1、ICS 3304030M 32中华人民 共禾口Y国通信行业标准、Dn 2042-2009IPv6网络设备安全技术要求具有路由功能的以太网交换机IPv6 network equipment security requirementsEthemet switch with routing capability2009-12-11发布 2010-01-01实施中华人民共和国工业和信息化部发布目 次前言IIl范围00 OQ Wtll12规范性引用文件13术语、定义和缩略语231术语和定义232缩略语34概述45数据平面安全551安全威胁552安全功能66控制平面安全861安全威胁862安全功能87管理
2、平面安全1171安全威胁1l72安全功能1l前 言本标准是“IPv6网络设备安全”系列标准之一,该系列标准预计的结构及名称如下:1YDT 1905-2009 IPv6网络设备安全技术要求宽带网络接入服务器2YDT 2041-2009 IPv6网络设备安全测试方法一宽带网络接入服务器3YDT2042-2009 IPv6网络设备安全技术要求具有路由功能的以太网交换机4YDT2043-2009 IPv6网络设备安全测试方法一具有路由功能的以太网交换机本标准由中国通信标准化协会提曲并归口。本标准起草单位t工业和信息化部电信研究院。本标准主要起草人:马军锋、赵世卓。IPv6网络设备安全技术要求具有路由功
3、能的以太网交换机1范围本标准规定了具有坤v6路由功能的以太网交换机安全技术的基本要求,包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求,以及鉴别验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道,路径和系统访问等8个安全功能需求。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT
4、183362 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求YDFr 1358-2005 路由器设备安全技术要求中低端路由器(基于my4)IETFRFCll95(1990) 在TCPIP和双栈环境下使用OSIISIS路由协议IETF砌;c1352(1992) SNMP安全协议IETFRFC2385(1998) 通过TCPMD5签名选项保护BGP会话IETF RFC2407(1998) 基于ISAKMP的INTERNET IP安全域IETF RFC2408(1998) INTERNET安全协商和关键管理协议IETF RFC2409(1998) 互联网密钥交换协议(IKEvl)IET
5、F RI=c2740(1999) IPv6下的OSPF协议IETFRFC2827(2000) 网络入口过滤:抵御利用口源地址欺骗的拒绝服务攻击IETFRFC3567(2003) ISIS协议加密认证IETF RFC3682(2004) 通用rrL安全机制IETF砌3882(2004) 配置BGP阻止拒绝服务攻击IETF RFC3971(2005) 安全邻居发现IETF RFC珥291(2006) IP地址框架mTF砌;c4301(2005) 互联网协议安全框架IETF RFc4302(2005) IP认证头协议IETF RFC4303(2005) m安全载荷封装IETFRFC4306(2005
6、) 互联网密钥交换协议IETF RFC4552(2006) OSPFv3认证,机密性YD广r 2042-20093术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311具有IPv6路由功能的以太网交换机ethernet LAN swRch with IPv6 routing capability具有第三层路由功能的口v6数据包交换机。除实现数据帧转发功能外,能根据接收数据包中的网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。路由表可以通过静态配置方式维护,也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其
