1、 1 U中华人民共和国通信行业标准丫D午1358-2005路由器设备安全技术要求中低端路由器(基于IPv4)Security requirements of medium-end and low-end router2005-06-21发布2005-11-01实施中华人民共和国信息产业部发布YD/T1358-2005目次前言1范围.12规范性引用文件.13术语和定义.14符号和缩略语.35概述6数据转发平面安全6.1安全威胁.66.2安全功能7控制平面安全.87.1安全威胁.87.2安全功能.88管理平面安全n8.1安全威胁.118.2安全功能,n附录A(资料性附录)硬件系统和操作系统的安全要
2、求.14参考文献.巧丫DM 358-2005前言本标准是“支持IPv4的路由器”系列标准之一,本系列的结构和标准名称预计如下:1. YD/T 1096-2001路由器设备技术规范州氏端路由器;2. YD/T 1098-2001路由器测试规范一一刁氏端路由器;3. YD/T 1097-2001路由器设备技术规范高端路由器;4. YDIT 1156-2001路由器测试规范高端路由器;5.路由器设备安全技术要求中低端路由器(基于IPv4 );6.中低端路由器安全测试方法;7.路由器设备安全技术要求高端路由器(基于IPA);8.高端路由器安全测试方法。随着技术发展,将制定后续标准。本标准与中低端路由器
3、安全测试方法配套使用。本标准的附录A为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:中兴通讯股份有限公司华为技术有限公司国家计算机网络与信息安全管理中心中国电信集团公司本标准主要起草人:苗福友冯伟孟宪民许志军黄元飞史凡YD/t1358-2005路由器设备安全技术要求中低端路由器(基于!Pv4范围本标准规定了支持IPv4协议的单播应用的中低端路由器设备的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。本标准适用于支持IPv4协议的单播应用的中低端路由器设备,不适用于支持IPv4协议的组播应用的中低端路由器设备。2规范性引用文件下列文件中的条款通过本标准的引用
4、而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修汀版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336-2001信息技术安全性评估准则YD/T 1096-2001路由器设备技术规范一一低端路由器YD/T 1098-2001路由器测试规范一一刁氏端路由器3术语和定义下列术语和定义适用于本标准。3.1访问控制Access Control防止未经授权使用资源。3.2授权Authorization授予权限,包括根据访问权进行访问的权限。3.3密钥管理Key Man
5、agement根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.4安全审计Security Audit对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3.5数字签名Digital Signature YDlr1358-2005附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。3.6否认Repudiation参与通信的实体否认参加了全部或部分的通信过程。3.7可用性Avail
6、ability根据需要,信息允许有权实体访问和使用的特性。3.8保密性Confidentiality信息对非授权个人、实体或进程是不可知、不可用的特性。3.9数据完整性Data Integrity数据免遭非法更改或破坏的特性。3.10安全服务Security Service由通信系统提供的,对系统或数据传递提供充分安全保障的一种服务。3.11安全策略Security Policy提供安全服务的一套规则。3.12安全机制Security Mechanism实现安全服务的过程。3.13拒绝服务Denial of Service阻止授权访问资源或延迟时间敏感操作。3.14防重放Anti-Replay
7、防止对数据的重放攻击。3.15信息泄露Information Disclosure指信息被泄漏或透露给非授权的个人或实体。3.16完整性破坏Integrity Compromise(damage)数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。3.17非法使用Illegal UseYD/T1358-2005资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。4符号和缩略语下列符号和缩略语适用于标准。3DES Triple Data Encryption StandardACL Access Control ListAES Advanced Encryption
