Juniper路由器安全配置基线
第2章 帐号管理、认证授权
2.1 帐号管理 2.1.1 用户帐号分配*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 管理缺省账户安全基线要求项 SBL-JuniperRouter-02-01-01 应按照不同的用户分配不同的帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 1、参考配置操作 set system login user abc1 set system login user abc2 2、补充操作说明 1、abc1和abc2是两个不同的帐号名称,可根据不同用户,取不同的名称; 2、帐号取名,建议使用:姓名的简写+手机号码。 基线符合性判定依据 1、 判定条件 各帐号都可以登录路由器为正常 2、 检测操作 (1)、用show configuration system login命令查看配置是否正确 (2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码 (3)、在终端上用telnet方式登录路由器,输入用户名abc2和密码) 3、 补充说明 备注 需要手工检查,由管理员确认帐号分配关系。 中国移动通信有限公司 第 2 页 共 42 页
Juniper路由器安全配置基线
2.1.2 删除无关的帐号*
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 工作无关的帐号安全基线要求项 SBL-JuniperRouter-02-01-02 应删除与设备运行、维护等工作无关的帐号 1、参考配置操作 delete system login user abc3 2、补充操作说明 abc3是与工作无关的帐号。 基线符合性判定依据 1、 判定条件 被删除的与工作无关的帐号abc3不能登录为正常。 2、 检测操作 (1)、用show configuration system login命令查看配置是否正确。 (2)、在终端上用telnet方式登录路由器,输入用户名abc3和密码。 3、 补充说明 备注 需要手工检查,由管理员判断是否存在无关帐号 2.1.3 根据用户的业务需求分配相应的用户级别
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 根据用户的业务需求分配相应的用户级别安全基线要求项 SBL-JuniperRouter-02-01-03 为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户帐号分配到相应的用户级别 1、参考配置操作 创建用户级别: set system login class ABC1 permissions [ view view-configuration ] 中国移动通信有限公司
第 3 页 共 42 页
Juniper路由器安全配置基线
将用户帐号分配到相应的用户级别: set system login user abc1 class read-only set system login user abc2 class ABC1 set system login user abc3 class super-user 2、补充操作说明 (1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置; (2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置; (3)、super-user是超级用户组,具有的权限:所有权限; (4)、read-only和super-user是路由器已经创建的组,不需要手工创建; (5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。 基线符合性判定依据 1、 判定条件 (1)、用户abc1属于组read-only,这个组只设置了查看设备运行状态权限,因而可使用show interfaces ters及其它查看路由器状态的命令,而不能使用show configuration和configure命令 (2)、用户abc2属于组ABC1,这个组设置了查看设备运状态和查看路由器配置权限,因而可使用show interfaces ters和其它查看路由器状态命令及show configuration命令,不能使用 configure命令 (3)、用户abc3属于组super-user,这是超级用户组,具有所有权限,因而可使用全部命令。 2、 检测操作 (1)、用show configuration system login class ABC1命令查看配置 (2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码成功登录路由器后, 用show interfaces terse命令查看端口状态; 用show configuration命令查看路由器配置; 用configure命令进入路由器的配置模式。 (3)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后, 用show interfaces terse命令查看端口状态; 用show configuration命令查看路由器配置; 用configure命令进入路由器的配置模式。 (4)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后, 用show interfaces terse命令查看端口状态; 用show configuration命令查看路由器配置; 用configure命令进入路由器的配置模式。 3、 补充说明 中国移动通信有限公司 第 4 页 共 42 页
Juniper路由器安全配置基线
备注 2.2 口令 2.2.1 口令复杂度
安全基线项目名称 安全基线编号 安全基线项说明 口令复杂度安全基线要求项 SBL-JuniperRouter-02-02-01 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 检测操作步骤 1、参考配置操作 set system login user abc1 authentication plain-text-password 2、补充操作说明 (1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。 (2)、口令要求:口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 基线符合性判定依据 1、 判定条件 可以登录路由器为正常。 2、 检测操作 (1)、用show configuration system login命令查看配置是否正确 (2)、在终端上用telnet方式登录路由器,输入用户名abc1和密码。 3、 补充说明 备注 2.2.2 静态口生存期
安全基线项目名称 静态口生存期安全基线要求项 中国移动通信有限公司 第 5 页 共 42 页
Juniper路由器安全配置基线
安全基线编号 安全基线项说明 检测操作步骤 SBL-JuniperRouter-02-02-02 对于采用静态口令认证技术的设备,账户口令的生存期不长于90天。 1、参考配置操作 无。 2、补充操作说明 Juniper设备不能设置账户口令的生存期限,账户口令的生存期限可通过定期手工更改口令的方式实现。 基线符合性判定依据 1、 判定条件 无。 2、 检测操作 每隔90天修改一次路由器的帐号密码以提高安全性。 3、补充说明 备注 2.2.3 root密码
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 root密码安全基线要求项 SBL-JuniperRouter-02-02-03 修改root密码。root的默认密码是空,修改root密码,避免非管理员使用root帐号登录。 1、参考配置操作 set system root-authentication plain-text-password 2、补充操作说明 (1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:); (2)、口令要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类;。 中国移动通信有限公司 第 6 页 共 42 页