1、ICS 3304050M 19 Y口中华人民共和国通信行业标准YDT 2049-2009接入网设备安全测试方法DSL接入复用器(DSLAM)设备Test method of security for access network equipmentDigitaI subscriber line access multiplexer2009-12-11发布 201001-01实施中华人民共和国工业和信息化部发布目 次前言1范围l2规范性引用文件l3缩略语14用户平面安全功能测试25控制平面安全功能测试96管理平面安全功能测试127其他安全功能测试17附录A(资料性附录)安全相关性能测试方法19刖
2、 罱本标准是接入网安全系列标准之一,该系列标准预计结构及名称如下:1YDT 20462009接入网安全技术要求xDSL用户端设备2YDT 20472009接入网设备安全测试方法1【DSL用户端设备3YDT 20482009接入网安全技术要求_DSL接入复用器(DSLAM)设备4YDT 20492009接入网设备安全测试方法DSL接入复用器(DSLAM)设备5YDT 20502009接入网安全技术要求无源光网络(PON)设备6YDI20512009接入网设备安全测试方法一无源光网络(PON)设备7YDfl19102009接入网安全技术要求综合接入系统8接入网设备安全测试方法综合接入系统本标准与Y
3、DT20482009接入网安全技术要求-DSL接入复用器(DSLAM)设备配套使用。在本标准的制定过程中保持了与下列标准的协调统一:1YDT 13232004接入网技术要求不对称数字用户线(ADSL)2YDT 12392002接入网技术要求甚高速数字用户线(VDSL)3YDfr 1055-2005接入网设备测试方法一带话音分离器的不对称数字用户线(ADSL)4YDT 15302006接入网技术要求频谱扩展的第二代不对称数字用户线(ADSL2+)5YDT 17062007接入网技术要求数字用户线(DSL)承载宽带业务6YDfI1996-2009接入网技术要求第二代甚高速数字用户线(VDSL2)本
4、标准附录A为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、上海贝尔股份有限公司。本标准主要起草人:程强、李云洁、陈洁、葛坚、姚亦峰。接入网设备安全测试方法DSL接入复用器(DSLAM)设备1范围本标准规定了数字用户线接入复用设备(DSLAM)用户平面安全功能测试方法、控制平面安全功能测试方法、管理平面安全功能测试方法和其它安全功能的测试方法。本标准适用于公众电信网的局端数字用户线接入复用器设备,对于放置在远端的DSL接入复用设备可以参考使用。专用电信网也可参考使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用
5、文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 1808-2008 接入网设备测试方法一一第=代及频谱扩展的第二代不对称数字用户线(ADSL22+)YDir 17062007 接入网技术要求数字用户线(DSL)承载宽带业务3缩略语下列缩略语适用于本标准。ACL Access Control ListADSL Asymmetric Digital Subscriber LineARP Address Resolution ProtocolBNG Bro
6、adband Network GatewayCPE Customer Premise EquipmentCV Customer、,I AN IDentifierDHCP Dynamic Host Config ProtocolDLF Destination Lookup FailureDoS Deniai of ServiceDSL Digital Subscriber LineDSLAM Digital Subscriber Line Access MultiplexerH兀P HyperText Transfer ProtocolH1IPS Hypertext Transfer Proto
