中國電信互聯網及相關網絡路由器設備安全防護要求V

1、中國電信安全策略體系文檔文檔編號 : SOC 02-02-003中國電信互聯網及相關網絡路由器設版?zhèn)浔咎柊玻喝?.防0.0護要求發(fā)布日期：中國電 修信訂記集錄團公司修訂日期修訂內容修訂人網絡運行維護事業(yè)部目次前言 .21引言 .31.1目的 .31.2范圍 .32防護策略劃分 .43管理平面防護策略 .53.1管理口防護 .53.2賬號與口令 .53.3認證 .63.4授權 .63.5審計 .錯誤 !未定義書簽。3.6遠程管理 .63.7SNMP安全 .73.8系統(tǒng)日志 .73.9NTP.83.10banner 信息 .83.11未使用的管理平面服務 .84數據轉發(fā)平面防護策略 .94.1流量

2、控制 .94.2典型垃圾流量過濾 .94.3ToFab.95控制平面防護策略 .105.1ACL控制 .105.2路由安全防護 .105.3協(xié)議報文防護 .105.4引擎防護策略 .11前言為進一步落實中國電信互聯網及相關網絡安全策略總綱要求，促進中國電信互聯網及相關網絡在路由器設備選型、工程驗收以及運維階段等環(huán)節(jié)的規(guī)范化運作，明確路由器設備必須滿足的基本安全防護要求（相關安全防護要求獨立于具體廠家），特制定本防護要求（以下簡稱“要求”）。各省公司可以根據實際情況，在本要求的基礎上制定相應的實施細則并具體實施。本文檔起草單位：中國電信集團公司網絡運行維護事業(yè)部本文檔解釋單位：中國電信集團公司網

3、絡運行維護事業(yè)部引言1.1目的為促進中國電信互聯網及相關網絡在路由器設備選型、工程驗收以及運維階段等環(huán)節(jié)的規(guī)范化運作，明確路由器設備必須滿足的基本安全防護要求（相關安全防護要求獨立于具體廠家），特制定本要求。1.2范圍本要求適用于中國電信的互聯網與相關網絡及系統(tǒng)，主要包括IP 承載網，以及承載在其上的各種業(yè)務網、業(yè)務平臺和支撐系統(tǒng)。IP 承載網包括中國電信ChinaNet、CN2、城域網、 DCN 等網絡；業(yè)務網包括C 網分組域、軟交換等；業(yè)務平臺包括C 網業(yè)務平臺、全球眼、互聯星空等；支撐系統(tǒng)包括DNS、網管系統(tǒng)、認證系統(tǒng)等。防護策略劃分根據國內外運營商網絡及結合中國電信的實際情況，可將路由

4、交換設備的安全域邏輯劃分為管理平面、控制平面、轉發(fā)平面等三大平面，每個平面的具體安全策略不同。具體如下：管理平面：管理平面防護的主要安全策略是保護設備遠程管理及本地服務的安全性，降低設備受到網絡攻擊或被入侵的可能性。轉發(fā)平面：數據轉發(fā)平面的主要安全策略是對異常流量進行控制，防止因網絡蠕蟲、拒絕服務攻擊等流量在網絡中的泛濫，造成網絡的擁塞或不可用?？刂破矫妫嚎刂破矫娴闹饕踩呗允潜ＷC設備系統(tǒng)資源的可用性，使得設備可以正常的實現數據轉發(fā)、協(xié)議更新。管理平面防護策略管理平面防護的主要目的是保護路由器遠程管理及本地服務的安全性，降低路由器受到網絡攻擊或被入侵的可能性。管理平面防護的措施主要包括以下幾

5、方面：3.1管理口防護編號內容設備應關閉未使用的管理口（ AUX、或者沒開啟業(yè)務的端口）。設備應配置 console 口密碼保護。3.2賬號與口令本地認證編號內容應對不同的用戶分配不同的賬號，避免不同用戶間賬號共享。應禁止配置與設備運行、維護等工作無關的賬號；2應禁止使用設備默認賬號與口令并嚴格控制本地認證賬號數量。對于采用靜態(tài)口令認證技術的設備：應支持口令長度及復雜度驗證機制（強制要求口令應由數字、大寫字母、小寫字母和特殊符號4 類字符構成，自動拒絕用戶設置不符合復雜度要求的口令。）；口令應以密文形式存放，并采用安全可靠的單向散列加密算法（如 md5、 sha1 等）；口令定期更改，最長不得

6、超過 90 天。認證服務器認證編號內容建議使用動態(tài)口令認證技術?？诹疃ㄆ诟?，最長不得超過 90 天。應為設備配置用戶 連續(xù)認證失敗次數上限，當用戶連續(xù)認證失敗次數超過上限時，設備自動斷開該用戶賬號的連接，并在一定時間內禁止該用戶賬號重新認證。設備應通過對用戶組的認證實現對用戶組及組內賬號、口令的相關控制。3.3認證編號內容1除本地認證外，設備原則上還應通過與認證服務器（RADIUS或 TACACS服務器）聯動的方式實現對用戶的認證。3.4授權編號內容設備原則上應采用預定義級別的授權方法，實現對不同用戶權限的控制。除本地授權外，設備原則上應通過與認證服務器（ RADIUS服務器或 TACACS

