Política de refuerzo de la seguridad
El dispositivo admite los modos de administración Telnet, SSH, FTP, SFTP, Web, consola, NETCONF y RESTCONF. Implementa medidas de endurecimiento de la seguridad desde los siguientes aspectos:
Prevención de suplantación de identidad del terminal de gestión
Todos los modos de administración de dispositivos admiten la autenticación. Las cuentas de usuario y las contraseñas para la administración de dispositivos son administradas de manera centralizada por el módulo AAA. La administración de HTTPS, NETCONF y RESTCONF también admite la autenticación de certificados. Además de la autenticación, el dispositivo también proporciona la función de host de confianza. Cuando la función de host de confianza está habilitada, el dispositivo solo permitirá que los hosts con las direcciones IP que haya especificado accedan y administren el dispositivo. El dispositivo también admite la configuración de políticas de seguridad e implementa una limitación precisa del flujo de datos para cumplir con los requisitos de una administración de host confiable.
Seguridad por contraseña
El dispositivo proporciona una cuenta de administrador (admin) predeterminada y la contraseña es Admin@123. El dispositivo también proporciona una cuenta API predeterminada api-admin, y su contraseña es admin@123. En el modo de gestión en la nube, el nombre del administrador de API predeterminado es huawei y la contraseña es admin@123.Como el administrador de API es un administrador de interfaz de máquina a máquina, esta cuenta no admite el cambio de contraseña inicial forzoso ni la caducidad de contraseña. funciones. Debe cambiar la contraseña inicial antes de usar esta cuenta.
El administrador de API se configura por separado, independientemente de otros administradores. Es decir, un administrador de API no puede actuar como otro tipo de administradores. El dispositivo le pedirá al administrador que cambie la contraseña inicial en el primer inicio de sesión para evitar riesgos de seguridad causados por fugas de contraseña. El dispositivo también proporciona una función de recordatorio de caducidad de contraseña. Una vez que expire el período especificado, el sistema solicitará al administrador una nueva contraseña. Cuando el administrador cambia la contraseña, el sistema requiere que el administrador ingrese la contraseña anterior para verificar la identidad. La nueva contraseña debe ser diferente de las últimas 10 contraseñas. En términos de complejidad de la contraseña, la contraseña debe contener un mínimo de ocho caracteres y al menos tres de los siguientes
tipos, incluidas letras mayúsculas, minúsculas, dígitos y caracteres especiales. La contraseña no puede contener dos o más caracteres idénticos seguidos y no puede ser el mismo que el nombre de usuario o su reverso.
Fuerza anti-bruta
Para evitar que los atacantes descifren las contraseñas mediante la enumeración, el dispositivo bloquea la cuenta en caso de que se introduzcan tres contraseñas incorrectas consecutivas. Después de un período de tiempo específico, el dispositivo desbloquea automáticamente la cuenta para recuperar el uso de la cuenta.
Anti-repudio
El dispositivo registra los detalles del registro exitoso y de falla del inicio de sesión del administrador, el cierre de sesión, los comandos entregados por los administradores para la auditoría y el seguimiento de la fuente.
Prevención de fugas de datos y anti-manipulación
El dispositivo admite múltiples protocolos de administración, incluidos Telnet, SSH, FTP, SFTP, HTTP, HTTPS, NETCONF y RESTCONF para que sea compatible con varios terminales de administración. Telnet, FTP y HTTP transmiten datos en texto plano, lo que puede provocar fugas de datos. SSH, SFTP, HTTPS, NETCONF y RESTCONF admiten la transmisión de cifrado y son relativamente más seguros. El dispositivo habilita HTTPS de forma predeterminada y deshabilita Telnet y FTP a nivel mundial. Telnet y FTP se pueden utilizar después de habilitarlos manualmente si es necesario, pero el sistema le informará de los posibles riesgos de seguridad. HTTP está habilitado de forma predeterminada, pero cuando un administrador inicia sesión, el dispositivo cambia automáticamente las conexiones HTTP a las conexiones HTTPS. HTTPS (HTTP sobre SSL o HTTP seguro) es el uso de Secure Socket Layer (SSL) entre las capas TCP y HTTP para cifrar y descifrar datos durante la transmisión, mejorando la seguridad. RESTCONF admite HTTP y HTTPS. Si el administrador configura RESTCONF para usar HTTP, el dispositivo muestra un riesgo de seguridad. La configuración se realiza correctamente solo después de que el administrador confirma el riesgo de seguridad.
Prevención de elevación de privilegios
El dispositivo combina el mecanismo de permisos basado en derechos y dominios con el mecanismo de permisos de administrador. Las funciones que se muestran en la interfaz de usuario web son características comunes y la administración de permisos se basa en derechos y dominios. El dispositivo proporciona cuatro tipos de funciones de administración predeterminadas, incluido el administrador del sistema, el administrador de configuración, el administrador de configuración (solo lectura) y el administrador de auditoría. El administrador del sistema se encarga de todas las configuraciones del dispositivo y las operaciones riesgosas. El administrador de configuración es responsable de algunas configuraciones de dispositivos y las operaciones con bajo riesgo. El administrador de configuración (solo lectura) puede ver la información del dispositivo, pero no puede configurarlo. El administrador de auditoría es responsable de la configuración y administración de las políticas y los registros de auditoría, pero no tiene permiso para administrar las funciones del dispositivo. El dispositivo también admite roles definidos por el usuario. El administrador del sistema puede personalizar los roles según sea necesario para operar funciones específicas, pero el permiso de dichos roles debe ser menor que el del administrador del sistema. Todas las funciones se pueden configurar en la CLI. Además de la gestión de permisos basada en derechos y dominios, la CLI también admite la gestión de permisos de administrador. Es decir, el sistema permite que solo los administradores con el nivel especificado (0 a 15) configuren o vean cada comando.
Saludos.
FIN.
También te puede interesar:
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente