基于命令行授权的IP城域网安全维护探析.docVIP

基于命令行授权的IP城域网安全维护探析.doc

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于命令行授权的IP城域网安全维护探析.doc

基于命令行授权的IP城域网安全维护探析   [摘要]IP城域网作为重要的信息基础设施,既要保证免受外部攻击破坏,也要着力防止维护管理人员的操作过失,避免出现人为故障。通过对IP城域网安全维护管理的研究分析,提出部署TACACS+协议实现分权分域精确授权操作的方案,测试验证达到了预期效果。   [关键词]IP城域网 TACACS+ 授权 安全   IP城域网一般由多种型号的上百台BAS、SR设备组成,向数百万用户提供宽带、语音和视频等业务。由于网络安全畅通的极端重要性,IP城域网设备大都通过双路电源、双主控卡、多方向物理路由保障网络结构性安全,同时在设备上设置安全策略防止BAS、SR设备遭受攻击或被非法入侵。但IP城域网仍面临着有意或无意的操作失误、操作过失而引发业务中断的威胁。因此,有必要探索IP城域网分权分域的可控维护管理技术,使各个角色维护人员仅能操作白名单内的授权命令行,并对所有操作日志实现留痕审计。   一、IP城域网维护管理风险   1、误操作问题易发生。IP城域网设备型号、数量较多,因各机型的操作命令易混淆,同时部分维护人员技能水平欠缺,稍有不慎就可能输错命令,出现过无意导致设备配置被误操作并引发故障的情况。   2、越权操作问题难以避免。根据维护分工,省公司一般负责全局数据配置,如路由协议配置、组播协议配置、IP地址池名称等,市县分公司只负责用户IP地址开通、下连子接口等配置。但苦于缺少技术措施,经常有基层公司人员越权制作个性化数据,造成数据配置不规范、不统一。   3、故障溯源定责困难。由于设备本地缓存空间有限,设备运行日志和操作日志极容易被覆盖。一旦发生重大故障后,往往存在操作日志不全的问题,给准确分析故障原因和进行故障追责造成困难。   4、用户名管理工作量大。如果出现维护人员变动,省公司要安排专人对设备上的用户名进行添加或删除操作,工作量大且容易出错。   二、解决方案技术分析   1、采用RADIUS集中认证的特点。RADIUS协议基于UDP,继承了UDP诸如只提供最优的传输的特点,缺少确认服务器工作状态的机制。RADIUS只对从客户端到服务器access-request分组的密码进行加密。分组的其它部分如用户名、授权服务和记账是明文传输,可能被第三方字截获。此外,RADIUS主要完成认证,无法精确授权维护人员能用或不能用哪些命令。   2、采用TACACS+集中认证的特点。TACACS+协议是由CISCO公司率先提出并实现的,在RADIUS协议基础上增加了一些特性。TACACS+协议基于TCP,利用了TCP协议的许多特点,可利用TCP存活机制和状态标志位维护与多个TACACS+服务器的连接,对认证请求只发给工作正常的服务器。TACACS+客户机和TACACS+服务器之间的业务通过使用共享秘钥进行鉴别,该秘钥从不在网络上发送,安全性更好。此外,在一个会话期间,设备与TACACS+服务器之间进行交互以确认某条命令可否被执行,进而实现精确授权功能。综上,采用TACACS+实现IP城域网设备集中认证、授权和记帐功能,更具优势。   三、部署过程与效果验证   1、搭建TACACS服务器并建立维护人员与设备之间的对应关系。在省公司网管中心搭建主备用的TACACS+服务器,对IP城域网设备按所属位置和属性建立设备组,并根据省市县维护人员权限建成用户组和角色,把各个用户组对应于设备组及某个角色,实现各个维护人员对所维护的设备进行受限的命令操作的目的。   2、用正则表达式设置各个角色的授权命令集。一个角色所对应的命令集就是该角色所对应的维护人员帐号所能操作的命令集,不在命令集中的命令就无权操作。比如角色FenGongsi_show,列出分公司维护人员可用的查看命令,而FenGongsi_oper下列出分公司维护人员能够进行的数据配置命令。由于授权使用的命令的参数是可变的,因此通过正则表达式来添加授权命令。   3、在IP城域网设备上配置TACACS+协议及参数。在IP城域网BAS、SR上设置的参数主要包括TACACS+服务器IP地址、设备IP地址、密钥串和认证模板、计帐模板、授权模板等。   4、测试验证。维护人员使用TACACS+服务器上集中管理的用户名和密码登陆设备,仅能操作明确授权的命令,无权操作其它命令;维护人员登陆其它人员维护的设备时,提示设备登陆失败;维护人员可从TACACS+系统导出所有操作过的命令。在设置了分权分域的基于命令行的精确授权后,可根据各级维护人员权限灵活设置具体的操作指令集,对低权限用户只开放有关用户数据和下联接口配置类操作,屏蔽了危险指令和全局性配置指令。   结语:随着网络强国战略的实施,各地IP城域网将飞速发展,但随之而来的安全维护管理问题

文档评论(0)

yingzhiguo + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:5243141323000000

1亿VIP精品文档

相关文档