7、col over Secure Socket LayerIGMP Interact Group Management Protocol口 Intemet ProtocolMAC Media AC(72SS Control访问控制列表不对称数字用户线地址解析协议宽带网络网关客户驻地设备客户VLAN标识动态主机配置协议目的查找失败拒绝服务数字用户线数字用户线接入复用器超文本传输协议安全套接字层上的HITP因特网组管理协议互联网协议媒质访问控制YDT 2049-2009PC Personal Computer 个人电脑RSTP Rapid Spanning Tree Protocol 快速生成树协议
8、SNMP Simple Network Management Protocol 简单网络管理协议SSH Secure Shell 安全ShellSSL Secure Socket Layer 安全套接字层S-VID Service VD 业务VLAN标识TLS Transport Layer Security 传送层安全UDP UserDatagramProtocol 用户数据报协议VID VLAN ID VLAN标识VLAN VLrtual Local Area Network 虚拟局域网xDSL Anyofthe varioustypesofDigital SubscriberLines(
9、DSL) 指代任何类型的DSL4用户平面安全功能测试41二层隔离功能411测试目的DSLAM设备应对用户侧的所有DSL端口之间提供二层隔离的功能,即同-DSLAM设备下的不同DSL端口上的用户不应通过DSLAM设备上的=层桥接功能直接互通。412测试配置测试配置如图l所示。413测试步骤(1)如图1所示,任选DSLAM两个用户端口,配置两个桥接模式的CPE设备;(2)配置两个CPE用户流量为无VLAN标签方式,网络侧为:1 VLAN模式,设定S-VID的值为X(0X4095):(3)发送地址学习帧;(4)网络分析仪1与网络分析仪3互发以太网广播与单播报文:(5)网络分析仪2与网络分析仪3互发以
10、太网广播与单播报文;(6)网络分析仪1和网络分析仪2互发以太网广播与单播报文。414预期结果(1)在步骤(4)中,网络分析仪1和3应可以互通,且网络分析仪2不应收到除来自网络分析仪3的广播报文的任何报文。2YD厂r 204争-2009(2)在步骤(5)中,网络分析仪2和3应可以互通,且网络分析仪1不应收到除来自网络分析仪3的广播报文的任何报文。(3)在步骤(6)中,网络分析仪1和2不应有任何流量互通。42 VLAN功能见YDT 1808-2008接入网设备测试方法一一第二代及频谱扩展的第二代不对称数字用户线ADSL2ADSL2+)102。43帧过滤功能431测试目的DSLAM应能根据MAC源地
11、址和,或目的地址设置过滤条目。对于预定义和保留地址的MAC帧(见表1),DSLAM缺省应过滤掉,不进行转发,但设备可以提供改变缺省行为的配置选项。衰1 对预定义和保留地址的MAC帧处理目的MAC地址 作用 缺省行为 可选配置0180-C2一00-00-00 桥组地址饵PDUs) Block None01802-00-00-01 PAUSE B10ck Node叭80C2-00-00-02 慢速协议(LACP,EFM OAM PDUs) B10ck Peer01-80-C2-00-00-03 EAPoverLANs Block Peer0180-C200-00-04- 保留 Block None
12、01-80_C200-00-0F0180-C2Oo-00-10 所有LAN的桥管理地址 Block None0180-C2-00-00-20 G球t Block None0180-C200_00-21 GVRP B10ck None018阻C2-00-00-22 保留GARP应用地址 B10ck Forward0180-C20m00-2F0180-C2-xx-xbxy CFM Forward Block建议DSLAM支持基于MAC目的地址、MAC源地址、MAC协议类型、P目的地址、源地址的部分和全部的过滤规则功能。DSLAM应可配置为过滤从用户端13发出目的地址为组播地址的UDP数据流。432
