1、ICS 3304040M 32 Y口中华人民共和国通信行业标准YD厂r 1 906-2009IPv6网络设备安全技术要求核心路由器Security Requirements of Core Router Equipment Supporting IPv62009-06-1 5发布 2009-09-01实施中华人民共和国工业和信息化部发布目 次YD厂r 1906-2009前言II1范围l2规范性引用文件l3术语、定义和缩略语l4概述55数据转发平面安全66控制平面安全97管理平面安全12附录A(规范性附录)硬件系统和操作系统的安全要求17附录B(资料性附录)安全日志的严重等级定义18YD,T 1
2、906-2009下刖 目本标准是“路由器设备安全”系列标准之一,本系列的标准结构和名称预计如下:1YDT 13582005路由器设备安全技术要求中低端路由器(基于IPv4)2YDT 13592005路由器设备安全技术要求高端路由器(基于IPv4)3YDT 14392005路由器设备安全测试方法一高端路由器(基于IPv4)4YDfr 14402005 路由器设备安全测试方法一中低端路由器(基于IPv4)5YDT 19072009 IPv6网络设备安全技术要求边缘路由器6IPv6网络设备安全测试方法一边缘路由器7YDT 19062009 IPv6网络设备安全技术要求核心路由器8IPv6网络设备安全
3、测试方法一核心路由器本标准与6网络设备安全测试方法核心路由器配套使用。与本系列标准相关的标准还有“支持IPv6的路由器设备”系列标准,该系列的标准结构和名称如1YDT 14522006 IPv6网络设备技术要求支持IPv6的边缘路由器2YDT 14532006 IPv6网络设备测试方法支持IPv6的边缘路由器3YDT 14542006 IPv6网络设备技术要求支持IPv6的核心路由器4YDff 14552006 IPv6网络设备测试方法支持IPv6的核心路由器本标准的附录A为规范性附录,附录B为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准主要
4、起草人:赵锋、马军锋、魏亮IPv6网络设备安全技术要求核心路由器YD厂r 1 906-20091范围本标准规定了支持IPv6协议的核心路由器的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。本标准下文中所有对路由器的安全规定均指对支持IPv6的核心路由器的规定。本标准适用于支持IPv6的核心路由器设备。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注目期的引用文件,其最新版本适用于本标准。GBT
5、183362 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求YDT 1454-2006 IPv6网络设备技术要求支持IPv6的核心路由器IETFRFC2827(2000)网络入口过滤:防范基于口源地址伪造的拒绝服务攻击IETFRFC3704(2004)用于Multihome网络的入口过滤3术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311路由器 Routers路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层,网络层,应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCPIP协议簇,工作在层上的网
6、络设备。路由器需要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理端13。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表决定输出端口以及下一条路由器地址或主机地址并且重写链路层数据包头。路由表必须动态维护来反映当前的网络拓扑。路由器通常通过与其他路由器交换路由信息来完成动态维护路由表。路由器只提供数据包传输服务。为实现路由选择的通用性和鲁棒性(Robust),路由器的实现应使用最少状态信息来维持上述服务。312核心路由器Core RoutersYD厂r 1 906-2009通常位于网络骨干层,用作扩大互联网的路由处理能力和传输带宽的路由器。在本标准
7、中,要求核心路由器的系统交换容量至少达到60GbiVs。313访问控制Access Control防止未经授权使用资源。314授权Authorization授予权限,包括根据访问权进行访问的权限。315密钥管理Key Management根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。316安全审计Secudty Audit对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统与现行策略和操作程序保持一致、探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。3t7数字签名Digital Signature附在数据单元后面的数据,或对数据单元进行密码变换得到
