Cisco Secure ACS认证系统
1.1.1 Cisco Secure ACS认证系统
Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。思科NAC是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等),并可限制违规设备的访问。思科NAC是思科自防御网络计划的一部分,为在第二层和第三层网络上实现网络准入控制奠定了基础。我们计划进一步扩展端点和网络安全性的互操作性,以便将动态的事故抑制功能包含在内。这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。因此,用户可将受感染的系统与其他网络部分动态隔离开,从而大大减少病毒、蠕虫及混合攻击的传播。
AAA管理系统
Cisco Secure ACS是功能强大的访问控制服务器,为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。表1列出了Cisco Secure ACS的主要优势。
Cisco Secure ACS的主要优势
Cisco Secure ACS 4.0提供以下全新特性和优势:
Cisco NAC 支持— Cisco Secure ACS 4.0用作NAC部署中的策略决策点。
使用可配置的策略,它能评估Cisco Trust Agent 提交的证书、决定主机状态、并向网络访问设备发送逐用户的授权信息:ACL、基于策略的ACL或专用的VLAN分配。评估主机证书可执行许多特定策略,如操作系统补丁级别和防病毒DAT文件版本等。Cisco Secure ACS记录策略评估结果以供监控系统使用。Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查,然后再决定是否准许它访问网络。您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。
例如,防病毒供应商特定的证书可被转发至供应商的防病毒策略服务器,审查策略请求可被转发至审查供应商。
可扩展性改进— Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS 系统,将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。同时也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。
基于资料库的策略— Cisco Secure ACS 4.0支持名为网络访问资料库的新
特性,允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类,可将验证、访问控制和授权策略映射到特定的资料库中。例如,基于资料库的策略允许为无线访问与远程 (VPN)访问采用不同的访问策略。
扩展的复制组件— Cisco Secure ACS 4.0 改进并增强了复制功能。管理员现已能够复制网络访问资料库和所有相关的配置,包括状态验证设置、AAA 客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享资料库组件和其他登录属性。
EAP- FAST增强支持— EAP-FAST是思科开发的可供公开访问的新型IEEE 802.1x EAP,用于支持无法执行强大的密码策略或希望部署无需数字证书的802.1x EAP的客户。它支持各类用户和密码数据库并支持密码到期和变更机制,是易于部署、易于管理的灵活EAP。例如,未实施强大的密码策略且不希望使用证书的客户可移植到EAP-FAST以防词典攻击。Cisco Secure ACS 4.0在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。
可下载的IP ACL — Cisco Secure ACS 4.0将每用户的ACL支持扩展到了支持这个特性的所有第三层网络设备,包括Cisco PIX® 安全产品、思科VPN解决方案和Cisco IOS路由器。您可定义每用户或每用户群应用的一系列ACL。
这个特性允许执行适当的ACL策略,藉此补充了NAC支持。当与网络访问过滤器一起使用时,您可通过不同方式每设备的应用可下载的ACL,从而每用户或每访问设备的定制ACL。
认证撤销列表(CRL)比较— Cisco Secure ACS 4.0 使用X.509 CRL资料库支持证书撤销机制。CRL是记录已撤销证书的加盖时间标记的列表,由证书授权机构或CRL发放人签字并免费提交到公共信息库中。Cisco Secure ACS
4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL,并保存它们以便在
EAP传输层安全性(EAP-TLS)验证中使用。如果用户在EAP-TLS验证期间提供
的证书位于已检索的CRL中,将无法通过Cisco Secure ACS验证,Cisco Secure ACS将拒绝用户访问网络。这个功能对组织变更频繁的客户来说非常重要,可防止宝贵的网络资产遭到欺骗性的使用。
设备访问限制—作为Windows设备验证的增强特性,Cisco Secure ACS 4.0提供设备访问限制功能。当打开Windows设备验证功能时,您可使用设备访问限制机制来控制EAP-TLS授权,以及通过Windows外部用户数据库验证的Microsoft受保护的可扩展身份验证协议(PEAP)的用户。如果用户用于访问网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证,您可根据需要为用户配置访问权限限制。您也可选择拒绝用户访问网络。
网络访问过滤器(NAF) — Cisco Secure ACS 4.0包括NAF,作为新型的共享资料库组件。NAF为在网络设备名、网络设备组或其IP地址上应用网络访问控制及可下载的ACL提供了灵活的方法。根据IP地址应用的NAF可使用IP地址范围和通配符。这个特性提供精确的应用网络访问限制及可下载的ACL,而在以前,所有设备只能应用相同的访问限制或ACL。NAF允许定义灵活的网络设备限制策略,满足大型环境中最常见的要求。
