YD_T 4571-2023 IPv6网络安全测评方法.docx

上传人:夺命阿水 文档编号:1425018 上传时间:2024-06-15 格式:DOCX 页数:11 大小:50.34KB
返回 下载 相关 举报
YD_T 4571-2023 IPv6网络安全测评方法.docx_第1页
第1页 / 共11页
YD_T 4571-2023 IPv6网络安全测评方法.docx_第2页
第2页 / 共11页
YD_T 4571-2023 IPv6网络安全测评方法.docx_第3页
第3页 / 共11页
YD_T 4571-2023 IPv6网络安全测评方法.docx_第4页
第4页 / 共11页
YD_T 4571-2023 IPv6网络安全测评方法.docx_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《YD_T 4571-2023 IPv6网络安全测评方法.docx》由会员分享,可在线阅读,更多相关《YD_T 4571-2023 IPv6网络安全测评方法.docx(11页珍藏版)》请在课桌文档上搜索。

1、ICS33.060.99CCSM36YD中华人民共和国通信行业标准YD/T45712023IPv6网络安全测评方法IPv6networksecurityevaluationmethod2024-04-01实施2023-12-20发布中华人民共和国工业和信息化部发布目次前言II1范围I2规范性引用文件13 术语和定义14 缩略语15 安全风险分析25.1 概述25.2 过渡机制安全风险25.3 IPv6引入的安全风险25.4 安全设备面临的新风险36 安全测评内容36.1 双栈安全防护能力测评36.2 IPv6协议安全测评46.3 IPv6DDoS防护能力测评56.4 安全配置测评66.5 漏洞

2、扫描测评76.6 组网安全测评8-xx.刖三本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定内容起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国通信标准化协会提出并归口。本文件起草单位:中国移动通信集团有限公司、中兴通讯股份有限公司、新华三技术有限公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人:杜海涛、邵京、王悦、李伟、张峰、何申、粟栗、林兆骥、万晓兰、王照、陈桂文、石磊、梁业裕。IPv6网络安全测评方法1范围本文件规定了IPv6网络的安全测评内容和方法,包括双栈安全

3、防护能力、协议安全、安全防护、安全配置、漏洞扫描、组网安全等方面,可作为IPv6规模部署中网络安全的基本测试评价方法。本文件适用于通信网络、业务系统和支撑系统等典型网络和设备的IPV6网络安全测评。2规范性引用文件本文件没有规范性引用文件。3术语和定义本文件没有需要界定的术语和定义。4缩略语下列缩略语适用于本文件。AC1.访问控制列表AccessControl1.istCNVD国家信息安全漏洞共享平台ChinaNationalVulnerabilityDatabaseCVD通用漏洞披露CommonVulnerabilities&ExposuresDDoS分布式拒绝服务攻击Distributed

4、DenialofServiceDHCP动态主机配置协议DynamicHostConfigurationProtocolIDS入侵检测系统IntrusionDetectionSystemIPS入侵防御系统IntrusionPreventionSystemNAT网络地址转换NetworkAddressTranslationND邻居发现NeighborDiscoveryNDP邻居发现协议NeighborDiscoveryProtocolURPF单播反向路由查找UnicastReversePathForwardingWAFWeb应用防护系统WebApplicationFirewallXSS跨站脚本攻击

5、CrossSiteScriptAttack5安全风险分析5.1概述典型的企业IPv6网络组成如图1所示,由交换机、路由器等基础网络设备,以及防火墙、DDoS防护设备、WAFIDS/IPS等安全防护设备组成。与IPv4相比,IPv6在协议方面进行了安全增强,但仍在以下3个方面存在安全风险:一是IPv4与IPv6实施的双栈配置等过渡期的安全风险;二是IPv6协议所引入的安全风险;三是安全防护设备面临新的安全风险。本章节的安全风险,参考了ITU-TX.1037中的安全风险描述。5.2 过渡机制安全风险在从IPv4向IPv6过渡的过程中,“双栈”“隧道”“翻译”是3种可能采用的方案,均可能引入新的安全

6、威胁。例如,过渡期间双栈部署的网络中同时运行着IPv4、IPv6两个逻辑通道,增加了设备/系统的暴露面,也意味着防火墙、安全网关等防护设备需要同时配置双栈策略,从而导致策略管理的复杂度增加,安全防护被穿透的机会增加。5.3 IPv6引入的安全风险IPv6报文结构中引入的新字段(例如流标签等)、IPv6协议族中引入的新协议(例如邻居发现协议等)可能存在漏洞,这些漏洞被利用后可发起地址欺骗、DDoS等攻击。IPv6协议特有的攻击风险包括:逐跳扩展头攻击、邻居发现协议攻击等。5.4 安全设备面临的新风险过渡阶段的IPv4和IPv6双栈机制,使同一设备至少具有IPV4和IPv6两个地址,增加11P地址

