新聞中心

近年網路交易、供應鏈管理與遠端存取等殺手級應用，大幅度增加企業營運的效率與營收金額；這些以任務為導向的網路架構，將伴隨著應用程式與各種資料、語音、影像資訊傳輸量的增加，帶來各種網路安全上的挑戰。

大部分企業會在企業內部網路與網際網路專線的連接點，安裝網路防火牆 ( Network Firewall ) 與防毒閘道器 ( Antivirus Gateway ) 等設備，用來阻擋有心人士惡意攻擊，可能對企業內部造成破壞，特別是如無線接取點 ( Access Point；AP ) 、虛擬私有網路 ( Virtual Private Network；VPN ) 這些通訊管道，若沒有妥善地設定使用者的認證機制與網路存取控管政策，只要使用者將行動裝置帶進企業內部並連上網路，幾乎就可以毫無阻礙的截取企業的機密資訊，成為企業網路安全的一大漏洞。

分散式控管與集中式控管的區別
當企業達到一定的規模後，網路架構與使用者數量將讓 IT 部門無法有效妥善管理所有網路設備的安全設定。一旦企業的架構改變或是人員發生異動，新的網路安全政策可能無法立刻反應到整個企業網路，而必須逐一針對每個節點進行設定上的更動。

集中式身分認證網路服務的安全架構，可以整合網路架構中關鍵性的網路元件，包括集中控管使用者的身份認證 ( Authentication ) 、存取控制 ( Access Control ) 和使用者政策 ( User Policies ) ，以確保網路資源安全地被利用，同時確保中央統籌控管網路各設備的設定，以避免因人員異動，需逐一更動既有設定所造成的時間浪費。

採用集中式身分認證網路服務解決方案有下列幾項好處：

1. 具環境適應性 – 網管人員可建立使用者或使用群組的描述檔案，記錄使用者與網路設備間的授信關係，讓企業網路能夠簡化網路使用者的認證、授權與紀錄。
2. 保障連線安全性與資源有效性 – 網路政策是控管使用者帳號的權限，而非針對網路設備的實體連接埠做連線限制，因此對使用者而言，集中式身分認證網路可以獲得更多的作業自由度，也使 IT 管理者能夠簡化管理的設定程序，提高網路架構的擴充性。
3. 生產力提升，營運成本降低– 當有線與無線網路的安全性與使用彈性提升後，企業發展新業務或組成專案小組時，可快速更動設定，使小組成員或相關的合作夥伴、供應商，獲得網路使用權限。這種集中式安全管理所具備的靈活度，將提升安全政策的時效性，能降低管理複雜度，減少花費在媒體存取控制 ( Media Access Control ) 設定上的精力。

身分認證網路服務架構
身分認證網路服務主要採用「連接埠網路存取控制 IEEE 802.1X」安全標準與「可延伸式驗證協定 ( Extensible Authentication Protocol；EAP ) 」，可針對網路上的客戶端﹝例如使用者或是電腦設備﹞進行使用授權的服務。這種認證授權的程序藉由RADIUS ( Remote Authentication Dial-In User Service ) 的認證方法，將網路架構區分為下列三種角色：授權請求者、認證者與認證伺服器。

簡單的說，當網路終端設備或是使用者這類「授權請求者」想要連結到企業網路上 ( 例如交換器、無線網路基地台這類的「認證者」) 時，將透過EAP安全認證通訊協定，將連線請求經由認證者送往後端的認證伺服器 ( 例如 Cisco 的 ACS 伺服器 ) 進行認證與授權。

存取控制伺服器 ( Access Control Server；ACS ) 是身分認證網路服務的中樞神經，它是一種中央控管的 RADIUS 或是 TACACS+ 伺服器，控管整個網路中所有連線到企業資源的認證、授權與紀帳 ( Authentication, Authorization, Accounting；AAA ) 工作。因此 ACS 伺服器能讓企業的MIS人員，控管與記錄使用者在網路上的連線及活動。

