Cisco ACS安全控制伺服器簡介

Cisco 安全控制伺服器（ACS）是一個高度可擴展、高性能的控制伺服器，提供了全面的身份識別網路解決方案，是思科基於身份的網路服務 (IBNS) 架構的重要組件。Cisco 安全控制伺服器（ACS）提供了網路管理人員連線至網路設備管理、設定時，進行帳號認證及取得授權指令，並留下稽核軌跡紀錄。

一般來說，建置網路認證授權管理系統歸納可達成以下目標:

◎集中管理本專案網路設備之認證機制

◎具備認證(Authentication)、授權(Authorization)、稽核(Audit)及報表功能

◎備援架構 (High Availability)，防止單點失效造成服務中斷

◎支援RADIUS 或TACACS+協定

◎使用 SSH 登入網路設備連線具備加密。 使用 TACACS+ 協定時使用者認證連線具備加密。 使用 RADIUS協定時使用者認證密碼具備加密

藉由Cisco Secure Access Control Server (ACS) 提供一個 Identity-based 存取安全政策系統。網路設備存取管理必須透過使用者認證機制，使用者帳號及密碼集中儲存於中心端之 Cisco ACS 認證系統。當使用者企圖登入網路設備時，使用者認證及授權流程如下:

◎使用者被提示提供使用者帳號及密碼。使用者必須鍵入使用者帳號及密碼。

◎使用者帳號及加密後之密碼透過 RADIUS/TACACS+ 協定被傳送至 Cisco ACS認證系統。

◎Cisco ACS認證系統依據使用者帳號授權政策，當使用者認證成功時，該使用者可登入該網路設備進行管理。當使用者認證失敗時，
該使用者無法進入該網路設備進行管理。

◎使用者認證成功後，透過 AAA Authorization，網路設備可依據 Cisco ACS 認證系統之 user profile 定義，允許該使用可存取網路設備之privileged EXEC mode。

Cisco ACS AAA accounting 功能可以追蹤使用者登入網路設備。 當 AAA accounting 功能啟動後，網路設備會提供 Cisco ACS 認證系統使用者之管理活動記錄，這些網路設備管理活動記錄可提供給稽核用途。

Cisco ACS 具備 system log (syslog) 功能，所有AAA report 與 audit report 訊息可以送至 syslog server。 網路管理者可以下載大部份 CSV log 檔案或者以 ACS web interface 瀏覽 HTML report。

應用說明

如下圖二所示，當我們針對全網網路管理人員進行登入/操作設備身分認證時，我們可將網路操作人員，區分為四種操作權限：

◎完全存取─所有設備

◎完全存取─部分設備

◎限制使用部分指令

◎僅能讀取不能修改



當相關操作人員嘗試登入欲進行管理之網路設備時，網路設備可設定透過TACACS+/RADIUS等認證方式，與位於資料中心的Cisco ACS系統進行身分認證。

當設定Cisco ACS系統進行身分認證時，僅須簡單的四個步驟，即可完成對於相關網路設備管理認證的權限設定，茲說明如下！

Step 1：定義欲管理的網路設備

此階段在定義全網中欲管理的網路、資安設備資源，除可依設備類型進行區分外，亦可依各設備行進行功能面等區分，以提供更完整的存取控制。如下表所示：



Step 2：定義管理者身分與認證方式

當第一階段定義完欲管理的網路設備資源後，本階段在定義欲進行設備管理的管理者與欲進行設備管理時的認證方式。進行不同設備的管理時，應區分不同的管理角色；同時，依據不同的管理角色，亦可以指派不同的認證方式。

一般的管理人員，我們可概區分為網路工程師、Help desk人員與一般的OP工程師等，依據每個角色的不同，我們可以指定不同的認證方式，如透過ACS本機的認證資料庫認證，或透過連結外部的LDAP/AD系統進行認證，甚至可透過X.509憑證管理機制進行身分認證。

