張樹帆

[摘要]IP城域網(wǎng)作為重要的信息基礎(chǔ)設(shè)施，既要保證免受外部攻擊破壞，也要著力防止維護管理人員的操作過失，避免出現(xiàn)人為故障。通過對IP城域網(wǎng)安全維護管理的研究分析，提出部署TACACS+協(xié)議實現(xiàn)分權(quán)分域精確授權(quán)操作的方案，測試驗證達到了預期效果。

[關(guān)鍵詞]IP城域網(wǎng) TACACS+ 授權(quán) 安全

IP城域網(wǎng)一般由多種型號的上百臺BAS、SR設(shè)備組成，向數(shù)百萬用戶提供寬帶、語音和視頻等業(yè)務(wù)。由于網(wǎng)絡(luò)安全暢通的極端重要性，IP城域網(wǎng)設(shè)備大都通過雙路電源、雙主控卡、多方向物理路由保障網(wǎng)絡(luò)結(jié)構(gòu)性安全，同時在設(shè)備上設(shè)置安全策略防止BAS、SR設(shè)備遭受攻擊或被非法入侵。但IP城域網(wǎng)仍面臨著有意或無意的操作失誤、操作過失而引發(fā)業(yè)務(wù)中斷的威脅。因此，有必要探索IP城域網(wǎng)分權(quán)分域的可控維護管理技術(shù)，使各個角色維護人員僅能操作白名單內(nèi)的授權(quán)命令行，并對所有操作日志實現(xiàn)留痕審計。

一、IP城域網(wǎng)維護管理風險

1、誤操作問題易發(fā)生。IP城域網(wǎng)設(shè)備型號、數(shù)量較多，因各機型的操作命令易混淆，同時部分維護人員技能水平欠缺，稍有不慎就可能輸錯命令，出現(xiàn)過無意導致設(shè)備配置被誤操作并引發(fā)故障的情況。

2、越權(quán)操作問題難以避免。根據(jù)維護分工，省公司一般負責全局數(shù)據(jù)配置，如路由協(xié)議配置、組播協(xié)議配置、IP地址池名稱等，市縣分公司只負責用戶IP地址開通、下連子接口等配置。但苦于缺少技術(shù)措施，經(jīng)常有基層公司人員越權(quán)制作個性化數(shù)據(jù)，造成數(shù)據(jù)配置不規(guī)范、不統(tǒng)一。

3、故障溯源定責困難。由于設(shè)備本地緩存空間有限，設(shè)備運行日志和操作日志極容易被覆蓋。一旦發(fā)生重大故障后，往往存在操作日志不全的問題，給準確分析故障原因和進行故障追責造成困難。

4、用戶名管理工作量大。如果出現(xiàn)維護人員變動，省公司要安排專人對設(shè)備上的用戶名進行添加或刪除操作，工作量大且容易出錯。

二、解決方案技術(shù)分析

1、采用RADIUS集中認證的特點。RADIUS協(xié)議基于UDP，繼承了UDP諸如只提供最優(yōu)的傳輸?shù)奶攸c，缺少確認服務(wù)器工作狀態(tài)的機制。RADIUS只對從客戶端到服務(wù)器access-request分組的密碼進行加密。分組的其它部分如用戶名、授權(quán)服務(wù)和記賬是明文傳輸，可能被第三方字截獲。此外，RADIUS主要完成認證，無法精確授權(quán)維護人員能用或不能用哪些命令。

2、采用TACACS+集中認證的特點。TACACS+協(xié)議是由CISCO公司率先提出并實現(xiàn)的，在RADIUS協(xié)議基礎(chǔ)上增加了一些特性。TACACS+協(xié)議基于TCP，利用了TCP協(xié)議的許多特點，可利用TCP存活機制和狀態(tài)標志位維護與多個TACACS+服務(wù)器的連接，對認證請求只發(fā)給工作正常的服務(wù)器。TACACS+客戶機和TACACS+服務(wù)器之間的業(yè)務(wù)通過使用共享秘鑰進行鑒別，該秘鑰從不在網(wǎng)絡(luò)上發(fā)送，安全性更好。此外，在一個會話期間，設(shè)備與TACACS+服務(wù)器之間進行交互以確認某條命令可否被執(zhí)行，進而實現(xiàn)精確授權(quán)功能。綜上，采用TACACS+實現(xiàn)IP城域網(wǎng)設(shè)備集中認證、授權(quán)和記帳功能，更具優(yōu)勢。

三、部署過程與效果驗證

1、搭建TACACS服務(wù)器并建立維護人員與設(shè)備之間的對應(yīng)關(guān)系。在省公司網(wǎng)管中心搭建主備用的TACACS+服務(wù)器，對IP城域網(wǎng)設(shè)備按所屬位置和屬性建立設(shè)備組，并根據(jù)省市縣維護人員權(quán)限建成用戶組和角色，把各個用戶組對應(yīng)于設(shè)備組及某個角色，實現(xiàn)各個維護人員對所維護的設(shè)備進行受限的命令操作的目的。

2、用正則表達式設(shè)置各個角色的授權(quán)命令集。一個角色所對應(yīng)的命令集就是該角色所對應(yīng)的維護人員帳號所能操作的命令集，不在命令集中的命令就無權(quán)操作。比如角色FenGongsi_show，列出分公司維護人員可用的查看命令，而FenGongsi_oper下列出分公司維護人員能夠進行的數(shù)據(jù)配置命令。由于授權(quán)使用的命令的參數(shù)是可變的，因此通過正則表達式來添加授權(quán)命令。

3、在IP城域網(wǎng)設(shè)備上配置TACACS+協(xié)議及參數(shù)。在IP城域網(wǎng)BAS、SR上設(shè)置的參數(shù)主要包括TACACS+服務(wù)器IP地址、設(shè)備IP地址、密鑰串和認證模板、計帳模板、授權(quán)模板等。

4、測試驗證。維護人員使用TACACS+服務(wù)器上集中管理的用戶名和密碼登陸設(shè)備，僅能操作明確授權(quán)的命令，無權(quán)操作其它命令；維護人員登陸其它人員維護的設(shè)備時，提示設(shè)備登陸失敗；維護人員可從TACACS+系統(tǒng)導出所有操作過的命令。在設(shè)置了分權(quán)分域的基于命令行的精確授權(quán)后，可根據(jù)各級維護人員權(quán)限靈活設(shè)置具體的操作指令集，對低權(quán)限用戶只開放有關(guān)用戶數(shù)據(jù)和下聯(lián)接口配置類操作，屏蔽了危險指令和全局性配置指令。

結(jié)語：隨著網(wǎng)絡(luò)強國戰(zhàn)略的實施，各地IP城域網(wǎng)將飛速發(fā)展，但隨之而來的安全維護管理問題也在困擾著各級維護人員。利用TACACS+協(xié)議構(gòu)建基于命令行的授權(quán)功能，可較好地滿足維護人員分權(quán)分域操作、最小授權(quán)操作和事后審計分析的需要。