IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求 第1部分：核心路由器 征求意見稿

7IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求和測(cè)試方法第1部分：路由器本文件提出了支持IPv6能力的路由器的安全架構(gòu)，確立了數(shù)據(jù)平面、控制平面、管理平面等安全本文件適用于支持IPv6能力的路由器設(shè)備的設(shè)計(jì)、開發(fā)下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修GB/T41268-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全GB/T41269-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全1）路由器基于路由協(xié)議機(jī)制和算法來選擇路徑或路由以實(shí)現(xiàn)建立和控制網(wǎng)絡(luò)間的數(shù)據(jù)流，網(wǎng)絡(luò)自身可以基于不4縮略語ACL：訪問控制列表（AccessControlList）AH：認(rèn)證頭（AuthenticationHeader）BGP：邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocBGP4+：IPv6邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocolforIPCLI：命令行接口（command-lineinterCGA：加密生成地址（CryptographicallyGeneratedAdCPU：中央處理器（CentralProcessingDAD：重復(fù)地址探測(cè)（DuplicateAddressDetetio8DoS：拒絕服務(wù)（DenialofServiDDoS：分布式拒絕服務(wù)（DistributedDenialofServiDUT：被測(cè)設(shè)備(DeviceUnderTeESP：封裝安全載荷（EncapsulationSecurePFlowSpec：流量規(guī)范（FlowSpecificatHMAC：散列消息驗(yàn)證碼（HashedMessageAuthenticationCodICMPv6：互聯(lián)網(wǎng)控制管理協(xié)議版本6（InternetControlManagementPIPv6：互聯(lián)網(wǎng)協(xié)議版本6（InternetIPsec：互聯(lián)網(wǎng)協(xié)議安全（InterneIS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoILAND：局域網(wǎng)拒絕服務(wù)（LocalAreaNetworkMAC：媒質(zhì)訪問控制（MediaAccessControl）MD5：消息摘要版本5（MessageDigestVersion5）MPLS：多協(xié)議標(biāo)記交換（Multi-protocolLabelSwitching）NA：鄰居通告（NeighborAdvertisement）ND：鄰居發(fā)現(xiàn)（NeighborDiscovery）NUD：鄰居不可達(dá)探測(cè)（NeighborUnreachabilityDetection）NS：鄰居請(qǐng)求（NeighborSolicitation）OSPF：開放最短路徑優(yōu)先版本3（OpenShortestPathFPIMv6：協(xié)議無關(guān)多播（ProtocolIndependentMulticastVersiRA：路由器通告（RouterAdvertiseRIPng：下一代路由信息協(xié)議（RoutingInformationProtocolNextGeneROA：路由來源授權(quán)(RouteOriginationAuthoriRPKI：資源公鑰基礎(chǔ)設(shè)施(ResourcePublicKeyInfrastruRS：路由器請(qǐng)求（RouterSolicitRSA：RSA算法（Rivest，ShamirandAdlemanAlgoSHA：安全散列算法（SecureHashAlgSLLA：源鏈路層地址（SourceLink-LayerASNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProSRH：段路由擴(kuò)展頭(SegmentRoutingSRv6：基于IPv6轉(zhuǎn)發(fā)平面的段路由（SegmentRoutinTCP：傳輸控制協(xié)議（TransmissionControlProTLS：傳輸層安全（TransportLayerSecurUDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocoURPF：?jiǎn)尾シ聪蚵窂睫D(zhuǎn)發(fā)（UnicaseReversePathForwarding）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）9路由器是IPv6網(wǎng)絡(luò)中重要的網(wǎng)絡(luò)設(shè)備，負(fù)責(zé)IPv6數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)功能。