另辟蹊徑強化Radius安全性

配置簡單實驗環境

同Radius相比，Tacacs+就安全可靠的多。例如后者的認證、授權和審計功能是分離的，而前者是一體的，分別使用的是不同的UDP端口號。Tacacs+的所有數據包均處于加密狀態，而Radius僅僅對密碼進行加密。但Radius具有很好的通用性，諸 如 IPSEC VPN、802.1X 等技術均使用的是Raduis協議。這里面存在兩臺ISE設備，分別作為主從設備使用。

在某路由器上執行“radius server ISEMaster address ipv4 172.16.1.101 auth-port 1645 acct-port 1646 key passw0rd”命令，定義主ISE設備作為認證授權設備，連接密碼為“passw0rd”，IP為172.16.1.101。執行“radius server ISE-slave address ipv4 172.16.1.1.102 authport 1645 acct-port 1646 key cisco”命令，定義從屬ISE設備作為認證授權設備，其 IP為 172.16.1.102。

執行“aaa group server radius ISE1 server name ISEMaster”命令，將主ISE設備放置到名為“ISEGrp1”的 3A組 中。 執 行“aaa new-model”、“aaa group server radius ISEGrp2 server name ISEslave”命令，將從屬ISE放置到名為“ISEGrp1”的3A組中。執行“aaa authentication login vty group ISEGrp1”、“aaa authorization exex vty group ISEGrp1”命令，使用名為“vty”的認證策略，并調用了“ISEGrp1”組。執行“line vty 0 4”、“Authorization exec vty”、“login authentication vty”、“line vty 5 15”、“Authorization exec vty”、“login authentication vty”命令，將該策略調用到VTY線路。

Radius認證和授權機制的不足

登錄到主ISE設備管理界面，點擊“Administration→Idebtity Management→Identities”項，在“Network Access Users”窗口中點擊“Add”按鈕，創建名為“gly”的用戶，并設置密碼，本例中使用該賬戶登錄。點擊菜單“Policy→Results”項，在左側點擊“Authorization→Authorization Profiles”項，在右側點擊“Add”按鈕，創建名為“priv15”的授權策略項目，在“Attributes Details”欄中中輸入“Access Type = ACCESS_ACCEPT”、“cisco-av-pair = privlvl=15”行，使用Raduis授權方式并授予使用者的操作級別。

在ISE管理界面中點擊 菜 單“Policy→Policy Sets”項，顯示已經默認的認證集信息。點擊“+”按鈕，創建新的策略集，修改合適的名稱，在該策略“Conditions”列中點擊“+”按鈕，創建合適的條件，用來匹配所有源自于該網關設備的請求。在其最右側點擊“>”按鈕，在詳細信息窗口中會發現分別存在一個認證策略和授權策略。在“Authentication Policy”欄中修改默認的策略，將所有的認證者信息發送到“All_User_ID_Stores”對象中，使用ISE的本地賬號數據庫進行認證。

打 開“Authorization Policy”欄，在右側點擊“設置”按鈕，在彈出菜單中點擊“Insert new row above”項，設置新的授權策略名稱。點擊“+”按鈕，在編輯窗口中創建合適的條件，這里設置的條件為“internalUser-Name EQUALS gly”，即登錄者使用了上述內建的“gly”賬戶，那么就授予其上述“priv15”的權限。注意，本例中僅僅在上述路由器上進行了認證，雖然在ISE上進行了授權操作，但是卻并沒有生效。

即使用上述賬戶登錄到該路由器時，并沒有擁有指定的高權限。在發送給ISE的Radius請求數據包中，只會出現賬戶名和加密的密碼信息，即只是檢測該賬戶是否可以通過認證。雖然在路由器上并沒有進行授權處理的請求，但是Radius的認證和授權是一體的，因此在ISE的回應包中卻包含了認證和授權的結果信息。例如在路由器上執行“test aaa group ISEGrp1 gly xxx new-code”命令，使用特定的組和賬戶名進行簡單認證的測試，“xxx”表示具體的密碼。在返回信息中的“USER ATTRIBUTES”欄中會顯示對應的授權信息。

