1、 YU中华人民共和国通信行业标准YD/T 1359-2005路由器设备安全技术要求高端路由器(基于I Pv4)Security requirements of high-end router2005-06-21发布2005-11-01实施中华人民共和国信息产业部发布丫D/T1359-2005目次前言。1范围.12规范性引用文件.13术语和定义.14符号和缩略语.25概述6数据转发平面安全.56.1安全威胁,6.2安全功能,7控制平面安全.107.1安全威胁.107.2安全功能.108管理平面安全.148.1安全威胁.148.2安全功能.14附录A(资料性附录)单播逆向路径转发.一19附录B(资
2、料性附录)路由验证.21附录C(资料性附录)硬件和操作系统.22附录D(资料性附录)安全日志的严重等级定义.23参考文献.24丫DT 1359-2005月明吕本标准是“支持IPA的路由器”系列标准之一,本系列的结构和标准名称预计如下:1. YD/I 1096-2001路由器设备技术规范-一低端路由器;2. YD/T 1098-2001路由器测试规范一刁氏端路由器;3. YD/T 1097-2001路由器设备技术规范高端路由器;4. YD/I 1156-2001路由器测试规范高端路由器;5.路由器设备安全技术要求中低端路由器(基于IPv4 );6.中低端路由器安全测试方法;7.路由器设备安全技术
3、要求一-高端路由器(基于IPv4 );8.高端路由器安全测试方法。随着技术发展,将制定后续标准。本标准与高端路由器安全测试方法配套使用。本标准的附录A、附录B、附录C和附录D均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:华为技术有限公司中兴通讯股份有限公司国家计算机网络与信息安全管理中心中国电信集团公司本标准主要起草人:孟宪民许志军苗福友冯伟黄元飞史凡YD/T 1359-2005高端路由器安全技术要求范围本标准规定了支持IPv4协议的单播应用的高端路由器设备的安全技术要求,包括数据转发、管理和控制3个平面的标识和验证等8个安全功能要求。本标准适用于支持IPv4协议的单播
4、应用的高端路由器设备,实现路由器的路由和转发功能的高端防火墙设备,以及位于核心网络的边缘充当PE设备,实现VPN的接人和控制的高端路由器也可以参考使用本标准。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的弓!用文件,其最新版本适用于本标准。GB/T 18336-2001信息技术安全性评估准则YD/T 1097-2001YD/T 1156-2001路由器设备技术规范高端路由器路由器测试规范.高端路由器3术语和
5、定义下列术语和定义适用于本标准。3.1访问控制Access Control防止未经授权使用资源。3.2授权Authorization授予权限,包括根据访问权进行访问的权限。3.3密钥管理Key Management根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.4安全审计Security Audit对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3.5数字签名Digital SignatureYD/T 1359-2005附在数据单元后面的数据或对数据单元进行密码
6、变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。3.6否认Repudiation参与通信的实体否认参与了全部或部分通信过程。3.7可用性Availability根据需要,信息允许有权实体访问和使用的特性。3.8保密性Confidentiality信息对非授权个人、实体、或进程是不可知、不可用的特性。3.9数据完整性Data Integrity数据免遭非法更改或破坏的特性。3.10安全服务Security Service由通信的系统提供的,对系统或数据传递提供充分的安全保障的一种服务。3.11安全策略Security Policy提供安全服务的一
