客户的支持,对VPN的支持;四是对动态会话的支持;五是细粒度接入控制,基于时间、地点、用户策略和网络状况等;六是根据不同的会话和计费策略进行细粒度生成良好易用的计费记录。
三、选择AAA策略
用户在选择AAA服务器产品时,需要考虑以下方面:
一是是否包含一个策略引擎,策略是否综合考虑了网络、业务和用户以及足够细致的粒度(如根据域、组和单个用户)。
二是数据库是否支持整个网络,以保证扩展性和漫游。
三是与尽可能多的产品和标准兼容。
四是能否针对单个会话进行实时控制。
五是能否紧凑无缝地与现有运营子系统,如OSS、业务提供子系统进行融合。
六是在保证集中控制的同时支持上百万的用户。
七是不仅支持IETF和TIA的标准,也针对不同厂家的产品进行了扩展,尤其是对新的标准框架DIAMETER给予支持。
目前,多数AAA产品仍仅实现了基本的RADIUS功能,只提供根据时长的计费功能,这也是目前广大用户所使用的功能。
但随着移动数据网的崛起和业务种类的多样化和收费业务的增多,提供完善功能的AAA服务,不仅使用户能享受到更加合理的服务,也能为运营商创造更多利润。
四、CiscoSecureAccessControlServer4.0
4.1、产品概述
现在,网络访问方法越来越多,使遵守安全制度和不可控的网络访问成为企业担心的主要问题。
随着IEEE802.11无线局域网和普遍宽带互联网连接的广泛部署,安全问题不仅存在于网络外围,还存在于网络内部。
能够防御这些安全漏洞的身份识别网络技术现已成为吸引全球客户关注的主要技术。
企业越来越多地使用公共密钥基础设施(PKI)和一次性密码(OTP)等更严格的验证方式来控制用户从公共网络访问企业资源。
网络管理员希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性来提供灵活的授权策略。
最后,集中跟踪并监控网络用户连接的能力对于杜绝不适当地或过度地使用宝贵的网络资源至关重要。
Cisco®SecureACS(ACS)是具高可扩展性的高性能访问控制服务器,可作为集中的RADIUS和TACACS+服务器运行。
CiscoSecureACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中,因此提高了灵活性、移动性、安全性和用户生产率,从而进一步增强了访问安全性。
它针对所有用户执行统一安全策略,不受用户网络访问方式的影响。
它减轻了与扩展用户和网络管理员访问权限相关的管理负担。
通过对所有用户帐户使用一个集中数据库,CiscoSecureACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。
对于记帐服务,CiscoSecureACS针对网络用户的行为提供具体的报告和监控功能,并记录整个网络上每次的访问连接和设备配置变化。
这个特性对于企业遵守SarbanesOxley法规尤其重要。
CiscoSecureACS支持广泛的访问连接,包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。
CiscoSecureACS是思科基于身份的网络服务(IBNS)架构的重要组件。
CiscoIBNS基于802.1x(用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准,并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。
您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL]),这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS协议上查询CiscoSecureACS。
CiscoSecureACS也是思科网络准入控制(NAC)架构的重要组件。
思科NAC是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。
通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等),并可限制违规设备的访问。
思科NAC是思科自防御网络计划的一部分,为在第二层和第三层网络上实现网络准入控制奠定了基础。
我们计划进一步扩展端点和网络安全性的互操作性,以便将动态的事故抑制功能包含在内。
这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。
因此,用户可将受感染的系统与其他网络部分动态隔离开,从而大大减少病毒、蠕虫及混合攻击的传播。
CiscoSecureACS是功能强大的访问控制服务器,为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。
表1列出了CiscoSecureACS的主要优势。
表1.CiscoSecureACS的主要优势
优势
说明
易用性
基于Web的用户界面可简化并分发用户资料、组资料和CiscoSecureACS的配置。
可扩展性
CiscoSecureACS可通过支持冗余服务器、远程数据库以及数据库复制和备份服务来支持大型网络环境。
可扩容性
轻型目录访问协议(LDAP)验证转发功能支持对著名目录供应商保存在目录中的用户资料进行验证,包括Sun、Novell和Microsoft等。
管理
WindowsActiveDirectory支持结合了Windows用户名和密码管理功能,并使用WindowsPerformanceMonitor来查看实时统计数据。
系统管理
为每个CiscoSecureACS管理员分配不同的访问权限—以及对网络设备进行分组的能力—可以更轻松地控制网络访问并最大限度地提高灵活性,从而方便地对网络中的所有设备执行并更改安全策略。
产品灵活性
CiscoIOS®软件内嵌了对于AAA的支持,因此,CiscoSecureACS几乎能在思科销售的任何网络接入服务器上使用(CiscoIOS软件版本必须支持RADIUS或TACACS+)。
集成
与CiscoIOS路由器和VPN解决方案紧密集成,提供了多机箱多链路点到点协议(PPP)和CiscoIOS软件命令授权等特性。
