王胤灏
(上海交通大学信息安全工程学院,中国 上海 201203)
【摘 要】当前FLEXI BSC的权限管理存在漏洞,发现因误操作而造成所有指令无法执行的安全隐患。通过研究FLEXI BSC的用户权限管理机制,分析日常维护所需的安全需求,提出对应的改进建议。
教育期刊网 http://www.jyqkw.com
关键词 用户权限;终端权限;指令权限
1 故障现象
在日常例行巡检中发现诺西FLEXI BSC下,任何指令执行失败,系统提示:COMMAND NOT AUTHORIZED。尝试使用两个常用用户登录,指令执行均失败。而其他BSC正常。
COMMAND NOT AUTHORIZED指示用户无权限执行该条MML指令,因此判断该BSC下的权限被修改。
2 权限原理
FLEXI BSC定义了3类权限:用户权限、终端权限、MML指令权限。3类权限相互关系为:用户权限和终端权限决定了访问权限,访问权限与MML指令权限等级比较——如访问权限等于或高于MML权限等级,则指令可执行;访问权限低于MML权限等级,则指令执行失败(COMMAND NOT AUTHORIZED)。
权限定义与查询:
2.1 MML权限等级:COMMAND AUTHORITY
设置MML指令权限的意图是在于区分指令的重要等级,对于特别重要的指令仅限特定用户才能执行。
MML被分为5个等级,用数字表示,由高到底:250、200、150、100、50,数字越高则MML权限等级越高,对用户的权限要求越高。
MML权限等级可用指令:IAT查询。
2.2 用户权限:USERID AUTHERITY
设置用户权限,通过用户名/密码的限制,防止未授权人员操作BSC。
对应MML权限等级,普通用户权限分为250、200、150、100、50,数字越高则用户权限越高。
特别的,可以定义超级用户,其权限为251,从而可以执行所有的MML指令。
用户权限可用指令:IAI查询。
2.3 终端权限:TERMINAL AUTHORITY
设置终端权限,通过验证接入终端(如PC机等),防止未授权设备操作BSC。
对应MML权限等级,普通终端权限分为250、200、150、100、50,数字越高则用户权限越高。
特别的,可以定义超级终端,其权限为251,从而通过固定终端对BSC执行所有的MML指令。
终端权限可用指令:IAI查询。
2.4 访问权限:SESSION AUTHORITY
当普通用户通过普通终端登录BSC时,两者中较小的权限决定了其访问权限。例如:250用户权限+100终端权限——100访问权限,只能执行100及以下的指令。
而如果超级用户或超级终端符合其一,则访问权限最大,为251,可进行任何操作。例如:251用户权限+50终端权限——251访问权限,可执行任何指令。
2.5 PROFILE
FLEXI BSC设置PROFILE权限组,通过将用户/终端与PROFILE关联的方式,设定用户/终端的权限值。
创建或修改PROFILE指令为:IAA。
将用户/终端与PROFILE关联指令为:IAE。
因此每个BSC的权限设置通过以下步骤完成:(1)分别创建USER ID PROFILE和TERMINAL PROFILE。(2)创建USER ID,同时指定至PROFILE,设置密码。(3)将TERMINAL指定到对应的PROFILE。
3 故障处理
在日常巡检发现某BSC所有用户均无法执行MML指令,使用不同用户名尝试执行均失败,而接入方式均为远程登录VTP形式,因此判断因VTP的终端权限被修改导致。
在该故障情况下,已无法执行任何指令。因此动用了非常规手段,用FTT提取备份数据库中/FBXXXXXX/LFILE/目录中权限相关的三个文件:CAUTHOGX.IMG、PAUTHOGX.IMG、TAUTHOGX.IMG,覆盖了当前软件包内的三个文件,重启OMU后权限设置恢复正常,MML指令可执行。
该故障的发生引起了维护人员的重视,现网FLEXI BSC权限管理存在漏洞:(1)无超级用户和超级终端;(2)缺乏终端权限管理,VTP、VDP等终端指定至同一个PROFILE,因此所有终端权限均被修改。
4 安全需求及权限管理建议
针对现网权限管理漏洞,提出以下四点建议:
(1)每个BSC增加一个超级用户,从而可以不受限制地执行指令,便于短时间内处理误操作,减少影响。同时在内部管理上限制该用户名/密码的使用和使用者,非重大情况下不得使用。
(2)BSC侧创建一个超级终端(近端VDU),从而可以不受限制地执行指令。同时在内部管理上限制该终端的使用,非重大情况下不得使用。
(3)区分VDU、VTP对应的PROFILE,防止因操作失误修改所有的终端权限。
(4)对不同部门分配不同用户名/密码,同时将超级用户MML COMMAND LOG ACCESSIBILITY参数设为COM,以便管理用户和事后调查。
以上建议的具体指令为:
IAA:YOUHUA:ALL=251:ACCESS=COM,:::;
IAH:YOUHUA:YOUHUA:;
IAA:SURTER:ALL=251::::;
IAE:TERMINAL=VDU0:SURTER:;
IAA:VDUTER:ALL=250::::;
IAE:TERMINAL=VDU1:VDUTER:;
IAE:TERMINAL=VDU2:VDUTER:;
IAE:TERMINAL=VDU3:VDUTER:;
IAE:TERMINAL=VDU4:VDUTER:;
IAE:TERMINAL=VDU5:VDUTER:;
IAE:TERMINAL=VDU6:VDUTER:;
IAE:TERMINAL=VDU7:VDUTER:;
教育期刊网 http://www.jyqkw.com
参考文献
[1]DX200 i-series System Operation and Maintenance[Z].Nokia System Oy,2003.
[责任编辑:刘展]