7、他类似设备(如路由器)交换路由信息来完成路由表的动态维护。如果文中没有特别说明,那么交换机就特指此类具有路由功能的以太网交换机。312访问控制aCCeSS control防止对资源的未授权使用。313可确认性accountability确保一个实体的行为能够被独一无=地跟踪。314授权authorization授予权限。包括允许基于访问权的访问。3,5可用性availability根据授权实体的请求可被访问与使用。316保密性confidentiality这一性质使信息不泄露给非授权的个人、实体或进程,不为其所用。317数据完整性data integrity这一性质表明数据没有遭受以非授权方式
8、所作的篡改或破坏。318服务拒绝denial of service阻止对资源的授权访问或拖延时限操作。319数字签名digital signature附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。31102YD丌2042-2009加密encryption对数据进行密码变换以产生密文。3111基于身份的安全策略identity-based security policy这种安全策略的基础是用户或用户群的身份或属性,或者是代表用户进行活动的实体以及被访问的资源或客体的身
9、份或属性。3112密钥key控制加密与解密操作的一序列符号。3113基于规则的安全策略 rule-based secunty policy这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。3114安全审计security audit为了测试出系统的控制是否足够。保证与已建立的策略和操作堆积相符合。或者是发现安全中的漏洞,以及为了建议在控制、策略和堆积中作任何指定的改变,而对系统记录与活动进行的独立观察和考核。3115安全策略security policy提供安全服务的一套准则。(见“基于身份的安全策略”与“
10、基于规则的安全策略”)3116安全服务security service由参与通信的开放系统层所提供的服务32缩略语下列缩略语适用于本标准。3DES Triple DESAESAHBGPDADDoSESPFCAPSHMACICMP它确保该系统或数据传送具有足够的安全性。Advanced Encrypfion StandardAuthentication HeaderBorder Gateway ProtocolDuplicate Address DetectionDenial ofServiceEncapsulation Secure PayloadFault,Capacity,Administ
11、ration,Provisioning and SecurityHashed Message Authentication CodeInteract Con廿ol Management Protocol三重数据加密标准高级加密标准认证头边界网关协议重复地址探测拒绝服务封装安全载荷故障,配置,计费,性能,安全散列消息验证码互联网控制管理协议YD厂r 2042-2009IKE IIltemet Key ExchangeIP Internet Protocol口Scc m Socurity6 Intemet Protocol version 6ISIS IntermerUate System to
12、Intcrme丑iate SystemMAC Modia Access ControlMD5 Message Digest 5RFC Request for Comments0AMP Operation,Administration,Maintenance and ProvisioningOSPFv3 Open Shortest Path First version 3Ripng Routing Information Protocol Next GenerationSHA-1 Secure Hash AIgorithm 1SNMP Simple Network Management prot
