基于公用电信网的宽带客户网络设备安全测试方法宽带客户网关

基于公用电信网的宽带客户网络设备安全测试方法宽带客户网关

国家标准 GB/T38797一2020 基于公用电信网的宽带客户网络设备 安全测试方法宽带客户网关 Iestmethodforseeurityofbhroadbandcustomernetworkequipmentbased onpublictelecommunicationnetwork一Broadbandcustomergateway 2020-04-28发布 2020-11-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/38797一2020 目 次 前言 范围 2 规范性引用文件 缩略语 用户平面安全测试 4.1安全管理 4.2访问控制列表 ### 4.3VPN功能 + 4.4NAT功能 4.5 防火墙功能 4.6防攻击功能 网络访问的安全性 4t 4.8wLAN安全性 控制平面安全测试 5.1鉴别和认证 5.2日志功能 管理平面安全测试 1 6.1测试目的 11 6.2测试配置 1l 6.3测试步骤 1l 6.4预期结果 12 可靠性测试 12 升级功能 12 7.1 7.2远程重启功能 12 7.3远程诊断功能 13 电气安全测试 13 8.1电源测试 13 8.2过压、过流保护测试 13
GB/38797一2020 前 言 本标准按照GB/T1.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利 本文件的发布机构不承担识别这些专利的责任 本标准由工业和信息化部提出 本标准由全国通信标准化技术委员会(SAC/Tc485)归口 本标准起草单位;信息通信研究院 本标准主要起草人:沈天堪、程强
GB/38797一2020 基于公用电信网的宽带客户网络设备 安全测试方法宽带客户网关 范围 本标准规定了基于公用电信网的宽带客户网络中宽带客户网关的用户平面安全、控制平面安全、管 理平面安全、设备可靠性和电气安全的测试方法 本标准适用于基于公用电信网的宽带客户网络中的宽带客户网关 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 YD/T1055一2005接人网设备测试方法-不对称数字用户线(ADSL YD/T1082一2011接人网设备过电压过电流防护及基本环境适应性技术要求和试验方法 YD/T14402006路由器设备安全测试方法 -中低端路由器(基于IPy4) 缩略语 下列缩略语适用于本文件 AP;无线接人节点(AccessPoint) ARP;地址解析协议(AddressResolutionProtocol) BRAs;宽带接人服务器(BroadbandRemoteAccesServer DMZ;隔离区(DemilitarizedZone) Dos;拒绝服务(DenialofService FTP;文件传输协议(FileTransferProtocol HTTP;超文本传输协议(HypertextTransferProtocolD HTTPSs;安全超文本传输协议(HypertextTransferProtoeolSecurity NTERNET;因特网(InterconneetedNetwork) IGMP:互联网组管理协议(InternetGroupManagementProtocol) P;互联网协议(InternetProtocol) MAC;媒质接人控制层(MdiumAceessControl) NAT网址变换(NetworkAddessTransform) PC;个人计算机(Pe PersonalComputer rotocoloverEthernet) PPPoE;以太网上点到点协议(Pointto-Point RMS;远程管理服务器(RemoteManagementServer SsID服务集标识(ServiceSetIdentifier) TCP:传输控制协议(TransmissionControlProtocol) TFTP;简单文件传输协议(TrivialFileTransferProtocol Protoco UDP;用户数据报协议(UserDatagram
