IPv6网络设备安全技术要求 第1部分：核心路由器 征求意见稿

7IPv6网络设备安全技术要求和测试方法第1部分：路由器本文件提出了支持IPv6能力的路由器的安全架构，确立了数据平面、控制平面、管理平面等安全本文件适用于支持IPv6能力的路由器设备的设计、开发下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修GB/T41268-2022网络关键设备安全GB/T41269-2022网络关键设备安全1）路由器基于路由协议机制和算法来选择路径或路由以实现建立和控制网络间的数据流，网络自身可以基于不4缩略语ACL：访问控制列表（AccessControlList）AH：认证头（AuthenticationHeader）BGP：边界网关协议（BorderGatewayProtocBGP4+：IPv6边界网关协议（BorderGatewayProtocolforIPCLI：命令行接口（command-lineinterCGA：加密生成地址（CryptographicallyGeneratedAdCPU：中央处理器（CentralProcessingDAD：重复地址探测（DuplicateAddressDetetio8DoS：拒绝服务（DenialofServiDDoS：分布式拒绝服务（DistributedDenialofServiDUT：被测设备(DeviceUnderTeESP：封装安全载荷（EncapsulationSecurePFlowSpec：流量规范（FlowSpecificatHMAC：散列消息验证码（HashedMessageAuthenticationCodICMPv6：互联网控制管理协议版本6（InternetControlManagementPIPv6：互联网协议版本6（InternetIPsec：互联网协议安全（InterneIS-IS：中间系统到中间系统（IntermediateSystemtoILAND：局域网拒绝服务（LocalAreaNetworkMAC：媒质访问控制（MediaAccessControl）MD5：消息摘要版本5（MessageDigestVersion5）MPLS：多协议标记交换（Multi-protocolLabelSwitching）NA：邻居通告（NeighborAdvertisement）ND：邻居发现（NeighborDiscovery）NUD：邻居不可达探测（NeighborUnreachabilityDetection）NS：邻居请求（NeighborSolicitation）OSPF：开放最短路径优先版本3（OpenShortestPathFPIMv6：协议无关多播（ProtocolIndependentMulticastVersiRA：路由器通告（RouterAdvertiseRIPng：下一代路由信息协议（RoutingInformationProtocolNextGeneROA：路由来源授权(RouteOriginationAuthoriRPKI：资源公钥基础设施(ResourcePublicKeyInfrastruRS：路由器请求（RouterSolicitRSA：RSA算法（Rivest，ShamirandAdlemanAlgoSHA：安全散列算法（SecureHashAlgSLLA：源链路层地址（SourceLink-LayerASNMP：简单网络管理协议（SimpleNetworkManagementProSRH：段路由扩展头(SegmentRoutingSRv6：基于IPv6转发平面的段路由（SegmentRoutinTCP：传输控制协议（TransmissionControlProTLS：传输层安全（TransportLayerSecurUDP：用户数据报协议（UserDatagramProtocoURPF：单播反向路径转发（UnicaseReversePathForwarding）VLAN：虚拟局域网（VirtualLocalAreaNetwork）VPN：虚拟专用网（VirtualPrivateNetwork）9路由器是IPv6网络中重要的网络设备，负责IPv6数据报文的转发功能。在网络中此类设备容易遭受到来自网络和其他方面的威胁，这些安全威胁可以利用设备的脆弱性对设备进行攻击，设备被攻击b)控制平面：主要包括路由协议等与建立会话连接、控制转发路径等有关的功能；d)资源分配：对系统资源的使用进行控制，不允许过量占用系统资源造成拒绝服务；应用层应用层表示层会话层传输层网络层数据链路层物理层安全管理系统功能保护安全审计资源分配可信信道标识和鉴权管理平面控制平面数据平面安全策略脆弱性威胁a）SRv6域内SID空间统一分配，不将SRv6域内b）SRv6源节点对流量进行过滤，丢弃源地址或目的地址是SRv6域内的路由器可支持DHCPv6Snooping功能，对用户流量的IPv6地址、MAC地址等进行校验，防止非法流AH、ESP和IKE等协议组成。路由器应具有端口线速转发的能力，对于超过端口处理能力的IPv6流量可以采用按比例丢弃的策IPv6报文类型、IPv6源地址以及攻击时间等）记录到安全日志中，以具备防范针对路由攻击者通过向目标系统发送有缺陷的IPv6报文，使得目标系统在处理这样的IPv6包时会出现崩溃，路由器应支持对ND非法报文(NS/NA/RS/RA/Redirecb)非分片报文且未命中本机路由的丢弃。针对网络中IPv6源地址欺骗报文，可通过URPF技术来过滤这类报文，禁止其在网络中传播。