一种用于大型网络网络管理架构.docVIP

一种用于大型网络网络管理架构摘 要： 在大型网络中对网络设备的统一管理是个重要的问题。在路由器上设置密码验证的传统方法并不能验证管理员的身份，不利于安全审计，传统的逐个对网络设备进行口令变更在网络设备数量众多的情况下也是不容易的。提出一种引入AAA和VPN的网络管理架构，通过这种架构，实现网络管理员一次认证就能随意访问授权路由器并执行授权命令，不仅简化认证过程，还实现数据的安全传输和安全审计。这种架构可以用在金融、航空及政府部门等大型网络领域。 关键词： 网络管理；大型网络；AAA；VPN；金融；航空 0 引言 路由器、交换机等网络设备在整个网络中扮演着不可替代的角色。如果这些网络设备出了状况，那么整个网络就可能出问题，甚至崩溃，对于金融、航空及政府等重要领域来说，这种损失是不能忍受的。因此，如何安全快捷地管理网络设备就显得非常重要。 1 传统网络管理状况 金融、航空等领域的省级以上机构网络通常都属于大型网络，需要维护的网络设备至少在几十台、上百台。出于安全考虑，网络管理员需要定期对登录用户口令进行变更，传统的逐个对网络设备进行口令变更工作量巨大，实施过程并不轻松，容易产生懈怠情绪，经常会有口令长期不变的情况发生，存在安全隐患。 信息安全审计要求网络设备的管理进行权限划分，即口令管理、操作、审计需要由不同的人来负责。口令管理只负责用户名称和密码的分配，操作是使用分配的名称和密码对网络设备进行维护管理，即通常讲的网络管理员的操作，审计是对口令管理情况以及网络设备维护情况的安全审计。在网络设备上设置密码验证的传统方法并不能验证网络管理员的身份，换句话讲，如果一个人虽然不是管理员，但是他只要知道了密码，同样可以访问网络设备。 通常，网络管理员希望在任意网络节点访问任意一台网络设备，所以通常习惯使用Telnet方式利用Telnet协议实现远程访问和配置网络设备。但是Telnet存在着安全隐患，因为使用这种方式在网络上传输的数据没有加密，意味着网络中传输的密码能轻易的被网络工具截获。后来许多网络设备已经实现了SSH（Secure Shell）方式的访问，与Telnet协议不同的是SSH方式的数据传输是经过加密的，增强了密码的安全性。因此，所有网络设备就必须允许对端22端口（SSH）或23端口（Telnet）到自身的访问。但这样又带来了安全漏洞，作为网络主管或审计员，他需要知道最近谁访问了网络设备，以及执行了什么命令。 2 一种新的架构 要解决上述问题，需要设计一种新的架构，我们采用IETF研究小组提出的通用的AAA（Authentication，Authorization，Accounting）[1]，即认证（Authentication）、授权（Authorization）和审计（Accounting）。其中，认证是指对用户身份的验证；授权是指在用户通过认证之后确定其可以具有的权限；审计是记录用户对网络设备/网络资源使用情况的详细记录，作为审计的依据。传统的由网络设备进行的密码验证将被证书认证代替，还采用单点登录（Single Sign-On）简化对网络设备的访问。管理员只需要一次认证就可以自由访问所有经过授权的网络设备，而不再需要知道所有网络设备上设置的密码。同时，我们引入VPN[2]，实现认证和加密传输两个功能。也就是说，新的架构要能实现管理员方便的访问网络设备，同时实现数据安全传输。 3 一个实例 接下来我们用一个实例描述这种新的架构，来说明如何实现在大型网络中对网络设备的访问更加高效和安全。如图1所示，一个大型网络的所有网络设备同一台AAA服务器相连，以其中一台路由器Router A为例描述其过程。可以限定只有源IP为10.0.1.100的客户端才能使用SSH协议访问路由器，这个规则通过ACL很容易实现。AAA服务器同时运行VPN服务器程序，管理员客户端运行VPN客户端程序。策略库记录管理员信息，认证及路由器信息。 现在我们假定管理员Client M想要访问Router A，将会发生下面的过程。 1）起初AAA服务器不知道Client M的身份，它要求Client M使用证书和密码同AAA服务器建立一个VPN连接。为了提高安全性，我们同时使用证书和密码认证，但这里的密码并不是路由器上设置的密码。如果Client M是有效用户，就会建立VPN连接。Client M获得一个虚拟IP地址：100.0.0.10。AAA服务器用它的虚拟IP地址100.0.0.1同Client M进行通信，所有的数据传输采用VPN加密。 2）Client M访问Router A以前，AAA服务器根据相应的策略检查Client M是否有相关认证及授权并反馈给Client M