YDT 4571-2023 IPv6網(wǎng)絡(luò)安全測評方法

M36IPv6網(wǎng)絡(luò)安全測評方法2023-12-20發(fā)布中華人民共和國工業(yè)和信息化部發(fā)布IYD/T4571—2023前言 Ⅱ1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15安全風(fēng)險(xiǎn)分析 25.1概述 25.2過渡機(jī)制安全風(fēng)險(xiǎn) 25.3IPv6引入的安全風(fēng)險(xiǎn) 25.4安全設(shè)備面臨的新風(fēng)險(xiǎn) 36安全測評內(nèi)容 36.1雙棧安全防護(hù)能力測評 36.2IPv6協(xié)議安全測評 46.3IPv6DDoS防護(hù)能力測評 56.4安全配置測評 66.5漏洞掃描測評 76.6組網(wǎng)安全測評 8Ⅱ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。本文件起草單位：中國移動通信集團(tuán)有限公司、中興通訊股份有限公司、新華三技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心。本標(biāo)準(zhǔn)主要起草人：杜海濤、邵京、王悅、李偉、張峰、何申、粟栗、林兆驥、萬曉蘭、王龔、陳桂文、石磊、梁業(yè)裕。1IPv6網(wǎng)絡(luò)安全測評方法本文件規(guī)定了IPv6網(wǎng)絡(luò)的安全測評內(nèi)容和方法，包括雙棧安全防護(hù)能力、協(xié)議安全、安全防護(hù)、安全配置、漏洞掃描、組網(wǎng)安全等方面，可作為IPv6規(guī)模部署中網(wǎng)絡(luò)安全的基本測試評價(jià)方法。本文件適用于通信網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)等典型網(wǎng)絡(luò)和設(shè)備的IPv6網(wǎng)絡(luò)安全測評。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義4縮略語ACL訪問控制列表AccessControlListCNVDChinaNationalVulnerabilityDatabaseCVD通用漏洞披露CommonVulnerabilities&ExposuresDDoS分布式拒絕服務(wù)攻擊DistributedDenialofServiceDHCP動態(tài)主機(jī)配置協(xié)議DynamicHostConfigurationProtocolIDS入侵檢測系統(tǒng)IPS入侵防御系統(tǒng)NATND鄰居發(fā)現(xiàn)NeighborDiscoveryNDP鄰居發(fā)現(xiàn)協(xié)議NeighborDiscoveryProtocolURPF單播反向路由查找UnicastReversePathForwardingWAFWeb應(yīng)用防護(hù)系統(tǒng)XSS跨站腳本攻擊25安全風(fēng)險(xiǎn)分析5.1概述典型的企業(yè)IPv6網(wǎng)絡(luò)組成如圖1所示，由交換機(jī)、路由器等基礎(chǔ)網(wǎng)絡(luò)設(shè)備，以及防火墻、DDoS防護(hù)設(shè)備、WAF、IDS/IPS等安全防護(hù)設(shè)備組成。DMZIPvB防火墻DOoS清洗設(shè)備交換機(jī)終端業(yè)務(wù)系統(tǒng)接入網(wǎng)骨干網(wǎng)與IPv4相比，IPv6在協(xié)議方面進(jìn)行了安全增強(qiáng)，但仍在以下3個方面存在安全風(fēng)險(xiǎn)：一是IPv4與IPv6實(shí)施的雙棧配置等過渡期的安全風(fēng)險(xiǎn)；二是IPv6協(xié)議所引入的安全風(fēng)險(xiǎn)；三是安全防護(hù)設(shè)備面臨新的安全風(fēng)險(xiǎn)。本章節(jié)的安全風(fēng)險(xiǎn)，參考了ITU-TX.1037中的安全風(fēng)險(xiǎn)描述。5.2過渡機(jī)制安全風(fēng)險(xiǎn)在從IPv4向IPv6過渡的過程中，“雙?！薄八淼馈薄胺g”是3種可能采用的方案，均可能引入新的安全威脅。