【YD通讯标准】 IPv6 网络设备安全技术要求 —— 具有路由功能的以太网交换机

ICS33.040.30
中华人民共和国通信行业标准
YD/T 2042-2009
IPV6网络设备安全技术要求
具有路由功能的以太网交换机
IPv6 network equipment security requirements-Ethernet switch with routing capability2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件·
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语
4概述
数据平面安全
5.1安全威胁
5.2安全功能
6控制平面安全·
6.1安全威胁
6.2安全功能·
7管理平面安全
安全威胁·
安全功能·
-TYYKANIKAca
YD/T 2042-2009
YD/T 2042-2009
本标准是“IPv6网络设备安全”系列标准之一，该系列标准预计的结构及名称如下：9IPv6网络设备安全技术要求
文——宽带网络接入服务器
1. YD/T 1905-2009
IPv6网络设备安全测试方法—宽带网络接入服务器2. YD/T 2041-2009
IPv6网络设备安全技术要求—一具有路由功能的以太网交换机3. YD/T 2042-2009
9IPv6网络设备安全测试方法
4. YD/T 2043-2009
一具有路由功能的以太网交换机本标准由中国通信标准化协会提出并归口。本标准起草单位工业和信息化部电信研究院。本标准主要起草人：马军锋、赵世卓。Ⅱ
1范围
IPv6网络设备安全技术要求
具有路由功能的以太网换机
YD/T 2042-2009
本标准规定了具有IPv6路由功能的以太网交换机安全技术的基本要求，包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求，以及鉴别验证、数据保护，、系统功能保护，资源分配、安全审计、安全管理，可信信道/路径和系统访问等8个安全功能需求。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用丁本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用丁本标准。GB/T 18336.2
YD/T 1358-2005
IETF RFC1195 (1990)
IETF RFC1352 (1992)
IETFRFC2385 (1998)
IETF RFC2407 (1998)
ETF RFC2408 (1998)
IETF RFC2409 (1998)
IETF RFC2740 (1999)
ETF RFC2827 (2000)
IETF RFC3567 (2003)
IETF RFC3682 (2004)
TETF RFC3882 (2004)
ETFRFC3971(2005)
ETF RFC4291 (2006)
IETF RFC4301 (2005)
IETF RFC4302 (2005)
IETFRFC4303(2005)
TETF RFC4306 (2005)
IETF RFC4552 (2006)
信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求路由器设备安全技术要求-中低端路由器（基于IPv4)在TCP/IP和双栈环境下使用OSIISIS路由协议SNMP安全协议
通过TCPMD5签名选项保护BGP会话基于ISAKMP的INTERNETIP安全域INTERNET安全协商和关键管理协议互联网密钥交换协议(IKEv1)
IPv6下的OSPF协议
络入口过滤：抵御利用P源地址欺骗的拒绝服务攻击ISIS协议加密认证
通用TTL安全机制
配置BGP阻止拒绝服务攻击
安全邻居发现
P地址框架
互联网协议安全框架
IP认证头协议
P安全载荷封装
互联网密交换协议
OSPFv3认证/机密性
HYKAONYKACa
YD/T2042-2009
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
具有IPv6路由功能的以太网交换机ethernetLANswitchwithIPv6routingcapability具有第三层路由功能的IPv6数据包交换机。除实现数据帧转发功能外，能根据接收数据包中的网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。
路由表可以通过静态配置方式维护，也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其他类似设备（如路由器）交换路由信息来完成路由表的动态维护。如果文中没有特别说明，那么交换机就特指此类具有路由功能的以太网交换机。3.1.2