思科硬件设备的其他支持— Cisco Secure ACS 4.0 支持思科无线局域网控制器和思科自适应安全产品。
cisco认证体系介绍
思科认证体系介绍 思科认证体系是由Cisco公司建立的分为3个层次的网络技术证书体系,随着Cisco产品线的扩大和市场份额的不断提升,Cisco产品从当初仅有的Cisco路由器和Cisco交换机发展到现在的6大方向:路由交换,网络设计,网络安全,电信运营商,语音,网络存储,其Cisco证书也不断的扩增和调整覆盖了Cisco完整的产品线! Cisco认证体系 路由交换:CCNA认证CCNP认证CCIE认证 网络设计:CCNA认证CCDA认证CCDP认证 网络安全:CCNA认证CCSP认证CCIE认证 网络语音:CCNA认证CCVP认证CCIE认证 网络存储:CCNA认证CCIE认证 电信运营商:CCNA认证CCIP认证CCIE认证 CCNP:Cisco Certified Network Professional 1、CCNP认证简介 CCNP是全球最大的网络设备公司Cisco(思科)公司的认可的技术证书-Cisco认证资深网络支持工程师,在整个Cisco认证体系处于中级证书的地位。需要掌握:IP、IGRP、IPX、Async路由、Appletalk、扩展访问列表、IP RIP、路由器重定向、IPX RIP、路由器摘要、最短路径优先(OSPF)、变长子网掩码(VLSM)、边界网关协议(BGP)、串行(Serial)、EIGRP、帧中继、综合业务数字网(ISDN)、X.25、按需拨号协议(DDR)、PSTN、点对点协议、VLAN、以太网、访问列表、802.10、FDDI、透明桥及翻译桥。 2、CCNP认证的考试途径 CCNP考试途径一: 642-901 BSCI Building Scalable Cisco Internetworks 642-812 Building Converged Cisco Multilayer Switched Networks 642-825 ISCW Implementing Secure Converged Wide Area Networks 642-845 ONT Optimizing Converged Cisco Networks CCNP考试途径二: 642-892Building Scalable Cisco Internetworks (BSCI) Building Cisco Multilayer Switched Networks (BCMSN)
windows AD + ACS 实现无线网络的PEAP认证
说明:这个手册主要是介绍如何采用无线控制器、WINDOWS SERVER 2003、ACS及P EAP协议来实现安全的无线网络接入。 网络拓补结构图如下: 在DC_CA上安装Windows Enterprise 2003 IIS,证书服务,DNS,DH CP 在DC_DA上按照以下步骤来成服务器的配置: 1.执行基本的安装及配置 2.把服务器配置成域控制器 3.提升域功能级别 4.安装配置DHCP服务 5.安装证书服务 6.给Administrator分配证书管理权限
7.将计算机添加到域 8.允许无线接入计算机 9.添加域用户 10.允许用户无线接入 11.将用户组加入域 12.将用户添加到WirelessUsers组 13.将客户计算机添加到WirelessUsers组 Step 1: 执行基本的安装及配置 1.安装一台独立的Windows Server 2003企业版,并安装最新的Service Pack. 2.配置TCP/IP协议,IP地址为172.16.100.26,子网掩码为255.255.255.0 Step 2: 把服务器配置成域控制器 1.为了启动活动目录(AD)的安装向导,选择开始>运行,然后输入:dcpromo.e x e. 2.在AD安装向导欢迎界面,点击下一步 3.在操作系统兼容界面,点击下一步 4.在域控制器类型界面,选择Domain Controller for a new Domain,然后点 击下一步 5.在创建新域界面,选择Domain in a new forest,然后点击下一步
6.在安装或配置DNS界面,选择No,just install and confiaure DNS on this c omputer,然后点击下一步 7.在新域名界面,输入wirelessdemo.local,然后点击下一步 8.在NetBIOS域名界面,输入wirelessdemo,然后点击下一步 9.在数据库及日志文件夹界面,接受默认的数据及日志文件夹目录,然后点击下一步 10.在共享系统卷界面,确认默认的文件夹位置是正确的。然后点击下一步
ACS 授权配置9页
1, ACS基本配置 ACS的安装这里不讲了,网上google一下就有很多。这里主要讲一下ACS 的基本配置,以便于远程管理访问。 ACS正确安装后应该可以通过http://ip:2002/远程访问,当然要确保中间是否有防火墙等策略。然后就是通过正确的帐号和密码进行登录管理。下面是建立ACS管理帐户的图示。 a,本地登录ACS界面,点击左边的“Administration Control”按钮,进入下一个界面; b,点击“Add Administrator”,进入配置界面; c,根据提示填写,一般选择全部权限,方便管理,当然如果有特殊管理帐户,可以分给不同权限,比如说只能管理某些group等; d,然后“Submit”,就可以通过这个账户进行远程管理了。 2, ACS访问原理 ACS主要是应用于运行Cisco IOS软件的思科网络设备,当然,ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。这其中包括: · Cisco Catalyst交换机(运行Cisco Catalyst操作系统[CatOS]) · Cisco PIX防火墙 · Cisco VPN 3000系列集中器 不运行Cisco IOS软件的思科设备(如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器)可能也支持启用特权、TACACS+(验证、授权和记帐[AAA])命令授权或以上两者。随着对集中管理控制和审计的需求的增加,本文作者预计目前不支持TACACS+命令授权的其他思科网络设备将得以改进,支持TACACS+命令授权。为最快了解思科设备的支持水平,请查看有关设备的最新文档。 运行Cisco IOS软件的思科设备提供了两个网络设备管理解决方案:
ACS
本章介绍Cisco Secure ACS 主要包含以下几个部分: 1、Cisco Secure ACS 产品介绍 2、Cisco Secure ACS 安装以及基本配置 3、AAA 概述 4、配置AAA 认证 5、配置AAA 授权 6、配置AAA 审计 Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件,它可以对用户进行认证、授权和审计。 TACACS+ 和RADIUS 是用于AAA的两个主要的安全服务协议 RADIUS 使用UDP: 1812 和1645 TACACS+ 使用TCP: 49 RADIUS环境,NAS到服务器的访问请求数据包中只有用户密码是加密的 TACACS环境,除了报头,对整个数据包加密 Cisco Secure ACS 分为Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 两个版本,下表是两个版本所支持的操作系统: Cisco Secure ACS 安装及基本配置 步骤1、检查并调整计算机硬件配置 步骤2、检查windows 配置,安装Java run time(JRE) 步骤3、检查服务器到Cisco 设备的网络连接
步骤4、点击“Install”开始安装,然后按照windows 的提示一步步地完成安装 步骤5、在浏览器的地址栏里输入“http://hostname or IP address :2002”访问ACS 的web 配置页面。 ACS 各导航条配置的选项内容如下: 用户设置(User Setup):查看、创建、编辑、删除用户帐号 组设置(Group Setup):查看、创建、编辑用户组设置 共享配置组件(Shared Profile Components):一些可共享的授权组件,它们可以应用与一个或多个用户或用户组。授权组建包括:Network Access Restriction(NAR)、Command authorization set 和PIX downloadable ACL 网络配置(Network Configuration):查看、创建、编辑、删除网络服务器(网络设备,如路由器、交换机等)的参数 系统配置(System Configuration):启动或停止ACS 服务,创建或删除网络日志,控制ACS数据库同步等 接口配置(Interface Configuration):配置TACACS+和RADIUS 的选项
ACS故障排除
ACS 故障排除 前言 本文档描述如何对ACS 进行故障排除并解决错误消息所报告的问题。 前提条件 需求 本文档没有任何特定的要求。 使用的组件 本文档中的信息根据Cisco安全接入控制服务器(ACS)版本3.3以上。 本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您在一个工作网络中操作,在使用之前请确认您已经理解所有指令的潜在影响。 惯例 有关文档规则的详细信息,请参阅Cisco 技术提示规则。 问题:CiscoSecure 安装所需的资源被锁定 当升级ACS 服务器时,可能会遇到此问题。 解决方案 如果您具有大量旧日志文件,则需要清除“Local Logging Configuration”日志。 修改ACS 的日志记录,保留最后三个文件。 1. 在ACS GUI 上,选择System Configuration > Service Control。选中Manage Directory 复选框,并选择仅保留最后三个文件。然后,重新启动ACS 并测试升级。 2. 如果选项1 不起作用,可尝试手动删除一些日志文件。 在删除文件前,必须始终将文件复制到专用文件夹。 a. 在Windows 服务器的本地驱动器上(ACS for Windows 安装在这里),选择“Program Files”>“Cisco Secure ACS”文件夹。 b. 删除以下文件夹下的所有日志: ?* Csauth ?* CSLog ?* CSDbsync
?* CSAdmin ?* CSRadius ?* CSTacacs ?* CSMon c. 重新启动PC 并重新测试升级。 问题:无法删除AAA 服务器,AAA 服务器为同步合作伙伴 当删除Network Configuration下的条目时,可能显示Cannot Delete AAA Server, AAA Server is a Synchronization Partner 错误消息。 解决方案 要解决此问题,请完成以下步骤: 1. 选择Interface Configuration,并选中“RDBMS Synchronization”复选框 2. 选择System Configuration>“RDBMS Synchronization”并从位于“Synchronization Partner”上 的AAA 组中移除无法删除的AAA 服务器 3. 现在,即可删除AAA 服务器组。 问题:127.0.0.1 为保留地址 您拥有两个ACS SE 1113 单元并想要将内部数据库从主单元复制到辅助单元,但您注意到辅助单元上显示以下错误消息: Inbound database replication from ACS
ACS4.2故障处理流程V1