例如，過渡期間雙棧部署的網(wǎng)絡(luò)中同時運(yùn)行著IPv4、IPv6兩個邏輯通道，增加了設(shè)備/系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需要同時配置雙棧策略，從而導(dǎo)致策略管理的復(fù)雜度增加，安全防護(hù)被穿透的機(jī)會增加。IPv6報(bào)文結(jié)構(gòu)中引入的新字段(例如流標(biāo)簽等)、IPv6協(xié)議族中引入的新協(xié)議(例如鄰居發(fā)現(xiàn)協(xié)議等)可能存在漏洞，這些漏洞被利用后可發(fā)起地址欺騙、DDoS等攻擊。IPv6協(xié)議特有的攻擊風(fēng)險(xiǎn)包括：逐跳擴(kuò)展頭攻擊、鄰居發(fā)現(xiàn)協(xié)議攻擊等。35.4安全設(shè)備面臨的新風(fēng)險(xiǎn)過渡階段的IPv4和IPv6雙棧機(jī)制，使同一設(shè)備至少具有IPv4和IPv6兩個地址，增加了IP地址暴露的風(fēng)險(xiǎn)，同時也對安全設(shè)備的配置管理和掃描設(shè)備的性能都提出了更高的要求，具體如下。a)網(wǎng)絡(luò)層防護(hù)設(shè)備：在IPv4與IPv6混合網(wǎng)絡(luò)中，防火墻/安全網(wǎng)關(guān)等防護(hù)設(shè)備需要同時配置雙棧策略保障安全性，對設(shè)備的功能、性能的要求更高。b)應(yīng)用層安全防護(hù)設(shè)備：WAF、IPS、IDS等應(yīng)用層安全防護(hù)設(shè)備的IPv6報(bào)文解析能力、IPv6地址格式配置(例如黑白名單等)功能可能不完善；包含安全功能的網(wǎng)絡(luò)系統(tǒng)(例如流量控制系統(tǒng)等)c)網(wǎng)絡(luò)掃描類設(shè)備：在IPv4環(huán)境下，系統(tǒng)漏洞掃描、Web漏洞掃描等設(shè)備一般按照C段/B段地址進(jìn)行掃描。但I(xiàn)Pv6地址長達(dá)128位，是IPv4的2%倍，掃描設(shè)備難以按照地址段實(shí)施大規(guī)6安全測評內(nèi)容6.1雙棧安全防護(hù)能力測評6.1.1雙棧安全防護(hù)配置測評測評項(xiàng)雙棧設(shè)備的安全防護(hù)配置測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備測評方法檢查網(wǎng)絡(luò)單元中IPv4和IPv6雙棧的基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、負(fù)載均衡等)和安全設(shè)備(防火墻等)的配置。測評內(nèi)容針對IPv4和IPv6協(xié)議棧，設(shè)備都具備安全相關(guān)的功能，支持進(jìn)行相關(guān)的配置針對IPv4和IPv6協(xié)議棧，設(shè)備都啟用了安全相關(guān)的功能，并進(jìn)行了相關(guān)配置6.1.2雙棧安全防護(hù)能力測評測評項(xiàng)雙棧安全防護(hù)能力測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備測評方法檢查網(wǎng)絡(luò)單元中IPv4和IPv6雙棧的基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、負(fù)載均衡等)和安全設(shè)備(防火墻等)的工作情況測評內(nèi)容設(shè)備啟動了針對雙棧的安全功能和配置后，設(shè)備仍能夠正常工作，并且滿足功能和性能的要求46.2IPv6協(xié)議安全測評6.2.1NDP協(xié)議攻擊防護(hù)能力測評測評項(xiàng)NDP協(xié)議攻擊防護(hù)能力測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備測評方法檢查網(wǎng)絡(luò)單元中的基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、負(fù)載均衡等)和安全設(shè)備(防火墻等)配置測評內(nèi)容支持主機(jī)ND表項(xiàng)綁定記錄功能，通過收集主機(jī)ND表項(xiàng)記錄合法主機(jī)地址、接口、MAC對應(yīng)關(guān)系，保證合法主機(jī)的鏈路可達(dá)性支持端口ND表項(xiàng)限制功能，通過限制設(shè)備對某端口ND表項(xiàng)的數(shù)量來緩解洪泛攻擊支持靜態(tài)ND表項(xiàng)綁定功能，通過綁定主機(jī)