第2章 S交换机管理平面安全

转载

yuanxingdexin 2018-11-20 12:00:45 博主文章分类：网络

文章标签 交换机 文章分类 网络安全

谁可以登录？

1. 交换机上设置用户名和密码，只有拥有用户名和密码的管理员才能登录交换机

交换机支持如下三种登录认证方式，基于安全性考虑，我们推荐使用AAA认证方式控制管理员登录。

Ø AAA：登录时必须输入用户名和密码。

Ø Password：登录时必须输入密码。

Ø None：登录时无需任何验证，可以直接登录到交换机。

图1 管理员登录场景

如图1所示，交换机使用AAA认证方式控制用户登录，在交换机上创建一个用户名是admin001，密码是SuperAdmin@123的账号。


[Switch] aaa

[Switch-aaa] local-user admin001 password irreversible-cipher SuperAdmin@123

管理员1和管理员2是合法用户，拥有用户名和密码，可以登录设备。而非法用户没有用户名和密码，无法登录设备。如果设备上使用的是None认证方式，那么非法用户也就可以登录设备了。

2. ACL规则允许的用户才能登录设备

交换机的登录用户名和密码仅管理员知道，可以有效防止非法用户登录。但是万一管理员不小心泄露或者被非法窃取，岂不是存在很大的风险？这种情况下，可以在交换机上配置ACL规则，限制只有指定网段的用户才能登录设备。

图2 通过ACL控制用户登录场景如图2所示，管理员1和管理员2属于10.10.10.0/24网段，非法用户属于20.20.10.0/24网段。通过在交换机上配置ACL规则，只允许IP地址是10.10.10.0/24网段的管理员登录设备，这样即使非法用户获取到用户名和密码，也无法登录设备。交换机的配置方法如下：

[Switch] acl 2008
[Switch-acl-basic-2008] rule permit source 10.10.10.0 0.0.0.255
[Switch-acl-basic-2008] quit
[Switch] user-interface vty 0 14
[Switch-ui-vty0-14] acl 2008 inbound   
[Switch-ui-vty0-14] quit

如何安全登录？

交换机支持通过CLI和Web网管两种方式登录设备，CLI登录方式又可以分为通过Console口、Telnet或STelnet方式登录设备。

Ø 通过Console口：该登录方式是本地登录，通过使用专门的Console通信线缆，直接连接交换机和用户终端，一般用于首次登录开局，安全风险可控。

Ø 通过Telnet登录设备：该登录方式是远程登录，登录过程是明文传输，安全性不高，用户信息易被窃取。

Ø 通过STelent登录设备：该登录方式也是远程登录，基于SSH协议，安全性较高。

1. 使用STelnet登录

Telnet在本质上是不安全的，它采用的是明文传输，别有用心的人非常容易截获传输过程中的数据。这就很容易受到“中间人”的***，即 “中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

通过使用SSH，就可以把所有传输的数据进行加密，这样"中间人"这种***方式就不可能实现了。

所以，对于CLI的登录方式，从安全方面讲，我们推荐使用基于SSH协议的STelnet方式进行登录设备。

2. Web网管登录

交换机的Web网管是通过HTTPS方式登录到设备，通过图形化界面对设备进行操作。相比于传统的HTTP登录方式，HTTPS登录方式通过安全套接层协议SSL，使客户端与设备之间交互的数据经过加密处理，提高通信的安全性。对安全性要求更高时，还可以在交换机上重新配置SSL策略和加载数字证书。

登录后怎么保证操作安全？

正如我们可以对一个公司不同级别的员工设置不同的访问权限，我们也可以对一个交换机不同的管理员设置不同的操作权限。一个管理员登录交换机有可以进行哪些操作，由两个因素决定：用户级别和命令级别。管理员有用户级别，命令行有命令级别，只有当用户级别大于或者等于命令级别时，管理员才可以执行该命令。

用户级别共16个，级别标识为0-15，命令级别共4个，级别标识为0-3，标识越高则级别越高。

用户级别和可以使用的命令级别的对应关系，请参见下表。

用户级别	可以使用的命令级别	说明
		网络诊断工具命令（如ping、tracert）和登录设备telent等命令。
1	0、1	大部分display命令。
2	0、1、2	业务配置命令。
3~15	0、1、2、3	系统注册的所有命令，包括用于业务故障诊断的debugging和诊断命令等。

命令级别是已注册好的，我们所能做的就只能是控制不同管理员的用户级别。那么交换机用户的级别又是怎么设置的呢？在这之前，我们需要先说明一个概念“VTY用户界面”，即：虚拟类型终端Virtual Type Terminal。

什么是VTY呢？当用户通过Telnet或STelnet登录设备时，系统会自动分配一个VTY界面来管理、监控设备和用户间的会话。每个VTY界面有对应的认证方式和用户级别。