13、测试配置测试配置如图l所示。433测试步骤(1)按照图l建立组网连接,配置DSLAM和CPEl,使网络分析仪1和网络分析仪3之间能正常收发数据流;(2)设置DSLAM过滤MAC源和戚目的地址规则;(3)网络分析仪l向网络分析仪3发送MAC源和或目的地址为被过滤MAC源和,或目的地址的测试帧;(4)取消之前的配置,网络分析仪l向网络分析仪3发送MAc目的地址为表1的地址的测试帧;(5)配置DSLAM,将DSLAM中的MAC帧的处理方式由“缺省行为”改变为“可选配置”;(6)网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试帧;(7)取消之前的配置,设置DSLAM基于MAC目的地址、
14、MAC源地址、MAC协议类型、m目的地址、YD厂r 2D4争-2009源地址的部分和全部过滤规则进行过滤;(8)网络分析仪l向网络分析仪3发送符合步骤(7)中设置的规则的MAC帧,以及违反符合步骤(7)中设置的规则的MAC帧的两条流;(9)设置DSLAM过滤从用户端口发出组播UDP流;(10)网络分析仪2向网络分析仪3发送目的MAC和口地址为组播地址的UDP数据流。434预期结果(1)在步骤(3)中,网络分析仪3不能收到测试帧;(2)在步骤(4)中,DSLAM对测试帧的处理应符合表1中的缺省行为;(3)在步骤(6)中,DsIAM对测试帧的处理应符合表1中的可选配置;(4)在步骤(8)中,网络分
15、析仪3不能收到测试帧;(5)在步骤(10)中,网络分析仪3不能收到测试帧。44 MAC地址控制功能441测试目的DSLAM应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。DSLAM应能防止用户盗用BNG(例如接入服务器或业务路由器)端口的MAC地址。DSLAM应可以拒绝向存在MAC地址重复的用户提供业务。442测试配置测试配置如图1所示。443测试步骤(1)按照图1建立组网连接;(2)设置DSLAM从每个用户端口学习到的源MAC地址数量;(3)网络分析仪1连续发送具有不同源MAC地址的测试帧,其中源MAC地址数目大于DSLAM预设值:(4)查看DSLAMMAC地址表中学习到的源MA
16、C地址数目以及对超过源MAC数量限定的流是否丢弃;(5)在DSLAM中配置BNG的MAC地址;(6)配置网络分析仪2发送源MAC地址为BNG的MAC地址的测试帧:(7)清除DSLAM中的MAC地址表;(8)配置网络分析仪1和2先后使用相同的源MAC地址A发送测试帧;(9)网络分析仪3向地址A发送以太网报文。444预期结果(1)在步骤(4)中,DSLAM学习到的MAC地址数量应等于配置的数量限值,且对于超出的流应进行丢弃;(2)在步骤(6)中,网络分析仪3应无法收到网络分析仪2发送的流;(3)在步骤(9)中,网络分析仪1可以收到网络分析仪3发送的报文,网络分析仪2不应收到。45广播组播DLF速率
17、抑制451测试目的4YDT 2049-2009DSLAM应具备对MAC目的地址为广播或组播地址的报文以及未知单播(DLF)报文进行速率限制的功能,在上行方向应默认开启此功能。DSLAM应支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式。452测试配置测试配置如图1所示。453测试步骤全局抑制方式的测试步骤见步骤(2)至步骤(6),基于VLAN抑制方式的测试步骤见步骤(7)至步骤(9),基于端口抑制方式的测试步骤见步骤(10)至步骤(12)。(1)按照图1建立组网连接:(2)网络分析仪1和2向网络分析仪3发送协议特定的广播组播包和Du甘畏文;(3)网络分析仪3向网络分析仪l和2发送协
18、议特定的广播组播包和DLF报文:(4)通过网管控制台配置DSLAM全局抑制对应的广播,组播包和DLF报文的速率;(5)网络分析仪1和2向网络分析仪3发送广播组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(6)网络分析仪3向网络分析仪1和2发送广播,组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM问的DSL链路速率:(7)配置DSLAM取消全局抑制广播,组播包的策略,配置DSLAM抑制vLAN ID=10的广播,组播包和Du日证文,并且DSLAM的上联口和CPE的用户端口为咖nk模式;(8)网络分析仪1和2向网络分析仪3发
