華為裝置的安全技術
安全技術1:mac位址的綁定:
mac位址綁定就是利用交換機的安全控制清單将交換機上的端口與所連接配接終端的mac位址進行捆綁。
由于每個網絡适配卡具有唯一的mac位址,為了有效防止非法使用者盜用網絡資源,mac位址綁定可以有效的規避非法使用者的接入。以進行網絡實體層面的安全保護。
由于mac位址綁定的安全性能,是以被大多數的終端使用者所運用,以保證網絡非法使用者從非法途徑進入網絡,盜用網絡資源。這個技術被廣泛運用。
案例:
通過mac位址與端口綁定,使得當發現主機的mac位址與交換機上綁定的mac位址不符時,交換機相應的端口将down掉。
如圖:pc1的mac(1c-4b-d6-70-ab-73)位址和交換機的eth0/1 端口綁定
pc2的mac(e0-cb-4e-fe-0f-8c)位址和交換機的eth0/2 端口綁定
交換機的配置:
mac static 1c-4b-d6-70-ab-73 interface ethernet 0/1 vlan 1
mac static e0-cb-4e-fe-0f-8c interface ethernet 0/2 vlan 1
測試:
1.pc1 ping pc2
2.pc1和pc2互換接口後:
結果不通!!
安全技術2:acl
通路控制清單(acl)是應用在交換機或路由器接口的指令清單。這些指令清單用來告訴路由器哪能些資料包可以收、哪能資料包需要拒絕。至于資料包是被接收還是拒絕,可以由類似于源位址、目的位址、端口号等的特定訓示條件來決定。
acl主要分為以下兩類:
1. 标準acl:表号為1-99 以及1300-1999
2. 擴充acl: 表号為100-199以及2000-2699
标準acl主要是基于源ip ,mac來實作,可以阻止來自某一網絡的所有通信流量, 是以它的控制範圍不廣泛。
擴充acl比标準acl提供了更廣泛的控制範圍。它可以基于來源位址 目标位址 協定 端口号 tcp标志位( syn ,ack )等來實作。例如,網絡管理者如果希望做到“允許外來的web通信流量通過,拒絕外來的ftp和telnet等通信流量”,那麼,可以使用擴充acl來達到目的,而标準acl不能控制這麼精确。
案例:
華為高端交換機通路控制清單(acl)的配置
如圖所示:公司企業網通過交換機實作各部門之間的互連。技術部由ethernet0/1端口接入,研發部門由ethernet0/2端口接入,資訊中心由ethernet0/3端口接入。資訊中心位址為192.168.1.3/24 ,研發部主機為192.168.1.2/24,研發部門主機位址192.168.1.3/24。
要求:
1.通過标準通路控制清單,實作在每天上班8:00~18:00時間段内技術部不能通路資訊中心
2.通過擴充通路控制清單,實作在每天8:00~18:00時間段内研發部可以通路資訊中心,但不能通路技術部。
配置步驟:
一.定義時間段
[quidway] time-range huawei 8:00 to 18:00 working-day
二.定義擴充acl
1.進入2000号的進階通路控制清單視圖
[quidway] acl number 2000
2..定義通路規則
[quidway-acl-adv-2000] rule 1 deny ip source any destination 192.168.1.30 0.0.0.255 time-range huawei
3.進入ethernet0/2接口,在接口上用2000号acl
[quidway-acl-adv-3000] interface ethernet0/2
[quidway- ethernet0/1] packet-filter inbound ip-group 2000
三.定義标準acl:
1.進入10号的基本通路控制清單視圖
[quidway- ethernet0/1] acl number 10
2.定義通路規則
[quidway-acl-basic-10] rule 1 deny source 192.168.1.1 time-range huawei
3..進入ethernet0/2接口,在接口上應用2000号acl
[quidway-acl-basic-2000] interface ethernet0/1
[quidway- ethernet0/2] packet-filter inbound ip-group 10
技術部ping資訊中心,結果是不通的!!
