导航菜单

关于诺西FLEXI BSC用户权限管理的建议

王胤灏

(上海交通大学信息安全工程学院,中国 上海 201203)

【摘 要】当前FLEXI BSC的权限管理存在漏洞,发现因误操作而造成所有指令无法执行的安全隐患。通过研究FLEXI BSC的用户权限管理机制,分析日常维护所需的安全需求,提出对应的改进建议。

教育期刊网 http://www.jyqkw.com
关键词 用户权限;终端权限;指令权限

1 故障现象

在日常例行巡检中发现诺西FLEXI BSC下,任何指令执行失败,系统提示:COMMAND NOT AUTHORIZED。尝试使用两个常用用户登录,指令执行均失败。而其他BSC正常。

COMMAND NOT AUTHORIZED指示用户无权限执行该条MML指令,因此判断该BSC下的权限被修改。

2 权限原理

FLEXI BSC定义了3类权限:用户权限、终端权限、MML指令权限。3类权限相互关系为:用户权限和终端权限决定了访问权限,访问权限与MML指令权限等级比较——如访问权限等于或高于MML权限等级,则指令可执行;访问权限低于MML权限等级,则指令执行失败(COMMAND NOT AUTHORIZED)。

权限定义与查询:

2.1 MML权限等级:COMMAND AUTHORITY

设置MML指令权限的意图是在于区分指令的重要等级,对于特别重要的指令仅限特定用户才能执行。

MML被分为5个等级,用数字表示,由高到底:250、200、150、100、50,数字越高则MML权限等级越高,对用户的权限要求越高。

MML权限等级可用指令:IAT查询。

2.2 用户权限:USERID AUTHERITY

设置用户权限,通过用户名/密码的限制,防止未授权人员操作BSC。

对应MML权限等级,普通用户权限分为250、200、150、100、50,数字越高则用户权限越高。

特别的,可以定义超级用户,其权限为251,从而可以执行所有的MML指令。

用户权限可用指令:IAI查询。

2.3 终端权限:TERMINAL AUTHORITY

设置终端权限,通过验证接入终端(如PC机等),防止未授权设备操作BSC。

对应MML权限等级,普通终端权限分为250、200、150、100、50,数字越高则用户权限越高。

特别的,可以定义超级终端,其权限为251,从而通过固定终端对BSC执行所有的MML指令。

终端权限可用指令:IAI查询。

2.4 访问权限:SESSION AUTHORITY

当普通用户通过普通终端登录BSC时,两者中较小的权限决定了其访问权限。例如:250用户权限+100终端权限——100访问权限,只能执行100及以下的指令。

而如果超级用户或超级终端符合其一,则访问权限最大,为251,可进行任何操作。例如:251用户权限+50终端权限——251访问权限,可执行任何指令。

2.5 PROFILE

FLEXI BSC设置PROFILE权限组,通过将用户/终端与PROFILE关联的方式,设定用户/终端的权限值。

创建或修改PROFILE指令为:IAA。

将用户/终端与PROFILE关联指令为:IAE。

因此每个BSC的权限设置通过以下步骤完成:(1)分别创建USER ID PROFILE和TERMINAL PROFILE。(2)创建USER ID,同时指定至PROFILE,设置密码。(3)将TERMINAL指定到对应的PROFILE。

3 故障处理

在日常巡检发现某BSC所有用户均无法执行MML指令,使用不同用户名尝试执行均失败,而接入方式均为远程登录VTP形式,因此判断因VTP的终端权限被修改导致。

在该故障情况下,已无法执行任何指令。因此动用了非常规手段,用FTT提取备份数据库中/FBXXXXXX/LFILE/目录中权限相关的三个文件:CAUTHOGX.IMG、PAUTHOGX.IMG、TAUTHOGX.IMG,覆盖了当前软件包内的三个文件,重启OMU后权限设置恢复正常,MML指令可执行。

该故障的发生引起了维护人员的重视,现网FLEXI BSC权限管理存在漏洞:(1)无超级用户和超级终端;(2)缺乏终端权限管理,VTP、VDP等终端指定至同一个PROFILE,因此所有终端权限均被修改。

4 安全需求及权限管理建议

针对现网权限管理漏洞,提出以下四点建议:

(1)每个BSC增加一个超级用户,从而可以不受限制地执行指令,便于短时间内处理误操作,减少影响。同时在内部管理上限制该用户名/密码的使用和使用者,非重大情况下不得使用。

(2)BSC侧创建一个超级终端(近端VDU),从而可以不受限制地执行指令。同时在内部管理上限制该终端的使用,非重大情况下不得使用。

(3)区分VDU、VTP对应的PROFILE,防止因操作失误修改所有的终端权限。

(4)对不同部门分配不同用户名/密码,同时将超级用户MML COMMAND LOG ACCESSIBILITY参数设为COM,以便管理用户和事后调查。

以上建议的具体指令为:

IAA:YOUHUA:ALL=251:ACCESS=COM,:::;

IAH:YOUHUA:YOUHUA:;

IAA:SURTER:ALL=251::::;

IAE:TERMINAL=VDU0:SURTER:;

IAA:VDUTER:ALL=250::::;

IAE:TERMINAL=VDU1:VDUTER:;

IAE:TERMINAL=VDU2:VDUTER:;

IAE:TERMINAL=VDU3:VDUTER:;

IAE:TERMINAL=VDU4:VDUTER:;

IAE:TERMINAL=VDU5:VDUTER:;

IAE:TERMINAL=VDU6:VDUTER:;

IAE:TERMINAL=VDU7:VDUTER:;

教育期刊网 http://www.jyqkw.com
参考文献

[1]DX200 i-series System Operation and Maintenance[Z].Nokia System Oy,2003.

[责任编辑:刘展]

下载文本