8、的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。318否认Repudiation 参与通信的实体否认参加了全部或部分的通信过程。319可舟性Availability根据需要,信息允许有权实体访问和使用的特性。3110保密性Confidentiality信息对非授权个人、实体或进程是不可知、不可用的特性。3111数据完整|生Data Integrity数据免遭非法更改或破坏的特性。3112安全服务Security Service由通信的系统提供的,对系统或数据传递提供充分的安全保障的一种服务。3113安全策略Security Policy提供安全服务的一
9、套规则。2YD厂r 1906_20093114安全机制Security Mechanism实现安全服务的过程。3115拒绝服务Denial of Service阻止授权访问资源或延迟时间敏感操作。3116防重放Anti-Replay防止对数据的重放攻击。3117信息泄露Information Disclosure指信息被泄露或透漏给非授权的个人或实体。3118完整性破坏Integrity Compromise(Damage)数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。3119非法使用Illegal Use资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。
10、32缩略语下列缩略语适用于本标准。3DES Triple Data Encryption Standard 三重数据加密标准ACL Access Control List 访问控制列表AES Advanced Encryption Standard 先进加密标准ARP Address Resolution Protocol 地址解析协议BGP BGP4 Border Gateway Protocol 边界网关协议CAR Committed Access Rate 承诺接入速率CBC Cipher Block Chaining 密码块链CHAP Challenge-Handshake Authe
11、ntication Protocol 质询握手认证协议CoS Class of Service 业务类别CPU Central Processing Unit 中央处理器DNS Domain Name Service 域名服务DoS Denial of Service 拒绝服务DSS Digital Signature Standard 数字签名标准HMAC Hashed Message Authentication Code 散列消息认证码ICMPv6 Internet Control Messages Protocol Version 6 互联网报文控制协议版本6IDEA Internat
12、ional Data Encryption Algorithm 国际数据加密算法YD厂r 1 906-20094IKEIPv6IPSeeISISMACMD5MODPMPLSNTPOAMPOSPF脚PFSRmPPPRSASHASHA1SNMPSNMPvlSNMPv2cS卜mIP、r3SSHSSHvlSSHv2SSLTCPTFrPTLSUDPURPFUSMVLANVPNVRFIntemet Key ExchangeInternet Protocol Version 6Intemet Protocol SecurityIntermediate System to Intermediate Syste
13、mMedia Access ControlMessage Digest Version 5Modular Exponentiation GroupMulti-protocol Label SwitchingNetwork豇me ProtocolOperation,Administration,Maintenance and ProvisioningOpen Shortest Path FirstPassword AUthentication ProtocolPerfect Forward SecrecyRouting Information ProtocolPoint-t0-Point Pro