19、送两条广播,组播包流,一条VLAN ID=10,另一条配置为其它已知VLAN,发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL链路速率;(9)网络分析仪3向网络分析仪l和2发送两条广播,组播包流,一条VLAN ID=10。另一条配置为其它已知vLAN。发送速率选择大于配置的抑制速率,小于CPE与DSLAM间的DSL4Iit路速率;(10)配置DSLAM取消基于VLAN抑制广播,组播包的策略,配置DSLAM抑制与CPEl连接的端口的广播,组播包和DLF报文;(11)网络分析仪1和2向网络分析仪3发送广播,组播包和DLF报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM问
20、的DsL链路速率;(12)网络分析仪3向网络分析仪1和2发送广播,组播包和DI下报文,发送速率选择大于配置的抑制速率,小于CPE与DSLAM问的DSL链路速率。454预期结果(1)在步骤(2)和步骤(3)中,双向都能收到全部的广播,组播包;(2)在步骤(5)和步骤(6)中,双向收到的广播,组播包应符合预先设置的抑制策略;(3)对于支持基于VLAN抑制方式的DSLAM设备,在步骤(8)和步骤(9)中,VLANID=10的广播,组播流应符合预先设置的抑制策略,其它VLAN的广播组播包和DLF报文应全部收到。(4)对于支持基于端口抑制方式的DSLAM设备,在步骤(11)和步骤(12)中,CPE2上下
21、行方向的广播,组播流应全部被DSLAM设备转发,CPEI上下行方向的广播,组播流应符合预先设置的抑制策略。46静态绑定功能461测试目的YD厂r 204争-2009DSLAM应支持基于静态配置用户m地址与DSL端口或VLAN的绑定功能。被绑定的地址仅限于该端口使用,且该端口不能使用任何非绑定的地址。462测试配置测试配置如图l所示。463测试步骤(1)配置DSU蝴静态分配m地址192t68010绑定至tJCPEl的用户端口;(2)网络分析仪1和网络分析仪2向网络分析仪3发送源m地址是192168010的数据流;(3)网络分析仪3向网络分析仪1和网络分析仪2发送目的m地址是192168010的数
22、据流;(4)网络分析仪1向网络分析仪3发送源口地址是19216801l的数据流;(5)网络分析仪3向网络分析仪1发送目的IP地址是192168011的数据流;(6)取消之前的绑定策略,配置DSLAM建立VLANl(VLAN ID=10)和VLAN2(VLAN ID=20),静态分配P地址段1921680024绑定至IJVLANl,并将DSLAM的上联口、CPEI加入到ANl,DSLAM的上联口和CPE2的用户端口加入到AN2;(7)网络分析仪1向网络分析仪3发送源伊地址是192168010的数据流;(8)网络分析仪2向网络分析仪3发送源球地址是192168010的数据流;(9)网络分析仪1向网
23、络分析仪3发送源口地址是192168I10的数据流;(10)DSLAM修改CPEI的VLAN,将其从VLANl中删除,接入至IJVLAN2;(11)网络分析仪1向网络分析仪3发送源m地址是192168010的数据流。464预期结果(1)在步骤(2)中,网络分析仪3仅能收到网络分析仪1发送的数据流(2)在步骤(3)中,网络分析仪1能收到数据流,网络分析仪2不能收到数据流;(3)在步骤(4)中,网络分析仪3不能收到数据流;(4)在步骤(5)中,网络分析仪1不能收到数据流;(5)在步骤(7)中,网络分析仪3能收到VuNm=lO的数据流;(6)在步骤(8)中,网络分析仪3不能收到网络分析仪2发出的数据
24、流;(7)在步骤(9)中,网络分析仪3不能收到网络分析仪1发出的数据流;(8)在步骤(11)中,网络分析仪3不能收到网络分析仪1发出的数据流。47动态绑定功能(可选)471测试目的DSLAM可选支持跟踪DHCP中的m地址分配过程进行端口、MAC地址和口地址的动态绑定功能。被绑定的地址仅能限于该端口使用,且该端口不能使用任何非绑定的地址。472测试配置测试配置如图l所示。473测试步骤(1)在DSLAM配置CPEI和CPE2线路的动态P地址绑定功能;(2)网络分析仪3仿真DHCP服务器功能,配置地址池1010102-101010254,网关地址为1010101,更新时间为3600s;6测试配置如
