YD/T 1906-2009
基本信息
标准号: YD/T 1906-2009
中文名称:IPv6 网络设备安全技术要求核心路由器
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1367054
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1906-2009.Security Requirements of Core Router Equipment Supporting IPv6.
.1范围
YD/T 1906规定了支持IPv6协议的核心路由器的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。
YD/T 1906下文中所有对路由器的安全规定均指对支持IPv6的核心路由器的规定。
YD/T 1906适用于支持IPv6的核心路由器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YDT 1454-2006IPv6网络设备技术要求一支持IPv6的核心路由器
IETF RFC2827(2000)网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击
IETF RFC3704(2004)用于Multihome网络的入口过滤
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
路由器Routers
路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层,网络层,应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,工作在IP层上的网络设备。
路由器需要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表决定输出端口以及下一条路由器地址或主机地址并且重写链路层数据包头。
.1范围
YD/T 1906规定了支持IPv6协议的核心路由器的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。
YD/T 1906下文中所有对路由器的安全规定均指对支持IPv6的核心路由器的规定。
YD/T 1906适用于支持IPv6的核心路由器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YDT 1454-2006IPv6网络设备技术要求一支持IPv6的核心路由器
IETF RFC2827(2000)网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击
IETF RFC3704(2004)用于Multihome网络的入口过滤
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
路由器Routers
路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层,网络层,应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,工作在IP层上的网络设备。
路由器需要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表决定输出端口以及下一条路由器地址或主机地址并且重写链路层数据包头。
标准图片预览
标准内容
ICS 33.040.40
中华人民共和国通信行业标准
YD/T 1906-2009
IPv6网络设备安全技术要求
核心路由器
Security Requirements of Core Router EquipmentSupportingIPv62009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义和缩略语·
4概述·
5数据转发平面安全
6控制平面安全
7管理平而安金·
附录A(规范性附录)硬件系统和操作系统的安全要求附录B(资料性附录)安全日志的严重等级定义KNKAa
YD/T 1906-2009
YD/T1906-2009
本标准是“路出器设备安全\系列标准之一,本系列的标准结构和名称预计如下:1:YD/T13582005路由器设备安全技术要求-中低端路由器(基丁IPv4)2.YD/T1359-2005路由器设备安企技术要求-—高端路由器(基于IPv4)3.YD/T1439-2005路白器设备安全测试方法一高端路由器(基于IPv4)4.YD/T1440-2005路由器设备安全测试方法一中低端璐由器(基于IPv4)5YD/T1907-2009IPv6网络设备安全技术要求——边缘路出器6.IPv6网络设备安全测试方法—边缘路由器7.YD/T1906-2009IPv6网络设备安全技术要求——核心路由器8.IPv6网络设备安全测试方法一核心路由器本标准与《IPv6网络设备安全测试方法·一核心路由器》配套使用。与本系列标准相关的标准还有“支持Pv6的路由器设备”系列标准,该系列的标推结构和名称如下
1.YD/T1452-2006IPv6网络设备技术要求———支持IPv6的边缘路由器2.YD/T1453-2006IPv6网络设备测试方法——支持IPv6的边缘路由器3.YD/T1454-2006IPv6网络设备技术要求——支持IPv6的核心路出器4.YD/T1455-2006IPv6网络设备测试方法—支持IPv6的核心路出器本标准的附录A为规范性附录,附录B为资料性附录。本标准出中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准士要起草人:赵,锋、马军锋、魏亮,I1
1范围
IPV6网络设备安全技术要求
一核心路由器
YD/T1906-2009
本标准规定了支持IPv6协议的核心路出器的安全技术要求,包括数据转发平面安全、控制平面安全管理平面安企等。
木标准下文中所有对路山器的安全规定均指对支持IPV6的核心路由器的规定,本标准造们于支持JPv6的核心路由器设备2规范性引用文件