14、tocolRivest,Shamir and Adleman AlgorithmSecure HashAlgorithmSecure HashAkofithm lSimple Network Management ProtocolSNMP version 1SNMP version 2cSNMP Version 3Secure ShellSSH Version lSSH Version 2Secure Socket LayerTransmission Control Protocol26vial File Transfer ProtoColTransport Layer SecurityUse
15、r Datagram ProtocolUnicase Reverse Path ForwardingUser-based Security Modelrcual Local Area NetworkVirtual Private NetworkVPN Routing and Forwarding互联网密钥交换互联网协议版本6互联网协议安全中间系统到中间系统协议媒介访问控制消息摘要版本5模求幂组多协议标记交换网络时间协议操作、管理、维护和配置开放最短路径优先协议口令认证协议完美前向保密路由信息协议点到点协议RSA算法安全散列算法安全散列算法版本1简单网络管理协议SNA伊版本1SNMP版本2cSN
16、MP版本3安全外壳SSH版本1SSH版本2安全套接层传输控制协议简单文件传输协议传输层安全用户数据报协议单播反向路径转发基于用户的安全模型虚拟局域网虚拟专用网VPN路由和转发YD厂r 1 906-20094概述路由器通过转发数据报文来实现网络的互联,一般支持TCPIP协议。核心路由器一般位于网络的核心,承担网络骨干段上数据的转发,具有较高的转发性能和较强的路由能力。核心路由器在网络中处于重要位置,容易受到来自网络和其他方面的威胁。这些安全威胁可以利用设备的脆弱性对设备造成一定的损害。设备被攻击后,网络的性能和正常运行受到很大的影响。因此,核心路由器本身应具备较强的抗攻击能力。此外,网络上传输的
17、大量报文要通过路由器转发,因此核心路由器要为网络提供一定的安全服务,包括为企业的内部网络和公共网络提供安全服务。核心路由器的主要功能是承担数据转发。为了完成这个功能,必须通过信令协议获得网络拓扑等信息。另外,核心路由器也要为管理员和网络管理系统提供管理接12,方便系统的管理和维护。因此,本标准将路由器功能在逻辑上划分为三个功能平面。(1) 数据转发平面:主要指为用户访问和利用网络而提供的功能,如数据转发等。(2)控制平面:也可以称为信令平面,主要包括路由协议等与建立会话连接、控制转发路径等有关的功能。(3)管理平面:主要指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支
18、持FCAPS(Fault,Capacity,Administration,Provisioning,and Security)功能。管理平面消息的传送方式有两种:带内和带外。 、为了抵御网络攻击,核心路由器应提供一定的安全功能。本标准引用GBT 183362中定义的安全功能并应用到核心路由器中,这些安全功能包括:一标识和鉴别,确认用户的身份及其真实性;一用户数据保护,和保护用户数据相关的安全功能和安全策略;一系统功能保护,安全数据(76t;成安全功能所需要的数据,如用户身份和口令)的保护能力;一资源分配,对用户对资源的使用进行控制,不允许用户过量占用资源造成的拒绝服务;一安全审计,能够提供日志
19、等审计记录,这些记录可以用来分析安全威胁活动和对策;一安全管理,安全功能、数据和安全属性的管理能力;一可信信道,路径,核心路由器之间以及核心路由器同其他设备之间间通信的信遍路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来:一系统访问,本安全功能要求控制用户会话的建立。路由器安全框架如图1所示。为了保证核心路由器及其转发数据的安全,需要为核心路由器制定安全策略,作为指导安全功能实施的纲领,并在实施过程中,将安全策略映射到数据转发平面、控制平面和管理平面中的安全功能和实现技术。硬件系统和操作系统是核心路由器本身的安全的重要因素,对硬件系统和操作系统的要求参见附录A。5YD厂r 1
20、906-2009翻簿b?g!-_zT:1霪蘩l;$谬萎:|曩iI 叮一卅Z_I,7i7jzF1髫|够鞭磐黪|I,N图1路由器安全框架5数据转发平面安全51安全威胁数据转发平面负责处理进入设备的流量,因此基于流量的攻击会给路由器的转发带来影响,例如,大流量攻击会造成设备不能正常处理合法流量,而畸形的报文可能会占用设备大量的处理时间,非授权用户可能使用网络资源,造成网络的可用性降低,甚至崩溃。未授权观察、修改、插入、删除报文,对数据流的流量分析,都会使报文和数据流的保密性和完整性受到影响。对数据转发平面的安全威胁主要有以下方面,但并不局限于这些方面:一对数据流的流量分析,从而获得敏感信息;一未授权