13、ocolSSH Secure ShellTCF Transmission Control ProtocolUDP User Datagram ProtocolUSM User-based Security ModeluRPF Unicast Reverse Path FiIterAN Virtual Local Area NctworkVPN Virtual Private Nctwork4概述互联网密钥交换协议网际互连协议口安全机制网际互连协议版本6中间系统一中间系统媒质访问控制报文摘要5注释请求操作,管理,维护和配置最短路径优先版本3下一代路由信息协议安全散列算法1简单网络管理协议安全外壳
14、程序协议传输控制协议用户数据报协议基于用户的安全模型单播反向路径检查虚拟局域网虚拟专用网具有IPv6路由功能的以太网交换机可以应用在网络的各个层次,例如作为边缘汇聚设备,终结二层网络,实现三层业务的汇聚,或者是作为网络的核心交换设备。在网络中此类设备容易遭受到来自网络和其他方面的威胁,这些安全威胁可以利用设备自身的脆弱性或者是配置上的策略漏洞,给设备造成一定的危害,而且设备一旦被攻击,性能和正常运行都将会受到很大的影响,甚至造成拒绝对正常用户的访问服务。本标准将具有IPv6路由功能的以太网交换机的功能划分为3个平面,如图1所示。数据平面:主要是根据交换机维护的转发表信息提供用户数据的转发。控制
15、平面:主要是通过静态或者是动态路由协议学习网络拓扑信息,产生和维护用于数据转发的路由信息:使用网络控制管理协议探测网络可达性,无状态的自动地址配置协议完成主机口地址的配置,邻居发现协议实现相同网段内相关设备的主动发现等。管理平面t主要是指与OAM&P相关的功能,如SNMP、管理用户Telnet登录、日志等,支持FCAPS(Fault,Capacity,Adminis缸ation,Provisioning and Security)功能。管理平面的消息传送可以采用带内和带外两种形式。为了抵御来自网络和用户的攻击,具有lPv6路由功能的以太网交换机必须提供一定的安全功能。本标准采用GBT 1833
16、62中定义的安全功能并应用到交换机中(如图l所示),这些安全功能包括:4YD丌2042-2009鉴别和认证,确认用户的身份及其真实性;用户数据保护,保护用户数据的完整性、可用性和保密性;系统功能保护,对实现系统关键功能包括安全功能所需要的数据(如用户身份和口令)的保护,确保相关数据的完整性、可用性和保密性;资源分配,控制用户对资源的访问,不允许用户过量占用资源,避免因为非法占用资源造成系统对合法业务拒绝服务:安全审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和指定安全对策,探测违背安全性的行为;安全管理,安全功能、数据和安全属性的管理能力;可信信道僻径,具有mv6路由功能的以太
17、网交换机同其他设备间通信的信道,路径要求可信,对于安全数据的通信要同其他通信隔离开来;系统访问,管理和控制用户会话的建立。田1 具有IPv6路由功能的以太网交换机安全框架硬件系统和操作系统是具有路由功能的以太网交换机自身安全的重要因素,对硬件系统和操作系统的要求见YD厂r 13582005的附录A。5数据平面安全51安全威胁基于流量的攻击会对交换机的性能造成很大影响,如大流量攻击(如PingFlooding、TCPSYNFlooding等)可能会影响设备对正常用户数据进行处理,处理畸形报文可能会占用大量的CPU和内存资源,所以需要提供安全机制来限定用户流量行为,抵御来自网络攻击者对数据平面的恶
18、意攻击。此外,对数据流未经授权的观察、修改、插入和删除操作,会破坏数据流的完整性、可用性和保密性。具有IPv6路由功能的以太网交换机数据平面的安全威胁主要有以下方面,但不局限在这些方面:对数据流进行流量分析,从而获得用户数据的敏感信息;未经授权的观察、修改、插入和删除用户数据;5YD厂r 2042-2009利用用户数据流进行分布式的DoS攻击。52安全功能521鉴别和认证具有IPv6路由功能的以太网交换机可以使用VLAN_ID、MAC地址、物理端口号、m地址、账号等组合绑定的形式来标识一个用户:通过实现8021x认证协议来验证用户的合法性。522数据保护具有lPv6路由功能的以太网交换机可选为
