YD/T 1629-2007
基本信息
标准号: YD/T 1629-2007
中文名称:具有路由功能的以太网交换机设备安全技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:604540
相关标签: 具有 路由 功能 以太网交换机 设备 安全 技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1629-2007.Technical Requirements for Ethernet Switching Derices Security with Routing Capability.
1范围
YD/T 1629规定了支持IPv4协议的具有路由功能的以太网交换机的安全技术要求。本标准主要从数据平面、控制平面和管理平面这三个平面对具有路由功能的以太网交换机应该具备的安全功能做了详细规定。
YD/T 1629适用于支持IPv4协议的具有路由功能的以太网交换机。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2 -2001
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YDT 1358-2005路由器设备安全技术要求一中低端路由器(基于Pv4)
3定义
下列定义适用于本标准。
●访问控制(Access control)
防止未经授权使用资源。
●授权(Authorization)
授予权限,包括根据访问权进行访问的权限。
●密钥管理(Key management)
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。
●安全审计(Security audit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、 探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。
●数字签名(Digital signature )
附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。
1范围
YD/T 1629规定了支持IPv4协议的具有路由功能的以太网交换机的安全技术要求。本标准主要从数据平面、控制平面和管理平面这三个平面对具有路由功能的以太网交换机应该具备的安全功能做了详细规定。
YD/T 1629适用于支持IPv4协议的具有路由功能的以太网交换机。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2 -2001
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YDT 1358-2005路由器设备安全技术要求一中低端路由器(基于Pv4)
3定义
下列定义适用于本标准。
●访问控制(Access control)
防止未经授权使用资源。
●授权(Authorization)
授予权限,包括根据访问权进行访问的权限。
●密钥管理(Key management)
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。
●安全审计(Security audit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、 探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。
●数字签名(Digital signature )
附在数据单元后面的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。
标准图片预览
标准内容
ICS 33.040 40
中华人民共和国通信行业标准
YD/T 1629-2007
具有路由功能的以太网交换机设备安全技术要求
Technical Requirements for Ethernet SwitchingDerices Security with Routing Capability2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前言
范围-
规范性引用文件
定义·
缩略语·
数据平面安全·
6.1:安全威胁
6.2 安全功能…..
7控制平面安全
7.1.安全威胁
7.2安全功能
8管理平面安全·
8.1、安全威胁·
8.2安全功能·
参考文献
HYYKADNYKAca
YD/T 1629-2007
YD/T 1629-2007
本标准是“以太网交换机设备”系列标准之一。本系列标雅预计的结构和名称如下:1.YD/T1099-2005以太网交换机技术要求(修订YD/T1099-2001千兆比以太网交换机设备技术规范)
2.YD/T1141-2005以太网交换机测试方法(修订YD/T1141-2001千兆比以太网交换机测试方法)3.YD/T1255-2003具有路由功能的以太网交换机技术要求4.YD/T1287-2003具有路由功能的以太网交换机测试方法5.YD/T1627-2007以太网交换机设备安全技术要求6.YD/T1628-2007以太网交换机设备安全测试方法7.YD/T1629-2007具有路由功能的以太网交换机设备安全技术要求8.:YD/T1630-2007其有路由功能的以太网交换机设备安全测试方法其中,YD/T1630-2007《具有路由功能的以太网交换机设备安全测试方法》是本标准的配套标准,本标准同时也是YD/T1255-2003《具有路由功能的以太网交换机技术要求》的配套标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中兴通讯股份有限公司华为技术有限公司
武汉邮电科学研究院
国家计算机网络应急技术处理协调中心信息产业部电信研究院
本标准主要起草人:陈建业罗鉴粱泳周开波[
1范围
YD/T 1629-2007
具有路由功能的以太网交换机设备安全技术要求本标准规定了支持IPv4协议的具有路由功能的以太网交换机的安全技术要求。本标准主要从数据平面、控制乎面和管理平面这三个平面对具有路由功能的以太网交换机应该具备的安全功能做了详细规定。本标准适用于支持Pv4协议的具有璐由功能的以太网交换机。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336.2-2001
YD/T1358-2005
3定义
下列定义适用于本标准。
信息技术安全技术信息技术安全性评估准划第2部分:安全功能要求路由器设备安全技术要求中低端路由器(基于Pv4)·访间控制(Access control)防止未经授权使用资源。
授权(Authorization)
授予权限,包括恨据访问权进行访问的权限。·密钥管理(Kcymanagememt)