7、套规则。3.12安全机制Security Mechanism实现安全服务的过程。3.13拒绝服务Denial of Service阻止授权访问资源或延迟时间敏感操作。3.14防重放Anti-Replay防止对数据的重放攻击。3.15信息泄露Information Disclosure指信息被泄漏或透露给非授权的个人或实体。3.16完整性破坏Integrity Compromise(damage)数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。4符号和缩略语下列符号和缩略语适用于本标准。YD/r 1359-20053DESACLAESAH户aMBGPCARCBCCPUCR-
8、LDPDESDHDNSDoSEAPEGPESPF】BFTPHMACH1-1FICMPIGPIIEIPIPSecIS-ISLDPLSPLSRMACMD5M田MPLSMTUNAPTTriple DES三重数据加密标准Ac,ess Control List访问控制列表Advanced Encryption Standard高级加密标准Authrntiration Header验iE报文头协议Asynchronous Transfer Mode异步转移模式Border Gateway Protocol边界网关协议C-mmitted Access Rate承诺接人速率Cipher Block Chain
9、码块链加密模式Central Processing Unit中央处理器Constraint-based Routing LDP基于约束路由的LDP协议Data Encryption Standard数据加密标准Deffie Heiiman DH交换Domain Name System域名系统Denial of Service拒绝服务Fxter-ible Authentication Protocol可扩展验证协议Exterior Gateway Protocol外部网关协议Encapsulation Secure Payload封装安全净荷协议Forwarding Information B*
10、转发信息库File Tmmfar Protocol文件传输协议Hashed Message Authentication Code散列消息验证码Hyper Text Transfer Protocol超文本传输协议Internet Control Message Protocol互联网控制报文协议Interior Gateway Protocol内部网关协议Internet Key Exchange互联网密钥交换协议Internet Protocol互联网协议IP Security IP安全机制Intermediate System to Intermediate System Protoco
11、l中间系统到中间系统协议Label Distribution Protocol标记分发协议I aMi Switch Path标记交换路径Label Switch Router标记交换路由器Media Access Control媒介访问控制Message Digest 5报文摘要5Management Information Base管理信息库Multi-Protocol Label Switch多协议标记交换Marimnm Trancmiccion Unit最大传输单元Network Address Port Tran-i-+ion网络地址端口翻译丫D/T 1359-2005NATNTPOS
12、PFPERIPRSVP-TESHATSLASNMPSSHTCPTOSTTLUDPURPFUSMVACMVPNVRFNetwork Address TranslationNetwork Time ProtocolOpen Shortest Path FirstProvider EdgeRoute Information ProtocolRSVP Traffic Engineering ExtensionSecure Hash Algorithm 1Service Level AgreementSimple Network Management ProtocolSecure ShellTransm
