中国电信安全策略体系文档文档编号: SOC 02-02-003中国电信互联网及相关网络路由器设备安全防护要求版本号:1.0.0发布日期:中国电信集团公司网络运行维护事业部修订记录修订日期修订内容修订人目次前言 (1)1引言 (2)1.1目的 (2)1.2范围 (2)2防护策略划分 (3)3管理平面防护策略 (4)3.1管理口防护 (4)3.2账号与口令 (4)3.3认证 (5)3.4授权 (5)3.5审计.................................................................................... 错误!未定义书签。
3.6远程管理 (6)3.7SNMP安全 (6)3.8系统日志 (6)3.9NTP (7)3.10banner信息 (7)3.11未使用的管理平面服务 (7)4数据转发平面防护策略 (8)4.1流量控制 (8)4.2典型垃圾流量过滤 (8)4.3ToFab (8)5控制平面防护策略 (10)5.1ACL控制 (10)5.2路由安全防护 (10)5.3协议报文防护 (10)5.4引擎防护策略 (11)前言为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。
本文档起草单位:中国电信集团公司网络运行维护事业部本文档解释单位:中国电信集团公司网络运行维护事业部1 引言1.1 目的为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2 范围本要求适用于中国电信的互联网与相关网络及系统,主要包括IP承载网,以及承载在其上的各种业务网、业务平台和支撑系统。
IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络;业务网包括C网分组域、软交换等;业务平台包括C网业务平台、全球眼、互联星空等;支撑系统包括DNS、网管系统、认证系统等。
2 防护策略划分根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同。
具体如下:管理平面:管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性,降低设备受到网络攻击或被入侵的可能性。
转发平面:数据转发平面的主要安全策略是对异常流量进行控制,防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥,造成网络的拥塞或不可用。
控制平面:控制平面的主要安全策略是保证设备系统资源的可用性,使得设备可以正常的实现数据转发、协议更新。
3 管理平面防护策略管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性,降低路由器受到网络攻击或被入侵的可能性。
管理平面防护的措施主要包括以下几方面:3.1管理口防护编号内容1 设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
2 设备应配置console口密码保护。
3.2账号与口令本地认证编号内容1 应对不同的用户分配不同的账号,避免不同用户间账号共享。
2 应禁止配置与设备运行、维护等工作无关的账号;应禁止使用设备默认账号与口令并严格控制本地认证账号数量。
3 对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。
);口令应以密文形式存放,并采用安全可靠的单向散列加密算法(如md5、sha1等);口令定期更改,最长不得超过90天。
认证服务器认证编号内容1 建议使用动态口令认证技术。
2 口令定期更改,最长不得超过90天。
3 应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。
4 设备应通过对用户组的认证实现对用户组及组内账号、口令的相关控制。
3.3认证编号内容1 除本地认证外,设备原则上还应通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证。
3.4授权编号内容1 设备原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
2 除本地授权外,设备原则上应通过与认证服务器(RADIUS服务器或TACACS 服务器)联动的方式实现对用户的授权。
对用户授权时,建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
3 原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。
3.5记账编号内容1 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式,实现对用户登录日志的记录和审计。
记录和审计范围应包括但不限于:用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