21、观察、修改、插入、删除数据流;一拒绝服务攻击,降低设备的转发性能。52安全功能521标识和鉴别核心路由器提供用户访问控制能力,通过标识和鉴别功能决定用户的身份,并通过授权系统向每个用户分配相应的权限,相关能力要求参见YDT 1454-2006(IPv6网络设备技术要求支持IPv6的核心路由器。52_2用户数据保护用户数据保护功能实现对用户数据的完整性、可用性和保密性保护。完整性、可用性和保密性一般可以通过验证技术和加密技术获得,如IPSec,也可以通过隔离用户流量,不允许一个用户访问其他的用户数据来实现。通过VPN能够实现将属于不同管理域的用户进行隔离,能够防止一个管理域的用户访问另外一个管理
22、域的数据,也是用户数据保护的一个重要机制。5_221用户数据保护6YD厂r 1906-2009PScc在心层上为报文提供安全保证,IPSec提供了数据保密性、数据源认证、数据完整性和抗重放等安全服务。IPSec是一个IP安全体系,由PSec框架、AH和EsP安全协议以及IKE密钥管理协议组成。核心路由器可支持IPSec协议。当支持IPsec协议时,对IPSec的特性要求如下:一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,可支持All和ESP协议的嵌套封装;一AH和ESP协议应支持HMACSHAl96算法,可支持HMACSHAl96认证算法,ESP协议应支持3DESCB
23、C、AES等加密算法,可支持国家相关部门规定的加密算法,应支持空加密算法和空认证算法,但二者不应同时使用。对IKE的特性要求如下:一支持安全联盟的手工管理,可支持IKE自动管理。手工管理安全联盟时,可支持以十六进制配置算法所需密钥,应支持任意长度字符串形式配置密钥:一第一阶段应支持主模式和野蛮模式,第二阶段应支持快速模式,还应支持信息交换;一第二阶段交换中应支持完美前向保护特性;一第一阶段中应能指定发起模式;一应支持预共享密钥认证方式, 可实现RSAm1密nonce验证和数字证书认证方式;一应支持HMACMD596和HMACSHAl96认证算法,支持MD5和SHAl散列算法,应支持3DESCB
24、C和AES等加密算法,可支持国家相关部门规定的加密算法;一密钥交换应支持MODPGroupl、MODPGroup2等Diffie-Hellman组。523系统功能保护对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。524资源分配用户能够占用的网络资源数量和方式对网络的可用性有很大影响,所以核心路由器必须要提供资源分配能力,包括抗大流量攻击能力、抗畸形包处理能力和流量控制能力。访问控制列表和流量控制能够有效限制非法的用户资源访问。5241 常见网络攻击抵抗能力针对己知的各种攻击,核心路由器设备应能够进行处理,并且不影响路由器正常的数据转发。当核心路由器检测到
25、攻击发生,应该生成告警。下面几种常见的攻击,核心路由器应也能够处理。52411抗大流量攻击能力大流量可以分成两种类型,一种是流经流量,即需要宽带接入服务器转发的流量,对于这类攻击,核心路由器宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略;另一种流量的目的地就是核心路由器本身,这类攻击可能会占用被攻击设备的大量CPU处理时间和内存,严重的甚至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,核心路由器可采取过滤和丢弃策略,同时应将必要的信息(如报文类型、源地址以及攻击时间等)记录到安全日志中,同时路由器还应完成路由协议和管理报文的正常发送和接收处理。5
26、2412抗畸形包能力由于网络环境的复杂性以及恶意攻击、用户好奇和病毒等,也可能由于传输链路本身被干扰和程序处理错误等原因,会导致网络上出现各种各样的错误报文和畸形报文。这些报文如果不能妥善处理,往7YDT 1 906-2009往会造成路由器设备瘫痪、崩溃,失去服务能力。路由器设备不断发生崩溃恢复的过程可能导致整个网络处于不稳定状态,所以核心路由器设备应具有良好的畸形报文处理能力:一核心路由器应能够检测超锄长报文并采取丢弃策略,同时对这种报文进行统计;一核心路由器应能够检测到链路层错误报文并采取丢弃策略,同时要求进行日志记录和统计;一核心路由器应能够检测网络层报文错误并采取丢弃策略,同时必须进行
27、错误报文统计;一核心路由器对各种路由器必须处理的上层协议报文错误应能够检测出来并采取丢弃策略,同时进行统计;一核心路由器不能由于错误报文畸形报文而崩溃;一核心路由器本身不应发出错误报文畸形报文。52413 IP地址哄骗防范针对网络中源地址哄骗报文,核心路由器应实现单播逆向路径转发(uRIF)技术来过滤这类报文,禁止其在网络中传播。5242流量控制核心路由器需要转发大量的网络流量,其中一些流量的目标可能是攻击网络中其他设备,核心路由器应提供流量控制能力,为网络提供安全保护服务。对流量控制需要通过访问控制列表的方式实现,关于访问控制列表的具体要求参见5282节,本标准要求在启动大量访问控制列表的情
