YD T 2047-2009 接入网设备安全测试方法-xDSL用户端设备.pdf

《YD T 2047-2009 接入网设备安全测试方法-xDSL用户端设备.pdf》由会员分享，可在线阅读，更多相关《YD T 2047-2009 接入网设备安全测试方法-xDSL用户端设备.pdf（17页珍藏版）》请在麦多课文档分享上搜索。

1、lCS 3304050M 42 Y口中华人民共和国通信行业标准YDFF 2047-2009接入网设备安全测试方法备Test method of security for access network equipmentxDSLCPE2009-12-11发布 2010-0101实施中华人民共和国工业和信息化部发布目 次YD厂r 20472009言II范压I1规范性引用文件l缩略语1用户平面安全功能测试2控制平面安全功能测试9管理平面安全功能测试11过压、过流保护功能测试13月l234567前 言本标准是接入网安全系列标准之一该系列标准预计结构及名称如下：1YDT20462009接入网安全技术要求

2、xDsL用户端设备2YDI20472009接入网设备安全测试方法一xDSL用户端设备3YDT 20482009接入网安全技术要求DsL接入复用器(DSLAM)设备4YDT 20492009接入网设备安全测试方法-DsL接入复用器(DSLAM)设各5YDT 20502009接入网安全技术要求无源光网络(PON)设备6YDT 20512009接入网设备安全测试方法一无源光网络(PON)设备7YD，r 19102009接入网安全技术要求综合接入系统8接入网设备安全测试方法一综合接入系统本标准与YDT 20462009接入网安全技术要求配套使用。本标准由中国通信标准化协会提出并归口。本标准起草单位：工

3、业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人：葛坚、敖立、刘谦、党梅梅、程强、赵苹、陈洁、李云洁、陆洋、袁立权、刘卫岗、朱建华。接入网设备安全测试方法DSL用户端设备1范围本标准规定TxDSL用户端设备用户平面安全功能的测试方法、控制平面安全功能的测试方法、管理平面安全功能测试方法和可靠性测试方法。本标准适用于公众电信网的xDSLJ弭户端设备，专用电信网也可参考使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)

4、或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YDTr 1082-2000 接入网设备过电压过电流防护及基本环境适应性技术条件IEEE 8021D 媒体访问控制网桥IEEE 8021Q 虚拟桥接局域网IEEE 8021X 基于端口的网络接入控制IEEE 8021ag 连接性故障管理IEEE 8023 CSMACD存取方法和物理层规范3缩略语下列缩略语适用于本标准。ARP Address Resolution ProtocolCPE Customer Premises EquipmentDHCP Dy

5、namic Host Config ProtocolDMZ DeMilitarized ZoneDSLAM Digital Subscriber Line Access Multiplexerl奶HP HyperText Transfer ProtocolIGMP Interact Group Management Protocolm Internet ProtocolMAC Media ACCeSS ControlN盯 Network Address TranslationPSTN Public Switched Telephone NetworkSNMP Simple Network Ma

6、nagement ProtocolSSH Secure ShellSSL Secure Socket LayerTCP Transmission Control Protocol地址解析协议用户驻地设备动态主机配置协议非管理区数字用户线接入复用器超文本传输协议因特网组管理协议互联网协议媒质访问控制网络地址转换公用电话交换网简单网络管理协议安全Shell安全套接字层传输控制协议YD厂r 2047-2009眦VoIPVPNVLANWANUreform，UIliversal Resource LocaterVbiceoverIPVmual Private NetworkVLrtual Local A

7、rea NetworkWide Area Network统一资源定位符口语音虚拟专网虚拟局域网广域网4用户平面安全功能测试以下图xDSL用户端设备均简写为CPE。41帧过滤功能411测试目的按照YDff 2046-2009接入网安全技术要求-xDSL用户端设备的规定，类型1、类型2、类型3和类型4的xDSL用户端设备应支持对NETBEUI、BPDU、GVRP、GMRP等MAC帧(见表1)进行过滤，可选支持针对MAC源地址和，或目的地址设置过滤条目。寰1 预定义和保留地址的MAC帧处理目的MAC地址 作 用 缺省行为 可选配置 引用标准0180C2-00-00-00 桥组地址(BPDUs) B1

