为确保交换机的安全,必须对交换机中的每一运维用户或与之相连的交换机进行有效的标识与鉴别,只有通过鉴别的用户才能被赋予相应的权限,进入交换机并在规定的权限内操作。
a应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
一般来说,用户登录交换机方式包括:利用控制台端口(Console)通过串口进行本地连接登录。利用辅助端口(AUX)通过Modem进行远程拨号连接登录或者利用虚拟终端(VTY)通过TCP/IP网络进行远程Telnet登录等。无论是哪一种登录方式,都需要对用户身份进行鉴别,口令是交换机用来防止非授权访问的常用手段,是交换机本身安全的一部分。因此需要加强对交换机口令的管理,包括口令的设置和存储,最好的口令存储方法是保存在TACACS+或RADIUS认证服务器上。管理员应当依据需要为交换机相应的端口加上身份鉴别最基本的安全控制。
交换机不允许配置用户名相同的用户,同时要防止多人共用一个账户,实行分账户管理,每名管理员设置一个单独的账户,避免出现问题后不能及时进行追查。
为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求。
使用“servicepassword-encryption”命令对存储在配置文件中的所有口令和类似数据进行加密,避免通过读取配置文件而获取口令的明文。
1)应核查用户在登录时是否采用了身份鉴别措施;
2)应核查用户列表,测试用身份标识是否具有唯一性;以华为交换机为例,输入“displaycurrent-configuration”命令,查看是否存在如下类似用户列表配置:
local-usernetadminpasswordirreversible-cipherxxxxxx
3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户;
4)应核查用户鉴别信息是否具有复杂度要求并定期更换。
1、
a、交换机使用口令鉴别机制对登录用户进行身份标识和鉴别;
b、登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;
c、交换机中不存在密码为空的用户。
2、
Cisco:输入showrun命令,存在如下类似用户列表配置:
usernameadminprivilege15password0xxxxxxxx
usernameauditprivilege10password0xxxxxxxx
或启用AAA服务器进行身份认证
aaanew-model
aaaauthenticationlogindefaultgrouptacacs+localenable
aaaauthenticationenabledefaultgrouptacacs+enable
华为/H3C:输入displaycurentconfiguration命令,存在如下类似用户列表配置:
local-usernetadminpasswordirreversible-cipherxxxxxx
或启用AAA服务器进行身份认证
hwtacacsschemexxxxx
primaryauthenticationxxxx
primaryauthorizationxxxxx
primaryaccountingxxxxx
keyauthenticationcipherxxxxxx
keyauthorizationcipherxxxxxx
keyaccountingcipherxxxxxx
3、
Cisco:输入showrun命令,存在如下类似配置:
usernameadminprivilege15password0xxxxxxxx
usernameauditprivilege10password0xxxxxxxx
华为/H3C:输入displaycurrent-configuration命令,存在如下类似配置:
local-usernetadminpasswordirreversible-cipherxxxxxx
4、
口令组成:应由数字、字母、特殊字符组成
口令长度:应大于8位
口令更换周期:口令一般三个月换一次
H3C:输入displaypassword-control,查看是否存在如下配置
password-controlaging90
password-controllength8
password-controlhistory10
password-control