1.身份鉴别
应对登录的用户进行身份标识和鉴别, 身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
可以使用" service password-encryption"命令对存储在配置文件中的所有口令和类似数据进行加密, 以避免攻击者通过读取配置文件获取口令的明文。
[测评方法]
(1)核查是否在用户登录时采用了身份鉴别措施[lc1] 。退出登录:Router#logout
(2)核查用户列表, 测试用户身份标识是否具有唯一性[lc2] 。
(3)查看用户配置信息或访谈系统管理员,核查是否存在空口令[lc3] 用户(应为不存在)。
(4)核查用户鉴别信息是否满足复杂度[lc4] 要求并定期更换。
控制台端口本地登录:
虚拟终端vty(telnet/ssh):
思科:
设置远程登入(telnet)用户名和密码(注意,路由和客户机的telnet服务都要提前开启)
enable
#configure terminal
(config)#enable password cisco 设置特权密码
(config)#username lly secret lly 设置telnet用户名和密码
(config)#line vty 0 4
(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
(config-line)#transport input telnet
r1(config-line)#login ?
authentication authenticate using aaa method list
local Local password checking
(config-line)#login local启动本地认证
登录 :
C:\>telnet 10.1.2.254(路由器接口ip)
Trying 10.1.2.254 ...Open
User Access Verification
Username: lly
Password:
r1#exit 退出登录
[Connection to 10.1.2.254 closed by foreign host]
C:\>
华为 :
查看是否配好了ip
[r1]display current-configuration interface GigabitEthernet 0/0/0
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
ipsec policy my-policy
return
[r1]telnet server enable开启本地的telnet服务
[r1]user-interface vty 0 4 可以允许5个用户管理
[r1-ui-vty0-4]authentication-mode aaa
aaa方式是账户+密码方式登录,另外password方式是只要密码就可以登录
[r1-ui-vty0-4]aaa
[r1-aaa]local-user lcy password cipher 123qwe 指定密码加密算法为cipher
[r1-aaa]local-user lcy service-type telnet远程登录方式
尝试控制:
<r2>telnet 10.1.1.1
Press CTRL_] to quit telnet mode
Trying 10.1.1.1 ...
Connected to 10.1.1.1 ...
Login authentication
Username:lcy
Password:
<r1> 成功
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
[测评方法〕
(1)核查是否配置并启用了登录失败处理功能。如果网络中部署了堡垒机,则先核查堡垒机是否具有登录失败处理功能。如果网络中没有部署堡垒机,则核查设备是否默认启用了登录失败处理功能[lc5] ,例如登录失败3次即退出登录界面。
(2 )核查是否配置并启用了非法登录达到一定次数后锁定账户的功能。
(3)核查是否配置并启用了远程登录连接超时自动退出[lc6] 的功能。
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
【测评方法】
核查是否采用了加密等安全方式对系统进行远程管理,以防止鉴别信息在网络传输过程中被窃听。如果网络中部署了堡垒机,则先核查堡垒机在进行远程连接时采用何种措施防止鉴别信息在网络传输过程中被窃听(例如SSH等方式)。
Router(config)# hostname r1
r1(config)# ip domain-name lcy.com
r1(config)# username lcy privilege 15 secret 123qwe
r1(config)# crypto key generate rsa modulus 2048
r1(config)# ip ssh version 2
r1(config)# line vty 0 4
r1(config-line)# login local 启用本地身份验证,只允许用本地(路由器配置好的)账户登录
r1(config-line)# transport input ssh
r1(config-line)# exit
r1(config)# ip ssh authentication-retries 3 登陆失败次数为3次
[lc1]display current-configuration | include local-user
local-user lcy class manage
[lc2]查看在线用户列表:
Router# show users
查看用户:show run
新建用户:
Router(config)# username newuser privilege 15 password newpassword
[lc3]Router# show running-config
查找 "username" 命令行,该命令用于创建或修改用户账户。如果某个用户账户的密码为空,则该行将类似于下面的形式:
username user1 privilege 15 password 0
[lc4]HCL:
<Intetnet>display password-control
Global password control configurations:
Password control: Disabled (device management users) Disabled (network access users)
密码控制:设备管理用户和网络访问用户的密码控制都被禁用。
Password composition: Enabled (2 types, 1 characters per type)
密码组成:密码组成要求已启用,要求密码包含至少2种类型的字符(如字母、数字或特殊字符),并且每种类型至少包含1个字符
Password history: Enabled (max history records:4)
密码历史:密码历史记录已启用,最多保存4个历史密码记录,以防止用户在更改密码时重复使用先前的密码。
User account idle time: 90 days
用户帐户空闲时间:如果用户帐户处于空闲状态超过90天,系统将自动注销该用户。
Logins with aged password: 3 times in 30 days
使用过期密码进行登录:如果用户在过去30天内已经3次使用过期密码进行登录,系统将采取相应的操作。
Password change: Enabled (first login) Disabled (mandatory weak password change)
密码更改:首次登录时要求用户更改密码,但没有强制要求使用弱密码更改
思科:
show running-config | include password complexity
[lc5]<Intetnet>display password-control
Maximum login attempts: 3
Action for exceeding login attempts: Lock user for 1 minutes
[lc6]display current-configuration | include idle-time
Router#show running-config | include exec-timeout
exec-timeout 20 0
配置:
Router(config)#line console 0
Router(config-line)#exec-timeout 20
Router(config-line)#end
Router#copy running-config startup-config
Destination filename [startup-config]? 直接回车确认
Building configuration...
[OK]