13、ission Control ProtocolType Of ServiceTime To LiveUser Datagram ProtocolUnicast Reverse Path ForwardUser-based Security ModelView-based Access Control ModelVirtual Private NetworkVPN Routing and Forwarding网络地址翻译网络时间协议开放最短路径优先协议供应商边缘设备路由信息协议RSVP流量工程扩展安全散列算法1服务水平协议简单网络管理协议安全外壳程序协议传输控制协议服务类型存活时间用户数据报协议
14、单播反向路径转发基于用户的安全模型基于视图的访问控制模型虚拟专用网络VPN路由转发表5概述路由器通过转发数据报文来实现网络的互联,一般支持TCP/IP协议。高端路由器一般位于网络的核心,承担网络骨千段上数据的转发,具有较高的转发性能和较强的路由能力。高端路由器在网络中处于重要位置,容易受到来自网络和其他方面的威胁。这些安全威胁可以利用设备的脆弱性对设备造成一定的损害。设备被攻击后,网络的性能和正常运行受到很大的影响。因此,高端路由器本身应具备很强的抗攻击能力。此外,网络上传输的大量报文要通过路由器转发(尤其是高端路由器在VPN中作为PE设备以及为企业网提供防火墙功能时),因此高端路由器要为网络
15、提供一定的安全服务,包括为企业的内部网络和公共网络提供安全服务。高端路由器主要的功能是承担数据转发。为了完成这个功能,必须通过信令协议获得网络拓扑等信息。此外,高端路由器也要为管理员和网络管理系统提供管理接口,方便系统的管理和维护。所以本标准将路由器的功能划分为数据转发平面、控制平面和管理平面。一数据转发平面,转发来自网络和用户的数据流量;一控制平面,主要是路由协议等控制功能;一管理平面,为网络管理提供接口。为了抵御来自网络和用户的攻击,高端路由器必须提供一定的安全功能。本标准引用GB/T18336-2001中定义的安全功能并应用到高端路由器,这些安全功能包括: YD汀1359-2005一标识
16、和验证,识别并确认用户的身份,验证身份的真实性;一用户数据保护,保护用户数据的完整性、可用性和保密性;一系统功能保护,对实现系统关键功能包括安全功能所需要的数据(如用户身份和口令)的保护,确保相关数据的完整性、可用性和保密性;一资源分配,控制用户对资源的访问,不允许用户过量占用资源,避免因为非法占用资源造成系统对合法业务拒绝服务;一安全审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和制定安全对策;一安全管理,安全功能、数据和安全属性的管理能力;一可信信道璐径,高端路由器之间以及高端路由器同其他设备间通信的信道璐径要求可信,对于安全数据的通信要同其他通信隔离开来;一系统访问,管理
17、和控制用户会话的建立。路由器安全框架如图1所示。图1路由器安全框架为了保证高端路由器及其转发数据的安全,需要为高端路由器制定安全策略,作为指导安全功能实施的纲领。并在实施过程中,将安全策略映射到数据转发平面、控制平面和管理平面中的安全功能和实现技术。硬件系统和操作系统的安全性是高端路由器安全性的重要因素,对硬件系统和操作系统的安全要求可以参考附录Co6数据转发平面安全6.1安全威胁数据转发平面负责处理进人设备的流量,因此基于流量的攻击会给路由器的转发带来影响,例如,大流量攻击会造成设备不能正常处理合法流量,而崎形的报文可能会占用设备大量的处理时间,非授权用户可能使用网络资源,造成设备的可用性降
18、低,甚至崩溃。未授权观察、修改、插人、删除报文,对数据流的流量分析,都会使报文和数据流的保密性和完整YDIT 1359-2005性受到影响。因此,数据转发平面存在的安全威胁主要有以下方面,但并不局限于这些方面:一对数据流进行流量分析,从而获得用户流量相关信息;一未授权观察、修改、插人、删除用户流量;一利用用户流量实施拒绝服务攻击。6.2安全功能数据转发平面要提供如下安全功能。6.2.1标识和验证高端路由器提供用户访问控制能力,通过标识和验证功能决定用户的身份,并通过授权系统向每个用户分配相应的访问权限,相关能力要求参见YDfr 1097-2001路由器设备技术规范高端路由器瓦6.2.2用户数据
