【通信行业标准(YD)】 IPv6网络设备安全测试方法——边缘路由器

ICS33.040.40
中华人民共和国通信行业标准
YD/T 2044-2009
IPv6网络设备安全测试方法
边缘路由器
Security test methods for IPv6 network equipments--edge router2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部　发 布前
规范性引用文件·
缩略语·
测试环境
数据转发平面安全测试…
5.2IPSec协议测试·
常见网络攻击抵抗能力测试
5.4URPF功能测试
访问控制列表（ACL）测试
5.6流量控制功能测试·
6路由/控制平面安全测试…
概述·
路由协议安全测试
TCP/IP协议安全测试·
MPLSVPN安全测试
6.5路由过滤功能测试…
管理平面安全测试免费标准bzxz.net
端口镜像
访问控制安全测试
SNMPv3功能测试
安全审计功能测试
YD/T2044-2009
本标准是“路由器设备安全”系列标准之一，本系列的标准结构和名称预计如下：1.YD/T1358-2005路由器设备安全技术要求中低端路由器（基于IPv4）2.YD/T1359-2005路由器设备安全技术要求高端路由器（基于IPv4）3.YD/T1439-2005路由器设备安全测试方法高端路由器（基于IPv4）4.YD/T1440-2005路由器设备安全测试方法中低端路由器（基于IPv4）5.YD/T1907-2009IPv6网络设备安全技术要求——边缘路由器6.YD/T1906-2009IPv6网络设备安全技术要求——核心路由器7.YD/T2044-2009IPv6网络设备安全测试方法——边缘路由器8. YD/T2045-2009
9IPv6网络设备安全测试方法—核心路由器YD/T2044-2009
本标准需与YD/T1907-2009《IPv6网络设备安全技术要求——边缘路由器》配套使用。与本系列标准相关的标准还有“支持IPv6的路由器设备”系列标准，该系列的标准结构和名称如下：1.YD/T1452-20061
IPv6网络设备技术要求支持IPv6的边缘路由器2.YD/T1453-2006IPv6网络设备测试方法支持IPv6的边缘路由器3.YD/T1454-2006
IPv6网络设备技术要求支持IPv6的核心路由器4.YD/T1455-2006
6IPv6网络设备测试方法支持IPv6的核心路由器本标准由中国通信标准化协会提出并归口。本标准主要起草单位：工业和信息化部电信研究院。本标准主要起草人：赵锋、马军锋、高巍、马科。II
1范围
IPv6网络设备安全测试方法
-边缘路由器
YD/T2044-2009
本标准规定了基于IPv6的边缘路由器涉及网络及信息安全方面的测试内容，包括数据转发平面安全测试、路由/控制平面安全测试和管理平面安全测试。本标准适用于基于Pv6的边缘路由器设备。本标准中所有对路由器的安全规定均特指对支持IPv6的边缘路由器的规定。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T1358-2005
YD/T1467-2006
3缩略语
下列缩略语适用于本标准。
路由器设备安全技术要求一一中低端路由器（基于IPv4）IP安全协议（IPSec）测试方法
Access Control List
Border Gateway Protocol
Commit Access Rate
Customer Edge
Device Under Test
InternetControlMessageProtocolVersion6ICMPv6
Internet Protocol Version 6
IPSecurity
IntermediateSystemtoIntermediateSystemProtocolMulti-Protocol Label Switch
OpenShortestPathFirst
ProviderEdge
RouteInformationProtocolnextgenerationSecure Shell
TransmissionControlProtocol
User Datagram Protocol
UnicastReversePathForwarding访问控制列表
边界网关协议
承诺接入速率
用户边界设备
被测设备
网络控制报文协议版本6
互联网协议版本6
IP安全协议
中间系统到中间系统协议
多协议标记交换
开放最短路径优先协议
网络边界设备
下一代路由信息协议
安全外壳
传输控制协议
用户数据报协议
单播逆向路径转发
YD/T2044-2009
测试环境
Virtual Private Network
测试环境1如图1所示。
测试环境2如图2所示。
测试仪表端口A
测试环境3如图3所示。
测试环境4如图4所示。
220395
测试仪表
图1测试环境1
测试仪表端口C
图2测试环境2
图3测试环境3
虚拟专用网
测试仪表端口B
认证服务器
图4测试环境4
测试环境5如图5所示。
测试环境6如图6所示。
日志服务器
图5测试环境5
测试仪表
图6测试环境6
图1至图6中测试仪表与DUT间均采用同种接口相连。5数据转发平面安全测试
5.1概述
YD/T2044-2009
边缘路由器数据转发平面的安全测试主要包括IPSec协议测试、对常见网络攻击的抵抗能力测试、访问控制列表功能测试等。
5.2IPSec协议测试