下刻文件中的条歌递过本标推的引而成为本标雅的条款。凡是期的用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适门于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336.2
YD/T 1454-2006
倍息技术安全技术信息技术安全性评估推则第2部分:安全功能要求6网络设备技术要求一一支持的核心路由器IBTFRFC2827(2000)网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击Ⅱ:TFRFC3704(2004)用于Multihome网络的入口过滤3术语、定义和缩璐语
3.1术语和定义
下列术诺和定义适月末标准。
路由器Routers
路由器是通过转发数据包来实现网络万连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层,网络层,应而层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,T作在IP层上的网络设备。璐由器要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理蹦门。路器根垢收到的数据包中网络层地址以及路出器内部维的路用表决定输出端口以及下一条路出器地址或工机地址并且重写链路层数据包头。路由表必须动态维护米反映当前的网络拓扑。路由器通常通过与其他路由器交换路由信息米完成动态维护路由表
路由器只提供数据包传输服务。为实现路由选择的通用性和鲁棒性(Robust),路由器的实现应使用最少状态信息来维持上述服务。3.1.2
Core Routers
核心路由器
YYKANIKACa
YD/T1906-2009
通常位丁网络骨干层,用作扩大互联网的路由处理能力和传输惜宽的路由器在本标准中,要求核心路由器的系统交换容量至少达到60Gbit/s。3.1.3
访问控制 Access Control
防1:未经授权使用资源。
授权Authorization
授子权限,包括根据访问权进行访问的限。3.1.5
密钥管理KeyManagement
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.1.6
安全审计SecurityAudit
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统与现行策略和操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3.1.7
数字签名DigitalSignature
在数据单孔后面的数据,惑对数据单元进行密码变换得到的数据。充许数据的接收者证明数据的米源和完整性,保扩护数据不被伪造,并保证数据的不可否认性。3.1.8
否认Repudiation
参与通信的实体否认参加了全部或部分的通信过程,3.1.9
可角性Availability
根据需要,信息允许有权实体访问和使用的特性。3.1.10
保密性Confidentiality
信息对非授权个人,实体或进程是不间知、不可用的特性。3.1.11
数据完整性DataIntegrity
数据免遭非法更改或破坏的特性3.1.12
安全服务SecurityService
由通信的系统提供的,对系统或数据传递提供充分的安全保障的一一种服务。3.1.13
安全策略SecurityPolicy
提供安全服务的一套规则。
安全机制SecurityMechanism
实现安全服务的过程。
拒绝服务Denialof Service
附l:授权访问资源或延迟时间敏感换作。3.1.16
防重放Anti-Replay
防止对数据的重放攻击。
信息泄露Information Disclosure指信息被泄露或透漏给非授权的个人或实体,3.1.18
完整性破坏IntegrityCompromise(Damage)数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。3.1.19
非法使用llegal Use
资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。3.2缩略语
下列缩略语适用丁本标准。
ICMPyG
Triple Data Encryption StandardAccess Control List
Advanced Encryption StandardAddress Rcsolution Protocol
BGP-4 Border Galeway ProtocolCommilled Access Rate
Cipher Block Chaining
Chailenge-HandshakeAuthentication ProtocolClass of Service
Central Processing Unit
Domain Name Service
Denial uf Service
Digital Signature Standard
Hashed Message Authentication CodeInternet Cantrol Messages Protocol Version 6International Data Encryption AlgorithmYYKANIKAca-
YD/T 1906-2009
三重数据加密标准
访问控制列表
先进加密标准
地址解析协议
边界网关协议
承诺接入速率
密码块链
质询握手认证协议
业务类别
中央处理器
域名服务
拒绝服务
数字签名标雅
散列消息认证码
互联网报文控制协议版本6
国际数据加密算法
YD/T 1906-2009
SNMPvf
SNMPv2c
SNMPv3
Internet Key Exchange
Internet Protocol Version 6
Internet Protocol Security
Intermediate Systcm to Intermediate SystemMedia Access Control
Message Digest Version S
Modular Exponentiation GroupMulti-protocol Label SwitchingNerwork Time Protocol
