1.什么是AAA
认证authentication (你是谁)
授权authorization (你能做什么)
审计accounting (你做过什么)
在安全体系中属于访问控制,在cisco 的安全体系中叫做一体化认证解决方案。
ACS 是Cisco 公司的一个软件提供AAA 服务叫做cisco secure ACS 可以为我们提供tacacs+ 和Radius 服务。
2.认证:负责身份识别,(你是谁)包括三要素
1.你是谁(生物识别技术比如指纹,签名,角膜扫描)
2.你拥有什么 (比如信用卡,钥匙)
3.你知道什么(比如口令,密码)
理论上来说只有包括两要素以上的认证方式才被认为是较为安全的认证方式。
那么这样说来的话是不是认证的元素越多认证越复杂就越为安全呢?
1.讨论问题一:安全领域三个重要概念包括:
1.机密性
2.可用性
3.完整性
一般来说,根据不同的环境对于三个概念的要求不同,三个概念存在着一定的冲突,比如,机密性越高,通常可用性越低。同样的,可用性越高,安全性越低。那么我们该如何适当调整可用性与机密性的比例呢。 一般来说,民营企业更加注重可用性和完整性,而政府部门,军事机构等更注重机密性和完整性。也就是说,如果你是针对民营企业进行部署,应该更多考虑可用性,如果你是针对军事部门部署,那么应该更多考虑机密性。
所以认证过程中不是元素越多越复杂就越安全,请根据实际环境,酌情考虑。一般我们建议安全要尽量透明才好。比如在不增加认证过程的复杂程度的情况下增加认证强度,推荐使用证书。
aaa 常见的认证类型:1.登入认证(比如telnet ,ssh ,http ,https )IBM IBM
IBM
NAS
Radius Tacacs+登入
拨入穿越
SNRS 第一天AAA
2011年6月7日
3:02
2.拨入认证(比如ipsec vpn 拨号ppp拨号)
3.穿越认证(比如auth-proxy 认证代理)
关于登入认证的概述:使用telnet,ssh,http,https等登入协议来登录到NAS上进行操作,比如写配置,或者查看状态等。
关于拨入认证的概述:使用ppp或者ipsec vpn拨入我们的NAS,这时的NAS作为vpn的server接受拨入,同时会推送一些策略应用到client 端,比如推送ip地址,然后client通过server推送来的策略,去访问server身后的资源。
关于穿越认证的概述:在路由器上叫做auth-proxy,在防火墙上叫cut-through。auth-proxy也叫认证代理,主要是帮助server对访问的client进行认证。而cut-through有两种特别的技术,一种叫做virtual telnet,主要用于实现将不支持认证的协议流量捆绑到支持认证的协议流量上去做认证,从而完成对于不支持的认证协议认证的更能。另外一种叫做virtual http,主要解决http的二次认证问题。
3.授权:负责描述权限分配,(你能做什么)一般推荐最小权限策略。(在安全概念中关于授权方法大概有两种,也中叫基于最大授权方法,一种叫基于最小授权方法,如果是最大授权,就代表一个账号,默认情况下拥有全部权限,你不想让他做什么就取消一条权限,如果是最小权限,就是说一个账号默认没有任何权限,你想让他做什么,就给他增加一条权限。)
常用的授权类型包括:1.级别授权exec
2.网络授权network
3.auth-proxy 授权
4.命令授权command
……
所谓级别授权,就是授给用户一定的级别权限,比如1级,15级权限。不同的权限可以使用不同的命令库,cisco设备的命令库默认有0,1,15,三个命令库,一个15级的用户可以使用所有命令,1级用户,可以使用0级和1级命令。
所谓网络授权,一般用于IEEE802.1X或者ipsec remote vpn,可以为802.1x做策略推送,比如动态VLAN划分,或者为remote vpn推送地址池等。
所谓auth-proxy授权是auth-proxy专用的授权方式,在设备上进行定义,用于接收acs server的auth-proxy 相对应的AV-pair 所定义的授权内容,比如推送权限级别,比如推送列表。
所谓命令授权就是定义一个用户或者一个组,允许使用的IOS命令,当然前提是这个用户的级别可以使用本地命令库中指定的IOS命令。(比如一个5级用户,想要输入interface这个命令,那么首先需要在设备的0-5级命令库中存在interface这个命令,然后再由aaa服务器进行判定,如果aaa服务器允许就可以输入,那么如果在0-5级的命令库中没有interface这个命令的话,即使aaa服务器允许你输入,也无法完成。)
4.审计:负责记录审计信息,(你做过什么)可以帮助我们追踪攻击。
常用的审计类型包括:1.时间审计exec(可以记录用户登入和登出的时间以及在线时长)
2.命令审计command(用于记录哪一个用户在什么时间,输入了什么命令。可以跟踪配置的变化。)
