【通信行业标准(YD)】 IPv6网络设备安全测试方法——宽带网络接入服务器

ICS33.040.40
中华人民共和国通信行业标准
YD/T 2041-2009
IPv6网络设备安全测试方法
宽带网络接入服务器
Security test specification of IPv6 network device-Broadbandnetworkaccessserver2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发 布前
1范围·
规范性引用文件
缩略语
测试环境配置·
数据平面安全测试
IPSec功能·
5.2L2TP功能·
5.3常见攻击防护
URPF功能·
ACL功能·
5.6流量控制功能·
会话及应用监测功能
控制平面安全测试
用户安全管理功能
路由协议安全
路由过滤功能·
TCP/IP协议安全
VPN功能
GTSM功能·
管理平面安全测试
端口镜像功能··
访问控制功能
SSH安全访问功能·
SNMPv3协议安全
7.5用户口令安全…
安全审计功能
基于采样的流信息输出功能
参考文献
YD/T2041-2009
YD/T2041-2009
本标准是“IPv6网络设备安全”系列标准之一，该系列标准预计的结构和名称如下：1.YD/T2041-2009IPv6网络设备安全技术要求一一宽带网络接入服务器
2.YD/T1905-2009IPv6网络设备安全测试方法—宽带网络接入服务器本标准与YD/T1905-2009IPv6网络设备安全技术要求——宽带网络接入服务器配套使用。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院。本标准主要起草人：杨剑锋。
1范围
IPv6网络设备安全测试方法
宽带网络接入服务器
YD/T2041-2009
本标准规定了支持IPv6的宽带网络接入服务器涉及安全相关测试的内容，包括数据平面、控制平面和管理平面的安全测试。
本标准适用于支持IPv6的宽带网络接入服务器。本标准中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指IPv6宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1265-2003
YD/T1467-2006
3缩略语
网络接入服务器（NAS）测试方法一宽带网络接入服务器IP安全协议（IPSec）测试方法
下列缩略语适用于本标准。
ICMPv6
IS-ISv6
Access Control List
BorderGatewayProtocol
BGP version 4 Plus
Device Under Test
File Transfer Protocol
GeneralizedTTLSecurityMechanismHyperTextTransferProtocol
InternetControl MessageProtocolICMPversion 6
Internet Protocol
Internet Protocol version 6
IPSecurity
IntermediateSystemtoIntermediateSystemIS-IS version6
Layer 2 Tunneling Protocol
Layer2VPN
访问控制列表
边界网关协议
支持IPv6的BGP协议版本4
被测设备
文件传输协议
通用TTL安全机制
超文本传输协议
互联网控制报文协议
ICMP协议版本6
互联网协议
互联网协议版本6
IP安全机制
中间系统一中间系统
IS-IS协议版本6
二层隧道协议
二层VPN
YD/T2041-2009
OSPFv3
SNMPv3
Layer3VPN
Media Access Control
Message Digest version 5
NetworkAccessServer
Neighbor Discovery
Open Shortest Path First
OSPFversion3
Point-to-Point Protocol
Route Information Protocol
Routing Information Protocol, Next GenerationSimpleMessageTransferProtocolSimpleNetworkManagementProtocolSNMP version 3
SecureShell
SSHversion1
SSHversion2
TransmissionControlProtocol
User Datagram Protocol
UnicastReversePathForwardingVirtual LocalAreaNetworks
Virtual PrivateNetwork
测试环境配置
测试环境1如图1所示。
仪表A
测试环境2如图2所示。
网络a
测试环境3如图3所示。
仪表A
三层VPN
媒质访问控制
报文摘要版本5
网络接入服务器
邻居发现
最短路径优先
OSPF协议版本3
点到点协议
路由信息协议
下一代路由信息协议
简单邮件传输协议
简单网管协议
SNMP协议版本3
安全外壳程序
SSH版本1
SSH版本2
传输控制协议
用户数据报协议
单播反向路径转发
虚拟局域网
虚拟专用网
仪表B
图1测试环境配置1
（网络c）
仪表C
测试环境配置2
仪表B
网络b
网络a
C网络c
测试环境4如图4所示。
用户a
用户b
测试环境5如图5所示。
测试环境6如图6所示。
测试环境7如图7所示。
用户a
用户b
仪表A
仪表A
仪表B
仪表A
