方案概述

一、需求分析


1.1问题描述


      目前管理的的交换机、服务器采用本地账号、密码认证方式;

      由于这些机器采用内置的账号、密码验证机制,密码管理成本较高,且弱认证机制容易引起非授权登入;

       无法实现对机器(交换机、服务器)的集中登录审计。
 

1.2实现目标 


  1.      1、采用第三方认证机制,实现集中账号、密码验证;
  2.      2、为网络设备、服务器增加动态密码认证,提升身份认证安全;
  3.      3、减小静态密码遗忘或定期强制更改登录密码给IT管理人员带来的开销,节约密码相关管理成本;
  4.      4、应不改变现有账号/密码认证体系及网络架构情况下,增加动态口令认证;
  5.      5、高可靠性;

二、解决方案


2.1方案介绍


      宁盾动态密码认证是双因子认证的一种方式,为交换机、服务器接入用户增加动态密码认证,借助此方案可以提升认证安全,加强登陆用户审计,减小弱身份认证引起的非授权访问及信息泄露风险

由于其动态密码其30/60秒变化一次的随机密码,即使被窃取,由于其一次使用有效的特点,也无法使用。网络管理员在远程访问其管理其组织内服务器时,输入动态令牌上显示的动态密码,与原有账号、密码结合使用,形成双重因子认证,动态密码被是公认网络设备及服务器主流安全认证管理技术。


2.2拓扑结构




2.3服务器动态密码登陆加固方案

网络管理员只需携带一枚动态令牌即可实现对其管理的Windows、Linux、UNIX服务器的本地和SSH安全访问,大大提升身份认证安全,节约密码管理成本。


(1)Windows服务器保护

宁盾可以保护Windows系统本地登录、远程桌面登录。DKEY for Windows插件有四种版本,分别对应32/64位的XP/ 2003和Vista/ 7/ 2008(R2)、Windows 2012,同时安装配置好DKEY for Windows插件之后原生的Windows登录界面将被替换为支持动态口令认证的登录界面:


(2)Linux/UNIX服务器保护

宁盾可以保护Linux、Unix(AIX、HP-UNIX、Saloris)、BSD等系统(统称类Unix系统)的系统本地登录、SSH远程登录等支持PAM的场景,该方案可即插即用,并能够无缝兼容原有证书体系,可支持跳板机和直接对。

下面以AIX的root用户为例,在Password输入静态密码+动态密码组合:


方案价值

  • 1、提升服务器访问安全
  • 2、减小服务器密码管理成本
  • 3、实现对服务器访问的认证集中审计
  • 4、可扩展其他网络设备如交换机、路由器等集中认证

2.3 网络设备统一认证及动态密码加固方案

该方案支持交换机、路由器、防火墙、WAF、堡垒机等主流网络设备,帮助其实现网络设备账号统一身份认证、动态密码安全加固 。

管理员只需在认证服务器中建立用户账号与令牌序列号的绑定关系,形如:

账号 令牌序列号
test@mail.xju.edu.com

配置:

以H3C交换机配置为例:


  • 配置认证服务器地址:指向 DKEY TMS,负责账号、密码、动态密码认证;
  • 配置计费服务器地址:指向DKEY TMS,负责记录交换机登录的上下线日志;
  • 配置认证及计费服务器的共享密钥。

登录流程:



  • 第一步:UserNAME输入用户名
  • 第二步:Password输入静态密码+令牌上显示登录密码组合,提交认证,并返回认证结果;