8、 StandardARP Address Resolution ProtocolASIC Application-Specific Integrated CircuitBGP Border Gateway ProtocolBGP4 Border Gateway Protocol version 4CAR Committed Access RateCBC Cipher Block ChainingCHAP Challenge-Handshake Authentication ProtocolCoS Class of ServiceCPU Central Processing UnitCR-LDP
9、 Constraint-based Routing Label Ditribution ProtocolDNS Domain Name ServiceDoS Denial of ServiceDSS Digital Signature StandardEGP Exterior Gateway ProtocolFFP File Transfer ProtocolHMAC Hashed Message Authentication CodeHTTP Hyper Text Transport ProtocolICMP Internet Control Messages ProtocolIDEA In
10、ternational Data Encryption AlgorithmIGP Interior Gateway ProtocolIKE Internet Key ExchangeIP Internet ProtocolIPSec Internet Protocol SecurityIS-IS Intermediate System to Intermediate System ProtocolL2TP Layer 2 Tunneling ProtocolLAC L2TP Access ConcentratorLDP Label Distribution ProtocolLNS L2TP N
11、etwork ServerLSP Label Switched PathLSR Label Switch RouterMAC Media Access Control三重数据加密标准访问控制列表先进加密标准地址解析协议专用集成电路边界网关协议边界网关协议版本4承诺接人速率密码块链质询握手认证协议业务类别中央处理器基于约束路由的标记分发协议域名服务拒绝服务数字签名标准外部网关协议文件传输协议散列消息认证码超文本传输协议因特网报文控制协议国际数据加密算法内部网关协议因特网密钥交换因特网协议因特网协议安全中间系统到中间系统协议二层隧道协议L2TP接人集中器标记分发协议L2TP网络服务器标记交换路径标
12、记交换路由器媒介访问控制3丫D1T1358-2005MDSMODPMPLSNATNAPTNTPOAM&POSPFPAPPFSRIPRIPv2RSVPRSVP-TEPPPRSASHASHA-1SNMPSNMPvlSNMPv2cSNMPv3SSHSSHvISSHv2SSLTCP通下IFnsToSUDPURPFUSMVLANVPNVRFMessage Digest version 5消息摘要版本5Modular Exponentiation Group模求幂组Multi-Protocol Label Switching多协议标记交换Network Address Translation网络地址转换N
13、etwork Address Port Tr.1-tion网络地址端口转换Network Time Protocol网络时间协议御eration, Administration, Maintenance and Provisioning操作、管理、维护和配置Open Shortest Path First开放最短路径优先协议Password Authentication Protocol口令认证协议Perfect Forward Secrecy完美前向保密Routing Information Protocol路由信息协议Routing Information Protocol version
14、 2路由信息协议版本2Resource Reservation Protocol资源预留协议Extension to RSVP for LSP Tunnels用于LSP隧道的RSVP扩展Point-to-Point Protocol点到点协议Rivest, Shamir and Adleman Algorithm RSA算法Secure Hash Algorithm安全散列算法Secure Hash Algorithm 1安全散列算法版本1Simple Network Management Protocol简单网络管理协议SNMP version 1 SNMP版本1SNMP version 2