当VTY界面的认证方式配置为Pssword和None时，VTY界面的级别就是用户的级别。缺省情况下用户的级别为0。当VTY界面的认证方式配置为AAA时，用户的级别是AAA视图下指定的级别，缺省情况下用户的级别为0。

下面我们来看看用户级别在交换机上是怎么配置的。 Ø 配置VTY界面0-4的用户级别为2级 [Switch] user-interface vty 0 4 [Switch-ui-vty0-4] user privilege level 2 Ø 在AAA视图下配置用户名test001的用户级别是15级 [Switch] aaa [Switch-aaa] local-user test001 privilege level 15 下面我们通过一个综合举例看一下管理员如何安全的登录并管理交换机。

配置管理员安全登录综合举例

图3 管理员安全登录综合组网

如图3所示，设备维护部门有3个管理员对设备进行维护和管理。为了保证设备管理安全，对设备进行如下配置。

配置思路：

管理员1是设备的主要负责人，他经常需要对设备进行某些重大操作,因此需要较高级别的操作权限。同时管理员1所处的网络环境为内网环境，相对较安全，可以考虑使用Telnet这种更便捷的登录方式。
管理员2和管理员3不是主要负责人，但是要经常登录设备进行某些查看性操作，因此分配低级别的操作权限即可。同时由于管理员2和管理员3所处的网络环境为外网环境，存在一定的安全隐患，因此需要考虑使用STelnet这种更加安全的登录方式。
考虑登录设备的用户的安全性，通过配置ACL仅允许管理员1对应的IP地址、管理员2和管理员3所处的网段IP地址登录。

配置步骤：

1. 配置VTY界面信息。

<Switch> system-view

[Switch] user-interface vty 0 4   //配置VTY用户界面0-4

[Switch-ui-vty0-4] authentication-mode aaa   //配置认证方式为AAA

[Switch-ui-vty0-4] protocol inbound all   //配置登录方式为STelnet和Telnet

[Switch-ui-vty0-4] quit

2. 为管理员1配置用户名和密码，分配最高级别的操作权限，配置登录方式为Telnet。

[Switch] telnet server enable   //使能Telnet服务器功能

[Switch] aaa

[Switch-aaa] local-user admin001 password irreversible-cipher test@123

[Switch-aaa] local-user admin001 privilege level 15   //配置最高操作权限

[Switch-aaa] local-user admin001 service-type telnet   //配置登录方式是Telnet

[Switch-aaa] quit

3. 为管理员2和管理员3配置用户名和密码，分配仅可以查看配置的操作权限，配置登录方式为STelnet。

[Switch] dsa local-key-pair create   //生成密钥对

Info: The key name will be: HUAWEI_Host_DSA.                                                                               

Info: The key modulus can be any one of the following : 1024, 2048.                                                            

Info: If the key modulus is greater than 512, it may take a few minutes.       

Please input the modulus [default=2048]:                                       

Info: Generating keys...                                                        

Info: Succeeded in creating the DSA host keys.

[Switch] stelnet server enable   //使能STelnet服务器功能

[Switch] aaa

[Switch-aaa] local-user admin002 password irreversible-cipher Hell@6789

[Switch-aaa] local-user admin002 privilege level 1   //配置查看操作权限

[Switch-aaa] local-user admin002 service-type ssh   //配置服务方式是SSH

[Switch-aaa] local-user admin003 password irreversible-cipher Hell@1234

[Switch-aaa] local-user admin003 privilege level 1

[Switch-aaa] local-user admin003 service-type ssh

[Switch-aaa] quit

[Switch] ssh user admin002 authentication-type password   //配置管理员2认证方式是password

[Switch] ssh user admin003 authentication-type password

[Switch] ssh user admin002 service-type stelnet   //配置SSH用户服务方式是STelnet

[Switch] ssh user admin003 service-type stelnet

交换机配置完成后，客户端需要安装PuTTY软件，在软件登录界面上输入设备的IP地址，选择协议类型为SSH，才能登录设备。

4. 配置ACL规则，防止非法网段的用户登录设备。

[Switch] acl 2008

[Switch-acl-basic-2008] rule permit source 10.10.10.2 0.0.0.0   //仅允许IP地址为10.10.10.2的用户登录

[Switch-acl-basic-2008] rule permit source 10.10.20.0 0.0.0.255   //仅允许该网段用户登录

[Switch-acl-basic-2008] quit

[Switch] user-interface vty 0 4

[Switch-ui-vty0-14] acl 2008 inbound

[Switch-ui-vty0-14] quit

配置后，只有10.10.10.2用户和10.10.20.0/24网段的用户才可以登录交换机。