【通信行业标准(YD)】 IPv6网络设备安全技术要求——具有路由功能的以太网交换机

ICS33.040.30
中华人民共和国通信行业标准
YD/T 2042-2009
IPv6网络设备安全技术要求
具有路由功能的以太网交换机
IPv6 network equipment security requirementsEthernetswitchwithroutingcapability2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用文件。
3术语、定义和缩略语
3.1术语和定义…
3.2缩略语
4概述
数据平面安全
5.1安全威胁…
5.2安全功能…
6控制平面安全
6.1安全威胁…．
6.2安全功能…
7管理平面安全
7.1安全威胁.
7.2安全功能
YD/T2042-2009
YD/T2042-2009
本标准是“IPv6网络设备安全”系列标准之一，该系列标准预计的结构及名称如下：9IPv6网络设备安全技术要求一一宽带网络接入服务器1.YD/T1905-2009
2.YD/T2041-2009IPv6网络设备安全测试方法-宽带网络接入服务器3.YD/T2042-2009IPv6网络设备安全技术要求——具有路由功能的以太网交换机4.YD/T2043-2009IPv6网络设备安全测试方法—具有路由功能的以太网交换机本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院。本标准主要起草人：马军锋、赵世卓。H
1范围
IPv6网络设备安全技术要求
一具有路由功能的以太网交换机YD/T2042-2009
本标准规定了具有Pv6路由功能的以太网交换机安全技术的基本要求，包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求，以及鉴别验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等8个安全功能需求。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T18336.2
YD/T1358-2005
IETFRFC1195（1990）
ETFRFC1352（1992)
IETFRFC2385（1998）
IETFRFC2407（1998）
IETFRFC2408（1998）
IETFRFC2409（1998）
IETFRFC2740（1999）
IETFRFC2827(2000)
IETFRFC3567（2003）
IETFRFC3682(2004)
IETFRFC3882(2004)
IETFRFC3971(2005)
ETFRFC4291（2006）
ETFRFC4301（2005）
IETFRFC4302（2005）
IETFRFC4303（2005）
IETFRFC4306（2005）
ETFRFC4552（2006）
信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求路由器设备安全技术要求—中低端路由器（基于IPv4）在TCP/IP和双栈环境下使用OSIISIS路由协议SNMP安全协议
通过TCPMD5签名选项保护BGP会话基于ISAKMP的INTERNETIP安全域INTERNET安全协商和关键管理协议互联网密钥交换协议(IKEv1)
IPv6下的OSPF协议
网络入口过滤：抵御利用IP源地址欺骗的拒绝服务攻击ISIS协议加密认证
通用TTL安全机制
配置BGP阻止拒绝服务攻击
安全邻居发现
IP地址框架
互联网协议安全框架
IP认证头协议
IP安全载荷封装
互联网密钥交换协议
OSPFv3认证/机密性
YD/T2042-2009
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
具有IPv6路由功能的以太网交换机ethernetLANswitchwithIPv6routingcapability具有第三层路由功能的IPv6数据包交换机。除实现数据帧转发功能外，能根据接收数据包中的网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。
路由表可以通过静态配置方式维护，也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其他类似设备（如路由器）交换路由信息来完成路由表的动态维护。如果文中没有特别说明，那么交换机就特指此类具有路由功能的以太网交换机。3.1.2
访问控制accesscontrol
防止对资源的未授权使用。
可确认性accountability
确保一个实体的行为能够被独一无二地跟踪。3.1.4
授权authorization
授予权限，包括允许基于访问权的访问。3.1.5
可用性availability
根据授权实体的请求可被访问与使用。3.1.6
保密性confidentiality
这一性质使信息不泄露给非授权的个人、实体或进程，不为其所用。3.1.7
数据完整性dataintegrity
这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。3.1.8