IPSec协议测试内容见YD/T1467-2006《IP安全协议（IPSec）测试方法》。3
YD/T 2044-2009
5.3常见网络攻击抵抗能力测试
测试编号：1
测试项目：抗大流量攻击能力测试测试目的：检验DUT处理大流量数据的能力测试配置：测试环境1
测试过程：
1．按测试环境连接设备：
2.从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包；3.DUT开启OSPFv3动态路由协议，从测试仪表端口A向DUT建立OSPF邻居关系；4．停止步骤2中数据包的发送；5．从测试仪表端口A向DUT的环回地址以线速发送数据包；6．从测试仪表端口A向DUT建立协议邻居关系预期结果：
在步骤3和6中，测试仪表与DUT间应能正常建立协议邻居关系，不受端口上流量的影响判定原则：
应符合预期结果要求，否则为不合格测试编号：2
测试项目：畸形包处理能力测试测试目的：检验DUT处理畸形数据包的能力测试配置：测试环境1
测试过程：
1.按测试环境连接设备；
2.从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量；3.由仪表端口A向仪表端口B发送链路层错误（如以太网的FCS错误顿）报文；4.停止步骤3中报文的发送，由仪表端口A向仪表端口B发送长度小于64字节（以太网链路）的超短顿（Runt）；
5.停止步骤4中报文的发送，由仪表端口A向仪表端口B发送长度大于链路MTU的超长帧；6.停止步骤5中报文的发送，在DUT上启用OSPFv3路由协议，并由仪表端口A与DUT建立OSPF邻居关系，由仪表端口A向DUT发送错误的OSPFUpdate（如带有错误RouterD）报文预期结果：
1．在步骤3中，错误顿应被丢弃，并在错误日志中有相应记录；2．在步骤4中，超短帧应被丢弃，并提供统计数据；3．在步骤5中，超长顿应被丢弃，并提供统计数据；4．在步骤6中，应不接收错误的Update报文判定原则：
应符合预期结果要求，否则为不合格4
测试编号：3
测试项目：PingFlood攻击处理能力测试测试目的：检验DUT处理PingFlood攻击的能力测试配置：测试环境2
测试过程：
1．按测试环境连接设备：
2．仪表端口B与DUT建立OSPF邻居关系，并向DUT通告到网络2的路由；YD/T2044-2009
3.从测试仪表端口A向网络2中的某个IPv6地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B上流量能够正常接收；
4．从测试仪表端口C向DUT环回地址以端口吞吐量发送ICMPECHORequest数据包；5.停止步骤4中流量的发送，从测试仪表端口C向网络2中的某个P地址以端口吞吐量发送ICMPECHORequest数据包
预期结果：
1．在步骤4中，DUT应对超量ICMP报文进行丢弃或限速；2．在步骤5中，DUT应对超量ICMP报文进行丢弃或限速判定原则：
应符合预期结果要求，否则为不合格测试编号：4
测试项目：TCP标记Flood攻击防护功能测试测试目的：检验DUT处理TCP标记Flood攻击的能力测试配置：测试环境2
测试步骤：
1.按测试环境连接设备；
2.仪表端口A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络1和网络2的路由；3.从仪表端口A向网络2中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B能够正常接收；
4.从仪表端口C向DUT环回地址以线速发送TCP标记攻击数据包及分片包（类型包括SYN、ACK、CWR、ECE、FIN、URGFlood）；
5.停止步骤4中流量的发送，从仪表端口C向DUT环回地址以线速发送TCP标记攻击数据包及分片包（类型为ErroneousFlagsFlood）；6.停止步骤5中流量的发送，从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包（类型同步骤4），源地址为网络2中的某个IP地址预期结果：
在步骤4、5、6中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应符合预期结果要求，否则为不合格YD/T2044-2009
测试编号：5
测试项目：TCP状态Flood防护功能测试测试目的：检验DUT处理TCP状态Flood攻击的能力测试配置：测试环境2
测试步骤：
1.按测试环境连接设备；
2.仪表端口A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络1和网络2的路由；3.从仪表端口A向网络2中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B能够正常接收；
4.从仪表端口C向DUT环回地址以线速发送TCP状态攻击数据包及分片包（类型StateFlood）；5.停止步骤4中流量的发送，从仪表端口C向DUT环回地址以端口吞吐量发送TCP状态攻击数据包及分片包（FIood类型包括SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK等）；6.停止步骤5中流量的发送，从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包（类型同步骤5），源地址为网络2中的某个IP地址预期结果：
