De acuerdo

Seguridad de la comunicación entre los terminales de gestión y un firewall.

246 0 6 0 0

Política de refuerzo de la seguridad

El dispositivo admite los modos de administración Telnet, SSH, FTP, SFTP, Web, consola, NETCONF y RESTCONF. Implementa medidas de endurecimiento de la seguridad desde los siguientes aspectos:

 

Prevención de suplantación de identidad del terminal de gestión

Todos los modos de administración de dispositivos admiten la autenticación. Las cuentas de usuario y las contraseñas para la administración de dispositivos son administradas de manera centralizada por el módulo AAA. La administración de HTTPS, NETCONF y RESTCONF también admite la autenticación de certificados. Además de la autenticación, el dispositivo también proporciona la función de host de confianza. Cuando la función de host de confianza está habilitada, el dispositivo solo permitirá que los hosts con las direcciones IP que haya especificado accedan y administren el dispositivo. El dispositivo también admite la configuración de políticas de seguridad e implementa una limitación precisa del flujo de datos para cumplir con los requisitos de una administración de host confiable.

 

Seguridad por contraseña

El dispositivo proporciona una cuenta de administrador (admin) predeterminada y la contraseña es Admin@123. El dispositivo también proporciona una cuenta API predeterminada api-admin, y su contraseña es admin@123. En el modo de gestión en la nube, el nombre del administrador de API predeterminado es huawei y la contraseña es admin@123.Como el administrador de API es un administrador de interfaz de máquina a máquina, esta cuenta no admite el cambio de contraseña inicial forzoso ni la caducidad de contraseña. funciones. Debe cambiar la contraseña inicial antes de usar esta cuenta.

 

El administrador de API se configura por separado, independientemente de otros administradores. Es decir, un administrador de API no puede actuar como otro tipo de administradores. El dispositivo le pedirá al administrador que cambie la contraseña inicial en el primer inicio de sesión para evitar riesgos de seguridad causados por fugas de contraseña. El dispositivo también proporciona una función de recordatorio de caducidad de contraseña. Una vez que expire el período especificado, el sistema solicitará al administrador una nueva contraseña. Cuando el administrador cambia la contraseña, el sistema requiere que el administrador ingrese la contraseña anterior para verificar la identidad. La nueva contraseña debe ser diferente de las últimas 10 contraseñas. En términos de complejidad de la contraseña, la contraseña debe contener un mínimo de ocho caracteres y al menos tres de los siguientes 

tipos, incluidas letras mayúsculas, minúsculas, dígitos y caracteres especiales. La contraseña no puede contener dos o más caracteres idénticos seguidos y no puede ser el mismo que el nombre de usuario o su reverso.

 

Fuerza anti-bruta

Para evitar que los atacantes descifren las contraseñas mediante la enumeración, el dispositivo bloquea la cuenta en caso de que se introduzcan tres contraseñas incorrectas consecutivas. Después de un período de tiempo específico, el dispositivo desbloquea automáticamente la cuenta para recuperar el uso de la cuenta.

 

Anti-repudio

El dispositivo registra los detalles del registro exitoso y de falla del inicio de sesión del administrador, el cierre de sesión, los comandos entregados por los administradores para la auditoría y el seguimiento de la fuente.

 

Prevención de fugas de datos y anti-manipulación

El dispositivo admite múltiples protocolos de administración, incluidos Telnet, SSH, FTP, SFTP, HTTP, HTTPS, NETCONF y RESTCONF para que sea compatible con varios terminales de administración. Telnet, FTP y HTTP transmiten datos en texto plano, lo que puede provocar fugas de datos. SSH, SFTP, HTTPS, NETCONF y RESTCONF admiten la transmisión de cifrado y son relativamente más seguros. El dispositivo habilita HTTPS de forma predeterminada y deshabilita Telnet y FTP a nivel mundial. Telnet y FTP se pueden utilizar después de habilitarlos manualmente si es necesario, pero el sistema le informará de los posibles riesgos de seguridad. HTTP está habilitado de forma predeterminada, pero cuando un administrador inicia sesión, el dispositivo cambia automáticamente las conexiones HTTP a las conexiones HTTPS. HTTPS (HTTP sobre SSL o HTTP seguro) es el uso de Secure Socket Layer (SSL) entre las capas TCP y HTTP para cifrar y descifrar datos durante la transmisión, mejorando la seguridad. RESTCONF admite HTTP y HTTPS. Si el administrador configura RESTCONF para usar HTTP, el dispositivo muestra un riesgo de seguridad. La configuración se realiza correctamente solo después de que el administrador confirma el riesgo de seguridad.

 

Prevención de elevación de privilegios

El dispositivo combina el mecanismo de permisos basado en derechos y dominios con el mecanismo de permisos de administrador. Las funciones que se muestran en la interfaz de usuario web son características comunes y la administración de permisos se basa en derechos y dominios. El dispositivo proporciona cuatro tipos de funciones de administración predeterminadas, incluido el administrador del sistema, el administrador de configuración, el administrador de configuración (solo lectura) y el administrador de auditoría. El administrador del sistema se encarga de todas las configuraciones del dispositivo y las operaciones riesgosas. El administrador de configuración es responsable de algunas configuraciones de dispositivos y las operaciones con bajo riesgo. El administrador de configuración (solo lectura) puede ver la información del dispositivo, pero no puede configurarlo. El administrador de auditoría es responsable de la configuración y administración de las políticas y los registros de auditoría, pero no tiene permiso para administrar las funciones del dispositivo. El dispositivo también admite roles definidos por el usuario. El administrador del sistema puede personalizar los roles según sea necesario para operar funciones específicas, pero el permiso de dichos roles debe ser menor que el del administrador del sistema. Todas las funciones se pueden configurar en la CLI. Además de la gestión de permisos basada en derechos y dominios, la CLI también admite la gestión de permisos de administrador. Es decir, el sistema permite que solo los administradores con el nivel especificado (0 a 15) configuren o vean cada comando.

 

Saludos.

 

FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.