第三方支持
CiscoSecureACS为提供满足RFC要求的RADIUS接口(如RSA、PassGo、安全计算、ActiveCard、Vasco或CryptoCard)的所有OTP供应商提供令牌服务器支持。
控制
CiscoSecureACS为一天中的时间点、网络使用、登录的会话数量和一周中每天的访问限制提供动态配额。
4.2、特性和优势
CiscoSecureACS4.0提供以下全新特性和优势:
CiscoNAC支持—CiscoSecureACS4.0用作NAC部署中的策略决策点。
使用可配置的策略,它能评估思科可信代理提交的凭证、决定主机状态、并向网络访问设备发送逐用户的授权信息:
ACL、基于策略的ACL或专用的VLAN分配。
评估主机凭证可执行许多特定策略,如操作系统补丁级别和防病毒DAT文件版本等。
CiscoSecureACS记录策略评估结果以供监控系统使用。
CiscoSecureACS4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查,然后再决定是否准许它访问网络。
您可通过作为CiscoSecureACS转发凭证目的地的外部策略服务器扩展CiscoSecureACS策略。
例如,防病毒供应商特定的凭证可被转发至供应商的防病毒策略服务器,审查策略请求可被转发至审查供应商。
可扩展性改进—CiscoSecureACS4.0升级之后可使用业界标准的RDMBS系统,将支持的设备(AAA客户端)和用户数量分别增加了10倍和3倍。
同时也大幅度改进了CiscoSecureACS支持的系列协议的性能(每秒的交易数)。
基于资料的策略—CiscoSecureACS4.0支持名为网络访问资料库的新特性,允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类,可将验证、访问控制和授权策略映射到特定的资料库中。
例如,基于资料库的策略允许为无线访问与远程(VPN)访问采用不同的访问策略。
扩展的复制组件—CiscoSecureACS4.0改进并增强了复制功能。
管理员现已能够复制网络访问资料库和所有相关的配置,包括状态验证设置、AAA客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享资料库组件和其他登录属性。
EAP-FAST增强支持—EAP-FAST是思科开发的可供公开访问的新型IEEE802.1xEAP,用于支持无法执行强大的密码策略或希望部署无需数字证书的802.1xEAP的客户。
它支持各类用户和密码数据库并支持密码到期和变更机制,是易于部署、易于管理的灵活EAP。
例如,未实施强大的密码策略且不希望使用证书的客户可移植到EAP-FAST以防词典攻击。
CiscoSecureACS4.0在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。
可下载的IPACL—CiscoSecureACS4.0将每用户的ACL支持扩展到了支持这个特性的所有第三层网络设备,包括CiscoPIX®安全产品、思科VPN解决方案和CiscoIOS路由器。
您可定义每用户或每用户群应用的一系列ACL。
这个特性允许执行适当的ACL策略,藉此补充了NAC支持。
当与网络访问过滤器一起使用时,您可通过不同方式每设备的应用可下载的ACL,从而每用户或每访问设备的定制ACL。
认证撤销列表(CRL)比较—CiscoSecureACS4.0使用X.509CRL资料库支持证书撤销机制。
CRL是记录已撤销证书的加盖时间标记的列表,由证书授权机构或CRL发放人签字并免费提交到公共信息库中。
CiscoSecureACS4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL,并保存它们以便在EAP传输层安全性(EAP-TLS)验证中使用。
如果用户在EAP-TLS验证期间提供的证书位于已检索的CRL中,将无法通过CiscoSecureACS验证,CiscoSecureACS将拒绝用户访问网络。
这个功能对组织变更频繁的客户来说非常重要,可防止宝贵的网络资产遭到欺骗性的使用。
设备访问限制—作为Windows设备验证的增强特性,CiscoSecureACS4.0提供设备访问限制功能。
当打开Windows设备验证功能时,您可使用设备访问限制机制来控制EAP-TLS授权,以及通过Windows外部用户数据库验证的Microsoft受保护的可扩展身份验证协议(PEAP)的用户。
如果用户用于访问网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证,您可根据需要为用户配置访问权限限制。
您也可选择拒绝用户访问网络。
网络访问过滤器(NAF)—CiscoSecureACS4.0包括NAF,作为新型的共享资料库组件。
NAF为在网络设备名、网络设备组或其IP地址上应用网络访问控制及可下载的ACL提供了灵活的方法。
根据IP地址应用的NAF可使用IP地址范围和通配符。
这个特性提供精确的应用网络访问限制及可下载的ACL,而在以前,所有设备只能应用相同的访问限制或ACL。
NAF允许定义灵活的网络设备限制策略,满足大型环境中最常见的要求。
思科硬件设备的其他支持CiscoSecureACS4.0支持思科无线局域网控制器和思科自适应安全产品。
4.3、系统要求
CiscoSecureACS提供两个版本:
CiscoSecureACSforWindows及CiscoSecureACSSolutionEngine—单机架单元(RU)的安全性增强设备,预装CiscoSecureACS许可。
如想实施CiscoSecureACSforWindows,您的Windows服务器至少要满足表2列出的最低硬件要求。
表2.CiscoSecureACSforWindows的最低服务器规范
类别
最低要求
处理器速度
1.8GHz或更快的PentiumIV处理器
内存
最小1GBRAM
硬盘驱动器
最低250MB的自由磁盘空间
分辨率
最低800x600(256色彩)
升级会员 