一项一项教你测等保2.0——路由器访问控制

admin 2023年8月12日20:00:44评论103 views字数 1748阅读5分49秒阅读模式

一项一项教你测等保2.0——路由器访问控制

一、前言

随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。

二、测评项

a)应对登录的用户分配账户和权限;

b)应重命名或删除默认账户,修改默认账户的默认口令;

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

三、测评项a

a)应对登录的用户分配账户和权限;

输入display current-configuration(可简写为dis cu)命令,如下图所示:

一项一项教你测等保2.0——路由器访问控制

华为

一项一项教你测等保2.0——路由器访问控制

华三

查看有哪些用户,如图所示华为路由器只有一个admin用户,肯定不符合要求,华三路由器有ABC、audadmin、secadmin和super四个用户,询问管理员这四个用户的用途和权限划分。

补充知识或注意事项:

1、level-0: 可执行命令ping、tracert、ssh2、telne和super,且管理员可以为其配置权限。

2、level-1: 具有leve-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display historv-command al之外),以及管理员可以为其配置权限。

3、level-2 ~level-8和level-10 ~level-14: 无缺省权限,需要管理员为其配置权限。

4、level-9: 可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操display history-command all命令RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码。

5、level-15: 具有与network-admin角色相同的权限。

四、测评项b

b)应重命名或删除默认账户,修改默认账户的默认口令;

还是查看以上两张图片,华为路由器admin账户是默认的账户,我没有查到修改方法,应该不可以修改,但是可以修改密码,使用默认密码登录查看是否成功;

华三路由器默认用户也是admin,已经修改名称,使用默认密码登录查看是否成功。

五. 测评项c

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

输入命令display local-user,查看用户信息,如下图所示:

一项一项教你测等保2.0——路由器访问控制

华为

State参数为A,表示active,账户为可用状态。

一项一项教你测等保2.0——路由器访问控制

华三

华三路由器的配置类似,也是State参数为Active表示用户为可用状态。

是否存在共享账户,只能询问管理员,一般都会给与否定的回答,但是如果是类似华为路由器只有一个admin用户,大概率是共享的。

六. 测评项d

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

根据以上查询到的信息,华为路由器只存在一个admin用户,拥有所有权限,肯定不符合管理用户权限分离的要求;

华三路由器设置了不同的用户,且给与了不同用户不同的权限,实现了管理用户的权限分离,至于是否是最小权限,可以根据划分规则登录不同账户验证。

七. 测评项e、f、g

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

此三项不适用,条款主要针对主机和数据库的测评,网络设备主要用户为运维管理人员,无其他用户。

结束语

以上就是等保测评2.0解读——路由器访问控制的所有内容,希望对大家有所帮助。


原文始发于微信公众号(安全帮):一项一项教你测等保2.0——路由器访问控制

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月12日20:00:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一项一项教你测等保2.0——路由器访问控制https://cn-sec.com/archives/1941951.html

发表评论

匿名网友 填写信息