作為交換機(jī)可謂網(wǎng)絡(luò)結(jié)構(gòu)的骨干關(guān)節(jié),強(qiáng)化交換機(jī)的安全,對于保證網(wǎng)絡(luò)安全運(yùn)行是極為重要的。因?yàn)楦鞣N網(wǎng)絡(luò)設(shè)備都是連接到交換機(jī)上的,網(wǎng)絡(luò)流量必須通過交換機(jī)才可以發(fā)送和接收。
對網(wǎng)管員來說,對交換機(jī)進(jìn)行各種安全配置可以有效保護(hù)其正常運(yùn)行。要想實(shí)現(xiàn)對交換機(jī)的安全管理,還必須與其他安全控制設(shè)備緊密配合。例如,使用ISE設(shè)備就可以很好的保護(hù)交換機(jī)接入的安全性等。這里就以思科Catalyst 3560系列交換機(jī)為例,來說明具體的配置方法。
在該系列某交換機(jī)上進(jìn)入全局配置模式,執(zhí)行“aaa new-model”,“aaa authentication login noacs line none”,“aaa session-id common”,“aaa authentication dot1x default group radius”,“aaa authorization network default group radius”,“aaa acconut dot1x default start-stop group radius”,“dot1x system-auth-control”等命令,來全局啟用Dot1x認(rèn)證,授權(quán)和審計(jì)功能,并啟用了3A線下保護(hù)功能。
執(zhí) 行“aaa server radius dynamic-auther”,“client xxx.xxx.xxx.xxx server-key cisco1”命令,啟用COA功能,其中的“xxx.xxx.xxx.xxx”為AAA服務(wù)器的IP。其中的“cisco1”為密碼,注意其必須與Radius的密碼一致。
COA指的是授權(quán)改變功能,COA主要用于設(shè)備識別和準(zhǔn)入控制之用。當(dāng)PC等設(shè)備接入交換機(jī)后,會將其信息提交給AAA服務(wù)器。
如果AAA服務(wù)器檢測到其安全性無法滿足要求(例如系統(tǒng)版本過低,沒有安裝補(bǔ)丁和安全軟件等),就將其規(guī)劃到特殊的VLAN中,該VLAN會受到嚴(yán)格的權(quán)限控制。當(dāng)該機(jī)經(jīng)過升級等操作后,滿足了安全性要求,AAA服務(wù)器就可以將其指派到合法的VLAN中。
于是,通過Radius主要推送相關(guān)的授權(quán)信息給交換機(jī),來實(shí)現(xiàn)上述要求,讓該機(jī)獲得合適的網(wǎng)絡(luò)訪問權(quán)限。在這種情況下,AAA服務(wù)就成為了交換機(jī)的Client端,即交換機(jī)要對AAA服務(wù)器進(jìn)行認(rèn)證。
在交換機(jī)上執(zhí)行“radius-server attribute 6 on-for-login-auth”命令,表示進(jìn)行認(rèn)證時,交換機(jī)會在Radius的第一個請求包中不僅會將用戶名和密碼發(fā)送給AAA服務(wù)器,還會將標(biāo)號為6的服務(wù)類型信息也發(fā)送過去,AAA服務(wù)器會根據(jù)該信息來匹配對應(yīng)的策略。 執(zhí) 行“radius-server attribute 8 include-inaccess-req”命令,可以在Radius的第一個請求包中將設(shè)備的IP地址一并發(fā)送過去。這樣,AAA服務(wù)器可以根據(jù)其IP進(jìn)行相應(yīng)的控制。
執(zhí) 行“radius-server dead-criteria time 5 tries 3”命令,表示在間隔五秒的情況下連續(xù)三次發(fā)送信息給AAA服務(wù)器,如果其沒有應(yīng)答說明AAA服務(wù)器已經(jīng)宕機(jī)。執(zhí)行“radiusserver host xxx.xxx.xxx.xxx”,“radius-server key cisco”命令,指定AAA服務(wù)器的IP和 密碼。為了合理控制設(shè)備的網(wǎng)絡(luò)權(quán)限,需要配置基本的ACL列表,在交換機(jī)上執(zhí)行“ip access-list extended ACL-DEFAULT”,“permit usp any eq bootpc any eq bootps”,“permit udp any any eq domain”,“permit icmp any any”,“permit udp any any eq tftp”,“deny ip any any log”,“exit”命令。配置名為“ACL-DEFAULT”的擴(kuò)展ACL列表,僅僅放行DHCP、DNS、Ping、TFTP的流量。這樣,如果設(shè)備沒有經(jīng)過認(rèn)證,那么其只能擁有這些網(wǎng)絡(luò)訪問權(quán)限。
例如在上述Fa 0/2上連接了一臺路由器R1,其不支持DotX認(rèn)證,所有可以使用MAB認(rèn)證模式。這樣,交換機(jī)就會將其MAC地址作為賬戶名和密碼,將其提交給AAA設(shè)備進(jìn)行認(rèn)證。要想讓其通過MAB認(rèn)證,必須在AAA服務(wù)器上為其配置對應(yīng)測策略。這里以ISE設(shè)備作為AAA服務(wù)器,登錄到ISE設(shè)備上,在其管理界面依次點(diǎn)擊菜單“Operation”、“Authentications” 項(xiàng) 可查看認(rèn)證信息。點(diǎn)擊菜單“Policy” 、“Authenti catuins”項(xiàng),在默認(rèn)策略中可看到其可以匹配默認(rèn)的MAB策略。并可以將其發(fā)送到內(nèi)部終端數(shù)據(jù)庫上進(jìn)行認(rèn)證,但默認(rèn)的數(shù)據(jù)庫中并沒有其認(rèn)證信息。