在網(wǎng)絡(luò)中此類設(shè)備容易遭受到來自網(wǎng)絡(luò)和其他方面的威脅，這些安全威脅可以利用設(shè)備的脆弱性對(duì)設(shè)備進(jìn)行攻擊，設(shè)備被攻擊b)控制平面：主要包括路由協(xié)議等與建立會(huì)話連接、控制轉(zhuǎn)發(fā)路徑等有關(guān)的功能；d)資源分配：對(duì)系統(tǒng)資源的使用進(jìn)行控制，不允許過量占用系統(tǒng)資源造成拒絕服務(wù)；應(yīng)用層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層安全管理系統(tǒng)功能保護(hù)安全審計(jì)資源分配可信信道標(biāo)識(shí)和鑒權(quán)管理平面控制平面數(shù)據(jù)平面安全策略脆弱性威脅a）SRv6域內(nèi)SID空間統(tǒng)一分配，不將SRv6域內(nèi)b）SRv6源節(jié)點(diǎn)對(duì)流量進(jìn)行過濾，丟棄源地址或目的地址是SRv6域內(nèi)的路由器可支持DHCPv6Snooping功能，對(duì)用戶流量的IPv6地址、MAC地址等進(jìn)行校驗(yàn)，防止非法流AH、ESP和IKE等協(xié)議組成。路由器應(yīng)具有端口線速轉(zhuǎn)發(fā)的能力，對(duì)于超過端口處理能力的IPv6流量可以采用按比例丟棄的策IPv6報(bào)文類型、IPv6源地址以及攻擊時(shí)間等）記錄到安全日志中，以具備防范針對(duì)路由攻擊者通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IPv6報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IPv6包時(shí)會(huì)出現(xiàn)崩潰，路由器應(yīng)支持對(duì)ND非法報(bào)文(NS/NA/RS/RA/Redirecb)非分片報(bào)文且未命中本機(jī)路由的丟棄。針對(duì)網(wǎng)絡(luò)中IPv6源地址欺騙報(bào)文，可通過URPF技術(shù)來過濾這類報(bào)文，禁止其在網(wǎng)絡(luò)中傳播。路由用到設(shè)備的數(shù)據(jù)平面，對(duì)占用帶寬資源或?qū)Ψ?wù)器攻擊的流量進(jìn)行過濾與控制，從而能夠減輕路由器應(yīng)支持攻擊溯源功能，采樣攻擊報(bào)文分析生成攻擊溯源事件日志或告警，內(nèi)容包括攻擊報(bào)路由器可支持基于流的采樣功能，利用采樣可以對(duì)路由器轉(zhuǎn)發(fā)的IPv6數(shù)據(jù)報(bào)文進(jìn)行監(jiān)測(cè)，作為一種安全監(jiān)測(cè)手段了解業(yè)務(wù)運(yùn)行狀況，如采樣監(jiān)測(cè)具有特定目的地址的IPv6報(bào)文，可分析對(duì)關(guān)鍵服務(wù)器路由器應(yīng)支持僅高等級(jí)權(quán)限用戶能對(duì)數(shù)據(jù)平面的安全功能進(jìn)完整性和可用性，同時(shí)對(duì)路由通告者進(jìn)行身份認(rèn)證，以免攻擊者通過仿冒路由對(duì)等體發(fā)布不正a)OSPFv3應(yīng)支持使用安全算法b)IS-ISv6應(yīng)支持使用安全算法進(jìn)行協(xié)議報(bào)c)BGP4+應(yīng)支持使用安全算法進(jìn)行協(xié)議報(bào)e)開啟不安全算法時(shí)可支持提示安全路由器應(yīng)支持路由策略和路由過濾功能，實(shí)現(xiàn)IPv6路由協(xié)議對(duì)路由信息的發(fā)布和接收時(shí)，可以只發(fā)布某些指定的路由信息，也可以只接收符合某些條件的路由信息。應(yīng)支持按IPv6地址、自治系統(tǒng)路路由器應(yīng)支持僅高等級(jí)權(quán)限用戶能對(duì)控制平面的安全功能路由器標(biāo)識(shí)和鑒別要求應(yīng)符合GB/T41269-2022a)路由器應(yīng)支持SSH，保證與管理系統(tǒng)(管理用戶)間b)路由器應(yīng)支持TLS，保證與日志服務(wù)器間數(shù)據(jù)傳輸安全。路由器訪問控制安全要求應(yīng)符合GB/T41269-2022中b)SSH服務(wù)器可采用認(rèn)證超時(shí)機(jī)制，在超時(shí)范圍內(nèi)沒有通過認(rèn)證應(yīng)斷開連接，可限制客戶端或f)應(yīng)支持安全的認(rèn)證、加密、密鑰交換等密碼算法套件，開啟不安全的認(rèn)證、加密、密鑰交換b)可支持SNMPv1和SNMPv2c，路由器應(yīng)具備抵御管理平面協(xié)議常見攻擊能力，路由器安全審計(jì)要求應(yīng)滿足GB/T41269-20路由器應(yīng)支持管理平面的敏感數(shù)據(jù)(如認(rèn)證憑據(jù)）加密保存，在用戶界面顯示的內(nèi)容中不能出現(xiàn)敏路由器可支持設(shè)備啟動(dòng)時(shí)以硬件可信根為起點(diǎn)，逐級(jí)校驗(yàn)啟動(dòng)鏈上固件或軟件的數(shù)字簽名保證其路由器應(yīng)支持僅高等級(jí)權(quán)限用戶能對(duì)管理平面的安全功能路由器可支持檢查不安全配置的能力，能夠檢查系統(tǒng)中GB/TXXXXX.1—XXXX路由器可支持證書管理功能，支持證書導(dǎo)入/更新、證書過期告警、證書吊銷列表的導(dǎo)入與更新等功能。