当ACS服务器出现故障时,请按本文中的内容进行故障排除和信息收集 1 检查服务状态 ACS的服务包括: ●CSAdmin ●CSAuth ●CSDbSync ●CSLog ●CSMon ●CSRadius ●CSTacacs 检查方法: Microsoft Control Panel—选择Start > Control Panel > Administrative Tools > Services, 需要周期性监控以下服务状态: Windows Event Viewer(ACS for Windows)—监控服务事件以及和ACS相关的其他事件. Status Page(ACS Solution Engine)—监控ACS 服务对资源的使用情况. Event Viewer Log(ACS Solution Engine)—通过support工具生成包含event viewer log的.CAB包 2 检查身份验证 确认请求和验证是否成功 验证失败的尝试可以在WEB界面下选择Reports and Activity > Failed Attempts 步骤一:选择System Configuration > Logging > Configure收集Failed Attempts log. 步骤二:在Configuration页面, 从Attributes栏移动attribute到Logged Attributes, 并点击Submit提交. 您可以使用Passed Authentications logs来进行授权或网络访问限制(NAR)问题的故障排除。默认情况下,ACS不启用Passed Authentications logs。 开启这些日志 步骤一:选择System Configuration > Logging > Configure 步骤二:选中Log to CSV Passed Authentication report 日志解释:
ACS aaa认证、授权、审计配置
实施前准备: -挂线: 以15级权限telnet/SSH上要配置的设备,配置: line vty 0 15 exec-timeout 0 0 然后保持telnet/SSH会话不退出。等待配置完成且测试通过后,再配置exec-timeout 10 0(或者改成期望值,默认是10 0)。这样做的目的是避免因为意外或者操作问题将用户自己锁在路由器外。 配置步骤(以下若无具体说明,均为全局模式配置,命令行红色字体为自定义值): 1、开启aaa: aaa new-model 2、配置tacacs+服务器: tacacs-server host 192.168.1.200 key I0$pAs$w0rd 3、配置ACS,配置client和user: -登录ACS: 浏览器输入:192.168.1.200:2002,其中192.168.1.200为ACS的IP地址。 --client配置: 在左边点击进入network config视图: 点击下图的Add Entry: 会弹出以下界面,hostname填写设备名称(也可以自定义),IP地址填写网络设备的IP,key要和路由器上配置的key相同,使用tacacs+(cisco ios),然后点击submit+apply。如下图:
--user配置: 点击左边,会进入user setup界面,如下图: 输入要建立的username,点击add/edit: 在user编辑界面,在user setup界面输入密码,选择属于的组,然后点击最下方的submit即可。
作为例子,这里配置了4个用户: 4、测试路由器和ACS连通性: 特权模式:test aaa group tacacs cisco7 cisco7 new-code,如果通过会有以下输出: 注意:如果不能通过,请确认两端是否能通信(ping),两端的密码是否相同(比如路由器端的密码是否多了空格,空格也被认为是密码string)。 5、定义aaa method-list,名字为ios-manage: aaa new-model aaa authentication login ios-manage group tacacs local //定义登录的认证方法为tacacs+,当ACS不可达时使用本地验证 aaa authorization exec ios-manage group tacacs local //当通过登录认证后,授权登录用户能访问cli界面。 aaa authorization command 1 ios-manage group tacacs //对1级命令通过tacacs+服务器授权。 aaa authorization command 7 ios-manage group tacacs none aaa authorization command 10 ios-manage group tacacs none aaa authorization command 15 ios-manage group tacacs none 注意:第二方法local,是线下保护,当ACS不可达后,仍然可以使用本地账户验证登陆。 本地账户设置: aaa new-model username XXXX password XXXX //建议设置本地账户与ACS管理账户一致,输入账户后ACS不可达则自动转换为本地验证。 6、在路由器上重新定义命令级别。
tacacs+
AAA网络安全系统 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。 首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。 接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户计费,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和TACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和TACACS授权四种授权模式,并允许组合使用。
史上最完整ACS安装教程