25、图2所示。 一匝H一一窟YD厂r 204920094104预期结果在步骤(2)中,网络分析仪1和3应可正常通信,网络分析仪2应可以收到网络分析仪1和网络分析仪3发出的帧。411协议报文限速4111测试目的DSLAM设备应支持对每用户端口发送的特定协议报文(例如,DHCP、IGMP、ICMP等)进行限速处理。4112测试配置测试配置如图l所示。4113测试步骤(1)在DSLAM中开启对特定协议报文的限速功能,设定每端口的限制速率x;(2)配置网络分析仪1分别发送类型为DHCPDiscover、IGMPReport(vl、v2)和PING的流,速率y(,X)。4114预期结果网络分析仪3接收到的网
26、络分析仪I发送的各种协议流的速率均小于等于x。412用户环网检测4121测试目的DSLAM设备应支持对用户侧端口是否成环的检测,防止环网形成。4122测试配置测试配置如图3所示。圈3用户环网检测功能测试配量4123测试步骤(1)按照图3建立组网连接,其中虚线部分不进行连接,并开启DSLAM的用户环网检测功能;(2)网络分析仪1分别与CPEl、CPE2和CPE3相连,确认3个CPE都能和DSLAM正常收发包;(3)将CPE2的用户端El用交叉网线连接成环,网络分析仪1与CPEl相连,并与网络分析仪2之间发送双向数据流;(4)将CPE2的用户端口环解除,将CPE2的用户端口与CPE3的用户端口用交
27、叉网线相连:(5)网络分析仪1与CPEl相连,并与网络分析仪2之间发送双向数据流。4124预期结果YD,T20492009(1)在步骤(3)中,DSLAM应报告用户侧环网事件,并主动断开成环的链路,CPEl23与DSLAM之间能够正常收发数据流;(2)在步骤(5)中,DSLAM应报告用户侧环网事件,并主动断开成环的链路,CPEl23与DSLAM之间能够正常收发数据流。5控制平面安全功能测试51 IGMP Snooping代理功能和可控组播功能511测试目的DSLAM设备应支持IGMP Snooping代理功能,该功能定义见YDT 1706-2007接入网技术要求数字用户线(DSL)承载宽带业务
28、38。DSLAM设备应支持基于用户和组播组的访问控制功能,防止非法用户获得无权限收看的内容。512测试配置测试配置如图1所示。513测试步骤(1)按图1连接测试环境,开启DSLAM中的IGMPSnooping代理功能和快速离开功能;(2)配置网络分析仪3仿真组播路由器功能,配置组播频道239111,并周期性发送IGMP Query消息;(3)DSLAM中增加节目239111,并将端口1和端口2用户加入观看权限;(4)网络分析仪1发送IGMP report报文申请加入239111的节日组;(5)网络分析仪2发送IGMP report报文申请加入239111的节目组;(6)网络分析仪1发送IGMP
29、leave报文申请离开239111的节目组;(7)网络分析仪2发送IGMP leave报文申请离开239111的节目组;(8)DSLAM配置改变端口2的用户为禁止;(9)网络分析仪1发送IGMPreport报文申请加入239111的节目组;(10)网络分析仪2发送IGMP report报文申请加入239111的节目组。514预期结果(1)在步骤(4)中,网络分析仪3应收到DSLAM发出的IGMP report报文请求239111的节目,网络分析仪1应收到该节目流;(2)在步骤(5)中,网络分析仪3不应收到DsLAM发出的请求239111的节目的IGMPreport报文,网络分析仪2应收到该节目
30、流:(3)在步骤(6)中,网络分析仪3不应收到IGMPleave报文,网络分析仪1收到的节目流应停止;(4)在步骤(7)中,网络分析仪3应收到DsLAM发出的IGMP leave报文,网络分析仪2收到的节目流应停止;(5)在步骤(9)中,网络分析仪1应接收到该节目流;(6)在步骤(10)中,网络分析仪2不应接收到该节目流。52非法组播源过滤521测试目的DSLAM应可配置为过滤从用户端口发出的IGMP查询包。9YD厂r 2049-2009DSLAM应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。522测试配置测试配置如图1所示。523测试步骤(1)按图1连接测试环境,在DSLAM中
