YD/T 1907-2009
基本信息
标准号: YD/T 1907-2009
中文名称:IPv6 网络设备安全技术要求边缘路由器
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1050325
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1907-2009.Security Requirements of Edge Router Equipment Supporting IPv6.
1范围
YD/T 1907规定了支持IPv6协议的边缘路由器的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。
YD/T 1907下文中所有对路由器的安全规定均指对支持IPv6的边缘路由器的规定。
YD/T 1907适用于支持IPv6的边缘路由器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
IETF RFC2827 (2000)网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击
IETF RFC3704 (2004)用于Multihome网络的入口过滤
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
路由器Routers
路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层、网络层、应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,工作在IP层上的网络设备。
路由器需要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表,决定输出端口以及下一跳路由器地址或主机地址,并且重写链路层数据包头。
1范围
YD/T 1907规定了支持IPv6协议的边缘路由器的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。
YD/T 1907下文中所有对路由器的安全规定均指对支持IPv6的边缘路由器的规定。
YD/T 1907适用于支持IPv6的边缘路由器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
IETF RFC2827 (2000)网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击
IETF RFC3704 (2004)用于Multihome网络的入口过滤
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
路由器Routers
路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层、网络层、应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,工作在IP层上的网络设备。
路由器需要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表,决定输出端口以及下一跳路由器地址或主机地址,并且重写链路层数据包头。
标准图片预览
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T 1907-2009
Pv6网络设备安全技术要求
边缘路由器
Security Requirements of Edge Router Equipment Supporting IPv62009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义利缩略语,
4.概述
5数据转发平面安全·
6控制平面安全
了管理平面安全…
附录A(规范性附录)硬件系统和操作系统的安全要求KNKAa
YD/T 1907-2009
YD/T1907-2009
本标准是“路由器设备安全\系列标准之一,本系列的标准结构和名称预计如下:1.YD/T1358-2005路由器设备安全技术要求—一中低端路由器(基于IPv4)2.YD/T1359-2005路由器设备安全技术要求——商端路由器(基于IPv4)3.YD/T1439-2005路由器设备安全测试方法——商端路由器(基于IPv4)4。YD/T1440-2005路由器设备安全测试方法——中低端路由器(基于IPv4)5.YD/T1907-2009IPv6网络设备安全技术要求——边缘路由器6.IPv6网络设备安全测试方法边缘路由器7.YD/T1906-2009IPv6网络设备安全技术要求——核心路由器8.IPv6网络设备安全测试方法一核心路由器本标准与《IPv6网络设备安全测试方法一边缘路由器》配套使用。与本系列标准相关的标准还有“支持Pv6的路由器设备系列标准,该系列的标准结构和名称如下1.YD/T1452-2006IPv6网络设备技术要求——支持IPv6的边缘路由器6IPv6网络设备测试方法——支持Pv6的边缘路由器2. YD/T 1453-2006
6IPv6网络设备技术要求——文持IPv6的核心路由器3. YD/T 1454-2006
4.YD/T 1455-2006
IPv6网络设备测试方法一支持IPv6的核心路由器本标准的附录A为规范性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准主要起草人:赵、锋、马军锋、魏亮1范围
IPV6网络设备安全技术要求
边缘路由器
YD/T 1907-2009
本标准规定了支持IPv6协议的边缘路由器的安全技术要求,包括数据转发平面安全、控制平面安全管理平面安全等。
本标雅下文中所有对路用器的安企规定均指对支持6的边缘路由器的规定。本标准适用于支持IPv6 的边缘路由器设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标谁。然而,鼓励根据本标准达成协议的各方研究是否可使这些文件的最新版本。凡是不注口期的引用文件,其最新版本适于本标耀。GB/T 18336.2
