YDT 2041-2009 IPv6 网络设备安全测试方法——宽带网络接入服务器

ICS33.040.40M32YD中华人民共和国通信行业标准YD!T2041-2009IPv6网络设备安全测试方法宽带网络接入服务器SecuritytestspecificationofIPv6networkdevice一一一Broadbandnetworkaccessserver2009-12-11发布2010-01-01实施中华人民共和国工业和信息化部发布yorr2041-2009目次前言…………………………………………………………………………………………………………..咀1范围…·2规范性引用文件…3缩略语…4测试环境配置…...........................………………………………………………………………………25数据平面安全测试……………………………………………………………………………………………35.1IPSec功能.................................................….........….........…..............…...............35.2L2TP功能………………………………………………………………………………………………35.3常见攻击防护......................................................•......................•....•................'45.4URPF功能...••••••••••••••••••.••••••••••••••.....…...................................................…..........85.5ACL功能..........................................................................…..........................…105.6流量控制功能….......…................….........…..........................................................155.7会话及应用监测功能........…..................................................................................186控制平面安全测试…..............…..................................................................................216.1用户安全管理功能.............................................................................................…216.2路由协议安全...................................................................…................….........…'256.3路由过滤功能…..............................................….........................…....•.••••••.••••••'316.4TCPIIP协议安全….......................…·…................................…............................336.5VPN功能................….....................................................................…..….......…356.6GTSM功能….......................…........….........…..........................................…........367管理平面安全测试........……........…..…………………………………………………………………377.1端口镜像功能…........…................................….....................….............................377.2访问控制功能.............................…........................…............................…........…'387.3SSH安全访问功能.................….........…................................…...............…...........407.4SNMPv3协议安全.........……………………………………………………………………………447.5用户口令安全................….........................….................….......….........................487.6安全审计功能…....................................…............................................................497.7基于采样的流信息输出功能.................…..........…...............................….........…..50参考文献…...............….......................................……..................…..................…........…'54yorr2041-2009H目IJJ=I本标准是IPv6网络设备安全系列标准之一，该系列标准预计的结构和名称如下z1.四厅拟1-2∞9IPv6网络设备安全技术要求一一宽带网络接入服务器2.YD厅1905-2009IPv6网络设备安全测试方法一一宽带网络接入服务器本标准与YD厅1905-2∞9IPv6网络设备安全技术要求一一宽带网络接入服务器配套使用。本标准由中国通信标准化协会提出井归口。本标准起草单位z工业和信息化部电信研究院。本标准主要起草人z杨剑锋。1范围IPv6网络设备安全测试方法-一宽带网络接入服务器yorr2041-2009本标准规定了支持E峭的宽带网络接入服务器涉及安全相关测试的内容，包括数据平面、控制平面和管理平面的安全测试。本标准适用于支持IPv6的宽带网络接入服务器。本标准中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指1Pv6宽带网络接入服务器。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD厅1265--2003YDfT1467-2006网络接入服务器(NAS)测试方法一一宽带网络接入服务器E安全协议(IPSec)测试方法3缩略语下列缩略语适用于本标准。ACLAccessContr01List访问控制列表BGPBorderGatewayProtoc01边界网关协议BGP4+BGPversion4P1us支持1Pv6的BGP协议版本4DUTDeviceUnderTest被测设备FfPFi1eTransferProtoc01文件传输协议GTSMGeneralizedTTLSecurityMech缸llsm通用TTL安全机制HTTPHyperTextTransferProtoc01超文本传输协议1CMPIntemetContr01Message阶otoc01互联网控制报文协议1CMPv61C岛1Pversion61CMP协议版本6EIntemet阶ot∞01互联网协议IPv6IntemetProt∞01version6互联网协议版本6IPSecIPSecurityE安全机制1S-1SIntermediateSystemtoIntermediateSystem中间系统-中间系统1S-1Sv61S-1Sversion61S-1S协议版本6L2TPLayer2TunnelingProtoc01二层隧道协议L2VPNLayer2VPN二层VPNYDrr2041-2009L3VPNLayer3VPN二层VPNMACMediaAccessControl媒质访问控制MD5MessageDigestversion5报文摘要版本5NASNetworkAccessServer网络接入服务器NDNeighborDiscovery邻居发现OSPFOpenShortestPathFirst最短路径优先OSPFv3OSPFversion3OSPF协议版本3PPPPoint-tc�PointProtocol点到点协议RIPRouteIn岛nnationProt倪。l路由信息协议RIPngRou由19InfonnationProtω01，NextGeneration下一代路由信息协议SMTPSimpleMessageTransferProt∞01简单邮件传输协议SN岛。SimpleNetworkManagementProtocol简单网管协议SNMPv3SNMPversion3SNMP协议版本3SSHSec町eShell安全外壳程序SSHvlSSHversion1SSH版本1SSHv2SSHversion2SSH版本2TCPTransmissionControlProt∞01传输控制协议UDPUserDatagramProt，以;01用户数据报协议URPFUnicastReversePathForwarding单播反向路径转发VLANVrrtua1L∞a1AreaNetworks虚拟局域网VPNVrrtua1PrivateNetwork虚拟专用网4测试环境配置测试环境1如图1所示。固1测试环境配置1测试环境2如图2所示。固2测试环境配置2测试环境3如图3所示。2yorr2041-2009固3测试环境配置3测试环境4如囱4所示。圄4测试环境配置4测试环境5如图5所示。固5测试环境配置5测试环境6如图6所示。固6测试环境配置6测试环境7如图7所示。固7测试环境配置75数据平面安全测试5.1IPSec功能IPSec相关安全功能测试见四厅1467--2∞6。5.2L2TP功能L2TP相关安全功能测试见m厅1265-2003.3YD/T2041-20095.3常见攻击防护测试编号1测试项目:抗大流量冲击测试测试类别:必选测试配置:测试配置图1测试步骤:1)按测试环境配置连接设备:2)在仪表A、B间以线速发送数据包:3)D盯的1端口启用路由协议，仪表A通告路由信息:的停止步骤2)中数据包的发送:5)仪表以线速向D盯的环回地址发送数据包:6)仪表A通告路由信息预期结果:在步骤3)、6)中，D盯能正确处理和更新路由信息，控制平面和管理平面功能不受背景流量影响判定原则z应完全符合预期结果，否则判定不合格测试编号2测试项目:畸形包处理功能测试测试类别:必选测试配置z测试配置图1测试步骤:1)按测试环境配置连接设备:2)在仪表A、B间以小于吞吐量的速率发送数据包:3)由仪表A向仪表B发送链路层错误(如Ali