[[169085]]

本文描述了Cisco secure ACS 5.7在中型企業里部署的安全實踐，以及如何解決日常運維中的常見問題，如下所示：

防止DDoS攻擊

防止中間人攻擊

限制管理平臺訪問

對合法用戶源地址的限制

用戶自助修改密碼

網絡配置凍結期

空閑時間保護

ACS 5.7狀態監控及告警

ACS 5.7 是思科公司開發的以規則為基礎的安全服務器，對網絡設備提供基于業界標準的AAA認證服務。作為主流的網絡訪問控制平臺，ACS 5.7集成了網絡訪問控制和身份管理，支持Radius和Tacacs +協議。

作為網絡中識別接入設備和用戶身份的節點，ACS 5.7不僅支持內部身份庫對本地用戶的識別，而且支持外部身份庫的調用。比如：ACS 5.7支持活動目錄作為外部身份庫，對用戶進行認證和授權。

除此以外，ACS 5.7還提供了豐富的監控、報表和排錯工具，幫助管理員高效、便捷地完成日常運維工作。

§ 防止DDoS攻擊

ACS5.7提供了相關的安全配置，可以有效降低DDoS攻擊帶來的影響。

登陸到ACS 5.7的命令行界面下，配置如下命令：

1.關閉ICMP 回應報文

關閉ICMP回應報文, 從而避免高并發ICMP請求報文，對CPU和網絡帶寬的消耗。比如：分布式PING攻擊造成的拒絕服務。

2.限制源地址TCP并發連接數量

根據企業業務的實際狀況，限制源地址TCP并發連接最大數量。從而避免惡意高并發TCP連接，造成的性能下降或者宕機。

3.限制TCP SYN速率

根據企業業務的實際狀況，限制每秒鐘允許的TCP SYN數據包數量，從而有效扼制SYN攻擊造成的拒絕服務。

§ 防止中間人攻擊

1. 把ACS 5.7部署在專有VLAN中

要把ACS 5.7部署在專有的管理VLAN中，不要和用戶測試環境放在同一VLAN中。以防止用戶機器對ACS 5.7數據包的嗅探。

2. 設置一個復雜的共享密碼

可以在ACS 5.7和交換機上，設置一個復雜的共享密碼，從而防止黑客的暴力破解。

Switch(config)#tacacs-server key 0 EIdwon%*523lkdje!)(

做到以上兩點，就能有效防止對ACS 5.7發起的中間人攻擊。

§ 限制管理平臺訪問

ACS 5.7為管理員提供了一個基于HTTPS協議的web portal，用于日常的維護管理工作。最大程度地限制能夠訪問該平臺的源地址范圍，可以有效保護ACS 5.7免受來自于非法IP地址的訪問。如下圖所示，在紅色標識目錄下，定義了可以訪問web portal的源地址范圍。

§ 對合法用戶源地址的限制

當一個合法用戶試圖登陸網絡設備時，ACS會首先對該用戶進行AAA認證。與此同時，ACS還能過濾該合法用戶的源地址。如下圖所示，當該合法用戶的源地址位于定義的子網范圍內時，允許其登陸網絡設備;否則，拒絕登陸。

這種限制主要是基于“合法用戶所處的網絡環境是否安全”這樣的考慮。

如下圖所示，在紅色標識目錄下，定義合法用戶登陸設備所處的的安全子網范圍：

然后，在Access Policies > Access Services > Default Device Admin > Authorization

下，定義授權策略，如下圖所示：

§ 用戶自助修改密碼

通過ACS 5.7，用戶可以自助修改登陸網絡設備的密碼。這里介紹一種相對簡單的實現方法。

如下圖所示，在紅色標識目錄下，勾選Enable TELNET Change Password

然后，登陸交換機，在全局模式下輸入命令：

Switch# ssh -l 用戶名 交換機IP

用戶名是指在自己用來登陸交換機的賬戶;