IETF RFC2827 (2000)
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击[ETFRFC3704(2004)用于Multihome网络的入口过滤3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
路由器 Routers
路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层、网络层、应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,工作在IP层上的网络设备。路由器需要连接两个或多个由Pv6链路本地地址或点到点协议标识的逆辑端口,至少拥有一个物理蹦口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表,决定输出端口以及下一跳路由器地址或主机地址,并且重写链路层数据包头。路由表必须动态继护来反映当前的网络铅扑。路出器通常通过与其他路出器交换路由信息来完成到慈维护路出表。
路出器只提供数据包传输服务,:为实现路由选择的通用性和鲁棒性(Robust),路由器的实现应使用最少状态信息来继上述服务。
边缘路由器EdgeRouters
位丁网络边缘,用作接入边缘网的路由器。除非特别指出,边缘路出器应符合3.1.1中路由器的要求。1
YD/T 1907-2009
访问控制Access Control
防止未经授权使用资源。
授权Authorization
授予权限,包括根据访问权进行访问的权限。3.1.5
密钥管理KeyManagement
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.1.6
安全审计SecurityAudit
对系统的记录及活动独立的复查与检查,以使检测系统控制是否充分,确保系统与现行策略和操作程序保持一致,探测违肯安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3.1.7
数字签名DigitalSignature
附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的求源和完整性,保护数据不被伪造,并保证数据的不可否认性。3.1.8
否认Repudiation
参与通信的实体否认参加了全部或部分的通信过程。3.1.9
可用性Availability
根据需要,信息允许有权实体访问和使用的特性。3.1.10
保密性Confidentiality
信息对非授权个人、实体或进程是不可知、不可用的特性。3.1.11
数据完整性Data Integrity
数据免遭非法更改或破坏的特性。3.1.12
安全服务SecurityService
由道信的系统提供的,对系统或数据传递提供充分的安全保障的一种服务。3.1.13
安全策略SecurityPolicy
提供安企服务的一套规则。
安全机制SecurityMechanism
实现安全服务的过程。
拒绝服务Deanial of Service
止授权访问资源或延迟时间缴感操作。3.1.16
防重放Anti-Replay
防止对数据的重放攻击。
信息泄露 Information Disclosure指信息被泄露载透漏给非授权的个人或实体。3.1.18
完整性破坏IntegrityCompromise(Damage)数据的一致性通过对数据进行非授权的增加、修、重排序或伪造而受到损害。3.1.19
月legal Use
非法使用
资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。3.2缩略语
下列缩略语适用于本标准。
ICMPv6
Triple Data Encryption StandardAccess Conlrol List
Advanced Encryption StandardAddress Resolution Protocol
BGP-4BorderGatewayProtocol
Committed Access Rate
Cipher Block Chaining
Challenge-HandshakeAuthenticatianProtocolClass of Service
Central Processing Unit
Domain Name Service
Denial of Service
Digital Signature Slandard
Hashed Message Authentication CodeIntcrnct Control Messages Protocol Version6International Data Encryption AlgorithmInternet Key Exchange
Internct Protocol Version 6
Intcrnct Protocol Security
KANTKca-
YD/T 1907--2009
三重数据加密标准
访问控制刻表
先进加密标准
地址解析协议
边界网关协议
承诺接入速率
密码块链
质询握手认证协议
业务类别
中央处理器
域名服务
拒绝服务
数字签名标准
散列消意认证码
互联网报文控制协议版本6
国际数据加密算法
互联网密钥交换
互联网协议版本6
互联网协议安全
YD/T 1907-2009
SHA—1
SNMPv1
SNMPy2c
SNMPv3
4概述
InlermediateSystem to lntermediateSystemMedia Access Control
Message Digest Version 5
ModularExporientiation GroupMulti-protocol Label SwitchingNetwork Timc Protocol
中间系统到中间系统协议
媒介访问控制
消息摘要版本5
模求幂组
多协议标记交换
网络时间协议
Operation,Administration,MaintenanceandProvisioning操作、管理、维护和配置Open Shortest Path First
Password Authentication ProtocolPerfect Forward Secrecy