19、保护用户数据保护功能实现对用户数据的完整性、可用性和保密性保护。完整性、可用性和保密性一般可以通过验证技术和加密技术获得,如IPSec,也可以通过隔离用户流量,不允许一个用户访问另外的用户数据来实现。通过VPN能够实现将属于不同管理域的用户进行隔离,能够防止一个管理域的用户访问另外一个管理域的数据,也是用户数据保护的一种重要机制。6.2.2.1 IPSecIPSec在IP层为III报文提供安全保证,IPSec提供了机密性、数据源验证、数据完整性、防重放等安全服务。利用IPSec,可以提供完善的安全保护能力。IPSec是一个EP安全体系,由IPSec框架、AH和ESP安全协议以及HCE密钥管理协
20、议组成。对于在转发平面支持IPSec的高端路由器可同时支持AH, ESP两种协议,应支持隧道和传输两种封装模式。AH协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MD5-96验证算法。ESP协议应支持HMAC-SHA I-96验证算法,可支持HMAC-MD5-96验证算法。应支持空加密算法、3DES-CBC加密算法,可支持DES-CBC, AES-CBC和国家规定的标准分组加密算法。高端路由器应支持IKE的下列特性:一支持安全联盟的手工管理和IKE自动管理,手工管理安全联盟时,可支持以十六进制配置算法所需密钥,应支持任意长度字符串形式配置密钥;一支持预共享密钥验证,可支持数字证书
21、验证和RSA加密Nonce验证;一应支持3DES加密算法,应支持SHAT完整性验证算法,可支持MD5完整性验证算法,同时还可支持DES, AES加密算法和国内的分组加密算法;一在IKE的DH交换中应支持MODP-Groupl, MODP-Group2;一阶段2交换中应支持完美前向保护特性;一阶段1应支持主模式和野蛮模式,阶段2应支持快速模式,还应支持信息交换(InformationalExchange);一高端路由器可支持NAT穿越;一在IKE阶段1中应该能指定发起模式; YD厅1359-2005一在IKE阶段2协商中应支持ID- IPV4 ADDRESS和ID- IPV4ee SUBNET身
22、份载荷。6.2.3系统功能保护对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和验证。6.2.4资源分配用户能够占用的网络资源数量和方式对网络的可用性有很大的影响,所以高端路由器必须要提供资源分配能力,包括抗大流量攻击能力、抗畸形包处理能力和流量控制能力等。访问控制列表和流量控制能够有效限制非法的用户资源访问。6.2.4.1常见网络攻击抵抗能力针对已知的各种攻击,高端路由器设备应能够进行处理,并且不影响路由器正常的数据转发。当高端路由器检测到攻击发生,应该生成告警。下面几种常见的攻击,高端路由器应也能够处理。6.2.4.1.1抗大流f攻击能力路由器设备在网络中运行
23、时,经常会遇到某些大流量攻击,这些攻击主要包括两种形式:一种大流量属于路过流量,该路过流量远远超过了正常业务流量,占用路由器大量的资源;另外一种大流量更具有危害性,这些流量的目的地址就是路由器设备本身,通常会导致路由器设备无法处理这样庞大的流量,导致整个路由器设备陷于瘫痪或者崩溃,进一步导致网络路由震荡,用户业务受到影响。对于第一种情况,高端路由器设备应能够处理路由器的端口宜线速转发流量。如不能进行线速转发时,可按一定的比率丢弃报文,但是应确保路由器的控制报文(如BGP, OSPF, IS-IS和RIP报文等)和管理报文(如Telnet和SNMP等)正常发送和接收。对于第二种情况,路由器应能够
24、处理这些异常攻击流量,采取丢弃报文策略,同时生成告警日志。路由器在这种情况应保证继续为用户提供服务,不能出现崩溃现象。同时路由器还应完成正常的路由协议和管理报文的正常发送和接收处理。6.2.4.1.2抗崎形包处理由于网络环境的复杂性以及恶意攻击、用户好奇和病毒等,也可能由于传输线路本身被干扰和程序处理错误等原因,会导致网络上出现各种各样的错误报文和畸形报文。这些报文如果不能妥善处理,往往会造成路由器设备瘫痪、崩溃,失去服务能力。路由器设备不断发生崩溃恢复的过程可能导致整个网络处于不稳定状态,所有高端路由器设备应能够具有良好的畸形报文处理能力:一高端路由器应能够检测超短2长报文并采取丢弃策略,同
