1、YD 中华人民共和国通信行业标准YD厅1359-2005路由器设备安全技术要求高端路由器(基于IPv4)Security requirements of high-end router 2005-06-21发布2005-11-01实施中华人民共和国信息产业部发布YD厅1359-2005目次前言.II l 范围.2 规范性引用文件3 术语和定义.4 符号和缩略语.25 概述.46 数据转发平面安全.d6.1 安全威胁.56.2 安全功能.67 控制平面安全107.1 安全威胁107.2 安全功能108 管理平面安全M8.1 安全威胁148.2 安全功能.14附录A(资料性附录)单播逆向路径转发.
2、四附录B(资料性附录)路由验证创附录C(资料性附录)硬件和操作系统.22附录D(资料性附录)安全日志的严重等级定义.23参考文献.24YD厅1359-2005目U昌本标准是支持IPv4的路由器系列标准之一,本系列的结构和标准名称预计如下:1. YD厅1096-2001路由器设备技术规范一一低端路由器;2. YD厅1098-2001路由器测试规范一一低端路由器;3. YD厅1097-2001路由器设备技术规范一一高端路由器;4. YD厅1156-21路由器测试规范一一高端路由器;5. 来确定不同的处理原则。对于路由器配置了缺省路由,但没有配置参数:的情况,不管是严格检查还是增强性检查,只要19
3、YD厅1359-2005报文的源地址在皿表中不存在,即使其找到缺省路由作为其相应的路由,该报文都将被URPF丢弃;对于路由器配置了缺省路由,同时又配置了参数的情况,如果是严格检查,只要源地址在m表不存在,而且缺省路由的出接口与报文的人接口一致,则报文将通过URPF检查,进行正常的转发,如果缺省路由的出接口与报文的人接口不一致,则报文将被URPF丢弃;如果是增强性检查,同时源地址在m表中不存在,不管缺省路由的出接口和报文的人接口是否一致,都将通过URPF检查,进行正常的转发。20 附录B资料性附录黯由验证YD厅1359-2005目前,多数路由协议支持路由验证,并且实现的方式大体相同。验证过程有基
4、于明文的,也有基于更安全的MD5校验。MD5验证与明文验证的过程类似,只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的消息摘要。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人在密钥传输的过程中窃取到密钥信息。使用MD5验证算法的路由协议有OSPF、R1P、ISIS和BGP。OSPF路由验证用于两个OSPF邻居之间的报文交换。邻居间应同意验证类型并验证通过,否则报文不被交换甚至根本无法建立邻居关系。OSPF验证类型包含在所有报文中。验证类型分为元验证、简单密码验证和MD5校验。R1P协议有R1Pvl和R1Pv2两个版本。R1Pvl是一种过于简单的路由选择协议,
5、不能配置和使用路由选择验证。R1Pv2支持路由验证,并且允许配置成使用明码口令或者MD5验证。在R1Pv2支持无验证、简单密码验证和MD5校验3种验证类型。BGP区别于内部网关协议,它是目前最为流行的外部网关协议。为了提高BGP的可靠性,BGP协议采用TCP来提供可靠的连接,因此BGP本身的刷新报文不再需要可靠性保证。为了防止被欺骗的TCP分段进入到连接流中,从而对BGP的连接进行攻击,TCP为BGP提供了TCPMD5签名选项。TCP岛。5签名选项的意思是在每个TCP分段中加人一个MD5摘耍,摘要的信息仅仅能够被连接的对端所识别,从而增强了基于TCP连接的BGP的安全。加人TCPMD5签名,攻
6、击者不但需要获得正确的TCP报文序列号,而且需要包含在MD5摘要中的密码。密码不会在连接流中传递,它最终在设备的应用层根据摘要形成。21 YD厅1359-2005C.1 硬件系统附录C资料性附录硬件和操作系统硬件系统主要包括硬件系统设计、密钥及系统程序保护设计等。C.1.1 硬件系统设计一在安全性要求比较高的场合,对与安全有关的元器件建议尽量采用具有自主知识产权的国产元器件,国内元法生产的元器件宜进行安全性测试后使用;一建议采用模块式的硬件结构,将涉及到安全的功能模块与通用模块分割处置,部分关键模块可使用物理遮盖的方法进行保护,或者采用国家有关管理部门批准使用的安全硬件系统;一对硬件系统的设置
