基于命令行授权的IP城域网安全维护探析

[摘要]IP城域网作为重要的信息基础设施，既要保证免受外部攻击破坏，也要着力防止维护管理人员的操作过失，避免出现人为故障。通过对IP城域网安全维护管理的研究分析，提出部署TACACS+协议实现分权分域精确授权操作的方案，测试验证达到了预期效果。

[关键词]IP城域网 TACACS+ 授权 安全

IP城域网一般由多种型号的上百台BAS、SR设备组成，向数百万用户提供宽带、语音和视频等业务。由于网络安全畅通的极端重要性，IP城域网设备大都通过双路电源、双主控卡、多方向物理路由保障网络结构性安全，同时在设备上设置安全策略防止BAS、SR设备遭受攻击或被非法入侵。但IP城域网仍面临着有意或无意的操作失误、操作过失而引发业务中断的威胁。因此，有必要探索IP城域网分权分域的可控维护管理技术，使各个角色维护人员仅能操作白名单内的授权命令行，并对所有操作日志实现留痕审计。

一、IP城域网维护管理风险

1、误操作问题易发生。IP城域网设备型号、数量较多，因各机型的操作命令易混淆，同时部分维护人员技能水平欠缺，稍有不慎就可能输错命令，出现过无意导致设备配置被误操作并引发故障的情况。

2、越权操作问题难以避免。根据维护分工，省公司一般负责全局数据配置，如路由协议配置、组播协议配置、IP地址池名称等，市县分公司只负责用户IP地址开通、下连子接口等配置。但苦于缺少技术措施，经常有基层公司人员越权制作个性化数据，造成数据配置不规范、不统一。

3、故障溯源定责困难。由于设备本地缓存空间有限，设备运行日志和操作日志极容易被覆盖。一旦发生重大故障后，往往存在操作日志不全的问题，给准确分析故障原因和进行故障追责造成困难。

4、用户名管理工作量大。如果出现维护人员变动，省公司要安排专人对设备上的用户名进行添加或删除操作，工作量大且容易出错。

二、解决方案技术分析

1、采用RADIUS集中认证的特点。RADIUS协议基于UDP，继承了UDP诸如只提供最优的传输的特点，缺少确认服务器工作状态的机制。RADIUS只对从客户端到服务器access-request分组的密码进行加密。分组的其它部分如用户名、授权服务和记账是明文传输，可能被第三方字截获。此外，RADIUS主要完成认证，无法精确授权维护人员能用或不能用哪些命令。

2、采用TACACS+集中认证的特点。TACACS+协议是由CISCO公司率先提出并实现的，在RADIUS协议基础上增加了一些特性。TACACS+协议基于TCP，利用了TCP协议的许多特点，可利用TCP存活机制和状态标志位维护与多个TACACS+服务器的连接，对认证请求只发给工作正常的服务器。TACACS+客户机和TACACS+服务器之间的业务通过使用共享秘钥进行鉴别，该秘钥从不在网络上发送，安全性更好。此外，在一个会话期间，设备与TACACS+服务器之间进行交互以确认某条命令可否被执行，进而实现精确授权功能。综上，采用TACACS+实现IP城域网设备集中认证、授权和记帐功能，更具优势。

三、部署过程与效果验证

1、搭建TACACS服务器并建立维护人员与设备之间的对应关系。在省公司网管中心搭建主备用的TACACS+服务器，对IP城域网设备按所属位置和属性建立设备组，并根据省市县维护人员权限建成用户组和角色，把各个用户组对应于设备组及某个角色，实现各个维护人员对所维护的设备进行受限的命令操作的目的。

2、用正则表达式设置各个角色的授权命令集。一个角色所对应的命令集就是该角色所对应的维护人员帐号所能操作的命令集，不在命令集中的命令就无权操作。比如角色FenGongsi_show，列出分公司维护人员可用的查看命令，而FenGongsi_oper下列出分公司维护人员能够进行的数据配置命令。由于授权使用的命令的参数是可变的，因此通过正则表达式来添加授权命令。

3、在IP城域网设备上配置TACACS+协议及参数。在IP城域网BAS、SR上设置的参数主要包括TACACS+服务器IP地址、设备IP地址、密钥串和认证模板、计帐模板、授权模板等。

4、测试验证。维护人员使用TACACS+服务器上集中管理的用户名和密码登陆设备，仅能操作明确授权的命令，无权操作其它命令；维护人员登陆其它人员维护的设备时，提示设备登陆失败；维护人员可从TACACS+系统导出所有操作过的命令。在设置了分权分域的基于命令行的精确授权后，可根据各级维护人员权限灵活设置具体的操作指令集，对低权限用户只开放有关用户数据和下联接口配置类操作，屏蔽了危险指令和全局性配置指令。

结语：随着网络强国战略的实施，各地IP城域网将飞速发展，但随之而来的安全维护管理问题也在困扰着各级维护人员。利用TACACS+协议构建基于命令行的授权功能，可较好地满足维护人员分权分域操作、最小授权操作和事后审计分析的需要。