跳到主要内容

6. 安全考虑事项 (Security Considerations)

本节以 [RFC9907] 第 3.7.1 节中描述的模板为基础.

"ietf-system-tacacs-plus" YANG module 定义了一个 data model, 其设计目标是通过基于 YANG 的管理协议访问, 例如 Network Configuration Protocol (NETCONF) [RFC6241] 和 RESTCONF [RFC8040]. 这些基于 YANG 的管理协议 (1) 必须使用安全传输层 (例如 Secure Shell (SSH) [RFC4252], TLS [RFC8446] 和 QUIC [RFC9000]), 并且 (2) 必须使用双向认证.

Network Configuration Access Control Model (NACM) [RFC8341] 提供了一种手段, 可将特定 NETCONF 或 RESTCONF 用户的访问限制到预配置的子集, 该子集来自所有可用的 NETCONF 或 RESTCONF 协议操作和内容.

本 YANG module 中定义了若干可写入/可创建/可删除的数据节点 (即 "config true", 这是默认值). 在某些网络环境中, 所有可写数据节点都可能是敏感的或存在脆弱性. 若缺少适当保护或认证, 对这些数据节点执行写操作 (例如 edit-config) 和删除操作可能会对网络运行造成负面影响. 以下子树和数据节点具有特别的敏感性/脆弱性:

server: 该 list 包含用于控制设备所使用 TACACS+ servers 的数据节点. 对该 list 的未授权访问可能让攻击者通过指向已被攻陷的 TACACS+ server 来完全控制设备, 或者修改计数器以隐藏针对该设备的攻击.

shared-secret: 该 leaf 控制 TACACS+ client 和 server 双方都知道的密钥. 对该 leaf 的未授权访问可能使设备容易受到攻击; 因此, 它已使用 [RFC8341] 中定义的 "default-deny-all" 访问控制进行限制. 设置该 leaf 时, 强烈建议其长度至少为 32 个字符, 并且足够复杂, 混合使用不同字符类型, 即大写字母, 小写字母, 数字和标点符号.

client-identityserver-authentication: 对密钥或密钥引用的任何修改都可能显著改变已实现的安全策略. 因此, 已设置 NACM extension "default-deny-write".

不存在特别敏感的可读数据节点.

不存在特别敏感的 RPC 或 action 操作.

本 YANG module 使用其他 YANG modules 中的 groupings, 这些模块定义的节点在网络环境中可能被视为敏感或存在脆弱性. 有关哪些节点在网络环境中可能被视为敏感或存在脆弱性的信息, 请参见 [RFC9642] 第 5.3 节和 [RFC9645] 第 5.3 节.