[[169085]]

本文描述了Cisco secure ACS 5.7在中型企業(yè)里部署的安全實(shí)踐，以及如何解決日常運(yùn)維中的常見問題，如下所示：

防止DDoS攻擊

防止中間人攻擊

限制管理平臺(tái)訪問

對(duì)合法用戶源地址的限制

用戶自助修改密碼

網(wǎng)絡(luò)配置凍結(jié)期

空閑時(shí)間保護(hù)

ACS 5.7狀態(tài)監(jiān)控及告警

ACS 5.7 是思科公司開發(fā)的以規(guī)則為基礎(chǔ)的安全服務(wù)器，對(duì)網(wǎng)絡(luò)設(shè)備提供基于業(yè)界標(biāo)準(zhǔn)的AAA認(rèn)證服務(wù)。作為主流的網(wǎng)絡(luò)訪問控制平臺(tái)，ACS 5.7集成了網(wǎng)絡(luò)訪問控制和身份管理，支持Radius和Tacacs +協(xié)議。

作為網(wǎng)絡(luò)中識(shí)別接入設(shè)備和用戶身份的節(jié)點(diǎn)，ACS 5.7不僅支持內(nèi)部身份庫(kù)對(duì)本地用戶的識(shí)別，而且支持外部身份庫(kù)的調(diào)用。比如：ACS 5.7支持活動(dòng)目錄作為外部身份庫(kù)，對(duì)用戶進(jìn)行認(rèn)證和授權(quán)。

除此以外，ACS 5.7還提供了豐富的監(jiān)控、報(bào)表和排錯(cuò)工具，幫助管理員高效、便捷地完成日常運(yùn)維工作。

§ 防止DDoS攻擊

ACS5.7提供了相關(guān)的安全配置，可以有效降低DDoS攻擊帶來的影響。

登陸到ACS 5.7的命令行界面下，配置如下命令：

1.關(guān)閉ICMP 回應(yīng)報(bào)文

關(guān)閉ICMP回應(yīng)報(bào)文, 從而避免高并發(fā)ICMP請(qǐng)求報(bào)文，對(duì)CPU和網(wǎng)絡(luò)帶寬的消耗。比如：分布式PING攻擊造成的拒絕服務(wù)。

2.限制源地址TCP并發(fā)連接數(shù)量

根據(jù)企業(yè)業(yè)務(wù)的實(shí)際狀況，限制源地址TCP并發(fā)連接最大數(shù)量。從而避免惡意高并發(fā)TCP連接，造成的性能下降或者宕機(jī)。

3.限制TCP SYN速率

根據(jù)企業(yè)業(yè)務(wù)的實(shí)際狀況，限制每秒鐘允許的TCP SYN數(shù)據(jù)包數(shù)量，從而有效扼制SYN攻擊造成的拒絕服務(wù)。

§ 防止中間人攻擊

1. 把ACS 5.7部署在專有VLAN中

要把ACS 5.7部署在專有的管理VLAN中，不要和用戶測(cè)試環(huán)境放在同一VLAN中。以防止用戶機(jī)器對(duì)ACS 5.7數(shù)據(jù)包的嗅探。

2. 設(shè)置一個(gè)復(fù)雜的共享密碼

可以在ACS 5.7和交換機(jī)上，設(shè)置一個(gè)復(fù)雜的共享密碼，從而防止黑客的暴力破解。

Switch(config)#tacacs-server key 0 EIdwon%*523lkdje!)(

做到以上兩點(diǎn)，就能有效防止對(duì)ACS 5.7發(fā)起的中間人攻擊。

§ 限制管理平臺(tái)訪問

ACS 5.7為管理員提供了一個(gè)基于HTTPS協(xié)議的web portal，用于日常的維護(hù)管理工作。最大程度地限制能夠訪問該平臺(tái)的源地址范圍，可以有效保護(hù)ACS 5.7免受來自于非法IP地址的訪問。如下圖所示，在紅色標(biāo)識(shí)目錄下，定義了可以訪問web portal的源地址范圍。

