摘要
通過實施DKEY動態密碼認證方案,實現企業交換機、路由器、服務器等集中認證和審計,大大節約網絡設備管理成本,方便獲取網絡設備整體登錄狀態,同時配合動態密碼認證,大大提升網絡設備訪問安全,減小密碼管理成本。
問題描述
交換機、路由器、防火牆、服務器構築企業的IT基礎設施,網絡管理員通過爲每臺設備設置獨立的賬號、密碼以實現遠程管理,隨着設備數量的不斷增加,傳統管理方法的弊端表現如下:
(1)無法實現對網絡設備的集中認證及審計;
(2)密碼管理成本越來越高;
(3)由於弱口令而導致企業內網被***的風險日趨增高;
方案概述
通過在企業內網部署DKEY動態密碼認證服務器軟件,其內置Radius Server,通過配置網路設備的Radius認證,實現對網絡設備、服務器集中認證及審計,爲網絡管理員人員分配相應的一次性密碼生成設備,與網絡設備訪問賬號進行綁定,實現賬戶和動態密碼的雙重認證,因而能夠有效的保證賬戶信息的安全性;由於DKEY支持多個賬號綁定同一枚令牌,切合企業少數IT管理人員管理大量網絡設備的實際需求。
是便捷性與安全性並重的網絡設備安全管理方案,越來越多的企業實施DKEY方案實現對企業網絡設備及服務器的管理。
拓撲結構
整體架構組成部分:
1. DKEY TMS:內置Radius Server,用來接收交換機、路由器、防火牆、Linux/Unix服務器傳遞過來的域帳號、密碼及動態密碼,實現對設備的集中認證及審計。
2. 配置交換機、路由器、防火牆、Linux服務器的Radius認證,即IP、PORT、共享密鑰信息,使其與DEKY TMS互操作;
3. 建議DKEY TMS配置雙機互備,在網絡設備中選擇主、備認證服務器;
4. 支持硬件令牌、手機令牌兩種認證方式。
認證流程
以H3C的SSH爲例,說明登錄流程;
第一步:USERNAME輸入用戶名
第二步:PASSWORD輸入靜態密碼+令牌上顯示登錄密碼組合,提交認證,並返回認證結果;
方案價值
(1)實現對網絡設備的集中認證及審計
(2)提升網絡設備遠程管理安全
(3)擴展支持企業其他業務系統如***、郵件、門戶等企業業務系統接入動態密碼認證
(4)支持多賬號統一綁定一令牌,管理人員實現一枚令牌對多網絡設備的管理