路由器身份鉴别(如何鉴定无线路由器)

一、前言

      随着社会的进步和科技的发展，新技术、新业务下的产品与服务不断创新与升级，云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用，使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求，并且以“勒索病毒”为代表的新型攻击席卷全球，使传统安全防护手段已经难以有效保护网络空间安全，网络安全保护体系需要全面升级，以便配合《网络安全法》的实施，下面结合我多年的等保测评经验，为大家解读等保测评2.0的相关内容。

二、测评项

      a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

      b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

      c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

      d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

三、测评项a

      a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

      3.1. 测评项a要求1

      应对登录的用户进行身份标识和鉴别

      这里的身份标识就是用户名，鉴别就是口令，无论是华三路由器还是华为路由器，是通过网络远程登录还是通过console口直接登录，路由器都需要输入用户名和口令，一般情况下都是符合要求的，当然也有少数一些不需要输入用户名和口令的情况，就不符合此项要求。

用xshell登录路由器

      3.2. 测评项a要求2

      身份标识具有唯一性

      管理员在创建新的用户身份标识时，是默认不可以创建相同的用户名的，所以身份标识的唯一性是默认符合要求的。

      3.3. 测评项a要求3

      身份鉴别信息具有复杂度要求

      一般来说密码的复杂度要求包括：长度最少8个字符，内容包含大、小写字母、数字及特殊字符四种中的三种，且不能是简单密码的组合，例如：admin@123等。

      第一需要看密码复杂度要求是否开启，第二要看密码复杂度策略是否符合上面要求。

      以华为路由器为例，在管理员权限下输入命令display password-control，如下图所示：

（1）核查“password-control”是否设置为“Enabled”。

      （2）核查“密码长度最小值”即“Password length:”（建议大于等于8个字符）。
      （3）核查“密码复杂度策略”及“Password composition”（3 types, 1 characters即“最少包含三种字符，且每种字符最少使用1位”）

      3.4. 测评项a要求4

      定期更换

      同样在管理员权限下输入命令display password-control，寻找如下图配置

      （1）核查“密码最长使用期限”即“Password aging:”（建议小于等于90天）。

      （2）核查“密码过期前几天提示”即“Early notice on password expiration:”（建议大于7天）。

四、测评项b

      b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

      4.1. 测评项b要求1

      应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数

      华为路由器输入“display ssh server status”，查看SSH操作超时时间和登录失败次数设置，下图为采用SSH登录方式登录失败3次，超时时间60秒。

      同样在管理员权限下输入命令display password-control，寻找如下图配置

      （1）核查最大登录失败次数，即“Maximum login attempts” 3次
      （2）核查登录失败后锁定时间，即“Action for exceeding login attempts” 1分钟

      4.2. 测评项b要求2

      当登录连接超时自动退出

      核查登录超时退出时间，即“idle-timeout”

五. 测评项c

      c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

      在管理员权限下输入命令dis cu，寻找如下图配置

      查看SSH服务和Telnet服务是否开启，如果SSH服务开启，Telnet服务不开启则符合要求。

六. 测评项d

      d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

      路由器一般不具有双因子认证功能，默认不符合，因此若要满足此项要求必须采用第三方双因子认证系统。

      6.1. 测评项d要求1

      应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别

      口令：就是大家常用的“用户名、口令”，你提交了只有你自己知道的验证信息，对方就可以认为提交了这个信息的人即为你，即身份认证通过；

      辅助物品：如数字证书、密钥盘、加密狗等，你通过向对方出示了此类物品或信息来进行身份验证。

      生物特征：指纹、虹膜、DNA等等。

      所以，测评项中的两种组合的鉴别技术，就是使用三个要素里至少两个不同的要素，比如“用户名、口令”+“数字证书”或者“用户名、口令”+“指纹”再或者“数字证书”+“指纹”。

      所以如果只是重复的使用其中一种要素，比如登录时需要输入两次不同的“用户名、口令”，那就不叫双因素认证，而叫两步验证。

      6.2. 测评项d要求2

      其中一种鉴别技术至少应使用密码技术来实现

      在满足两种或两种以上组合的鉴别技术的同时，还需要一种鉴别技术使用密码技术来实现，常见的密码技术有：加密、认证、数字签名。

结束语

      身份鉴别是大家最常见的一种安全措施，往往是设备的第一道屏障，大家应该重视，我在测评过程中很少会遇到身份鉴别做得非常好的情况，绝大多数都是采用的默认密码和弱密码，而且长时间不更换，因此身份鉴别的情形还是非常严峻的，希望大家能够重视，以上就是等保测评2.0解读——路由器身份鉴别的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。