8、0ck None IEEE 8021D，Table 7-90180C2-00-00-0I PAUSB B10ck None IEEB 80230180C2-00-00-02 慢速协议 Block Peer IEEE 8023Table 43B一1(LACE EFM OAM PDUs)0180C2-00-00-03 EAP0v目LANs B10ck Peer IEEE 8021XTaMe7-20180C2-00_00-04- 保留 B10ck None IEEE 8021DTablc 7-9叭80-C2*00-00-0F0180C2-00-00-10 所有LAN的桥管理地址 B10ck None

9、 IEEE 802 1DTable 7-100180C2-00-00-20 GMRP BlOck None IEEE 802 1D，Table 12-10180-C2Oo-00-21 GVRP Block None IEEE 802 1Q，Table 11-1oi80-00-舡22一 保留GARP应用地址 Block Forw盯d IEEE 802 1DTable 12-l0180C2-00-00-2F01-80-C2-xx-xx-xy cFM Forward Block IEEE 802 lagD6，Table 8-9412测试配置围1帧过滤功能测试配置413测试步骤(1)按照图1建立组网连

10、接，关闭DSLAM帧过滤功能，配置CPEI，使网络分析仪1和网络分析仪3之间能正常收发数据流；2(5)选配置”：YD厂r 20472009设置CPEI过滤MAC源和，或目的地址规则；网络分析仪1向网络分析仪3发送MAC源和，或目的地址为被过滤MAC源和，或目的地址的测试取消之前的配置，网络分析仪1向网络分析仪3发送MAC目的地址为表I的地址的测试帧；如果CPE支持可选配置，配置CPEl，将cPm,的MAC帧的处理方式由“缺省行为”改变为“可(6)网络分析仪1向网络分析仪3发送MAC目的地址为表1中的地址的测试帧。414预期结果(1)步骤(3)中，网络分析仪3不能收到测试帧；(2)步骤(4)中，

11、CPEl对测试帧的处理应符合表1中的缺省行为；(3)步骤(6)中，CPEl对测试帧的处理应符合表l中的可选配置。42 MAC地址表深度控制功能421测试目的类型1、类型2、类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。422测试配置如图l所示。423测试步骤(1)按照图1建立组网连接；(2)设置CPE从端口学习到的源MAC地址数量，数值小于DSLAM设置的每端口MAC地址学习数量限制；(3)网络分析仪1连续发送具有不同源MAC地址的测试帧，其中源MAC地址数目大于CPE预设值：(4)查看网络分析仪3收到的源MAC地址数目以及对超过源MAC数量限定的流是否丢弃。

12、424预期结果在步骤(4)中，学习到的MAC地址数量应等于配置的数量限值，且对于超出的流应进行丢弃。43 NAT穿越功能测试431测试目的类型2、类型3和类型4的xDSL用户端设备支持并且实现NATNAPT功能时，应支持对IPSec、L2TP和PPTP等VPN协议的透传，可选提供基于IPSec的VPN Client功能。432测试配置如图1所示。433测试步骤(1)如图组网连接，配置CPE上的NATNAPT功能；(2)配置协议分析仪1和协议分析仪2发送VPN协议报文；(3)配置协议分析仪3发送VPN协议报文。434预期结果(1)在步骤(2)中，协议分析仪3可以收到协议分析仪1和2发送的报文；帧

13、Y)厂r 2047-2009(2)在步骤(3)中，协议分析仪1和2可以收到协议分析仪3发送的报文。44广播帧速率抑制441测试目的类型2、类型3和类型4的xDSL用户端设备应对协议特定的广播，多播包(例如DHCP、ARP、IGMP等)进行抑制。应具备对其他二层广播报文进行速率限制的功能。442测试配置如图l所示。443测试步骤(1)按照图1建立组网连接，关闭DSLAM速率限制功能；(2)网络分析仪1和2向网络分析仪3发送协议特定的广播，多播包：(3)网络分析仪3向网络分析仪1和2发送协议特定的广播，多播包；(4)配置CPE全局抑制对应的广播，多播包的速率；(5)网络分析仪1和2向网络分析仪3全