在路由器上執行“config t”、“aaa auththorization exec vty group ISEGrp1”命令，創建名為“vty”的授權策略，并將其發送到ISE服務器上。執行“line vty 0 15”、“authorization exec vty”、“end”命令，對該授權進行調用到VTY線路上。如果使用的是Tacacs+的話，認證和授權必須分別進行請求。但是Radius的認證和授權是同時進行的，當重新登錄上述路由器后，就會發現已經得到了授權，使用者擁有了高級別的操作權限。

實現RADUIS獨立認證和授權

根據以上分析，可以看出Radius的不足之處，即其授權和認證請求并沒有分離進行，在詢問認證信息時，Raduis會自作主張的將認證和授權結果全部發送回來，即使創建空的3A組，也不會影響授權操作，這給實際的安全管理帶來了不足。實際上，授權和認證應該獨立運行，例如可以使用兩臺3A服務器分別對認證和授權進行管理，這可以明顯提高操作的靈活性。例如，在某些場合會使用到IKEv2 Remote VPN連接技術，客戶端遠程連接到內網中的路由器上，之后經過ISE設備的認證和授權，就可以訪問內部網絡。

在ISE管理界面中選擇“Administration→Network Resources→Network Devices”項，點擊“Add”按鈕，在添加設備窗口中輸入作為認證服務器名稱，這里的認證服務器為路由器。設置管理端口IP地址（如 172.16.1.1），選擇“RADIUS Authentication Settings”項，激活Radisu認 證 功 能。 在“*Shared Secret”欄中輸入共享密鑰（如“passw0rd”）。 為便于設置賬戶密碼，可選擇“Administration→Identity Management→Settings”項，在左側選擇“User Authentication Settings”項，在 右 側 的“Password Policy”欄中取消所有的選擇項目，這樣就可以任意設置密碼了。

在路由器上執行“aaa group server radius ISEGrp1 server-private 172.16.10.101 key passw0rd”命令，創建3A組，并指向主ISE設 備。 執 行“aaa authentication login EAPAuthen group ISEGrp1”命令，將認證請求發送到主ISE設備上。執行“aaa authorization network EAPAuthen group ISEGrp2”命令，將授權請求發送給從屬ISE設備。按上述方法，在ISE管理界面中創建名為“user1”的賬戶，密碼為“pass123”。 創 建 名 為“group1”的組，并讓該賬戶輸入該組。

選擇“Policy→Policy Elements→Results”項，在左側選擇“Authorization Profile”項，在右側添加新的授權策略，輸入其名稱（如“Profile1”），在“Advanced Attributes Settings”欄中按照合適的格式，設置所需的屬性信息，例如地址池，路由表等內容。選擇“Policy→ Authorization”項，創建新的授權規則，在其“Conditions”列中設置諸如“group1”之類的條件，在“Permissions”列中選擇上述“Profile1”項目文件。

注意，在主要和從屬ISE設備上執行相同的配置操作。在路由器上執行“crypto ikev2 profile VPNProfile”、“match identity remote address 0.0.0.0 ”、“authentication local rsa-sig”、“authentication r e m o t e e a p q u e r yidentity”、“pki trustpoint CA”、“aaa authentication eap EAPAuthen”、“aaa authorization user eap cached”、“virtual-template x”等命令，創建所需的IKEv2 Profile配置文件。

之后創建所需的IPSec Profile和Virtual-Temlpate等對象，其作用是在客戶端使用Windows自帶的VPN連接工具連接時，輸入“user1”賬戶名和密碼“pass123”，將其發送給ISE設備，ISE就會根據該賬戶名進行認證。因為該賬戶屬于“group1”組，所以按照上述授權策略，可以針對該賬戶進行授權操作。因為用戶的授權優先于組的授權。也可以將其中 的“aaa authorization user eap cached”替換為“aaa authorization group eap list EAPAuthor user1 password xxx”，這樣就可以指定授權賬戶“user1”的密碼。