访问控制access contral
防止对资源的未授权使用。
Eaccountability
可确认性
确保一个实体的行为能够被独一无二地跟踪。3.t.4
授权authorization
授予权限，包括允许基于访问权的访问，3.1.5
可用性avaiability
根据授权实体的请求可被访问与使用。3.1.6
保密性confidentiality
这一性质使信息不泄露给非授权的个人，实体或进程，不为其所用。3.1.7
数据完整性dataIntegrity
这一性质表明数据没有遭受以非授权方式所作的筹改或破坏。3.1.8
服务拒绝denialof service
阻止对资源的授权访问或拖延时限操作。3.1.9
数字签名digitalsignature
附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者)进行伪造。3.1.10
加密encryption
对数据进行密码变换以产生密文。3.1.11
基于身份的安全策略identity-basedsecuritypolicyYD/T 2042-2009
这种安全策略的基础是用户或用户群的身份或属性,或者是代表用户进行活动的实体以及被访问的资源或客体的身份或属性。
密钥key
控制加密与解密操作的一序列符号。3.1.13
基于规则的安全策略
rule-based security poicy
这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。3.1.14
安全审计security audit
为了测试出系统的控制是否足够，保证与已建立的策略和操作堆积相符合，或者是发现安全中的漏洞，以及为了建议在控制、策略和堆积中作任何指定的改变，而对系统记录与活动进行的独立观察和考核。
安全策略securitypolicy
提供安全服务的一套准则。（见“基丁身份的安全策略”与“基于规则的安全策略”）3.1.16
安全服务securityservice
由参与通信的开放系统层所提供的服务，它确保该系统或数据传送具有足够的安全性。3.2缩略语
下列缩略语适用于本标准。
Tripie DES
Advanced Encryption StandardAuthentication Header
Border Gateway Protocol
Duplicate Address Detection
Denial of Service
Encapsulation Secure PayloadFCAPS Fault, Capacity, Administration,Provisioning and Security
Hashed Message Authentication CodeICMP
Internet Control Management Protocol三重数据加密标准
高级加密标准
认证头
边界网关协议
重复地址探测
拒绝服务
封装安全载荷
故障，配置，计费，性能，安全散列消息验证码
互联网控制管理协议
-HKAONYKAca
YD/T 2042-2008
Internet Key Exchange
Internet Protocol
IP Security
Internet Protocol version 6
Intermediate System to Intermediate SystemMedia Access Control
Message Digest 5
Request for Comments
OAM&P Operation, Administration.Maintenance and ProvisioningOSPFv3 OpenShortest PathFirstversion3Ripng
Routing Information Protocol Next GenerationSHA-1
Secure Hash Algorithm 1
4概述
Simple Network Management protocolSecure Shell
Transmission Control ProtocolUser Datagram Protocol
User-based Security Model
Unicast Reverse Path Filter
Virtual Local Area Nerwork
Virtual Private Network
互联网密钥交换协议
网际互连协议
P安全机制
网际互连协议版本6
中间系统一中间系统
媒质访问控制
报文摘要5
注释请求
操作，管理，维护和配置
最短路径优先版本3bzxZ.net
下一代路由信息协议
安全散列算法1
简单网络管理协议
安全外壳程序协议
传输控制协议
用户数据报协议
基于用户的安全模型
单播反向路径检查
