一项一项教你测等保2.0——路由器身份鉴别

admin 2023年8月9日20:13:02评论165 views字数 2419阅读8分3秒阅读模式

一项一项教你测等保2.0——路由器身份鉴别一、前言

随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。

二、测评项

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

三、测评项a

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

3.1. 测评项a要求1

应对登录的用户进行身份标识和鉴别

这里的身份标识就是用户名,鉴别就是口令,无论是华三路由器还是华为路由器,是通过网络远程登录还是通过console口直接登录,路由器都需要输入用户名和口令,一般情况下都是符合要求的,当然也有少数一些不需要输入用户名和口令的情况,就不符合此项要求。

一项一项教你测等保2.0——路由器身份鉴别

用xshell登录路由器

3.2. 测评项a要求2

身份标识具有唯一性

管理员在创建新的用户身份标识时,是默认不可以创建相同的用户名的,所以身份标识的唯一性是默认符合要求的。

3.3. 测评项a要求3

身份鉴别信息具有复杂度要求

一般来说密码的复杂度要求包括:长度最少8个字符,内容包含大、小写字母、数字及特殊字符四种中的三种,且不能是简单密码的组合,例如:admin@123等。

第一需要看密码复杂度要求是否开启,第二要看密码复杂度策略是否符合上面要求。

以华为路由器为例,在管理员权限下输入命令display password-control,如下图所示:

一项一项教你测等保2.0——路由器身份鉴别


(1)核查“password-control”是否设置为“Enabled”。
(2)核查“密码长度最小值”即“Password length:”(建议大于等于8个字符)。
(3)核查“密码复杂度策略”及“Password composition”(3 types, 1 characters即“最少包含三种字符,且每种字符最少使用1位”)

3.4. 测评项a要求4

定期更换

同样在管理员权限下输入命令display password-control,寻找如下图配置

一项一项教你测等保2.0——路由器身份鉴别


(1)核查“密码最长使用期限”即“Password aging:”(建议小于等于90天)。

(2)核查“密码过期前几天提示”即“Early notice on password expiration:”(建议大于7天)。

四、测评项b

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

4.1. 测评项b要求1

应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数

华为路由器输入“display ssh server status”,查看SSH操作超时时间和登录失败次数设置,下图为采用SSH登录方式登录失败3次,超时时间60秒。

一项一项教你测等保2.0——路由器身份鉴别


同样在管理员权限下输入命令display password-control,寻找如下图配置

一项一项教你测等保2.0——路由器身份鉴别


(1)核查最大登录失败次数,即“Maximum login attempts” 3次
(2)核查登录失败后锁定时间,即“Action for exceeding login attempts” 1分钟

4.2. 测评项b要求2

当登录连接超时自动退出

核查登录超时退出时间,即“idle-timeout”

五. 测评项c

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

在管理员权限下输入命令dis cu,寻找如下图配置

一项一项教你测等保2.0——路由器身份鉴别


一项一项教你测等保2.0——路由器身份鉴别


查看SSH服务和Telnet服务是否开启,如果SSH服务开启,Telnet服务不开启则符合要求。

六. 测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

路由器一般不具有双因子认证功能,默认不符合,因此若要满足此项要求必须采用第三方双因子认证系统。

6.1. 测评项d要求1

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别

口令:就是大家常用的“用户名、口令”,你提交了只有你自己知道的验证信息,对方就可以认为提交了这个信息的人即为你,即身份认证通过;

辅助物品:如数字证书、密钥盘、加密狗等,你通过向对方出示了此类物品或信息来进行身份验证。

生物特征:指纹、虹膜、DNA等等。

所以,测评项中的两种组合的鉴别技术,就是使用三个要素里至少两个不同的要素,比如“用户名、口令”+“数字证书”或者“用户名、口令”+“指纹”再或者“数字证书”+“指纹”。

所以如果只是重复的使用其中一种要素,比如登录时需要输入两次不同的“用户名、口令”,那就不叫双因素认证,而叫两步验证。

6.2. 测评项d要求2

其中一种鉴别技术至少应使用密码技术来实现

在满足两种或两种以上组合的鉴别技术的同时,还需要一种鉴别技术使用密码技术来实现,常见的密码技术有:加密、认证、数字签名。

结束语

身份鉴别是大家最常见的一种安全措施,往往是设备的第一道屏障,大家应该重视,我在测评过程中很少会遇到身份鉴别做得非常好的情况,绝大多数都是采用的默认密码和弱密码,而且长时间不更换,因此身份鉴别的情形还是非常严峻的,希望大家能够重视,以上就是等保测评2.0解读——路由器身份鉴别的所有内容,希望对大家有所帮助


原文始发于微信公众号(安全帮):一项一项教你测等保2.0——路由器身份鉴别

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月9日20:13:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一项一项教你测等保2.0——路由器身份鉴别https://cn-sec.com/archives/1945077.html

发表评论

匿名网友 填写信息