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。·安全审计(Securityaudit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为:并介纲控制、策略和程序中所显示的任何变化。数字签名(Digitalsignature)附在数据单元后而的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的求源利完整性,保护数据不被伪造,并保证数据的不可否认性。·否认(Repudiation)
参与通信的实体否认参加了全部或部分的通信过程。*可用性(Availability)
根据需要,信息允许有权实体访问和使用的特性,·保密性(Confidentiality)
信息对非授权个人、实体或进程是不可知、不可市的特性。数据完整性(Dataintegrity)
YYKAONYKAca
YD/T 1629-2007
数据免遭非法更改或破坏的特性。·安全服务(Securityservice)由通信的系统提供的,对系统或数据传递提供充分的安余保障的种服务。·安全策略(Securitypolicy)提供安全服务的一套规则。
·安全机制(Securitymechanism)实现安全服务的过程。
拒绝服务(Denial of service)阻止授权访问资源或延迟时间敏感操作,●防重放(Anti-replay)
防止对数据的重放攻击。
信息洲露(Infomation disclosurc)指信息被泄露或透漏给非授权的个人或实体。完整性破坏(Integritycomprormise(damagc))数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。◆非法使用(Ⅱlegal use)
资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。4缩略语
下列缩略语适用于本标准。
CR-LDP
triple Data FEncryption StandardAccess Control List
Advanced Encryption StandardAddress Resolution Prutocol
Border Gateway Protocol
Border Gateway Protocol version 4Committed Access Rate
Cipher Block Chaining
Chalenge-HandshakeAuthenticaticon ProtocolCiass of Service
三重数据加密标准
访问控制列表
先进加密标准
地址解析协议
边界网关协议
边界网关协议版本4
承诺接人速率
密码块链
质询握手认证协议
业务类别
Constraint-based Routing Label Ditribution Protocol基于约束路由的标记分发协议Domain Name Service
Denial of Service
Digital Signature Stardard
Exterior Gateway Protocol
File Transfer Protocol
Hashed Message Authentication CadeHyperText Transport Protoco!域名服务
拒绝服务
数字签名标准
外部网关协议
件传输协议
散列消息认证码
超文本传输协议
RSVP-TE
SNMPvl
SNMPv2c
SNMPv3
Internet Control Messages ProtocalIntemational Data Encryption AlgorithmInterior Gateway Protocol
Internet Key Exchange
Internet Prctocol
P Flow Information Export
Internet Protocol Security
Intermediate System to Intermediate SystemLayer 2 Tunneling Protocol
L2TP Access Concentrator
Label Distribution Protocol
L2TP Network Server L2TP
Label Switched Path
Label Switch Router
Media Access Control
Message Digest version 5
Modular exPonentiation groupMulti-Protocol Label SwitchingNetwork Address Translation
Network Adcires: Port TranslationNetwork Time Protocol
Open Shortest Path First
Password Authentication ProtocolPerfect Forward Secreey
Routing Infonmation ProtocolRouting Information Protocol version 2Resource Reservation ProtocolRSVP Traffic Engineering
Rivest, Shanir and Adleman AlgorithmSecure Hash Algorithm
Secure Hash Algorithm 1
Simple Network Management ProtocolSNMP version I
SNMP version 2c
SNMP version 3
Secure Shell
Secure Shell version 1
HYYKABNYKAca
YD/T 1629-2007
因特网报文控制协议
国际数据加密算法
内部网关协议
因特网密钥交换
因特网协议
IP 流信息输出
因特网协议安全
中间系统到中间系统协议
二层隧道协议
L2TP接集中器
标记分发协议
网络服务器
标记交换路偿
标记交换路由器
媒介访问控制
消息摘要版本5
模求寡组
多协议标记交换
网络地址转换
网络地扯端口转换
网络时间协议
开放最短路径优先协议
令认证邮议
完美前向保密
路由信息协议
路由信息协议版本2
资源预留协
RSVP流量工程
RSA算法
安全散列算法
安全散列算法版本 1
简单网络管理协议
SNMP 版本 1
SNMP 版本 2c
SNMP版本 3
安全外壳
SSH版本 1
YD/T 1629-2007
5概述
Secure Shell version 2
Secure Socket Layer
Transmission Control PrutocolTrivial File Transfer ProtocolTranspart Layer Security
Type of Service
User Dalagram Protocol
Unicuse Reverse Path ForwardingVirtual Local Area Network
Virtual Private Network
VPN Routing and Forwarding
SSH版本2
安全套接层
传输控制协议
简单文件传输协议
传输层安全
服务类型
用户数据报协议
单播反向路径转发
虚拟局域网
虚拟专用网
VPN 路由和转发
