一、前言

今天我们来说交换机，由于路由器和交换机一些查看配置的方法是一样的，这里可能有些知识与路由器是一样的，刚开始想着这两部分内容一起说的，但是后来发现需要补充一些知识，想着改来改去的麻烦，就把补充的内容加到这一部分，请大家浏览的时候最好这两部分内容参考着看，下面咱们言归正传。

二、测评项

a）应对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

三、测评项a

a）应对登录的用户分配账户和权限；

华为交换机在特权模式下输入display current-configuration（可简写为dis cu)，如下图所示：

华为交换机只有一个admin用户，拥有交换机所有权限，肯定不符合要求。

在华三交换机下输入display current-configuration（可简写为dis cu)命令，如下图所示：

华三交换机设置了不同的账户，且分配了不同的权限，符合要求。

思科交换机输入show username命令，查看设备是否对可登录用户进行了账户和权限分配，包括系统管理员、审计管理员、安全管理员、运维员等，如下配置：

username admin privilege 15 password 0 cisco

username user privilege 5 password 0 cisco

username auditor privilege 7 password 0 cisco

已限制匿名账户的访问权限。配置中存在如下信息：

line con 0

login

password xxxxx

line vty 0 4

login

password xxxxx。

四、测评项b

b)应重命名或删除默认账户，修改默认账户的默认口令；

查看华为交换机否存在用户名为admin的默认账户，若不存在用户名为admin的账户，询问工作人员是否已删除默认账户或已将默认账户重命名，并且口令已修改为复杂口令。

若存在用户名为 admin的账户，尝试使用默认账户与默认口令（口令: [email protected]）进行登录，查看是否成功。

其他品牌交换机也使用类似方法测评，思科交换机输入show username查看，设备是否存在默认账户。

五. 测评项c

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

华为交换机下输入命令display local-user，查看用户信息，如下图所示：

State参数为A，表示active，账户为可用状态。

是否存在共享账户，只能询问管理员，一般都会给与否定的回答，但是如果是类似华为路由器只有一个admin用户，大概率是共享的。
华三交换机输入命令display local-user，也会有类似配置，如下图所示：

访问系统管理员是否存在多余、过期的账户，是否存在共享账户。

六. 测评项d

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

根据以上查询到的信息，华为路由器只存在一个admin用户，拥有所有权限，肯定不符合管理用户权限分离的要求；

华三路由器设置了不同的用户，且给与了不同用户不同的权限，实现了管理用户的权限分离，至于是否是最小权限，可以根据划分规则登录不同账户验证。

思科用户输入show running-config命令查看。

七. 测评项e、f、g

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

此三项不适用，条款主要针对主机和数据库的测评，网络设备主要用户为运维管理人员，无其他用户。

结束语

以上就是等保测评2.0解读——路由器访问控制的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。

转载：头条@科技兴

原文始发于微信公众号（安全帮）：一项一项教你测等保2.0——交换机访问控制