服务拒绝denialofservice
阻止对资源的授权访问或拖延时限操作。3.1.9
数字签名digitalsignature
附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(例如接收者)进行伪造。3.1.10
加密encryption
对数据进行密码变换以产生密文。3.1.11
基于身份的安全策略identity-basedsecuritypolicyYDT2042-2009
这种安全策略的基础是用户或用户群的身份或属性,或者是代表用户进行活动的实体以及被访问的资源或客体的身份或属性。
密钥key
控制加密与解密操作的一序列符号。3.1.13
基于规则的安全策略
rule-based security policy
这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。3.1.14
安全审计securityaudit
为了测试出系统的控制是否足够，保证与已建立的策略和操作堆积相符合，或者是发现安全中的漏洞，以及为了建议在控制、策略和堆积中作任何指定的改变，而对系统记录与活动进行的独立观察和考核。
安全策略securitypolicy
提供安全服务的一套准则。（见“基于身份的安全策略”与“基于规则的安全策略”）3.1.16
安全服务securityservice
由参与通信的开放系统层所提供的服务，它确保该系统或数据传送具有足够的安全性。3.2缩略语
下列缩略语适用于本标准。
TripleDES
Advanced Encryption StandardAuthenticationHeader
Border Gateway Protocol
Duplicate Address Detection
Denial of Service
EncapsulationSecurePayload
FCAPSFault，Capacity，Administration，Provisioning and Security
HMACHashedMessageAuthenticationCodeInternet Control Management ProtocolICMP
三重数据加密标准
高级加密标准
认证头
边界网关协议
重复地址探测
拒绝服务
封装安全载荷
故障，配置，计费，性能，安全散列消息验证码
互联网控制管理协议
YD/T2042-2009
Internet Key Exchange
Internet Protocol
IPSecurity
Internet Protocol version 6
IntermediateSystemtoIntermediateSystemMedia Access Control
Message Digest 5
Request for Comments
OAM&POperation，Administration，MaintenanceandProvisioning
OsPFv3OpenShortestPathFirstversion3Ripng
互联网密钥交换协议
网际互连协议
IP安全机制
网际互连协议版本6
中间系统一中间系统
媒质访问控制
报文摘要5
注释请求
操作，管理，维护和配置
最短路径优先版本3
1下一代路由信息协议
RoutingInformationProtocolNextGenerationSHA-1
Secure Hash Algorithm 1
4概述
Simple Network Management protocolSecureShell
TransmissionControlProtocol
User Datagram Protocol
User-based Security Model
Unicast Reverse PathFilter
Virtual LocalAreaNetwork
Virtual Private Network
安全散列算法1
简单网络管理协议
安全外壳程序协议
传输控制协议
用户数据报协议
基于用户的安全模型
单播反向路径检查
虚拟局域网
虚拟专用网
具有IPv6路由功能的以太网交换机可以应用在网络的各个层次，例如作为边缘汇聚设备，终结二层网络，实现三层业务的汇聚，或者是作为网络的核心交换设备。在网络中此类设备容易遭受到来自网络和其他方面的威胁，这些安全威胁可以利用设备自身的脆弱性或者是配置上的策略漏洞，给设备造成一定的危害，而且设备一旦被攻击，性能和正常运行都将会受到很大的影响，甚至造成拒绝对正常用户的访问服务。
本标准将具有IPv6路由功能的以太网交换机的功能划分为3个平面，如图1所示。一数据平面：主要是根据交换机维护的转发表信息提供用户数据的转发。一控制平面：主要是通过静态或者是动态路由协议学习网络拓扑信息，产生和维护用于数据转发的路由信息；使用网络控制管理协议探测网络可达性，无状态的自动地址配置协议完成主机IP地址的配置，邻居发现协议实现相同网段内相关设备的主动发现等。管理平面：主要是指与OAM&P相关的功能，如SNMP、管理用户Telnet登录、日志等，支持FCAPS（Fault，Capacity，Administration，ProvisioningandSecurity）功能。管理平面的消息传送可以采用带内和带外两种形式。
