基于命令行授權(quán)的IP城域網(wǎng)安全維護(hù)探析

張樹帆

[摘要]IP城域網(wǎng)作為重要的信息基礎(chǔ)設(shè)施，既要保證免受外部攻擊破壞，也要著力防止維護(hù)管理人員的操作過失，避免出現(xiàn)人為故障。通過對(duì)IP城域網(wǎng)安全維護(hù)管理的研究分析，提出部署TACACS+協(xié)議實(shí)現(xiàn)分權(quán)分域精確授權(quán)操作的方案，測試驗(yàn)證達(dá)到了預(yù)期效果。

[關(guān)鍵詞]IP城域網(wǎng) TACACS+ 授權(quán) 安全

IP城域網(wǎng)一般由多種型號(hào)的上百臺(tái)BAS、SR設(shè)備組成，向數(shù)百萬用戶提供寬帶、語音和視頻等業(yè)務(wù)。由于網(wǎng)絡(luò)安全暢通的極端重要性，IP城域網(wǎng)設(shè)備大都通過雙路電源、雙主控卡、多方向物理路由保障網(wǎng)絡(luò)結(jié)構(gòu)性安全，同時(shí)在設(shè)備上設(shè)置安全策略防止BAS、SR設(shè)備遭受攻擊或被非法入侵。但I(xiàn)P城域網(wǎng)仍面臨著有意或無意的操作失誤、操作過失而引發(fā)業(yè)務(wù)中斷的威脅。因此，有必要探索IP城域網(wǎng)分權(quán)分域的可控維護(hù)管理技術(shù)，使各個(gè)角色維護(hù)人員僅能操作白名單內(nèi)的授權(quán)命令行，并對(duì)所有操作日志實(shí)現(xiàn)留痕審計(jì)。

一、IP城域網(wǎng)維護(hù)管理風(fēng)險(xiǎn)

1、誤操作問題易發(fā)生。IP城域網(wǎng)設(shè)備型號(hào)、數(shù)量較多，因各機(jī)型的操作命令易混淆，同時(shí)部分維護(hù)人員技能水平欠缺，稍有不慎就可能輸錯(cuò)命令，出現(xiàn)過無意導(dǎo)致設(shè)備配置被誤操作并引發(fā)故障的情況。

2、越權(quán)操作問題難以避免。根據(jù)維護(hù)分工，省公司一般負(fù)責(zé)全局?jǐn)?shù)據(jù)配置，如路由協(xié)議配置、組播協(xié)議配置、IP地址池名稱等，市縣分公司只負(fù)責(zé)用戶IP地址開通、下連子接口等配置。但苦于缺少技術(shù)措施，經(jīng)常有基層公司人員越權(quán)制作個(gè)性化數(shù)據(jù)，造成數(shù)據(jù)配置不規(guī)范、不統(tǒng)一。

3、故障溯源定責(zé)困難。由于設(shè)備本地緩存空間有限，設(shè)備運(yùn)行日志和操作日志極容易被覆蓋。一旦發(fā)生重大故障后，往往存在操作日志不全的問題，給準(zhǔn)確分析故障原因和進(jìn)行故障追責(zé)造成困難。

4、用戶名管理工作量大。如果出現(xiàn)維護(hù)人員變動(dòng)，省公司要安排專人對(duì)設(shè)備上的用戶名進(jìn)行添加或刪除操作，工作量大且容易出錯(cuò)。

二、解決方案技術(shù)分析

1、采用RADIUS集中認(rèn)證的特點(diǎn)。RADIUS協(xié)議基于UDP，繼承了UDP諸如只提供最優(yōu)的傳輸?shù)奶攸c(diǎn)，缺少確認(rèn)服務(wù)器工作狀態(tài)的機(jī)制。RADIUS只對(duì)從客戶端到服務(wù)器access-request分組的密碼進(jìn)行加密。分組的其它部分如用戶名、授權(quán)服務(wù)和記賬是明文傳輸，可能被第三方字截獲。此外，RADIUS主要完成認(rèn)證，無法精確授權(quán)維護(hù)人員能用或不能用哪些命令。