Step 3：定義認證的方式

此階段指在定義設備進行認證的方式，針對一般的網路存取，我們可以使用預設的RADIUS方式進行認證；若需套用較嚴謹的政策管理設定，或是需針對網路管理人員進行權限設定，則可透過TACACS+方式，與後端ACS系統進行認證請求。

Step 4：建立認證的政策

此部分的政策設定，旨在進行對於不同身分的管理人員，指派所授權管理的政策。依據第二階段所建立出來的管理者群組，可以指派相對應的可管理設備、限定可存取的時間及進一步設定被授權管理的範圍！依前述所示，我們可對全域的管理者，設定所有設備完全控制的權限；對於分局管理人員，我們僅給予該局設備的完全控制權限。透過分層指派、層層授權的機制，以期達到最有效的管理與最安全的存取控制。

解決方案說明：Cisco Secure Access Control Server

Cisco 安全控制伺服器（ACS）是一個高度可擴展、高性能的控制伺服器，提供了全面的身份識別網路解決方案，是思科基於身份的網路服務 (IBNS) 架構的重要組件。Cisco Secure ACS 透過在一個集中身份識別框架中將身份驗證、用戶或管理員存取及策略控制相結合，強化了存取安全性。這使企業網路能具有更高靈活性和移動性，更為安全且提高用戶生產率。Cisco Secure ACS 支援範圍廣泛的存取連接類型，包括有線和無線局域網、撥號、寬頻、內容、存儲、VoIP、防火牆和VPN。Cisco Secure ACS 是 Cisco 網路存取控制的關鍵元件。

以下為 ACS 產品特性:

◎集中控制使用者透過有線或者無線連接登錄網路

◎設置每個網路使用者的許可權

◎記錄稽核資訊，包括安全審查或者使用者稽核

◎設置每個配置管理員的存取許可權和控制指令

◎安全的伺服器許可權和加密

◎透過動態埠分配簡化防火牆存取和控制

◎統一的使用者 AAA 服務

◎提供RADIUS或TACACS+來進行對存取使用者的認證、授權及稽核。

◎支援 Microsoft Challenge Authentication Protocol (MSCHAP) Version 2 及 Microsoft Password Change Service，在認證使用者的密碼快到期前，自動提醒使用者變更密碼。

◎針對撥接伺服器、VPN、防火牆及VoIP進行集中式存取控制。

◎提供透過IEEE 802.1x的EAP（Extensible Authentication Protocol）對無線網路使用者的存取進行認證。

◎提供EAP Message Digest 5 (EAP-MD5) 及 EAP transport LAN services (EAP-TLS)。

◎提供PEAP，讓使用者可在的WLAN環境中進行動態密碼（OTP）認證。

◎支援針對Windows 98, NT, 2000, and XP進行PEAP認證。

◎提供以PEAP with MSCHAPv2 implementation (PEAP-EAP-MSCHAPv2) 或 EAP-TLS對機器進行認證。

◎提供PEAP-EAP-GTC (Cisco PEAP)、PEAP-EAP-MSCHAPv2 (Microsoft PEAP)、EAP-TLS、EAP message digest algorithm 5 (MD5)與Cisco EAP Wireless (LEAP)等不同類型的EAP；並可提供同時接受多種EAP認證。

◎支援 X.509 電子憑證認證。

◎提供動態 session key 管理。

◎提供系統備份機制，讓管理者可在最短時間內回復系統。

◎提供遠端資料庫與使用者資料庫備份的功能。

◎支援針對儲存於Netscape、Novell及Microsoft的目錄服務中之使用者資料進行LDAP認證並支援LDAP伺服器Failover。

◎支援Windows 2000 Active Directory與NT資料庫以強化與Windows的使用者名稱及密碼作整合與管理，並可利用Windows Performance Monitor功能來觀看相關即時資料。

◎支援RADIUS或TACACS+的路由器進行對存取使用者的認證、授權及稽核。

◎支援IPSec與PPTP。

◎支援Multilink PPP協定。

◎支援RSA SecurID，Axent Technologies、Secure Computing與Crypto Card的Token Server。

◎提供設定來動態限制某一日或某一時間可存取的的連線數量。