15、c SNMP版本2cSNMP version 3 SNMP版本3Secure Shell安全外壳Secure Shell version 1 SSH版本1Secure Shell version 2 SSH版本2Secure Socket Layer安全套接层Transmission Control Protocol传输控制协议Trivial File Transfer Protocol简单文件传输协议Transport Layer Security传输层安全Type of Service服务类型User Datagram Protocol用户数据报协议Unicase Reverse Path
16、 Forwarding单播反向路径转发User-based Security Model基于用户的安全模型Virtual Local Area Network虚拟局域网Virtual Private Network虚拟专用网VPN Routing and Forwarding VPN路由和转发丫D/f1358-20055概述中低端路由器通常位于网络边缘,用作接人边缘网路由器,对中低端路由器的定义和使用范围参见YD/1 1096-2001路由器设备技术规范一刊氏端路由器。中低端路由器处于网络边缘,往往是专用网络和骨干网络的接人点,所以它是网络攻击【从专用网络攻击外部网络(包括骨干网络和其他专用网
17、络)或者利用外部网络攻击专用网络的必经之路,在接人网络解决安全问题是整个网络安全体系的重要组成部分。路由器功能在逻辑上可以划分为数据转发平面、控制平面和管理平面3个功能平面。(1)数据转发平面主要指为用户访问和利用网络而提供的功能,如数据转发等。(2)控制平面也可以称为信令平面,主要包括路由协议、ICMP协议等,以及与建立会话连接、控制转发路径等有关的功能。(3)管理平面主要指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支持FLAPS( Fault, Capacity, Administration, Provisioning and Security)功能。管理平面
18、消息的传送方式有带内和带外两种。为了防范不安全事件的发生,中低端路由器应提供一定的安全功能。本标准引用GB/T 18336-2001中定义的安全功能类并应用到中低端路由器,这些安全功能类包括:一鉴别和认证,确认用户的身份及其真实性;一用户数据保护,保护用户数据相关的安全功能和安全策略;一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力;一资源分配,对用户使用的资源进行控制,不允许用户过量占用资源造成的拒绝服务;一安全审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和对策;一安全管理,安全功能、数据和安全属性的管理能力;一可信信道/路径,中低端路由器之
19、间以及中低端路由器同其他设备之间通信的信旬路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来;一系统访问,本安全功能类要求控制用户会话的建立。一路由器安全框架如图1所示。YDrr1358-2005图1路由器安全框架硬件系统和操作系统是中低端路由器本身安全的重要因素,对硬件系统和操作系统的要求参见附录Ao6数据转发平面安全6.1安全威胁对数据转发平面的安全威胁主要有以下方面,但并不局限于这些方面:一对数据流的流量分析,从而获得敏感信息;一-未授权观察、修改、插人和删除数据流;一-拒绝服务攻击,降低设备的转发性能。6.2安全功能6.2.1鉴别和认证中低端路由器位于网络边缘,需要对接
20、人网络的数据源进行检查和确认,保证报文来自可信冶法的用户或设备。6.2.2用户数据保护6.2.2.1 (PSec功能IPSec在IP层上提供数据保密性、数据源认证、数据完整性和抗重放等安全服务,由AH, ESP和IKE等协议组成。中低端路由器支持1PSec协议,对IPSec的特性要求如下:一应支持手工密钥管理和IKE自动密钥管理;一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,建议支持AH和ESP协议的嵌套封装;-AH和ESP协议应支持HMAC-MD5-%和HMAC-SHA 1-96认证算法,ESP协议应支持国家相关部门规定的加密算法,以及DES-CBC, 3DES-C
21、BC和AES等加密算法,应支持空加密算法和空认证算法,但两者不应同时使用。6YD厅l358-2005对WE的特性要求如下:一-第一阶段应支持主模式和野蛮模式;一第二阶段应支持快速模式;一应支持情报模式;一应支持预共享密钥认证方式,建议实现RSA加密Nonce验证和数字证书认证方式;一应支持HMAC-MD5-%和HMAC-SHAI-%认证算法,支持MD5和SHA 1散列算法,应支持国家相关部门规定的加密算法,以及DES-CBC, 3DES-CBC和AES等加密算法;一密钥交换应支持MODP-Groupl, MODP-Grou解等Diffie-Hellman组;一对于快速模式,支持PFSo6.2.
