交換機(jī)的安全配置

作為交換機(jī)可謂網(wǎng)絡(luò)結(jié)構(gòu)的骨干關(guān)節(jié)，強(qiáng)化交換機(jī)的安全，對于保證網(wǎng)絡(luò)安全運(yùn)行是極為重要的。因?yàn)楦鞣N網(wǎng)絡(luò)設(shè)備都是連接到交換機(jī)上的，網(wǎng)絡(luò)流量必須通過交換機(jī)才可以發(fā)送和接收。

對網(wǎng)管員來說，對交換機(jī)進(jìn)行各種安全配置可以有效保護(hù)其正常運(yùn)行。要想實(shí)現(xiàn)對交換機(jī)的安全管理，還必須與其他安全控制設(shè)備緊密配合。例如，使用ISE設(shè)備就可以很好的保護(hù)交換機(jī)接入的安全性等。這里就以思科Catalyst 3560系列交換機(jī)為例，來說明具體的配置方法。

認(rèn)證、授權(quán)、訪問權(quán)限配置

全局啟用Dot1x認(rèn)證

在該系列某交換機(jī)上進(jìn)入全局配置模式，執(zhí)行“aaa new-model”，“aaa authentication login noacs line none”，“aaa session-id common”，“aaa authentication dot1x default group radius”，“aaa authorization network default group radius”，“aaa acconut dot1x default start-stop group radius”，“dot1x system-auth-control”等命令，來全局啟用Dot1x認(rèn)證，授權(quán)和審計(jì)功能，并啟用了3A線下保護(hù)功能。

執(zhí) 行“aaa server radius dynamic-auther”，“client xxx.xxx.xxx.xxx server-key cisco1”命令，啟用COA功能，其中的“xxx.xxx.xxx.xxx”為AAA服務(wù)器的IP。其中的“cisco1”為密碼，注意其必須與Radius的密碼一致。

COA授權(quán)更改功能

COA指的是授權(quán)改變功能，COA主要用于設(shè)備識別和準(zhǔn)入控制之用。當(dāng)PC等設(shè)備接入交換機(jī)后，會將其信息提交給AAA服務(wù)器。

如果AAA服務(wù)器檢測到其安全性無法滿足要求（例如系統(tǒng)版本過低，沒有安裝補(bǔ)丁和安全軟件等），就將其規(guī)劃到特殊的VLAN中，該VLAN會受到嚴(yán)格的權(quán)限控制。當(dāng)該機(jī)經(jīng)過升級等操作后，滿足了安全性要求，AAA服務(wù)器就可以將其指派到合法的VLAN中。

于是，通過Radius主要推送相關(guān)的授權(quán)信息給交換機(jī)，來實(shí)現(xiàn)上述要求，讓該機(jī)獲得合適的網(wǎng)絡(luò)訪問權(quán)限。在這種情況下，AAA服務(wù)就成為了交換機(jī)的Client端，即交換機(jī)要對AAA服務(wù)器進(jìn)行認(rèn)證。

配置最小網(wǎng)絡(luò)訪問權(quán)限

在交換機(jī)上執(zhí)行“radius-server attribute 6 on-for-login-auth”命令，表示進(jìn)行認(rèn)證時，交換機(jī)會在Radius的第一個請求包中不僅會將用戶名和密碼發(fā)送給AAA服務(wù)器，還會將標(biāo)號為6的服務(wù)類型信息也發(fā)送過去，AAA服務(wù)器會根據(jù)該信息來匹配對應(yīng)的策略。 執(zhí) 行“radius-server attribute 8 include-inaccess-req”命令，可以在Radius的第一個請求包中將設(shè)備的IP地址一并發(fā)送過去。這樣，AAA服務(wù)器可以根據(jù)其IP進(jìn)行相應(yīng)的控制。

執(zhí) 行“radius-server dead-criteria time 5 tries 3”命令，表示在間隔五秒的情況下連續(xù)三次發(fā)送信息給AAA服務(wù)器，如果其沒有應(yīng)答說明AAA服務(wù)器已經(jīng)宕機(jī)。執(zhí)行“radiusserver host xxx.xxx.xxx.xxx”，“radius-server key cisco”命令，指定AAA服務(wù)器的IP和 密碼。為了合理控制設(shè)備的網(wǎng)絡(luò)權(quán)限，需要配置基本的ACL列表，在交換機(jī)上執(zhí)行“ip access-list extended ACL-DEFAULT”，“permit usp any eq bootpc any eq bootps”，“permit udp any any eq domain”，“permit icmp any any”，“permit udp any any eq tftp”，“deny ip any any log”，“exit”命令。配置名為“ACL-DEFAULT”的擴(kuò)展ACL列表，僅僅放行DHCP、DNS、Ping、TFTP的流量。這樣，如果設(shè)備沒有經(jīng)過認(rèn)證，那么其只能擁有這些網(wǎng)絡(luò)訪問權(quán)限。

配置MAB

配置MAB認(rèn)證策略

例如在上述Fa 0/2上連接了一臺路由器R1，其不支持DotX認(rèn)證，所有可以使用MAB認(rèn)證模式。這樣，交換機(jī)就會將其MAC地址作為賬戶名和密碼，將其提交給AAA設(shè)備進(jìn)行認(rèn)證。要想讓其通過MAB認(rèn)證，必須在AAA服務(wù)器上為其配置對應(yīng)測策略。這里以ISE設(shè)備作為AAA服務(wù)器，登錄到ISE設(shè)備上，在其管理界面依次點(diǎn)擊菜單“Operation”、“Authentications” 項(xiàng) 可查看認(rèn)證信息。點(diǎn)擊菜單“Policy” 、“Authenti catuins”項(xiàng)，在默認(rèn)策略中可看到其可以匹配默認(rèn)的MAB策略。并可以將其發(fā)送到內(nèi)部終端數(shù)據(jù)庫上進(jìn)行認(rèn)證，但默認(rèn)的數(shù)據(jù)庫中并沒有其認(rèn)證信息。