7、宜采用强身份验证机制保护;一对于管理平面,可提供一个专用的管理接口,以用于建立专用的管理网络,实现管理和业务网络的物理隔离;一各类安全告警信号建议使用多种标示方式,如由打印机打印、在显示终端上显示且能用不同彩色或其他方式显示出各类安全告警信号的严重程度。C.1.2 密钥及系统程序保妒设计一对安全性要求较高的场合,高端路由器的密钥存储、运算和系统关键程序建议在硬件系统中单独设计,与系统其他部分物理分割,推荐使用遮盖或胶封等方法进行物理保护;一对于以明文存储的密钥建议进行分割存储,其他密钥或证书宜加密存储,并提供单独的存储空间;一建议提供密钥销毁功能。可通过菜单操作或某种直观的操作直接销毁硬件中存
8、储的密钥和算法或系统的关键程序。在更进一步的安全要求下,建议提供设备开箱自毁功能,即在外力强迫打开机箱时,系统提供对密钥、算法和关键程序的销毁功能。C.2 操作系统一推荐使用专用的操作系统,并对操作系统进行固化,禁止一些不常用的服务和应用,采用的操作系统不应有后门,不建议使用通用操作系统;一对加密ASIC所使用的驱动程序应经过国家有关管理部门的测试,并可以在高端路由器内定义到具体的内存、进程上下文;一对命令集的结构进行镇密的设计以及对输入的参数进行全面的检查处理;一对路由器资源的访问要能够进行权限限制和级别限制,如对管理员用户进行分级,为不同的管理员用户定义不同的管理能力,网络管理员用户可以显
9、示和修改配置和接口参数,而操作员用户只能够清除连接和计数器;一对各个进程及使用资源进行审计,应提供基于用户的审计功能,用户审计功能应记录用户的登录行为、用户对设备的操作行为等;一应具有备份版本、配置、日志记录等功能。22 YD厅1359-2005附录D资料性附录安全日志的严重等级定义安全日志的严重等级定义见表D.l。袋0.1安全日志的严重等级定义显示值严重等级描述Emergency 极其紧急的错误2 Al町t需立即纠正的错误3 Critical 关键错误4 Error 需关注但不关键的错误5 Warning 警告可能存在某种差错6 Notification 需注意的信息7 Informatio
10、nal 一般提示信息8 Debugging 调试信,息23 YD.厅1359-200524 GB 4943-211 YD厅1162.1-21YD.厅1162.2-2001YD厅1162.3-2001YD厅1163-2001YDff 1190-22 YDff 1260-23 口U-TX.509口飞J-TX.8ooEFRFC 1352 IETF RFC 1446 IETF RFC 1570 EFRFC 1631 IETF RFC 1962 IETF RFC 2078 IETF RFC 2084 IETF RFC 2228 EFRFC 2246 EFRFC 2315 IETF RFC 2401 IE
11、TF RFC 2402 IETF RFC 2403 EFRFC 2404 IETF RFC 2406 EFRFC 2408 EFRFC 2409 IETF RFC 2547 IETF RFC 2616 IETF RFC 2631 IETF RFC 2661 IETF RFC 2663 参考文献信息技术设备的安全多协议标记交换(MPLS)总体技术要求在ATM上实现MPLS的技术要求在帧中继上实现MPLS的技术要求E网络安全技术要求一一安全框架基于网络的虚拟E专用网(IP-VPN)框架基于端口的虚拟局域网(VLAN)技术要求和测试方法信息处理系统开放系统互连目录:验证框架信息处理系统开放系统互连基
12、本参考模型第二部分:安全框架SNMP安全协议SNMPv2安全协议PPPLCP扩展E网络地址翻译PPP压缩控制协议通用安全服务应用编程接口Web交易安全考虑回?安全扩展咀S协议(V1.O)PKCS#7:密码报文语法(V1.5) E协议安全框架E验证报文头在ESP和AH中使用HMAC-MD5-96在ESP和AH中使用HMAC-SHA-I-96P封装安全载荷互联网安全联盟和密钥协商协议互联网密钥交换基于BGP的MPLSVPN超文本传输协议Diffie-Hellrnan密钥协商方法二层隧道协议NAT术语和考虑的。Nl白的?Q中华人民共和国通信行业标准路由器设备安全技术要求一一高端路由器(基于IPv41YD/f 1359-25 人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:H削61电话:68372878 北京地质印刷厂印刷版权所有不得翻印* * 开本:880x1230 1116 印张:2 字数:54千字ISBN 7 - 115 - 1108/05 - 82 定价:20.元本书拥有印装质量伺蜀,请与本社联系电话:(010)68372878 25年8月第1版25年8月北京第1次印刷