Remote Authentication Dial-In User Service (RADIUS)
从名字我们可以看出RADIUS更趋向于用户管理。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种对远程用户进行认证和授权的客户/服务器认证协议。
RSDIUS 由Livingston Enterprises 为他的网络访问服务器产品系列开发,随后被公布为RFC 2138 和RFC 2139,成为公有化协议。所以我们也会发现RADIUS有两组端口号。
Terminal Access Controller Access Control System(TACACS)
从名字我们可以看出TACACS协议更趋向于设备管理。
TACACS(Terminal Access Controller Access Control System,终端访问控制器访问控制系统)经历了
三代:TACACS,扩展TACACS(XTACACS)和TACACS+。目前的TACACS+是cisco私有协议。
RADIUS:
1.最早是私有协议后来被IETF公有化,现在是标准化协议
2.使用的端口包括公有化前的1645/1646,其中1645做认证和授权,1646做审计。
公有化后的端口是1812/1813,其中1812做认证和授权,1813做审计。
3.其中认证和授权使用一个端口,审计使用一个端口。
4.使用单一信道随送策略。
5.只有16位密钥是加密的其他都是明文传输。
6.RADIUS可以支持download acl和IEEE802.1x技术,而TACACS是不支持的。
TACACS+:
1.是cisco私有协议
2.使用TCP 49号端口通讯。
3.认证,授权,和审计,使用相同端口。
4.使用多信道推送策略。
5.完整的流加密通讯。
6.TACACS+可以实现基于用户的命令授权技术,而RADIUS是不支持的。
AV-pair 成对的属性参数。他的作用是实现ACS服务器和NAS设备之间的通讯,比如acs可能是一台pc而nas可能是一台路由器,那么我们需要一种语言使得acs和nas可以进行通讯,那么这个av-pair就相当于这个两人都能懂得通讯语言。举例来说。
比如我在使用TACACS+实现auth-proxy时需要写priv-lvl=15,就表示推送给这个用户15级权限这就是一个av-pair
proxyacl#1="permit tcp any any eq ftp"这里表示推送一条auth-proxy的列表第一个条目是放行所有ftp流量。
>>>>>>>>>>>>>>>># >>>###
CISCO Secure ACS 软件介绍:
Cisco secure acs支持的底层平台包括三类:
radius软件
Secure Access Control Server for Unix
Secure Access Control Server for Windows
Secure Access Control Server Solution Engine
——Acs for unix 是指底层基于unix构架的acs系统
——Acs for windows 是指底层基于windows构架的acs,这一类也是我们最常用的acs,从早期的3.3,现在常用的4.x,对于底层windows的要求一般来说需要NT构架也就是我们常说的win 2000 server版,win 2003 server版,而且老的软件对系统要求更高一些,比如3.3我们推荐在英文版win 2000 server上安装,并且需要打上sp4的补丁,才能稳定运行。4.x系列可以安装在中文版的win上,但是我们依然建议你使用英文版windows,这样可以更加稳定的运行acs,4.x系列出来的时候有一些BUG,比如最早的4.1的NAR有BUG,4.2的命令审计有BUG,这些都可以通过给acs软件打补丁来解决。另外需要注意的是acs for windows 3.3的版本默认没有开启EAP-FAST,如果你想使用ACS 3.3构架802.1x的话需要在acs上开启EAP-FAST功能。
关于acs for windows的打补丁方法:
1.首先我们要在windows上安装acs 4.x ,
2.安装好软件以后将所有acs服务停止,
3.然后从cisco下载相应的补丁文件,是以rar格式存在的,我们当到本地以后,将rar文件解压缩,
4.用补丁包里面的文件覆盖acs安装目录下的文件,
5.然后从起服务就可以完成补丁升级。
——acs for SE 是cisco的一个硬件产品外观很像一台路由器。是由cisco进行了底层硬件优化了的acs设备。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
基于有限元软件Workbench对轴的分析
« 上一篇
发表评论