與ND之間的映射關(guān)系，防止動態(tài)地址欺騙攻擊對ND表項(xiàng)進(jìn)行篡改6.2.2地址欺騙防護(hù)能力測評測評項(xiàng)地址欺騙防御能力測評對象三層路由交換設(shè)備測評方法檢查三層路由設(shè)備DHCP配置測評內(nèi)容支持通過配置端口ACL,對連接終端主機(jī)的接口收到的DHCP應(yīng)答消息進(jìn)行過濾，實(shí)現(xiàn)只接收與真實(shí)DHCP服務(wù)器互聯(lián)接口接收到的DHCP應(yīng)答消息，避免從非信任接口遭受DHCP欺騙支持DHCPGuard功能，對連接終端主機(jī)的接口收到的DHCP應(yīng)答消息進(jìn)行過濾，實(shí)現(xiàn)只接收與真實(shí)DHCP服務(wù)器互聯(lián)接口收到的DHCP應(yīng)答消息，避免從非信任接口遭受DHCP欺騙支持通過配置端口ACL,對連接終端主機(jī)的接口收到的RA應(yīng)答消息進(jìn)行信任接口遭受RA欺騙支持RAGuard功能，對連接終端主機(jī)的接口收到的RA應(yīng)答消息進(jìn)行過任接口遭受RA欺騙測評項(xiàng)URPF功能測評對象三層路由交換設(shè)備測評方法檢查網(wǎng)絡(luò)單元中三層路由交換設(shè)備配置測評內(nèi)容支持URPF配置功能開啟配置URPF,轉(zhuǎn)發(fā)設(shè)備根據(jù)報(bào)文源地址查詢本地路由表，若發(fā)現(xiàn)本地5沒有對應(yīng)的路由，或報(bào)文的入接口與路由的出接口不符，則判斷該報(bào)文來源不合法，進(jìn)行丟棄處理6.2.4擴(kuò)展頭檢查功能測評測評項(xiàng)報(bào)文擴(kuò)展頭檢查功能測評對象防火墻設(shè)備測評方法協(xié)議安全測試測評內(nèi)容支持報(bào)文擴(kuò)展頭檢查功能可以針對不同類型(逐跳選項(xiàng)、目的選項(xiàng)、路由首部、分片首部、認(rèn)證首部、安全凈荷封裝)的擴(kuò)展頭進(jìn)行識別，并執(zhí)行相應(yīng)通過/丟包動作6.2.5分片攻擊防護(hù)能力測評測評項(xiàng)分片攻擊防護(hù)能力測評對象三層路由交換設(shè)備測評方法協(xié)議安全測試測評內(nèi)容對MTU(最大傳輸單元)小于1280字節(jié)的數(shù)據(jù)包，進(jìn)行丟棄處理(除非最后一個包)在IPv6分片的數(shù)據(jù)部分，進(jìn)行丟棄處理對于IPv6報(bào)文重組超時時間到達(dá)前，由于分片包頭未包含足夠的重組信息導(dǎo)致無法完成重組的報(bào)文，進(jìn)行丟棄處理對于分片重組后報(bào)文載荷長度大于65535字節(jié)的IPv6分片報(bào)文，進(jìn)行丟棄處理6.3IPv6DDoS防護(hù)能力測評6.3.1基于IPv6的SynF測評項(xiàng)基于IPv6的SynFlood攻擊防護(hù)能力測評對象網(wǎng)絡(luò)系統(tǒng)/抗DDoS設(shè)備測評方法用儀表構(gòu)建IPv6SynFlood攻擊測試，檢查被測網(wǎng)絡(luò)/設(shè)備是否能夠承受IPv6SynFlood攻擊測評內(nèi)容檢查被測網(wǎng)絡(luò)/設(shè)備有SynFlood防護(hù)機(jī)制被測網(wǎng)絡(luò)/設(shè)備能夠防范IPv6SynFlood攻擊66.3.2基于IPv6的UDPFlood防護(hù)能力測評測評項(xiàng)基于IPv6的UDPFlood攻擊防護(hù)能力測評對象網(wǎng)絡(luò)系統(tǒng)/抗DDoS設(shè)備測評方法用儀表構(gòu)建IPv6UDPFlood攻擊測試，檢查被測網(wǎng)絡(luò)/設(shè)備是否能夠承受IPv6UDPFlood攻擊測評內(nèi)容檢查被測網(wǎng)絡(luò)/設(shè)備有UDPFlood防護(hù)機(jī)制被測網(wǎng)絡(luò)/設(shè)備能夠防范IPv6UDPFlood攻擊測評項(xiàng)基于IPv6的ICMPFlood攻擊防護(hù)能力測評對象網(wǎng)絡(luò)系統(tǒng)/抗DDoS設(shè)備測評方法用儀表構(gòu)建IPv6ICMPFlood攻擊測試，檢查被測網(wǎng)絡(luò)/設(shè)備是否能夠承受IPv6ICMPFlood攻擊測評內(nèi)容檢查被測網(wǎng)絡(luò)/設(shè)備有ICMPFlood防護(hù)機(jī)制被測網(wǎng)絡(luò)/設(shè)備能夠防范IPv6ICMPFlood攻擊6.4安全配置測評測評項(xiàng)日志告警安全測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備測評方法檢查網(wǎng)絡(luò)單元中基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器、負(fù)載均衡等)和安全設(shè)備的(防火墻等)的基線配置測評內(nèi)容設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IPv6地址設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，包括但不限于以下內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改等操作。記錄需要包含用戶賬號、操作時間、操作內(nèi)容以及操作結(jié)果設(shè)備應(yīng)配置日志告警功能，對與設(shè)備相關(guān)的攻擊事件進(jìn)行告警測評項(xiàng)安全策略配置測評對象網(wǎng)絡(luò)安全設(shè)備測評方法檢查網(wǎng)絡(luò)單元中網(wǎng)絡(luò)安全設(shè)備(防火墻、IDS/IPS等)基線配置測評內(nèi)容支持IPv6五元組安全策略功能可以針對IPv6報(bào)文的五元組(源IPv6地址，目的IPv6地址，源端口，目7的端口，協(xié)議)進(jìn)行識別，并執(zhí)行相應(yīng)通過/丟包動作所有防火墻在配置訪問規(guī)則時，最后一條默認(rèn)必須是拒絕一切流量是□否□檢查安全設(shè)備是否開啟了針對IPv6地址相關(guān)的安全策略，是否針對ICMPv6進(jìn)行了安全控制，并放通網(wǎng)絡(luò)中需要使用的ICMPv6報(bào)文可以針對不同ICMPv6報(bào)文類型(消息類型、消息碼)進(jìn)行識別，并執(zhí)行相應(yīng)通過/丟包動作檢查安全設(shè)備是否開啟防暴力破解功能，能夠針對攻擊者使用的IPv6地址或其前綴頭進(jìn)行限制6.5漏洞掃描測評測評項(xiàng)系統(tǒng)/Web漏洞掃描工具功能測評對象系統(tǒng)/Web漏洞掃描工具測評方法檢查系統(tǒng)/Web漏掃工具功能；測評內(nèi)容系統(tǒng)漏洞掃描工具是否支持IPv6,可對IPv6地址進(jìn)行掃描系統(tǒng)漏洞掃描工具是否支持IPv6漏洞特征庫，例如CVE、CNVD、BugTraq等Web漏洞掃描工具是否支持IPv6,可對IPv6地址進(jìn)行掃描Web漏洞掃描工具是否支持IPv6漏洞特征庫，例如CVE、CNVD、BugTraq等測評項(xiàng)系統(tǒng)漏洞情況測評對象設(shè)備/系統(tǒng)測評方法使用系統(tǒng)漏掃工具對核心設(shè)備/系統(tǒng)進(jìn)行漏洞掃描測評內(nèi)容主要核心設(shè)備/系統(tǒng)是否存在可利用的漏洞是□否□測評項(xiàng)Web漏洞情況測評對象網(wǎng)站測評方法使用Web漏掃工具對網(wǎng)站進(jìn)行漏洞掃描測評內(nèi)容是否支持檢測基于IPv6地址網(wǎng)頁中SQL注入、cookies、XSS等攻擊網(wǎng)站是否具有相關(guān)防范措施8測評項(xiàng)端口開放性測評對象網(wǎng)絡(luò)設(shè)備測評方法使用端口掃描工具掃描核心設(shè)備測評內(nèi)容檢查核心網(wǎng)設(shè)備端口掃描工具報(bào)告，提供端口開放報(bào)告，端口開放最小化，沒有不應(yīng)該開啟的端口(例如，21、23等)檢查安全設(shè)備端口掃描工具報(bào)告，提供端口開放報(bào)告，端口開放最小化，沒有不應(yīng)該開啟的端口(例如，21、23等)檢查路由設(shè)備是否僅對可信主機(jī)開放端口，提供端口開放報(bào)告，非可信主機(jī)限制端口訪問6.6組網(wǎng)安全測評測評項(xiàng)網(wǎng)絡(luò)隔離測評對象網(wǎng)絡(luò)測評方法1)檢查是否有網(wǎng)絡(luò)安全域劃分方案；2)核實(shí)網(wǎng)絡(luò)安全域劃分方案落實(shí)情況測評內(nèi)容檢查被測網(wǎng)絡(luò)是否有明確的IPv6