IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求 第1部分：核心路由器 征求意見稿

7IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求和測試方法第1部分：路由器本文件提出了支持IPv6能力的路由器的安全架構(gòu)，確立了數(shù)據(jù)平面、控制平面、管理平面等安全本文件適用于支持IPv6能力的路由器設(shè)備的設(shè)計、開發(fā)下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修GB/T41268-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全GB/T41269-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全1）路由器基于路由協(xié)議機制和算法來選擇路徑或路由以實現(xiàn)建立和控制網(wǎng)絡(luò)間的數(shù)據(jù)流，網(wǎng)絡(luò)自身可以基于不4縮略語ACL：訪問控制列表（AccessControlList）AH：認證頭（AuthenticationHeader）BGP：邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocBGP4+：IPv6邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocolforIPCLI：命令行接口（command-lineinterCGA：加密生成地址（CryptographicallyGeneratedAdCPU：中央處理器（CentralProcessingDAD：重復(fù)地址探測（DuplicateAddressDetetio8DoS：拒絕服務(wù)（DenialofServiDDoS：分布式拒絕服務(wù)（DistributedDenialofServiDUT：被測設(shè)備(DeviceUnderTeESP：封裝安全載荷（EncapsulationSecurePFlowSpec：流量規(guī)范（FlowSpecificatHMAC：散列消息驗證碼（HashedMessageAuthenticationCodICMPv6：互聯(lián)網(wǎng)控制管理協(xié)議版本6（InternetControlManagementPIPv6：互聯(lián)網(wǎng)協(xié)議版本6（InternetIPsec：互聯(lián)網(wǎng)協(xié)議安全（InterneIS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoILAND：局域網(wǎng)拒絕服務(wù)（LocalAreaNetworkMAC：媒質(zhì)訪問控制（MediaAccessControl）MD5：消息摘要版本5（MessageDigestVersion5）MPLS：多協(xié)議標記交換（Multi-protocolLabelSwitching）NA：鄰居通告（NeighborAdvertisement）ND：鄰居發(fā)現(xiàn)（NeighborDiscovery）NUD：鄰居不可達探測（NeighborUnreachabilityDetection）NS：鄰居請求（NeighborSolicitation）OSPF：開放最短路徑優(yōu)先版本3（OpenShortestPathFPIMv6：協(xié)議無關(guān)多播（ProtocolIndependentMulticastVersiRA：路由器通告（RouterAdvertiseRIPng：下一代路由信息協(xié)議（RoutingInformationProtocolNextGeneROA：路由來源授權(quán)(RouteOriginationAuthoriRPKI：資源公鑰基礎(chǔ)設(shè)施(ResourcePublicKeyInfrastruRS：路由器請求（RouterSolicitRSA：RSA算法（Rivest，ShamirandAdlemanAlgoSHA：安全散列算法（SecureHashAlgSLLA：源鏈路層地址（SourceLink-LayerASNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProSRH：段路由擴展頭(SegmentRoutingSRv6：基于IPv6轉(zhuǎn)發(fā)平面的段路由（SegmentRoutinTCP：傳輸控制協(xié)議（TransmissionControlProTLS：傳輸層安全（TransportLayerSecurUDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocoURPF：單播反向路徑轉(zhuǎn)發(fā)（UnicaseReversePathForwarding）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）9路由器是IPv6網(wǎng)絡(luò)中重要的網(wǎng)絡(luò)設(shè)備，負責IPv6數(shù)據(jù)報文的轉(zhuǎn)發(fā)功能。在網(wǎng)絡(luò)中此類設(shè)備容易遭受到來自網(wǎng)絡(luò)和其他方面的威脅，這些安全威脅可以利用設(shè)備的脆弱性對設(shè)備進行攻擊，設(shè)備被攻擊b)控制平面：主要包括路由協(xié)議等與建立會話連接、控制轉(zhuǎn)發(fā)路徑等有關(guān)的功能；d)資源分配：對系統(tǒng)資源的使用進行控制，不允許過量占用系統(tǒng)資源造成拒絕服務(wù)；應(yīng)用層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層安全管理系統(tǒng)功能保護安全審計資源分配可信信道標識和鑒權(quán)管理平面控制平面數(shù)據(jù)平面安全策略脆弱性威脅a）SRv6域內(nèi)SID空間統(tǒng)一分配，不將SRv6域內(nèi)b）SRv6源節(jié)點對流量進行過濾，丟棄源地址或目的地址是SRv6域內(nèi)的路由器可支持DHCPv6Snooping功能，對用戶流量的IPv6地址、MAC地址等進行校驗，防止非法流AH、ESP和IKE等協(xié)議組成。路由器應(yīng)具有端口線速轉(zhuǎn)發(fā)的能力，對于超過端口處理能力的IPv6流量可以采用按比例丟棄的策IPv6報文類型、IPv6源地址以及攻擊時間等）記錄到安全日志中，以具備防范針對路由攻擊者通過向目標系統(tǒng)發(fā)送有缺陷的IPv6報文，使得目標系統(tǒng)在處理這樣的IPv6包時會出現(xiàn)崩潰，路由器應(yīng)支持對ND非法報文(NS/NA/RS/RA/Redirecb)非分片報文且未命中本機路由的丟棄。