《宁盾网络设备AAA:TACACS+与RADIUS分权而置》由会员分享,可在线阅读,更多相关《宁盾网络设备AAA:TACACS+与RADIUS分权而置(6页珍藏版)》请在金锄头文库上搜索。
1、网络设备AAA是面向网络设备提供的认证、授权及审计安全管理 服务。AAA 因认证(Authentication )、授权(Authorization )、 审计(Accounting )的英文首字母的组合而得名。虽然TACACS+和 RADIUS协议均可以提供这三项服务,但是 RADIUS协议的认证和 授权同步,而TACACS+协议则可以实现认证、授权分离,同时 TACACS+协议还提供操作命令授权,即用户输入的每一条命令都需 要得到TACACS+服务器的授权,因此TACACS+协议在网络设备授 权领域的操作粒度划分更细。而大部分 IP设备认证场景均使用了 Radius协议,所以在认证层面使用
2、 Radius协议的兼容性效果更好。为充分发挥TACACS+、RADIUS的各自优势,网络设备AAA中实施TACACS+协议与RADIUS协议“分权而置”:a. 认证及双因子动态口令校验:RADIUS协议发挥其优势。b. 授权及操作审计:TACACS+协议发挥其优势;1、数据中心基础设施一体化安全认证基于Radius协议,异构兼容数据中心网络设备(交换、路由、堡 垒机)、安全设备(VPN、防火墙、负载均衡等)及服务器、数据库 等应用场景的统一认证需求。按设备/设备组方式导入导入设备信息, 对接账号源,实现数据中心基础设施统一认证。2、双因子动态口令身份鉴别为避免弱密码、僵尸账号及账号密码被盗等
3、账号安全挑战,可通 过在账号密码的基础上增加双因子动态口令, 提升账号密码准入安全。 面向数据中心各品牌 VPN、虚拟化、网络设备、堡垒机、服务器、 数据库等应用场景,提供异构场景的统一安全认证解决方案。a)除数据中心外基础设施外,还可对接网络层及应用层(邮件系统、office365、SSO单点登录等应用场景);b)支持与AD、LDAP等多账号源对接;c)提供软硬件动态Token令牌及令牌的衍生品(手机令牌、硬件令牌、短信令牌、企业微信/钉钉H5令牌及推送认证等); 以令牌为例,用户登录某应用场景时,输入账号密码之后需再输入令牌六位动态口令完成校验爭刑u刮-钿迪)L9Ang蚯nXL-匚丄吒hL
4、iil上 Inhat_E.-EHE. = se.IfliVHH .HaT-u=Hra. 3m 3 A Li Ui 3 7 24 l CWxm . 5J1. - 1L1Windows双因子动态口令基于国密 SM3算法,每隔30/60S变化一次。每个令牌有且仅有一次机会,一旦使用立即失效,以防止口令被重复利用。通过在数据中心部署双因子认证系统, 企业运维人员无需再定期 更改密码,减少运维浪费在繁琐冗余上的时间成本。3、TACACS+网络设备细粒度授权面向大型数据中心,异构兼容华为、H3C、Cisco、Aruba等不同品牌网络设备,基于TACACS+协议自定义用户可操作命令/命令集, 实现不同级别用
5、户的最小权限管理。以报表的形式审计用户操作,在大型数据中心,网络设备 AAA是堡垒机的有效补充。a)数据中心网络设备异构兼容受限于网络设备品牌兼容性的原因,管理员有时需要针对不同品牌的交换机分别管理。通过兼容华为、H3C、Cisco、Aruba等不同品牌的交换、路由设备,帮助管理员实现统网络设备统一认证及运维, 实现跨区域、跨品牌统一管理。f iEl松MSI1 usm1O W . iLHIUldS 0 平土 ; Kl Q W MM fl tt E型祁 *kuWNb)自定义TACACS+ 命令/命令集除使用Radius角色访问权限限制,通过划分网络设备等级、TACACS+自定义命令/命令集的方式
6、限制运维管理员的最小权限。 确 保用户可使用的命令行受到用户角色等级和 TACACS+授权的双重限制,进而避免越权操作行为。KZZ1穴IBMmV4H* 1s :gIWTr-CM eMite1 panv1WmrpimsrHcIT4、用户实名操作审计a)自定义可登录次数,并将问题账号告警至用户及管理员;b)基于Radius审计用户何时访问了哪些设备;c)基于TACACS+协议审计用户操作了哪些命令,追溯非法或违规 操作并落实到责任人。l= !K交日土bei nwxaiSib19.121. INf-funrJ ri u.髯的何HE閒5、 方案价值a)借助双因子认证加强运维人员身份鉴别难度,满足三级等
7、保双因子身份鉴别需求;b)根据管理员角色,帮助明确用户角色的责任和权限;c)记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;d)加强特权账号的账号安全保护,限制普通账号的可操作命令,防止越权访问;e)对非法登录进行告警,预判非法登录。智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因 素认证市场,并以技术为导向,于 2013年正式上线网络认证系统, 形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术, 形 成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、 统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。