Routing Inlormatian ProtocolPoint-to-Point Protocol
Rivest, Shamir and Adleman AlgorithmSecure Hash Algorithm
Secure Hash Algorithm 1
Simple Network Manageinent ProtocoiSNMP version J
SNMP version 2c
SNMP Version 3
Secure Shell
SSH Version 1
SSH Version 2
Secure Socket Layer
Transmission Control ProtocolTrivial File Transter ProtocolTransport Layer Security
User Datagram Protocol
Unicase Reverse PathForwardingUser-based Security Model
Virtual Local Area Network
Virtual Private Network
VPN Routing and Forwarding
开放最短路径优先协议
口令认证协议
完美前问保密
路由信息协议
点到点协议
RSA算法
安企散列算法
安全散列算法版本1
简单网络管理协议
SNMP版本1
SNMP版本2c
SNMP版本3
安全外壳
SSH版本
SSH版本2
安全套接层
传输控制协议
简单文什传输协议
传输层安全下载标准就来标准下载网
用户数据报协议
单播反向路径转发
基于用户的安全模型
虚拟局域网
虚拟专用网
VPN路由和转发
边缘路由器通常位丁网络边缘,往往是专用网络和骨干网络的接入点,所以它是网络攻击从专用网攻击外部网络(包括骨下网络和其他专网络)或者利用外部网络攻击专用网络的必经之路,在接入网络解决:些安全间题是整个网络安全体系的重要组成部分、路由器功能在逻辑上可以划分为三个功能平面。4
YD/T1907-2009
(1)数据转发平面:主要指为用户访问和利用网络而提供的功能,如数据转发等。(2)控制平面:也可以称为信令平面,主要包括路由协议等与建立会话连接、控制转发路径等有关的功能。
(3)管理平面:主要指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支持FCAPS(Fault,Capacity,Admninistration,Provisioning,andSecurity)功能。管理平面消息的传送方式有两种:带内和带外。
为了抵御网络攻击,边缘路由器应提供一定的安全功能。本标准引用GB/T18336.2中定义的安全功能并应用到边缘路出器中,这些安全功能包括:一标识和鉴别,确认用户的身份及其真实性:一用户数据保护,和保护用户数据相关的安全功能和安全策略:一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力:一资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务;一安全审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和对策:一安全管理,安全功能、数据和安全属性的管理能力一可信信道/路径,边缘路由器之间以及边缘路由器同其他设备之间通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来;一系统访问,本安全功能要求控制用户会话的建立。路由器安全框架如图1所示。
管理平面
控制平面
转发平面
安全策略
图1路由器安全框架
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
脆弱性
硬件系统和操作系统是边缘路由器本身的安全的重要因素,对硬件系统和操作系统的要求参见附录A。
5数据转发平面安全
5.1安全威肋
对数据转发平面的安全威胁主要有以下方面,但并不局限于这些方面:5
YYKAONYKAca
YD/T 1907-2009
一对数据流的流量分析,从而获得敏感信息;一未授权观察、修改、捕入、删除数据流;一拒绝服务攻击,降低设备的转发性能。5.2安全功能
5.2.1标识和鉴别
边缘路由器位于网络边缘,需要对接入网络的数据源进行检查和确认,保证报文来自可信/合法的用户或设备。
5.2.2用户数据保护
5.2.2.1IPsec 功能
IPSec在IP层上提供数据保密性、数据源认证、数据完整性和抗重放等安全服务,由AH、ESP和IKE等协议组成。
边缘路由器可支持IPSec协议,对IPSec的特性要求如下:一应支持手工案钥管理,可选支持IKE自动密钥管理:一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,可支持AH和ESP协议的嵌套封装:
一AH和ESP协议应支持HMAC-MD5-96利HMAC-SHAI-96认证算法,ESP协议应支持3DES-CBC租AES等加密算法,可支持国家相关部门规定的加密算法,应支持究加密算法和空认证算法,但一者不应同时使用。
边缘路由器可支持IKE,对IKE的特性要求如下:一第一阶段应支持王模式和蛮模式:一第二阶段应支持快速模式;
一应支持情报模式;
一应支持预共享密切认证方式,可实现RSA加密nonce验证和数学证书认证方式一应支持HMAC-MD5-96和IIMAC-SHA1-96认证算法,支持MDS和SHA1散列算法,应支持3DES-CBC和AES等加密算法,可支持国家相关部门规定的加密算法:密钥交换应支持MODP-Groupl、MODP-Group2等Diffie-Hellman组;一对丁快速模式,支持PFS
5.2.3系统功能保护
对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。5.2.4资源分配