Operation, Administration, Maintenance and ProvisioningOpen Shortcst Path First
Password Authentication ProtocolPerfect Forward Secrecy
Routing Information ProtocolPoint-to-Point Protocol
Rivest Shamir and Adleman AlgorithmSecure Hash Algorithm
Secure Hash Algorithm 1
SimpleNetworkManagement ProtocolSNMP version !
SNMP version 2c
SNMP Version 3
Secure Shell
SSH Version 1
SSH Version 2
Secure Socket Layer
Transmission Cantrol ProtocolTrivial File Transfer ProtocolTransport Layer Security
User Dalagram Protocol
Unicase Revcrsc Path ForwardingUser-based Security Model
Virlual Local Area Network
Virtual Private Network
VPN Routing and Forwarding
互联网密钥交换
互联网协议版本6
互联网协议安全
中间系统到中间系统协议
媒介访问控制
消息摘要版本5
模求幂组
多协议标记交换
网络时问协议
操作、管理、维护和配置
开放最短路径优先协议
口令认证协议
完美前问保密
路由信息协议
点到点协议
RSA算法
安企散列算法
安全散列算法版本1
简单网络管理协议
SNMP版本1
SNMP版本2c
SNMP版本3
安全外壳
SSH版本1
SSH版本2
安全套接层
传输控制协议
简单文件传输协议
传输层安全
用户数据报协议
单播反向路径转发
基丁用户的安全模型
虚拟局域网
虚拟专用网
VPN路由和转发
4概述
YD/T1906-2009
路出器通过转发数据报文来实现网络的互联,一般支持TCP/IP协议。核心路由器一般位丁网络的核心,承担网络骨干段上数据的转发,具有较高的转发性能和较强的路由能力。核心路由器在网络中处于重要位置,容易受到来自网络和其他方面的威胁。这些安全威胁可以利用设备的腕弱性对设备造成一定的损害。设备被攻击后,网络的性能和正常运行受到很人的影响。因此,核心路由器本身应具备较强的抗攻击能力。此外,网络上传输的大量报文要通过路由器转发,因此核心路由器要为网络提供一定的安全服务,创括为企业的内部网络和公共网络提供安全服务。核心路由器的于要功能是承扭数据转发。为了完成这个功能,必须通过信令协议获得网络拓扑等借息。另外,核心路出器也要为管理员和网络管理系统提供管理接口,方便系统的管理和维护。因此,本标准特路由器功能在逻辑上划分为三个功能平面。(1)数据转发平面:主要指为用户访问和利用网络而提供的功能,如数据转发等。(2)控制平面:也可以称为信令平面,主要包括路由协议等与建立会话连接、控制转发路径等有装的功能。
(3)管理平面:主要指与OAM&P有关的功能,如SNMP、管理用广Telnet登录、日志等,支持FCAPS(Faul,Capacity,Administration,Provisioning,andSecurity)功能。管理平面消息的传送方式有两种:带内和带外。
为了抵御网络攻山,核心路由器应提供一定的安全功能。本标准引用GB/T18336.2中定义的安全功能并应用到核心路由器中,这些安全功能包括:一标认和鉴别,确认用户的身份及其真实性;一用户数锯保护,和保护用户数据相关的安企功能和安全策略一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力.--资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务:安金审计,能够提供国志等审计记录,这些记录可以印来分析安全威卧活动和对策一安全管理,安全助能、数据和安全属性的管理能力:一可信信道/路径,核心路由器之问以及核心路由器同其他设备之间间通信的信道/路径要求可信,对传送敏感数据的通信要同传送其他数据的通信隔离开来:一系统访问,本安全功能要求控制用户会话的建立。路主器安企框架如图I所示。
为了保证核心路由器及其转发数据的安金,需要为核心路由器制定安全策略,作为指导安全功能实施的纲领,并在实施过程中,将安企策略映射到数据转发平面、控制平面和管理平面中的安全功能和实现技术。
硬件系统和操作系统是核心路由器本身的安全的重要因素,对硬件系统和操作系统的要求参见附录A。
KNYRca
YD/T 1906-2009
安全策略
5数据转发平面安全
5.1安全威胁
管理平面
控制平面
转发平面
图1路由器安全框架
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
脆弱性
数据转发平面负责处理进入设备的流量,因此基于流量的攻市会给路由器的转发带来影响,例如,大流量攻击会造战设备不能正处理合法流量,而畸形的报文可能会古用设备大量的处理时问,非授权用户可能使用网络资源,造成网络的可用性降低,其至崩溃。未授权观察,修改,插入,删除报文,对数据流的流量分析,都会使报文和数据流的保密性和完性受到影响。
对数据转发平面的安全威脚主要有以下方面,但并不局限于这些方面:一对数据流的流量分析,从而获得敏感信息;一未授权观察、修改、插入,删除数据流;一拒绝服务攻击,降低设备的转发性能。5.2安全功能
5.2.1标识和鉴别
核心路由器提供用户访问控制能力,通过标识和鉴别功能决定用户的身份,并通过授权系统间每个用户分配相应的权限,相关能力要求参见YD/T1454-2006(IPv6网络设备技术要求一-支持IPv6的核心路出器》。
5.2.2用户数据保护
用广数据保护功能实现对用户数据的完整性、可用性和保密性保护。光整性、可用性和保密性一般可以通过验证技术和加密技术获得,如IPSec,也可以通过隔离用户流量,不允许一个用户访问其他的用户数据来实现。通过VPN能够实现将属丁不同管理域的用户进行隔离,能够防l一个管理域的用户访问另外一个管理域的数据,也是用户数据保护的一个重要机制5.2.2.1用户数据保护
YD/T 1906-2009