25、时对这种报文进行统计;一高端路由器设备应能够检测到链路层错误报文并采取丢弃策略,同时要求进行日志记录和统计;一高端路由器设备应能够检测网络层报文错误并采取丢弃策略,同时必须进行错误报文统计;一高端路由器设备对各种路由器必须处理的上层协议报文错误应能够检测出来并采取丢弃策略,同时进行统计;一高端路由器设备不能由于错误报文2畸形报文而崩溃;一高端路由器设备本身不应发出错误报文/畸形报文。6.2.4.1.3定向广播报文攻击防范Smurf攻击是一种利用定向广播报文的分布式DoS攻击方法,如果设备不能提供适当的防护措施,往往会造成设备崩溃。高端路由器对于定向广播报文应能够提供策略控制,禁止该类报文转发或
26、者以广播形式转发,对于分布式DoS攻击,高端路由器应能够提供简单策略阻止这种分布式DOS攻击向其他YDIT 1359-2005设备扩散,以免造成对其他设备的冲击(其他设备指这些流量攻击报文将要达到的设备)o6.2.4.1.4 IP地址哄编防范网络中通常会有大量的源地址哄骗攻击。为了检测这种攻击,可应用单播逆向路径转发(URPF)技术限制这类报文在网络中出现。高端路由应支持URPF功能,包括URPF应该在路由器的接口起作用。关于URPF的具体技术参考附录Ao6.2.4.2流f控制高端路由器转发大量的网络流量,其中一些流量的目标可能是攻击网络上其他设备,高端路由器应提供流量控制能力,为网络提供安全
27、保护服务。对流量控制需要通过访问控制列表的方式实现,关于访问控制列表的具体要求参考6.2.8.1节,本标准要求在启动大量访问控制列表情况下不能影响高端路由器的线速转发能力。6.2.4.2.,流.监管流量监管也就是通常所说的CAR,是流分类之后的动作之一。通过CAR可以限制从网络边沿进人的各类业务的最大流量,控制网络整体资源的使用,从而保证网络整体的可靠运行。针对可能被攻击的流都应制定服务水平协议(SLA),如限制ICMI,协议或者HTTP的流量在合理的范围。SLA中包含每种业务流的流量参数:承诺速率、峰值速率、承诺突发流量和峰值突发流量,对超出SLA约定的流量报文可指定给予通过、丢弃或降级等处
28、理。此处降级是指提高丢弃的可能性(标记为丢弃优先级降低),降级报文在网络拥塞时将被优先丢弃,从而保证在SLA约定范围内的报文享受到SLA预定的服务。6.2.4.2.2智能流f控制技术为了防止黑客流量攻击,特别是分布式攻击,高端路由器设备可实现智能流量控制技术。对于由给定的起始地址和结束地址所构成的一个地址段,通过对到达地址段中所有地址的总数据流平均速率和总突发长度的配置,以及对到地址段中单个IP地址即单个数据流的平均速率及突发长度的配置。根据分类结果进行单个IP地址的处理,可针对每一个流或某些流进行测量,不满足约定的报文将被丢弃;然后针对整个IP地址段内的流进行测量,不满足约定的报文将被丢弃。
29、6.2.5安全审计对于用户流量,高端路由器要求能够提供流量日志能力,相关要求参考7.2.5节有关安全日志、流采样和用户流统计方面的规定。6.2.6安全管理要能够提供对本节提出的安全功能和数据管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口冻统等方式。6.2.7可信倍道2路径高端路由器之间以及高端路由器同其他设备间通信的信道璐径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。VPN能够将VPN内用户数据同VPN外部或其他VPN内的数据隔离开来,能够提供可信的通信信道2路径,参考6.2.8.3节。6.2.8系统访问参考标识和验证安全功能。6.2.8.,访问控制列表 YD
30、lT 1359-2005访问控制列表(ACL)用于提供静态报文过滤功能。所谓静态,是指按照预先设定的一系列规则对进人的报文进行匹配,并对报文执行预先设定的动作。建议实现基于源MAC地址的访问控制列表,降低系统的无谓开销。ACL在定义上应分为两级,第一级称为规则组,第二级称为规则。使用时以规则组为单位,每个规则组由一系列规则组成,规则和规则组共同完成对某类报文的访问控制功能。ACL规则组应支持使用数字或者字符串作为标识,以便于使用。ACL规则组可支拮设定内部规则在查找时的匹面沙顶序,至少实现按照配置顺序查找。ACL规则是对报文进行分类的实际依据。ACL规则中定义源地址、目的地址、协议类型、源端口
