登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter 安全威胁发现与运营管理平台 典型配置(E1147 E1148)-5W101

目录

08-弱口令典型配置

本章节下载 08-弱口令典型配置  (469.14 KB)

08-弱口令典型配置

H3C安全威胁发现与运营管理平台

弱口令配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

目  录

1 简介

2 配置前提

3 配置举例

3.1 弱口令配置举例

3.1.1 组网需求

3.1.2 配置思路

3.1.3 使用版本

3.1.4 配置注意事项

3.1.5 配置步骤

3.1.6 弱口令配置

3.1.7 验证配置

 

1  简介

本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)弱口令配置功能的配置案例。

弱口令规则用于检测用户访问网页时是否使用了安全性较低的口令,例如仅包含简单数字和字母等,容易被攻击者猜测到或被破解工具破解的口令。平台纳管的资产(探针设备)自身预置了预定义弱口令规则,但是在某些对安全性要求较高的场景下,预定义规则可能无法满足用户需求。此时,用户可在本平台手工创建自定义的弱口令规则,扩充资产的弱口令规则,提升资产的弱口令检测能力。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CSAP平台和第三方平台产品功能特性。

3  配置举例

3.1  弱口令配置举例

3.1.1  组网需求

如下图所示组网中,部署了CSAP平台,以及威胁检测探针设备(以下简称探针设备),在CSAP平台进行弱口令配置后,规则下发至探针设备,实现CSAP平台对资产是否使用安全性较低口令的检测。

3.1.2  配置思路

·              资产列表中增加探针设备资产

·              系统配置-规则配置-弱口令规则中新增弱口令规则

·              CSAP平台数据源配置

3.1.3  使用版本

本举例是在CSAP的E1148P05版本上进行配置和验证的,探针设备型号为vNAT1000,版本为 E1260P1221,本案例以用户登录成功为例,登录失败同理。

3.1.4  配置注意事项

探针设备、CSAP平台之间网络互通。

3.1.5  配置步骤

说明

配置前请确保探针设备正常。

3.1.6  弱口令配置

(1)      登录CSAP平台,选择“资产中心>资产列表”页面,点击<新增>按钮进入新增资产页面新增资产,配置项如下

¡  资产名称:配置为“威胁检测探针-4.219”

¡  资产类型:配置为“安全设备/威胁检测探针”

¡  生产厂商:配置为“H3C”

¡  资产价值:配置为“高”

¡  所属区域:配置为“默认区域”

¡  资产IP-IP类型:配置为“IPv4”

¡  资产IP-IP地址:配置为“186.64.4.219” ,为探针设备IP地址

(2)      配置该资产的资产管理协议,进行Netconf over SSH 参数或Netconf over SOAP参数配置(以下以Netconf over SSH 参数为例),配置项如下

¡  Netconf over SSH 参数:点击开关为“启用”状态

¡  录入方式:选择为“手动”

¡  用户名:填写为“admin”,为探针设备的web登录用户名

¡  密码:填写为“Admin@123456”,为探针设备的web登录密码

¡  端口:填写为“830”

(3)      选择“系统设置>规则配置>弱口令配置”中点击<新增>新增弱口令规则,配置项如下

¡  规则名称:填写为“2”

¡  账号字段:填写为“name”

¡  密码字段:填写为“password”

¡  弱口令内容:填写为“acbdefghijk

¡  Web登录成功:点击开关为“启用”状态

¡  Web登录成功-响应内容位置:选择为“响应头”

¡  Web登录成功-响应状态码:填写为“200”

¡  Web登录成功-响应内容:填写为“OK”

(4)      选择“系统设置>数据源配置>日志源管理”,将探针设备新增为日志源,配置项如下

¡  名称:填写为“威胁检测探针-219”

¡  IP:填写为“186.64.4.219”,为探针设备IP地址

¡  设备类型:选择为“威胁检测探针”

¡  厂商:选择为“H3C”

¡  设备型号:选择为“CSAP-NTA系列”

¡  采集器名称:选择为“186.64.100.249:passive”

¡  采集器IP:选择为“186.64.100.249”

¡  端口信息-上报协议:选择为“Syslog”

¡  端口信息-上报端口:填写为“514”

¡  端口信息-编码:选择为“utf8”

¡  端口信息-日志类型:选择为“网元操作日志,审计日志,网络流量日志,安全日志,网元系统日志”

3.1.7  验证配置

(1)      CSAP平台下发弱口令规则至探针设备,探针设备解析后生成Snort特征,登录探针设备,选择“对象>应用安全>入侵防御>特征”,使用高级查询筛选“Snort特征”,查看特征

(2)      用户尝试使用用户名密码为“admin/acbdefghijk”登录网站,网站登录成功,流量经过探针设备,命中特征后日志上报到CSAP平台,日志如下

 

(3)      日志经过解析生成安全事件,安全事件如下

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们