网络设备AAA管理系统

一 概述

1、  随着企业规模的不断扩大和信息化不断发展，日常需要配置和管理的网设备数量越来越多，而信息安全要求越来越高。 网络设备不仅数量众多，设备也来自诸多不同厂家，包括H3C，华为，中兴，绿盟，南瑞，华赛，迪普等等。管理的工作量越来越多，难度越来越大，对工作人员的要求也越来越高。

2、企业信息安全中，对等级保护有明确的要求，其中三级以上均要求实现对网络设备运维访问的双因素认证，一些行业管理机构也对本行业的信息安全有明确要求，如国家发展改革委2014年第14号令《电力监控系统安全防护规定》，提出所有调度数据网设备需要定期更换密码、不使用的端口必须关闭、需要配置严谨的ACL策略等等安全要求。

     目前大多数企业的网络设备，包括二次安防设备，都使用基于本地的认证方式，修改密码需要登录到每个设备上面逐一修改，定期更换密码的工作量极其繁琐，而且容易出错（如大小写切换失误），且一旦配置错误，会造成登录密码不正确，无法正常登录设备的故障。影响业务的正常维护。

3 目前网络设备的配置缺乏有效的管理

      从我们目前的管理的实践看，网络设备的配置主要有以下问题期待解决：

      1）配置的自动搜集，也就是配置的备份，手工备份非常繁琐，而一般自行编写的脚本又难以跟踪备份的结果，也缺乏灵活性。

      2）配置的版本管理，一台网络设备从上线到运行至今，期间经过了多少次配置的修改，而每次修改的原因和结果无从跟踪

      3）配置的对比报告，从管理角度讲，我们即需要获知每次配置的变动（即新配置与老配置的差异对比）也需要获知是否有未保存的配置（即运行配置和启动配置的对比）防止出现修改后忘记保存，而设备重启又回复到老配置的情况。

      4）配置的自动下发，对于新增的设备或者更替的故障设备，再次手工配置即耗费人力，又容易出错，需要实现已验证和保存的正确版本立即下发之新设备，快速完成标准化的网络设备配置任务。

      5）配置的规范化审核，调度网络安全极其重要，任何一个设备的配置的疏漏都有可能对整个网络造成安全隐患，所以需要建立一套审核机制，对所有设备的配置逐一定期的进行审核，是否存在不符合安全标准的配置项，在每次配置更新后，必须再一次执行审核检查。

4、基本信息搜集缺乏有效机制

在故障申报时，往往需要提供设备的基础信息，以便于厂家的工程师可以快速定位故障的原因，所以搜集网络设备的基础信息非常重要，由于设备数量多，品种繁杂，靠人工搜集即消耗时间，又容易出错，需要一种自动搜集信息的机制，定期更新设备的基础属性数据库，即便于网络设备台帐的管理，又可以在进行故障申报时，快速提供准确的设备信息。

二 为什么需要基于双因素认证的AAA管理平台

1 为何需要集中认证平台

  网络设备众多，本地的账户管理+定期修改密码已经越来越无法满足安全的需求，如同传统的钥匙+锁的方式必然要被集中化的门禁系统代替一样，网络设备本身的账户管理也需要一个集中的管理平台。

2 为何需要双因素

  双因素相比静态密码，不仅仅是每30秒-120秒可以更换密码，而是实现了从我知到我知加我有的两类不同认证方式的组合。其安全性大为提高，入侵者即使获取了静态密码，也无法猜到动态密码，或者即使他窃取了用于产生动态密码的设备如手机或者动态令牌，也难以立即破解静态密码，要想即获取静态密码，又能窃取到实物形式的动态密码装置，这个难度远远大于仅仅靠静态密码就可以获取设备访问权的简单方式。

三 软域基于AAA和双因素的集中认证平台

1 软域基于AAA和双因素的集中认证平台，内置AAA所有功能，并且实现了单一平台AAA+双因素的功能，不用像以往一样要部署两套系统。

 系统具备RADIUS认证和TACACS+认证两大认证模块，可以灵活组合。

 系统具备静态口令，动态口令，双因素三种针对网络设备的访问模式。

 对于用户的认证方式，当采用双因素认证时，设置静态口令，通过二维码产生动态口令的种子，用户使用手机扫描即可获取令牌：

软域AAA双因素认证平台支持多种手机令牌.同时支持钉钉H5发布令牌，企业微信令牌，短信令牌等多种方式

如：freeotp 小米令牌  微软验证器  谷歌验证器 tokon manager

通过配置集中认证，网络设备的账户安全极大提高，因为采用双因素方式，用户也不用为定期修改密码而烦恼（密码30秒变动一次）。而且所有的登录访问行为均被审计：

  2 通过TACACS+实现操作的审计

软域AAA双因素认证平台实现了全功能的认证，授权，审计平台，而其他一些双因素系统仅仅实现了认证功能，缺乏对操作的审计，通过TACACS+实现的审计是全方位的审计，不管是通过何种方式登录到设备上，做出的所有操作均被审计：

3  强大的权限管理

通过实现集中权限管理，软域AAA双因素平台，不仅仅可以控制用户对哪台设备的访问，更可以确定权限级别，甚至是到命令以及参数这个级别，通过组合radius授权管理，TACACS+授权管理以及命令级别的权限管理，从最安全和方便的方式来实施最小化权限赋予这一安全管理原则（即只赋予登录人员能完成任务的最小权限），而不是所有人的所有登录都是最高权限这一危险方式：

4 全面的配置管理

  软域AAA双因素认证平台具备全面的配置管理功能，可以定义自动，手动，单个，批量采集设备的运行配置和启动配置，提供版本控制，快速恢复功能：

  5 基于手机的日志APP管理

  对于网络设备的安全管理，日志是必不可少的一项工作，软域AAA双因素认证平台提供日志的集中采集，分类，分析，以及备注等功能，同时提供手机APP模块，可以手机方便查看发生在网路设备上所有重要事

 6 其他重要功能

  软域AAA双因素认证平台还提供PING检测，简单SNMP功能，帮助用户监控网络的线路性能。 

四 部署方式

   软域AAA双因素认证平台完全旁路方式部署，用户的网络结构不需要做任何变动。

   部署时，只需要搭建好AAA平台，网络设备上做简单配置，加入到集中认证架构中即可。

   如CISCO 的配置如下：

   Cisco_2950

//认证授权

aaa new-model

aaa authentication login default group radius local

aaa authentication enable default group radius enable

 aaa authorization exec default group radius local

 radius-server host '192.168.0.214' auth-port 1812 acct-port 1813 (默认)

radius-server key 'rykj'

//审计

aaa accounting commands 0 default start-stop group tacacs+     

aaa accounting commands 1 default start-stop group tacacs+

aaa accounting commands 2 default start-stop group tacacs+

aaa accounting commands 3 default start-stop group tacacs+

aaa accounting commands 4 default start-stop group tacacs+

.....

aaa accounting commands 15 default start-stop group tacacs+

tacacs-server host '192.168.0.214'

tacacs-server key 'rykj'

//NAS-IP

interface 'Vlan1'

ip address '192.168.0.202  255.255.255.0' no ip route-cache

ip tacacs source-interface 'Vlan1'

ip radius source-interface 'Vlan1'

所有可网管的设备均支持AAA集中认证管理，包括防火墙，负载均衡设备，IPS IDS等设备，均支持AAA集中管理，可以说所有的三层及三层以下设备都可以纳入到软域AAA双因素管理平台，即使windows  OS (xp win7 win8 win10 2003 2008 2012 2016) 也可以通过部署插件纳入到软域AAA双因素管理平台，所有的LINUX设备可以通过PAM方式纳入到AAA集中管理平台，以实现全方位的安全管理。

五 关于杭州软域科技

杭州软域科技有限公司是一家专门从事信息安全相关产品开发的高科技公司，其AAA集中认证平台已经在很多领域得到应用，如金融领域（浙江全省农行系统，光大银行，江海证券，东北证券）邮政系统（浙江省邮政）电力系统（浙江华电集团下属所有电厂）数字传媒（浙江华数集团）大型国企（浙江烟草下属各烟草专卖局）等等。公司还研发生产新一代堡垒机（支持双因素密码代填）以及应用虚拟化平台等等。广泛应用于对网络安全有一定要求的各个行业和领域。