- 1、本文档共19页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网管实战之使用RSA实现企业安全访问
网管实战之使用RSA实现企业安全访问
??? 笔者目前所在公司是一家跨国外资企业,同时在国内亦有几十家分支机构。整个企业是在域的环境中,各分支是通过Cisco的ASA系列防火墙以IPSEC VPN的方式与位于北京的数据中心互连互通。同时,企业的应用系统和关键业务服务器均位于数据中心内,均为域成员服务器。而几十台防火墙或交换机等网络设 备分散在全国各地。
目前,公司使用的身份认证方式,主要是用户名+口令认证,但此种认证方式有以下缺点:
1. 口令容易泄漏。
2. 可以用重播方式,复制和重现认证过程。
3. 维护成本较高:需要定时更新;需要有安全的方式发放口令;需要有制度禁止口令的蔓延传播。
针对公司所面临的安全问题,经衡量后,决定采取RSA SecurID双因素身份认证系统来实现对应用系统、关键业务服务器及网络设备安全访问。(图1)
??? 一、RSA SecurID双因素认证系统组件
RSA SeucrID由认证服务器RSA AM、代理软件RSA AM/Agent、认证设备以及认证应用编程接口(API)组成(如下图所示)。(图2)
???
??????? 1、认证服务器(Authentication Manager)
在RSA SecurID解决方案中,RSA AM软件是网络中的认证引擎,由安全管理员或网络管理员进行维护,可以实现企业认证、访问控制、规避攻击、用户责任等。
2、RSA SecurID认证令牌
所有RSA SecurID认证令牌均使用已获专利的相同的算法来完成令牌码的散列和加密功能。(图3)
??????? (此实验中的令牌)
3、代理软件(AM/Agent)
实现这种强大的认证功能的中间代理软件称为RSA AM/Agent。该代理软件的功能类似于保安人员,用来实施RSA AM系统建立的安全策略。
二、RSA SecurID针对域用户登录及网络设备认证的原因及过程
1、通过安装代理软件实现域用户登陆的双因素安全认证:
在WINDOWS平台机器上安装RSA AGENT软件,通过设置来实现对特定用? 户进行验证(此时亦应在RSA AM上添加代理用户(域用户)及被访问的服务器(又称为代理主机))。(图4)
??
??????? 如图所示,在Passcode栏后输入令牌码+PIN码,此时Passcode将被发送到RSA AM进行认证,如果是合法用户就能被授权进行下一步如输入当前用户的密码,然后就能登陆到域并访问域中资源了。
注意,此处的Passcode也可以只是令牌码,也就是不用使用PIN码。后文会图文展示如何实现。但安全性相对来说会降低些。
2、通过RADIUS协议实现网络设备的双因素安全认证:
配置这些网络设备通过RADIUS协议来使用SECURID实现双因素认证,当用户需要TELNET或SSH到这些网络设备时,必须输入用户名 和双因素Passcode,然后由这些网络设备通过RADIUS协议将Passcode发送到认证服务器进行认证,如果是合法用户则可以访问网络资源,否 则就会被拒绝在外。(图5)
???
??????? 如图所示,这是在Cisco ASA 5520防火墙上进行的使用RADIUS 协议进行验证,而且还配置了当RSA AM出现问题时使用本地验证。
注意,此时,需要在RSA AM上添加代理用户及代理主机(防火墙的IP地址)。如果是使用SSH登陆,需要在SSH登陆用户名和密码中输入代理用户名和令牌码(+PIN码),而且 登陆输入EN后,也需要再次输入当前令牌上所显示的下一个令牌码(60秒变换一次)。(图6)
??
三、RSA解决方案的实施及步骤
前面部分已简要介绍了企业面临的安全访问的问题以及RSA的解决方案及实现过程。接下来介绍安装及如何配置从而实现域用户登陆的双因素身份认证的,注意,此处并没有安装RSA RADIUS服务器软件,故无法实现RADIUS的网络设备双因素身份验证。
安装拓朴描述:
A、域()环境中,在需要进行登录认证的应用服务器或关键业务服务器上安装代理(Netbios名字为rsamem)。FQDN:。
B、在一台工作组服务器(Netbios名字为rsaman)上安装RSA AM。并保证路由上此台服务器和域中的所有服务器能正常通讯。(也可以在域成员服务器上安装RSA AM)
C、以域用户(需添加到RSA AM用户中)登陆应用服务器(需添加到RSA AM代理主机中)rsamem时,会先前往rsamam这台RSA AM服务器上进行合法用户的双因素认证。成功则充许登陆。
1、RSA Authentication Manager 6.1 安装
A、RSA Authentication Ma
您可能关注的文档
- Eclipse3.3_(windows7)连接远程hadoop.doc
- VMware Workstatio虚拟机linux5.4指引.docx
- 英语语法简单句、并列句.ppt
- 补充:局域网互联.ppt
- hadoop集群配置范例及问题总结.doc
- 湖南高考英语阅读填空题中的层次与框架_____何淑华.ppt
- 2010年全国及各省高考英语试题单项选择分类汇编与解析1.doc
- shark+hive+spark+tachyon+hadoop安装配置(网络版).doc
- 仁爱英语八年级Unit1句型转换专项练习 试题.doc
- 在RedHat Linux上安装GitGitosis环境.docx
- 大学生职业规划大赛《新闻学专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《应用统计学专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《音乐学专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《中医学专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《信息管理与信息系统专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《汽车服务工程专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《水产养殖学专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《市场营销专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《音乐表演专业》生涯发展展示PPT.pptx
- 大学生职业规划大赛《音乐学专业》生涯发展展示PPT.pptx
最近下载
- 冠心病及心衰的药物治疗.ppt VIP
- 2023欧洲车身会议资料006_Data_Catalog_Suzuki_Fronx.pdf
- 大学生心理健康与发展(第二章)大学生异常心理与心理咨询.pptx VIP
- 目的论视角下奢侈品香水广告的汉译策略研究——以迪奥为例.docx
- 2022年新版大象版六年级科学上册全册PPT课件.pptx
- 【新结构】湖北省七市州2024届高三下学期3月联合统一调研测试数学试题+答案解析.pdf VIP
- 物流和供应链(英文).ppt
- 北师大版数学八年级下册第四章 因式分解 大单元整体教学设计学历案教案附作业设计(基于新课标教学评一致性).docx
- 2023欧洲车身会议资料010_SUV full aluminium case_Hyundai and Alumobility.pdf
- 心衰的新药物治疗.pptx VIP
文档评论(0)