點(diǎn)擊“Administration”、“Groups”項(xiàng),在打開窗口左側(cè)選擇“Endpoint Identity Group”項(xiàng),在右側(cè)工具欄上點(diǎn)擊“Add”按鈕,依次輸入組名(例如“group1”),描述信息等內(nèi)容,點(diǎn)擊“Submit”提交。之后需創(chuàng)建一個終端用戶,點(diǎn)擊“Administration”、“Identities”項(xiàng),在 左 側(cè)點(diǎn)擊“Endpoints”項(xiàng),在右側(cè)點(diǎn)擊“Add”按鈕,依次輸入該設(shè)備(例如路由器R1)的MAC地址,注意格式必須為“xx:xx:xx:xx:xx:xx”。在“I d e n t i t y G r o u p Assignment”列表中顯示所有的組信息,選擇上述“group1”組。
在“Policy Assignment”列表中選擇對應(yīng)的設(shè)備類型,如“Cisco-Router”。點(diǎn)擊“Submit”提交。在R1路由器的全局配置模式下執(zhí)行“show authentication sessions interface fa0/2”,在返回信息中“mab”欄中顯示“Authc Success”信息,說明其已經(jīng)通過了MAB認(rèn)證。也可以在ISE管理界面中點(diǎn)擊菜單“Operations”、“Authentications”項(xiàng),在日志信息中顯示該設(shè)備的MAC地址信息,并提示已經(jīng)通過安全認(rèn)證。
當(dāng)然,該設(shè)備雖然進(jìn)過了認(rèn)證,但是卻沒有對其進(jìn)行任何授權(quán)。點(diǎn)擊菜單“Policy”、“Authorization”項(xiàng),顯示默認(rèn)的授權(quán)策略,對應(yīng)該設(shè)備的是“Wired_MAB”策略,其擁有的只能是“PermitAccess” 授 權(quán)策略,幾乎不具備任何網(wǎng)絡(luò)訪問權(quán)限,因?yàn)槠鋾艿?上 述“ACL-DEFAULT”ACL列表的管控。這里以簡單的例子,來說明如何對該設(shè)備進(jìn)行授權(quán)。點(diǎn)擊菜單“Policy”、“Results”項(xiàng),在左側(cè)選擇“Authorization”、“Downloadable Profiles”項(xiàng),在右側(cè)工具欄上點(diǎn)擊“Add”按鈕,輸入妨礙DACL的名稱(例如“dacl1”),描述信息等內(nèi)容,在“*DACL Content”欄中輸入具體的控制內(nèi)容,例如“permit ip any any”,表示放行該設(shè)備的所有流量。注意,源必須為“any”??墒窃谠摽刂普Z句生效時,利用設(shè)備地址追蹤功能,可以使用目標(biāo)設(shè)備的實(shí)際IP對其進(jìn)行替換。
當(dāng)然,在實(shí)際的管理中,管理員可以靈活的設(shè)計(jì)各種ACL語句,對設(shè)備進(jìn)行合理的控制。點(diǎn)擊“Submit”按鈕提交修改。在左側(cè)點(diǎn) 擊“Authorization”、“Authorization Profiles”項(xiàng),在右側(cè)點(diǎn)擊“Add”按鈕,輸 入 其 名 稱(例 如“profile1”)和描述信息,在“Common Tasks”欄中選擇“DACL Name”項(xiàng),并選擇上述“dacl1”項(xiàng)目。選擇“VLAN”項(xiàng),在右側(cè)的“Tag ID”欄中設(shè)置合適的VLAN號,這樣當(dāng)該設(shè)備通過授權(quán)后,可以被規(guī)劃到該VLAN中。其余設(shè)置默認(rèn),點(diǎn)擊“Submit”按鈕提交修改。點(diǎn)擊“Policy”、“Authorization”項(xiàng),在 授權(quán)管理列表最上一行右側(cè)點(diǎn)擊“Edit”旁的倒三角按鈕,在彈出菜單中點(diǎn)擊“Insert New Rule Above”項(xiàng),在列表頂部添加一條規(guī)則。
在“Rule Name”列中輸入 其名 稱(例 如“rule1”),在“Conditions”列中選擇對應(yīng)的組(如上述“group1”組),并設(shè)置合適的條件(例如“Wired_MAB”),可 以 添加多個條件(例如地點(diǎn)1的設(shè)備等),彼此間是AND關(guān)系等。在授權(quán)列中選擇上 述“profile1”授 權(quán) 項(xiàng)目。點(diǎn)擊“Done”保存該規(guī)則。 點(diǎn)擊“Save”保存 修改。在ISE管理界面中點(diǎn)擊“Operations”、“Authenti cations”項(xiàng),在日志信息中顯示該設(shè)備已獲取了上述授權(quán)規(guī)則。在該路由器上執(zhí)行“show authentication sessions interface fa0/2”命令,在返回信息中的“ACS ACL”欄中顯示獲取的授權(quán)ACL信息。執(zhí)行“sh ip device tracking interface fa 0/2”命令,顯示該接口獲取的IP地址信息。執(zhí)行“show ip access-lists interface fa 0/2”命令,顯示其實(shí)際獲取的ACL控制規(guī)則。這樣,該設(shè)備就可以自由的訪問各種網(wǎng)絡(luò)資源了。
更 正
2017年第12期信息安全欄目第121頁《高校宿舍網(wǎng)絡(luò)安全問題》一文署名更正為“北京 池新杰”,特此說明,并在此對作者表示歉意。