虚拟局域网
虚拟专用网
具有IPv6路由功能的以太网交换机可以应用在网络的各个层次，例如作为边缘汇聚设备：终结二层网络，实现三层业务的汇聚，或者是作为网络的核心交换设备。在网络中此类设备容易遭受到来白网络和其他方面的威胁，这些安全威胁可以利用设备自身的脆弱性或者是配置上的策略漏洞，给设备造成定的危害，而且设备一旦被攻击，性能和正常运行都将会受到很大的影响，甚至造成拒绝对正常用户的访问服务。
本标雄将具有IPv6路由功能的以太网交换机的功能划分为3个平面，如图1所示。一数据平面：主要是根据交换机维护的转发表信息提供用户数据的转发。一控制平面：主要是通过静态或者是动态路由协议学习网络拓扑信息，产生和维护用于数据转发的路由信息：使用网络控制管理协议探测网络可达性，无状态的自动地址配置协议完成主机P地址的配置，邻居发现协议实现相同网段内相关设备的主动发现等。管理乎面：主要是指与OAM&P相关的功能，如SNMP、管理用户Telnet登录、日志等，支持FCAPS（Fault，CapacityrAdministration，Provisioningand Security）功能。管理平面的消息传送可以采用带内和带外两种形式。
为了抵御来自网络和用户的攻击，具有IPv6路由功能的以太网交换机必须提供一定的安全功能。本标准采用GB/T18336.2中定义的安全功能并应用到交换机中（如图1所示），这些安全功能包括：一鉴别和认证，确认用户的身份及其真实性；一用户数据保护，保护用户数据的完整性、可用性和保密性：YD/T 2042-2009
系统功能保护，对实现系统关键功能包括安全功能所需要的数据（如用户身份和口令）的保护，确保相关数据的究整性、可用性和保密性资源分配，控制用户对资源的访问，不充许用户过量占用资源，避免因为非法占用资源造成系统对合法业务拒绝服务：
安全审计，能够提供日志等审计记录，这些记录可以用来分析安全威胁活动和指定安全对策探测违背安全性的行为；
一安全管理，安全动能、数据和安全属性的管理能力：一可信信道/路径，有Pv6路由功能的以太网交换机同其他设备间通信的信道/路径要求可信，对于安全数据的通信要同其他通信隔离开来；系统访问，管理和控制用户会话的建立。管理平面
控制平面
数据平面
安全策略
图1具有IPv6路由功能的以太网交换机安全框架应用层
表示层层
会话层
传输层
网络层
数据链略层
物璀层
硬件系统和操作系统是具有路由功能的以太网交换机良身安全的重要因素，对硬件系统和操作系统的要求见YD/T1358-2005的附录A。5数据平面安全
5.1安全威胁
基于流盘的攻击会对交换机的性能造成很大影响，如大流量攻击（如PingFloosling、TCPSYNFlooling等可能会影响设备对正常用户数据进行处理，处理畸形报文可能会占用大量的CPU和因存资源，所以要提供安全机制来限定用户流量行为，抵御来自网络攻击者对数据平面的恶意攻出。此外，对数据流米经授权的观塞、修改、插入和删除操作，会破坏数据流的完整性、可用性和保密性。具有Pv6路由功能的以太网交换机数据平面的安全威胁主要有以下方面，但不局限在这些方面：一对数据流进行流量分析，从而获得用户数据的数感信息：一未经授权的观察、修改、插入和珊除用户数据；5
HKAONYKAca
YD/T2042-2009
一利用用户数据流进行分布式的DoS攻击。5.2安全功能
5.2.1鉴别和认证
具有IPv6路由功能的以太网交换机可以使用VLAN_ID、MAC地址、物理端口号、IP地址，账号等组合绑定的形式来标识一个用户；通过实现B2.1x认证协议来验证用户的合法性。5.2.2数据保护
具有Pv6路由功能的以太网交换机可选为用产提供IP安全服务（具体实现应符合正ETFRFC4301)，通过建立IPSec隧道，为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。应支持AH和ESP协议，支持传输模式和隧道模式，支持安全联盟手工建立和IKE协议白动协商建立两种方式。在手工管理安全联盟时，可支持以十六进制配置算法所需密钥，应支持任意长度字符串形式配置密钥。AH协议实现应符合IEIFRFC4302，应支持HMAC-SHA1-96验证算法，可支持HMAC-MD5-96验证算法。ESP协议实现应符合ETFRFC4303，应支持HMAC-SHA1-96验证算法，可支持HMAC-MD5-96验证算法。
加密算法应支持空加密算法、3DES-CBC加密算法，可选支持AES-CBC和国家规定的标准分组加密算法。