一、Cisco Secure ACS 1.前期准备工作: VMworkstation-100GB虚拟硬盘,从光盘启动,系统选择Linux-Centos; ACS5.4-光盘介质; 破解文件-flexlm-10.9.jar,acs50base.lic,acs50feat.lic; centos7-光盘介质; 2.开始安装: 2.1先安装VMworkstation,已经很熟悉,不用再重复记录; 2.2安装ACS5.4,较为简单,按照提示完成安装即可(时区UTC); 3.激活平台: 3.1解锁grub 把centos7 的安装光盘放入光驱,从光盘重新启动系统; 选择第一条,按TAB键->输入linux rescue,等待一小会儿;
挂在至/mnt/sysimage);
接着进入rescue模式,输入vi /mnt/sysimage/etc/grub.conf,将密码行注释掉; 3.2激活ACS 进入grub界面
然后按e键进选择第2行,再按e,然后输入-空格single,回车然后按b,静静等待,进入单用户模式 然后复制文件flexlm-10.9.jar至路径 /opt/CSCOacs/mgmt/apache-tomcat-6.0.18/lib/覆盖 原有文件,重启系统;
输入show application status acs查看ACS各服务的状态,如果都显示running即表示所有的 服务均已正常运行,登录web页面选择acs50base.lic进行基本激活。进入页面后,按照System Administration Licensing Feature Options Add/Upgrade LicenseFile 顺序选择acs50feat.lic文件,然后点击Submit进行完整版激活。 至此,ACS完成激活。
H3C S5100 通过CiscoSecure ACS 4.0(RADIUS)实现AAA
H3C S5100 通过CiscoSecure ACS 4.0(RADIUS)实现AAA 2008-05-28 16:38 环境: ACS CiscoSecure ACS Release 4.0(1) Build 27 H3C S5100 [Server-S5100-24P-EI]disp version H3C Comware Platform Software. Comware software, Version 3.10, Release 0001 Copyright(c) 2004-2006 Hangzhou Huawei-3Com Tech. Co., Ltd. All rights reserved. H3C S5100-24P-EI uptime is 34 weeks, 1 day, 21 hours, 20 minutes H3C S5100-24P-EI with 1 Processor 64M bytes DRAM 16M bytes Flash Memory Config Register points to FLASH Hardware Version is REV.B CPLD Version is 002 Bootrom Version is 125 [SubSlot 0] 24 GE ( 4 COMBO ) Hardware Version is REV.B [Server-S5100-24P-EI] 实现步骤: 1、ACS导入H3C 私有属性 编辑文件:C:\Program Files\CiscoSecure ACS v4.0\bin\h3c.ini [User Defined Vendor] Name=H3C IETF Code=2011 VSA 29=h3c_Exec_Privilege [h3c_Exec_Privilege] Type=INTEGER Profile=IN OUT Enums=h3c_Exec_Privilege-Values [h3c_Exec_Privilege-Values] 0=Access 1=Monitor 2=Manager 3=Administrator
思科自防御网络安全综合方案典型配置
思科自防御网络安全综合方案典型配置 方案简介:组建安全可靠的总部和分支LAN和WAN;总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查;需要提供IPSEC/SSL VPN接入;整体方案要便于升级,利于投资保护。 详细内容: 1. 用户需求分析 客户规模: ?客户有一个总部,具有一定规模的园区网络; ?一个分支机构,约有20-50名员工; ?用户有很多移动办公用户 客户需求: ?组建安全可靠的总部和分支LAN和WAN; ?总部和分支的终端需要提供安全防护,并实现网络准入控制,未来实现对VPN用户的网络准入检查; ?需要提供IPSEC/SSLVPN接入; ?在内部各主要部门间,及内外网络间进行安全区域划分,保护企业业务系统; ?配置入侵检测系统,检测基于网络的攻击事件,并且协调设备进行联动; ?网络整体必须具备自防御特性,实现设备横向联动抵御混合式攻击; ?图形化网络安全管理系统,方便快捷地控制全网安全设备,进行事件分析,结合拓扑发现攻击,拦截和阻断攻击; ?整体方案要便于升级,利于投资保护; 思科建议方案: ?部署边界安全:思科IOS 路由器及ASA 防火墙,集成SSL/IPSec VPN; ?安全域划分:思科FWSM防火墙模块与交换机VRF及VLAN特性配合,完整实现安全域划分和实现业务系统之间的可控互访; ?部署终端安全:思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成; ?安全检测:思科IPS42XX、IDSM、ASA AIP模块,IOS IPS均可以实现安全检测并且与网络设备进行联动; ?安全认证及授权:部署思科ACS 4.0认证服务器; ?安全管理:思科安全管理系统MARS,配合安全配置管理系统CSM使用。 2. 思科建议方案设计图
ciscoacs替代方案
