一、前言
随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
二、测评项
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
三、测评项a
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
3.1. 测评项a要求1
应对登录的用户进行身份标识和鉴别
这里的身份标识就是用户名,鉴别就是口令,无论是华三路由器还是华为路由器,是通过网络远程登录还是通过console口直接登录,路由器都需要输入用户名和口令,一般情况下都是符合要求的,当然也有少数一些不需要输入用户名和口令的情况,就不符合此项要求。
用xshell登录路由器
3.2. 测评项a要求2
身份标识具有唯一性
管理员在创建新的用户身份标识时,是默认不可以创建相同的用户名的,所以身份标识的唯一性是默认符合要求的。
3.3. 测评项a要求3
身份鉴别信息具有复杂度要求
一般来说密码的复杂度要求包括:长度最少8个字符,内容包含大、小写字母、数字及特殊字符四种中的三种,且不能是简单密码的组合,例如:admin@123等。
第一需要看密码复杂度要求是否开启,第二要看密码复杂度策略是否符合上面要求。
以华为路由器为例,在管理员权限下输入命令display password-control,如下图所示:
(1)核查“password-control”是否设置为“Enabled”。
(2)核查“密码长度最小值”即“Password length:”(建议大于等于8个字符)。
(3)核查“密码复杂度策略”及“Password composition”(3 types, 1 characters即“最少包含三种字符,且每种字符最少使用1位”)
3.4. 测评项a要求4
定期更换
同样在管理员权限下输入命令display password-control,寻找如下图配置
(1)核查“密码最长使用期限”即“Password aging:”(建议小于等于90天)。
(2)核查“密码过期前几天提示”即“Early notice on password expiration:”(建议大于7天)。
四、测评项b
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
4.1. 测评项b要求1
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数
华为路由器输入“display ssh server status”,查看SSH操作超时时间和登录失败次数设置,下图为采用SSH登录方式登录失败3次,超时时间60秒。
同样在管理员权限下输入命令display password-control,寻找如下图配置
(1)核查最大登录失败次数,即“Maximum login attempts” 3次
(2)核查登录失败后锁定时间,即“Action for exceeding login attempts” 1分钟
4.2. 测评项b要求2
当登录连接超时自动退出
核查登录超时退出时间,即“idle-timeout”
五. 测评项c
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
在管理员权限下输入命令dis cu,寻找如下图配置
查看SSH服务和Telnet服务是否开启,如果SSH服务开启,Telnet服务不开启则符合要求。
六. 测评项d
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
路由器一般不具有双因子认证功能,默认不符合,因此若要满足此项要求必须采用第三方双因子认证系统。
6.1. 测评项d要求1
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别
口令:就是大家常用的“用户名、口令”,你提交了只有你自己知道的验证信息,对方就可以认为提交了这个信息的人即为你,即身份认证通过;
辅助物品:如数字证书、密钥盘、加密狗等,你通过向对方出示了此类物品或信息来进行身份验证。
生物特征:指纹、虹膜、DNA等等。
所以,测评项中的两种组合的鉴别技术,就是使用三个要素里至少两个不同的要素,比如“用户名、口令”+“数字证书”或者“用户名、口令”+“指纹”再或者“数字证书”+“指纹”。
所以如果只是重复的使用其中一种要素,比如登录时需要输入两次不同的“用户名、口令”,那就不叫双因素认证,而叫两步验证。
6.2. 测评项d要求2
其中一种鉴别技术至少应使用密码技术来实现
在满足两种或两种以上组合的鉴别技术的同时,还需要一种鉴别技术使用密码技术来实现,常见的密码技术有:加密、认证、数字签名。
结束语
身份鉴别是大家最常见的一种安全措施,往往是设备的第一道屏障,大家应该重视,我在测评过程中很少会遇到身份鉴别做得非常好的情况,绝大多数都是采用的默认密码和弱密码,而且长时间不更换,因此身份鉴别的情形还是非常严峻的,希望大家能够重视,以上就是等保测评2.0解读——路由器身份鉴别的所有内容,希望对大家有所帮助
原文始发于微信公众号(安全帮):一项一项教你测等保2.0——路由器身份鉴别
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论