19、用户提供m安全服务(具体实现应符合IETFRFC4301),通过建立IPSee隧道,为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。应支持AH和EsP协议,支持传输模式和隧道模式,支持安全联盟手工建立和IKE协议自动协商建立两种方式。在手工管理安全联盟时,可支持以十六进制配置算法所需密钥,应支持任意长度字符串形式配置密钥。AH协议实现应符台-mrF RFC4302,应支持HMAC-SHAl96验证算法,可支持HMAC-MD596验证算法。ESP协议实现应符合IErF RFC4303,应支持I-IMACSHAl96验证算法,可支持HlVlACMD596验证算法。加密算法应支持空
20、加密算法、3DESCBC自n密算法,可选支持AESCBC和国家规定的标准分组加密算法。如果交换机支持动态密钥管理IKE协议,应支持IKEvl版本,符合IETF RFC2407、IETF RFC2408、IETFRFC2409,可选支持IKEv2版本,符合IETF RFC4306,并支持IKE的下列特性:支持预共享密钥验证,可支持数字证书验证和RSA加密Nonce验证;应支持3DES加密算法,支持SHAl完整性验证算法,可支持MD5完整性验证算法,同时还可支持DES、AES加密算法和国内的分组加密算法;在IKE的Diffie-HeUman交换中,应支持MODPGroupl、MODP-Group2
21、。如果交换机支持IKEvI版本,应支持下列特性:阶段2交换中应支持完美前向保护特性;阶段1应支持主模式和野蛮模式阶段2应支持快速模式,还应支持信息交换;在IKE阶段1中应该能指定发起模式。523系统功能保护对于用户数据,系统要提供妥善的保护手段,通过基于角色的分级访问控制机制来实现对此类数据的访问控制(包括用户、系统进程等)。524资源分配具有n,v6路由功能的以太网交换机应能够提供有效的过滤控制机制,保障网络带宽的合理利用,特别是要能够抵御来自网络的各种侵占网络资源类的攻击,要确保网络在遭受攻击的情况下仍旧能够正常转发用户数据。具有IPv6路由功能的以太网交换机应能够抵御以下的常见攻击类型但
22、并不局限于这些方面。大流量攻击,大流量可以分成两种类型,一种是流经流量,即需要交换机转发的流量,对于这类攻击,交换机宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略。另一种流量的目的地就是交换机本身,这类攻击可能会占用被攻击设备的大量CPU处理时间和内存,严重的甚至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,交换机宜采取过滤和6YD厂r 2042-2009丢弃策略。同时应将必要的信息(如报文类型、源地址以及攻击时间等)记录到安全日志中。(注z记录安全日志信息要求应用于汇聚层及以上的设备必须支持,对于应用于接入层的设备可选)。交换机应支持基于VLA
23、N ID、MAC地址、P五元组等字段对转发流量进行过滤整形。畸形包处理:交换机应能够处理目的地址为其自身的各种类型畸形包,如:1)超长包,例如包长大于65535;2)超短包;3)链路层错误包;4)网络层错误包;5)上层协议错误包i6)不可识别的扩展头字段等。对于这些报文应采取丢弃策略不能影响设备的正常功能。此外,也要保证交换机自身不会产生上述类型的畸形包。定向广播报文攻击:SMURF攻击是一种利用定向广播报文的分布式DoS攻击方法。对于此类攻击交换机应能够提供控制策略,禁止该类报文转发或者以广播形式转发;对于分布式DoS攻击,应能够提供简单策略阻止这种分布式DoS攻击向其他设备扩散。婵地址哄骗
