一、前言
今天我们来说交换机,由于路由器和交换机一些查看配置的方法是一样的,这里可能有些知识与路由器是一样的,刚开始想着这两部分内容一起说的,但是后来发现需要补充一些知识,想着改来改去的麻烦,就把补充的内容加到这一部分,请大家浏览的时候最好这两部分内容参考着看,下面咱们言归正传。
二、测评项
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
三、测评项a
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
3.1. 测评项a要求1
应对登录的用户进行身份标识和鉴别
无论是通过console口还是其他方式登录交换机,只要是输入用户名和口令进入交换机的,这一项要求1就是符合的,如果直接进入,整个测评项就不符合了。
3.2. 测评项a要求2
身份标识具有唯一性
管理员在创建新的用户身份标识时,是默认不可以创建相同的用户名的,所以身份标识的唯一性是默认符合要求的。
3.3. 测评项a要求3
身份鉴别信息具有复杂度要求
在管理员权限下输入display current-configuration(dis cu)命令,查看关于aaa服务器身份认证的相关配置,如下图红框中的内容,可以看到基本都是default默认配置的,当然这就不符合此项要求。
华为交换机
在华三交换机下输入命令display password-control,如下图所示:
华三交换机
(1)核查“password-control”是否设置为“Enabled”。
(2)核查“密码长度最小值”即“Password length:”(建议大于等于8个字符)。
(3)核查“密码复杂度策略”及“Password composition”(3 types, 1 characters即“最少包含三种字符,且每种字符最少使用1位”)
在思科交换机下输入命令show running-config 输出相关配置信息。或查看是否启用AAA服务器进行身份认证。
3.4. 测评项a要求4
定期更换
华为交换机没有相关配置,华三交换机核查:
(1)“密码最长使用期限”即“Password aging:”(建议小于等于90天)。
(2)“密码过期前几天提示”即“Early notice on password expiration:”(建议大于7天)
四、测评项b
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
4.1. 测评项b要求1
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数
华为交换机下输入“display ssh server status”,查看SSH操作超时时间和登录失败次数设置,下图为采用SSH登录方式登录失败3次,超时时间60秒。
载华三交换机下输入命令display password-control,寻找如下图配置
(1)核查最大登录失败次数,即“Maximum login attempts” 3次
(2)核查登录失败后锁定时间,即“login attempt-failed action” lock for 1 minute
思科交换机输入show running-config命令,查看user-authen-restriction fail-time 5 lock-minute 1,交换机已配置非法登录5次后锁定账户1分钟。
4.2. 测评项b要求2
当登录连接超时自动退出
华为和华三交换机SSH操作超时时间为60 seconds,思科交换机输入show running-config命令,查看line telnet idle-timeout 6,交换机已配置登录连接超时自动退出时长为6分钟。
五. 测评项c
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
访谈管理员采用哪种方式对交换机进行远程管理,如Telnet或Web方式,如果是Telnet方式,查看是否开启SSH协议,如果是Web方式,查看是否开启Https协议。
华为交换机默认关闭SSH和HTTPS服务的,如果采用Telnet或Web方式远程管理,且没有开启SSH和HTTPS服务,就不符合要求。
华三交换机通过“display curent-configuration”命令查看是否关闭了Telnet协议,开启了SSH协议
思科交换机输入show running-config命令,查看交换机是否禁用Telnet服务,是否允许使用SSH协议进行远程管理,用户口令信息是否采用MD5加密传输,防止鉴别信息在网络传输过程中被窃听。
采用了SSH方式对设备进行远程管理。配置中存在如下信息:
ip ssh version 2
transport input ssh。
六. 测评项d
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
交换机一般不具有双因子认证功能,默认不符合,因此若要满足此项要求必须采用第三方双因子认证系统,这个就不重复说了,请查看路由器相关部分。
结束语
以上就是等保测评2.0解读——交换机身份鉴别的所有内容,希望对大家有所帮助。
原文始发于微信公众号(安全帮):一项一项教你测等保2.0——交换机身份鉴别
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论