Cisco ACS替代方案 1. 简介 Cisco ACS(Cisco Secure Access Control System)是思科公司提供的一种用于网络访问控制和身份验证的解决方案。然而,随着网络技术的发展和安全需求的不断增加,许多组织和企业正在寻找更先进和功能更强大的替代方案。本文将介绍一些替代Cisco ACS的方案,以满足不同组织的需求。 2. RADIUS服务器 RADIUS(Remote Authentication Dial-In User Service)是一种网络协议,用于 提供用户身份验证、授权和账号计费服务。许多厂商提供了自己的RADIUS服务器产品,可以作为Cisco ACS的替代方案。常见的RADIUS服务器包括: •FreeRADIUS: 免费且开源的RADIUS服务器,具有强大的扩展性和灵活性。 •Microsoft NPS: 在Windows Server操作系统上提供的RADIUS服务器,方便与Active Directory集成。 •Radisys NPS: 提供高性能和可靠性的RADIUS服务器,适用于大规模网络环境。 这些RADIUS服务器可以提供与Cisco ACS类似的身份验证、授权和账号计费 功能,同时支持多种身份认证协议和网络设备。 3. AAA服务器 AAA(Authentication, Authorization, and Accounting)服务器是一种用于网络 访问控制和身份验证的综合解决方案。它可以替代Cisco ACS,并提供更多功能和 灵活性。以下是一些常见的AAA服务器: •ClearPass: Aruba Networks提供的AAA服务器,支持广泛的网络设备和认证协议,具有强大的访问控制和身份验证功能。 •ISE(Identity Services Engine): Cisco自家的AAA服务器,集成了对网络访问控制、终端安全和身份认证的全面支持。 •FreeRADIUS + daloRADIUS: 使用FreeRADIUS作为认证和授权服务器,并结合daloRADIUS作为用户界面和管理工具,提供灵活的AAA解决方案。 这些AAA服务器不仅可以提供身份验证和授权服务,还可以进行详细的用户 和设备行为记录,方便后续审计和安全分析。
ccnp网络安全
ccnp网络安全 CCNP网络安全(Cisco Certified Network Professional Security)是思科公司面向网络安全领域的一个高级认证,也是 Cisco 的 网络安全专家级认证之一。该认证旨在培养专业的网络安全专家,具备设计、实施和支持安全解决方案的能力。 CCNP网络安全认证所涵盖的知识点主要包括网络安全威胁的 识别和评估、安全基础设施的设计和实施、VPN技术的应用、身份认证和访问控制、安全性能的监控和维护等方面。认证要求考生通过四门考试,包括Securing Networks with Cisco Firepower (SENSS),Implementing Secure Solutions with Virtual Private Networks (SISAS),Securing the Web with Cisco Web Security Appliance (SWSA),和Deploying Secure Solutions with Network Programmability (SPAUTO)。 CCNP网络安全认证的取得对于网络安全从业人员来说具有重 要意义。首先,它证明了持证者具备了较高水平的网络安全技能和知识,能够设计和实施安全解决方案,提供网络安全咨询和支持;其次,持证者在求职时会更具竞争力,拥有CCNP 网络安全认证可以帮助求职者获得较高的薪资待遇和更多的职业发展机会;此外,持证者还能够加入思科认证社区,与其他网络安全专家进行交流和合作,共同提高网络安全水平。 CCNP网络安全认证的取得不仅需要考生具备一定的理论知识,还需要具备实际操作的经验。因此,考生在备考过程中应注重理论和实践相结合,通过实际操作和实验练习来加深对知识的理解和掌握。此外,考生还可以参加相关的培训课程和参考书
图文】Cisco Secure ACS 5.2使用教程
1、ACS配置 ACS的配置难点在部署的时候的配置,部署完毕之后使用起来就比较容易了,只要创建好用户,定义好密码,然后放在对应的组里就可以了,具体操作步骤如下: 按照如图1-1所示的方法打开用户添加界面 图 1-1 用户添加界面打开后如图1-2所示,里面的内容比较复杂,对我们来说最重要的部分是用户名、密码以及用户组,添加用户界面中的项目作用如图1—3: 图中标“1”的部分:用户名字段,登录的时候这个就是Username 图中标“2”的部分:用户组,之前我们说过ACS的策略权限等的定义都是基于用户组进行的,而细化到对用户的权限控制,就是把用户放入对应的组里
图中标“3”的部分:登录密码,登录的时候这个就是password 图中标“4”的部分:勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码(思科的设备经测试有效) 图中标“5"的部分:使能密码,也就是我们常说的enable密码,这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证(暂未测试) 图 1-2
图 1-3 配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。 2、网络设备的配置 不同的网络设备配置命令是不一样的,具体的配置需要参考相关设备的配置手册,由于ACS本来就是Cisco的东西,所以Cisco的设备相对来说兼容性是最好的。 2。1、Cisco设备的配置
//AAA服务配置 aaa new—model //定义新的AAA实例 aaa authentication login MAGI group tacacs+ local—case // 命名一个名为MAGI的登录 认证规则,且如果tacacs+服 务不可达,则自动使用本地数 据库信息认证 aaa authorization exec MAGI group tacacs+ local //命名一个名为 MAGI的特权授权规则,且如果 Tacacs+服务不可达,则自动使用本 地数据库信息授权 tacacs-server host 192。168。255.2 key TacacsKey //定义Tacacs+服务器的IP地址以及Key //线程下调用名为MAGI的登录认证规则和特权授权规则 line vty 0 4 authorization exec MAGI login authentication MAGI 2.2、华为9300系列交换机的配置 hwtacacs—server template MAGI //定义一个hwtacacs服务模板 hwtacacs—server authentication 192。168。255.2 //定义hwtatacs认证服务器地址