與傳統的連線控管方式比較起來，以往的 ACL 只能設定在網路邊緣設備上，而 ACS 伺服器可以執行的連線控管與紀錄的網路設備則包含遠端存取伺服器、xDSL 寬頻連線設備、防火牆、VPN、VoIP、儲存設備、交換器與無線網路基地台。因此網路管理者只要使用同一個 AAA 認證架構，經由 TACACS+ 管理使用規則與群組，即可管理整個網路和使用者的異動與連線。

除了集中式管理對於企業 MIS 網路管理的便利性以外，ACS 伺服器還具備了以下幾項優勢：

1. 採用公開金鑰架構 ( Public Key Infrastructure；PKI ) 或是智慧卡 ( Smartcard ) 等強化認證方式，大幅減低因金鑰設定不當，或金鑰長期不變因而遭受破解的危險性。
2. 具備彈性的使用政策，例如可指定每個使用者連線權限、網路使用配額、虛擬網路 VLAN 或是連線的時間範圍等。
3. 網路使用的記錄功能，可讓企業稽核與監控使用者在企業網路的行為，進而防止不當使用或做為網路費用分攤的計算標準。

身分認證網路服務通訊協定
ACS 伺服器使用 EAP-Transport Layer Security ( TLS ) 或是Protected EAP ( PEAP ) 的通訊協定，控制以 IEEE 802.1X 為基礎的網路通訊埠，因此在網路終端設備或使用者尚未通過 ACS 伺服器認證之前，802.1X 網路通訊埠將保持鎖定的狀態，拒絕使用者的連線存取。目前PEAP的草案正送交網際網路標準小組 ( Internet Engineering Task Force；IETF ) 進行審查，包括 Window 98、NT、2000、XP 都支援 PEAP 的認証，而 Cisco 也不斷強化其 EAP 與無線網路使用的 Lightweight EAP ( LEAP )，以符合PEAP 的通訊認證協定。

微軟的 PEAP 對於客戶端的認證，使用 MS-CHAPv2 的方式，支援使用者採用登入密碼 ( Logon Password ) 與單次性的密碼 ( One-Time Password ) 的認證方式；而 Cisco 新的 ACS 伺服器與微軟 PEAP 比較起來，除了同樣支援 MS-CHAP 的密碼認證之外，更支援非 MS-CHAP 的使用者資料庫，例如 Lightweight Directory Access Protocol ( LDAP ) 、Novell Directory Service ( NDS ) 或是Open Database Connection ( ODBC ) 的外部資料庫型態，可供 ACS 伺服器管理者選用。

ACS 伺服器在執行 AAA 程序時，也有兩種主流的認證服務方式 － RADIUS 與 TACACS+。RADIUS 將認證與授權整合於單一步驟中，當使用者登入網路時，網路設備將提示使用者輸入帳號與密碼，而後由網路設備送出申請連線及其他權限設定的要求給 ACS，一旦 RADIS 伺服器認可了這個認證要求，將會同時送回認證許可訊息與使用者相關的權限設定資料。

TACACS+ 則為 Cisco 專屬的 AAA 認證協定。TACACS+ 將認證、授權與紀錄分為三個不同的執行步驟，使網路架構可同時使用 TACACS+ 的授權與紀錄功能，與其他獨立的認證方式。舉例來說，在採用 TACACS+ 的同時，可以使用像是 Kerberos 伺服器來進行使用者的認證，並結合 TACACS+ 的授權與記錄功能，因此每當網路設備送出認證要求給 Kerberos 伺服器後，網路設備便能要求 TACACS+ 伺服器提供使用者權限的設定資訊，而毌需再向 TACACS+ 伺服器送出認證許可。

結語
企業採用以 ACS 為中心的身分認證網路服務管理之後，便能夠集中管理企業內部所有的網路設備連線許可，使網路安全政策可以真正落實到網路的每個角落，不只侷限在特定的對外連線上，也不必再擔心遺忘在某處的無線基地台成為網路安全上的死角。對於使用者的管理而言，ACS 結合 LDAP 與 ODBC 服務，使各大作業系統平台供應商所提供的目錄服務，能與身分認證網路管理緊密搭配，讓使用者更能有效率、有彈性的使用整個企業的網路資源。