IPSec在IP层上为IP报文提供安全保证,IPSec提供了数据保密性、数据源认证、数据完整性和抗重放等安全服务。IPSec是一个IP安全体系,出IPSec框架、AH和ESP安全协议以及IKE密钥管理协议组成。核心路由器可支持PSec协议。当支持Psec协议时,对PSec的特性要求如下:一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,可支持AH和ESP协议的嵌套封装;
一AH利ESP协议应支持HMAC-SHA1-96算法,可支持HMAC-SHA1-96认证算法,ESP协议应支持3DHS-CBC、AES等加密算法,可支持国家相关部门规定的加密算法,应支持空加密算法和空认证算法,征一者不应同时使用。
对IKE的特性要求如下:
一支持安全联盟的于工管理,可支持IKE自动管理。于工管理安全联盟吋,可支持以十穴进制配置算法所需密钥,应支持任意长度字符串形式配置密钥:-一第一阶段应支持主模式和野蛮模式,第二阶段应支持快速模式,还应支持信息交换第二阶段交换中应支持完美前问保护特性;一第一阶段中应能指定发起模式;一应支持预共享密钥认证方式,可实现RSA加密nonce验证和数字证书认证方式:应支持HMAC-MD5-96和1HMAC-SHAI-96认证算法,支持MD5和SHA1散列算法,应支持3DES-CBC和AES等加密算法,可支持国家相关部门规定的加密算法:一密钥交换应支持MODP-Groupl、MODP-Group2等Diffie-Hellman组。5.2.3系统功能保护
对于用户的安全数据,系统要提供妥普的保护手段,包括对访问安全数据的用户进行标识和鉴别。5.2.4资源分配
用户能够占用的网络资源数量和方式刘网络的可用性有很大影响,所以核心路由器必须要提供资源分配能力,包括抗大流量攻击能力、抗畸形包处理能力和流量控制能力。访问控制列表和流量控制能够有效限制非法的户资源访问。
5.2.4.1常见网络攻击抵抗能力
针对已知的各种攻击,核心路由器设备应能够进行处理,开且不影啊路由器正常的数据转发。当核心路由器检测到攻击发生,应该生成告警。下面几种常鬼的攻击,核心路出器应也能够处埋。5.2.4.1.1抗大流量攻击能力
人流量可以分成两种类型,一种是流经流量,即需要宽带接入服务器转发的流最,对于这类攻山,核心路由器宜有端口线选转发的能力,对超过端口处理能力的流量可以采用按比例丢弃的策略:另一种流量的口的地就是核心路中器本身,这类攻山可能会占用被攻出设备的大量CPU处理时间和内存,严重的甚至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,核心路由器可采取过和丢弃策略,同时应将必要的信惑(如报文类型、源地址以及攻击时间等)记录到安全志中,同时路由器还应完成路由协议和管埋报文的正常发送和接收处理。5.2.4.1.2抗畸形包能力
由于网络环境的复杂性以及恶意攻击、用户好奇和病毒等,也可能由于传输链路本身被干扰和程序处理错误等原因,会导致网络上出现各种各样的错误报文和畸形报文。这些报文如果不能妥善处理,往7
KNYRAca
Y0/T 1906-2009
往会造成路由器设备摊、期溃,失去服务能力。路由器设备不断发牛崩溃恢复的过程可能导致整个网络处于不稳定状态,所以核心路由器设备应具有良好的畸形报文处理能力:核心路由器应能够检测超短/长报文并采取丢弃策略,同时对这种报文进行统计;一核心路由器应能够检测到链路层错误报文并采取丢弃策略,同时要求进行日志记录和统计:一核心路由器应能检测网络层报文错误并采取丢弃策略,同时必须进行错误报文统计;一核心路由器对各种路由器必须处理的上层协议报文错误应能够检测出来并采取丢弃策略,同时进行统计;
一核心路由器不能由于错误报文/畸形报文而崩溃:一 核心路由器本身不应发出错误报文/畸形报文。5.2.4.1.3P地址哄骗防范
针对网络中源地址骗报文,核心路出器应实现单播逆向路径转发(uRPF)技术来过滤这类报文禁止其在网络中传播。
5.2.4.2流量控制
核心路由器需要转发大量的网络流量,其中一些流量的目标可能是政击网络中其他设备,核心路出器应提供流量控制能力,为网络提供安企保护服务。对流量控制需要通过访问控制列表的方式实现,关于访问控制列表的其体要求参见5.2.8.2节,本标要求在启动大量访问控制列表的情况下不能影响核心路由器的线速转发能力。5.2.4.2.1流量监管
流量监管也就是通常所说的CAR,是流分类之后的动作之一。通过CAR可以限制从网络边缘进入的各类业务的最大流量,控制网络整体资源的使用,从而保证网络整体的可靠运行。针对可能被攻击的流都应制是服务水平协议(SLA)。SLA中包含每种业务流的流量参数:承诺速率,峰值速率、承诺突发流量和峰值突发流量,对超出SLA约定的流量报文可指定给予通过、丢弃或降级等处理。此处降级是指提高丢弃的可能性,降级报文在网络拥寒时将被优先丢弃,从而保证在SLA约定范围内的报文享受到SLA药定的服务。
5.2.5安全审计
对F用户流量,核心路由器要求能够提供流量日志能力,相关的要求见7.2.5节。5.2.6安全管理
要能够提供对本竞提供的安金功能和数据的管理能力,管理方式包括但不限丁控制台、远程连接或网络管理接口/系统等方式。bZxz.net
5.2.7可信信道/路径
核心路由器问以及核心路由器问其他设备问通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开来,能够提供可倍的通信信道,路径,对VPN功能的要求见5.2.8.3节。5.2.8系统访问
5.2.8.1过滤功能
应支持IEIFRFC2827和IETFRFC3704规定的包过滤器。8
5.2.8.2访问控制列表
YD/T 1906-2009
访问控制列表(ACL)是基于报文的内容,如MAC地址、IP地址、协议和端口等,指定的安全规则表,对每个进出路由器的报文通过与这些规则匹配,确定对其处理动作。ACL在定义.上应分为两级,第一级称为规则组,第二级称为规则。使用时以现则组为单位,每个规贮组由一系列规则组成,规则和规则组共同完成对某类报文的访问控制功能。ACL规则组应支持使用数字或:者学符串作为标识,以便丁使用。AL规则组可支持设定内部规则在查找时的匹配顺序,至少实现按照配置顺序查找,