7、暴露的风险,同时也对安全设备的配置管理和扫描设备的性能都提出了更高的要求,具体如下。a)网络层防护设备:在IPv4与IPv6混合网络中,防火墙/安全网关等防护设备需要同时配置双栈策略保障安全性,对设备的功能、性能的要求更高。b)应用层安全防护设备:WAF、IPS、IDS等应用层安全防护设备的IPv6报文解析能力、IPv6地址格式配置(例如黑白名单等)功能可能不完善;包含安全功能的网络系统(例如流量控制系统等)也可能存在类似风险。C)网络扫描类设备:在IPv4环境下,系统漏洞扫描、Web漏洞扫描等设备一般按照C段/B段地址进行扫描。但IPv6地址长达128位,是IPv4的2%倍,扫描设备难以按照

8、地址段实施大规模扫描。6安全测评内容6.1 双栈安全防护能力测评6.1.1 双栈安全防护配置测评测评项双栈设备的安全防护配置测评对象网络设备/安全设备测评方法检查网络单元中IPv4和IPv6双栈的基础网络设备(交换机、路由器、负载均衡等)和安全设备(防火墙等)的配置。测评内容针对IPv4和IPv6协议栈,设备都具备安全相关的功能,支持进行相关的配置是口否口针对IPv4和IPv6协议栈,设备都启用了安全相关的功能,并进行了相关配置是口否口6.1.2双栈安全防护能力测评测评项双栈安全防护能力测评对象网络设备/安全设备测评方法检查网络单元中IPv4和IPv6双栈的基础网络设备(交换机、路由耀、负载均

9、衡等)和安全设备(防火墙等)的工作情况测评内容设备启动了针对双栈的安全功能和配置后,设备仍能够正常工作,并且满k是口否口足功能和性能的要求YD/T457120236.2 IPv6协议安全测评6.3 2.1NDP协议攻击防护能力测评测评项NDP协议攻击防护能力测评对象网络设备/安全设备测评方法检查网络单元中的基础网络设备(交换机、路由器、负载均衡等)和安全设备(防火墙等)配置测评内容支持主机ND表项绑定记录功能,通过收集主机ND表项记录合法主机地址、接口、MAC对应关系,保证合法主机的链路可达性是口否口支持端口ND表项限制功能,通过限制设备对某端口ND表项的数量来缓解洪泛攻击是口否口支持静态ND

10、表项绑定功能,通过绑定主机与ND之间的映射关系,防止动态地址欺骗攻击对ND表项进行篡改是口否口6.2.2地址欺骗防护能力测评测评项地址欺骗防御能力测评对象三层路由交换设备测评方法检查三层路由设备DHCP配置测评内容支持通过配置端口AC1.,对连接终端主机的接口收到的DHCP应答消息进行过滤,实现只接收与真实DHCP服务器互联接口接收到的DHCP应答消息,避免从非信任接口遭受DHCP欺骗是口否口支持DHCPGUard功能,对连接终端主机的接口收到的DHCP应答消息进行过滤,实现只接收与真实DHCP服务器互联接口收到的DHCP应答消息,避免从非信任接口遭受DHCP欺骗是口否口支持通过配置端口AC1

11、.,对连接终端主机的接口收到的RA应答消息进行过滤,实现只接收与真实路由器互联接口收到的RA应答消息,避免从非信任接口遭受RA欺骗是口否口支持RAGUard功能,对连接终端主机的接口收到的RA应答消息进行过滤,实现只接收与真实路由器互联接口收到的RA应答消息,避免从非信任接口遭受RA欺骗是口否口6.2.3URPF功能测评测评项URPF功能测评对象三层路由交换设备测评方法检查网络单元中三层路由交换设备配置测评内容支持URPF配置功能是口否口开启配置URPF,转发设备根据报文源地址查询本地路由表,若发现本地是口否口没有对应的路由,或报文的入接口与路由的出接口不符,则判断该报文来源不合法,进行丢弃处

12、理6.2.4扩展头检查功能测评测评项报文扩展头检查功能测评对象防火墙设备测评方法协议安全测试测评内容支持报文扩展头检查功能是口否口可以针对不同类型(逐跳选项、目的选项、路由首部、分片首部、认证首部、安全净荷封装)的扩展头进行识别,并执行相应通过/丢包动作是口否口6.2.5分片攻击防护能力测评测评项分片攻击防护能力测评对象三层路由交换设备测评方法协议安全测试对MTU(最大传输单元)小于1280字节的数据包,进行丢弃处理(除非最后一个包)是口否口测评内容针对3种扩展头:逐跳扩展头、目的地址选项扩展头、路由扩展头,出现在IPv6分片的数据部分,进行丢弃处理是口否口对于IPv6报文重组超时时间到达前,

13、由于分片包头未包含足够的重组信息导致无法完成重组的报文,进行丢弃处理是口否口对于分片重组后报文载荷长度大于65535字节的IPv6分片报文,进行丢弃处理是口否口6.3IPv6DDoS防护能力测评6.3.1基于IPv6的SynFlood防护能力测评测评项基于IPv6的SynF100d攻击防护能力测评对象网络系统/抗DDoS设备测评方法用仪表构建IPv6SynF100d攻击测试,检查被测网络/设备是否能够承受IPv6SynFlood攻击测评内容检查被测网络/设备有SynFlood防护机制是口否口被测网络/设备能够防范IPv6SynF100d攻击是口否口6.3.2基于IPv6的UDPFlood防护能