28、况下不能影响核心路由器的线速转发能力。52421流量监管流量监管也就是通常所说的CAR,是流分类之后的动作之一。通过CAR可以限制从网络边缘进入的各类业务的最大流量,控制网络整体资源的使用,从而保证网络整体的可靠运行。针对可能被攻击的流都应制定服务水平协议(SLA)。SLA中包含每种业务流的流量参数:承诺速率、峰值速率、承诺突发流量和峰值突发流量,对超出SLA约定的流量报文可指定给予通过、丢弃或降级等处理。此处降级是指提高丢弃的可能性,降级报文在网络拥塞时将被优先丢弃,从而保证在SLA约定范围内的报文享受至IJSLA约定的服务。5-25安全审计对于用户流量,核心路由器要求能够提供流量日志能力,
29、相关的要求见725节。5-26安全管理要能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接H系统等方式。5_27可信信道路径 、核心路由器间以及核心路由器同其他设备间通信的信道,路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。VPN能够将VPNI为的用户数据同VPN外部或其他VPN的数据隔离开来,能够提供可信的通信信道,路径,对VPN功能的要求见5283节。5-28系统访问5281 过滤功能应支持IETF RFC 2827和IETF RFC 3704规定的包过滤器。8YD厂r 190分-20095282访问控制列表访问控制列表(A
30、CL)是基于报文的内容,如MAC地址、口地址、协议和端口等,指定的安全规则表,对每个进出路由器的报文通过与这些规则匹配,确定对其处理动作。ACL在定义上应分为两级,第一级称为规则组,第二级称为规则。使用时以规则组为单位,每个规则组由一系列规则组成,规则和规则组共同完成对某类投文的访问控制功能。ACL规则组应支持使用数字或者字符串作为标识。以便于使用。ACL规则组可支持设定内部规则在查找时的匹配顺序,至少实现按照配置顺序查找。ACL规则是对报文进行分类的实际依据,核心路由器支持的ACL规则要求如下:一支持基于源地址、目的地址、协议类型、源端口号、目的端口号等元素的访问控制i一可支持基于源MAC地
31、址的访问控制;一ACL规则中定义,同时指定匹配时应执行的动作:允许或禁止;一ACL规则应提供选项,支持对ICMPv6报文过滤:一可支持基于IPv6头部的流量类别域和流标签域过滤;一应支持对报文优先级过滤;一可支持仅在指定的时间段对报文过滤,一可支持对报文匹配情况统计计数和记入日志等。在核心路由器中,每端口可支持lk项或每接口板可支持4k以上的ACL规则,而不使性能明显下降。5283 VPN功能VPN利用公共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。核心路由器应能根据设备处于网络不同位置,支持相应的VPN技术和特性,对于基于MPLS实现的VPN:一不管是L2
32、VPN还是L3 VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进入到另一个VPN;一当同时支持VPN服务和互联网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和互联网服务时,可基于逻辑接口对接入速率进行限制。6控制平面安全61安全威胁对控制平面的安全威胁主要有以下几个方面,但并不局限于这些方面:一对防议流进行探测、或者进行流量分析,从而获得转发路径信息:一获得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等;一利用协议流实施的拒绝服务攻击;一非
33、法设备进行身份哄骗,建立路由协议的信任关系,非法获得转发路径信息;一针对路由协议、MPLS标签分配协议等的转发路径信息的欺骗。62安全功能621标识和鉴别9YD厂r 1 906-2009控制平面的信息应验证数据源的身份,只有其来源于验证通过的数据才被接受,路由协议应提供这个功能。6211 ND用户认证当用户通过邻居发现(ND)协议自动配置Pv6地址时,路由器应能对该类用户进行认证,认证方式可采用本地认证、RADIUS认证等。6212 PPP用户认证PPP作为一种数据链路层协议,本身并不具备完善的安全能力。其认证阶段应选用CHAP协议,而不能选用明文口令的PAP协议,以避免用户口令被侦听。621
34、3路由认证路由的安全是路由器执行正常功能的重要基础。动态路由协议可以分为IGP和EGP两类,对于核心路由器,目前广泛采用的IGP有OSPFv3和ISISv6协议,EGP主要是BGP4+协议。其中:一OSPFv3应支持协议报文的MD5认证,在实现上应依赖疋认证头和妒安全载荷封装头来提供交互实体的鉴别和路由交互信息的完整性和保密性;一ISISv6应支持明文认证和MD5认证,应实现基于链路、Levell和level2域的认证;一BGP-4+应支持协议报文的MD5认证,应通过使用TCP MD5签名选项来保护BGP会话。对于MPLS,用于建立-LSP的标记分配协议主要有RSVP-TE和LDPCR-LDP