31、配置组播频道239111,并将端口1设为观看权限;(2)网络分析仪1分别发送针对239111和239112的IGMPquery报文;(3)配置网络分析仪3仿真组播路由器功能,配置组播频道239111并周期性发送相应的IGMPquery消息;(4)网络分析仪1和2分别发送对频道239111的IGMP report报文;(5)网络分析仪l和2分别发送对频道239112的IGMP report报文。524预期结果(1)在步骤(2)中,网络分析仪3不应收到任何IGMPquery报文;(2)在步骤(4)中,网络分析仪1应接收到来自网络分析仪3的组播流239111,网络分析仪2不应接收到任何组播流;(3)
32、在步骤(5)中,网络分析仪1和2都不应接收到任何组播流。53 ARP代理功能531测试目的建议DSLAM支持对ARP协议的代理功能。对于支持三层转发功能的DSLAM,该功能为必选。532测试配置测试配置如图l所示。533测试步骤(1)按图1连接测试环境,在DSLANI中配置启动proxyARP功能;(2)配置DSLAM端口1和端口2分别位于不同的CCLAN;(3)配置网络分析仪1的端口m地址和MAC地址分别为10101010和00一00-10-10-1010:(4)配置网络分析仪2的端口地址和MAC地址分别为10101012和000010-10-10-12;(5)配置网络分析仪1和2都自动响应
33、ARP查询;(6)网络分析仪1发送针对口地址10101012的ARP查询报文;(7)网络分析仪2发送针对坤地址10101010的ARP查询报文。534预期结果(1)在步骤(6)中,网络分析仪l应接收到DsIAM以自身MAC地址响应的ARP响应报文;(2)在步骤(7)中,网络分析仪2应接收至IJDSLAM以自身MAC地址响应的ARP响应报文。54端口定位功能测试见YDT 18082008接入网设备测试方法一第二代及频谱扩展的第二代不对称数字用户线(ADSL2,2+) 103。55防DoS攻击551测试目的10YD丌2049-2009应具各对攻击目标为本设备的DoS攻击抵御能力,例如Ping of
34、Death、SYNFlood、LAND等攻击。552测试配置测田4防DoS攻击功能测试配量553测试步骤(1)按图4连接测试环境,配置DSLAM网络侧管理地址ABCD;(2)配置网络分析仪l和网络分析仪2互发广播和一定速率的单播以太网帧;(3)网络安全分析仪以地址ABCD为目标进行DoS攻击测试,攻击报文速率为100Mbits以太网口线速速率。554预期结果在步骤(3)中,网络分析仪l和网络分析仪2之间的以太网数据流应正常转发,不出现丢包。56 DHCP下行安全功能测试561测试目的针对特定用户的下行DHCP响应报文不应被转发到其它用户端口,防止其它用户通过嗅探该报文获得该用户的m地址。562
35、测试配置测试配置如图5所示。网络分析仪图5 DHGP下行安全功能测试配I563测试步骤(1)按图5连接测试环境;(2)CPEl和CPE2配置为桥接模式;(3)验证CPEl和CPE2上线后,验证网络分析仪可以经DSLAM与DHCP Server互通。(4)网络分析仪端口2启动接收抓取;(5)网络分析仪端口1启动DHCPCIient的地址获取过程;(6)等待网络分析仪端口1从DHCP Server获得地址过程成功完成;(7)停止网络分析仪端口2的抓取,观察收到的报文。564预期结果在步骤(7)中,网络分析仪端I:32不应接收端口1与DHCP Server交互的任何报文。YD,T 2049-2009
36、6管理平面安全功能测试61 口令安全检查机制测试611测试目的用户进行网络管理时所使用的登录El令的长度应不少于8个字符,并且应由数字、字母或特殊符号组成,DSLAbi网管系统应提供检查机制,保证每个口令至少是由前述的三类符号中的两类组成。612测试配置测试配置如图6所示。图6网管功能测试配I613测试步骤(1)以管理员身份登录网管服务器;(2)选择配置管理员口令;(3)更改为8位全数字口令;(4)更改为8位全字母口令;(5)更改为小于8位的任意口令;(6)更改为8位包含数字、字母、特殊符号中两类的口令。614预期结果(1)在步骤(3)、(4)、(5)中(2)在步骤(6)中,口令更改成功62