其有路由功能的以太网交换机可放置在网络的各个层次,可作为接人用户的网络设备,作为汇聚业务的网络设备或作为网络的核心交换设备。具有路出功能的以太网交换机在逻辑上可以划分为三个功能平面:一主要指为用户访问和利用网络而提供的功能,如数据转发等;数据平面
控制平面一也可以称为信令平-面,主要包括路由协议、ICMP协议等与建立会话连接、控制转发路径等有关的功能;
管理乎面一一主要指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、口志等,支持FCAPS(Fault,Capacity,Administration,ProvisioningandSecurity)功能。管理平面消息的传送方式有带内和带外两种。
为了抵御网络攻击,具有路由功能的以太网交换机应提供一定的安全功能,如图1所示。本标推参考GB/T18336.2-2001《信息技术安全技术信息技不安全性评估推则第2部分:安全功能要求》中定义的安全功能并应用到具有路由功能的以太网交换机中,这些安全功能包括:各理平面
控制平面
转发平面
安全策勝
应用层
表示层
会培层
网路府
数据链路层
物理层
图1具有路由功能的以太网交换机设备安全框架战胁
既弱性
一鉴别和认证,确认用户的身份及其真实性:一用户数据保护,与保护用户数据相关的安全功能和安全策略:YD/T1629-2007
一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力:一资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务:一安金审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和对策;一安全管理,安全功能、数据和安余属性的管理能力;一可信信道/路径,具有路由功能的以太网交换机之间以及具有路由功能的以太网交换机同其他设备之间通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开:一系统访问,本安全功能要求控制用户会话的建立。硬件系统和操作系统是具有路由功能的以太网交换机本身的安全的重要因素,对硬件系统和操作系统的要求参见YLD>/T1358-2005《路由器设备安全技术要求——中低端路由器(基于IPv4)》附录A:6数据平面安全
6.1安全威胁bzxz.net
对数据平面的安全威胁主要有以下方面,但并不局限于这些方面:,对数据流的流量分析,从而获得敏感信息;·未授权观察、修改、插人、删除数据流;·拒绝服务攻击,降低设备的转发性能。6.2安全功能
6.2.1鉴别和认证
具有路由功能的以太网交换机需要对接人网络的数据源进行检查和确认(包括源MAC、源IP、源端口),保证报文来自可信合法的用户或设备。6.2.2用户数据保护
6.2.2.1IPSec功能
IPSec在IP层上提供数据保密性、数据源认证、数据完整性和抗重放等安全服务,由AH、ESP和TKE等协议组成。
具有路也功能的以太网交换机,可选支持IPSec协议,对IPSec的特性要求如下:净应支持手工密钥管理和IKE自动密钥管理;·应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,宜支持AH和ESP协议的嵌套封装;
*AH和ESP协议应支持HMAC-MD5-96和HMAC-SHAI-96认证算法,ESP协议应支持国家相关部门规定的加密算法以及DES-CBC、3DES-CBC和AES等加密算汰,应支持空加密算法和空认证算法,但二者不应间时使用。
对IKE的特性要求如下:
·第一阶段应支持主模式和野蛮模式;·第阶段应支持快速模式;
·应支持情报模式(NewGroupMode):·成文持预共亨密钥认证方式,宜实现RSA加密nonce验证和数字证书认证方式:HYYKABNYKAca
YD/T 1629-2007
·应支持HMAC-MD5-96和HMAC-SHA1-96认证算法,支持MD5和ISHA1散列算法,应支持国家相关部门规定的加密算法以及DES-CBC、3DES-CBC和AES等加密算法;·密钥交换应支持MODP-Groupl、MODp-Gtoup2 等Diffie-Hellman 组;·对于快速模式,支持PFS。
6.2.2.2802.3ad链路聚合功能
具有路由功能的以太网交换机应支持802.3ad链路聚合功能的,提供网络穴余以及高带宽的要求。IEEE802.3ad的链路聚合技术,可以将多个百兆或于兆位或万兆位以太网端口结合成一条干线,在多个端口之间进行负载平衡,同时完成链路失效保护。6.2.3系统功能保护
对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。6.2.4资源分配
常见的流量攻击是通过大量的某种流量实施的,对该种流革进行控制,限制其进人网络的容量,可以缓解这种攻击,具有路由功能的以太网交换机应在其端口上全双工支持02.3x,半双工可选支持背压流控。CAR,ACL 和 CoS。
具有路由功能的以太网交换机宜支持数据包标记功能(RFC2697,RFC2698),具有路由功能的以太网交换机可以完成对TOS/DISCP/COS的重新标记。具有路由功能的以太网交换机应支持每端口或每VLAN对MAC地址学习数目可限定的功能,避免单端口失效引起设备整体功能。6.2.5安全申计
对于用户流量,具有路由功能的以太网交换机宜提流量日志能力提供对异常用户流量的安全审计,相关的日志与告警要求参见8.2.4节的有关规定。6.2.6安全管理
要能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。
6.2.7可悟信道/路径
具有路由功能的以太网交换机间以及具有路由功能的以太网交换机同其他设备间通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开,能够提供可信的通信信道路径,对VPN功能的要求参见6.2.8.3节。6.2.8系统访问
6.2.8.1过滤功能
具有路由功能的以太网交换机可选支持RFC1858和RFC3128规定的IP分片包过滤以及RFC2827和RFC3704规定的Ingress包过滤器。具有路由功能的以太网交换机应支持广播风暴的抑止功能。具有路由功能的以太网交换机宜支持对未知组播和未知单播报文的抑止功能。6.2.8.2访问控制列表
访问控制列表是基于报文的内穿,如MAC地址、IP地址、协议和端口等,指定的安全规则表,具6
YD/T1629-2007
有路由功能的以太网交换机通过对每个进出交换机的报文进行规则匹配,确定对报文的处理动作:宜实现基于源MAC地址的访间控制列表。应支持基于源地址,日的地址、协议类型、源端口号、目的端口号的访问控制列表,宜支持基丁IP头部的ToS域的访间控制列表以及在指定时间有效的访间控制列表,可根据配置对指定的报文匹配情况进行统计和产生日志等。具有路由功能的以太网交换机宜支持不低于1000访问规则,性能不受ACL规则数影响。
6.2.8.3VPN功能
VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。具有路由功能的以太网交换机支持利用以下技术实现VPN:? VLAN
应支持通过VLAN技术实现VPN,应支持基于端口,宜支持基于MAC地址或基于协议的VLAN或基于子网的VLAN。