研發部ping通資訊中心,但不能ping通技術部。
安全技術3.aaa認證
1.1.1 aaa簡介
aaa是authentication,authorization and accounting(認證、授權和計費)的簡稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一緻性架構,實際上是對網絡安全的一種管理。
這裡的網絡安全主要是指通路控制,包括:
哪些使用者可以通路網絡伺服器。
具有通路權的使用者可以得到哪些服務。
如何對正在使用網絡資源的使用者進行計費。
針對以上問題,aaa必須提供認證功能、授權功能和計費功能。
1. 認證功能
aaa支援以下認證方式:
不認證:對使用者非常信任,不對其進行合法檢查。一般情況下不采用這種方式。
本地認證:将使用者資訊(包括本地使用者的使用者名、密碼和各種屬性)配置在裝置上。本地認證的優點是速度快,可以降低營運成本;缺點是存儲資訊量受裝置硬體條件限制。
遠端認證:支援通過radius協定或hwtacacs協定進行遠端認證,裝置(如quidway系列交換機)作為用戶端,與radius伺服器或tacacs伺服器通信。對于radius協定,可以采用标準或擴充的radius協定。
2. 授權功能
aaa支援以下授權方式:
直接授權:對使用者非常信任,直接授權通過。
本地授權:根據裝置上為本地使用者帳号配置的相關屬性進行授權。
radius認證成功後授權:radius協定的認證和授權是綁定在一起的,不能單獨使用radius進行授權。
hwtacacs授權:由tacacs伺服器對使用者進行授權。
3. 計費功能
aaa支援以下計費方式:
不計費:不對使用者計費。
遠端計費:支援通過radius伺服器或tacacs伺服器進行遠端計費。
aaa一般采用用戶端/伺服器結構:用戶端運作于被管理的資源側,伺服器上集中存放使用者資訊。是以,aaa架構具有良好的可擴充性,并且容易實作使用者資訊的集中管理。
1.1.2 radius協定簡介
aaa是一種管理架構,是以,它可以用多種協定來實作。在實踐中,人們最常使用radius協定來實作aaa。
1. 什麼是radius
radius(remote authentication dial-in user service,遠端認證撥号使用者服務)是一種分布式的、用戶端/伺服器結構的資訊互動協定,能保護網絡不受未授權通路的幹擾,常被應用在既要求較高安全性,又要求維持遠端使用者通路的各種網絡環境中。
radius服務包括三個組成部分:
協定:rfc 2865和rfc 2866基于udp/ip層定義了radius幀格式及其消息傳輸機制,并定義了1812作為認證端口,1813作為計費端口。
伺服器:radius伺服器運作在中心計算機或工作站上,包含了相關的使用者認證和網絡服務通路資訊。
用戶端:位于撥号通路伺服器裝置側,可以遍布整個網絡。
radius基于用戶端/伺服器模型。交換機作為radius用戶端,負責傳輸使用者資訊到指定的radius伺服器,然後根據從伺服器傳回的資訊對使用者進行相應處理(如接入/挂斷使用者)。radius伺服器負責接收使用者連接配接請求,認證使用者,然後給交換機傳回所有需要的資訊。
radius伺服器通常要維護三個資料庫,如圖1-1所示。
第一個資料庫“users”用于存儲使用者資訊(如使用者名、密碼以及使用的協定、ip位址等配置)。
第二個資料庫“clients”用于存儲radius用戶端的資訊(如共享密鑰)。
第三個資料庫“dictionary”存儲的資訊用于解釋radius協定中的屬性和屬性值的含義。
利用acs來搭建一radius伺服器,一台華為的交換機作為radius用戶端,最後通過一台pc機來實作用戶端的認證!!
拓撲圖如下:
實驗步驟:
步驟一:acs的安裝和配置(略)
在radius伺服器上添加賬号yangang,密碼為123
步驟二:交換機的配置過程(華為交換機):
1.[sw5]radius scheme xx
2.設定伺服器的類型:
[sw5-radius-xx]server-type standard
3.指定radius伺服器::
[sw5-radius-xx] primary authentication 192.168.1.100
4.配置共享密鑰:
[sw5-radius-xx] key authentication 123456
5.伺服器審計類型設為可選
[sw5-radius-xx] accounting optional
6建立域名并關聯;
[sw5-radius-xx] domain tec
[sw5-radius-tec]radius-scheme xx
7.指定最大連接配接數:
[sw5-radius-xx]access-limit enable 10
8.認證賬号是否添加域名
[sw5-radius-xx] user-name-format without-domain
配置資訊:
[sw1]display current-configuration
#
sysname sw5
radius scheme system
radius scheme xx
server-type standard
primary authentication 192.168.1.100
accounting optional
key authentication 123456
domain system
domain tec
scheme radius-scheme xxx
access-limit enable 10
安全技術4. 802.1x
802.1x協定是基于client/server的通路控制和認證協定。它可以限制未經授權的使用者/裝置通過接入端口(access port)通路lan/wlan。在獲得交換機或lan提供的各種業務之前,802.1x對連接配接到交換機端口上的使用者/裝置進行認證。在認證通過之前,802.1x隻允許eapol(基于區域網路的擴充認證協定)資料通過裝置連接配接的交換機端口;認證通過以後,正常的資料可以順利地通過以太網端口。
網絡通路技術的核心部分是pae(端口通路實體)。在通路控制流程中,端口通路實體包含3部分:認證者--對接入的使用者/裝置進行認證的端口;請求者--被認證的使用者/裝置;認證伺服器--根據認證者的資訊,對請求通路網絡資源的使用者/裝置進行實際認證功能的裝置。
以太網的每個實體端口被分為受控和不受控的兩個邏輯端口,實體端口收到的每個幀都被送到受控和不受控端口。其中,不受控端口始終處于雙向聯通狀态,主要用于傳輸認證資訊。而受控端口的聯通或斷開是由該端口的授權狀态決定的。認證者的pae根據認證伺服器認證過程的結果,控制"受控端口"的授權/未授權狀态。處在未授權狀态的控制端口将拒絕使用者/裝置的通路。受控端口與不受控端口的劃分,分離了認證資料和業務資料,提高了系統的接入管理和接入服務提供的工作效率。
在交換機的eth0/1端口處進行802.1x認證。
1. 在eth0/1開啟802.1x:
[quidway] dot1x interface ethernet 0/1
2.建立radius方案radius1并進入其視圖。
[quidway] radius scheme radius
3. 設定主認證/計費radius伺服器的ip位址。
[quidway-radius-radius] primary authentication 1.1.1.1
4.設定系統與認證radius伺服器互動封包時的加密密碼。
[quidway -radius-radius1] key authentication 123
5. 訓示系統從使用者名中去除使用者域名後再将之傳給radius伺服器。
[quidway-radius-radius1] user-name-format without-domain
6.伺服器審計類型設為可選
[quidway-radius-radius]accounting optional
7.建立域名并關聯:
[quidway]radius-scheme tec
[quidway-isp-tec]radius-scheme xx
8. 添加本地接入使用者。
[quidway] local-user yangang
[quidway-luser-localuser] service-type huawei
[quidway-luser-localuser] password simple 123