ACL规则是对报文班行分类的实际依据,核心路由器支持的AC现则要求如下:一支持基丁源地址、目的聪址、协议类型、源端口号、目的端口号等元素的访问控制;一可支持基丁源MAC地地的访问控制:一ACL规则中定义,同时指定匹配时应执行的动作:允许或禁止;一ACL规则应提供选项,支持对ICMPv6报文过滤;一可支持基IPv6头部的流常类别域和流标签域过滤一应支持对报文优先级过滤:
一可支持仅在指定的时问段对报文过滤,一可支持对报支匹配情况统计计数和记入日志等,在核心路由器中,每端口可支持Ik项或每接口板可支持4k以上的ACL规则,而不使性能明显下降。5.2.8.3VPN功能
VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。核心路由器应能根据设备处于网络不同位置,支持相应的VPN技术和特性,对于基于MPLS实现的VPN:
一,不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进入到另一个VPN一当同时支持VPN服务和互联网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和卫联网服务的时,可基于逻辑接口对接入速率进行限制。6控制平面安全
6.1安全威肋
对控制平面的安全威脚主有以下儿个方面,但并不局限于这些方面:一对协设流进行探测、或老进行流量分析,从面获得转发露径信息:一狄得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信总暴露给另个VPN等:一利用协议流实施的拒绝服务攻击:一非法设备逊行身份骐骗,建立路由议的信在关系,非法获得转发路径信息;二针对路由协议、MPLS标签分配协议等的转发路径信息的欺骗。6.2安全功能
6.2.1标识和鉴别
KANIKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1906-2009
IPv6网络设备安全技术要求
核心路由器
Security Requirements of Core Router EquipmentSupportingIPv62009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义和缩略语·
4概述·
5数据转发平面安全
6控制平面安全
7管理平而安金·
附录A(规范性附录)硬件系统和操作系统的安全要求附录B(资料性附录)安全日志的严重等级定义KNKAa
YD/T 1906-2009
YD/T1906-2009
本标准是“路出器设备安全\系列标准之一,本系列的标准结构和名称预计如下:1:YD/T13582005路由器设备安全技术要求-中低端路由器(基丁IPv4)2.YD/T1359-2005路由器设备安企技术要求-—高端路由器(基于IPv4)3.YD/T1439-2005路白器设备安全测试方法一高端路由器(基于IPv4)4.YD/T1440-2005路由器设备安全测试方法一中低端璐由器(基于IPv4)5YD/T1907-2009IPv6网络设备安全技术要求——边缘路出器6.IPv6网络设备安全测试方法—边缘路由器7.YD/T1906-2009IPv6网络设备安全技术要求——核心路由器8.IPv6网络设备安全测试方法一核心路由器本标准与《IPv6网络设备安全测试方法·一核心路由器》配套使用。与本系列标准相关的标准还有“支持Pv6的路由器设备”系列标准,该系列的标推结构和名称如下
1.YD/T1452-2006IPv6网络设备技术要求———支持IPv6的边缘路由器2.YD/T1453-2006IPv6网络设备测试方法——支持IPv6的边缘路由器3.YD/T1454-2006IPv6网络设备技术要求——支持IPv6的核心路出器4.YD/T1455-2006IPv6网络设备测试方法—支持IPv6的核心路出器本标准的附录A为规范性附录,附录B为资料性附录。本标准出中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准士要起草人:赵,锋、马军锋、魏亮,I1
1范围
IPV6网络设备安全技术要求
一核心路由器
YD/T1906-2009
本标准规定了支持IPv6协议的核心路出器的安全技术要求,包括数据转发平面安全、控制平面安全管理平面安企等。
木标准下文中所有对路山器的安全规定均指对支持IPV6的核心路由器的规定,本标准造们于支持JPv6的核心路由器设备2规范性引用文件
下刻文件中的条歌递过本标推的引而成为本标雅的条款。凡是期的用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适门于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336.2
YD/T 1454-2006
倍息技术安全技术信息技术安全性评估推则第2部分:安全功能要求6网络设备技术要求一一支持的核心路由器IBTFRFC2827(2000)网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击Ⅱ:TFRFC3704(2004)用于Multihome网络的入口过滤3术语、定义和缩璐语
3.1术语和定义
下列术诺和定义适月末标准。
路由器Routers
路由器是通过转发数据包来实现网络万连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层,网络层,应而层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,T作在IP层上的网络设备。璐由器要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理蹦门。路器根垢收到的数据包中网络层地址以及路出器内部维的路用表决定输出端口以及下一条路出器地址或工机地址并且重写链路层数据包头。路由表必须动态维护米反映当前的网络拓扑。路由器通常通过与其他路由器交换路由信息米完成动态维护路由表
路由器只提供数据包传输服务。为实现路由选择的通用性和鲁棒性(Robust),路由器的实现应使用最少状态信息来维持上述服务。3.1.2
Core Routers
核心路由器
YYKANIKACa
YD/T1906-2009
通常位丁网络骨干层,用作扩大互联网的路由处理能力和传输惜宽的路由器在本标准中,要求核心路由器的系统交换容量至少达到60Gbit/s。3.1.3