針對網(wǎng)絡(luò)中IPv6源地址欺騙報文，可通過URPF技術(shù)來過濾這類報文，禁止其在網(wǎng)絡(luò)中傳播。路由用到設(shè)備的數(shù)據(jù)平面，對占用帶寬資源或?qū)Ψ?wù)器攻擊的流量進行過濾與控制，從而能夠減輕路由器應(yīng)支持攻擊溯源功能，采樣攻擊報文分析生成攻擊溯源事件日志或告警，內(nèi)容包括攻擊報路由器可支持基于流的采樣功能，利用采樣可以對路由器轉(zhuǎn)發(fā)的IPv6數(shù)據(jù)報文進行監(jiān)測，作為一種安全監(jiān)測手段了解業(yè)務(wù)運行狀況，如采樣監(jiān)測具有特定目的地址的IPv6報文，可分析對關(guān)鍵服務(wù)器路由器應(yīng)支持僅高等級權(quán)限用戶能對數(shù)據(jù)平面的安全功能進完整性和可用性，同時對路由通告者進行身份認證，以免攻擊者通過仿冒路由對等體發(fā)布不正a)OSPFv3應(yīng)支持使用安全算法b)IS-ISv6應(yīng)支持使用安全算法進行協(xié)議報c)BGP4+應(yīng)支持使用安全算法進行協(xié)議報e)開啟不安全算法時可支持提示安全路由器應(yīng)支持路由策略和路由過濾功能，實現(xiàn)IPv6路由協(xié)議對路由信息的發(fā)布和接收時，可以只發(fā)布某些指定的路由信息，也可以只接收符合某些條件的路由信息。應(yīng)支持按IPv6地址、自治系統(tǒng)路路由器應(yīng)支持僅高等級權(quán)限用戶能對控制平面的安全功能路由器標識和鑒別要求應(yīng)符合GB/T41269-2022a)路由器應(yīng)支持SSH，保證與管理系統(tǒng)(管理用戶)間b)路由器應(yīng)支持TLS，保證與日志服務(wù)器間數(shù)據(jù)傳輸安全。路由器訪問控制安全要求應(yīng)符合GB/T41269-2022中b)SSH服務(wù)器可采用認證超時機制，在超時范圍內(nèi)沒有通過認證應(yīng)斷開連接，可限制客戶端或f)應(yīng)支持安全的認證、加密、密鑰交換等密碼算法套件，開啟不安全的認證、加密、密鑰交換b)可支持SNMPv1和SNMPv2c，路由器應(yīng)具備抵御管理平面協(xié)議常見攻擊能力，路由器安全審計要求應(yīng)滿足GB/T41269-20路由器應(yīng)支持管理平面的敏感數(shù)據(jù)(如認證憑據(jù)）加密保存，在用戶界面顯示的內(nèi)容中不能出現(xiàn)敏路由器可支持設(shè)備啟動時以硬件可信根為起點，逐級校驗啟動鏈上固件或軟件的數(shù)字簽名保證其路由器應(yīng)支持僅高等級權(quán)限用戶能對管理平面的安全功能路由器可支持檢查不安全配置的能力，能夠檢查系統(tǒng)中GB/TXXXXX.1—XXXX路由器可支持證書管理功能，支持證書導(dǎo)入/更新、證書過期告警、證書吊銷列表的導(dǎo)入與更新等功能。6.3.7.4密碼要求本文件凡涉及密碼算法的相關(guān)內(nèi)容，按照國家有關(guān)規(guī)定實施。7測試方法7.1測試環(huán)境測試環(huán)境1如圖2所示。AB圖2測試環(huán)境1測試環(huán)境2如圖3所示。圖3測試環(huán)境2測試環(huán)境3如圖4所示。GB/TXXXXX.1—XXXX 圖4測試環(huán)境3測試環(huán)境4如圖5所示。圖5測試環(huán)境4測試環(huán)境5如圖6所示。AB測試儀表圖6測試環(huán)境5測試環(huán)境6如圖7所示。圖7測試環(huán)境6測試環(huán)境7如圖8所示。圖8測試環(huán)境7圖中測試儀表與DUT間均采用同種接口相連。7.2數(shù)據(jù)平面安全測試7.2.1.1SRv6報文鑒別功能該測試項包含如下內(nèi)容：a)預(yù)置條件：按照圖8測試環(huán)境7搭建好測試環(huán)境；c)預(yù)期結(jié)果：在DUT2和DUT3上可以查詢到SRv6域內(nèi)分配的SID,在DUT1上無法查詢SID地址d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.1.1.2SRv6源節(jié)點報文過濾功能該測試項包含如下內(nèi)容：a)預(yù)置條件：按照圖8測試環(huán)境7搭建好測試環(huán)境；口1,丟棄源地址或目的地址是SRv6域內(nèi)的SID空間地址的報文，從儀表接口A向儀表接口B發(fā)送符合過濾條件的SRv6報文，有預(yù)期結(jié)果；d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.1.1.3跨域SRv6B3)儀表接口A發(fā)送目的地址不是BindingSID的SRv6報文，有預(yù)期結(jié)果2。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。2)儀表接口C可以收到數(shù)據(jù)包，數(shù)據(jù)包速率和接口線速之間的誤差），BGP4+等），在儀表接口B抓取協(xié)議首包或?；顖笪倪M行重放泛洪攻擊）；2)從儀表接口C向DUT自身IPv6地址(例如：環(huán)回地址、管理接口地址）發(fā)送ICMPv6RequestFlood、TCPv6SYNFlood等攻擊數(shù)據(jù)包，攻擊數(shù)據(jù)包和背景數(shù)據(jù)包總和不超過實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他b)測試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。c)預(yù)期結(jié)果：DUT對畸形數(shù)據(jù)包做丟棄處理，且d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。1)查看BGPIPv6FlowSpec2)查看BGPIPv6FlowSpecification路由數(shù)據(jù)c)預(yù)期結(jié)果：可以查看到溯源信息，攻擊溯源信息里面包含了攻擊報文的源IPv6地址或者源d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。具有狀態(tài)查詢權(quán)限。為user2配置高等級權(quán)限,具有涉法報文防御等配置或操作；user2支持涉及數(shù)據(jù)平面的重要功能如ACL規(guī)