24、:针对网络中源地址哄骗报文,交换机宜可选实现单播逆向路径转发(IlRlF)技术来过滤这类报文,禁止其在网络中传播,可选实现稀疏和密集两种模式,具体实现应符合IETYRFC2827的规定。交换机需要考虑对特定业务报文要能够正确的处理,例如在入口避免过滤中继DHCPv6的请求报文。组播报文处理,交换机应当丢弃源地址是组播地址的报文,对于接收的组播报文根据IETFRFC4291规定的组播地址作用域转发组播数据报文。建议交换机支持基于IPv6报头流标签的数据包过滤,当网络发生拥塞时,根据报文的流标签对用户数据进行限速、丢弃、整形等操作。525安全审计对于用户流量,具有lPv6路由功能的以太网交换机应能
25、够提供流量日志能力,相关的要求见725节有关安全日志方面的规定。526安全管理要能够提供对本节的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口,系统等方式。527可信信道,路径具有IPv6路由功能的以太网交换机同其他设备通信的信道僻径要求可信,对于传送敏感数据的通信同传送其他数据的通信隔离开来,可以采用物理隔离或者是VPN(可选实t现j,2VPN、L3VPN)逻辑隔离。528系统访问访问控制是一种安全手段,它控制用户和系统与其他的系统和资源进行通信和交互。它能够保护系统和资源免受未经授权的访问,并且在认证过程成功结束后授权访问的等级。访问控制能够提供控制、限制、监
26、控以及保护资源的可用性、完整性和机密性等能力。7YD厂r 2042_2009具有IPv6路由功能的以太网交换机应能够提供基于vI。ANm、源MAC地址的过滤,基于源耳的口地址、源,目的端口和协议类型等元素的过滤,支持对ICMP报文进行过滤,支持对报文优先级进行过滤,支持对报文匹配情况进行统计计数和记入日志,该项功能要求汇聚层及以上设备必须支持,接入层设备作为可选功能。6控制平面安全61安全威胁具有IPv6路由功能的以太网交换机控制平面主要负责MAC地址与m地址的绑定、路由信息的学习、主机地址的自动配置等。控制平面的安全威胁主要有以下几个方面,但不局限在这些方面:对协议流进行探测或者进行流量分析
27、,从而获得转发路径信息;获得设备服务的控制权,将转发路径信息暴露给非授权设备;利用协议的拒绝服务攻击,如利用路由协议、ICMPv6协议的拒绝服务攻击,利用面向连接协议的半连接攻击等;非法设备进行身份哄骗,建立路由协议的实体信任关系,非法获得转发路径信息;针对路由协议转发路径信息的欺骗。62安全功能621鉴别和认证6211 路由认证具有IPv6路由功能的以太网交换机通过路由协议来传递路由信息,计算到达目的网络的最佳路径,因此必须确保路由信息的完整性和可用性,并且对路由信息通告者的真实身份进行认证,以免造成由于恶意的攻击者冒充路由对等体通告不正确或者是不一致的路由信息导致网络服务的不可达。具有IP
28、v6路由功能的以太网交换机应可选支持路由协议认证,具体要求如下:Ripng:实现疋认证头和口安全载荷封装来保证路由信息交互的完整性、机密性和对交互实体的认证。注:RIPng协议去除了在Ripv2中定义的认证域。OSPFv3:在OSPFv3的协议报头中已经去除了认证和认证类别域,依赖口认证头和疋安全载荷封装来提供交互实体的鉴别和路由交互信息的完整性和保密性,在实现上必须符合IETF RFC2740和IETF RI=C4552规定。ISIS:应实现基于链路、Levell和level2域的认证,符合IETFRFCll95的规定;建议按照IETFRFC3567规范,使用HMACMD5算法实现对ISIS
29、协议数据报文的认证。BGP4+:通过使用TCP MD5签名选项来保护BGP会话,其实现应符合IETFRFC2385规定。建议交换机实现IETF RFC3682中描述的通用TrL(在IPv6中使用Hop Limit字段)安全机制来保护EBGP会话。建议交换机支持BGP-TdggeredBlackholing技术,实现IETFRFC3882中描述的机制,通过利用BGP协议中的Community属性来阻挡DoS攻击流量。6212 NDP(邻居发现)协议认证8yD厂r 2042-29IPv6定义了邻居发现协议,它使用一系列IPv6控制信息报文(ICMPv6)来实现相邻节点(同一链路上的节点)的交互管理