37、SNMP管理访问安全测试621测试目的系统拒绝更改口令,并给出相应安全提示可以使用新口令重新登录系统。验证设备和网管之间SNMPvlv2c管理的安全性。622测试配置测试配置如图6所示。623测试步骤(1)在设备上配置允许使用SNMP访问设备的网管站的地址A;(2)修改网管服务器地址为非A,通过网管服务器进行管理操作;(3)配置网管服务器地址为A,通过网管服务器进行管理操作;(4)通过协议分析仪分析SNMP报文。624预期结果(1)在步骤(2)中,设备应可拒绝非法网管接入设备;(2)在步骤(4)中,管理过程中不应使publicpdvate作为团体名,只读团体名和读写团体名称不12能相同。63
38、ToInet管理访问安全测试(可选)631测试目的验证设备Telnet管理的安全性。632测试配置测试配置如图7所示。围7 Teln叭安全功能测试配I633测试步骤(1)关闭DSLAM设备上的Telnet管理功能;(2)在PC上启动Telnet客户端,使用最高等级管理员身份登录DSLAM;(3)开启DSLAM设备上的Telnet管理功能;(4)在PC上启动Telnet客户端,使用最高等级管理员身份登录DSLAM;(5)通过Telnet客户端在DSLAM上创建一个低等级Telnet管理员:(6)设定可同时访问的Telnet用户数量为1:(7)在PC上启动Teirtet另一个客户端,使用在步骤(3
39、)中创建的用户登录;(8)解除步骤(6)中的数量限定;(9)在PC上启动Telnet另一个客户端,使用在步骤(3)中创建的用户登录:(10)在DSLAM上设定允许TeLnet方式访问的客户端主机地址为PC当前地址;(11)注销PC上的所有TeLqet连接,修改自身地址为同一网段其它地址;(12)在PC上启动Telnet客户端,试图登录DSLAM;(13)将PC自身地址改回;(14)在PC上启动Telnet客户端,登录DSLAM,不进行任何操作,等待超时;(15)在PC上重新启动Telnet客户端,使用错误的用户名或密码连续进行登录试探。634预期结果(1)在步骤(2)中,Telnet客户端应无
40、法连接成功;(2)在步骤(4)中,用户应提供用户名,口令才能进行后续的操作,用户地址和操作应记入日志(3)在步骤(5)中,DSLAM应提供对Telnet用户权限的控制功能;(4)在步骤(7)中,Telnet客户端应无法登录;(5)在步骤(9)中,Telnet客户端应登录成功;(6)在步骤(12)中,Telnet客户端应无法连接成功或无法通过登录验证;YD厂r 2049-2009(7)在步骤(14)中,在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能(8)在步骤(15)中,DSLAM应通过延时响应或限定错误尝试次数等方式防范密码试探攻击。64本地终端(Console)管理访问安全
41、测试641测试目的验证设备本地终端管理的安全性。642测试配置使用ConsoleEl在本地连接设备。643测试步骤(1)在PC上启动终端,使用最高等级管理员身份登录DSLAM;(2)通过终端在DSLAM上创建一个低等级Console管理员;(3)在PC上启动Console终端,登录DSLAM,不进行任何操作,等待超时;(4)在PC上重新启动Console终端,使用错误的用户名或密码连续进行登录试探。644预期结果(1)在步骤(1)中,用户应提供用户名El令才能进行后续的操作,用户地址和操作应记入日志;(2)在步骤(2)中,DSLAbi应提供对Console用户权限的控制功能;(3)在步骤(3)
42、中,在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能;(4)在步骤(4)中,DSLAM应通过延时响应或限定错误尝试次数等方式防范密码试探攻击。65 Web管理访问安全测试(可选)651测试目的验证设备w曲管理的安全性。65_2测试配置测试配置如图7所示。653测试步骤(1)关闭DSLAM设备上的Web管理功能;(2)在PC上启动I-FFTPS客户端,使用最高等级管理员身份登录DSLAMI(3)开启DSLAM设备上的Web管理功能;(4)在PC上启动HTTPS客户端,使用最高等级管理员身份登录DSLAM;(5)在DSLAM上设定允许Web方式访问的客户端主机地址为PC当前地址;(
