安全技术3:aaa
说明:
1.简介:
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简

称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实

际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制,包括:

   哪些用户可以访问网络服务器。

   具有访问权的用户可以得到哪些服务。

   如何对正在使用网络资源的用户进行计费。

针对以上问题,AAA必须提供认证功能、授权功能和计费功能。

2. 授权功能
AAA支持以下授权方式:

   直接授权:对用户非常信任,直接授权通过。

   本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

   RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不能

单独使用RADIUS 进行授权。

   HWTACACS 授权:由TACACS服务器对用户进行授权。

 3. 计费功能
AAA支持以下计费方式:

   不计费:不对用户计费。

   远端计费:支持通过RADIUS 服务器或TACACS服务器进行远端计费。

AAA一般采用客户端/ 服务器结构:客户端运行于被管理的资源侧,服务器上集中存

放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中

管理。

 案例:关于利用radius 实现对用户telnet的控制:

其中认证服务器是思科的ACS。

拓扑图:本实验实现接入用户telnet交换机时采用acs服务器认证,并且进入后是管理员。

 

交换的配置:

 

#

radius scheme system(建立radius方案)

radius scheme test

 server-type   huawei  这个地方一定要是华为

 primary authentication 192.168.100.2

 accounting optional

 key authentication 123456

 user-name-format without-domain

#

domain system

domain tec(建立域)

 scheme radius-scheme test

 access-limit enable 30

 accounting optional

#

vlan 1

#

interface Vlan-interface1                

 ip address 192.168.100.24 255.255.255.0

Acs的配置:

首先安装jdk 然后安装acs服务器。

安装完后导入h3c的私有radius 属性:

1.     编写h3c.ini文件(绿色部分即为文件内容)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

此文件主要用于定义私有属性的值

2.    将上面定义的文件导入到ACS

 ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:

(1) 点击ACS Serverwindows开始菜单,在运行中输入cmd,打开一个命令行窗口。

(2) 进入ACSbin目录,在默认安装的情况下,该目录为

c:\Program Files\CiscoSecure ACS v4.0\bin

(3) 执行导入命令:

 

  

选择y,继续

 

3.     查看是否导入成功
导入完毕,可以通过命令来查看:

可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性

另外可以进入ACS页面来查看通过点击interface  configuration 查看是否出现RADIUS Huawei :里面有一项需要打勾。如下图:

Acs基本配置:

用户的创建:

 

 

 

 

组的创建:

 

 

 

 

 

Network  配置:

 

 测试结果:

用户user2 登陆成功:权限是0级别。

用户asd登陆成功;

 

安全技术4:dot1x
说明:
 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

 802.1X应用环境特点
(1)交换式以太网络环境
  对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。

(2)共享式网络环境
  当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。

802.1X认证的安全性分析
  802.1x协议中,有关安全性的问题一直是802.1x反对者***的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。

 

案例:

拓扑图:

本实验实现的是接入的客户可以成功通过802.1x的认证。

交换机的配置:

 

 dot1x

 dot1x authentication-method pap

#

radius scheme system

radius scheme abc

 server-type standard

 primary authentication 192.168.101.250

 accounting optional

 key authentication 123456

 user-name-format without-domain

#

domain system

domain tec

 scheme radius-scheme abc

 authentication radius-scheme abc

 access-limit enable 30

 accounting optional

#

local-user user1

 password simple 123

 service-type telnet

 level 3                                 

#

vlan 1

#

interface Vlan-interface1

 ip address 192.168.101.21 255.255.255.0

#

#

interface Ethernet1/0/14

 dot1x

 

windows下的aaa服务器搭建:

windows里面的添加删除组件中,选择网络服务中的internet验证服务,并安装。

安装完新建radius 客户端:名为test  ip192.168.101.21

然后选择远程策略那一项,在里面选择如下:

在计算机管理里面新建用户test  密码123  并在其属性里面选择:

 

下面是华为的801.x客户端上测试结果:test用户验证成功:

 

安全技术5arp绑定

说明:

为了更好的对网络中的计算机进行管理,您可以通过ARP绑定功能来控制网络中计算机间的访问(IP绑定)

 MAC地址: 网络中被控制的计算机的MAC地址。

 IP地址: 设定被控制计算机MAC地址的主机的IP地址。

 绑定: 是否使能改MACIP的绑定匹配

  

案例:

案例1:端口+MAC

[sw]mac-address static 0026-22bb-22ff interface Ethernet0/2 vlan 1

[sw-Ethernet0/1]mac-address max-mac-count 0限制学习的地址,让其不会学习别的mac地址。

pc1接在e0/1接口时:

测试:

pc1接在e0/2,由于其mac绑定在端口e1/0上所以不通了。

 案例2

ipmac的绑定

只需要全局下配置如下命令即可

[sw]arp static 192.168.100.1 0026-22bb-22ff

其主要用来防止arp欺骗。

 此外还有下面的一些方法:

AM命令实现的绑定:

使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。

例如[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

 IP+MAC

华为交换机H3C端口AM命令

使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。

即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。

 

 端口+IP+MAC

使用特殊的AM User-bind命令,来完成IPMAC地址与端口之间的绑定。华为交换机H3C端口例如:[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

 配置说明:可以完成将PC1IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。