2、采用TACACS+集中認(rèn)證的特點(diǎn)。TACACS+協(xié)議是由CISCO公司率先提出并實(shí)現(xiàn)的，在RADIUS協(xié)議基礎(chǔ)上增加了一些特性。TACACS+協(xié)議基于TCP，利用了TCP協(xié)議的許多特點(diǎn)，可利用TCP存活機(jī)制和狀態(tài)標(biāo)志位維護(hù)與多個(gè)TACACS+服務(wù)器的連接，對(duì)認(rèn)證請(qǐng)求只發(fā)給工作正常的服務(wù)器。TACACS+客戶機(jī)和TACACS+服務(wù)器之間的業(yè)務(wù)通過使用共享秘鑰進(jìn)行鑒別，該秘鑰從不在網(wǎng)絡(luò)上發(fā)送，安全性更好。此外，在一個(gè)會(huì)話期間，設(shè)備與TACACS+服務(wù)器之間進(jìn)行交互以確認(rèn)某條命令可否被執(zhí)行，進(jìn)而實(shí)現(xiàn)精確授權(quán)功能。綜上，采用TACACS+實(shí)現(xiàn)IP城域網(wǎng)設(shè)備集中認(rèn)證、授權(quán)和記帳功能，更具優(yōu)勢。

三、部署過程與效果驗(yàn)證

1、搭建TACACS服務(wù)器并建立維護(hù)人員與設(shè)備之間的對(duì)應(yīng)關(guān)系。在省公司網(wǎng)管中心搭建主備用的TACACS+服務(wù)器，對(duì)IP城域網(wǎng)設(shè)備按所屬位置和屬性建立設(shè)備組，并根據(jù)省市縣維護(hù)人員權(quán)限建成用戶組和角色，把各個(gè)用戶組對(duì)應(yīng)于設(shè)備組及某個(gè)角色，實(shí)現(xiàn)各個(gè)維護(hù)人員對(duì)所維護(hù)的設(shè)備進(jìn)行受限的命令操作的目的。

2、用正則表達(dá)式設(shè)置各個(gè)角色的授權(quán)命令集。一個(gè)角色所對(duì)應(yīng)的命令集就是該角色所對(duì)應(yīng)的維護(hù)人員帳號(hào)所能操作的命令集，不在命令集中的命令就無權(quán)操作。比如角色FenGongsi_show，列出分公司維護(hù)人員可用的查看命令，而FenGongsi_oper下列出分公司維護(hù)人員能夠進(jìn)行的數(shù)據(jù)配置命令。由于授權(quán)使用的命令的參數(shù)是可變的，因此通過正則表達(dá)式來添加授權(quán)命令。

3、在IP城域網(wǎng)設(shè)備上配置TACACS+協(xié)議及參數(shù)。在IP城域網(wǎng)BAS、SR上設(shè)置的參數(shù)主要包括TACACS+服務(wù)器IP地址、設(shè)備IP地址、密鑰串和認(rèn)證模板、計(jì)帳模板、授權(quán)模板等。

4、測試驗(yàn)證。維護(hù)人員使用TACACS+服務(wù)器上集中管理的用戶名和密碼登陸設(shè)備，僅能操作明確授權(quán)的命令，無權(quán)操作其它命令；維護(hù)人員登陸其它人員維護(hù)的設(shè)備時(shí)，提示設(shè)備登陸失敗；維護(hù)人員可從TACACS+系統(tǒng)導(dǎo)出所有操作過的命令。在設(shè)置了分權(quán)分域的基于命令行的精確授權(quán)后，可根據(jù)各級(jí)維護(hù)人員權(quán)限靈活設(shè)置具體的操作指令集，對(duì)低權(quán)限用戶只開放有關(guān)用戶數(shù)據(jù)和下聯(lián)接口配置類操作，屏蔽了危險(xiǎn)指令和全局性配置指令。

結(jié)語：隨著網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的實(shí)施，各地IP城域網(wǎng)將飛速發(fā)展，但隨之而來的安全維護(hù)管理問題也在困擾著各級(jí)維護(hù)人員。利用TACACS+協(xié)議構(gòu)建基于命令行的授權(quán)功能，可較好地滿足維護(hù)人員分權(quán)分域操作、最小授權(quán)操作和事后審計(jì)分析的需要。