22、3系统功能保护对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。6.2.4资源分配6.2.4.1流f控制常见的流量攻击是通过大量的某种流量实施的。对该种流量进行控制,限制其进人网络的容量,可以缓解这种攻击。中低端路由器应在其端口上支持采用CAR策略,结合ACL和CoS,控制某种类型的流量使用网络资源。6.2.5安全审计对于用户流量,中低端路由器要求能够提供流量日志能力,相关要求参见8.2.5节有关规定。6.2.6安全管理能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。6.2.7可倍信it/路径中低
23、端路由器之间以及中低端路由器同其他设备间通信的信道2路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。VPN能够将VPN内的用户数据同VPN外部或其他VPN的数据隔离开来,能够提供可信的通信信道璐径,对VPN功能的要求参见6.2.8.3节。6.2.8系统访问6.2.8.1过滤功能应支持RFC 1858和RFC 3128规定的IP分片包过滤,以及RFC 2827和RFC 3704规定的包过滤器。6.2.8.2访问控制列表访问控制列表是基于报文的内容,如MAC地址、IP地址、协议和端口等,指定的安全规则表对每个进出路由器的报文通过与这些规则匹配,确定对其处理的动作。建议实现基于源
24、MAC地址的访问控制列表,降低系统的无谓开销。应支持基于源地址、目的地址、协议类型、源端口号、目的端口号的访问控制列表,建议支持基于IP头部的TOS域的访问控制列表,以及在指定时间有效的访问控制列表,应支持对报文匹配情况进行统计和产生日志等。中低端路由器应支持同时配置200(项以上的访问控制列表规则,而不使性能明显下降。6.2.8.3 VPN功能YD1T1358-2005VPN利用公共网络资源,建立虚拟专用网络,利用VPN可以实现不同专用网络用户流量的隔离。中低端路由器支持利用以下技术实现VPN.(1)L2TP隧道应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS功能,支持CHAP鉴别
25、协议。(2)IPSec隧道宜支持通过IPSec隧道技术实现VPN,对IPSec的要求见6.2.2.1节。(3)MPLS LSP可基于MPLS LSP实现MPLS VPN,对MRS VPN的要求如下:一不管是L2 VPN还是L3 VPN,数据应严格基于标签沿着LSP转发。除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进人到另一个VPN.一当同时支持VPN服务和因特网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和因特网服务时,可基于逻辑接口对接人速率进行限制。6.2.8.4 NATNAT的初衷是为了解决IP地址资源厦乏,但NAT可以实现内网和外网的隔离
26、,内网可以正常地访问外网,同时可以隐藏内网的编址方案和网络结构,保证了内网的安全。中低端路由器应支持NAT功能,对NAT的功能特性要求如下:一应支持NAPT;一应支持HTTP, FPP, DNS, H.323等应用协议;一应支持5001以上的并发连接数;一支持输出NAT日志记录。6.2.8.5防火培功能中低端路由器宜支持防火墙功能,除包过滤、访问控制列表、NAT外,可支持应用代理功能,只允许被保护的网络访问允许的网络应用。状态检测不仅检查网络层和传输层的信息,还检查应用层协议的信息,实时维护这些TCP或UDP的状态信息。使用这些状态信息确定访问控制,中低端路由器可支持基于状态检测的包过滤功能。
27、7控制平面安全7.1安全威胁控制平面的安全威胁主要有以下几个方面,但并不局限于这些方面:一对协议流进行探测或者进行流量分析,从而获得转发路径信息。一获得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等。一利用协议流实施的拒绝服务攻击,如利用ICMP协议的Smud攻击;利用路由协议的拒绝服务攻击;利用面向连接协议的半连接攻击等。一非法设备进行身份哄骗,建立路由协议的信任关系,非法获得转发路径信息。一库十对路由协议转发路径信息的欺骗。7.2安全功能7.2.1鉴别和认证8YDfr1358-20057.2.1.1 PPP用户认证PPP作
28、为数据链路层协议,本身并不具备完善的安全能力。其认证阶段应选用CHAP协议,而不能选用明文口令的PAP协议,以避免用户口令被侦听。7.2.1.2路由认证路由安全是路由器执行正常功能的重要基础。动态路由协议可以分为IGP和EGP两类。对于中低端路由器,目前广泛采用的IGP有OSPF和IS-IS协议,EGP主要是BGP协议。其中:-RIPv2, OSPFv2应支持明文认证和MD5加密认证;一S-IS应支持明文认证和MD5加密认证;-BGPA应支持MD5加密认证。对于MPLS,用于建立LSP的标记分配协议主要有RSVP-TE和LDP/CR-IAP两种:-LDP/CR-LDP发现交换过程使用的消息由U