點(diǎn)擊“Administration”、“Groups”項(xiàng)，在打開窗口左側(cè)選擇“Endpoint Identity Group”項(xiàng)，在右側(cè)工具欄上點(diǎn)擊“Add”按鈕，依次輸入組名（例如“group1”），描述信息等內(nèi)容，點(diǎn)擊“Submit”提交。之后需創(chuàng)建一個終端用戶，點(diǎn)擊“Administration”、“Identities”項(xiàng)，在 左 側(cè)點(diǎn)擊“Endpoints”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，依次輸入該設(shè)備（例如路由器R1）的MAC地址，注意格式必須為“xx:xx:xx:xx:xx:xx”。在“I d e n t i t y G r o u p Assignment”列表中顯示所有的組信息，選擇上述“group1”組。

在“Policy Assignment”列表中選擇對應(yīng)的設(shè)備類型，如“Cisco-Router”。點(diǎn)擊“Submit”提交。在R1路由器的全局配置模式下執(zhí)行“show authentication sessions interface fa0/2”，在返回信息中“mab”欄中顯示“Authc Success”信息，說明其已經(jīng)通過了MAB認(rèn)證。也可以在ISE管理界面中點(diǎn)擊菜單“Operations”、“Authentications”項(xiàng)，在日志信息中顯示該設(shè)備的MAC地址信息，并提示已經(jīng)通過安全認(rèn)證。

配置MAB授權(quán)策略

當(dāng)然，該設(shè)備雖然進(jìn)過了認(rèn)證，但是卻沒有對其進(jìn)行任何授權(quán)。點(diǎn)擊菜單“Policy”、“Authorization”項(xiàng)，顯示默認(rèn)的授權(quán)策略，對應(yīng)該設(shè)備的是“Wired_MAB”策略，其擁有的只能是“PermitAccess” 授 權(quán)策略，幾乎不具備任何網(wǎng)絡(luò)訪問權(quán)限，因?yàn)槠鋾艿?上 述“ACL-DEFAULT”ACL列表的管控。這里以簡單的例子，來說明如何對該設(shè)備進(jìn)行授權(quán)。點(diǎn)擊菜單“Policy”、“Results”項(xiàng)，在左側(cè)選擇“Authorization”、“Downloadable Profiles”項(xiàng)，在右側(cè)工具欄上點(diǎn)擊“Add”按鈕，輸入妨礙DACL的名稱（例如“dacl1”），描述信息等內(nèi)容，在“*DACL Content”欄中輸入具體的控制內(nèi)容，例如“permit ip any any”，表示放行該設(shè)備的所有流量。注意，源必須為“any”?？墒窃谠摽刂普Z句生效時，利用設(shè)備地址追蹤功能，可以使用目標(biāo)設(shè)備的實(shí)際IP對其進(jìn)行替換。

當(dāng)然，在實(shí)際的管理中，管理員可以靈活的設(shè)計(jì)各種ACL語句，對設(shè)備進(jìn)行合理的控制。點(diǎn)擊“Submit”按鈕提交修改。在左側(cè)點(diǎn) 擊“Authorization”、“Authorization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，輸 入 其 名 稱（例 如“profile1”）和描述信息，在“Common Tasks”欄中選擇“DACL Name”項(xiàng)，并選擇上述“dacl1”項(xiàng)目。選擇“VLAN”項(xiàng)，在右側(cè)的“Tag ID”欄中設(shè)置合適的VLAN號，這樣當(dāng)該設(shè)備通過授權(quán)后，可以被規(guī)劃到該VLAN中。其余設(shè)置默認(rèn)，點(diǎn)擊“Submit”按鈕提交修改。點(diǎn)擊“Policy”、“Authorization”項(xiàng)，在 授權(quán)管理列表最上一行右側(cè)點(diǎn)擊“Edit”旁的倒三角按鈕，在彈出菜單中點(diǎn)擊“Insert New Rule Above”項(xiàng)，在列表頂部添加一條規(guī)則。

在“Rule Name”列中輸入 其名 稱（例 如“rule1”），在“Conditions”列中選擇對應(yīng)的組（如上述“group1”組），并設(shè)置合適的條件（例如“Wired_MAB”），可 以 添加多個條件（例如地點(diǎn)1的設(shè)備等），彼此間是AND關(guān)系等。在授權(quán)列中選擇上 述“profile1”授 權(quán) 項(xiàng)目。點(diǎn)擊“Done”保存該規(guī)則。 點(diǎn)擊“Save”保存 修改。在ISE管理界面中點(diǎn)擊“Operations”、“Authenti cations”項(xiàng)，在日志信息中顯示該設(shè)備已獲取了上述授權(quán)規(guī)則。在該路由器上執(zhí)行“show authentication sessions interface fa0/2”命令，在返回信息中的“ACS ACL”欄中顯示獲取的授權(quán)ACL信息。執(zhí)行“sh ip device tracking interface fa 0/2”命令，顯示該接口獲取的IP地址信息。執(zhí)行“show ip access-lists interface fa 0/2”命令，顯示其實(shí)際獲取的ACL控制規(guī)則。這樣，該設(shè)備就可以自由的訪問各種網(wǎng)絡(luò)資源了。

更 正

2017年第12期信息安全欄目第121頁《高校宿舍網(wǎng)絡(luò)安全問題》一文署名更正為“北京 池新杰”，特此說明，并在此對作者表示歉意。