利用名稱分隔，分離認證和授權

在ISE管理界面中創建名為“VPNGrp”的賬戶，密 碼 為“mima123”。 創 建名 為“VPNUser@VPNGrp”的賬 戶，密 碼 為“pass123”。在ISE中依然使用上述名為“Author1”的授權策略。創建新的授權規則，在“Conditions”列中設置諸如“Radius:User-Name EQUALS VPNGrp”之 類 的 條 件，在“Permissions”列中選擇上述“Profile1”項目文件。

在路由器上執行“crypto ikev2 name-mangler Mangler1”、“eap suffix delimiter @”命令，創建名稱分隔策略，這里使用了“@”進行名稱分隔符，用來分隔賬戶名和組名。執行“crypto ikev2 profile VPNProfile”命令創建和上述相同IKEv2 Profile配置文件。所不同的是將 “aaa authorization user eap cached”修改為“aaa authorization group eap1 list EAPAuthor namemangler Mangler1 password pass123”之類的語句。其作用是在客戶端進行VPN連接時，將賬戶名發送給ISE設備進行認證，同時將組名作為用戶名進行授權。

例 如 對 于“VPNUser@VPNGrp”的賬戶來說，就會使用該策略進行分隔，將“VPNUser”作為用戶名，將“VPNGrp”作為組名處理。這樣，ISE就會使用前者進行認證，后者進行授權，因為前面已 針 對“Radius:User-Name EQUALS VPNGrp”之類的條件執行對應的授權策略。遠程客戶端運行VPN連接工具，輸入“VPNUser@VPNGrp”賬戶名，輸入“VPNUser”賬戶密碼，這些信息就會發送到ISE設備上，ISE會針對“VPNUser”賬戶進行認證，針對“VPNGrp”賬戶進行授權，這樣就實現了認證和授權獨立操作。

為網絡設備配置證書

前面說過，傳統的Radius只能對數據包中的密碼進行加密。對于現在新款的思科交換機路由器等產品（例如CSR1000V等），都可以利用DTLS技術對Radius數據包進行全面加密。以域管理員身份登錄證書服務器，在證書頒發機構窗口左側選擇“證書模版”項，在右側窗口中右擊“新建→要頒發的證書模版”項，在啟用證書模版窗口中選擇“路由器（聯機請求）”模版，將其放置到上述證書模版列表。

之后在瀏覽器中訪問“http://casrv.xxx.com/certsrv/”之類的地址，打開證書申請頁面，下載所需的根證書（例如“root.cer”）。使用記事本打開該根證書，復制其全部內容。在某路由 器 上 執 行“config t”、“crypt pki trustpoint D T L S”、“ e n r o l l m e n t terminal”、“subject-name cn=xx.yyy.com,ou=dpart”、“revovation-check none”、“rsakeypair xxx”、“exit”等命令，其中“xx.yyy.com”表示具體的域名，“dpart”表示具體的部門，“xxx”表示對應的密鑰對。執行“crypt pki authenticate DTLS”命令，之后粘貼上述根證書的內容。在“%Do you accept this certificate?”欄中輸入“y”，導入該證書。

執行“crypt pki enroll DTLS”命令，申請個人證書。在“% Include the router serial number in the subject name?”欄中輸入“n”，表示不使用序列號。在“% Include an IP address in the subject name?”欄中輸入“y”，表示允許放入該機的IP地址，輸入具體的IP地 址。 在“Display Certificate Request to terminal?”欄中輸入“y”，顯示證書申請文件內容。將其復制下來，之后連續輸入“n”，退出該命令。