仪表A
数据平面安全测试
IPSec功能
测试环境配置3
仪表B
认证服务器
测试环境配置4
认证服务器
图5测试环境配置5
6测试环境配置6
网络b
Portal服务器
仪表C
仪表B
认证服务器免费标准bzxz.net
仪表B
测试环境配置7
IPSec相关安全功能测试见YD/T1467-2006。5.2L2TP功能
L2TP相关安全功能测试见YD/T1265~2003。VPN1
日志服务器
YD/T2041-2009
YD/T2041-2009
5.3常见攻击防护
测试编号：1
测试项目：抗大流量冲击测试
测试类别：必选
测试配置：测试配置图1
测试步骤：
1）按测试环境配置连接设备；
2）在仪表A、B间以线速发送数据包；3）DUT的1端口启用路由协议，仪表A通告路由信息；4）停止步骤2）中数据包的发送；5）仪表以线速向DUT的环回地址发送数据包；6）仪表A通告路由信息
预期结果：
在步骤3）、6）中，DUT能正确处理和更新路由信息，控制平面和管理平面功能不受背景流量影响判定原则：
应完全符合预期结果，否则判定不合格测试编号：2
测试项目：畸形包处理功能测试测试类别：必选
测试配置：测试配置图1
测试步骤：
1）按测试环境配置连接设备：
2）在仪表A、B间以小于吞吐量的速率发送数据包；3）由仪表A向仪表B发送链路层错误（如Aligment错误帧、FCS错误顿、CRC错误顿）报文；4）停止步骤3）中报文的发送，由仪表A向仪表B发送顿间隔低于最小规范值的报文（Dribble）；5）停止步骤4）中报文的发送，由仪表A向仪表B发送超长顿（Giant)：6）停止步骤5）中报文的发送，由仪表A向仪表B发送超短顿（Runt）预期结果：
1）在步骤3)、5)、6）中，错误顿应被丢弃，DUT在日志中有相应记录，记录错误顿对背景流量的影响；2）在步骤4）中，错误帧被丢弃或仪表B接收到被更正的报文，DUT在日志中有相应记录判定原则：
应完全符合预期结果，否则判定不合格测试编号：3
测试项目：ICMPFlood攻击防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备；
YD/T2041-2009
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以线速发送ICMPv6攻击数据包及分片包（类型为EchoRequestFlood）；5）停止步骤4）中流量的发送，从仪表C向DUT环回地址以端口吞吐量发送ICMPv6Flood攻击数据包（类型包括目的不可达、包过大、超时、参数错误等）：6）停止步骤5）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻击数据包（类型同步骤5))，源地址为网络b中的某个P地址预期结果：
在步骤4)、5)、6）中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格测试编号：4
测试项目：ICMPSpoof攻击防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备；
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个P地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以端口吞吐量发送ICMPv6攻击数据包（类型包括目的不可达、包过大、超时、参数错误等），源地址为网络a中的某个P地址；5）停止步骤4）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻击数据包（类型同步骤4))，源地址为网络a中的某个IP地址；6）停止步骤5)中流量的发送，从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送ICMPv6攻击数据包（类型为EchoRequestFlood），源地址为网络a的组播地址：7）停止步骤6)中流量的发送，从仪表A向网络b中的某个IP地址以端口吞吐量剩余带宽发送ICMPv6攻击数据包（类型同步骤6))，源地址为DUT环回地址预期结果：
在步骤4)、5)、6)、7)、中，攻击报文应被丢弃，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格5
YD/T2041-2009
测试编号：5
测试项目：TCP标记Flood攻击防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备：
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以线速发送TCP标记攻击数据包及分片包（类型包括SYN、ACK、CWR、ECE、FIN、URGFlood);
5）停止步骤4）中流量的发送，从仪表C向DUT环回地址以线速发送TCP标记攻击数据包及分片包（类型为ErroneousFlagsFlood）)：6）停止步骤5）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包（类型同步骤4))，源地址为网络b中的某个IP地址预期结果：
在步骤4）、5）、6）中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格测试编号：6
测试项目：TCP状态Flood防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备：