14、速发送广播，多播包；(6)网络分析仪3向网络分析仪1和2全速发送广播多播包。444预期结果(1)步骤(2)和步骤(3)中，双向都能收到全部的广播，多播包；(2)步骤(5)和步骤(6)中，双向收到的广播，多播包应符合预先设置的抑制策略。45 RSTP、STP协议功能测试451测试目的类型2、类型3和类型4的xDSL用户端设备应支持RSTP协议，RSTP协议要求见IEEE 802ID媒体访问控制网桥。可选支持STP协议。452测试配置图2 RSTP测试iBI453测试步骤(1)按照图2配置测试系统；(2)激活CPE端口的RSTP功能，在控制台查看所有端口的状态；(3)断开另外一条转发状态的链路，在

15、控制台查看端口状态：(4)恢复原来的连接，在控制台查看所有端口的状态。454预期结果(1)在步骤(2)中，可以查看到一个端口处于nlock状态，另外一个端口处于Forward状态。(2)在步骤(3)中，可以查看到端口立即从Block状态变成Forward状态。(3)在步骤(4)中，在原来的连接恢复后，所有端口的状态恢复为原来的状态。46防火墙等级设定功能测试4YDT 20472009461测试目的类型3和类型4的xDSL用户端设备应支持防火墙等级设置。462测试配置如图1所示。463测试步骤t1)连接如图，登录CPE，配置其防火墙设置，(2)检查防火墙的配置。464预期结果步骤(2中)xDSL

16、用户端设备应支持防火墙高、中、低等级设置，每个安全等级的内容可以修改。可选在本地Web界面配置防火墙的等级，分为高、中、低三级。47报文丢弃功能测试471测试目的类型3和类型4的xDSL用户端设备应支持丢弃以下类型的报文： 源与目的地址相同的报文； 源地址为广播的报文； 非法碎片m报文。472测试配置如图l所示。473测试步骤(1)协议分析仪1和2向协议分析仪3发送源与目的地址相同的报文；(2)协议分析仪1和2向协议分析仪3发送源地址为广播的报文；(3)协议分析仪1和2向协议分析仪3发送非法碎片报文。474预期结果(1)在步骤1)中，协议分析仪3收不到协议分析仪1和2发送的报文；(2)在步骤2

17、)中，协议分析仪3收不到协议分析仪1和2发送的报文；(3)在步骤3)中，协议分析仪3收不到协议分析仪l和2发送的报文。48防火墙过滤功能测试481测试目的类型3和类型4xDSL设备应具备防火墙过滤功能。482测试配置如图1所示。483测试步骤(1)测试环境连接如图1所示，配置xDSL用户端设备的防火墙规则；(2)网络分析仪l和2发送P报文，根据源、目的D地址及子网掩码配置防火墙规则；(3)检查网络分析仪3收到的报文；(4)网络分析仪1和2发送P报文，根据源、目的MAC地址配置防火墙规则；(5)检查网络分析仪3收到的报文；YD厂r 2047-2009(6)网络分析仪l和2发送口报文，根据口源端口

18、及范围段、目的端口及范围段配置防火墙规则：(7)检查网络分析仪3收到的报文；(8)网络分析仪l和2发送m报文，根据Ethertype配置防火墙规则；(9)检查网络分析仪3收到的报文；(10)网络分析仪1和2发送m报文，根据以太网包的传输层协议类型进行报文过滤，要求有口oEPPPoE，AI强的选项；(11)检查网络分析仪3收到的报文；(12)网络分析仪1和2发送m报文，根据璎包的传输层协议类型进行报文过滤，要求有TcP，L7DP肥MP，陆IDPANY的选项；(13)检查网络分析仪3收到的报文。484预期结果(1)步骤(3)中，网络分析仪3收到的报文符合防火墙的配置规则；(2)步骤(5)中，网络分