GB/T38797一2020 URL统一资源定位器(UniformResourceLocator) VPN;虚拟专用网(VirtualPrivateNetwork) wEP;有线等效加密(wiredEquivalentPrivacy) wL.AN;无线局域网(wirelessL.oealAreaNetwork) redKey) WPA-PSK.W-Fi保护接人-预共享密钥(W;-FiProtectedAccess-PreShar 用户平面安全测试 4.1安全管理 4.1.1设备登录安全性测试 4.1.1.1测试目的 用户进行网络管理时需要使用登陆口令,长度应不少于8个字符,并且应由数字,字母或特殊符号 组成,设备可选提供检查机制保证每个口令至少是由前述的三类符号中的两类组成 应支持空闲超时自动退出,连续输人错误密码应能锁定 4.1.1.2测试配置 测试配置见图1 NTERNET BRAs 接入节点 网关 用户c 图1设备配置安全性测试配置 4.1.1.3测试步骤 测试步骤如下 按照图1进行连接; a b)在PC上登录设备; 修改本地设备的配置账号的密码; c 等待一段空闲时间后在设备配置界面上进行操作; d e 注销登录后再次访问网关配置界面,并连续输人错误密码 4.1.1.4预期结果 步骤b)中,需要输人密码才能登陆设备,所输人的密码符合安全性要求 步骤c)中,设置新密码时,能够对密码的安全性进行检查并提示 步骤中,空用超时后,试图再次对网关配登界面进行操作时会提示超时,此时无法进行配置,需 要重新登录 步骤e)中,连续输人错误密码后,登录界面会锁定 4.1.2普通用户账号测试 4.1.2.1测试目的 普通用户账号具备联网的基本配置和设备查询能力,可配置的参数待定,并且能够修改本账号的 密码
GB/38797一2020 4.1.2.2测试配置 测试配置见图1 4.1.2.3测试步骤 测试步骤如下 按照图1进行连接; a b) 在PCc上以普通用户账号登录设备,查看可以查询和配置的内容; 修改密码后退出登录; c d用新密码登录网关,再次查看本地配置界面 4.1.2.4预期结果 步骤b)中,普通用户账号登录后可以查看到当前设备运行的基本状态,可以进行部分参数的配置， 无法配置不在权限范围内的参数 步骤e)中,可以对普通用户账号的密码进行修改,修改时需校验当前密码 步骤d)中,新的密码可正常登录 4.1.3管理员用户账号测试 4.1.3.1测试目的 管理员用户账号可对网关全部参数进行配置,并可修改普通用户账号的用户名和密码 4.1.3.2测试配置 测试配置见图1 4.1.3.3测试步骤 测试步骤如下: 按照图1进行连接; a b 在PC上以管理员用户账号登录设备,查看可以查询和配置的内容; 修改密码后退出登录; c d 用新密码登录网关,再次查看本地配置界面; 查看当前普通用户账号的密码,并对其进行修改 e f 退出登陆后,用旧的普通用户账号重新登陆; 用新的普通用户账号进行登录 g 4.1.3.4预期结果 步骤b)中,管理员用户账号登录后可以对设备参数进行完整的查询和配置 步骤d)中,新的密码可正常登录 步骤e)中,管理员用户账号可对普通用户账号进行修改 步骤f)中,旧的普通用户账号无法登录 步骤g)中,新的普通用户账号能够正常登录 4.2访问控制列表 访问控制列表功能的测试内容见YD/T1440一2006中5.4的规定
GB/T38797一2020 4.3VPN功能 VPN功能的测试内容见YD/T1440一2006中6.3的规定 4.4NAT功能 NAT功能的测试内容见YD/T1440-2006中5.5的规定 4.5防火墙功能 4.5.1测试目的 网关应支持防火墙功能,支持对防火墙等级的设置,并支持基于以下规则对报文进行过滤 -支持根据源MAC地址进行报文过滤 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 支持根据TCP/UDP源端口及范围段、目的端口及范围段进行报文过滤 支持根据以太网包的协议类型进行报文过滤 -支持根据以太网包的传输层协议类型进行报文过滤,要求有IP'/PPPoE/ARP的选项 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止 2种,默认为禁止模式 4.5.2测试配置 测试配置见图2 网络分析仪2 二层交换机 接入节点 网关 网络分析仪！ 网络安全分析仪 图2防火墙功能测试配置 4.5.3测试步骤 测试步骤如下 a 按照图2进行连接,在web界面上配置网关防火墙等级 b 配置网关根据目的端口进行报文过滤,并从网络分析仪端口2发送目的端口为指定端口的报 文,观察网络分析仪端口1收到的报文 分别配置网关根据源/目的MAC地址、源/目的IP地址、源/目的TCP/UDP端口、以太网协 议类型、以太网包的传输层协议类型进行报文过滤,并从网络分析仪端口2发送特定报文,观 察协议分析仪端口1收到的报文 4.5.4预期结果 步骤a)web界面上可配置防火墙的等级,分为高、中、低三级
