一项一项教你测等保2.0——交换机身份鉴别

admin 2023年8月1日13:01:23评论891 views字数 2276阅读7分35秒阅读模式

一项一项教你测等保2.0——交换机身份鉴别

一、前言

今天我们来说交换机,由于路由器和交换机一些查看配置的方法是一样的,这里可能有些知识与路由器是一样的,刚开始想着这两部分内容一起说的,但是后来发现需要补充一些知识,想着改来改去的麻烦,就把补充的内容加到这一部分,请大家浏览的时候最好这两部分内容参考着看,下面咱们言归正传。

二、测评项

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

三、测评项a

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

3.1. 测评项a要求1

应对登录的用户进行身份标识和鉴别

无论是通过console口还是其他方式登录交换机,只要是输入用户名和口令进入交换机的,这一项要求1就是符合的,如果直接进入,整个测评项就不符合了。

3.2. 测评项a要求2

身份标识具有唯一性

管理员在创建新的用户身份标识时,是默认不可以创建相同的用户名的,所以身份标识的唯一性是默认符合要求的。

3.3. 测评项a要求3

身份鉴别信息具有复杂度要求

在管理员权限下输入display current-configuration(dis cu)命令,查看关于aaa服务器身份认证的相关配置,如下图红框中的内容,可以看到基本都是default默认配置的,当然这就不符合此项要求。

一项一项教你测等保2.0——交换机身份鉴别

华为交换机

在华三交换机下输入命令display password-control,如下图所示:

一项一项教你测等保2.0——交换机身份鉴别

华三交换机

(1)核查“password-control”是否设置为“Enabled”。
(2)核查“密码长度最小值”即“Password length:”(建议大于等于8个字符)。
(3)核查“密码复杂度策略”及“Password composition”(3 types, 1 characters即“最少包含三种字符,且每种字符最少使用1位”)

在思科交换机下输入命令show running-config 输出相关配置信息。或查看是否启用AAA服务器进行身份认证。

3.4. 测评项a要求4

定期更换

华为交换机没有相关配置,华三交换机核查:

(1)“密码最长使用期限”即“Password aging:”(建议小于等于90天)。

(2)“密码过期前几天提示”即“Early notice on password expiration:”(建议大于7天)

四、测评项b

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

4.1. 测评项b要求1

应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数

华为交换机下输入“display ssh server status”,查看SSH操作超时时间和登录失败次数设置,下图为采用SSH登录方式登录失败3次,超时时间60秒。

一项一项教你测等保2.0——交换机身份鉴别


载华三交换机下输入命令display password-control,寻找如下图配置

一项一项教你测等保2.0——交换机身份鉴别


(1)核查最大登录失败次数,即“Maximum login attempts” 3次
(2)核查登录失败后锁定时间,即“login attempt-failed action” lock for 1 minute

思科交换机输入show running-config命令,查看user-authen-restriction fail-time 5 lock-minute 1,交换机已配置非法登录5次后锁定账户1分钟。

4.2. 测评项b要求2

当登录连接超时自动退出

华为和华三交换机SSH操作超时时间为60 seconds,思科交换机输入show running-config命令,查看line telnet idle-timeout 6,交换机已配置登录连接超时自动退出时长为6分钟。

五. 测评项c

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

访谈管理员采用哪种方式对交换机进行远程管理,如Telnet或Web方式,如果是Telnet方式,查看是否开启SSH协议,如果是Web方式,查看是否开启Https协议。

华为交换机默认关闭SSH和HTTPS服务的,如果采用Telnet或Web方式远程管理,且没有开启SSH和HTTPS服务,就不符合要求。

一项一项教你测等保2.0——交换机身份鉴别


华三交换机通过“display curent-configuration”命令查看是否关闭了Telnet协议,开启了SSH协议

一项一项教你测等保2.0——交换机身份鉴别


思科交换机输入show running-config命令,查看交换机是否禁用Telnet服务,是否允许使用SSH协议进行远程管理,用户口令信息是否采用MD5加密传输,防止鉴别信息在网络传输过程中被窃听。

采用了SSH方式对设备进行远程管理。配置中存在如下信息:

ip ssh version 2

transport input ssh。

六. 测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

交换机一般不具有双因子认证功能,默认不符合,因此若要满足此项要求必须采用第三方双因子认证系统,这个就不重复说了,请查看路由器相关部分。

结束语

以上就是等保测评2.0解读——交换机身份鉴别的所有内容,希望对大家有所帮助。


原文始发于微信公众号(安全帮):一项一项教你测等保2.0——交换机身份鉴别

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月1日13:01:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一项一项教你测等保2.0——交换机身份鉴别https://cn-sec.com/archives/1925072.html

发表评论

匿名网友 填写信息