边缘路由器应能够提供有效的控制机制(如队列调度机制、接入带宽控制)保障网络带宽的合理利用,特别是要能够抵御来自网络的各种俊占网络资源类的攻出,如FingFlooding、TCPSYNFlooding等,要确保网络在遭受攻出的情况下仍旧能够为合法用户提供必需的数据转发服务。边缘路由器应能够抵御以下的常见攻出类型,但并不局限于这些方面大流景攻击:大流量可以分成种类型,-一种是流经流量,即需要路由器转发的流量,对于这类攻击,边缘路出器宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略;另一种流量的目的地就是边缘路由器本身,这奖攻击可能会占用被攻击设备的大量CPU处理时问和6
YD/T1907-2009
内存,严重的其至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,边缘路由器可采取过滤和1丢弃策略,同时应将必要的信息(如报文类型,源地址以及攻击时间等)记录到安全日志中。
一IP地址:哄骗:针对网络中源地址哄骗报文,边缘路由器可实现单播逆向路径转发(uRPF)技术来过滤这类报文,禁止其在网络中传播。边缘路由器应能够提供相应机制来控制同一用户建立TCP会话的数量,以防止用户过度消耗网络资源:而且应能够根据用户类型对能够建立的TCP会话数量进行配置。边缘路由器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,然后依据与用户签订的SLA协定,为用户分配带宽资源。SLA协议包含承诺速率,峰值速率,承诺突发流量、峰值突发流量等,对于超出SLA协定的流量可以采取降级、去弃等操作。5.2.5安全审计
对于用户流量,边缘路由器要求能够提供流量日志能力,相关的要求参考7.2.5节有关规定。5.2.6安全管理
边缘路由器应能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。5.2.7可信信道/路径
边缘路由器间以及边缘路出器同其他设备间通信的信道/路径要求可信,对丁传送敏感数据的通信要司传送其他数据拍通信隔离开来。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开来,能够提供可信的通信信道/路径,对VPN功能的要求参考6.2.8.2节,5.2.8系统访问
5.2.8.1过滤功能
应支持TETFRFC2827和IETFRFC3704规定的包过滤器。5.2.8.2访问控制列表
访问控制列表是坚丁数据包头,如MAC地划、IP地址、协议和端口等,指定的安全规则表,对每个逆出路由器的报文通过与这些规则匹配,确定对其处理动作。路由器支持访问控制列表的要求如下:一应支持基于源地址、!的地址、协议类型、源端口号、月的端口号的访问控制列表:一可支持基于Pv6头部的流量类别域和流标签域的访问控制列表:一可支持基于源MAC地址的访问控制列丧,降低系统的无调开销一可支持在指定时间有效的访问控制列表:一应支持对报文必配情况进行绕计和产生者等。边缘路比器应支持同时配置2,000项以上的访问控制列表规则,而不使性能明显下降。5.2.8.3VPN功能
VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。边缘路内器支持利用以下技术实现VPN。-L2TP隧逆
KANIKAca
YD/T 1907-2009
应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS功能,支持CHAP鉴别协议。IPSec隧道
可支持通过IPSec隧道技术实现VPN,对IPSec的要求见5.2.2.1节。- MFLS LSH
可基丁MPLSLSP实现MPLSVPN,对MPLSVPN的要求如下:…不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,个VPN的数据不应进入到另一个VPN:一当同时支持VPN服务和互联网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和互联网服务时,可基于逻辑接口对接入速率进行限制。5.2.8.4防火墙功能
边缘路由器可支持防火墙功能,除包过滤、访问控制列表外,可支持应用代理功能,只允许被保护的网络访问充许的网络应用,状态检测应检查网络层和传输层信息,还可检查应用层协议的信息,实时维护这些TCP或UDP的状态信息,使用这些状态信息,确定访问控制,边缘路由器可支持基于状态检测的包过滤功能。
6控制平面安全
6.1安全威助
对控制平面的安全威胁主要有以下几个方面,但并不局限于这些方面:一对协议流进行探测、或者进行流量分析,从而获得转发路径信息;一获得设备服务的控制权,暴露转发路径信息,包将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等:一利用协议流实施的拒绝服务攻击;一非法设备进行身份哄骗,建立路由协议的信任关系,非法状得转发路径信息;一针对路中协议转发路径信息的欺骗。6.2安全功能
6.2.1鉴别与认证
6.2.1.1ND用户认证
当用户通过邻居发现(ND)协议自动配置IPv6地址时,路由器应能对该类用户进行认证,认证方式可采用本地认证,RADIUS认证等。6,2.1.2PPP用户认证
PPP作为一种数据链路层协议:本身并不具备完善的安全能力。其认证阶段应选用CHAP协议,而不能选用明文口令的PAP协议,以避免用户口令被侦听。6.2.1.3路由认证
路由的安全是路由器执行正常功能的重要基础。动态路由协议可以分为IGP和EGP两类,对下边缘路由器,目前广泛采用的IGP有OSPFv3和IS-ISy6协设,EGP主要是BGP4+协议。其t:一RIPng应支持协议报文的MD5认证,在实现上应依赖P认证头和IP安全载荷封装头来提供交互实体的鉴别和路由交互信息的完整性和保密性:8
YD/T 1907-2009
一OSPFv3应支持协议报文的MD5认证,在实现.上应依赖IP认证头和IP安全载荷封装头来提供交互实体的鉴别和路由交百危息的完整性和保密性一IS-ISv6应支持明文认证和MD5认证,应实现坚于链路、Level1和level2域的认证一BGP-4+应支持协议报文MD5认证,应通过使用TCPMD5签名选项来保护BGP会话。对于MPLS,用于建立LSP的标记分配协议主要有RSVP-TE和LDP/CR-LDP两种。- LDP/CR-LDP