如果交换机支持动态密钥管理IKE协议，应支持IKEv1版本，符合IETFRFC2407、IEIFRFC2408、IETFRFC2409，可选支持IKEv2版本，符合IEIFRFC4306，并支持IKE的下列特性支持预共享密钥验证，可支持数字证书验证和RSA加密Nonce验证：一应支持3DES加密算法，支持SHA1完整性验证算法，可支持MD5完整性验证算法，同时还可支持DES、AES加密算法和国内的分组加密算法：一在IKE的Diffie-Hellan交换中，应支持MODP-Group1、MODP-Group2。如果交换机支持IKEv1版本，应支持下列特性：一阶段2交换中应支持完美前向保护特性：一阶段1应支持主模式和野蛮模式，阶段2应支持快速模式，还应支持信息交换：在IKE阶段1中应该能指定发起模式。5.2.3系统功能保护
对于用户数据，系绕要提供妥的保护手段，通过基于角色的分级访问控制机制来实现对此类数据的访问控制（包括用户、系统进程等）。5.2.4资源分配
具有Pv6路由功能的以太网交换机应能够提供有效的过滤控制机制，保障网络带宽的合理利用，特别是要能够抵御来自网络的各种侵占络资源类的攻击，要确保网络在道受攻击的情况下仍旧能够正常转发用户数据。
其有Pv6路由功能的以太网交换机应能够抵御以下的常见攻击类型，但并不局限于这些方面。一大流量攻击：大流量可以分成两种类型，一种是流经流量，即需要交换机转发的流量，对于这类攻击，交换机宜具有端口线速转发的能力，对于超过端口处理能力的流量可以采用按比例丢弃的策略。另一种流量的目的地就是交换机本身，这类攻击可能会占用被攻击设备的大量CPU处理时间和内存，严重的甚至会造成设备期溃，导致中断无法为用户提供正常服务。对这类攻击流量，交换机宜采取过滤和6
YD/T 2042-2009
丢弃策略，同时应将必要的信息（如报文类型，源地址以及攻击时间等）记录到安全日志中。（注：记录安全日志信息要求应用于汇聚层及以上的设备必须支持，对于应用于接入层的设备可选）。交换机应支持基于VLANID、MAC地址、IP五元组等字段对转发流量进行过滤整形。一畸形包处理：交换机应能够处理目的地址为其自身的各种类型畸形包，如：1）超长包，例如包长大于65535：2）超短包；
3）链路层错误包：
4）网络层错误包；
5）上层协议错误包：
6）不可识别的扩展头字段等。
对于这些报文应来取丢弃策略，不能影响设备的正常功能。此外，也要保证交换机自身不会产生王述类型的畸形包。
-定间广播报文攻击：SMURF攻击是一种利用定向广播报文的分布式DoS攻击方法。对于此类攻击交换机应能够提供控制策略，禁止该类报文转发或者以厂播形式转发：对于分布式oS攻击，应能够提供简单策略阻止这种分布式DoS攻击向其他设备扩散。一一IP地址哄骗：针对网络中源地址哄骗报文，交换机宜可选实现单播逆向路径转发（uRPF）技术来过滤这类报文，禁止其在网络中传播，可选实现稀疏和密集两种模式，具体实现应符合ETFRFC2827的规定。交换机需要考虑对特定业务报文要能够正确的处理，例如在入口避免过滤中继DHCPv6的请求报文。
一组播报文处理，交换机应当丢弃源地址是组播地址的报文，对于接收的组播报文根据EIFRFC4291规定的组播地址作用域转发组播数据报文。建议交换机支持基于Pv6报头流标签的数据包过滤，当网络发生拥塞时，根据报文的流标签对用户数据进行限速、丢弃、整形等操作。5.2.5安全审计
对于用户流量，具有IPv6路由功能的以太网交换机应能够提供流量日志能力，相关的要求见7.2.5节有关安全日志方面的规定。
5.2.6安全管理
要能够提供对本节的安全功能和数据的管理能力，管理方式包括但不限于控制台、远程连接或网络管理接口/系统等方式。
5.2.7可信信道/路径
具有IPv6路由功能的以太网交换机同其他设备通信的信道/路径要求可信，对于传送敏感数据的通信同传送其他数据的通信隔离并来：可以采用物理隔离或者是VPN（可选实现L2VPNL3VPN）逻辑隔离。5.2.8系统访问
访问控制是一种安全手段，它控制用户和系统与其他的系统和资源进行通信和交互。它能够保护系统和资源免受未经授权的访问，并且在认证过程成功结束后授权访间的等级。访问控制能够提供控制、限制、监控以及保护资源的可用性、完整性和机密性等能力。7
-HTYKAONYKAca
YD/T2042-2009
具有IPv6路由功能的以太网交换机应能够提供基于VLANID、源MAC地址的过滤，基于源/日的P地址、源/日的端口和协议类型等元素的过滤，支持对ICMP报文进行过滤，支持对报文优先级进行过滤，支持对报文匹配情况进行统计计数和记入日志，该项功能要求汇聚层及以上设备必须支持，接入层设备作为可选功能。
6控制平面安全
6.1安全威胁
具有IPv6路由功能的以太网交换机控制平面主要负责MAC助址与P地址的绑定，路由信息的学习、主机地址的自动配量等。
控制平面的安全威胁主要有以下凡个方面，但不局限在这些方面：一对协议流进行探测或者进行流量分析，从而获得转发路径信息；一获得设备服务的控制权，将转发路径信息暴露给非授权设备：一利用协议的拒绝服务攻击，如利用路由协议，ICMPv6协议的拒绝服务攻击，利用面向连接协议的半连接攻击等；
