《YD_T 4571-2023 IPv6网络安全测评方法.docx》由会员分享,可在线阅读,更多相关《YD_T 4571-2023 IPv6网络安全测评方法.docx(11页珍藏版)》请在优知文库上搜索。
1、ICS33.060.99CCSM36YD中华人民共和国通信行业标准YD/T45712023IPv6网络安全测评方法IPv6networksecurityevaluationmethod2024-04-01实施2023-12-20发布中华人民共和国工业和信息化部发布目次前言II1范围I2规范性引用文件13 术语和定义14 缩略语15 安全风险分析25.1 概述25.2 过渡机制安全风险25.3 IPv6引入的安全风险25.4 安全设备面临的新风险36 安全测评内容36.1 双栈安全防护能力测评36.2 IPv6协议安全测评46.3 IPv6DDoS防护能力测评56.4 安全配置测评66.5 漏洞
2、扫描测评76.6 组网安全测评8-xx.刖三本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定内容起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国通信标准化协会提出并归口。本文件起草单位:中国移动通信集团有限公司、中兴通讯股份有限公司、新华三技术有限公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人:杜海涛、邵京、王悦、李伟、张峰、何申、粟栗、林兆骥、万晓兰、王照、陈桂文、石磊、梁业裕。IPv6网络安全测评方法1范围本文件规定了IPv6网络的安全测评内容和方法,包括双栈安全
3、防护能力、协议安全、安全防护、安全配置、漏洞扫描、组网安全等方面,可作为IPv6规模部署中网络安全的基本测试评价方法。本文件适用于通信网络、业务系统和支撑系统等典型网络和设备的IPV6网络安全测评。2规范性引用文件本文件没有规范性引用文件。3术语和定义本文件没有需要界定的术语和定义。4缩略语下列缩略语适用于本文件。AC1.访问控制列表AccessControl1.istCNVD国家信息安全漏洞共享平台ChinaNationalVulnerabilityDatabaseCVD通用漏洞披露CommonVulnerabilities&ExposuresDDoS分布式拒绝服务攻击Distributed
4、DenialofServiceDHCP动态主机配置协议DynamicHostConfigurationProtocolIDS入侵检测系统IntrusionDetectionSystemIPS入侵防御系统IntrusionPreventionSystemNAT网络地址转换NetworkAddressTranslationND邻居发现NeighborDiscoveryNDP邻居发现协议NeighborDiscoveryProtocolURPF单播反向路由查找UnicastReversePathForwardingWAFWeb应用防护系统WebApplicationFirewallXSS跨站脚本攻击
5、CrossSiteScriptAttack5安全风险分析5.1概述典型的企业IPv6网络组成如图1所示,由交换机、路由器等基础网络设备,以及防火墙、DDoS防护设备、WAFIDS/IPS等安全防护设备组成。与IPv4相比,IPv6在协议方面进行了安全增强,但仍在以下3个方面存在安全风险:一是IPv4与IPv6实施的双栈配置等过渡期的安全风险;二是IPv6协议所引入的安全风险;三是安全防护设备面临新的安全风险。本章节的安全风险,参考了ITU-TX.1037中的安全风险描述。5.2 过渡机制安全风险在从IPv4向IPv6过渡的过程中,“双栈”“隧道”“翻译”是3种可能采用的方案,均可能引入新的安全
6、威胁。例如,过渡期间双栈部署的网络中同时运行着IPv4、IPv6两个逻辑通道,增加了设备/系统的暴露面,也意味着防火墙、安全网关等防护设备需要同时配置双栈策略,从而导致策略管理的复杂度增加,安全防护被穿透的机会增加。5.3 IPv6引入的安全风险IPv6报文结构中引入的新字段(例如流标签等)、IPv6协议族中引入的新协议(例如邻居发现协议等)可能存在漏洞,这些漏洞被利用后可发起地址欺骗、DDoS等攻击。IPv6协议特有的攻击风险包括:逐跳扩展头攻击、邻居发现协议攻击等。5.4 安全设备面临的新风险过渡阶段的IPv4和IPv6双栈机制,使同一设备至少具有IPV4和IPv6两个地址,增加11P地址
7、暴露的风险,同时也对安全设备的配置管理和扫描设备的性能都提出了更高的要求,具体如下。a)网络层防护设备:在IPv4与IPv6混合网络中,防火墙/安全网关等防护设备需要同时配置双栈策略保障安全性,对设备的功能、性能的要求更高。b)应用层安全防护设备:WAF、IPS、IDS等应用层安全防护设备的IPv6报文解析能力、IPv6地址格式配置(例如黑白名单等)功能可能不完善;包含安全功能的网络系统(例如流量控制系统等)也可能存在类似风险。C)网络扫描类设备:在IPv4环境下,系统漏洞扫描、Web漏洞扫描等设备一般按照C段/B段地址进行扫描。但IPv6地址长达128位,是IPv4的2%倍,扫描设备难以按照