发现交换过程使用的消息由UDP协议承载对于基本Hello消息,边缘路由器应只接受与可信LSR直接相连的接口.上的坚本Hello消息,忽略地址不是到该子网组播组的所有路由器的基本Hello消息;对于扩展Hello消息,可利用访尚列表控制只接受充许的源发送来的扩展Hello消息。I.DP会话过程使用的消息由TCP协议承载,应通过TCPMD5签名选项对会话消息进行真实性和完整性认证。- RSVP-TE
应通过加密的散列算法支持实体的认证,从而实现逐跳的认证机制:应支持HMAC-MD5算法和IMAC-SHA1算法。
6.2.2用户数据保护
6.2.2.1路由认证
路用认证往往使用加密欺列算法,在提供数据源认证的同时,也世提供数据完整性认证,路由认证功能参见6.2.1.3节。
6.2.3系统功能保护
安全数据应得到妥善的保护。
6.2.4资源分配
6.2.4.1抗常见网络击
6.2.4.1.1URPF
URPF是通过在转发表中查找收到分组的源IP地址和接口,只转发源P地址在P路由表中存在的分组的一种技术,这种技术可以缓解基丁IP地均:哄骗的网络攻击,边缘路由器应支持URPF功能。6.2.4.2关闭一些IP服务
6.2.4.2.1ICMPv6协议
JCMPv6用于网络操作和排障,边缘路白器需要实现ICMPv6协议的-些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:一Type=1目的地不n达;
一 Type = 2 分组过大
~Type=3超时;
一 Type =4 参数错误;
一 Type = 128 回显请求;
Typc = 129 回显应答。
6.2.4.2.2其他服务
对小下列TCP和1UDP小端口服务,应缺省关闭这些服务,或者不提供这些服务:—Echo;
YYKANIKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1907-2009
Pv6网络设备安全技术要求
边缘路由器
Security Requirements of Edge Router Equipment Supporting IPv62009-06-15发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件
3术语、定义利缩略语,
4.概述
5数据转发平面安全·
6控制平面安全
了管理平面安全…
附录A(规范性附录)硬件系统和操作系统的安全要求KNKAa
YD/T 1907-2009
YD/T1907-2009
本标准是“路由器设备安全\系列标准之一,本系列的标准结构和名称预计如下:1.YD/T1358-2005路由器设备安全技术要求—一中低端路由器(基于IPv4)2.YD/T1359-2005路由器设备安全技术要求——商端路由器(基于IPv4)3.YD/T1439-2005路由器设备安全测试方法——商端路由器(基于IPv4)4。YD/T1440-2005路由器设备安全测试方法——中低端路由器(基于IPv4)5.YD/T1907-2009IPv6网络设备安全技术要求——边缘路由器6.IPv6网络设备安全测试方法边缘路由器7.YD/T1906-2009IPv6网络设备安全技术要求——核心路由器8.IPv6网络设备安全测试方法一核心路由器本标准与《IPv6网络设备安全测试方法一边缘路由器》配套使用。与本系列标准相关的标准还有“支持Pv6的路由器设备系列标准,该系列的标准结构和名称如下1.YD/T1452-2006IPv6网络设备技术要求——支持IPv6的边缘路由器6IPv6网络设备测试方法——支持Pv6的边缘路由器2. YD/T 1453-2006
6IPv6网络设备技术要求——文持IPv6的核心路由器3. YD/T 1454-2006
4.YD/T 1455-2006
IPv6网络设备测试方法一支持IPv6的核心路由器本标准的附录A为规范性附录。
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准主要起草人:赵、锋、马军锋、魏亮1范围
IPV6网络设备安全技术要求
边缘路由器
YD/T 1907-2009
本标准规定了支持IPv6协议的边缘路由器的安全技术要求,包括数据转发平面安全、控制平面安全管理平面安全等。
本标雅下文中所有对路用器的安企规定均指对支持6的边缘路由器的规定。本标准适用于支持IPv6 的边缘路由器设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标谁。然而,鼓励根据本标准达成协议的各方研究是否可使这些文件的最新版本。凡是不注口期的引用文件,其最新版本适于本标耀。GB/T 18336.2
IETF RFC2827 (2000)
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求网络入口过滤:防范基于IP源地址伪造的拒绝服务攻击[ETFRFC3704(2004)用于Multihome网络的入口过滤3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
路由器 Routers
路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层、网络层、应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCP/IP协议簇,工作在IP层上的网络设备。路由器需要连接两个或多个由Pv6链路本地地址或点到点协议标识的逆辑端口,至少拥有一个物理蹦口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表,决定输出端口以及下一跳路由器地址或主机地址,并且重写链路层数据包头。路由表必须动态继护来反映当前的网络铅扑。路出器通常通过与其他路出器交换路由信息来完成到慈维护路出表。
路出器只提供数据包传输服务,:为实现路由选择的通用性和鲁棒性(Robust),路由器的实现应使用最少状态信息来继上述服务。
边缘路由器EdgeRouters
位丁网络边缘,用作接入边缘网的路由器。除非特别指出,边缘路出器应符合3.1.1中路由器的要求。1
YD/T 1907-2009
访问控制Access Control
防止未经授权使用资源。
授权Authorization
授予权限,包括根据访问权进行访问的权限。3.1.5
密钥管理KeyManagement
