路由等保测评

1.身份鉴别

应对登录的用户进行身份标识和鉴别, 身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

可以使用" service password-encryption"命令对存储在配置文件中的所有口令和类似数据进行加密, 以避免攻击者通过读取配置文件获取口令的明文。

[测评方法]

(1)核查是否在用户登录时采用了身份鉴别措施[lc1] 。退出登录:Router#logout

(2)核查用户列表, 测试用户身份标识是否具有唯一性[lc2]

(3)查看用户配置信息或访谈系统管理员,核查是否存在空口令[lc3] 用户(应为不存在)。

(4)核查用户鉴别信息是否满足复杂度[lc4] 要求并定期更换。

控制台端口本地登录:

虚拟终端vty(telnet/ssh):

思科:

设置远程登入(telnet)用户名和密码(注意,路由和客户机的telnet服务都要提前开启)

enable

#configure terminal

(config)#enable password cisco 设置特权密码

(config)#username lly secret lly 设置telnet用户名和密码

(config)#line vty 0 4

(config-line)#transport input ?

all All protocols

none No protocols

ssh TCP/IP SSH protocol

telnet TCP/IP Telnet protocol

(config-line)#transport input telnet

r1(config-line)#login ?

authentication authenticate using aaa method list

local Local password checking

(config-line)#login local启动本地认证

登录

C:\>telnet 10.1.2.254(路由器接口ip)

Trying 10.1.2.254 ...Open

User Access Verification

Username: lly

Password:

r1#exit 退出登录

Connection to 10.1.2.254 closed by foreign host

C:\>

华为

查看是否配好了ip

r1\]**display current-configuration interface GigabitEthernet 0/0/0** \[V200R003C00

interface GigabitEthernet0/0/0

ip address 10.1.1.1 255.255.255.0

ipsec policy my-policy

return

r1\]**telnet server enable**开启本地的telnet服务 \[r1\]**user-interface vty 0 4** 可以允许5个用户管理 \[r1-ui-vty0-4\]**authentication-mode aaa** aaa方式是账户+密码方式登录,另外password方式是只要密码就可以登录 \[r1-ui-vty0-4\]**aaa** \[r1-aaa\]**local-user lcy password cipher 123qwe** 指定密码加密算法为cipher \[r1-aaa\]**local-user lcy service-type telnet**远程登录方式 尝试控制: \**telnet 10.1.1.1** Press CTRL_\] to quit telnet mode Trying 10.1.1.1 ... Connected to 10.1.1.1 ... Login authentication Username:**lcy** Password: \ 成功 #### **应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。** [测评方法〕 (1)核查是否配置并启用了登录失败处理功能。如果网络中部署了堡垒机,则先核查堡垒机是否具有登录失败处理功能。如果网络中没有部署堡垒机,则核查设备是否默认启用了登录失败处理功能[\[lc5\]](#[lc5]) ,例如登录失败3次即退出登录界面。 (2 )核查是否配置并启用了非法登录达到一定次数后锁定账户的功能。 (3)核查是否配置并启用了远程登录连接超时自动退出[\[lc6\]](#[lc6]) 的功能。 #### **当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。** 【测评方法】 核查是否采用了加密等安全方式对系统进行远程管理,以防止鉴别信息在网络传输过程中被窃听。如果网络中部署了堡垒机,则先核查堡垒机在进行远程连接时采用何种措施防止鉴别信息在网络传输过程中被窃听(例如SSH等方式)。 Router(config)# hostname r1 r1(config)# ip domain-name lcy.com r1(config)# username lcy privilege 15 secret 123qwe r1(config)# crypto key generate rsa modulus 2048 r1(config)# ip ssh version 2 r1(config)# line vty 0 4 r1(config-line)# login local 启用本地身份验证,只允许用本地(路由器配置好的)账户登录 r1(config-line)# transport input ssh r1(config-line)# exit r1(config)# ip ssh authentication-retries 3 登陆失败次数为3次 *** ** * ** *** [\[lc1\]](#[lc1])display current-configuration \| include local-user local-user lcy class manage [\[lc2\]](#[lc2])查看在线用户列表: Router# show users 查看用户:show run 新建用户: Router(config)# username newuser privilege 15 password newpassword [\[lc3\]](#[lc3])Router# show running-config 查找 "username" 命令行,该命令用于创建或修改用户账户。如果某个用户账户的密码为空,则该行将类似于下面的形式: username user1 privilege 15 password 0 [\[lc4\]](#[lc4])HCL: \display password-control Global password control configurations: Password control: Disabled (device management users) Disabled (network access users) 密码控制:设备管理用户和网络访问用户的密码控制都被禁用。 Password composition: Enabled (2 types, 1 characters per type) 密码组成:密码组成要求已启用,要求密码包含至少2种类型的字符(如字母、数字或特殊字符),并且每种类型至少包含1个字符 Password history: Enabled (max history records:4) 密码历史:密码历史记录已启用,最多保存4个历史密码记录,以防止用户在更改密码时重复使用先前的密码。 User account idle time: 90 days 用户帐户空闲时间:如果用户帐户处于空闲状态超过90天,系统将自动注销该用户。 Logins with aged password: 3 times in 30 days 使用过期密码进行登录:如果用户在过去30天内已经3次使用过期密码进行登录,系统将采取相应的操作。 Password change: Enabled (first login) Disabled (mandatory weak password change) 密码更改:首次登录时要求用户更改密码,但没有强制要求使用弱密码更改 思科: show running-config \| include password complexity [\[lc5\]](#[lc5])\display password-control Maximum login attempts: 3 Action for exceeding login attempts: Lock user for 1 minutes [\[lc6\]](#[lc6])display current-configuration \| include idle-time Router#show running-config \| include exec-timeout exec-timeout 20 0 配置: Router(config)#line console 0 Router(config-line)#exec-timeout 20 Router(config-line)#end Router#copy running-config startup-config Destination filename \[startup-config\]? 直接回车确认 Building configuration... \[OK

相关推荐
大丈夫立于天地间10 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
Dream Algorithm10 小时前
路由器的 WAN(广域网)口 和 LAN(局域网)口
网络·智能路由器
IT猿手10 小时前
基于CNN-LSTM的深度Q网络(Deep Q-Network,DQN)求解移动机器人路径规划,MATLAB代码
网络·cnn·lstm
吴盐煮_10 小时前
使用UDP建立连接,会存在什么问题?
网络·网络协议·udp
hyshhhh10 小时前
【算法岗面试题】深度学习中如何防止过拟合?
网络·人工智能·深度学习·神经网络·算法·计算机视觉
币之互联万物11 小时前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全
Hellc00711 小时前
轮询、WebSocket 和 SSE:实时通信技术全面指南(含C#实现)
网络
xujiangyan_11 小时前
nginx的反向代理和负载均衡
服务器·网络·nginx
GalaxyPokemon12 小时前
Muduo网络库实现 [十] - EventLoopThreadPool模块
linux·服务器·网络·c++