43、6)关闭PC上的HTTPS客户端,修改PC自身地址为同一网段其它地址;(7)在PC上启动HTTPS客户端,试图登录DSLAM;(8)将PC自身地址改回;(9)在PC上启动HTI甲S客户端,登录DSLAM,不进行任何操作,等待超时;(107在Pc上重新启动HTTPS客户端,使用错误的用户名或密码连续进行登录试探。654预期结果(1)在步骤(2)中,HITPS客户端应无法连接成功;(2)在步骤(4)中,用户应提供用户名,口令才能进行后续的操作,用户地址和操作应记入日志;(3)在步骤(7)中,HTTPS客户端应无法登录;14YD12049-2009(4)在步骤(9)中,H13限S客户端应登录成功;(
44、5)在步骤(9)中,在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能;(6)在步骤(10)中,DSLAM应通过延时响应或限定错误尝试次数方式防范密码试探攻击。66安全策略管理功能测试661测试目的网管系统应能提供统一的安全策略控制。662测试配置测试配置如图6所示。663测试步骤和预期结果在图形网管中检查下列网管项目的配置。(1)登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户的账号有效期,设置登录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能。(2)提供管理用户的功能。(3)管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提供密码重置功
45、能,设置用户密码有效天数等。(4)支持管理用户登录的P管理策略,将登录的管理用户与口地址绑定。67角色管理功能测试671测试目的网管系统应能提供灵活的角色控制功能。672测试配置测试配置如图6所示。673测试步骤和预期结果在图形网管中检查下列网管项目的配置。角色管理功能应包含:(1)增加、删除、修改角色;(2)给角色分配管理资源(可管理的对象范围)和操作权限。网管系统应可以提供以下三类缺省的角色。(1)系统管理员:可以执行网管系统提供的所有功能项,包括权限分配功能。(2)配置管理员:可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括权限分配功能),如资源维护、设备配置、版本升级
46、、系统维护等。(3)监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功能,如资源查询、告警监控、性能统计、日志查询等。网管系统应提供灵活的角色创建功能。68账号管理功能测试681测试目的网管系统应能提供完善的账号管理功能。682测试配置15YDT 2049-2009测试配置如图6所示。683测试步骤和预期结果在图形网管中检查下列网管项目。对使用网管系统的管理用户账号进行管理维护,包括:(1)增加账号;(2)删除账号;(3)修改账号信息;(4)查询账号信息。管理用户的账号信息包括:(1)用户账号;(2)用户密码;(3)密码有效期;(4)用户所属角色:(5)附加说明。69
47、用户登录管理测试691测试目的网管系统应能提供完善的用户登录管理功能。692测试配置测试配置如图6所示。693测试步骤和预期结果在图形网管中检查下列网管项目:(1)只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户端必须同时满足存在于网管系统ACL表中的用户才能登录到网管系统;(2)登录的用户只具有已经被授权的指定操作;(3)登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对该管理账号进行锁定;(4)手工注销登录的用户;(5)手工或超时自动锁定客户端或退出。610在线用户管理功能测试6101测试目的网管系统应能提供在线用户管理功能。6102测试配置测试配置