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.1.6
安全审计SecurityAudit
对系统的记录及活动独立的复查与检查,以使检测系统控制是否充分,确保系统与现行策略和操作程序保持一致,探测违肯安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3.1.7
数字签名DigitalSignature
附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的求源和完整性,保护数据不被伪造,并保证数据的不可否认性。3.1.8
否认Repudiation
参与通信的实体否认参加了全部或部分的通信过程。3.1.9
可用性Availability
根据需要,信息允许有权实体访问和使用的特性。3.1.10
保密性Confidentiality
信息对非授权个人、实体或进程是不可知、不可用的特性。3.1.11
数据完整性Data Integrity
数据免遭非法更改或破坏的特性。3.1.12
安全服务SecurityService
由道信的系统提供的,对系统或数据传递提供充分的安全保障的一种服务。3.1.13
安全策略SecurityPolicy
提供安企服务的一套规则。
安全机制SecurityMechanism
实现安全服务的过程。
拒绝服务Deanial of Service
止授权访问资源或延迟时间缴感操作。3.1.16
防重放Anti-Replay
防止对数据的重放攻击。
信息泄露 Information Disclosure指信息被泄露载透漏给非授权的个人或实体。3.1.18
完整性破坏IntegrityCompromise(Damage)数据的一致性通过对数据进行非授权的增加、修、重排序或伪造而受到损害。3.1.19
月legal Use
非法使用
资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。3.2缩略语
下列缩略语适用于本标准。
ICMPv6
Triple Data Encryption StandardAccess Conlrol List
Advanced Encryption StandardAddress Resolution Protocol
BGP-4BorderGatewayProtocol
Committed Access Rate
Cipher Block Chaining
Challenge-HandshakeAuthenticatianProtocolClass of Service
Central Processing Unit
Domain Name Service
Denial of Service
Digital Signature Slandard
Hashed Message Authentication CodeIntcrnct Control Messages Protocol Version6International Data Encryption AlgorithmInternet Key Exchange
Internct Protocol Version 6
Intcrnct Protocol Security
KANTKca-
YD/T 1907--2009
三重数据加密标准
访问控制刻表
先进加密标准
地址解析协议
边界网关协议
承诺接入速率
密码块链
质询握手认证协议
业务类别
中央处理器
域名服务
拒绝服务
数字签名标准
散列消意认证码
互联网报文控制协议版本6
国际数据加密算法
互联网密钥交换
互联网协议版本6
互联网协议安全
YD/T 1907-2009
SHA—1
SNMPv1
SNMPy2c
SNMPv3
4概述
InlermediateSystem to lntermediateSystemMedia Access Control
Message Digest Version 5
ModularExporientiation GroupMulti-protocol Label SwitchingNetwork Timc Protocol
中间系统到中间系统协议
媒介访问控制
消息摘要版本5
模求幂组
多协议标记交换
网络时间协议
Operation,Administration,MaintenanceandProvisioning操作、管理、维护和配置Open Shortest Path First
Password Authentication ProtocolPerfect Forward Secrecy
Routing Inlormatian ProtocolPoint-to-Point Protocol
Rivest, Shamir and Adleman AlgorithmSecure Hash Algorithm
Secure Hash Algorithm 1
Simple Network Manageinent ProtocoiSNMP version J
SNMP version 2c
SNMP Version 3
Secure Shell
SSH Version 1
SSH Version 2
Secure Socket Layer
Transmission Control ProtocolTrivial File Transter ProtocolTransport Layer Security
User Datagram Protocol
Unicase Reverse PathForwardingUser-based Security Model
Virtual Local Area Network
Virtual Private Network
VPN Routing and Forwarding
开放最短路径优先协议
口令认证协议
完美前问保密
路由信息协议
点到点协议
RSA算法
安企散列算法
安全散列算法版本1
简单网络管理协议
SNMP版本1
SNMP版本2c
SNMP版本3
安全外壳
SSH版本
SSH版本2
安全套接层
传输控制协议
简单文什传输协议
传输层安全下载标准就来标准下载网
用户数据报协议
单播反向路径转发
基于用户的安全模型
虚拟局域网
虚拟专用网
VPN路由和转发
