等保2.0测评:某堡垒机(一)身份鉴别 – 作者:taylor89

一、准备环境

安装过程省略,选择Install后一键式安装,如果想缩短安装时间,记得稍后轻点esc键取消磁盘自检,安装完成后自动进入如图登录界面。

1611640552_600faee800ce9dcfbc9f0.png!small?1611640552268

使用默认账户及默认口令进入控制台界面,系统为裁剪过的Linux,控制台仅提供如图共19项操作菜单。

1611640777_600fafc9911cf849a5e63.png!small?1611640777819

输入2回车进入网络配置界面,根据自身网络环境设置你喜爱的IP地址。

1611641276_600fb1bc15410a4466f07.png!small?1611641276351

确认网络正常后,你就可以随便挑一个浏览器输入堡垒机IP进入WEB管理界面了,当然还得输入默认账户及默认口令。

1611642083_600fb4e32c0ddc41be8c9.png!small?1611642083619

下面正式开始吧!

二、测评方法

2.1 身份鉴别

测评项:

a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

测评方法:

要求1 ) 应核查用户在登录时是否采用了身份鉴别措施;

测评方法:询问管理员使用哪种鉴别方式登录堡垒机,并在未登录状态下访问堡垒机的WEB管理界面验证其登录过程。

测评图示:1611643121_600fb8f108f075f112481.png!small?1611643123118

拓展说明:经测试,默认启用身份鉴别功能,且默认使用账户+口令对用户进行身份鉴别,无法取消。默认符合。

要求2 ) 应核查用户列表确认用户身份标识是否具有唯一性;

测评方法:通过【用户】->【用户管理】可以看到用户列表,查看是否存在登录名相同的账户。通过新建同名账户验证用户标识唯一性检测的有效性。

测评图示:1611644450_600fbe221dd5880100544.png!small?1611644450612

拓展说明:经测试,无法创建同名账户。

要求3 ) 应核查用户配置信息或测试验证是否不存在空口令用户;

测评方法:通过左上角账户名处进入个人中心,点击修改口令验证是否可以修改为空口令。

测评图示:1611645669_600fc2e53d937423869e7.png!small?1611645669682

拓展说明:经测试,即使在取消密码复杂度的情况下,也无法修改为空口令。

要求4 ) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

测评方法:通过【系统】->【系统配置】->【安全配置】检查密码策略配置,查看口令复杂度及口令有效期状态及策略,点击【编辑】可查看详细的策略要求。

测评图示:1611645980_600fc41c607c70d3d9497.png!small?16116459806791611646237_600fc51dd103ad166c3b1.png!small?1611646238368

拓展说明:经测试,默认策略为(密码强度校验:启用、密码相同校验:5次、新用户强制改密:禁用、密码修改周期:30天)点击右侧【编辑】即可查看口令强度策略,开启后默认策略为(密码长度为8-32个字符,且包含大小写字母、数字和特殊字符,不支持空格),关闭密码强度校验后可设置长度最少一位的弱口令。——————通过【策略】->【改密策略】可以看到堡垒机可管理服务器的改密策略配置,如已配置可点击【管理】查看口令复杂度等策略。

测评项

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

测评方法:

要求1 ) 应核查是否配置并启用了登录失败处理功能;

测评方法:通过【系统】->【系统配置】->【安全配置】检查用户锁定策略配置,查看用户锁定功能是否开启。

测评图示:1611646909_600fc7bd223f033129338.png!small?1611646909375

拓展说明:尝试密码次数为0则表示未开启用户锁定功能。

要求2 ) 应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;

测评方法:通过【系统】->【系统配置】->【安全配置】检查用户锁定策略配置,查看锁定方式、尝试密码次数、锁定时长重置计数器时长。

测评图示:1611647076_600fc864336f9da635472.png!small?1611647076476

拓展说明:默认策略为(锁定方式:来源IP、尝试密码次数:5次、锁定时长:30分钟、重置计数器时长:5分钟)

要求3 ) 应核查是否配置并启用了登录连接超时及自动退出功能。

测评方法:在【安全配置】下还可以看到WEB登录配置和客户端(SSH)登录配置,查看相应的登录超时时间。

测评图示:1611647315_600fc95347c41d52d0298.png!small?1611647315543

拓展说明:默认策略为(登录超时:30分钟)

测评项

c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

测评方法:

要求1 ) 应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。

测评方法:通过【系统】->【系统配置】->【端口配置】检查开启的端口,通过抓包验证是否通过https传输鉴别信息。

测评图示:1611647602_600fca72c22c9af7263ee.png!small?16116476031701611647798_600fcb36c98e7a8df51b0.png!small?1611647799086

拓展说明:默认采用https和ssh进行远程管理,且pwd字段通过base64解码无法直接获取口令

测评项

  1. d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

测评方法:

1 ) 应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;

2 ) 应核查其中一种鉴别技术是否使用密码技术来实现。

测评方法:通过【用户】->【用户管理】检查用户列表,点击各个用户的右侧【管理】选项,查看用户是否开启双因素认证,验证是否可以仅使用口令登录。

测评图示:1611648383_600fcd7fc58edf4268b3b.png!small?16116483842691611648416_600fcda017831112cfb7e.png!small?16116484165491611649597_600fd23dcdcbfadbe9603.png!small?1611649600241

拓展说明:支持手机令牌(微信小程序生成6位动态密码)、手机短信、USBKey、动态令牌

来源:freebuf.com 2021-01-26 16:37:16 by: taylor89

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论