30、,并在一个子网中保持网络层地址和链路层地址之间的映射。邻居发现协议中定义了5种类型的消息:路由器宣告、路由器请求、路由重定向、邻居请求和邻居宣告。通过这些消息,实现了对以下功能的支持:路由器发现、前缀发现、参数发现、地址自动配置、地址解析、下一跳确定、邻居不可达检测、重复地址检测、重定向等。交换机可选实现相应的保护机制来抑制攻击者对网络发起的DoS攻击,截取并修改数据包的攻击,例如:攻击者可以通过发送路由器通告报文向同网段内的主机声称将其作为缺省网关,然后再将接收的报文转发到真正的网关,通过这种方式,可以截获用户的数据,并根据需要对其修改或者丢弃,而数据源却无法获知。即使使用邻居不可达检测机制
31、也无法发现此类攻击,因为只要攻击者能够响应NUD检测报文。交换机应当丢弃从相邻节点收到的所有Hop Limit域值小于255的NDP协议报文。此外,交换机可选实现IETF RFC3971中建议的NDP安全机制,支持授权委托发现过程,地址验证机制以及相应的协议扩展(如密码地址生成选项、签名选项、时间戳和随机数选项等)。62113有状态,无状态地址配置认证具有IPv6路由功能的以太网交换机应支持无状态的地址配置,可选支持有状态的地址配置。对于无状态的地址配置方案,交换机宜提供安全机制保护路由器通告消息的完整性,确保DAD探测过程的可靠性,避免攻击者针对地址分配的DoS攻击(攻击者通过响应DAD探测
32、过程中的邻居请求报文,声称该报文中目标地址已经被分配使用,从而导致申请者无法获得有效的globalscope地址)。对于有状态的地址分配方案,交换机宜支持DHCP监听功能,记录DHCP服务器的地址,防止DHCP服务器假冒攻击。622数据保护具有IPv6路由功能的以太网交换机应当对控制平面的信息(主要是路由信息、地址配置信息)提供完整性、保密性和可用性保护。可以采用数据加密技术实现。623系统功能保护用于系统控制平面的安全数据(如路由协议的认证密钥)应得到妥善的保护。624资源分配6241路由控制策略和路由过滤由于控制信息的运算和存储需要消耗大量的CPU运算资源和内存存储资源,因此交换机在控制平
33、面应支持路由控制策略和路由过滤,抑制攻击者利用路由协议的安全缺陷进行资源耗尽型的攻击。6242 MAC地址学习建议交换机能够提供IP-MAC地址静态绑定机制(可选),避免在IPMAC地址动态学习过程中遭受攻击者的欺骗,导致将攻击者的地址作为缺省网关,从而使得流量经由攻击者转发遭受中间人攻击。建议交换机实现基于物理端口的MAC地址学习控制机制,能够限定通过每个物理端口学习MAC地址的数量,以避免在同一个网段内接收到攻击者发送的大量源MAC地址不同的ARP消息,导致交换机MAC地址表溢出。6243可关闭一些IP服务62431 ICMPv6协议9YDT 20422009CMPv6作为IPv6协议栈的
34、基本协议之一,主要用于网络操作和故障排除,由于协议自身存在安全漏洞,从而导致被利用于攻击网络,因此要求具有关闭相关ICMPv6功能的能力,包括如下:Tvpe l:目的地不可达;Tvpe 2:分组过大;Type 3:超时;Type 4:参数错误;T,pe 129:回显应答消息;Type 130132:组播监听者消息:Type 133134:路由器请求,通告消息;聊e 135136:邻居请求通告消息;Type 137:重定向消息。交换机应当能够按照ICMPv6消息的类型,源、目的地址类型和范围(单播、组播, 本地链路、全局)或者是错误消息的错误码对ICMPv6消息进行过滤。62432重定向功能交换
35、机应当能够关闭路由重定向功能,避免攻击者通过路由重定向截取用户数据。62433 HopbyHop选项功能交换机应当能够关闭Hop-byH叩选项功能(可选)。625安全审计对控制平面的控制信息要提供日志记录功能,特别是记录路由邻居状态变化、Ha-MAC地址绑定等重要的有影响的控制数据。具有Hav6路由功能的以太网交换机可以支持端口镜像功能,通过配置,将系统中某个端口的部分或者全部流量镜像到其他的端口出方向的报文和入方向的报文可以分别镜像到不同的端口。此外可选支持向远端安全中心进行数据镜像的功能。端口镜像时,对帧不进行修改,有如下两种镜像类型:一对一端口镜像,把一个端口的流量,全部原封不动地拷贝到