19、析仪3收到的报文符合防火墙的配置规则；(3)步骤(7)中，网络分析仪3收到的报文符合防火墙的配置规则；(4)步骤(9)中，网络分析仪3收到的报文符合防火墙的配置规则：(5)步骤(13)中，网络分析仪3收到的报文符合防火墙的配置规则。49防攻击功能测试491测试目的类型3和类型4的xDSL用户端设备应支持防DoS攻击功能，对收到的数据包进行解析，并判断是否为DoS攻击，对于DoS攻击的报文进行防DoS攻击处理。492测试配置囤3防攻击功能测试配I493测试步骤(1)按图3连接测试环境，配置CPEl的防攻击策略；(2)配置网络分析仪1和网络分析仪2互发一定速率的单播以太网帧：(3)网络安全分析仪以

20、CPEl WAND管理地址ABCD为目标进行DoS攻击测试，DoS攻击的类型包括：Pmg ofDeath、SYN Flooding、ARP Hooding、Spoofing、LAND、Smuff、(4)网络安全分析仪停止DoS攻击。494预期结果(1)在步骤(3)中，网络分析仪1和网络分析仪2之间正常的单播以太网数据业务流不会中断，攻击过程中，设备不能死机；(2)步骤(4)中，网络分析仪1和网络分析仪2之间正常的单播以太网数据正常转发，无丢包，停止攻击后，设备能恢复正常工作。6YD厂r 2047-2009410防端口扫描功能4101测试目的类型3和类型4的xDSL用户端设备应支持防端口扫描功能

21、。4102测试配置如图3所示。4103测试步骤(1)连接如图3所示。关闭DLSLAM的防端口扫描功能开启CPE的防端口扫描功能：(2)网络安全分析仪对CPE的WAND进行扫描：(3)查看网络分析仪1和网络分析2收到的报文。4104预期结果步骤(3)中，CPE不应响应扫描。411基于用户账号的防火墙配置功能测试(可选)4111测试目的类型3和类型4的xDSL用户端设备可选支持用户账号与防火墙策略的绑定。不同用户账号可以自动启用对应的防火墙策略。4112测试配置如图1所示。4113测试步骤(1)测试环境连接如图l所示，配置用户账号USERl及USER2，CPEl配置防火墙策略1及策略2，USERl

22、绑定策略1，USER2绑定策略2；(2)协议分析仪l使用USERl向协议分析仪3发送一定策略的报文；(3)协议分析仪1使用USER2向协议分析仪3发送一定策略的报文。4114预期结果(1)步骤(2)中，协议分析仪3收到的报文符合策略1的配置；(2)步骤(3)中，协议分析仪3收到的报文符合策略2的配置。412 MAC地址可控功能4121测试目的类型3和类型4的xDSL用户端设备应当可以配置并限制学习到的源MAC地址的数量。地址表深度不小于256。4122测试配置如图1所示。4123测试步骤见423。4124预期结果见424。413 DMZ功能4131测试目的7、on 2047-2009类型3的x

23、DSL用户端设备应支持DMZ功能。4132测试配置图4 DMZ功能测试配置4133测试步骤(1)测试环境连接如图4所示，cPE正常连接网络，开启PCI的Web月a务；(2)开启CPE的DMZ功能，指定为PCI：(3)PC2使用CPE的P地址访问PC的web服务。4134预期结果步骤(3)中，PC2可以正常访问PCI的web服务。4 14 URL访问控制功能4141测试目的xDSL用户端设备应支持设置黑白名单，实现URL访问控制功能。黑自名单应支持与账号绑定。414 2测试配置如图4所示。414 3测试步骤(1)测试环境连接如图4所示，CPE正常连接网络；L2)开启黑名单，将URLl添加至黑名单

24、；(3)PCI访问URLl和URL2；L4)关闭黑名单。开启白名单，将URLl添加至白名单；(5)PCI访问uUl和URL2。4144预期结果t 1)步骤(3)中，PCI不能浏览URLl，可以浏览URL2；(2)步骤(4)中，PCI可以浏览URLl，不能浏览URL2。415进生功能测试(可选)4151测试目的类型4的xDSL用户端设备可选支持Vo口业务的P网络故障逃生、断电逃生功能，即当口网络故障或CPE断电时能够切换lOPSTN线路。4，152测试配置图5逃生功能测试配置4153测试步骤(1)测试环境连接如图5所示，在CPE上配置逃生功能，关闭DSLAM的逃生功能，默认情况下DSLAM为软交