应支持同一VLAN内不同端口间的隔离功能。宜支持VLAN堆栈功能。
缺省情况下将所有端口都配置在系统缺省的VLAN中。*L2TP隧道(可选支持)
应支持通过L2TP隧道技术实现VPN,应支持LAC利ILNS功能,支持CHAP鉴别议。,IPSec隧道(可选支持)
可选支持通过IPSec隧道技术实现VPN,对PSec的要求见6.2.2.1节。·MPLS LSP(可选支持)
可选支持基于MPLLSP实现的MPLSPN,对MPLSPN的要求如下:1)不管是L2VPN还是L3VPN,数据应严格基于标签沿差LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进人到另-个VPN2)当同时支持VPN服务和因特网服务时,特别是在同一个物理接Ⅱ上通过不同的逻辑接口支持VPN服务和因特网服务时,可基于逻辑接口对接入速率进行限制。6.2.8.4 NAT
NAT的初裹是为了解决IP地址资源遗乏的问题,但 NAT可以实现内网和外网的隔离,内网可以正常地访问外网,同时可以隐藏内网的编址方案和网络结构,保证了内网的安全。对NAT功能的特性的要求如下:
●支持NAPT;
·宜支持HTTP、FTP、DNS、H.323等应旧协议;·宜支持输出 NAT 日志记录。
6.2.8.5防火墙功能
具有路由功能的以太网交换机宜支持防火墙功能,除包过滤、访问控制列表,NAT外,可选支持啦用代理功能,只允许被保护的网络访问允诈的网络应用状态检测不仅检查网络层和传输层信息,还检查应用层协议的信息,实时维护这些TCP或UDP的状态信息,使用这些状态信息,确定访问控制,具有由功能的以太网交换机可选支持基于状态检测的包YYKAONYKAca
YD/T1629-2007
过滤功能。
6.2.8.6端口镜像功能
具有路由功能的以太网交换机应支持报文镜像功能,包括一对一、多对,镜像。使用该功能,可以将交换机的流量拷贝以用于进行详细的分析。6.2.8.7基于 802.1x的访问控制具有路由功能的以太网交换机应支持基于802.1x的访问控制。802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。EEE802.1x可以实现动态的、基于端口的安全,提供用户身份验证功能。
具有路由功能的以太网交换机应支持基于用户MAC地址802.1x的认证,从面满足一个端口下多用户认证需求,可选支持交换机作为认证Server,提供对远端认证的备份。应支持交换机与RADIUS下发安全策略,802.1x认证条件下用户账号绑定IP、MAC、交换机端口等,真正提高MAC地址效率,极大减少网管工作量,极大强化端点推人安全。802.1x应支持CHAP,可选支持EAPMD5、EAP-TLS、PEAP和PAP。具有路由功能的以太网交换机可选支持TACACS+协议。6.2.8.8MAC地址绑定功能
具有路由功能的以太网交换机应支持MAC地址绑定功能,可以对端口、VLAN、IP地址、MAC地址进行静态绑定。具有路由功能的以太网交换机宜通过DHCPSNOOPING等手段提供自动绑定动态ARP条月的功能,提高MAC地址的绑定效率,减少网管的工作量。7控制平面安全
7.1安全威胁
对控制平面的安全威胁土要有以下几个方面,但并不局限于这些方面:·对协议流进行探测或者进行流量分析,从而获得转发路径信息:·获得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等;·利用协议流实施的拒绝服务攻击,如利用ICMP协议的Snurf攻击,利用路由协议的拒绝服务攻击,利用面向连接协议的半连接攻击等:·非法设备进行身份哄骗,建立路由协议的信任关系,非法获得转发路径信息;,针对路由协议转发路径信息的欺骗。7.2安全功能
7.2.1监别和认证
路由的安全是交换讯执行正常功能的重要基础,动态路由协议可以分为IGP利EGP两类,对于具有路由功能的以太网交换机,目前广泛采用的IGP有RIP、OSPF和IS-IS协议,EGP主要是BGP协议,具有路由功能的以太网交换机可选支持一种IGP,可选支持BGP协议。其中:RIPv2、OSPFv2应支持明文认证和 MD5认证;·IS-IS应支持明文认证和MD5认证;*BGP-4应支持MD5认证,
YD/T 1629-2007
对于MPILS(可选支持),用建立LSP的标记分配协议主要有LDP/CR-LDP利1RSVP-TE两种:- LDP/CR-LDF
发现交换过程使用的消息由UDP协议承载,对于基本Hella消息,其有路由功能的以太网交换机应只接受与可信LSR直接相连的接口上的基本Hello消息,忽略地址不是到该子网组播组的所有交换机的基本Hello消息;对于扩展Hello消息,可利用访问列表控制只接受允许的源发送来的扩展Hello消息。LDP会话过程使用的消息由TCP协议承载,应通过TCPMDS签名选项对会话消息进行真实性和完整性认证。
●RSVP-TE(可选支持)
应通过加密的散列算法支持实体的认证,从而实现逐跳的认证机制,应支持HMAC-MD5算法和HMAC-SHA1算法。
7.2.2用户数据保护
7.2.2.1采用最长前缀匹配路由查找方式具有路由功能的以太网交换机应采用最长前缀匹配路由查找方式。7.2.2.2路由认证
路由认证往往使用加密散列算法,在提供数据源认证的同时,也提供了数据完整性认证,路由认证功能参见7.2.1节。
:7.2.3资源分配
7.2.3.1抗常见网络攻击
7.2.3.t.1URPF
URPF是通过在转发表中查找收到分组的源P地址和接口,只转发源IP地址在P路由表中存在的分组的一种技术,这种技术可以缓解基于P地址哄骗的网络攻击,其有路由功能的以太网交换机宜支持URPF功能。
7.2.3.1.2禁止定向广播报文转发Smurf攻击是一种利用定向广播报文实施的DoS攻击,具有路由功能的以太网交换机宜在端口上禁止定向广播报文转发。
7.2.3.2可关闭一些IP服务
7.2.3.2.1ICMP协议【可选】
ICMP用于网络操作和排障,具有路由功能的以太网交换机需要实现ICMP协议的一些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:·Type= 0回显应答
·Type=3目的地不可达
? Type = 5重定向
●Typc=8回显请求
·Type= I1 超时
7.2.3.2.2代理 ARP
代理ARP是台主机(常常是交换机)代替另一台主机应答ARP请求,该土机负责将分组转发到最终月的地的一种技术,代理ARP能够帮助一个子网的主机不用配置路由或默认网关到达远端于网。具YYKAONYKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1629-2007
具有路由功能的以太网交换机设备安全技术要求
Technical Requirements for Ethernet SwitchingDerices Security with Routing Capability2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前言
范围-
规范性引用文件
定义·
缩略语·
数据平面安全·
6.1:安全威胁
6.2 安全功能…..