36、指定的镜像端口;多对一端口镜像。626安全管理具有Hay6路由功能的以太网交换机应当能够提供控制平面的安全功能和安全数据管理能力,管理方式包括但不限于控制台、远程连接或网络管理接口,系统等方式。627可信信道,路径具有IPv6路由功能的以太网交换机与其他设备之间交互的控制信息应保证其完整性、保密性和可用性,因此必须要确保通信信道是可信的,可以通过物理隔离或者是建立安全的逻辑隧道来实现。628系统访问具有IPv6路由功能的以太网交换机在控制平面应对通告路由信息的对等体进行认证,如果认证不通过,则应丢弃该对等体通告的路由信息,并将相关信息记录到日志文件中。6281路由策略和路由过滤10YD厂r 2
37、042-2009具有IPv6路由功能的以太网交换机应支持路由控制策略和路由过滤,防止攻击者利用路由协议安全漏洞通告错误路由或者是倾泄大量路由信息导致内存溢出,设备瘫痪。交换机应支持如下的路由策略和过滤机制:按照目的网段、自治系统路径、团体属性等特性进行过滤;能够配置成Psive(被动)模式,只接收处理路由信息,而不向邻居对等体通告路由信息;在路由协议重分布过程中能够按照目的网段、自治系统号等信息过滤。7管理平面安全71安全威胁具有IPv6路由功能的以太网交换机网络管理平面的主要功能是实现对设备系统参数配置以及设备状态信息的统计,其可能面临的主要安全威胁包括以下几个方面,但并不局限于这些方面:对
38、数据流进行流量分析,从而获得设备有关的系统配置信息;未经授权地观察、修改、删除系统的配置信息;未经授权地访问管理接口,控制整个设备;利用管理信息流实施拒绝服务攻击。72安全功能721鉴别和认证管理接口应提供必要的用户身份鉴别和认证功能,只授权合法用户的访问。为了审计的需要,要确保用户标识的惟一性,不建议一个用户使用多个标识或者是多个用户使用同一个标识。7211串口访问具有IPv6路由功能的以太网交换机应当支持串口访问功能,能够设置密码保护,设定登录的有效时间(可选),或者设置二次登录来获得更高的访问权限(可选)。7212 Telnet访问具有IPv6路由功能的以太网交换机应当提供远程登录Ten
39、et访问模式,对登录用户的访问应符合下述要求:提供对用户身份的验证,在日志文件中记录用户的访问活动;提供对用户账号的分级管理,不同的用户分配不同的访问权限;提供对Tenet用户密码试探攻击的保护,可对同一个P地址使用延时响应机制,也可以限定来自同一个毋地址的登录尝试次数:当用户连续登录系统失败次数超过系统设定值时,系统管理员可以考虑将该用户账号锁定;能够限制同时登录的Tenet用户数量;在设定的时间周期内不进行交互应注销该用户;应支持必要时关闭Tenet远程服务。7213 SSH访问SSH是在不安全的网络上为远程登录会话和其他网络服务提供安全性的一种协议,对SSH服务的要求如下:应支持SSHv
40、l和SSHv2两种版本;用户应通过身份认证才能进行后续的操作,用户地址和操作记入日志,具有IPv6路由功能的以11YD厂r 20422009太网交换机应支持口令认证;SSH服务器宜采用认证超时机制,在超时范围内没有通过认证应切断连接,建议限制客户端在一个会话上认证尝试的次数;SSHv2应支持用于会话的加密密钥和认证密钥的动态管理,支持DiffieHellman组14或组1的密钥交换,在密钥交换过程中协商密钥交换算法、对称加密算法和认证算法等,并对服务器端进行主机认证:应支持江AC-SHAI认证算法,建议支持HMAC-SHAl96认证算法,可选实现HMACMD5、HMACMD596等认证算法;应
41、支持3DESCBC对称加密算法,可选实现BlowfishCBC、IDEACBC、CASTl28一CBC、AES256-CBC、AESl28CBC等对称加密算法;对于非对称加密算法,应支持SSHDSS,建议可选实现SSHRSA;可限定用户通过哪些P地址使用SSH服务对设备进行访问;应支持必要时关闭SSH服务。7214 Web管理(可选)具有IPv6路由功能的以太网交换机应可选提供基于Web的管理模式,系统管理员能够通过Web方式配置系统参数,查看统计信息等,建议满足下列要求:用户应提供用户名1:3令才能进行后续的操作,用户地址、用户标识和操作应记入日志文件;可限定用户通过哪些地址使用HTrP对设