边缘路由器通常位丁网络边缘,往往是专用网络和骨干网络的接入点,所以它是网络攻击从专用网攻击外部网络(包括骨下网络和其他专网络)或者利用外部网络攻击专用网络的必经之路,在接入网络解决:些安全间题是整个网络安全体系的重要组成部分、路由器功能在逻辑上可以划分为三个功能平面。4
YD/T1907-2009
(1)数据转发平面:主要指为用户访问和利用网络而提供的功能,如数据转发等。(2)控制平面:也可以称为信令平面,主要包括路由协议等与建立会话连接、控制转发路径等有关的功能。
(3)管理平面:主要指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支持FCAPS(Fault,Capacity,Admninistration,Provisioning,andSecurity)功能。管理平面消息的传送方式有两种:带内和带外。
为了抵御网络攻击,边缘路由器应提供一定的安全功能。本标准引用GB/T18336.2中定义的安全功能并应用到边缘路出器中,这些安全功能包括:一标识和鉴别,确认用户的身份及其真实性:一用户数据保护,和保护用户数据相关的安全功能和安全策略:一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力:一资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务;一安全审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和对策:一安全管理,安全功能、数据和安全属性的管理能力一可信信道/路径,边缘路由器之间以及边缘路由器同其他设备之间通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来;一系统访问,本安全功能要求控制用户会话的建立。路由器安全框架如图1所示。
管理平面
控制平面
转发平面
安全策略
图1路由器安全框架
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
脆弱性
硬件系统和操作系统是边缘路由器本身的安全的重要因素,对硬件系统和操作系统的要求参见附录A。
5数据转发平面安全
5.1安全威肋
对数据转发平面的安全威胁主要有以下方面,但并不局限于这些方面:5
YYKAONYKAca
YD/T 1907-2009
一对数据流的流量分析,从而获得敏感信息;一未授权观察、修改、捕入、删除数据流;一拒绝服务攻击,降低设备的转发性能。5.2安全功能
5.2.1标识和鉴别
边缘路由器位于网络边缘,需要对接入网络的数据源进行检查和确认,保证报文来自可信/合法的用户或设备。
5.2.2用户数据保护
5.2.2.1IPsec 功能
IPSec在IP层上提供数据保密性、数据源认证、数据完整性和抗重放等安全服务,由AH、ESP和IKE等协议组成。
边缘路由器可支持IPSec协议,对IPSec的特性要求如下:一应支持手工案钥管理,可选支持IKE自动密钥管理:一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,可支持AH和ESP协议的嵌套封装:
一AH和ESP协议应支持HMAC-MD5-96利HMAC-SHAI-96认证算法,ESP协议应支持3DES-CBC租AES等加密算法,可支持国家相关部门规定的加密算法,应支持究加密算法和空认证算法,但一者不应同时使用。
边缘路由器可支持IKE,对IKE的特性要求如下:一第一阶段应支持王模式和蛮模式:一第二阶段应支持快速模式;
一应支持情报模式;
一应支持预共享密切认证方式,可实现RSA加密nonce验证和数学证书认证方式一应支持HMAC-MD5-96和IIMAC-SHA1-96认证算法,支持MDS和SHA1散列算法,应支持3DES-CBC和AES等加密算法,可支持国家相关部门规定的加密算法:密钥交换应支持MODP-Groupl、MODP-Group2等Diffie-Hellman组;一对丁快速模式,支持PFS
5.2.3系统功能保护
对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。5.2.4资源分配
边缘路由器应能够提供有效的控制机制(如队列调度机制、接入带宽控制)保障网络带宽的合理利用,特别是要能够抵御来自网络的各种俊占网络资源类的攻出,如FingFlooding、TCPSYNFlooding等,要确保网络在遭受攻出的情况下仍旧能够为合法用户提供必需的数据转发服务。边缘路由器应能够抵御以下的常见攻出类型,但并不局限于这些方面大流景攻击:大流量可以分成种类型,-一种是流经流量,即需要路由器转发的流量,对于这类攻击,边缘路出器宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略;另一种流量的目的地就是边缘路由器本身,这奖攻击可能会占用被攻击设备的大量CPU处理时问和6
YD/T1907-2009
内存,严重的其至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,边缘路由器可采取过滤和1丢弃策略,同时应将必要的信息(如报文类型,源地址以及攻击时间等)记录到安全日志中。
一IP地址:哄骗:针对网络中源地址哄骗报文,边缘路由器可实现单播逆向路径转发(uRPF)技术来过滤这类报文,禁止其在网络中传播。边缘路由器应能够提供相应机制来控制同一用户建立TCP会话的数量,以防止用户过度消耗网络资源:而且应能够根据用户类型对能够建立的TCP会话数量进行配置。边缘路由器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,然后依据与用户签订的SLA协定,为用户分配带宽资源。SLA协议包含承诺速率,峰值速率,承诺突发流量、峰值突发流量等,对于超出SLA协定的流量可以采取降级、去弃等操作。5.2.5安全审计
对于用户流量,边缘路由器要求能够提供流量日志能力,相关的要求参考7.2.5节有关规定。5.2.6安全管理
边缘路由器应能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。5.2.7可信信道/路径