一非法设备进行身份哄骗，建立路由协议的实体信任关系，非法获得转发路径信息：一针对路由协议转发路径倍息的欺骗。6.2安全功能
6.2.1鉴别和认证
6.2.1.1路由认证
具有IPv6路由功能的以太网交换机通过路由协议来传递路由信息，计算到达自的网络的最佳路径因此必须确保路由信息的完整性和可用性，并且对路出信息通告者的真实身份进行认证，以免造成由于恶意的攻击者冒充路由对等体通告不正确或者是不一致的路由信息导致网络服务的不可达。具有Pv6路由功能的以太网交换机应可选支持路由协议认证，具体要求如下：-Ripng：实现IP认证头利IP安全载荷封装来保证路由信息交互的完整性、机密性和对交互实体的认证。
注：RIPng 协议去除了在Ripv2 中定义的认证域。一OSPFv3：在OSPFv3的协议报头中已经去除了认证和认证类别域，依赖P认证买和IP安全载荷封装来提供交互实体的鉴别和路由交互信息的完整性和保密性，在实现上必须符合ETFRFC2740和ETFRFC4552规定
—IS-IS：应实现基于链路、LevelI和 level2域的认证，符合IETF RFC119S的规定；建议按照 IEIFRFC3567规范，使用HMAC-MD5算法实现对ISIS协议数据报文的认证：一BGP4+：通过使用TCPMD5签名选项来保护BGP会话，其实现应符合IETFRFC2385规定。建议交换机实现 ETF RFC3682 中描述的通用 TTL （在 IPv6 中使用 Hop Limit字段）安全机制来保护 EBGP 会话。
建议交换机支持BGP-TriggeredBlackholing技术，实现IETFRFC3882中描述的机制，通过利用BGF协议中的Community属性来阻挡Dos攻击流量。6.2.1.2NDP（邻居发现）协设认证8
YD/T2042-2009
IPv6定义了邻居发现协议，它使用一系列IPv6控制信息报文（ICMPv6）来实现相邻节点（同一链路上的节点）的交互管理，并在一个子网中保持网络层地址和链路层地址之间的映射。邻居发现协议中定义了5种类型的消息：路由器宣告，路由器请求，路由重定向、邻居请求和邻居宜告。通过这些消息，实现了对以下功能的支持：路由器发现、前缀发现、参数发现、地址自动配置、地址解析、下一跳确定、邻居不可达检测，其复地址检、重定间等。交换机可选实现相应的保护机制来抑制攻击者对网络发起的DoS攻击，截取并修改数据包的攻击，例如：攻击者可以通过发送路由器通告报文向同网段内的主机声称将其作为缺省网关，然后再将接收的报文转发到真正网关，通过这种方式，可以截获用户的教错，并根据需要对其修改或者去并，而数据源却无法获知。即使使用邻居不可达检测机制也无法发现此类攻击，因为只要攻击者能够响应NUD检测报文。
交换机应当丢弃从相邻节点收到的所有HopLitmit域值小于255的NDP协议报文。此外，交换机可选实现IETFRFC3971中建议的NDP安全机制，支持授权委托发现过程，地址验证机制以及相应的协议扩展（如密码地址生成选项、签名选项、时间戳和随机数选项等）。6.2.1.3有状态/无状态地址配量认证具有Pv6路由功能的以太网交换机应支持无状态的地址配置，可选支持有状态的地址配置。对丁无状态的地址配置方案，交换机宣提供安全机制保护路由器通告消息的完整性，确保DAD探测过程的可靠性，避免攻击者针对地址分配的DoS攻击（攻击者通过响应DAD探测过程中的邻居请求报文，声称该报文中目标地址已经被分配使用，从而导致申请者无法获得有效的global-scope地址）。对于有状态的地址分配方案，交换机宜支持DHCP监听功能，记录DHCP服务器的地址，防止DHCP服务器假冒攻击。6.2.2数据保护
具有卫v6露由功能的以太网交换机应当对控制平面的信息（主要是路由信息、地址配置信息）提供完整性、保密性和可用性保护，可以采用数据加密技术实现。6.2.3系统功能保护
用于系统控制平面的安全数据（如路由协议的认证密钥）应得到妥善的保护。6.2.4资源分配
6.2.4.1路由控制策略和路由过滤由于控制信息的运算和存储需要消耗大量的CPU运算资源和内存存储资源，因此交换机在控制平面应支持路由控制策略和路由过滤，抑制攻击者利用路由协议的安全缺陷进行资源耗尽型的攻击。6.2.4.2MAC地址学习
建议交换机能够提供IP-MAC地址静态绑定机制（可选），避免在IP-MAC地址动态学习过程中遣受攻击者的欺骗，导致将攻击者的P地址作为缺省网关，从而使得流量经由攻击者转发遭受中间人攻击建议交换机实现基于物理端口的MAC地址学习控制机制，能够限定通过每个物理端口学习MAC地址的数量，以避免在同一个网段内接收到攻击者发送的大量源MAC地址不同的ARP消息，导致交换机MAC地址表溢出
6.2.4.3可关闭一些IP服务
6.2.4.3.1ICMPv6 协议
HTYKAONYKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。