#頭條創作挑戰賽#
一、前言
今天我們來說交換機,由于路由器和交換機一些檢視配置的方法是一樣的,這裡可能有些知識與路由器是一樣的,剛開始想着這兩部分内容一起說的,但是後來發現需要補充一些知識,想着改來改去的麻煩,就把補充的内容加到這一部分,請大家浏覽的時候最好這兩部分内容參考着看,下面咱們言歸正傳。
二、測評項
a)應對登入的使用者配置設定賬戶和權限;
b)應重命名或删除預設賬戶,修改預設賬戶的預設密碼;
c)應及時删除或停用多餘的、過期的賬戶,避免共享賬戶的存在;
d)應授予管理使用者所需的最小權限,實作管理使用者的權限分離;
e)應由授權主體配置通路控制政策,通路控制政策規定主體對客體的通路規則;
f)通路控制的粒度應達到主體為使用者級或程序級,客體為檔案、資料庫表級;
g)應對重要主體和客體設定安全标記,并控制主體對有安全标記資訊資源的通路。
三、測評項a
a)應對登入的使用者配置設定賬戶和權限;
華為交換機在特權模式下輸入display current-configuration(可簡寫為dis cu),如下圖所示:
華為交換機隻有一個admin使用者,擁有交換機所有權限,肯定不符合要求。
在華三交換機下輸入display current-configuration(可簡寫為dis cu)指令,如下圖所示:
華三交換機設定了不同的賬戶,且配置設定了不同的權限,符合要求。
思科交換機輸入show username指令,檢視裝置是否對可登入使用者進行了賬戶和權限配置設定,包括系統管理者、審計管理者、安全管理者、運維員等,如下配置:
username admin privilege 15 password 0 cisco
username user privilege 5 password 0 cisco
username auditor privilege 7 password 0 cisco
已限制匿名賬戶的通路權限。配置中存在如下資訊:
line con 0
login
password xxxxx
line vty 0 4
login
password xxxxx。
四、測評項b
b)應重命名或删除預設賬戶,修改預設賬戶的預設密碼;
檢視華為交換機否存在使用者名為admin的預設賬戶,若不存在使用者名為admin的賬戶,詢問從業人員是否已删除預設賬戶或已将預設賬戶重命名,并且密碼已修改為複雜密碼。
若存在使用者名為 admin的賬戶,嘗試使用預設賬戶與預設密碼(密碼: admin\[email protected])進行登入,檢視是否成功。
其他品牌交換機也使用類似方法測評,思科交換機輸入show username檢視,裝置是否存在預設賬戶。
五. 測評項c
c)應及時删除或停用多餘的、過期的賬戶,避免共享賬戶的存在;
華為交換機下輸入指令display local-user,檢視使用者資訊,如下圖所示:
State參數為A,表示active,賬戶為可用狀态。
是否存在共享賬戶,隻能詢問管理者,一般都會給與否定的回答,但是如果是類似華為路由器隻有一個admin使用者,大機率是共享的。
華三交換機輸入指令display local-user,也會有類似配置,如下圖所示:
通路系統管理者是否存在多餘、過期的賬戶,是否存在共享賬戶。
六. 測評項d
d)應授予管理使用者所需的最小權限,實作管理使用者的權限分離;
根據以上查詢到的資訊,華為路由器隻存在一個admin使用者,擁有所有權限,肯定不符合管理使用者權限分離的要求;
華三路由器設定了不同的使用者,且給與了不同使用者不同的權限,實作了管理使用者的權限分離,至于是否是最小權限,可以根據劃分規則登入不同賬戶驗證。
思科使用者輸入show running-config指令檢視。
七. 測評項e、f、g
e)應由授權主體配置通路控制政策,通路控制政策規定主體對客體的通路規則;
f)通路控制的粒度應達到主體為使用者級或程序級,客體為檔案、資料庫表級;
g)應對重要主體和客體設定安全标記,并控制主體對有安全标記資訊資源的通路。
此三項不适用,條款主要針對主機和資料庫的測評,網絡裝置主要使用者為運維管理人員,無其他使用者。
結束語
以上就是等保測評2.0解讀——路由器通路控制的所有内容,希望對大家有所幫助,歡迎關注@科技興了解更多科技尤其是網絡安全方面的資訊與知識。