25、换下用户，用户拨打电话；(2)断开DSLAM与软交换的连接，用户拨打电话。4154预期结果(1)步骤(1)中，用户可正常拨打电话；(2)步骤(2)中，用户可正常拨打电话。5控制平面安全功能测试51 IGMP Snooping代理功能511测试目的类型3和类型4的xDSL用户端设备应支持IGMP Snooping代理功能。多端口的xDSL用户端设备应支持IGMP Snooping功能。512测试配置如图l所示。513测试步骤(1)按图1连接测试环境，开启xDSL中的IGMPSnooping代理功能，关闭DSLAM的IGMPSnooping代理功能；(2)配置网络分析仪3仿真组播路由器功能，配置组

26、播频道239111，并周期性发送IGMP Query消息；(3)增加节目239111，并将分析仪l和2用户加入观看权限；(4)网络分析仪1发送IGMP report报文申请加入239111的节目组：(5)网络分析仪2发送IGMP report报文申请加入239111的节目组：(6)网络分析仪1发送IGMPleave报文申请离开239111的节目组；(7)网络分析仪2发送IGMPleave报文申请离开239111的节目组。514预期结果(1)在步骤(4)中，网络分析仪3应收到cPE发出的IGMP report报文请求239111的节目，网络分析仪1应收到该节目流，查源P地址：(2)在步骤(5)中

27、，网络分析仪3不应收iJDSLAM发出的请求239111的节目，网络分析仪2应收到该节目流：(3)在步骤(6)中，网络分析仪3不应收到IGMPleave报文，网络分析仪1收到的节目流应停止；(4)在步骤(7)中，网络分析仪3应收NCPE发出的IGMP leave报文，网络分析仪2收到的节目流应停止。52非法组播源控制功能521测试目的类型3和类型41拘xDSL用户端设备应防止用户做源的组播。可以禁止用户端口发出的IGMPQuery和组播数据报文。522测试配置9YD厂r 2047-2009如图1所示。523测试步骤(t)测试环境连接如图1所示，开启CPE的非法组播源控制功能，关闭DSLAM的非

28、法组播源控制功能；(2)网络分析仪1设置组播频道239111，网络分析仪3发送IGMPpon报文申请加入239t11的节目组。524预期结果步骤(2)中，网络分析仪3不应收到节目流。53防火墙TCP连接控制531测试目的类型3和类型4的xDSL用户端设备防火墙应能丢弃超出设备所能接受的会话连接。防火墙应支持能够丢弃或者拒绝来自w删I到LAN侧设备的TcP连接请求和访问。532测试配置如图1所示。533测试步骤(1)测试环境连接如图l所示；(2)网络分析仪1向网络分析仪3发送肿1(n为CPE支持的TCP最大连接数)条TCP连接；(3)在CPE2上配置丢弃或者拒绝来自wAN侧到LAN侧设备的TCP

29、连接请求和访问；(4)网络分析仪2向网络分析仪3发送T(，连接。534预期结果(1)步骤(2)中，网络分析仪3收到n条TCP连接：(2)步骤(4)中，网络分析仪3收不到TcP连接。54 VolP业务的用户接入安全541测试目的类型4的xDSL用户端设备可以通过惟一的标识码向软交换注册并且认证，认证功能可选。542测试配置田6 VolP业务用户接入安全配I543测试步骤(1)测试环境连接如图l所示，配置惟一的CPE注册的标识码：(2)CPE使用正确的标识码向软交换注册并认证；(3)CPE使用其他的标识码向软交换注册并认证。544预期结果(1)步骤(2)中，CPE可以注册并认证；(2)步骤(3)中