7控制平面安全
7.1.安全威胁
7.2安全功能
8管理平面安全·
8.1、安全威胁·
8.2安全功能·
参考文献
HYYKADNYKAca
YD/T 1629-2007
YD/T 1629-2007
本标准是“以太网交换机设备”系列标准之一。本系列标雅预计的结构和名称如下:1.YD/T1099-2005以太网交换机技术要求(修订YD/T1099-2001千兆比以太网交换机设备技术规范)
2.YD/T1141-2005以太网交换机测试方法(修订YD/T1141-2001千兆比以太网交换机测试方法)3.YD/T1255-2003具有路由功能的以太网交换机技术要求4.YD/T1287-2003具有路由功能的以太网交换机测试方法5.YD/T1627-2007以太网交换机设备安全技术要求6.YD/T1628-2007以太网交换机设备安全测试方法7.YD/T1629-2007具有路由功能的以太网交换机设备安全技术要求8.:YD/T1630-2007其有路由功能的以太网交换机设备安全测试方法其中,YD/T1630-2007《具有路由功能的以太网交换机设备安全测试方法》是本标准的配套标准,本标准同时也是YD/T1255-2003《具有路由功能的以太网交换机技术要求》的配套标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中兴通讯股份有限公司华为技术有限公司
武汉邮电科学研究院
国家计算机网络应急技术处理协调中心信息产业部电信研究院
本标准主要起草人:陈建业罗鉴粱泳周开波[
1范围
YD/T 1629-2007
具有路由功能的以太网交换机设备安全技术要求本标准规定了支持IPv4协议的具有路由功能的以太网交换机的安全技术要求。本标准主要从数据平面、控制乎面和管理平面这三个平面对具有路由功能的以太网交换机应该具备的安全功能做了详细规定。本标准适用于支持Pv4协议的具有璐由功能的以太网交换机。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336.2-2001
YD/T1358-2005
3定义
下列定义适用于本标准。
信息技术安全技术信息技术安全性评估准划第2部分:安全功能要求路由器设备安全技术要求中低端路由器(基于Pv4)·访间控制(Access control)防止未经授权使用资源。
授权(Authorization)
授予权限,包括恨据访问权进行访问的权限。·密钥管理(Kcymanagememt)
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。·安全审计(Securityaudit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为:并介纲控制、策略和程序中所显示的任何变化。数字签名(Digitalsignature)附在数据单元后而的数据或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的求源利完整性,保护数据不被伪造,并保证数据的不可否认性。·否认(Repudiation)
参与通信的实体否认参加了全部或部分的通信过程。*可用性(Availability)
根据需要,信息允许有权实体访问和使用的特性,·保密性(Confidentiality)
信息对非授权个人、实体或进程是不可知、不可市的特性。数据完整性(Dataintegrity)
YYKAONYKAca
YD/T 1629-2007
数据免遭非法更改或破坏的特性。·安全服务(Securityservice)由通信的系统提供的,对系统或数据传递提供充分的安余保障的种服务。·安全策略(Securitypolicy)提供安全服务的一套规则。
·安全机制(Securitymechanism)实现安全服务的过程。
拒绝服务(Denial of service)阻止授权访问资源或延迟时间敏感操作,●防重放(Anti-replay)
防止对数据的重放攻击。
信息洲露(Infomation disclosurc)指信息被泄露或透漏给非授权的个人或实体。完整性破坏(Integritycomprormise(damagc))数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。◆非法使用(Ⅱlegal use)
资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。4缩略语
下列缩略语适用于本标准。
CR-LDP
triple Data FEncryption StandardAccess Control List
Advanced Encryption StandardAddress Resolution Prutocol
Border Gateway Protocol
Border Gateway Protocol version 4Committed Access Rate
Cipher Block Chaining
Chalenge-HandshakeAuthenticaticon ProtocolCiass of Service
三重数据加密标准
访问控制列表
先进加密标准
地址解析协议
边界网关协议
边界网关协议版本4
承诺接人速率
密码块链
质询握手认证协议
业务类别
Constraint-based Routing Label Ditribution Protocol基于约束路由的标记分发协议Domain Name Service
Denial of Service
Digital Signature Stardard
Exterior Gateway Protocol
File Transfer Protocol
Hashed Message Authentication CadeHyperText Transport Protoco!域名服务
拒绝服务
数字签名标准
外部网关协议
件传输协议
散列消息认证码
超文本传输协议