访问控制 Access Control
防1:未经授权使用资源。
授权Authorization
授子权限,包括根据访问权进行访问的限。3.1.5
密钥管理KeyManagement
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.1.6
安全审计SecurityAudit
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统与现行策略和操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3.1.7
数字签名DigitalSignature
在数据单孔后面的数据,惑对数据单元进行密码变换得到的数据。充许数据的接收者证明数据的米源和完整性,保扩护数据不被伪造,并保证数据的不可否认性。3.1.8
否认Repudiation
参与通信的实体否认参加了全部或部分的通信过程,3.1.9
可角性Availability
根据需要,信息允许有权实体访问和使用的特性。3.1.10
保密性Confidentiality
信息对非授权个人,实体或进程是不间知、不可用的特性。3.1.11
数据完整性DataIntegrity
数据免遭非法更改或破坏的特性3.1.12
安全服务SecurityService
由通信的系统提供的,对系统或数据传递提供充分的安全保障的一一种服务。3.1.13
安全策略SecurityPolicy
提供安全服务的一套规则。
安全机制SecurityMechanism
实现安全服务的过程。
拒绝服务Denialof Service
附l:授权访问资源或延迟时间敏感换作。3.1.16
防重放Anti-Replay
防止对数据的重放攻击。
信息泄露Information Disclosure指信息被泄露或透漏给非授权的个人或实体,3.1.18
完整性破坏IntegrityCompromise(Damage)数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。3.1.19
非法使用llegal Use
资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。3.2缩略语
下列缩略语适用丁本标准。
ICMPyG
Triple Data Encryption StandardAccess Control List
Advanced Encryption StandardAddress Rcsolution Protocol
BGP-4 Border Galeway ProtocolCommilled Access Rate
Cipher Block Chaining
Chailenge-HandshakeAuthentication ProtocolClass of Service
Central Processing Unit
Domain Name Service
Denial uf Service
Digital Signature Standard
Hashed Message Authentication CodeInternet Cantrol Messages Protocol Version 6International Data Encryption AlgorithmYYKANIKAca-
YD/T 1906-2009
三重数据加密标准
访问控制列表
先进加密标准
地址解析协议
边界网关协议
承诺接入速率
密码块链
质询握手认证协议
业务类别
中央处理器
域名服务
拒绝服务
数字签名标雅
散列消息认证码
互联网报文控制协议版本6
国际数据加密算法
YD/T 1906-2009
SNMPvf
SNMPv2c
SNMPv3
Internet Key Exchange
Internet Protocol Version 6
Internet Protocol Security
Intermediate Systcm to Intermediate SystemMedia Access Control
Message Digest Version S
Modular Exponentiation GroupMulti-protocol Label SwitchingNerwork Time Protocol
Operation, Administration, Maintenance and ProvisioningOpen Shortcst Path First
Password Authentication ProtocolPerfect Forward Secrecy
Routing Information ProtocolPoint-to-Point Protocol
Rivest Shamir and Adleman AlgorithmSecure Hash Algorithm
Secure Hash Algorithm 1
SimpleNetworkManagement ProtocolSNMP version !
SNMP version 2c
SNMP Version 3
Secure Shell
SSH Version 1
SSH Version 2
Secure Socket Layer
Transmission Cantrol ProtocolTrivial File Transfer ProtocolTransport Layer Security
User Dalagram Protocol
Unicase Revcrsc Path ForwardingUser-based Security Model
Virlual Local Area Network
Virtual Private Network
VPN Routing and Forwarding
互联网密钥交换
互联网协议版本6
互联网协议安全
中间系统到中间系统协议
媒介访问控制
消息摘要版本5
模求幂组
多协议标记交换
网络时问协议
操作、管理、维护和配置
开放最短路径优先协议
口令认证协议
完美前问保密
路由信息协议
点到点协议
RSA算法
安企散列算法
安全散列算法版本1
简单网络管理协议
SNMP版本1
SNMP版本2c
SNMP版本3
安全外壳