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个P地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以线速发送TCP状态攻击数据包及分片包（类型StateFlood）：5）停止步骤4）中流量的发送，从仪表C向DUT环回地址以端口吞吐量发送TCP状态攻击数据包及分片包（FIood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等）；6）停止步骤5）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包（类型同步骤5))，源地址为网络b中的某个IP地址预期结果：
在步骤4）、5）、6）中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格测试编号：7
测试项目：TCPSpoof攻击防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备：
YD/T2041-2009
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以端口吞吐量发送TCP标记攻击数据包及分片包（类型包括SYN、ACK、CWR、ECE、FIN、URGFlood)，源地址为网络a中的某个IP地址；5）停止步骤4）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP攻击数据包及分片包（类型同步骤4))，源地址为网络a中的某个P地址；6）停止步骤5）中流量的发送，从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送TCP攻击数据包（类型同步骤4))，源地址为网络a的组播地址；7）停止步骤6）中流量的发送，从仪表A向网络b中的某个IP地址以端口吞吐量剩余带宽发送TCP攻击数据包（类型同步骤4))，源地址为DUT环回地址等预期结果：
在步骤4)、5)、6)、7）中，攻击报文应被丢弃，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格测试编号：8
测试项目：UDPFlood攻击防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备；
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以线速发送UDPFlood攻击数据包及分片包（类型包括Echo、Chargen等)：
5）停止步骤5）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPFlood攻击数据包及分片包（类型同步骤4))，源地址为网络b中的某个IP地址预期结果：
在步骤4）、5）中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格YD/T2041-2009
测试编号：9
测试项目：UDPSpoof攻击防护功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备；
2）仪表A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由；3）从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表B能够正常接收；
4）从仪表C向DUT环回地址以端口吞吐量发送UDPSpoof攻击数据包及分片包（类型包括Echo和Chargen等），源地址为网络a中的某个IP地址；5）停止步骤4）中流量的发送，从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPSpoof攻击数据包及分片包（类型同步骤4)），源地址为网络b中的某个P地址6）停止步骤5）中流量的发送，从仪表A向网络b中的某个IP地址以端口吞吐量剩余带宽发送UDPSpoof攻击数据包（类型同步骤4))，源地址为网络a的组播地址；7）.停止步骤6）中流量的发送，从仪表A向网络b中的某个IP地址以端口吞吐量剩余带宽发送UDPSpoof攻击数据包（类型同步骤4))，源地址为DUT环回地址等预期结果：
在步骤4)、5）、6)、7）中，攻击报文应被丢弃，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则判定不合格5.4URPF功能
测试编号：10
测试项目：严格的URPF功能测试测试类别：必选
测试配置：测试配置图2
测试步骤：
1）按测试环境连接设备；
2）仪表A和B与DUT的1、2端口启用路由协议，并向DUT通告到网络a和网络b的路由，并发送流量验证路由的有效性；
3）在DUT上配置端口3到网络c的静态路由，启用严格的URPF；4）从仪表端口A向仪表端口B发送数据包，数据包源地址为网络a中的地址；5）停止步骤4）中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为网络c中的地址；6）停止步骤5）中数据流的发送，从仪表A向仪表B发送数据包，数据包源地址为路由表中不存的地址
预期结果：
1）在步骤4）中，仪表B应可以收到测试数据包；2）在步骤5）、6）中，仪表B不能收到测试数据包判定原则：
应完全符合预期结果，否则判定不合格
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。