Cisco Secure ACS认证系统
1.1.1 Cisco Secure ACS认证系统 Cisco Secure ACS是思科网络准入控制(NAC)架构的重要组件。思科NAC是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等),并可限制违规设备的访问。思科NAC是思科自防御网络计划的一部分,为在第二层和第三层网络上实现网络准入控制奠定了基础。我们计划进一步扩展端点和网络安全性的互操作性,以便将动态的事故抑制功能包含在内。这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受感染的系统导致的资源误用。因此,用户可将受感染的系统与其他网络部分动态隔离开,从而大大减少病毒、蠕虫及混合攻击的传播。 AAA管理系统 Cisco Secure ACS是功能强大的访问控制服务器,为正在增加其WAN或LAN连接的机构提供了许多高性能和可扩展性特性。表1列出了Cisco Secure ACS的主要优势。 Cisco Secure ACS的主要优势
Cisco Secure ACS 4.0提供以下全新特性和优势: Cisco NAC 支持— Cisco Secure ACS 4.0用作NAC部署中的策略决策点。 使用可配置的策略,它能评估Cisco Trust Agent 提交的证书、决定主机状态、并向网络访问设备发送逐用户的授权信息:ACL、基于策略的ACL或专用的VLAN分配。评估主机证书可执行许多特定策略,如操作系统补丁级别和防病毒DAT文件版本等。Cisco Secure ACS记录策略评估结果以供监控系统使用。Cisco Secure ACS 4.0还允许第三方审查供应商对没有采用适当代理技术的主机进行审查,然后再决定是否准许它访问网络。您可通过作为Cisco Secure ACS转发证书目的地的外部策略服务器扩展Cisco Secure ACS策略。 例如,防病毒供应商特定的证书可被转发至供应商的防病毒策略服务器,审查策略请求可被转发至审查供应商。 可扩展性改进— Cisco Secure ACS 4.0升级之后可使用业界标准的RDMBS 系统,将支持的设备 (AAA客户端)和用户数量分别增加了10倍和3倍。同时也大幅度改进了Cisco Secure ACS支持的系列协议的性能(每秒的交易数)。 基于资料库的策略— Cisco Secure ACS 4.0支持名为网络访问资料库的新
CCIE定义(百度百科)
CCIE 百科名片 ccie 机架 CCIE,全称Cisco Certified Internetwork Expert,是美国Cisco公司于1993年开始推出的专家级认证考试。被全球公认为IT业最权威的认证,是全球Internetworking领域中最顶级的认证证书。 目录[隐藏] 简介 先修课程及考试 分类 CCIE考试大纲和学习内容 简介 先修课程及考试 分类 CCIE考试大纲和学习内容 [编辑本段] 简介 目前,CCIE持有者占思科认证总人数还不足3%,全球网络从业者的1%不到(思科官方数据)。Cisco认证主要提供工程师在今日快速变动的网络环境中驾驭Cisco 设备所需的专业知识。CCIE是Cisco(除了新推出的CCA以外)最高级技术能力的认证,位于Cisco金字塔认证体系中塔尖,也是IT界公认的最权威、最受尊重证书之一,2003年被评为全球十大IT认证榜首,具有IT终极认证的美称。取得CCIE证书除了整个行业的认同之外,CCIE也是你不断持有最新网络知识的指标;你将会在你的专业技术领域中成为一位最具竞争力的人 CCIE认证分active和inactive两种状态,Cisco公司为了让CCIE能够跟踪新技术,并保持CCIE的专家水平,从通过CCIE认证开始,每两年就要进行一次重认证,否则你虽然仍然拥有你的CCIE number,但是你的状态就从active变成inactive,相应的享有在cisco公司赋予的一些权利就没了。苛刻的认证规则使CCIE成为IT业界中含金量最高的证书之一,当然也成了最受尊重、最难取得的证书之一。
Cisco公司从1993年开设CCIE考试,截止到2010年4月30日,全球共有C CIE 20860名,中国大陆共有CCIE 3560名,其中超过半数在国外工作。 获得CCIE认证不仅证明你的技术达到专家水平,得到业界认可与肯定,更是一种荣誉的象征,一种自我价值的体现。获得CCIE认证成为每位网络技术人员的梦想。 Cisco公司为了让客户获得专家级技术支持,在其认证代理体系中规定金银牌认证代理商必须拥有一定数量的CCIE,这直接刺激了对CCIE的需求,在1999年期间,在中国大陆CCIE的年薪高达80万RMB。现在在系统集成项目中,许多业主提出承包商必须拥有CCIE认证专家,才有资格承接项目,由此可见CCIE专家在业界中的认可程度。 通过苛刻的CCIE认证后,您将获得一个CCO帐号,直接得到Cisco 二级专家的支持,享受CCIE拥有的特权。如果您打算技术移民,通过CCIE认证可以获得额外的加分,在中国通过的CCIE超过半数已经移民到国外。目前,CCIE在美国年薪可达15万美元,还不包括股票期权和其他福利,在中国大陆,一位CCIE的年薪至少在10万元以上,如果加上奖金及其他福利将远远超过这个数目。 要想获得苛刻的CCIE认证,必须先通过笔试,获取资格后才可以参加实验考试。通过了实验才最终成为CCIE。学习并获得CCIE认证途径大致有两种:第一,自学。要想通过自学方式获取CCIE认证您必须要有两年以上的工作经验,有充足的时间和精力,并要有一个完善的实验环境,此外最重要的是您必须具备坚忍不拔的毅力与永不放弃信念。第二,参加培训。找一家货真价实的培训机构利用业余或集中时间参加培训,充分利用培训机构的实验设备,在良好的学习氛围下,学员之间不但可以互相交流技术更重要的是还可以得到培训机构的CCIE专家辅导,提高学习效率,这是一种事半功倍的途径。 [编辑本段] 先修课程及考试 CCIE 认证是目前Cisco认证体系中最顶级的证书。要取得CCIE认证证书,需要取得以下课程考试: 1、CCIE资格考试(即笔试,2.5小时)考试费:¥3000 2、CCIE实验考试(一天)考试费:¥12000 3、CCIE面试(英文) 笔试部分考试在中国各个城市基本都能考,而实验室部分考试在世界范围内只有9个考场:研究三角园区(美)、圣何塞(美)、悉尼(澳)、香港(中)、北京(中)、班加罗尔(印)、东京(日)、布鲁塞尔(比)、圣保罗(巴)。 [编辑本段] 分类