30、，CPE无法注册并认证。106管理平面安全功能测试61远程管理安全6，11测试目的类型1和类型2的xDSL用户端设备可选支持远程管理安全功能，类型3和类型4的xDSL用户端设备应支持远程管理安全功能。612测试配置图7远程管理安全配1613测试步骤(1)测试环境连接如图7所示，配置远程管理访问控制功能，包括wAN侧隔离，服务访问控制和黑白名单；(2)远程管理服务器连接CPE，检查其远程管理访问控制功能；(3)配置远程管理服务器与CPE的认证方式；(4)远程管理服务器采用TR069方式对xDSL用户端设备进行远程管理，检查其认证方式；(5)远程管理服务器恢复CPE的配置为出厂配置，登录cPE检查

31、配置；(6)远程管理服务器对CPE进行软件升级，升级时将CPE断电，登录CPFA佥查版本。614预期结果步骤(2)中，缺省情况下不允许通过WAN90以TelnetHTrPFTP方式(TR-069协议除外)访问网关设备本身进行设备数据配置。支持ACL规则的配置，可以配置授权的地址范围(默认为任何P地址)，可以配置访问的接口(wAN，IAN)，可以配置接入方式w曲FIP位1Ile“SNMP，SSH，默认情况下不允许通过WAN但g访问设备。访问控制规则可以以黑名单或者白名单方式生效。步骤(4)中，认证方式应包括：基于m1P的基本认证；基于r兀P的摘要认证；基于SSL，rLs的证书认证。步骤(5)中，

32、设备应已经恢复出厂配置。步骤(6)中，本地应存在旧版本备份，当前版本应为升级前的旧版本。62本地安全管理功能测试621测试目的xDSL用户端设备应具有普通用户和管理员两种权限进行不同的本地维护管理功能。622测试配置圈8管理平面安全配置623测试步骤(1)测试环境连接如图8所示，用户以普通用户登录CPE，进行配置；(2)用户以管理员登录CPE，进行配置。624预期结果(1)步骤(1)中，普通用户管理权限可以对xDSL用户端设备的一些非重要参数进行配置与查询，包括设备基本信息、普通用户管理密码、WLAN相关参数、MAC地址过滤、VolP相关信息等。(2)步骤(2)中，管理员本地维护管理权限可以对

33、xDSL用户端设备的重要参数进行配置与查询，包括用户管理权限可配置的参数、远程管理服务器URL、网络侧相关参数(DSL、ATM、PPPoE、IP、桥接或路由工作模式等相关参数)和用户侧参数(根据不同类型的xDsL用户端设备，不同的参数，例如DHCP、路由、ALG、NAT、IGMP、QoS、防火墙等相关参数)。63口令安全检查机制测试631测试目的用户进行网络管理时所使用的登录口令的长度应不少于8个字符，并且应由数字、字符或特殊符号组成，xDSL用户端设备可选提供检查机制，保证每个口令至少是由前述的三类符号中的两类组成。632测试配置如图8所示。633测试步骤(1)以管理员身份登录CPE；(2)

34、选择配置管理员口令；(3)更改为8位全数字口令；(4)更改为8位全字母口令；(5)更改为小于8位的任意口令；(6)更改为8位包含数字、字母、特殊符号中两类的口令。634预期结果(1)在步骤(3)、(4)、(5)中系统拒绝更改口令，并给出相应安全提示；(2)在步骤(6)中口令更改成功，可以使用新口令重新登录系统。64防火墙日志管理641测试目的类型3和类型4的xDSL用户端设备应具有防火墙日志管理功能。12YDT 2047-2009642测试配置如图8所示。643测试步骤(1)测试环境连接如图所示；(2)登录CPE，检查防火墙日志。644预期结果设备应提供独立的防火墙日志，记录所有违背防火墙规则

35、操作，每个条目都应打上时间戳。日志应至少包括100条条目或者大小为10kbyte的文本。日志不应该被全部清除，除非是设备复位到默认或者出厂配置。7过压、过流保护功能测试见YDT 1082-2000接入网设备过电压过电流防护及基本环境适应性技术条件。中华人民共和国通信行业标准接入网设备安全测试方法xDSL用户端设备YD，r 20472009人民邮电出版社出版发行北京市祟文区夕照寺街14号A座邮政编码：100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本：880x 1230 116印张：I字数：31千宇2010年1月第1版2010年1月北京第1次印刷ISBN 9787-11519771039定价：10元本书如有印装质问题请与本社联系电话：(010)67114922