安全技术3:aaa
说明:
1.简介:
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实
际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
哪些用户可以访问网络服务器。
具有访问权的用户可以得到哪些服务。
如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
2. 授权功能
AAA支持以下授权方式:
直接授权:对用户非常信任,直接授权通过。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能
单独使用RADIUS 进行授权。
HWTACACS 授权:由TACACS服务器对用户进行授权。
3. 计费功能
AAA支持以下计费方式:
不计费:不对用户计费。
远端计费:支持通过RADIUS 服务器或TACACS服务器进行远端计费。
AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存
放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中
管理。
案例:关于利用radius 实现对用户telnet的控制:
其中认证服务器是思科的ACS。
拓扑图:本实验实现接入用户telnet交换机时采用acs服务器认证,并且进入后是管理员。
交换的配置:
#
radius scheme system(建立radius方案)
radius scheme test
server-type huawei 这个地方一定要是华为
primary authentication 192.168.100.2
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
domain tec(建立域)
scheme radius-scheme test
access-limit enable 30
accounting optional
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.100.24 255.255.255.0
Acs的配置:
首先安装jdk 然后安装acs服务器。
安装完后导入h3c的私有radius 属性:
1. 编写h3c.ini文件(绿色部分即为文件内容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
此文件主要用于定义私有属性的值
2. 将上面定义的文件导入到ACS中
ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:
(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口。
(2) 进入ACS的bin目录,在默认安装的情况下,该目录为
c:\Program Files\CiscoSecure ACS v4.0\bin
(3) 执行导入命令:
选择y,继续
3. 查看是否导入成功
导入完毕,可以通过命令来查看:
可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性
另外可以进入ACS页面来查看通过点击interface configuration 查看是否出现RADIUS Huawei 。:里面有一项需要打勾。如下图:
Acs基本配置:
用户的创建:
组的创建:
Network 配置:
测试结果:
用户user2 登陆成功:权限是0级别。
用户asd登陆成功;
安全技术4:dot1x
说明:
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1X应用环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。
(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。
802.1X认证的安全性分析
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。
拓扑图:
本实验实现的是接入的客户可以成功通过802.1x的认证。
交换机的配置:
dot1x
dot1x authentication-method pap
#
radius scheme system
radius scheme abc
server-type standard
primary authentication 192.168.101.250
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
domain tec
scheme radius-scheme abc
authentication radius-scheme abc
access-limit enable 30
accounting optional
#
local-user user1
password simple 123
service-type telnet
level 3
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.101.21 255.255.255.0
#
#
interface Ethernet1/0/14
dot1x
windows下的aaa服务器搭建:
在windows里面的添加删除组件中,选择网络服务中的internet验证服务,并安装。
安装完新建radius 客户端:名为test ip:192.168.101.21
然后选择远程策略那一项,在里面选择如下:
在计算机管理里面新建用户test 密码123 并在其属性里面选择:
下面是华为的801.x客户端上测试结果:test用户验证成功:
为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)。
MAC地址: 网络中被控制的计算机的MAC地址。
IP地址: 设定被控制计算机MAC地址的主机的IP地址。
绑定: 是否使能改MAC和IP的绑定匹配
案例1:端口+MAC
[sw]mac-address static 0026-22bb-22ff interface Ethernet0/2 vlan 1
[sw-Ethernet0/1]mac-address max-mac-count 0限制学习的地址,让其不会学习别的mac地址。
当pc1接在e0/1接口时:
测试:
当pc1接在e0/2,由于其mac绑定在端口e1/0上所以不通了。
案例2:
ip和mac的绑定
只需要全局下配置如下命令即可
[sw]arp static 192.168.100.1 0026-22bb-22ff
其主要用来防止arp欺骗。
此外还有下面的一些方法:
AM命令实现的绑定:
使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。
例如:[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。
IP+MAC
华为交换机H3C端口AM命令
使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。
即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。
端口+IP+MAC
使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。华为交换机H3C端口例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1。
配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。