31、号、目的端口号等元素,同时指定匹配时应执行的动作:允许或者禁止。ACL规则还宜提供选项,支持对ICMP报文过滤;支持对报文优先级过滤;支持仅在指定的时间段对报文过滤,支持对报文匹配情况统计计数和记人日志等。在高端路由器中,每端口宜支持lk项或每接口板宜支持4k以上的ACL规则,而不使性能明显下降。6.2.8.2网络地匀日端口翻译NAT可以解决1P地址资源缺乏问题,通过NAT可以实现内网和外网的隔离,同时内网可以正常的访问外网。高端路由器产品可支持NAT功能,同时对于不同的网络位置要求在启动NAT后不能大幅降低网络性能,对于处于骨干网的高端路由器,NAT功能宜支持150k或以上的并发连接数,以保
32、证启用NAT后用户可以正常的访问因特网。NAT宜支持如下功能:一支持网络地址翻译和网络地址/端口翻译;一支持混合编址方式,对于来自私网侧的非私网地址的报文直接进行转发;一支持黑名单,对于黑名单中的地址不进行地址转换和转发;一支持对不同级别用户并发连接数的限制;一支持下列应用网关协议:FTP, DNS, H.323等;一支持输出NAT日志。6.2.8.3 VPN利用公共网络构建的专用网络称为虚拟专用网络(VPN),用于构建VPN的网络包括因特网、帧中继、ATM等。在公共网络上组建的VPN提供的安全性、可靠性和可管理性等就像企业私有网络一样。VPN技术通过隧道将VPN内的数据同公网上的数据隔离,公
33、网上的数据无法进人组成VPN的场所,因此就限制了公网用户攻击VPN内的设备和业务。高端路由器设备应能够根据设备处于网络不同位置,支持相应的VPN技术和特性,对于基于MPLS实现的VPN:一不管是L2 VPN还是L3 VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应进人到另一个VPN;一当支持VPN服务和因特网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和因特网服务时,可基于逻辑接口对接人速率进行限制。丫D/T1359-20057控制平面安全7.,安全减胁控制平面主要收集和处理网络的路由信息,也包括其他方面的控制功能。控制平面主要是由路由切议构成,路由
34、协议信息的真实性对设备和网络的正常工作有非常大的影响。对控制平面的安全威胁主要有以下方面,但并不局限于这些方面:一对协议流进行探测或者进行流量分析,从而获得转发路径信息;一获得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等;一利用协议流实施的拒绝服务攻击,如利用】CMP协议的Smurf攻击,利用路由协议、MPLS标签分配协议的拒绝服务攻击,利用面向连接协议的半连接攻击等;一非法设备进行身份哄骗,建立路由协议、MPLS标签分配协议等的实体信任关系,非法获得转发路径信息;一针对路由协议、MPLS标签分配协议等的转发路径信息的欺骗。
35、7.2安全功能7.2.1标识和验证控制平面的信息应验证数据源的身份,只有其来源于验证通过的数据才被接受,路由协议应提供这个功能。7.2.1.1 PPP用户验证PPP作为数据链路层协议,其验证阶段应选用CHAP协议,而不能选用明文口令的PAP协议,以避免用户口令被侦听。7.2.1.2路由脸证路由器通过路由协议传递路由信息,如果某些恶意攻击者向网络发送不正确或者不一致的路由刷新,而设备无法证实这些路由刷新报文的真实性,设备有可能接受伪造的路由,从而导致网络瘫痪。因此,路由协议应支持路由验证功能,以保证路由是由合法的路由器发出的,并且在发出过程中没有被改变。运行任何一个不支持路由验证的路由协议,都存
36、在着巨大的安全隐患。路由验证就是运行在不同设备的相同的动态路由协议之间、对相互传递的路由刷新报文进行的验证。路由验证使得设备能够接受真实而安全的路由刷新报文。验证应该在信任关系建立阶段开始。高端路由器应能够提供至少两种支持基于MD5验证的路由协议:-OSPF应支持MD5加密验证;一-IS-IS应支持MD5加密验证;-BGP应支持MD5加密验证。详细内容参考附录Bo对于MPLS,用于建立LSP的标签分配协议主要有RSVP-TE和LDP/CR-LDP两种:(1)LDP/CR-LDP发现交换过程使用的消息由UDP协议承载。对于基本Hello消息,高端路由器应只接受与可信LSR直接相连的接口上的基本H