为了抵御来自网络和用户的攻击，具有IPv6路由功能的以太网交换机必须提供一定的安全功能。本标准采用GB/T18336.2中定义的安全功能并应用到交换机中（如图1所示），这些安全功能包括：鉴别和认证，确认用户的身份及其真实性；一用户数据保护，保护用户数据的完整性、可用性和保密性：YD/T2042-2009
一系统功能保护，对实现系统关键功能包括安全功能所需要的数据（如用户身份和口令）的保护，确保相关数据的完整性、可用性和保密性；资源分配，控制用户对资源的访问，不允许用户过量占用资源，避免因为非法占用资源造成系统对合法业务拒绝服务；
一安全审计，能够提供日志等审计记录，这些记录可以用来分析安全威胁活动和指定安全对策，探测违背安全性的行为；
一安全管理，安全功能、数据和安全属性的管理能力；一可信信道/路径，具有IPv6路由功能的以太网交换机同其他设备间通信的信道/路径要求可信，对于安全数据的通信要同其他通信隔离开来：一系统访问，管理和控制用户会话的建立。管理平面
控制平面
数据平面
安全策略
图1具有IPv6路由功能的以太网交换机安全框架应用层www.bzxz.net
表示层层
会话层
传输层
网络层
数据链路层
物理层
胞弱性
硬件系统和操作系统是具有路由功能的以太网交换机自身安全的重要因素，对硬件系统和操作系统的要求见YD/T1358-2005的附录A。5数据平面安全
5.1安全威胁
基于流量的攻击会对交换机的性能造成很大影响，如大流量攻击（如PingFlooding、TCPSYNFlooding等）可能会影响设备对正常用户数据进行处理，处理畸形报文可能会占用大量的CPU和内存资源，所以需要提供安全机制来限定用户流量行为，抵御来自网络攻击者对数据平面的恶意攻击。此外，对数据流未经授权的观察、修改、插入和删除操作，会破坏数据流的完整性、可用性和保密性。具有IPv6路由功能的以太网交换机数据平面的安全威胁主要有以下方面，但不局限在这些方面：一对数据流进行流量分析，从而获得用户数据的敏感信息：一未经授权的观察、修改、插入和删除用户数据：5
YD/T2042-2009
—一利用用户数据流进行分布式的DoS攻击。5.2安全功能
5.2.1鉴别和认证
具有IPv6路由功能的以太网交换机可以使用VLAN_ID、MAC地址、物理端口号、IP地址、账号等组合绑定的形式来标识一个用户；通过实现802.1x认证协议来验证用户的合法性。5.2.2数据保护
具有IPv6路由功能的以太网交换机可选为用户提供IP安全服务(具体实现应符合IETFRFC4301)，通过建立IPSec隧道，为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。应支持AH和ESP协议，支持传输模式和隧道模式，支持安全联盟手工建立和IKE协议自动协商建立两种方式。在手工管理安全联盟时，可支持以十六进制配置算法所需密钥，应支持任意长度字符串形式配置密钥。AH协议实现应符合IETFRFC4302，应支持HMAC-SHA1-96验证算法，可支持HMAC-MD5-96验证算法。ESP协议实现应符合IETFRFC4303，应支持HMAC-SHA1-96验证算法，可支持HMAC-MD5-96验证算法。
加密算法应支持空加密算法、3DES-CBC加密算法，可选支持AES-CBC和国家规定的标准分组加密算法。
如果交换机支持动态密钥管理IKE协议，应支持IKEv1版本，符合IETFRFC2407、ETFRFC2408、IETFRFC2409，可选支持IKEv2版本，符合IETFRFC4306，并支持IKE的下列特性：支持预共享密钥验证，可支持数字证书验证和RSA加密Nonce验证一应支持3DES加密算法，支持SHA1完整性验证算法，可支持MD5完整性验证算法，同时还可支持DES、AES加密算法和国内的分组加密算法；—在IKB的Diffie-Hellman交换中，应支持MODP-Group1、MODP-Group2。如果交换机支持IKEv1版本，应支持下列特性：一阶段2交换中应支持完美前向保护特性一阶段1应支持主模式和野蛮模式，阶段2应支持快速模式，还应支持信息交换；在IKB阶段1中应该能指定发起模式。5.2.3系统功能保护
对于用户数据，系统要提供妥普的保护手段，通过基于角色的分级访问控制机制来实现对此类数据的访问控制（包括用户、系统进程等）。5.2.4资源分配
具有IPv6路由功能的以太网交换机应能够提供有效的过滤控制机制，保障网络带宽的合理利用，特别是要能够抵御来自网络的各种侵占网络资源类的攻击，要确保网络在遭受攻击的情况下仍旧能够正常转发用户数据。
具有Pv6路由功能的以太网交换机应能够抵御以下的常见攻击类型，但并不局限于这些方面。一大流攻击：大流量可以分成两种类型，一种是流经流量，即带要交换机转发的流量，对于这类攻击，交换机宜具有端口线速转发的能力，对于超过端口处理能力的流量可以采用按比例丢弃的策略。另一种流量的目的地就是交换机本身，这类攻击可能会占用被攻击设备的大量CPU处理时间和内存，严重的甚至会造成设备朋溃，导致中断无法为用户提供正常服务。对这类攻击流量，交换机宜采取过滤和6
YD/T2042-2009