ACS5.6客户端和服务器完整配置和解析
硬件安装要求 要求分配80G以上硬盘空间 安装过程 选[1] 根据提示输入setup,根据提示输入相关配置信息 安装完成后可以查看acs服务的状态 show application show application version acs show application status acs 修改时区和时间 (config)#clock timezone Asia/Shanghai #clock set AUG 15 08:56:00 2016
License https://ip地址 默认web账号 acsadmin/default 进入web页面会提示上传lic文件,点浏览,选择上传acs5.6_base 成功进入管理页面后,选择“System Administration”、“Configuration”、“Licensing”、“Feature Options”,上传acs5.6_feature
ACS配置逻辑: 根据收到的请求的认证类型(radius还是tacacs),由ServicesSelectionRules 的设置交给指定的AccessServices处理。由Identity指定的用户数据库(内部/外部)和请求中的用户名比对,根据用户和设备的分类交给指定的Shell Profile和command set 授权应和认证配合使用,假设对vty启用本地认证和aaa授权,则无法telnet,提示授权失败。 浏览器 IE11不能查看报告,火狐配置“接入策略”不能保存,建议结合使用 1.设备分组 网络结构默认将网络设备即AAA client分为2个网络设备组,分别为Location 位置、Device Type设备类型。根据需求依次点击Network Resources >Network Device Group> Create 在根组下创建子组,更明细的划分网络设备所在组。 2.用户组 依次点击Users and Identity Stores > Identity Groups > Create新增用户组。此用户组只是用于区分用户所在的组别,实际的组名并无实质的区别。在策略调用时才用到用户组来控制权限。
CiscoSecureACSAAA配置附图
CiscoSecure ACS 界面预览: 1 CiscoSecure ACS 安装略。如果出现上面的界面如此说明安装成功。2。添加用户:点击界面左侧user setup按钮,界面如下列图: 图1 输入用户aaa-user1,点Add/Edit按钮,界面如下列图:
图2 Real Name/Description随便输入,输入密码123456,确认输入一次123456。点击Submit提交,出现图1。点击List all User可以查看所有已经配置的用户。 图3 点击界面左侧nerwork configuration,出现如下图:
图4 点击AAA Clients下Add Entry按钮,出现如下图:
图5 AAA Client Hostname:客户端主机名AAA Client IP Address:客户端IP地址,也就是路由器的IP地址Key:客户机用来加密数据Autenticate Using:认证方法。这里保持默认TACACS+其余选项保持默认。点击Submit+Apply提交并应用按钮,出现如下图: 图6
明确R1已经添加成功。路由器预配置 R1(config)#aaa new-model R1#test aaa group tacacs+ aaa-user1 123456 legacy Attempting authentication test to server-group tacacs+ using tacacs+ User was successfully authenticated. 出现以上提示信息,说明用 户aaa-user1用密码123456通过服务器认证。一、认证〔Authentication〕1.在VTY 0 线路上使用enable认证 R1(config)#enable password enable-password //设置enable 密码 enable-password R1(config)#aaa authentication login v0 enable //建立名为u1的登录认证列表,认证方式是使用enable密 码 R1(config)#line vty 0 R1(config-line)#login authentication v0 //在VTY 0线路上使用名为u1的登录认证列表 telnet测试: 图7 第一次telnet使用的是VTY 0 线路第二次telnet使用VTY 1 线路,我们并未配置VTY 1的登录认证方式,所以无法通过VTY 1登录。但路由器会提示: 图8 2.在VTY 1线路上使用AAA服务器上保存的用户名和密码登录 R1(config)#aaa authentication login v1 group tacacs+ enable //在VTY 1线路上首选TACACES服务器配置的用户名和密码登录,如果TACACES服务器无法连接,如此使用enable登录方式。这种登录验证方式命名为v1 R1(config)#line vty 0 R1(config-line)#login authentication v1 // 使用v1登录验证方式telnet测试: