宁盾科技助力XX清算所配置网络设备统一管理 – 作者:宁盾nington

方案背景

在网络技术长足发达的今天，网络设备安全是我们长期关注的话题。XX清算所共有路由器，交换机，防火墙，负载均衡等网络设备1000台。经客户反馈，定期修改设备密码是他们极为耗时耗力的一项工作，希望通过宁盾一体化认证系统AAA功能对所有网络设备进行统一的管理，通过宁盾平台内创建本地账户实现对所有网络设备进行管理。

方案目标

对接设备————-包括思科、华为、华三、山石、天融信、radware等品牌近1000台设备

登录日志————-系统用户登录日志可查看方便溯源包括登录用户，登录时间，登录结果等

双机部署————-部署双机热备增强系统稳定性，可靠性

方案拓扑

在现有网络环境中部署两台宁盾一体化认证服务器，采用双机热备模式，双活部署配置实时同步。网络中所有需要通过AAA认证登录的设备均需要另外配置外部radius认证模板，将两台认证服务器的地址配置为主备radius-server地址，设备优先到主认证服务器做认证。

网络管理员通过telnet/ssh远程管理到网络设备，提交用户名密码后，网络设备将username&password信息通过radius报文封装发到认证服务器，由宁盾判断用户是否为合法用户，再通过radius报文将认证结果返回给网络设备。

方案实现效果

宁盾系统创建网络管理员账号

通过该账号登录交换机

登录日志

方案优势

大大减少了运维人员的工作量，客户以后只需定期在宁盾修改管理员账号的密码即可。

可用动态口令实现双因素登录保护：目前客户只在我们平台创建用户及静态密码，假如后续有双因素的需求，我们只需按照用户派发动态令牌，开启动态密码策略即可。网络设备不需要再加额外的配置。

可配置tacacs+认证：支持tacacs+认证的网络设备（华为称为hwtacacs）可以对网络命令的执行进行授权审计，即管理员远程到网络设备后对他执行的命令做一个审计记录，方便出错回滚。也可限制网络管理员只能输入或不能输入哪些命令。支持违规操作自动发通知给指定人员。

技术难点

对接测试radware的时候发现，宁盾认证成功后返回给radware认证成功报文，但是radware并不能成功登陆管理页面。

经过抓包分析以及和radware厂商沟通后，发现原来radware采用Radius业界的IETF，只有Service Type 6才能授权管理员权限，所以宁盾给radware回复的radius成功报文必须要携带Service Type 6参数，如下图所示：

经研发人员开发适配，在此处增加infosec的config的管理权限，即可满足radware的机制要求。

来源：freebuf.com 2020-12-01 15:24:40 by: 宁盾nington