丢弃策略，同时应将必要的信息（如报文类型、源地址以及攻击时间等）记录到安全日志中。（注：记录安全日志信息要求应用于汇聚层及以上的设备必须支持，对于应用于接入层的设备可选）。交换机应支持基于VLANID、MAC地址、IP五元组等学段对转发流量进行过滤整形。畸形包处理：交换机应能够处理目的地址为其自身的各种类型畸形包，如：1）超长包，例如包长大于65535：2）青
超短包；
链路层错误包；
网络层错误包；
5）上层协议错误包：
6）不可识别的扩展头字段等。
对于这些报文应采取丢弃策略，不能影响设备的正常功能。此外，也要保证交换机自身不会产生上述类型的畸形包。
一定尚广播报文攻击：SMURF攻击是一种利用定尚广播报文的分布式DoS攻击方法。对于此类攻击交换机应能够提供控制策略，禁止该类报文转发或者以广播形式转发；对于分布式DoS攻击，应能够提供简单策略阻止这种分布式DoS攻击向其他设备扩散。一IP地址哄骗：针对网络中源地址哄骗报文，交换机宜可选实现单播逆向路径转发（uRPF）技术来过滤这类报文，禁止其在网络中传播，可选实现稀疏和密集两种模式，具体实现应符合ETFRFC2827的规定。交换机需要考虑对特定业务报文要能够正确的处理，例如在入口避免过滤中继DHCPv6的请求报文。
一组播报文处理，交换机应当丢弃源地址是组播地址的报文，对于接收的组播报文根据ETFRFC4291规定的组播地址作用域转发组播数据报文。建议交换机支持基于Pv6报头流标签的数据包过滤，当网络发生拥塞时，根据报文的流标签对用户数据进行限速、丢弃、整形等操作。5.2.5安全审计
对于用户流量，具有IPv6路由功能的以太网交换机应能够提供流量日志能力，相关的要求见7.2.5节有关安全日志方面的规定。
5.2.6安全管理
要能够提供对本节的安全功能和数据的管理能力，管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。
5.2.7可信信道/路径
具有IPv6路由功能的以太网交换机同其他设备通信的信道/路径要求可信，对于传送敏感数据的通信同传送其他数据的通信隔离开来，可以采用物理隔离或者是VPN（可选实现L2VPN、L3VPN）逻辑隔离。5.2.8系统访问
访问控制是一种安全手段，它控制用户和系统与其他的系统和资源进行通信和交互。它能够保护系统和资源免受未经授权的访问，并且在认证过程成功结束后授权访问的等级。访问控制能够提供控制、限制、监控以及保护资源的可用性、完整性和机密性等能力。7
YD/T2042-2009
具有IPv6路由功能的以太网交换机应能够提供基于VLANID、源MAC地址的过滤，基于源/目的IP地址、源/目的端口和协议类型等元素的过滤，支持对ICMP报文进行过滤，支持对报文优先级进行过滤，支持对报文匹配情况进行统计计数和记入日志，该项功能要求汇聚层及以上设备必须支持，接入层设备作为可选功能。
6控制平面安全
6.1安全威助
具有IPv6路由功能的以太网交换机控制平面主要负责MAC地址与IP地址的绑定、路由信息的学习、主机地址的自动配置等。
控制平面的安全威胁主要有以下几个方面，但不局限在这些方面：一对协议流进行探测或者进行流量分析，从而获得转发路径信息；一获得设备服务的控制权，将转发路径信息暴露给非投权设备：一利用协议的拒绝服务攻击，如利用路由协议、ICMPv6协议的拒绝服务攻击，利用面向连接协议的半连接攻击等；
一非法设备进行身份哄骗，建立路由协议的实体信任关系，非法获得转发路径信息；一针对路由协议转发路径信息的欺骗。6.2安全功能
6.2.1鉴别和认证
6.2.1.1路由认证
具有IPv6路由功能的以太网交换机通过路由协议来传递路由信息，计算到达目的网络的最佳路径，因此必须确保路由信息的完整性和可用性，并且对路由信息通告者的真实身份进行认证，以免造成由于恶意的攻击者冒充路由对等体通告不正确或者是不一致的路由信息导致网络服务的不可达。具有IPv6路由功能的以太网交换机应可选支持路由协议认证，具体要求如下：Ripng：实现IP认证头和IP安全载荷封装来保证路由信息交互的完整性、机密性和对交互实体的认证。
注：RIPng协议去除了在Ripv2中定义的认证域。一OSPFv3：在OSPFv3的协议报头中已经去除了认证和认证类别域，依赖IP认证头和IP安全载荷封装来提供交互实体的鉴别和路由交互信息的完整性和保密性，在实现上必须符合IETFRFC2740和IETFRFC4552规定。
一IS-IS：应实现基于链路、Level1和level2域的认证，符合IETFRFC1195的规定；建议按照IETFRFC3567规范，使用HMAC-MD5算法实现对ISIS协议数据报文的认证。一BGP4+：通过使用TCPMD5签名选项来保护BGP会话，其实现应符合IETFRFC2385规定。建议交换机实现ETFRFC3682中描述的通用TTL（在IPv6中使用HopLimit字段）安全机制来保护EBGP会话。
建议交换机支持BGP-TriggeredBlackholing技术，实现IETFRFC3882中描述的机制，通过利用BGP协议中的Community属性来阻挡DoS攻击流量。6.2.1.2NDP（邻居发现）协议认证8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。