宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington

方案背景

在网络技术长足发达的今天,网络设备安全是我们长期关注的话题。XX清算所共有路由器,交换机,防火墙,负载均衡等网络设备1000台。经客户反馈,定期修改设备密码是他们极为耗时耗力的一项工作,希望通过宁盾一体化认证系统AAA功能对所有网络设备进行统一的管理,通过宁盾平台内创建本地账户实现对所有网络设备进行管理。

方案目标

对接设备————-包括思科、华为、华三、山石、天融信、radware等品牌近1000台设备

登录日志————-系统用户登录日志可查看方便溯源包括登录用户,登录时间,登录结果等

双机部署————-部署双机热备增强系统稳定性,可靠性

方案拓扑

图片[1]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

在现有网络环境中部署两台宁盾一体化认证服务器,采用双机热备模式,双活部署配置实时同步。网络中所有需要通过AAA认证登录的设备均需要另外配置外部radius认证模板,将两台认证服务器的地址配置为主备radius-server地址,设备优先到主认证服务器做认证。

网络管理员通过telnet/ssh远程管理到网络设备,提交用户名密码后,网络设备将username&password信息通过radius报文封装发到认证服务器,由宁盾判断用户是否为合法用户,再通过radius报文将认证结果返回给网络设备。

方案实现效果

宁盾系统创建网络管理员账号

图片[2]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

通过该账号登录交换机

图片[3]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

登录日志图片[4]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

方案优势

大大减少了运维人员的工作量,客户以后只需定期在宁盾修改管理员账号的密码即可。

图片[5]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

可用动态口令实现双因素登录保护:目前客户只在我们平台创建用户及静态密码,假如后续有双因素的需求,我们只需按照用户派发动态令牌,开启动态密码策略即可。网络设备不需要再加额外的配置。

图片[6]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

可配置tacacs+认证:支持tacacs+认证的网络设备(华为称为hwtacacs)可以对网络命令的执行进行授权审计,即管理员远程到网络设备后对他执行的命令做一个审计记录,方便出错回滚。也可限制网络管理员只能输入或不能输入哪些命令。支持违规操作自动发通知给指定人员。

图片[7]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

技术难点

对接测试radware的时候发现,宁盾认证成功后返回给radware认证成功报文,但是radware并不能成功登陆管理页面。

经过抓包分析以及和radware厂商沟通后,发现原来radware采用Radius业界的IETF,只有Service Type 6才能授权管理员权限,所以宁盾给radware回复的radius成功报文必须要携带Service Type 6参数,如下图所示:图片[8]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

经研发人员开发适配,在此处增加infosec的config的管理权限,即可满足radware的机制要求。

图片[9]-宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington-安全小百科

来源:freebuf.com 2020-12-01 15:24:40 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论