交換機IP是指該用戶擁有管理員權限的任意交換機IP地址;

該命令輸入以后，如下圖所示，系統提示“password：”。請注意，這個時候不要輸入任何密碼，直接按回車鍵;系統會繼續提示“Enter old password:”，這個時候，輸入你的舊密碼，然后按回車鍵，系統又提示“Enter new password:”, 輸入你要更改的新密碼，然后按回車鍵;系統再次提示“Enter new password confirmation:”, 再次輸入新密碼，按回車鍵完成密碼修改。

§ 網絡配置凍結期

公司放假期間的任何網絡配置改動，可能會導致需要網絡管理員到現場進行排錯的狀況出現。這個時候，網絡管理員很可能已經放假外出，不能及時趕回公司。為了避免這種情況給公司業務帶來的影響，可以在公司放假期間，在ACS5.7上設置網絡配置凍結期，禁止任何網絡配置改動。

如上圖所示，在紅色標識目錄下，先定義一個時間段：

2017-Jan-21 到 2017-Feb-06

然后，選擇整個時間坐標軸。

接著在Access Policies > Access Services > Default Device Admin > Authorization

下，定義一個授權策略，如下圖所示：

這樣以來，在定義好的時間段內，任何網絡管理員都無法登陸網絡設備，進行配置修改。

§ 空閑時間保護

當網絡管理員登錄交換機以后，如果在一定時間內，沒有任何鍵盤鼠標動作，出于安全的考慮，我們希望這個session能夠立刻結束。為了實現這個目標，

在網絡設備上，配置如下命令：

aaa authorization exec bjcdlacs group tacacs+ local

這條命令定義了EXEC 會話屬性，首先取決于ACS上的配置。

然后，在ACS5.7上紅色標識目錄下，定義Idle Time屬性值。如下圖所示，定義了當管理員登陸交換機后，如果3分鐘之內無響應，登陸會話自動結束。

§ ACS 5.7狀態監控及告警

如前文所述，出于安全的考慮，我們在ACS5.7上關閉了ICMP回應報文。這就意味著，我們在任何時候，都無法PING通ACS server。那么，如何及時獲悉ACS的工作狀態呢?

ACS 5.7 提供了一系列非常好用的預警功能，可以在ACS發生故障以前，及時地通知到管理員。這里介紹常用的幾種：

1.用戶登陸網絡設備時，如果認證時間超過3秒，自動發郵件通知管理員。

2. 當ACS的CPU，Memory，Disk I/O使用率，其中任何一項，大于90%的時候，自動發郵件通知管理員。

3. 當網絡設備上有配置改動時，自動發郵件通知管理員。

如上圖所示，當管理員在網絡設備上做了配置改動以后，通常會保持配置。因此，可以利用ACS審計功能中對“保存”命令的捕捉，來獲悉網絡設備上任何改動的發生。

§ 后記

從ACS 5.x 版本開始，思科陸續推出了支持VMware VSphere的虛級化產品，支持ACS運行在VMware虛擬機上。從實際使用效果來看，基于虛級機的ACS在運行時，由于兼容性問題，經常會報一些莫名其妙的錯誤，相比早期版本，穩定性略有下降。

與此同時，思科還推出了基于硬件的ACS 5.7產品，相比基于虛擬機的ACS，性能更加穩定。

§ 作者簡介

趙博，IBM 西安研發實驗室IT基礎設施工程師，十年以上IT運維經驗。負責研發實驗室(西安)機房、實驗室網絡(北京、西安)的日常運維以及IBM中國研發實驗室網絡設備的安全合規檢查。

免責聲明：

本文基于作者對 Cisco Secure ACS 5.7產品使用的實踐經驗而撰寫，發表目的在于對該產品使用的經驗分享以及交流。本文內容僅代表作者個人觀點，與作者所在公司無關。在此，作者不做任何有 關本實踐經驗的保障性承諾，包括但不限于任何明示或暗含的有關適用性、令人滿意的結果等。