§ 對(duì)合法用戶源地址的限制

當(dāng)一個(gè)合法用戶試圖登陸網(wǎng)絡(luò)設(shè)備時(shí)，ACS會(huì)首先對(duì)該用戶進(jìn)行AAA認(rèn)證。與此同時(shí)，ACS還能過濾該合法用戶的源地址。如下圖所示，當(dāng)該合法用戶的源地址位于定義的子網(wǎng)范圍內(nèi)時(shí)，允許其登陸網(wǎng)絡(luò)設(shè)備;否則，拒絕登陸。

這種限制主要是基于“合法用戶所處的網(wǎng)絡(luò)環(huán)境是否安全”這樣的考慮。

如下圖所示，在紅色標(biāo)識(shí)目錄下，定義合法用戶登陸設(shè)備所處的的安全子網(wǎng)范圍：

然后，在Access Policies > Access Services > Default Device Admin > Authorization

下，定義授權(quán)策略，如下圖所示：

§ 用戶自助修改密碼

通過ACS 5.7，用戶可以自助修改登陸網(wǎng)絡(luò)設(shè)備的密碼。這里介紹一種相對(duì)簡(jiǎn)單的實(shí)現(xiàn)方法。

如下圖所示，在紅色標(biāo)識(shí)目錄下，勾選Enable TELNET Change Password

然后，登陸交換機(jī)，在全局模式下輸入命令：

Switch# ssh -l 用戶名 交換機(jī)IP

用戶名是指在自己用來登陸交換機(jī)的賬戶;

交換機(jī)IP是指該用戶擁有管理員權(quán)限的任意交換機(jī)IP地址;

該命令輸入以后，如下圖所示，系統(tǒng)提示“password：”。請(qǐng)注意，這個(gè)時(shí)候不要輸入任何密碼，直接按回車鍵;系統(tǒng)會(huì)繼續(xù)提示“Enter old password:”，這個(gè)時(shí)候，輸入你的舊密碼，然后按回車鍵，系統(tǒng)又提示“Enter new password:”, 輸入你要更改的新密碼，然后按回車鍵;系統(tǒng)再次提示“Enter new password confirmation:”, 再次輸入新密碼，按回車鍵完成密碼修改。

§ 網(wǎng)絡(luò)配置凍結(jié)期

公司放假期間的任何網(wǎng)絡(luò)配置改動(dòng)，可能會(huì)導(dǎo)致需要網(wǎng)絡(luò)管理員到現(xiàn)場(chǎng)進(jìn)行排錯(cuò)的狀況出現(xiàn)。這個(gè)時(shí)候，網(wǎng)絡(luò)管理員很可能已經(jīng)放假外出，不能及時(shí)趕回公司。為了避免這種情況給公司業(yè)務(wù)帶來的影響，可以在公司放假期間，在ACS5.7上設(shè)置網(wǎng)絡(luò)配置凍結(jié)期，禁止任何網(wǎng)絡(luò)配置改動(dòng)。

如上圖所示，在紅色標(biāo)識(shí)目錄下，先定義一個(gè)時(shí)間段：

2017-Jan-21 到 2017-Feb-06

然后，選擇整個(gè)時(shí)間坐標(biāo)軸。

接著在Access Policies > Access Services > Default Device Admin > Authorization

下，定義一個(gè)授權(quán)策略，如下圖所示：

這樣以來，在定義好的時(shí)間段內(nèi)，任何網(wǎng)絡(luò)管理員都無法登陸網(wǎng)絡(luò)設(shè)備，進(jìn)行配置修改。

§ 空閑時(shí)間保護(hù)

當(dāng)網(wǎng)絡(luò)管理員登錄交換機(jī)以后，如果在一定時(shí)間內(nèi)，沒有任何鍵盤鼠標(biāo)動(dòng)作，出于安全的考慮，我們希望這個(gè)session能夠立刻結(jié)束。為了實(shí)現(xiàn)這個(gè)目標(biāo)，