35、两种。LDPCR-LDP发现交换过程使用的消息由uDP协议承载,对于基本Hello消息,核心路由器应只接受与可信LSR直接相连的接口上的基本Hello消息,忽略地址不是到该子网组播组的所有路由器的基本Hello消息;对于扩展Hello消息,可利用访问列表控制只接受允许的源发送来的扩展HeHo消息。LDP会话过程使用的消息由TCP协议承载,应通过TCP MD5签名选项对会话消息进行真实性和完整性认证。一RSVPTE应通过加密的散列算法支持实体的认证,从而实现逐跳的认证机制,应支持HMACMD5算法和HMACSHAl算法。622用户数据保护对于控制平面的信息,应能够防止恶意用户篡改,因此对控制数据
36、要提供完整性保护,路由协议应支持对路由信息的完整性验证,如路由协议本身的验证机制。此外,也可以采用通用安全协议来保护控制信息,如用IPSec为BGP协议提供保密性和完整性保护。623系统功能保护安全数据应要得到妥善的保护。624资源分配核心路由器中控制信息数量相对于用户数据要少,但是核心路由器要具有能够拒绝明显的利用控制信息过量耗用资源的能力,如策略路由和路由过滤能力。此外,一些攻击利用控制协议及其实现技术上的安全缺陷,对核心路卣器发起攻击,造成通信和设备故障。核心路由器要具备抵御此类攻击的能力,包括能够关闭一些不常用但是容易被攻击者利用的口服务。6241关闭一些IP服务62411 JCMPv
37、6协议10YD厂r 1906-2009ICMPv6用于网络操作和排障,核心路由器需要实现ICMPv6协议的一些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:一Type=1目的地不可达:一Type=2分组过大:一Type=3超时:一Type=4参数错误;一Type=128回显请求;一Type=129回显应答。路由器可按照ICMPv6消息的类型,源、目的地址类型和范围(单播、组播,本地链路、全局)或者是错误消息的错误码对ICMPv6消息进行过滤。62412重定向功能路由器应能够关闭路由重定向功能,避免攻击者通过路由重定向截取用户数据。62413其他服务对于下列TCP和UDPd、端
38、口服务,应缺省关闭这些服务,或者不提供这些服务:一Echo:Chargen;Finger;一NTP等。625安全审计对控制平面的信息要提供日志记录功能,特别是对设备的路由表等重要数据有影响的控制数据,关于日志的要求见725节。核心路由器可以支持端口镜像功能,通过配置,将系统中某个端1:3的部分或全部流量镜像到其他端口,出方向的报文和入方向的报文可以分别镜像到不同的端口。端口镜像时,对报文不作修改,有如下两种镜像方式:一一对一端口镜像,把一个端口的流量全部原封不动地拷贝到指定的镜像端口:一多对一端口镜像,从多个端口上分别拷贝部分流量到指定的镜像端口。626安全管理要能够提供控制平面的安全功能和安
39、全数据管理能力,管理方式包括但不限于控制台、远程连接或网络管理接1211系统等方式。627可信信道,路径核心路由器之间以及核心路由器同其他设备之间的控制信息通信的信道,路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。6-28系统访问控制平面的系统访问应建立在对控制信息及其数据源的标识和验证的基础上,对于不能通过验证的数据源,来自该数据源的报文被丢弃,并记录在本地或远程的日志系统中。对于MPLS VPN,VPN内部的控制信息在VPN之间和VPN与MPLS骨干之间应该相互隔离,互不干扰。6281路由过滤、D仃1906-2009路由过滤可以控制路由协议对路由信息的发布和接收,可以
40、只发布某些指定的路由,也可以只接收符合某些条件的路由,这样可以在满足需要的前提下减少路由器的资源消耗,达到更好的性能,避免路由攻击。在接收和发布路由信息时,应支持按球地址、自治系统路径、团体属性进行过滤。6282 MPLS VPN6_2821 L2 VPNVPN之间MAC地址和VLAN信息应相互隔离,VPN之间或VPN和MPLS骨干之间应可以复用MAC地址空间和VLAN空间。一除非需要,VPN之间或VPN和MPLS骨干之间的交换信息应相互隔离。一可实现VPN使用的路由器资源(如CPU、内存等)的相互隔离,防止因一个VPN独占资源而造成的对于其他VPN的DoS攻击。62822 L3 VPN常用的
41、L3 VPN技术是BGPMPLS VPN,BGPMPLS VPN实质上是通过BGP协议约束路由信息分配的MPLS,对L3 VPN要求如下:一应支持静态路由算法和动态路由算法。对于动态路由算法,建议具有在接口上过滤路由更新的能力,IGP和EGP路由协议都应支持MD5认证,并可基于VRF实例限制路由更新的速度。一VPN之间的拓扑和编址信息应相互隔离。一个VPN应能使用所有互联网地址范围,VPN之间或)N和MPLs骨干之间应可以复用IP地址空间。一应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之间的路由信息及其分发和处理应相互独立,互不干扰。7管理平面安全71安全