2 原则上应采用与认证服务器 (RADIUS或TACACS服务器)联动的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。
3.6远程管理编号内容1 应配置超时退出。
2 应限制VTY口的数量,通常情况下VTY口数量不超过16个。
应设定VTY口的防护策略,避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。
(如:网管系统尽量采用snmp方式对设备进行操作,避免使用对设备CPU负载较大的telnet方式。
)3 对于VTY口访问的认证,应采用认证服务器认证或者本地认证的方式,避免使用VTY口下设置密码的方式认证。
4 应通过ACL限制可远程管理设备的IP地址段。
5 建议使用SSH或带SSH的telnet等加密的远程管理方式。
3.7SNMP安全编号内容1 设备应支持并使用V2或V2以上版本的SNMP协议,对于支持V3版本的设备,必须使用V3版本SNMP协议。
2 应对发起SNMP访问的源IP地址进行限制,并对设备接收端口进行限制。
3 应关闭未使用的SNMP协议,尽量不开启SNMP的RW权限。
4 应修改SNMP协议RO和RW的默认Community字符串,并设置复杂的字符串作为SNMP的Community。
5 建议支持对SNMP协议RO、RW的Community字符串的加密存放。
3.8系统日志编号内容1 应调整system log的缓冲区大小。
2 应设置发送system log的源地址为loopback地址。
3 设备的System log messages不记录到控制台。
4 应具备将指定级别的日志发送到日志服务器或其它位置的能力。
3.9NTP编号内容1 应开启NTP,保证设备日志记录时间的准确性。
通过ACL对NTP服务器与设备间的通信进行控制。
3.10banner信息编号内容1 应隐藏设备缺省的banner信息。
3.11未使用的管理平面服务编号内容1 应关闭设备上不必要的服务(如CDP、DNS lookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)4 数据转发平面防护策略在数据转发平面的主要安全策略是对异常流量进行控制,防止网络蠕虫、拒绝服务攻击流量在网络中的泛滥,造成网络的拥塞或不可用。
转发平面防护的措施主要包括以下几个方面:4.1 流量控制编号内容1 应支持NetFlow 采集功能,采集设备入方向的流量的NetFlow。
2 设备应通过CAR等技术对报文进行分类,对协议端口进行流量控制。
4.2 典型垃圾流量过滤编号内容1 应采用uRPF技术预防伪造源地址的攻击。
2 应在相关接口(例如:在ChinaNet网络中的C/D 路由器面向城域网、面向IDC 接入的端口、ChinaNet网络中X/F/S 路由器面向其他运营商接入的端口)上采用分组过滤技术拒绝目的地址是私有地址、组播地址或者其他保留地址的非法数据流。
3 应在相关路由器上使用白名单方式,对网络间的访问进行合理控制。
(例如:CN2网络中,在X/F路由器上使用白名单方式限制国外运营商地址对CN2网络及设备地址的访问等)4 应合理的拒绝ICMP分片报文。
5 屏蔽不使用的端口。
4.3 ToFab编号内容1 应通过相关配置,防止ToFab方向的矩阵缓冲区耗尽导致的协议数据和转发流量异常5 控制平面防护策略控制平面防护的主要目的是对进出路由器自身流量进行控制,避免恶意流量或错误配置、软件bug和其它原因产生的泛洪流量,引起设备引擎过载,而导致设备数据转发性能下降或不可用事件发生。
控制平面防护的措施主要包括以下几个方面:5.1ACL控制编号内容1 应使用合理的ACL或其它分组过滤技术,对设备控制流量、管理流量及其它由路由器引擎直接处理的流量(如traceroute、ICMP流量)进行控制,实现对路由器引擎的保护。
5.2 路由安全防护编号内容1 应部署适当的路由安全策略,避免设备发布或接收不安全的路由信息。
(如:开启动态路由协议认证功能且认证口令采用MD5加密、使用ip prefix-list 过滤缺省和私有路由、设置最大路由条目限制、严格限制BGP PEER的源地址等)2 应部署适当的路由安全策略,保障整个网络路由层面的稳定性和可控性。
(如:对接收的eBGP 路由AS-PATH 长度进行一定限制、启用BGP TTL security check功能防御路由震荡攻击、采用BGP协议作为EGP协议时,应使用Route flap damping功能防止路由风暴等)3 启用LDP标签分发协议时,应合理使用LDP协议认证及加密功能,确保与可信方进行LDP协议交互。
5.3 协议报文防护编号内容1 设备应具备对仿冒ARP网关攻击防御的能力。
2 设备应具备对典型协议报文(如:STP、HSRP、VRRP、VTP、PAGP、LACP等)攻击防御的手段和能力。
3 应关闭代理ARP和IP 源路由功能。
5.4 引擎防护策略编号内容1 设备应部署合理的引擎防护策略,实现对设备引擎资源的保护。
如:使用CoPP、Racl、CPCAR等类似技术,对发送到设备主控板CPU处理和板卡的流量进行控制(限速或丢弃)。