RSVP-TE
SNMPvl
SNMPv2c
SNMPv3
Internet Control Messages ProtocalIntemational Data Encryption AlgorithmInterior Gateway Protocol
Internet Key Exchange
Internet Prctocol
P Flow Information Export
Internet Protocol Security
Intermediate System to Intermediate SystemLayer 2 Tunneling Protocol
L2TP Access Concentrator
Label Distribution Protocol
L2TP Network Server L2TP
Label Switched Path
Label Switch Router
Media Access Control
Message Digest version 5
Modular exPonentiation groupMulti-Protocol Label SwitchingNetwork Address Translation
Network Adcires: Port TranslationNetwork Time Protocol
Open Shortest Path First
Password Authentication ProtocolPerfect Forward Secreey
Routing Infonmation ProtocolRouting Information Protocol version 2Resource Reservation ProtocolRSVP Traffic Engineering
Rivest, Shanir and Adleman AlgorithmSecure Hash Algorithm
Secure Hash Algorithm 1
Simple Network Management ProtocolSNMP version I
SNMP version 2c
SNMP version 3
Secure Shell
Secure Shell version 1
HYYKABNYKAca
YD/T 1629-2007
因特网报文控制协议
国际数据加密算法
内部网关协议
因特网密钥交换
因特网协议
IP 流信息输出
因特网协议安全
中间系统到中间系统协议
二层隧道协议
L2TP接集中器
标记分发协议
网络服务器
标记交换路偿
标记交换路由器
媒介访问控制
消息摘要版本5
模求寡组
多协议标记交换
网络地址转换
网络地扯端口转换
网络时间协议
开放最短路径优先协议
令认证邮议
完美前向保密
路由信息协议
路由信息协议版本2
资源预留协
RSVP流量工程
RSA算法
安全散列算法
安全散列算法版本 1
简单网络管理协议
SNMP 版本 1
SNMP 版本 2c
SNMP版本 3
安全外壳
SSH版本 1
YD/T 1629-2007
5概述
Secure Shell version 2
Secure Socket Layer
Transmission Control PrutocolTrivial File Transfer ProtocolTranspart Layer Security
Type of Service
User Dalagram Protocol
Unicuse Reverse Path ForwardingVirtual Local Area Network
Virtual Private Network
VPN Routing and Forwarding
SSH版本2
安全套接层
传输控制协议
简单文件传输协议
传输层安全
服务类型
用户数据报协议
单播反向路径转发
虚拟局域网
虚拟专用网
VPN 路由和转发
其有路由功能的以太网交换机可放置在网络的各个层次,可作为接人用户的网络设备,作为汇聚业务的网络设备或作为网络的核心交换设备。具有路出功能的以太网交换机在逻辑上可以划分为三个功能平面:一主要指为用户访问和利用网络而提供的功能,如数据转发等;数据平面
控制平面一也可以称为信令平-面,主要包括路由协议、ICMP协议等与建立会话连接、控制转发路径等有关的功能;
管理乎面一一主要指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、口志等,支持FCAPS(Fault,Capacity,Administration,ProvisioningandSecurity)功能。管理平面消息的传送方式有带内和带外两种。
为了抵御网络攻击,具有路由功能的以太网交换机应提供一定的安全功能,如图1所示。本标推参考GB/T18336.2-2001《信息技术安全技术信息技不安全性评估推则第2部分:安全功能要求》中定义的安全功能并应用到具有路由功能的以太网交换机中,这些安全功能包括:各理平面
控制平面
转发平面
安全策勝
应用层
表示层
会培层
网路府
数据链路层
物理层
图1具有路由功能的以太网交换机设备安全框架战胁
既弱性
一鉴别和认证,确认用户的身份及其真实性:一用户数据保护,与保护用户数据相关的安全功能和安全策略:YD/T1629-2007
一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力:一资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务:一安金审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和对策;一安全管理,安全功能、数据和安余属性的管理能力;一可信信道/路径,具有路由功能的以太网交换机之间以及具有路由功能的以太网交换机同其他设备之间通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开:一系统访问,本安全功能要求控制用户会话的建立。硬件系统和操作系统是具有路由功能的以太网交换机本身的安全的重要因素,对硬件系统和操作系统的要求参见YLD>/T1358-2005《路由器设备安全技术要求——中低端路由器(基于IPv4)》附录A:6数据平面安全