8、地址段实施大规模扫描。6安全测评内容6.1 双栈安全防护能力测评6.1.1 双栈安全防护配置测评测评项双栈设备的安全防护配置测评对象网络设备/安全设备测评方法检查网络单元中IPv4和IPv6双栈的基础网络设备(交换机、路由器、负载均衡等)和安全设备(防火墙等)的配置。测评内容针对IPv4和IPv6协议栈,设备都具备安全相关的功能,支持进行相关的配置是口否口针对IPv4和IPv6协议栈,设备都启用了安全相关的功能,并进行了相关配置是口否口6.1.2双栈安全防护能力测评测评项双栈安全防护能力测评对象网络设备/安全设备测评方法检查网络单元中IPv4和IPv6双栈的基础网络设备(交换机、路由耀、负载均
9、衡等)和安全设备(防火墙等)的工作情况测评内容设备启动了针对双栈的安全功能和配置后,设备仍能够正常工作,并且满k是口否口足功能和性能的要求YD/T457120236.2 IPv6协议安全测评6.3 2.1NDP协议攻击防护能力测评测评项NDP协议攻击防护能力测评对象网络设备/安全设备测评方法检查网络单元中的基础网络设备(交换机、路由器、负载均衡等)和安全设备(防火墙等)配置测评内容支持主机ND表项绑定记录功能,通过收集主机ND表项记录合法主机地址、接口、MAC对应关系,保证合法主机的链路可达性是口否口支持端口ND表项限制功能,通过限制设备对某端口ND表项的数量来缓解洪泛攻击是口否口支持静态ND
10、表项绑定功能,通过绑定主机与ND之间的映射关系,防止动态地址欺骗攻击对ND表项进行篡改是口否口6.2.2地址欺骗防护能力测评测评项地址欺骗防御能力测评对象三层路由交换设备测评方法检查三层路由设备DHCP配置测评内容支持通过配置端口AC1.,对连接终端主机的接口收到的DHCP应答消息进行过滤,实现只接收与真实DHCP服务器互联接口接收到的DHCP应答消息,避免从非信任接口遭受DHCP欺骗是口否口支持DHCPGUard功能,对连接终端主机的接口收到的DHCP应答消息进行过滤,实现只接收与真实DHCP服务器互联接口收到的DHCP应答消息,避免从非信任接口遭受DHCP欺骗是口否口支持通过配置端口AC1
11、.,对连接终端主机的接口收到的RA应答消息进行过滤,实现只接收与真实路由器互联接口收到的RA应答消息,避免从非信任接口遭受RA欺骗是口否口支持RAGUard功能,对连接终端主机的接口收到的RA应答消息进行过滤,实现只接收与真实路由器互联接口收到的RA应答消息,避免从非信任接口遭受RA欺骗是口否口6.2.3URPF功能测评测评项URPF功能测评对象三层路由交换设备测评方法检查网络单元中三层路由交换设备配置测评内容支持URPF配置功能是口否口开启配置URPF,转发设备根据报文源地址查询本地路由表,若发现本地是口否口没有对应的路由,或报文的入接口与路由的出接口不符,则判断该报文来源不合法,进行丢弃处
12、理6.2.4扩展头检查功能测评测评项报文扩展头检查功能测评对象防火墙设备测评方法协议安全测试测评内容支持报文扩展头检查功能是口否口可以针对不同类型(逐跳选项、目的选项、路由首部、分片首部、认证首部、安全净荷封装)的扩展头进行识别,并执行相应通过/丢包动作是口否口6.2.5分片攻击防护能力测评测评项分片攻击防护能力测评对象三层路由交换设备测评方法协议安全测试对MTU(最大传输单元)小于1280字节的数据包,进行丢弃处理(除非最后一个包)是口否口测评内容针对3种扩展头:逐跳扩展头、目的地址选项扩展头、路由扩展头,出现在IPv6分片的数据部分,进行丢弃处理是口否口对于IPv6报文重组超时时间到达前,
13、由于分片包头未包含足够的重组信息导致无法完成重组的报文,进行丢弃处理是口否口对于分片重组后报文载荷长度大于65535字节的IPv6分片报文,进行丢弃处理是口否口6.3IPv6DDoS防护能力测评6.3.1基于IPv6的SynFlood防护能力测评测评项基于IPv6的SynF100d攻击防护能力测评对象网络系统/抗DDoS设备测评方法用仪表构建IPv6SynF100d攻击测试,检查被测网络/设备是否能够承受IPv6SynFlood攻击测评内容检查被测网络/设备有SynFlood防护机制是口否口被测网络/设备能够防范IPv6SynF100d攻击是口否口6.3.2基于IPv6的UDPFlood防护能
14、力测评测评项基于IPv6的IJDPF100d攻击防护能力测评对象网络系统/抗DDOS设备测评方法用仪表构建IPv6UDPFlOod攻击测试,检查被测网络/设备是否能够承受IPv6UDPF100d攻击测评内容检查被测网络/设备有UDPFlOOd防护机制是口否口被测网络/设备能够防范IPv6UDPFloOd攻击是口否口6.3.3基于IPv6的ICMPFlood防护能力测评测评项基于IPv6的TCMPFlOod攻击防护能力测评对象网络系统/抗DDoS设备测评方法用仪表构建IPv6ICMPFlOod攻击测试,检查被测网络/设备是否能够承受IPv6ICMPF100d攻击测评内容检查被测网络/设备有ICMPFlood防护机制是口否口被测网络/设备能够防范IPv6ICMPFlood攻击是口否口6.4 安全配置测评6.4.1 日志告警安全测评测评项日志告警安全测评对象网络设备/安全设备测评方法检查网络单元中基础网络设备(交换机、路由器、负载均衡等)和安全设备的(防火墙等)的基线配置设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录处否成功、登录时间,以及远程登录时,用户使用的IPv6地址是口否口测评内容设备应配置H志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建