在步骤4、5、6中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则为不合格测试编号：6
测试项目：UDPFlood攻击防护功能测试测试目的：检验DUT处理UDPFlood攻击的能力测试配置：测试环境2
测试步骤：
1.按测试环境连接设备：
2.仪表端口A和B分别与DUT的1、2端口启用路由协议，并向DUT通告到网络1和网络2的路由：3.从仪表端口A向网络2中的某个IP地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B能够正常接收；
4.从仪表端口C向DUT环回地址以线速发送UDPFlood攻击数据包及分片包（类型包括Echo、Chargen等)：
5.停止步骤4中流量的发送，从仪表端口B向DUT端口2的链路本地地址以端口吞吐量发送UDPFlood攻击数据包及分片包（类型同步骤4)，源地址为网络2中的某个IP地址预期结果：
在步骤4、5中，攻击报文应被丢弃或限速，DUT在日志中有相应记录，背景流量不受影响判定原则：
应完全符合预期结果，否则为不合格6
5.4URPF功能测试
测试编号：7
测试项目：严格URPF功能测试
测试目的：检验DUT能否实现严格URPF功能测试配置：测试环境2
测试过程：
1．按测试环境连接设备：
YD/T2044-2009
2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DUT上为一特定地址段配置到测试仪表端口C的静态路由；3．在DUT上启用严格URPF；
4．从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址：5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址处于步骤2中配置的特定地址段中；
6.停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为在路由器路由表中不存在到该地址的路由预期结果：
1．在步骤4中，仪表端口B应可以收到测试数据包；2．在步骤5和6中，仪表端口B不能收到测试数据包判定原则：
应符合预期结果要求，否则为不合格测试编号：8
测试项目：松散URPF功能测试
测试目的：检验DUT能否实现松散URPF功能测试配置：测试环境2
测试过程：
1.按测试环境连接设备：
2．仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DUT上为一特定地址段配置到测试仪表端口C的静态路由；3.在DUT上启用松散URPF；
4．从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址；5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址处于步骤2中配置的特定地址段中；
6．停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为在路由器路由表中不存在到该地址的路由预期结果：
1．在步骤4和5中，仪表端口B应可以收到测试数据包；2．在步骤6中，仪表端口B不能收到测试数据包判定原则：
应符合预期结果要求，否则为不合格YD/T 2044-2009
测试编号：9
测试项目：基于ACL的URPF功能测试测试目的：检验DUT能否实现基于ACL的URPF功能测试配置：测试环境2
测试过程：
1．按测试环境连接设备；
2.仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DUT上为一特定地址段配置到测试仪表端口C的静态路由；3.在DUT上启用基于ACL的URPF，并配置ACL条目拒绝来自步骤2中配置的特定地址段中某个地址的数据包：
4.从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地址：5.停止步骤4中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为步骤2中配置的特定地址段中不同于步骤3中所配置地址的一个地址；6．停止步骤5中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为步骤3中配置的地址：
7.停止步骤6中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为在路由器路由表中不存在到该地址的路由预期结果：
1.在步骤4和5中，仪表端口B应可以收到测试数据包；2．在步骤6和7中，仪表端口B不能收到测试数据包判定原则：
应符合预期结果要求，否则为不合格5.5访问控制列表（ACL）测试
测试编号：10
测试项目：基于源地址的ACL测试测试目的：检验DUT是否实现基于源地址的ACL测试配置：测试环境1
测试过程：
1．按测试环境连接设备；
2.在DUT上配置基于源地址的ACL（拒绝）条目；3.．从仪表端口A向仪表端口B发送符合过滤条件的IPv6包；4．从仪表端口A向仪表端口B发送不符合过滤条件的IPv6包预期结果：
1．在步骤3中，仪表端口B没有收到数据包2．在步骤4中，仪表端口B可以收到数据包判定原则：
应符合预期结果要求，否则为不合格8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。