37、ello消息,忽略地址不是到该子网组播组的所有路由器的基本Hello消息的地址; YD/r 1359-2005对于扩展Hello消息,可利用访问列表控制只接受允许的源发送来的扩展Hello消息。LDP会话过程使用的消息由TCP协议承载,应通过TCP MD5签名选项对会话消息进行真实性和完整性验证。(2) RSVP-TE应通过加密散列函数支持邻居验证,从而实现逐跳验证机制,应支持HMAC-MD5算法,建议实现HMAC-SHAT算法。7.2.2用户数据保护对于控制平面的信息,应能够防止恶意用户篡改,因此对控制数据要提供完整性保护,路由协议应支持对路由信息的完整性验证,如路由协议本身的验证机制。此外
38、,也可以采用通用安全协议来保护控制信息,如用IPSec为BGP协议提供保密性和完整性保护。7.2.3系统功能保护安全数据应得到妥善的保护。7.2.4资源分配高端路由器中控制信息数量相对于用户数据要少,但是高端路由器要具有能够拒绝明显的利用控制信息过量耗用资源的能力,如策略路由和路由过滤能力。此外,一些攻击利用控制协议及其实现技术上的安全缺陷,对高端路由器发起攻击,造成通信和设备故障。高端路由器要具备抵御此类攻击的能力,包括能够关闭一些不常用但是容易被攻击者利用的IP服务。控制平面的资源分配安全可同时参考6.2.4.1节。7.2.4.1关闭IP功能服务1P提供丰富的功能服务,但由于设计之初没有考
39、虑其安全性,许多服务也成为了攻击的手段,比如有一种攻击就是利用UDP的端口7 (Ehco )和端口19(Chargen)。而这些服务中有很多是已经不再使用的或很少使用的,有些是针对主机的,在路由器上根本没有使用。对于路由器产品,如果提供了这些服务,应能提供手段来关闭这些功能和服务。7.2.4.1.1 ICMP协议的功能开关ICMP协议允许网络设备(包括主机和路由器)向其他设备发送错误发生指示或控制报文,而很多常见的网络攻击也是利用了ICMP协议的某些功能。(1)已经过时或作废的协议类型设备无需实现,如果设备实现了该协议类型,应提供关闭功能,已经过时或作废的ICMP协议类型包括:-Type= 1
40、5, Code=O,信息请求;-Type=16, Code-0,信息应答;-Type= 5, Code,对网络的重定向;-Type= 3, Code=g,源主机被隔离。(2)不需要实现的】CMP协议类型-Type-4,源站抑制。网络设备(如路由器)有其他拥塞和流量控制的机制,一般不应该产生源站抑制差错报文。由于源站抑制要消耗网络带宽,且对于拥塞来说是一种无效而不公平的调整。-Type=13,时间戳请求。设备的时钟同步由NIP机制保证。-Type=14,时间戳应答。YD厅1359-2005-Type= 17,地址掩码请求。-Type-18,地址掩码应答。(3)需要实现的ICMP协议和代码类型对于
41、需要实现的ICM叫办议和代码类型,需要考虑安全隐患,设备要有能力关闭这些功能。这些功能包括:-Type = 0,回显应答(Ping应答)。设备应提供关闭回显应答报文的功能,以及只允许对指定主机的Ping应答,以防止利用Ping等手段对设备的攻击。-Type=8,请求回显(Ping请求)。-Type=5, Code-I,对主机的重定向。设备向主机发送改变路由请求,让具有默认路由的主机逐渐建立更完善的路由表。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,千扰主机正常的IP报文转发。因此,设备应能关闭ICMP重定向报文的转发。-Type=3, Code=1,主机不可达。-Type习,Code=3,端口不可达。-Type=3, Code=4,需要进行分片但设置了不分片标志。当中间路由器收到一份需要分片的报文,但在报文首部又设置了不分片位(DF),中间路由器将报文丢弃并发送一个ICMP不可达差错报文,在报文中携带下一跳的MM值。这样源端程序可以判断到达目的端的路