边缘路由器间以及边缘路出器同其他设备间通信的信道/路径要求可信,对丁传送敏感数据的通信要司传送其他数据拍通信隔离开来。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开来,能够提供可信的通信信道/路径,对VPN功能的要求参考6.2.8.2节,5.2.8系统访问
5.2.8.1过滤功能
应支持TETFRFC2827和IETFRFC3704规定的包过滤器。5.2.8.2访问控制列表
访问控制列表是坚丁数据包头,如MAC地划、IP地址、协议和端口等,指定的安全规则表,对每个逆出路由器的报文通过与这些规则匹配,确定对其处理动作。路由器支持访问控制列表的要求如下:一应支持基于源地址、!的地址、协议类型、源端口号、月的端口号的访问控制列表:一可支持基于Pv6头部的流量类别域和流标签域的访问控制列表:一可支持基于源MAC地址的访问控制列丧,降低系统的无调开销一可支持在指定时间有效的访问控制列表:一应支持对报文必配情况进行绕计和产生者等。边缘路比器应支持同时配置2,000项以上的访问控制列表规则,而不使性能明显下降。5.2.8.3VPN功能
VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。边缘路内器支持利用以下技术实现VPN。-L2TP隧逆
KANIKAca
YD/T 1907-2009
应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS功能,支持CHAP鉴别协议。IPSec隧道
可支持通过IPSec隧道技术实现VPN,对IPSec的要求见5.2.2.1节。- MFLS LSH
可基丁MPLSLSP实现MPLSVPN,对MPLSVPN的要求如下:…不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,个VPN的数据不应进入到另一个VPN:一当同时支持VPN服务和互联网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和互联网服务时,可基于逻辑接口对接入速率进行限制。5.2.8.4防火墙功能
边缘路由器可支持防火墙功能,除包过滤、访问控制列表外,可支持应用代理功能,只允许被保护的网络访问充许的网络应用,状态检测应检查网络层和传输层信息,还可检查应用层协议的信息,实时维护这些TCP或UDP的状态信息,使用这些状态信息,确定访问控制,边缘路由器可支持基于状态检测的包过滤功能。
6控制平面安全
6.1安全威助
对控制平面的安全威胁主要有以下几个方面,但并不局限于这些方面:一对协议流进行探测、或者进行流量分析,从而获得转发路径信息;一获得设备服务的控制权,暴露转发路径信息,包将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等:一利用协议流实施的拒绝服务攻击;一非法设备进行身份哄骗,建立路由协议的信任关系,非法状得转发路径信息;一针对路中协议转发路径信息的欺骗。6.2安全功能
6.2.1鉴别与认证
6.2.1.1ND用户认证
当用户通过邻居发现(ND)协议自动配置IPv6地址时,路由器应能对该类用户进行认证,认证方式可采用本地认证,RADIUS认证等。6,2.1.2PPP用户认证
PPP作为一种数据链路层协议:本身并不具备完善的安全能力。其认证阶段应选用CHAP协议,而不能选用明文口令的PAP协议,以避免用户口令被侦听。6.2.1.3路由认证
路由的安全是路由器执行正常功能的重要基础。动态路由协议可以分为IGP和EGP两类,对下边缘路由器,目前广泛采用的IGP有OSPFv3和IS-ISy6协设,EGP主要是BGP4+协议。其t:一RIPng应支持协议报文的MD5认证,在实现上应依赖P认证头和IP安全载荷封装头来提供交互实体的鉴别和路由交互信息的完整性和保密性:8
YD/T 1907-2009
一OSPFv3应支持协议报文的MD5认证,在实现.上应依赖IP认证头和IP安全载荷封装头来提供交互实体的鉴别和路由交百危息的完整性和保密性一IS-ISv6应支持明文认证和MD5认证,应实现坚于链路、Level1和level2域的认证一BGP-4+应支持协议报文MD5认证,应通过使用TCPMD5签名选项来保护BGP会话。对于MPLS,用于建立LSP的标记分配协议主要有RSVP-TE和LDP/CR-LDP两种。- LDP/CR-LDP
发现交换过程使用的消息由UDP协议承载对于基本Hello消息,边缘路由器应只接受与可信LSR直接相连的接口.上的坚本Hello消息,忽略地址不是到该子网组播组的所有路由器的基本Hello消息;对于扩展Hello消息,可利用访尚列表控制只接受充许的源发送来的扩展Hello消息。I.DP会话过程使用的消息由TCP协议承载,应通过TCPMD5签名选项对会话消息进行真实性和完整性认证。- RSVP-TE
应通过加密的散列算法支持实体的认证,从而实现逐跳的认证机制:应支持HMAC-MD5算法和IMAC-SHA1算法。
6.2.2用户数据保护
6.2.2.1路由认证
路用认证往往使用加密欺列算法,在提供数据源认证的同时,也世提供数据完整性认证,路由认证功能参见6.2.1.3节。
6.2.3系统功能保护
安全数据应得到妥善的保护。
6.2.4资源分配
6.2.4.1抗常见网络击
6.2.4.1.1URPF
URPF是通过在转发表中查找收到分组的源IP地址和接口,只转发源P地址在P路由表中存在的分组的一种技术,这种技术可以缓解基丁IP地均:哄骗的网络攻击,边缘路由器应支持URPF功能。6.2.4.2关闭一些IP服务
6.2.4.2.1ICMPv6协议
JCMPv6用于网络操作和排障,边缘路白器需要实现ICMPv6协议的-些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:一Type=1目的地不n达;
一 Type = 2 分组过大
~Type=3超时;
一 Type =4 参数错误;
一 Type = 128 回显请求;
Typc = 129 回显应答。
6.2.4.2.2其他服务
对小下列TCP和1UDP小端口服务,应缺省关闭这些服务,或者不提供这些服务:—Echo;
YYKANIKACa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。