14、力测评测评项基于IPv6的IJDPF100d攻击防护能力测评对象网络系统/抗DDOS设备测评方法用仪表构建IPv6UDPFlOod攻击测试,检查被测网络/设备是否能够承受IPv6UDPF100d攻击测评内容检查被测网络/设备有UDPFlOOd防护机制是口否口被测网络/设备能够防范IPv6UDPFloOd攻击是口否口6.3.3基于IPv6的ICMPFlood防护能力测评测评项基于IPv6的TCMPFlOod攻击防护能力测评对象网络系统/抗DDoS设备测评方法用仪表构建IPv6ICMPFlOod攻击测试,检查被测网络/设备是否能够承受IPv6ICMPF100d攻击测评内容检查被测网络/设备有ICM

15、PFlood防护机制是口否口被测网络/设备能够防范IPv6ICMPFlood攻击是口否口6.4 安全配置测评6.4.1 日志告警安全测评测评项日志告警安全测评对象网络设备/安全设备测评方法检查网络单元中基础网络设备(交换机、路由器、负载均衡等)和安全设备的(防火墙等)的基线配置设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录处否成功、登录时间,以及远程登录时,用户使用的IPv6地址是口否口测评内容设备应配置H志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改等操作。记录需要包含用户账号、操作时间、操作内容以及操作结果是口否口设备应配置日志告

16、警功能,对与设备相关的攻击事件进行告警是口否口6.4.2安全策略配置测评测评项安全策略配置测评对象网络安全设备测评方法检查网络单元中网络安全设备(防火墙、IDS/IPS等)基线配置测评内容支持IPv6五元组安全策略功能是口否口可以针对IPv6报文的五元组(源IPv6地址,目的IPv6地址,源端口,目是口否口的端口,协议)进行识别,并执行相应通过/丢包动作所有防火墙在配置访问规则时,最后一条默认必须是拒绝一切流量是口否口检查安全设备是否开启了针对IPv6地址相关的安全策略,是否针对ICMPV6进行了安全控制,并放通网络中需要使用的ICMPV6报文是口否口可以针对不同ICMPV6报文类型(消息类型

17、、消息码)进行识别,并执行相应通过/丢包动作是口否口检查安全设备是否开启防暴力破解功能,能够针对攻击者使用的IPv6地址或其前缀头进行限制是口否口6.5 漏洞扫描测评6.5.1 系统Web漏扫工具测评测评项系统/Web漏洞扫描工具功能测评对象系统/Web漏洞扫描工具测评方法检查系统/Web漏扫工具功能;测评内容系统漏洞扫描工具是否支持IPv6,可对IPv6地址进行扫描是口否口系统漏洞扫描工具是否支持IPv6漏洞特征库,例如CVE、CNVD.BUgTraq等是口否口Web漏洞扫描工具是否支持IPv6,可对IPv6地址进行扫描是口否口WCb漏洞扫描工具是否支持IPv6漏洞特征库,例如CVE、CNV

18、DBUgTraq等是口否口6.5.2系统漏洞测评测评项系统漏洞情况测评对象设备/系统测评方法使用系统漏扫工具对核心设备/系统进行漏洞扫描测评内容主要核心设备/系统是否存在可利用的漏洞姑否口6.5.3Web漏洞测评测评项Web漏洞情况测评对象网站测评方法使用Web漏扫工具对网站进行漏洞扫描测评内容是否支持检测基于IPv6地址网页中SQ1.注入、cookies,XSS等攻击是否口网站是否具有相关防范措施是口否口6.5.4端口开放性检测测评项端口开放性测评对象网络设备测评方法使用端口扫描工具扫描核心设备测评内容检查核心网设备端口扫描工具报告,提供端口开放报告,端口开放最小化,没有不应该开启的端口(例

19、如,21、23等)是口否口检查安全设备端口扫描工具报告,提供端口开放报告,端口开放最小化,没有不应该开启的端口(例如,21、23等)是口否口检查路由设备是否仅对可信主机开放端口,提供端口开放报告,非可信主机限制端口访问是口否口6.6 组网安全测评6.7 6.1网络隔离测评测评项网络隔离测评对象网络测评方法D检查是否有网络安全域划分方案:2)核实网络安全域划分方案落实情况测评内容检查被测网络是否有明确的IPv6网络安全域划分方案是口否口检查IPV6网络安全域划分方案是否在网络中进行正确实施是口否口6.6.2网络拓扑测评测评项网络拓扑安全测评对象网络测评方法1)核实网络拓扑情况,并查看交换机路由器配置信息,核实拓扑图与实际网络是否相符:2)核实相关设备部署情况;查看网络拓扑图,核实网络拓扑及相关设备部署符合有关标准对组网安全要求:3)核实采用何种手段对主要网络设备进行运行状态监控:查看设备状态监控措施是否满足安全要求测评内容拓扑图与实际网络是否一致是口否口网络拓扑及相关设备部署是否符合有关标准对组网安全的要求是口否口是否对主要网络设备进行状态监控是口否口

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号