29、DP协议承载。对于基本Hello消息,中低端路由器应只接受与可信LSR直接相连的接口上的基本Hello消息,忽略地址不是到该子网组播组的所有路由器的基本Hello消息;对于扩展Hell。消息,可利用访问列表控制只接受允许的源发送来的扩展Hello消息。LDP会话过程使用的消息由TCP协议承载,应通过TCP MD5签名选项对会话消息进行真实性和完整性认证。-RSVP-TE应通过加密的散列算法支持实体认证,从而实现逐跳认证机制,应支持HMAC-MD5算法和HMAC-SHAT算法。7.2.2用户数据保护7.2.2.1路由认证路由认证往往使用加密散列算法,在提供数据源认证的同时,也提供了数据完整性认证
30、,路由认证功能参见7.2.1.2节。7.2.3系统功能保护安全数据应得到妥善保护。7.2.4资源分配7.2.4.1抗常见网络攻击7.2.4.1.1 URPFURPF是通过在转发表中查找收到分组的源IP地址和接口,只转发源IP地址在IP路由表中存在分组的一种技术,这种技术可以缓解基于IP地址哄骗的网络攻击。中低端路由器应支持URPF叻能。7.2.4.1.2禁止定向广播报文转发Smurf攻击是一种利用定向广播报文实施的DoS攻击,中低端路由器应在端口禁止定向广播报文转发。7.2.4.2关闭一些IP服务7.2.4.2.1 ICMP协议ICMP用于网络操作和排除故障,中低端路由器需要实现ICMP协议的
31、一些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:-Type = 0回显应答;-Type = 3目的地不可达;YD/r1358-2005-Type = 5重定向;-Type = 8回显请求;-Type=11超时。7.2.4.2.2代理ARP代理ARP是一台主机(常常是路由器)代替另一台主机应答ARP请求。该主机负责将分组转发到最终目的地的一种技术,代理ARP能够帮助一个子网的主机不用配置路由或默认网关到达远端子网。中低端路由器如果支持该功能,应具有关闭代理ARP的能力。7.2.4.2.3 IP源路由选项1P源路由选项取消了报文传输路径中各个设备的中间转发过程,而不管转发接口的
32、工作状态,可能被恶意攻击者利用,刺探网络结构。中低端路由器如果支持该功能,应提供关闭IP源路由选项功能。7.2.4.2.4其他服务对于下列TCP和UDP小端口服务,应缺省关闭这些服务,或者不提供这些服务:一;cho;一毛by召en;-Finger;-NTP.7.2.4.3 MPLS VPN可实现MPIS VPN使用的路由器资源(如CPU、内存等)的相互隔离,防止因一个VPN独占资源而造成对其他VPN的DoS攻击。7.2.5安全审计对控制平面的信息要提供日志记录功能,特别是对设备的路由表等重要数据以及有影响的控制数据。关于日志可以参考8.2.5节。7.2.6安全管理7.2.6.,口令管理中低端路
33、由器涉及的口令长度应不少于8个字符,并且应由数字、字符或特殊符号组成。中低端路由器可提供检查机制,保证每个口令至少是由前述3类符号中的两类组成。7.2.7可信信道/路径中低端路由器之间以及中低端路由器同其他设备之间的控制信息通信的信道/路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。7.2.8系统访问7.2.8.,路由过滤路由过滤可以控制路由协议对路由信息的发布和接受,可以只发布某些指定的路由,也可以只接收符合某些条件的路由。这样可以在满足需要的前提下减少路由器的资源消耗,达到更好的性能,避免路由攻击。在接收和发布路由信息时,应支持按IP地址、自治系统路径以及团体属性进行过
34、滤。7.2.8.2 MPLS VPN7.2.8.2.1 1卫VPNYD/T1358-2005-VPN之间MAC地址和VLAN信息应相互隔离,VPN之间或VPN和MPLS骨干之间应可以复用MAC地址空间和VLAN空间。一除非需要,VPN之间或VPN和MPLS骨干之间的交换信息应相互隔离。7.2.8.2.2 L3 VPN常用的L3 VPN技术是BGP/MPLS VPNo BGP/MPLS VPN实质上是通过BGP协议约束路由信息分配的MPLS,对13 VPN要求如下:一应支持静态路由算法和动态路由算法。对于动态路由算法,建议具有在接口上过滤路由更新的能力,IGP和EGP路由协议都应支持MD5加密认
35、证,并可基于VRF实例限制路由更新的速度。-VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有因特网地址范围,包括RFC1918定义的私有地址范围,VPN之间或VPN和MPLS骨干之间应可以复用IP地址空间。一应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之间的路由信息及其分发和处理应相互独立,互不干扰。7.2.8.3防火墙功能防火墙功能参见6.2.8.5节。8管理平面安全8.1安全威胁对管理平面的安全威胁主要有以下方面,但并不局限于这些方面:一对数据流进行流量分析,从而获得设备有关的系统配置信息;一未授权观察、修改、插人、删除数据流;一未授权地