SSH版本1
SSH版本2
安全套接层
传输控制协议
简单文件传输协议
传输层安全
用户数据报协议
单播反向路径转发
基丁用户的安全模型
虚拟局域网
虚拟专用网
VPN路由和转发
4概述
YD/T1906-2009
路出器通过转发数据报文来实现网络的互联,一般支持TCP/IP协议。核心路由器一般位丁网络的核心,承担网络骨干段上数据的转发,具有较高的转发性能和较强的路由能力。核心路由器在网络中处于重要位置,容易受到来自网络和其他方面的威胁。这些安全威胁可以利用设备的腕弱性对设备造成一定的损害。设备被攻击后,网络的性能和正常运行受到很人的影响。因此,核心路由器本身应具备较强的抗攻击能力。此外,网络上传输的大量报文要通过路由器转发,因此核心路由器要为网络提供一定的安全服务,创括为企业的内部网络和公共网络提供安全服务。核心路由器的于要功能是承扭数据转发。为了完成这个功能,必须通过信令协议获得网络拓扑等借息。另外,核心路出器也要为管理员和网络管理系统提供管理接口,方便系统的管理和维护。因此,本标准特路由器功能在逻辑上划分为三个功能平面。(1)数据转发平面:主要指为用户访问和利用网络而提供的功能,如数据转发等。(2)控制平面:也可以称为信令平面,主要包括路由协议等与建立会话连接、控制转发路径等有装的功能。
(3)管理平面:主要指与OAM&P有关的功能,如SNMP、管理用广Telnet登录、日志等,支持FCAPS(Faul,Capacity,Administration,Provisioning,andSecurity)功能。管理平面消息的传送方式有两种:带内和带外。
为了抵御网络攻山,核心路由器应提供一定的安全功能。本标准引用GB/T18336.2中定义的安全功能并应用到核心路由器中,这些安全功能包括:一标认和鉴别,确认用户的身份及其真实性;一用户数锯保护,和保护用户数据相关的安企功能和安全策略一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力.--资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务:安金审计,能够提供国志等审计记录,这些记录可以印来分析安全威卧活动和对策一安全管理,安全助能、数据和安全属性的管理能力:一可信信道/路径,核心路由器之问以及核心路由器同其他设备之间间通信的信道/路径要求可信,对传送敏感数据的通信要同传送其他数据的通信隔离开来:一系统访问,本安全功能要求控制用户会话的建立。路主器安企框架如图I所示。
为了保证核心路由器及其转发数据的安金,需要为核心路由器制定安全策略,作为指导安全功能实施的纲领,并在实施过程中,将安企策略映射到数据转发平面、控制平面和管理平面中的安全功能和实现技术。
硬件系统和操作系统是核心路由器本身的安全的重要因素,对硬件系统和操作系统的要求参见附录A。
KNYRca
YD/T 1906-2009
安全策略
5数据转发平面安全
5.1安全威胁
管理平面
控制平面
转发平面
图1路由器安全框架
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
脆弱性
数据转发平面负责处理进入设备的流量,因此基于流量的攻市会给路由器的转发带来影响,例如,大流量攻击会造战设备不能正处理合法流量,而畸形的报文可能会古用设备大量的处理时问,非授权用户可能使用网络资源,造成网络的可用性降低,其至崩溃。未授权观察,修改,插入,删除报文,对数据流的流量分析,都会使报文和数据流的保密性和完性受到影响。
对数据转发平面的安全威脚主要有以下方面,但并不局限于这些方面:一对数据流的流量分析,从而获得敏感信息;一未授权观察、修改、插入,删除数据流;一拒绝服务攻击,降低设备的转发性能。5.2安全功能
5.2.1标识和鉴别
核心路由器提供用户访问控制能力,通过标识和鉴别功能决定用户的身份,并通过授权系统间每个用户分配相应的权限,相关能力要求参见YD/T1454-2006(IPv6网络设备技术要求一-支持IPv6的核心路出器》。
5.2.2用户数据保护
用广数据保护功能实现对用户数据的完整性、可用性和保密性保护。光整性、可用性和保密性一般可以通过验证技术和加密技术获得,如IPSec,也可以通过隔离用户流量,不允许一个用户访问其他的用户数据来实现。通过VPN能够实现将属丁不同管理域的用户进行隔离,能够防l一个管理域的用户访问另外一个管理域的数据,也是用户数据保护的一个重要机制5.2.2.1用户数据保护
YD/T 1906-2009
IPSec在IP层上为IP报文提供安全保证,IPSec提供了数据保密性、数据源认证、数据完整性和抗重放等安全服务。IPSec是一个IP安全体系,出IPSec框架、AH和ESP安全协议以及IKE密钥管理协议组成。核心路由器可支持PSec协议。当支持Psec协议时,对PSec的特性要求如下:一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,可支持AH和ESP协议的嵌套封装;
一AH利ESP协议应支持HMAC-SHA1-96算法,可支持HMAC-SHA1-96认证算法,ESP协议应支持3DHS-CBC、AES等加密算法,可支持国家相关部门规定的加密算法,应支持空加密算法和空认证算法,征一者不应同时使用。
对IKE的特性要求如下:
一支持安全联盟的于工管理,可支持IKE自动管理。于工管理安全联盟吋,可支持以十穴进制配置算法所需密钥,应支持任意长度字符串形式配置密钥:-一第一阶段应支持主模式和野蛮模式,第二阶段应支持快速模式,还应支持信息交换第二阶段交换中应支持完美前问保护特性;一第一阶段中应能指定发起模式;一应支持预共享密钥认证方式,可实现RSA加密nonce验证和数字证书认证方式:应支持HMAC-MD5-96和1HMAC-SHAI-96认证算法,支持MD5和SHA1散列算法,应支持3DES-CBC和AES等加密算法,可支持国家相关部门规定的加密算法:一密钥交换应支持MODP-Groupl、MODP-Group2等Diffie-Hellman组。5.2.3系统功能保护
对于用户的安全数据,系统要提供妥普的保护手段,包括对访问安全数据的用户进行标识和鉴别。5.2.4资源分配
用户能够占用的网络资源数量和方式刘网络的可用性有很大影响,所以核心路由器必须要提供资源分配能力,包括抗大流量攻击能力、抗畸形包处理能力和流量控制能力。访问控制列表和流量控制能够有效限制非法的户资源访问。