訪問CA證書服務器，點擊“申請證書”鏈接，之后打開高級證書申請頁面，在“保存的申請”欄中粘貼復制的內容，在“證書模版”列表中選擇“路由器（脫機請求）”項，點擊“提交”按鈕，之后選擇“Base 64編碼”項，點擊“下載證書”證書鏈接，保存所需的證書文件（例如“gr.cer”）。打開該證書文件復制其內容。

為ISE設備配置證書

在ISE設備上配置證書很簡單，在瀏覽器中訪問CA證書服務器，在證書申請頁面中下載根證書（如rootzs.pem）。在主ISE管理界面點擊“System→Certificates”項，在 左 側 點 擊“Trust Certificates”項，在 右 側點擊“Import”按鈕，點擊“瀏覽”按鈕，選擇并加載上述根證書，并設置合適的名稱（如 RootCA）。 在“Trustd For”欄中選擇所有的項目。在左側點擊“Certificate Signing Requests”項，在右側點 擊“Generate Certificate Signing Requests(CSR)”按鈕，選擇ISE設備節點名，輸入個人信息（必須在“Organitication Unit”欄中填寫組織單位名稱）。

點擊“Generate”按鈕，產生證書的簽名請求文件，將內容復制出來，在上述證書申請界面中下載個人證書文件（如grzs.crt）。在上述ISE管理界面左側點擊“Certificate Signing Requests” 項，在右側選擇請求證書項，點擊“Bind Certificate”按鈕，點擊“瀏覽”按鈕，選擇上述個人證書，輸入名稱，在“Usage”欄 中 選 擇“Admin”、“EAP Authentication”、“RADIUS DTLS”、“Protal” 項，點 擊“Submit”按鈕提交操作。在從屬ISE設備上執行同樣的操作來配置所需證書，其操作均在主從ISE設備上進行。

利用證書實現Radius全程加密

在路由器上執行“crypto pki import DTLS certificate”命令，在提示符下粘貼上述證書內容。執行“end”命令，返回操作界面。執行“show crypto pki certificates DTLS”命令，顯示對應的證書信息。

執 行“config t”、“r a d i u s s e r v e r ISEMaster”、“no key”、“dls trustpoint server DTLS”、“dls trustpoint client DTLS”命令，讓路由器和主ISE設備之間互相使用指定的證書認證。 執 行“radius server ISEslave”、“no key”、“dls trustpoint server DTLS”、“dls trustpoint client DTLS”命令，對從ISE設備進行同樣的配置。

在ISE管理界面工具欄上點擊“Administration→Network Devices” 項，點擊“Add”按鈕，將上述路由器設備添加進來。依次輸入其名稱（如“Route1”），設置IP地 址，選 擇“RADIUS Authentication Settings”項，激活Radius認證功能。選擇“DTLS Required”項，激活DTLS加密功能。在“Issuer CA of ISE Certificates for CoA”列表中選擇根證書，在“DNS Name”l欄中輸入該路由器所配置證書中的域名信息，例如“xx.yyy.com”。點擊“Save”按鈕保存。

在工具欄上點擊“A d m i n i s t r a t i o n→Settings”項，在左側選擇“Protocols→ RADIUS”項，在右側的“DTLS”標簽中選擇“Enable RADIUS Client identity verfication”項，這樣ISE設備不僅要檢測證書是否有效，而且要檢測上述路由器的名稱和上述預設的域名是否一致。

經過以上設置，在路由器上執行“test aaa group ISEGrp1 VPNUser@VPNGrp mima123 new-code”命 令，使用對應的賬戶執行連接測試，可以看到測試沒有問題。執行“test aaa group ISEGrp2 VPNGrp pass123 new-code”命令，使用對應的組進行連接測試，可以看到認證順利通過。在客戶端使用VPN撥號連接，也可以順利訪問。

這樣，不僅實現了證書的雙向認證，而且對RADIUS數據包進行了全面加密。