42、威胁对管理平面的安全威胁主要有以下方面,但并不局限于这些方面:一对数据流进行流量分析,从而获得设备有关的系统配置信息:一未授权观察、修改、插入、删除数据流。一未授权地访问管理接口,控制整个设备。一利用管理信息流实施拒绝服务攻击。72安全功能7,21标识和鉴别对设备的管理用户都需要标识和鉴别,标识和鉴别是系统访问的基础。7211 ToInet访问核心路由器应支持Telnet访问功能。Telnet访问时应提供用户身份验证和对用户账号的分级管理机制。能够限带lJTelnet连接的数量,Telnet访问应提供终端超时锁定功能,还要支持对Telnet用户权限的控制功能。能够对针对Telnet的密码试探攻
43、击进行防护,可对同一个P地址使用延时响应机制,也可利用限定来自同一个口地址的登录尝试次数。7212串口访问核心路由器可支持串口访问功能。串口访问时应提供用户身份验证和对用户账号的分级管理机制。串口访问应提供终端超时锁定功能。12YD厂r 1 906-20097213 SSH访问SSH是在不安全的网络上为远程登录会话和其他网络服务提供安全性的一种协议,对SSH务的要求如下:一应支持SsHvl和SSHv2两种版本:一用户应通过身份验证才能进行后续的操作,用户地址和操作记入日志,核心路由器应支持口令验证,可支持公钥验证,可实现基于主机的验证;一SSHJR务器可采用验证超时机制,在超时范围内没有通过验
44、证应断开连接,可限制客户端在一个会话上验证尝试的次数:一SSHv2应支持用于会话的加密密钥和验证密钥的动态管理,支持DiffieHellman组14的密钥交换,在密钥交换过程中协商密钥交换算法、对称加密算法和验证算法等,并对服务器端进行主机验证;一应支持I-IMACSHAl验证算法,可支持HMACSHAl96验证算法,可实现HMACMD5、HMACMD596等验证算法;一应支持3DESCBC对称加密算法,可实现BlowfishCBC、IDEACBC、CASTl28一CBC、AES256-CBC、AESl28一CBC等对称加密算法;一对于不对称加密算法,应支持SSHDSS,可实现SSHRSA;一
45、可限定用户通过哪些地址使用sSH月R务对设备进行访问;一应支持必要时关闭SSHJ1务。7214 SNMP安全性SNMP是最常用的网络管理协议,它提供了网管站和位于被管设备中的代理之间的通信接口。因为网络管理能够改变设备的配置、了解设备的运行状况和运行参数,所以网络管理接口的安全性就非常重要。SNMPvl本身只能提供非常弱的安全保护能力,在SNMPvl中代理和管理站之间的通信除依靠团体串验证外不作任何安全设置,一旦团体串被泄漏,则会给网络设备带来很大的安全风险。此外,经验丰富的黑客可以对SNMP报文进行截获。如在适当的时候发送报文则会造成网络设备异常,如其恶意更改报文内容并进行发送,则给网络带来
46、的安全威胁更大。SNMPv2提供了一定的安全机制,但是没有得到广泛的实施,不支持SNMPv2安全机制的实现成为SNMP、,2c。SNMPv3是一个安全的网络管理协议,能够提供支持基于视图的访问控制(VACM)和基于用户的安全模型(USM)等安全机制,能够提供完善的安全保护。核心路由器可支持SNMPvl、SNMPv2c,但是应提供禁用功能,并且缺省应该是禁用的。核心路由器应支持SNMPv3的网络管理接口。提供SNMPvl和SNMPv2c应可以和访问控制列表相结合,控制非法网管接入设备,同时不使用PublicPrivate作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且在适当的时机提示
47、管理员修改团体名。722用户数据保护对于管理数据要能够提供保护能力,如SSH和SNMPv3通过本身的数据保护机制实现管理数据的完整性或,和保密性。723系统功能保护13YD厂r 1 906-2009与管理相关的安全数据应得到妥善的保护。724资源分配管理数据是系统运行的重要数据,系统要保证管理系统获得足够的运行资源,但是不能因此显著影响控制平面和数据转发平面的正常工作。此外,通过管理平面提供的设备补丁下载功能应该得到严格的管理,不应该被用来对设备资源实施恶意占用。管理平面的资源分配安全参见524节。725安全审计管理平面不仅要应提供安全日志功能,如用户操作日志,同时可提供日志分析功能或具备为日志分析提供接口的能力。7251 安全日志安全日志作为核心路由器重要的输出信息,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。安全日志应按信息的严重等级或紧急程度划分等级,越紧急的日志,严重等级越高。核心路由器应该提供按信息严重等级来进行日志过滤的功能,当向管理
