基于命令行授權的IP城域網安全維護探析

張樹帆

[摘要]IP城域網作為重要的信息基礎設施，既要保證免受外部攻擊破壞，也要著力防止維護管理人員的操作過失，避免出現人為故障。通過對IP城域網安全維護管理的研究分析，提出部署TACACS+協議實現分權分域精確授權操作的方案，測試驗證達到了預期效果。

[關鍵詞]IP城域網 TACACS+ 授權 安全

IP城域網一般由多種型號的上百臺BAS、SR設備組成，向數百萬用戶提供寬帶、語音和視頻等業務。由于網絡安全暢通的極端重要性，IP城域網設備大都通過雙路電源、雙主控卡、多方向物理路由保障網絡結構性安全，同時在設備上設置安全策略防止BAS、SR設備遭受攻擊或被非法入侵。但IP城域網仍面臨著有意或無意的操作失誤、操作過失而引發業務中斷的威脅。因此，有必要探索IP城域網分權分域的可控維護管理技術，使各個角色維護人員僅能操作白名單內的授權命令行，并對所有操作日志實現留痕審計。

一、IP城域網維護管理風險

1、誤操作問題易發生。IP城域網設備型號、數量較多，因各機型的操作命令易混淆，同時部分維護人員技能水平欠缺，稍有不慎就可能輸錯命令，出現過無意導致設備配置被誤操作并引發故障的情況。

2、越權操作問題難以避免。根據維護分工，省公司一般負責全局數據配置，如路由協議配置、組播協議配置、IP地址池名稱等，市縣分公司只負責用戶IP地址開通、下連子接口等配置。但苦于缺少技術措施，經常有基層公司人員越權制作個性化數據，造成數據配置不規范、不統一。

3、故障溯源定責困難。由于設備本地緩存空間有限，設備運行日志和操作日志極容易被覆蓋。一旦發生重大故障后，往往存在操作日志不全的問題，給準確分析故障原因和進行故障追責造成困難。

4、用戶名管理工作量大。如果出現維護人員變動，省公司要安排專人對設備上的用戶名進行添加或刪除操作，工作量大且容易出錯。

二、解決方案技術分析

1、采用RADIUS集中認證的特點。RADIUS協議基于UDP，繼承了UDP諸如只提供最優的傳輸的特點，缺少確認服務器工作狀態的機制。RADIUS只對從客戶端到服務器access-request分組的密碼進行加密。分組的其它部分如用戶名、授權服務和記賬是明文傳輸，可能被第三方字截獲。此外，RADIUS主要完成認證，無法精確授權維護人員能用或不能用哪些命令。

2、采用TACACS+集中認證的特點。TACACS+協議是由CISCO公司率先提出并實現的，在RADIUS協議基礎上增加了一些特性。TACACS+協議基于TCP，利用了TCP協議的許多特點，可利用TCP存活機制和狀態標志位維護與多個TACACS+服務器的連接，對認證請求只發給工作正常的服務器。TACACS+客戶機和TACACS+服務器之間的業務通過使用共享秘鑰進行鑒別，該秘鑰從不在網絡上發送，安全性更好。此外，在一個會話期間，設備與TACACS+服務器之間進行交互以確認某條命令可否被執行，進而實現精確授權功能。綜上，采用TACACS+實現IP城域網設備集中認證、授權和記帳功能，更具優勢。

三、部署過程與效果驗證

1、搭建TACACS服務器并建立維護人員與設備之間的對應關系。在省公司網管中心搭建主備用的TACACS+服務器，對IP城域網設備按所屬位置和屬性建立設備組，并根據省市縣維護人員權限建成用戶組和角色，把各個用戶組對應于設備組及某個角色，實現各個維護人員對所維護的設備進行受限的命令操作的目的。

2、用正則表達式設置各個角色的授權命令集。一個角色所對應的命令集就是該角色所對應的維護人員帳號所能操作的命令集，不在命令集中的命令就無權操作。比如角色FenGongsi_show，列出分公司維護人員可用的查看命令，而FenGongsi_oper下列出分公司維護人員能夠進行的數據配置命令。由于授權使用的命令的參數是可變的，因此通過正則表達式來添加授權命令。

3、在IP城域網設備上配置TACACS+協議及參數。在IP城域網BAS、SR上設置的參數主要包括TACACS+服務器IP地址、設備IP地址、密鑰串和認證模板、計帳模板、授權模板等。

4、測試驗證。維護人員使用TACACS+服務器上集中管理的用戶名和密碼登陸設備，僅能操作明確授權的命令，無權操作其它命令；維護人員登陸其它人員維護的設備時，提示設備登陸失敗；維護人員可從TACACS+系統導出所有操作過的命令。在設置了分權分域的基于命令行的精確授權后，可根據各級維護人員權限靈活設置具體的操作指令集，對低權限用戶只開放有關用戶數據和下聯接口配置類操作，屏蔽了危險指令和全局性配置指令。

結語：隨著網絡強國戰略的實施，各地IP城域網將飛速發展，但隨之而來的安全維護管理問題也在困擾著各級維護人員。利用TACACS+協議構建基于命令行的授權功能，可較好地滿足維護人員分權分域操作、最小授權操作和事后審計分析的需要。