引言
随着网络的高速发展,用户数量迅猛增加,作为国内最大的固网运营商,中国电信有着大量的设备资源,网络的安全运行显得日益重要。为了保证网络运行的安全,高效地对日益增加的设备进行管理,加强设备管理员的身份认证势在必行。为解决此问题,很多安全厂商都开发出了一系列商业软件,Cisco Secure ACS ( Cisco Secure Access Control Server )因其具有易集成、易操作、灵活性和可扩展性强等诸多优点成为此类软件中的佼佼者。但由于Cisco Secure ACS在日志管理方面仍存在一定的缺陷,如本身的日志存储使用CSV格式,并且在一定时间后会自动删除,日志只能按天查询,无法定制查询条件等问题,因此,加强其日志记录功能将会使其在网络管理中发挥更大的作用。为解决此问题,本人通过Cisco Secure ACS的ODBC输出数据功能,将日志同步输出到Sql Server 2000 数据库中,并编写了Web查询界面,解决了日志存储和查询的问题,并希望通过Cisco Secure ACS软件使我们的网络设备安全性得以提高。
集中认证带来的便利
目前,现网设备全部使用本地认证方式,即所有设备的密码都存储在设备本身,所有网络管理员都使用同一个密码来登录设备,这种方式的缺点如下:
知道密码的人较多,管理权无法精确到个人,如果密码被盗用,无法得知密码如何泄露,从哪个管理员手上泄露出去,甚至根本不知道密码已经被盗用,责任无法明确。
更改密码会有很大的工作量,按照集团公司要求,设备的密码需要定期更换,如果设备密码存储在设备本身,则需要对每一台设备都做一次密码修改,此项工作将消耗大量的人力资源,并且容易产生错漏。
设备登录日志无法明确查询,只能得知简单的登录信息甚至对登录完全没有记录。
以上问题,完全可以使用集中认证方式解决:
设备本身不存储密码,所有密码统一存储在认证服务器上,不再使用统一的密码,所有管理员都有自己的登录密码,万一密码丢失,只需禁用对应的用户名即可,这样,责权分明,便于管理。
需要更换密码时,只需每个管理员更换自己的密码即可,无需对设备有任何操作,这样,可以减少大量的工作量。
设备的登录日志存储在Sql Server 2000数据库中,同时,可以通过自行编写的Web界面进行查询,查询方式可根据需要灵活定制,可以根据时间、用户名、用户组、设备名称等条件来查询用户的登录信息或登录失败信息。
Cisco Secure ACS认证
Cisco Secure ACS 是高度可扩展的高性能访问控制服务器,可作为中央 RADIUS 或 TACACS+服务器系统使用,能够对用户进行认证(Authentication)、授权 (Authorization)和记帐(Accounting) ,即 AAA 的控制。 Cisco Secure ACS还提供了一个 Web 浏览界面来进行管理,使得系统管理员可以容易快捷地管理用户帐号和修改用户组的服务类别和权限等等,大大提高了系统管理员对整个网络系统的管理能力。Cisco Secure ACS安全认证模型如图所示。
管理员要登录到网络设备时,设备会将认证请求发送到Cisco Secure ACS服务器,由服务器来对登录请求做认证并将认证结果返回到网络设备,网络设备将根据认证结果允许或拒绝登录设备。
Cisco Secure ACS的主界面如图
使用Cisco Secure ACS后,可对所有设备统一进行管理,可以设置不同的用户组,赋予不同的管理权限,每个管理员有自己独立的用户名和密码,互不干涉,同时,Cisco Secure ACS对所有的登录请求都记录下来以备查询,这样,就可以很大程度提高设备的安全性。
登录日志Web查询系统
详细的登录日志在网络管理工作中也占据着非常重要的地位,Cisco Secure ACS可以精确到秒的记录下用户的登录和退出时间、用户名、用户组以及所登录的设备等信息,如果用户登录失败,还可以识别失败的原因并记录下来,如此强大的审计功能大大的方便了管理员,如图:
Cisco Secure ACS的日志功能虽然强大,但其对日志的记录却是以CSV格式文件存储,而且一定时间后会自动删除,这样不利于管理员对日志的审核。以此,本人使用Cisco Secure ACS内建的ODBC输出功能,将日志同时记录在Sql Server 2000数据库中,并自行编写了基于Web的查询系统,用以解决日志的存储和查询问题。整个系统模型如图:
Web查询系统界面如图
登录页面
已通过的登录认证界面
登录后,默认页面为已通过的登录认证
界面左边为导航栏,可查询已通过的登录认证、登录失败日志、Radius计帐记录、Tacacs+计帐记录等4大项,每一项都可以进行快速搜索和高级搜索,并且支持导出为CSV格式文件。
页面可列出登录时间、用户名、用户组,登录的设备以及设备IP地址等信息,点击高级搜索,打开高级搜索界面,可以定制更详细的查询条件。
登录失败日志
登录失败日志界面如图
页面可以列出登录时间、用户名、用户组、登录的设备、设备IP地址、失败原因等信息,点击高级搜索,可详细定制查询条件
Radius计帐记录
Radius计帐记录界面如图
页面可以列出登录时间、用户名、用户组、用户级别、登录的设备、设备IP地址、操作类型、持续时长、进程号等信息,点击高级搜索,可详细定制查询条件
Tacacs+计帐记录
Tacacs+计帐记录界面如图
页面可以列出登录时间、用户名、用户组、用户级别、登录的设备、设备IP地址、操作类型、持续时长、进程号等信息,点击高级搜索,可详细定制查询条件
结束语
Cisco Secure ACS 已经有了大量的成功案例,Web查询系统在测试过程中也不断地完善自身的功能,希望此系统能顺利通过测试,将南宁电信的网络设备安全性提升到一个新的高度,同时非常感谢各位领导和同事在系统开发过程中的支持和帮助,使得本系统能够顺利完成。