42、备进行访问:应能够支持SSLrILS协议,确保数据的完整性和机密性;应支持必要时可关闭HTFP服务。7215 SNMP安全具有IPv6路由功能的以太网交换机应支持通过实现安全协议来保护网络管理操作的功能,提供数据完整性、数据源认证和数据保密性服务。SNMP是最常用的网络管理协议,它提供了网管工作站和位于被管设备上的代理之间的通信接口。通过该接口,网络管理员能够将配置参数下载到被管设备,查看被管设备的运行状况和运行参数,因此确保网络管理接口的安全是非常重要的。SNMP协议应当支持IETF RFCl352规定的摘要认证协议和对称私有协议,实现消息摘要算法和对称加密算法。通过摘要认证协议来保证网管消
43、息发送者,接收者之间网管信息的完整性,同时可以验证消息源;对称私有协议来保护网管信息防止泄密。SNMPvl本身只能提供非常弱的安全保护能力,在SNMPvl中代理和管理站之间的通信除依靠团体串验证外不作任何安全设置,一旦团体串被泄漏,则会给网络设备带来很大的安全风险。SNMPv2提供了一定的安全机制,但是没有得到广泛的实旅,不支持SNMPv2安全机制的实现称为SNMPv2c。SNMPv3是一个安全的网络管理协议,能够提供支持基于视图的访问控制(vACM)和基于用户的安全模型(USM)等安全机制,能够提供完善的安全保护。具有IPv6路由功能的以太网交换机可支持SNMPvl和SNMPv2c,但应提供
44、禁用功能。并且缺省应该是禁用的;应支持SNMPv3的网络管理接口。提供SNMPvl和SNMPv2c应可以和访问控制列表相结合,控制12YDrr 2042_2009非法网管接入设备,同时不使用publicprivate作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且在适当的时机提示管理员修改团体名。此外交换机应可结合口地址和传输端口、服务类型进行过滤,SNMPJIi务常使用UDP端口161、162,可能用到的其他端口还希FrCP端口161、162、199、1993,UDP端口199、1993等。另外,还应该注意过滤来自广播地址、子网广播地址的SNMP流。722数据保护管理平面的用户数
45、据主要是一些用户配置数据,需要保证数据的完整性和可用性,以防止配置数据出错而导致整个设备工作不正常,同时也要防止敏感数据被窃取,导致网络遭受攻击。管理平面的用户数据可以采用带内和带外两种传送模式,带外模式通过物理隔离实现数据保护,带内模式则可以通过采用SSHv2或者是SNMP协议的安全扩展来实现。723系统功能保护用于管理平面管理的相关安全数据(如配置信息)应得到妥善的保护。724资源分配管理信息的处理需要占用系统的CPU、内存等资源,对这部分信息的处理一定耍确保不能影响控制平面对路由信息和数据平面对用户数据转发的影响。此外,通过管理平面提供的设备补丁下载功能应该得到严格的管理,不应该被用来对
46、设备资源实施恶意占用。725安全审计具有IPv6路由功能的以太网交换机应当提供基本的日志功能,记录用户访问活动,以便于网络安全管理员根据日志信息监控网络运行情况和诊断网络故障。日志应记录过滤规则、拒绝访问、配置修改等安全相关事件,告警记录发生的安全违章事件,并可以一定的方式提示管理员,审计可对记录的安全事件进行回顾和检查,分析和报告安全信息。对日志的要求如下:安全日志条目应包含用户口地址、用户名、操作类型、访问时间、操作结果等基本访问信息。应可以保存在本地系统(如磁盘介质),也可以发送到专用的日志主机上做进一步的处理;应可以实时打印在专用打印机或连接交换机的显示终端上;应定义日志的严重程度等级,并能够根据严重程度级别过滤输出;应支持和日志主机之间的通信接口。对告警的要求如下:应定义告警的严重程度级别,并根据严重程度级别确定是否以一定的方式(如声光显示)提示管理员;应支持告警输出到打印机或显示终端,可根据严重程度级别输出到不同的显示终端;告警应