7、服務器）聯動的方式實現對用戶的授權。對用戶授權時，建議采用逐條授權的方式，盡量避免或減少使用一次性授權的方式。原則上應采用對命令組或命令進行授權的方法，實現對用戶權限細粒度的控3制的能力。3.5記賬編號內容原則上應采用與認證服務器(RADIUS 或 TACACS服務器 ) 聯動的方式，實現對用戶登錄日志的記錄和審計。記錄和審計范圍應包括但不限于：用戶登錄的1方式、使用的賬號名、登錄是否成功、登錄時間、以及遠程登錄時用戶使用的 IP 地址。原則上應采用與認證服務器(RADIUS 或 TACACS服務器 ) 聯動的方式，實現對用戶操作行為的記錄和審計，記錄和審計范圍應包括但不限于：賬號創(chuàng)建、2刪除

8、和權限修改，口令修改，設備配置修改，執(zhí)行操作的行為和操作結果等。3.6遠程管理編號內容應配置超時退出。應限制 VTY 口的數量，通常情況下 VTY 口數量不超過 16 個。應設定 VTY口的防護策略，避免由于惡意攻擊或者錯誤操作等導致VTY 口不可用情況的發(fā)2生。（如：網管系統(tǒng)盡量采用snmp 方式對設備進行操作，避免使用對設備CPU負載較大的 telnet方式。）對于 VTY 口訪問的認證，應采用認證服務器認證或者本地認證的方式，避免3使用 VTY口下設置密碼的方式認證。應通過 ACL限制可遠程管理設備的 IP 地址段。建議使用 SSH或帶 SSH的 telnet 等加密的遠程管理方式。3.

9、7SNMP安全編號內容設備應支持并使用V2 或 V2 以上版本的 SNMP協(xié)議，對于支持V3 版本的設1備，必須使用 V3 版本 SNMP協(xié)議。應對發(fā)起 SNMP訪問的源 IP 地址進行限制，并對設備接收端口進行限制。應關閉未使用的 SNMP協(xié)議，盡量不開啟 SNMP的 RW權限。應修改 SNMP協(xié)議 RO和 RW的默認 Community字符串，并設置復雜的字符串4作為 SNMP的 Community。建議支持對 SNMP協(xié)議 RO、RW的 Community 字符串的加密存放。3.8系統(tǒng)日志編號內容應調整 system log 的緩沖區(qū)大小。2應設置發(fā)送 system log 的源地址為

10、loopback 地址。3設備的 System log messages 不記錄到控制臺。應具備將指定級別的日志發(fā)送到日志服務器或其它位置的能力。3.9NTP編號內容1應開啟 NTP，保證設備日志記錄時間的準確性。通過 ACL對 NTP服務器與設備間的通信進行控制。3.10 banner 信息編號內容應隱藏設備缺省的 banner 信息。3.11 未使用的管理平面服務編號內容應關閉設備上不必要的服務 ( 如 CDP、 DNS lookup、DHCP、finger 、udp-1、http 、bootp 、IP 源路由、 PAD等)small-server 、tcp-small-server數據轉

11、發(fā)平面防護策略在數據轉發(fā)平面的主要安全策略是對異常流量進行控制，防止網絡蠕蟲、拒絕服務攻擊流量在網絡中的泛濫，造成網絡的擁塞或不可用。轉發(fā)平面防護的措施主要包括以下幾個方面：4.1流量控制編號內容1應支持 NetFlow 采集功能，采集設備入方向的流量的 NetFlow 。2設備應通過 CAR等技術對報文進行分類，對協(xié)議端口進行流量控制。4.2典型垃圾流量過濾編號內容1應采用 uRPF技術預防偽造源地址的攻擊。應在相關接口（例如：在 ChinaNet 網絡中的 C/D 路由器面向城域網、面向IDC 接入的端口、 ChinaNet 網絡中 X/F/S 路由器面向其他運營商接入的端2口）上采用分組

12、過濾技術拒絕目的地址是私有地址、組播地址或者其他保留地址的非法數據流。應在相關路由器上使用白名單方式，對網絡間的訪問進行合理控制。（例3如： CN2網絡中，在 X/F 路由器上使用白名單方式限制國外運營商地址對CN2網絡及設備地址的訪問等）4應合理的拒絕 ICMP分片報文。5屏蔽不使用的端口。4.3ToFab編號內容應通過相關配置，防止ToFab方向的矩陣緩沖區(qū)耗盡導致的協(xié)議數據和轉發(fā)1流量異?？刂破矫娣雷o策略控制平面防護的主要目的是對進出路由器自身流量進行控制，避免惡意流量或錯誤配置、軟件 bug和其它原因產生的泛洪流量，引起設備引擎過載，而導致設備數據轉發(fā)性能下降或不可用事件發(fā)生?？刂破矫?/p>

13、防護的措施主要包括以下幾個方面：5.1ACL控制編號內容應使用合理的 ACL或其它分組過濾技術，對設備控制流量、管理流量及其它由路由器引擎直接處理的流量（如 traceroute 、ICMP流量）進行控制，實現對路由器引擎的保護。5.2路由安全防護編號內容應部署適當的路由安全策略，避免設備發(fā)布或接收不安全的路由信息。（如：開1啟動態(tài)路由協(xié)議認證功能且認證口令采用MD5加密、使用 ip prefix-list過濾缺省和私有路由、設置最大路由條目限制、嚴格限制BGP PEER的源地址等）應部署適當的路由安全策略 , 保障整個網絡路由層面的穩(wěn)定性和可控性。( 如：對2接收的 eBGP路由 AS-PATH長度進行一定限制、啟用BGP TTL security check 功能防御路由震蕩攻擊、采用 BGP協(xié)議作為 EGP協(xié)議時，應使用 Route flapdamping 功能防止路由風暴等 )3啟用 LDP標簽分發(fā)協(xié)議時，應合理使用LDP協(xié)議認證及加密功能，確保與可信方進行 LDP協(xié)議交互。5.