6.1安全威胁bzxz.net
对数据平面的安全威胁主要有以下方面,但并不局限于这些方面:,对数据流的流量分析,从而获得敏感信息;·未授权观察、修改、插人、删除数据流;·拒绝服务攻击,降低设备的转发性能。6.2安全功能
6.2.1鉴别和认证
具有路由功能的以太网交换机需要对接人网络的数据源进行检查和确认(包括源MAC、源IP、源端口),保证报文来自可信合法的用户或设备。6.2.2用户数据保护
6.2.2.1IPSec功能
IPSec在IP层上提供数据保密性、数据源认证、数据完整性和抗重放等安全服务,由AH、ESP和TKE等协议组成。
具有路也功能的以太网交换机,可选支持IPSec协议,对IPSec的特性要求如下:净应支持手工密钥管理和IKE自动密钥管理;·应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,宜支持AH和ESP协议的嵌套封装;
*AH和ESP协议应支持HMAC-MD5-96和HMAC-SHAI-96认证算法,ESP协议应支持国家相关部门规定的加密算法以及DES-CBC、3DES-CBC和AES等加密算汰,应支持空加密算法和空认证算法,但二者不应间时使用。
对IKE的特性要求如下:
·第一阶段应支持主模式和野蛮模式;·第阶段应支持快速模式;
·应支持情报模式(NewGroupMode):·成文持预共亨密钥认证方式,宜实现RSA加密nonce验证和数字证书认证方式:HYYKABNYKAca
YD/T 1629-2007
·应支持HMAC-MD5-96和HMAC-SHA1-96认证算法,支持MD5和ISHA1散列算法,应支持国家相关部门规定的加密算法以及DES-CBC、3DES-CBC和AES等加密算法;·密钥交换应支持MODP-Groupl、MODp-Gtoup2 等Diffie-Hellman 组;·对于快速模式,支持PFS。
6.2.2.2802.3ad链路聚合功能
具有路由功能的以太网交换机应支持802.3ad链路聚合功能的,提供网络穴余以及高带宽的要求。IEEE802.3ad的链路聚合技术,可以将多个百兆或于兆位或万兆位以太网端口结合成一条干线,在多个端口之间进行负载平衡,同时完成链路失效保护。6.2.3系统功能保护
对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。6.2.4资源分配
常见的流量攻击是通过大量的某种流量实施的,对该种流革进行控制,限制其进人网络的容量,可以缓解这种攻击,具有路由功能的以太网交换机应在其端口上全双工支持02.3x,半双工可选支持背压流控。CAR,ACL 和 CoS。
具有路由功能的以太网交换机宜支持数据包标记功能(RFC2697,RFC2698),具有路由功能的以太网交换机可以完成对TOS/DISCP/COS的重新标记。具有路由功能的以太网交换机应支持每端口或每VLAN对MAC地址学习数目可限定的功能,避免单端口失效引起设备整体功能。6.2.5安全申计
对于用户流量,具有路由功能的以太网交换机宜提流量日志能力提供对异常用户流量的安全审计,相关的日志与告警要求参见8.2.4节的有关规定。6.2.6安全管理
要能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。
6.2.7可悟信道/路径
具有路由功能的以太网交换机间以及具有路由功能的以太网交换机同其他设备间通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开,能够提供可信的通信信道路径,对VPN功能的要求参见6.2.8.3节。6.2.8系统访问
6.2.8.1过滤功能
具有路由功能的以太网交换机可选支持RFC1858和RFC3128规定的IP分片包过滤以及RFC2827和RFC3704规定的Ingress包过滤器。具有路由功能的以太网交换机应支持广播风暴的抑止功能。具有路由功能的以太网交换机宜支持对未知组播和未知单播报文的抑止功能。6.2.8.2访问控制列表
访问控制列表是基于报文的内穿,如MAC地址、IP地址、协议和端口等,指定的安全规则表,具6
YD/T1629-2007
有路由功能的以太网交换机通过对每个进出交换机的报文进行规则匹配,确定对报文的处理动作:宜实现基于源MAC地址的访间控制列表。应支持基于源地址,日的地址、协议类型、源端口号、目的端口号的访问控制列表,宜支持基丁IP头部的ToS域的访间控制列表以及在指定时间有效的访间控制列表,可根据配置对指定的报文匹配情况进行统计和产生日志等。具有路由功能的以太网交换机宜支持不低于1000访问规则,性能不受ACL规则数影响。
6.2.8.3VPN功能
VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。具有路由功能的以太网交换机支持利用以下技术实现VPN:? VLAN
应支持通过VLAN技术实现VPN,应支持基于端口,宜支持基于MAC地址或基于协议的VLAN或基于子网的VLAN。
应支持同一VLAN内不同端口间的隔离功能。宜支持VLAN堆栈功能。
缺省情况下将所有端口都配置在系统缺省的VLAN中。*L2TP隧道(可选支持)
应支持通过L2TP隧道技术实现VPN,应支持LAC利ILNS功能,支持CHAP鉴别议。,IPSec隧道(可选支持)
可选支持通过IPSec隧道技术实现VPN,对PSec的要求见6.2.2.1节。·MPLS LSP(可选支持)