6.3.7.4密碼要求本文件凡涉及密碼算法的相關(guān)內(nèi)容，按照國(guó)家有關(guān)規(guī)定實(shí)施。7測(cè)試方法7.1測(cè)試環(huán)境測(cè)試環(huán)境1如圖2所示。AB圖2測(cè)試環(huán)境1測(cè)試環(huán)境2如圖3所示。圖3測(cè)試環(huán)境2測(cè)試環(huán)境3如圖4所示。GB/TXXXXX.1—XXXX 圖4測(cè)試環(huán)境3測(cè)試環(huán)境4如圖5所示。圖5測(cè)試環(huán)境4測(cè)試環(huán)境5如圖6所示。AB測(cè)試儀表圖6測(cè)試環(huán)境5測(cè)試環(huán)境6如圖7所示。圖7測(cè)試環(huán)境6測(cè)試環(huán)境7如圖8所示。圖8測(cè)試環(huán)境7圖中測(cè)試儀表與DUT間均采用同種接口相連。7.2數(shù)據(jù)平面安全測(cè)試7.2.1.1SRv6報(bào)文鑒別功能該測(cè)試項(xiàng)包含如下內(nèi)容：a)預(yù)置條件：按照?qǐng)D8測(cè)試環(huán)境7搭建好測(cè)試環(huán)境；c)預(yù)期結(jié)果：在DUT2和DUT3上可以查詢到SRv6域內(nèi)分配的SID,在DUT1上無法查詢SID地址d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.1.1.2SRv6源節(jié)點(diǎn)報(bào)文過濾功能該測(cè)試項(xiàng)包含如下內(nèi)容：a)預(yù)置條件：按照?qǐng)D8測(cè)試環(huán)境7搭建好測(cè)試環(huán)境；口1,丟棄源地址或目的地址是SRv6域內(nèi)的SID空間地址的報(bào)文，從儀表接口A向儀表接口B發(fā)送符合過濾條件的SRv6報(bào)文，有預(yù)期結(jié)果；d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。7.2.1.1.3跨域SRv6B3)儀表接口A發(fā)送目的地址不是BindingSID的SRv6報(bào)文，有預(yù)期結(jié)果2。d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。2)儀表接口C可以收到數(shù)據(jù)包，數(shù)據(jù)包速率和接口線速之間的誤差），BGP4+等），在儀表接口B抓取協(xié)議首包或?；顖?bào)文進(jìn)行重放泛洪攻擊）；2)從儀表接口C向DUT自身IPv6地址(例如：環(huán)回地址、管理接口地址）發(fā)送ICMPv6RequestFlood、TCPv6SYNFlood等攻擊數(shù)據(jù)包，攻擊數(shù)據(jù)包和背景數(shù)據(jù)包總和不超過實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他b)測(cè)試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測(cè)試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測(cè)試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測(cè)試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。b)測(cè)試方法：DUT接口2和儀表接口B之間建立路由協(xié)議鄰居(如OSPFv3、IS-ISv6、BGP4+等)，d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。c)預(yù)期結(jié)果：DUT對(duì)畸形數(shù)據(jù)包做丟棄處理，且d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。1)查看BGPIPv6FlowSpec2)查看BGPIPv6FlowSpecification路由數(shù)據(jù)c)預(yù)期結(jié)果：可以查看到溯源信息，攻擊溯源信息里面包含了攻擊報(bào)文的源IPv6地址或者源d)結(jié)果判定：實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。具有狀態(tài)查詢權(quán)限。為user2配置高等級(jí)權(quán)限,具有涉法報(bào)文防御等配置或操作；user2支持涉及數(shù)據(jù)平面的重要功能如ACL規(guī)