36、访问管理接口,控制整个设备;一利用管理信息流实施拒绝服务攻击。8.2安全功能8.2.1鉴别和认证对设备的管理用户都需要鉴别和认证。鉴别和认证是系统访问的基础,对有关SNMP管理、Web管理、远程登录管理中用户认证的要求参见8.2.8节。8.2.2用户数据保护对于中低端路由器,一般使用以下远程管理方式:(1)SNMP应支持SNMPv3,支持USM等安全机制。(2)远程登录建议支持SSHvI和SSHv2,通过认证算法和加密算法实现对管理用户数据的保密性和完整性保护。(3)Web管理可通过支持SSI/fls安全协议,实现对管理用户数据的完整性保护。有关这3种远程管理方式的详细要求参见8.2.8.1,
37、 8.2.8.4, 8.2.8.5等节。8.2.3系统功能保护与管理相关的安全数据应得到妥善保护。8.2.4资源分配11YD/T1358-2005管理数据是系统运行的重要数据,系统要保证管理系统获得足够的运行资源,但是不能因此显著地影响控制平面和数据转发平面的正常工作。此外,通过管理平面提供的设备补丁下载功能应该得到严格的管理,不应该被用来对设备资源实施恶意占用。8.2.5安全审计日志应记录过滤规则、拒绝访问、配置修改等相关安全事件,告替记录发生的安全违章事件,并可以一定的方式提示管理员。审计可对记录的安全事件进行回顾和检查,分析和报告安全信息,管理员基于该信息了解安全策略的执行情况,并据此进
38、行修改。安全日志、安全告奢等安全记录往往是安全审计的素材。对日志的要求:一每个安全日志条目应包含事件主体、发生时间和事件描述等;一应可以保存在本地系统的缓存区内,也可以发送到专用的日志主机上作进一步处理;一应可以实时打印在专用打印机或连接路由器的显示终端上,以备最坏的情况下使用(如日志主机因安全危害而不能使用);一应定义日志的严重程度级别,并能够根据严重程度级别过滤输出;一应支持和日志主机之间的接口。对告警的要求:一应定义告警的严重程度级别,并根据严重程度级别确定是否以一定的方式(如声光显示)提示管理员;一应支持告警输出到打印机或显示终端,可根据严重程度级别输出到不同的显示终端;一告警应保存在
39、本地或通过网络存储到其他主机。8.2.6安全管理8.2.6.1口令管理口令管理要求参见7.2.6.1节。8.2.7可信信道璐径8.2.7.1带外管理由于带内管理面临潜在的安全问题,中低端路由器可通过如独立的管理端口、VPN虚接口等方式支持专用管理网络,将管理通信流和其他通信流隔离。中低端路由器可提供关闭带内接口的能力,以实现只通过专用管理网络管理设备。8.2.8系统访问8.2.8.1 SNMP的安全性SNMP是一种应用非常广泛的网络管理协议,主要用于设备的监控和配置的更改等。目前使用的SNMP协议有3个版本,分别是SNMPvl, SNMPv2c和SNMPv3。中低端路由器应支持安全性较好的SN
40、MPv3作为网管协议。此外,建议中低端路由器实现对网管站的访问控制,限定用户通过哪些1P地址使用SNMP对设备进行访问。8.2.8.2 Telnet访问 Telnet协议用于通过网络对设备进行远程登录。建议满足下列约定:一用户应提供用户名/口令才能进行后续操作,一-应限制同时访问的用户数;YDrT1358-2005在中低端路由器中,如果对用户提供Telnet服务,则用户地址和操作应记人日志;一在设定的时间内不进行交互,用户应自动被注销;一可限定用户通过哪些IP地址使用Telnet服务对设备进行访问;一必要时可关闭Telnet服务;8.2.8.3串口访问中低端路由器如果支持串口访问功能,应提供同
41、8.2.8.2节相同的安全保护能力。8.2.8.4 SSH访问SSH是在不安全的网络上为远程登录会话和其他网络服务提供安全性的一种协议,对SSH服务的要求如下:一应支持SSHvl和SSHv2两个版本;一用户应通过身份认证才能进行后续的操作,用户地址和操作记人日志,中低端路由器应支持口令认证,建议支持公钥认证,可实现基于主机认证。-SSH服务器宜采用认证超时机制,在超时范围内没有通过认证应断开连接,建议限制客户端在一个会话上认证尝试的次数。-SSHv2应支持用于会话的加密密钥和认证密钥的动态管理,支持Diffie-Hellman组14的密钥交换,在密钥交换过程中协商密钥交换算法、对称加密算法和认
42、证算法等,并对服务器端进行主机认证。一应支持HMAC-SHA 1认证算法,建议支持HMAC-SHAI-%认证算法,可实现HMAC-MD5,HMAC-MD5-%等认证算法;一应支持3DES-CBC对称加密算法,可实现Blowfish-CBC, IDEA-CBC, CAST128-CBC,AES256-CBC, AES128-CBC等对称加密算法;一-对于非对称加密算法,应支持SSH-DSS,建议实现SSH-RSA;一可限定用户通过哪些IP地址使用SSH服务对设备进行访问;一应支持必要时关闭SSH服务。8.2.8.5 Web管理Web管理基于HTTP协议,中低端路由器宜支持Web管理,建议满足下列约定:一用户应提供用户名/口令才能进行后续的操作