在網(wǎng)絡(luò)設(shè)備上，配置如下命令：

aaa authorization exec bjcdlacs group tacacs+ local

這條命令定義了EXEC 會(huì)話屬性，首先取決于ACS上的配置。

然后，在ACS5.7上紅色標(biāo)識(shí)目錄下，定義Idle Time屬性值。如下圖所示，定義了當(dāng)管理員登陸交換機(jī)后，如果3分鐘之內(nèi)無響應(yīng)，登陸會(huì)話自動(dòng)結(jié)束。

§ ACS 5.7狀態(tài)監(jiān)控及告警

如前文所述，出于安全的考慮，我們?cè)贏CS5.7上關(guān)閉了ICMP回應(yīng)報(bào)文。這就意味著，我們?cè)谌魏螘r(shí)候，都無法PING通ACS server。那么，如何及時(shí)獲悉ACS的工作狀態(tài)呢?

ACS 5.7 提供了一系列非常好用的預(yù)警功能，可以在ACS發(fā)生故障以前，及時(shí)地通知到管理員。這里介紹常用的幾種：

1.用戶登陸網(wǎng)絡(luò)設(shè)備時(shí)，如果認(rèn)證時(shí)間超過3秒，自動(dòng)發(fā)郵件通知管理員。

2. 當(dāng)ACS的CPU，Memory，Disk I/O使用率，其中任何一項(xiàng)，大于90%的時(shí)候，自動(dòng)發(fā)郵件通知管理員。

3. 當(dāng)網(wǎng)絡(luò)設(shè)備上有配置改動(dòng)時(shí)，自動(dòng)發(fā)郵件通知管理員。

如上圖所示，當(dāng)管理員在網(wǎng)絡(luò)設(shè)備上做了配置改動(dòng)以后，通常會(huì)保持配置。因此，可以利用ACS審計(jì)功能中對(duì)“保存”命令的捕捉，來獲悉網(wǎng)絡(luò)設(shè)備上任何改動(dòng)的發(fā)生。

§ 后記

從ACS 5.x 版本開始，思科陸續(xù)推出了支持VMware VSphere的虛級(jí)化產(chǎn)品，支持ACS運(yùn)行在VMware虛擬機(jī)上。從實(shí)際使用效果來看，基于虛級(jí)機(jī)的ACS在運(yùn)行時(shí)，由于兼容性問題，經(jīng)常會(huì)報(bào)一些莫名其妙的錯(cuò)誤，相比早期版本，穩(wěn)定性略有下降。

與此同時(shí)，思科還推出了基于硬件的ACS 5.7產(chǎn)品，相比基于虛擬機(jī)的ACS，性能更加穩(wěn)定。

§ 作者簡(jiǎn)介

趙博，IBM 西安研發(fā)實(shí)驗(yàn)室IT基礎(chǔ)設(shè)施工程師，十年以上IT運(yùn)維經(jīng)驗(yàn)。負(fù)責(zé)研發(fā)實(shí)驗(yàn)室(西安)機(jī)房、實(shí)驗(yàn)室網(wǎng)絡(luò)(北京、西安)的日常運(yùn)維以及IBM中國(guó)研發(fā)實(shí)驗(yàn)室網(wǎng)絡(luò)設(shè)備的安全合規(guī)檢查。

免責(zé)聲明：

本文基于作者對(duì) Cisco Secure ACS 5.7產(chǎn)品使用的實(shí)踐經(jīng)驗(yàn)而撰寫，發(fā)表目的在于對(duì)該產(chǎn)品使用的經(jīng)驗(yàn)分享以及交流。本文內(nèi)容僅代表作者個(gè)人觀點(diǎn)，與作者所在公司無關(guān)。在此，作者不做任何有 關(guān)本實(shí)踐經(jīng)驗(yàn)的保障性承諾，包括但不限于任何明示或暗含的有關(guān)適用性、令人滿意的結(jié)果等。