5.2.4.1常见网络攻击抵抗能力
针对已知的各种攻击,核心路由器设备应能够进行处理,开且不影啊路由器正常的数据转发。当核心路由器检测到攻击发生,应该生成告警。下面几种常鬼的攻击,核心路出器应也能够处埋。5.2.4.1.1抗大流量攻击能力
人流量可以分成两种类型,一种是流经流量,即需要宽带接入服务器转发的流最,对于这类攻山,核心路由器宜有端口线选转发的能力,对超过端口处理能力的流量可以采用按比例丢弃的策略:另一种流量的口的地就是核心路中器本身,这类攻山可能会占用被攻出设备的大量CPU处理时间和内存,严重的甚至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,核心路由器可采取过和丢弃策略,同时应将必要的信惑(如报文类型、源地址以及攻击时间等)记录到安全志中,同时路由器还应完成路由协议和管埋报文的正常发送和接收处理。5.2.4.1.2抗畸形包能力
由于网络环境的复杂性以及恶意攻击、用户好奇和病毒等,也可能由于传输链路本身被干扰和程序处理错误等原因,会导致网络上出现各种各样的错误报文和畸形报文。这些报文如果不能妥善处理,往7
KNYRAca
Y0/T 1906-2009
往会造成路由器设备摊、期溃,失去服务能力。路由器设备不断发牛崩溃恢复的过程可能导致整个网络处于不稳定状态,所以核心路由器设备应具有良好的畸形报文处理能力:核心路由器应能够检测超短/长报文并采取丢弃策略,同时对这种报文进行统计;一核心路由器应能够检测到链路层错误报文并采取丢弃策略,同时要求进行日志记录和统计:一核心路由器应能检测网络层报文错误并采取丢弃策略,同时必须进行错误报文统计;一核心路由器对各种路由器必须处理的上层协议报文错误应能够检测出来并采取丢弃策略,同时进行统计;
一核心路由器不能由于错误报文/畸形报文而崩溃:一 核心路由器本身不应发出错误报文/畸形报文。5.2.4.1.3P地址哄骗防范
针对网络中源地址骗报文,核心路出器应实现单播逆向路径转发(uRPF)技术来过滤这类报文禁止其在网络中传播。
5.2.4.2流量控制
核心路由器需要转发大量的网络流量,其中一些流量的目标可能是政击网络中其他设备,核心路出器应提供流量控制能力,为网络提供安企保护服务。对流量控制需要通过访问控制列表的方式实现,关于访问控制列表的其体要求参见5.2.8.2节,本标要求在启动大量访问控制列表的情况下不能影响核心路由器的线速转发能力。5.2.4.2.1流量监管
流量监管也就是通常所说的CAR,是流分类之后的动作之一。通过CAR可以限制从网络边缘进入的各类业务的最大流量,控制网络整体资源的使用,从而保证网络整体的可靠运行。针对可能被攻击的流都应制是服务水平协议(SLA)。SLA中包含每种业务流的流量参数:承诺速率,峰值速率、承诺突发流量和峰值突发流量,对超出SLA约定的流量报文可指定给予通过、丢弃或降级等处理。此处降级是指提高丢弃的可能性,降级报文在网络拥寒时将被优先丢弃,从而保证在SLA约定范围内的报文享受到SLA药定的服务。
5.2.5安全审计
对F用户流量,核心路由器要求能够提供流量日志能力,相关的要求见7.2.5节。5.2.6安全管理
要能够提供对本竞提供的安金功能和数据的管理能力,管理方式包括但不限丁控制台、远程连接或网络管理接口/系统等方式。bZxz.net
5.2.7可信信道/路径
核心路由器问以及核心路由器问其他设备问通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开来,能够提供可倍的通信信道,路径,对VPN功能的要求见5.2.8.3节。5.2.8系统访问
5.2.8.1过滤功能
应支持IEIFRFC2827和IETFRFC3704规定的包过滤器。8
5.2.8.2访问控制列表
YD/T 1906-2009
访问控制列表(ACL)是基于报文的内容,如MAC地址、IP地址、协议和端口等,指定的安全规则表,对每个进出路由器的报文通过与这些规则匹配,确定对其处理动作。ACL在定义.上应分为两级,第一级称为规则组,第二级称为规则。使用时以现则组为单位,每个规贮组由一系列规则组成,规则和规则组共同完成对某类报文的访问控制功能。ACL规则组应支持使用数字或:者学符串作为标识,以便丁使用。AL规则组可支持设定内部规则在查找时的匹配顺序,至少实现按照配置顺序查找,
ACL规则是对报文班行分类的实际依据,核心路由器支持的AC现则要求如下:一支持基丁源地址、目的聪址、协议类型、源端口号、目的端口号等元素的访问控制;一可支持基丁源MAC地地的访问控制:一ACL规则中定义,同时指定匹配时应执行的动作:允许或禁止;一ACL规则应提供选项,支持对ICMPv6报文过滤;一可支持基IPv6头部的流常类别域和流标签域过滤一应支持对报文优先级过滤:
一可支持仅在指定的时问段对报文过滤,一可支持对报支匹配情况统计计数和记入日志等,在核心路由器中,每端口可支持Ik项或每接口板可支持4k以上的ACL规则,而不使性能明显下降。5.2.8.3VPN功能
VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。核心路由器应能根据设备处于网络不同位置,支持相应的VPN技术和特性,对于基于MPLS实现的VPN:
一,不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进入到另一个VPN一当同时支持VPN服务和互联网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和卫联网服务的时,可基于逻辑接口对接入速率进行限制。6控制平面安全
6.1安全威肋
对控制平面的安全威脚主有以下儿个方面,但并不局限于这些方面:一对协设流进行探测、或老进行流量分析,从面获得转发露径信息:一狄得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信总暴露给另个VPN等:一利用协议流实施的拒绝服务攻击:一非法设备逊行身份骐骗,建立路由议的信在关系,非法获得转发路径信息;二针对路由协议、MPLS标签分配协议等的转发路径信息的欺骗。6.2安全功能
6.2.1标识和鉴别
KANIKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。