路由用到设备的数据平面，对占用带宽资源或对服务器攻击的流量进行过滤与控制，从而能够减轻路由器应支持攻击溯源功能，采样攻击报文分析生成攻击溯源事件日志或告警，内容包括攻击报路由器可支持基于流的采样功能，利用采样可以对路由器转发的IPv6数据报文进行监测，作为一种安全监测手段了解业务运行状况，如采样监测具有特定目的地址的IPv6报文，可分析对关键服务器路由器应支持仅高等级权限用户能对数据平面的安全功能进完整性和可用性，同时对路由通告者进行身份认证，以免攻击者通过仿冒路由对等体发布不正a)OSPFv3应支持使用安全算法b)IS-ISv6应支持使用安全算法进行协议报c)BGP4+应支持使用安全算法进行协议报e)开启不安全算法时可支持提示安全路由器应支持路由策略和路由过滤功能，实现IPv6路由协议对路由信息的发布和接收时，可以只发布某些指定的路由信息，也可以只接收符合某些条件的路由信息。应支持按IPv6地址、自治系统路路由器应支持仅高等级权限用户能对控制平面的安全功能路由器标识和鉴别要求应符合GB/T41269-2022a)路由器应支持SSH，保证与管理系统(管理用户)间b)路由器应支持TLS，保证与日志服务器间数据传输安全。路由器访问控制安全要求应符合GB/T41269-2022中b)SSH服务器可采用认证超时机制，在超时范围内没有通过认证应断开连接，可限制客户端或f)应支持安全的认证、加密、密钥交换等密码算法套件，开启不安全的认证、加密、密钥交换b)可支持SNMPv1和SNMPv2c，路由器应具备抵御管理平面协议常见攻击能力，路由器安全审计要求应满足GB/T41269-20路由器应支持管理平面的敏感数据(如认证凭据）加密保存，在用户界面显示的内容中不能出现敏路由器可支持设备启动时以硬件可信根为起点，逐级校验启动链上固件或软件的数字签名保证其路由器应支持仅高等级权限用户能对管理平面的安全功能路由器可支持检查不安全配置的能力，能够检查系统中GB/TXXXXX.1—XXXX路由器可支持证书管理功能，支持证书导入/更新、证书过期告警、证书吊销列表的导入与更新等功能。6.3.7.4密码要求本文件凡涉及密码算法的相关内容，按照国家有关规定实施。7测试方法7.1测试环境测试环境1如图2所示。AB图2测试环境1测试环境2如图3所示。图3测试环境2测试环境3如图4所示。GB/TXXXXX.1—XXXX 图4测试环境3测试环境4如图5所示。图5测试环境4测试环境5如图6所示。AB测试仪表图6测试环境5测试环境6如图7所示。图7测试环境6测试环境7如图8所示。图8测试环境7图中测试仪表与DUT间均采用同种接口相连。7.2数据平面安全测试7.2.1.1SRv6报文鉴别功能该测试项包含如下内容：a)预置条件：按照图8测试环境7搭建好测试环境；c)预期结果：在DUT2和DUT3上可以查询到SRv6域内分配的SID,在DUT1上无法查询SID地址d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.2.1.1.2SRv6源节点报文过滤功能该测试项包含如下内容：a)预置条件：按照图8测试环境7搭建好测试环境；口1,丢弃源地址或目的地址是SRv6域内的SID空间地址的报文，从仪表接口A向仪表接口B发送符合过滤条件的SRv6报文，有预期结果；d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。7.2.1.1.3跨域SRv6B3)仪表接口A发送目的地址不是BindingSID的SRv6报文，有预期结果2。d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。2)仪表接口C可以收到数据包，数据包速率和接口线速之间的误差），BGP4+等），在仪表接口B抓取协议首包或保活报文进行重放泛洪攻击）；2)从仪表接口C向DUT自身IPv6地址(例如：环回地址、管理接口地址）发送ICMPv6RequestFlood、TCPv6SYNFlood等攻击数据包，攻击数据包和背景数据包总和不超过实际测评结果与相关预期结果一致则判定为符合，其他b)测试方法：DUT接口2和仪表接口B之间建立路由协议邻居(如OSPFv3、IS-ISv6、BGP4+等)，d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。b)测试方法：DUT接口2和仪表接口B之间建立路由协议邻居(如OSPFv3、IS-ISv6、BGP4+等)，d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。b)测试方法：DUT接口2和仪表接口B之间建立路由协议邻居(如OSPFv3、IS-ISv6、BGP4+等)，d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。b)测试方法：DUT接口2和仪表接口B之间建立路由协议邻居(如OSPFv3、IS-ISv6、BGP4+等)，d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。b)测试方法：DUT接口2和仪表接口B之间建立路由协议邻居(如OSPFv3、IS-ISv6、BGP4+等)，d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。c)预期结果：DUT对畸形数据包做丢弃处理，且d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。1)查看BGPIPv6FlowSpec2)查看BGPIPv6FlowSpecification路由数据c)预期结果：可以查看到溯源信息，攻击溯源信息里面包含了攻击报文的源IPv6地址或者源d)结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。具有状态查询权限。为user2配置高等级权限,具有涉法报文防御等配置或操作；user2支持涉及数据平面的重要功能如ACL规