可选支持基于MPLLSP实现的MPLSPN,对MPLSPN的要求如下:1)不管是L2VPN还是L3VPN,数据应严格基于标签沿差LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进人到另-个VPN2)当同时支持VPN服务和因特网服务时,特别是在同一个物理接Ⅱ上通过不同的逻辑接口支持VPN服务和因特网服务时,可基于逻辑接口对接入速率进行限制。6.2.8.4 NAT
NAT的初裹是为了解决IP地址资源遗乏的问题,但 NAT可以实现内网和外网的隔离,内网可以正常地访问外网,同时可以隐藏内网的编址方案和网络结构,保证了内网的安全。对NAT功能的特性的要求如下:
●支持NAPT;
·宜支持HTTP、FTP、DNS、H.323等应旧协议;·宜支持输出 NAT 日志记录。
6.2.8.5防火墙功能
具有路由功能的以太网交换机宜支持防火墙功能,除包过滤、访问控制列表,NAT外,可选支持啦用代理功能,只允许被保护的网络访问允诈的网络应用状态检测不仅检查网络层和传输层信息,还检查应用层协议的信息,实时维护这些TCP或UDP的状态信息,使用这些状态信息,确定访问控制,具有由功能的以太网交换机可选支持基于状态检测的包YYKAONYKAca
YD/T1629-2007
过滤功能。
6.2.8.6端口镜像功能
具有路由功能的以太网交换机应支持报文镜像功能,包括一对一、多对,镜像。使用该功能,可以将交换机的流量拷贝以用于进行详细的分析。6.2.8.7基于 802.1x的访问控制具有路由功能的以太网交换机应支持基于802.1x的访问控制。802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。EEE802.1x可以实现动态的、基于端口的安全,提供用户身份验证功能。
具有路由功能的以太网交换机应支持基于用户MAC地址802.1x的认证,从面满足一个端口下多用户认证需求,可选支持交换机作为认证Server,提供对远端认证的备份。应支持交换机与RADIUS下发安全策略,802.1x认证条件下用户账号绑定IP、MAC、交换机端口等,真正提高MAC地址效率,极大减少网管工作量,极大强化端点推人安全。802.1x应支持CHAP,可选支持EAPMD5、EAP-TLS、PEAP和PAP。具有路由功能的以太网交换机可选支持TACACS+协议。6.2.8.8MAC地址绑定功能
具有路由功能的以太网交换机应支持MAC地址绑定功能,可以对端口、VLAN、IP地址、MAC地址进行静态绑定。具有路由功能的以太网交换机宜通过DHCPSNOOPING等手段提供自动绑定动态ARP条月的功能,提高MAC地址的绑定效率,减少网管的工作量。7控制平面安全
7.1安全威胁
对控制平面的安全威胁土要有以下几个方面,但并不局限于这些方面:·对协议流进行探测或者进行流量分析,从而获得转发路径信息:·获得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等;·利用协议流实施的拒绝服务攻击,如利用ICMP协议的Snurf攻击,利用路由协议的拒绝服务攻击,利用面向连接协议的半连接攻击等:·非法设备进行身份哄骗,建立路由协议的信任关系,非法获得转发路径信息;,针对路由协议转发路径信息的欺骗。7.2安全功能
7.2.1监别和认证
路由的安全是交换讯执行正常功能的重要基础,动态路由协议可以分为IGP利EGP两类,对于具有路由功能的以太网交换机,目前广泛采用的IGP有RIP、OSPF和IS-IS协议,EGP主要是BGP协议,具有路由功能的以太网交换机可选支持一种IGP,可选支持BGP协议。其中:RIPv2、OSPFv2应支持明文认证和 MD5认证;·IS-IS应支持明文认证和MD5认证;*BGP-4应支持MD5认证,
YD/T 1629-2007
对于MPILS(可选支持),用建立LSP的标记分配协议主要有LDP/CR-LDP利1RSVP-TE两种:- LDP/CR-LDF
发现交换过程使用的消息由UDP协议承载,对于基本Hella消息,其有路由功能的以太网交换机应只接受与可信LSR直接相连的接口上的基本Hello消息,忽略地址不是到该子网组播组的所有交换机的基本Hello消息;对于扩展Hello消息,可利用访问列表控制只接受允许的源发送来的扩展Hello消息。LDP会话过程使用的消息由TCP协议承载,应通过TCPMDS签名选项对会话消息进行真实性和完整性认证。
●RSVP-TE(可选支持)
应通过加密的散列算法支持实体的认证,从而实现逐跳的认证机制,应支持HMAC-MD5算法和HMAC-SHA1算法。
7.2.2用户数据保护
7.2.2.1采用最长前缀匹配路由查找方式具有路由功能的以太网交换机应采用最长前缀匹配路由查找方式。7.2.2.2路由认证
路由认证往往使用加密散列算法,在提供数据源认证的同时,也提供了数据完整性认证,路由认证功能参见7.2.1节。
:7.2.3资源分配
7.2.3.1抗常见网络攻击
7.2.3.t.1URPF
URPF是通过在转发表中查找收到分组的源P地址和接口,只转发源IP地址在P路由表中存在的分组的一种技术,这种技术可以缓解基于P地址哄骗的网络攻击,其有路由功能的以太网交换机宜支持URPF功能。
7.2.3.1.2禁止定向广播报文转发Smurf攻击是一种利用定向广播报文实施的DoS攻击,具有路由功能的以太网交换机宜在端口上禁止定向广播报文转发。
7.2.3.2可关闭一些IP服务
7.2.3.2.1ICMP协议【可选】
ICMP用于网络操作和排障,具有路由功能的以太网交换机需要实现ICMP协议的一些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:·Type= 0回显应答
·Type=3目的地不可达
? Type = 5重定向
●Typc=8回显请求
·Type= I1 超时
7.2.3.2.2代理 ARP
代理ARP是台主机(常常是交换机)代替另一台主机应答ARP请求,该土机负责将分组转发到最终月的地的一种技术,代理ARP能够帮助一个子网的主机不用配置路由或默认网关到达远端于网。具YYKAONYKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。