GB/38797一2020 步骤e)网络分析仪端口1收到的报文应符合所配置的防火墙规则 4.6防攻击功能 4.6.1防Dns攻击功能 4.6.1.1测试目的 设备应能够提供防DoS攻击功能 4.6.1.2测试配置 测试配置见图2 4.6.1.3测试步骤 测试步骤如下: 按照图2进行连接; a b 配置网络分析仪1和网络分析仪2互发广播和以一定速率的单播以太网帧 配置网络安全分析仪以网关网络侧地址为目标进行DoS攻击测试,如发送大流量ping报文; c d 停止DoS攻击 4.6.1.4预期结果 步骤c)中,网络分析仪1和网络分析仪2之间的正常单播以太网数据流不应中断 步骤山中,网络分析仪1和网络分所仪2之间的正常单播以太网数据流正常转发,无丢包 4.6.2防端口扫描能力 4.6.2.1测试目的 网关应能够提供防端口扫描功能,支持防其他设备或者应用的恶意端口扫描 4.6.2.2测试配置" 测试配置见图3 测试PC' 接入节点 网关 图3防端口扫描测试配置 4.6.2.3测试步骤 测试步骤如下 按照图3进行连接,开启网关的防端口扫描功能，网关上关闭除常用服务端口外的其他端口 a b) 在测试C上使用端口扫描软件对网关的wAN侧IP进行扫描 在测试PC上进行抓包,分析收到的报文 c 4.6.2.4 预期结果 未开启的端口应无响应,已开启的端口应能识别非法报文,并在识别后不进行响应
GB/T38797一2020 4.6.3限制每端口MAC地址学习数量功能 4.6.3.1测试目的 网关应能限制从每个用户端口学习到的源MAC地址数量 4.6.3.2测试配置 测试配置见图4 BRAs 接入节点 网关 NTERNET 端口1 端口2 网络协议分析仪 图4MIAC地址学习数量限制测试配置 4.6.3.3测试步骤 测试步骤如下 a 按照图4进行连接,限制网关端口学习到的源MAC数量为n 网络协议分析仪端口1发送源MAC地址不同的n+1条数据流 b) 分析网络协议分析仪端口2收到的数据流 c 4.6.3.4预期结果 步骤c)中,协议分析仪2收到的数据流应为n条 4.6.4非法组播源控制功能 4.6.4.1测试目的 网关应防止用户做源的组播 可以禁止用户端口发出的IGMPQuery和组播数据报文 4.6.4.2测试配置" 测试配置见图4 4.6.4.3测试步骤 测试步骤如下 按照图4进行连接,在网络协议分析仪端口2配置组播客户端IP地址及组播上行端口,增加 a 节目P1和网络协议分析仪端口1:; b 在网络协议分析仪端口2抓包,用网络协议分析仪端口1点播节目P1; 在网络协议分析仪端口2抓包,网络协议分析仪端口1停止点播， d 在网络协议分析仪端口2抓包,网络协议分析仪端口1发送IGMPQuery报文;
GB/38797一2020 在网络协议分析仪端口2抓包,网络协议分析仪端口1发送组地址与P1组地址相同的组播数 据报文 4.6.4.4 预期结果 步骤b)中网络协议分析仪端口1可正常收到节目P1的流,网络协议分析仪端口2可抓到组播加 人报文 步骡e)中网络协议分析仪端口1不再正常收到节目的流,网络协议分析仪端口2可抓到组插 离开报文 步骤d)中网络协议分析仪端口2没有抓到网络协议分析仪1发出的报文 步骤e)中网络协议分析仪端口2没有抓到网络协议分析仪1发出的报文 4.6.5报文抑制 4.6.5.1测试目的 网关应能对特定协议的广播/多播包(例如,DHCPARPIGMP等)进行抑制,并能对其他二层广 播报文进行速率限制 4.6.5.2测试配置" 测试配置见图4 4.6.5.3测试步骤 测试步骤如下 按照图4进行连接,配置网关对用户端口的DHCP,ARP,IGMP报文的抑制功能,关闭接人节 a 点上的抑制功能; 网络协议分析仪端口1上发送一定速率的DHCP,ARP,IGMP报文; b 分析网络协议分析仪端口2收到的报文 4.6.5.4预期结果 步骤e)中,网络协议分析仪2收到一定量的DHCP,ARP,IGMP报文,速率应符合抑制后的报文 速率 4.7网络访问的安全性 4.7.1DMz功能 4.7.1.1 测试目的 网关应支持DMZ功能 4.7.1.2测试配置" 测试配置见图5
GB/T38797一2020 wLAN终端 测试C INTERNE1 BRAS 接入节点 网关 用户C1 用户c2 图5Mz功能测试配置 4.7.1.3测试步骤 测试步骤如下 按照图5进行连接,开启网关的DMZ功能,并指定为PCl; a b) 在PC1上开启HTTP和FTP服务 在测试PC上用网关IP地址连接HTTP和FTP服务 c 4.7.1.4预期结果 步骤e)中,测试PC连接网关IP地址,能够访问到PC1上的HTTP和FTP服务 4.7.2基于MIAC地址的接入控制功能 4.7.2.1测试目的 网关应支持基于MAC地址的接人控制,可以配置接人控制的MAC地址 4.7.2.2测试配置 测试配置见图5 4.7.2.3测试步骤 测试步骤如下 按照图5进行连接,开启网关的MAC地址接人控制功能 a 配置禁止接人的wLAN终端和用户PC的MAC地址 b) wLAN终端和用户PC访问网络 c 4.7.2.4预期结果 步骤c)中,被禁止的终端无法连接网络 4.7.3基于IP地址的接入控制功能 4.7.3.1测试目的 网关应支持IP地址接人控制功能,可以配置接人控制的IP地址 4.7.3.2 测试配置 测试配置见图5
GB/38797一2020 4.7.3.3测试步骤 测试步骤如下: 按照图5进行连接,开启网关的IP地址接人控制功能 aa b 禁止PC的IP地址,允许PC2的lP地址; PC1和PC2访问网络 c 4.7.3.4预期结果 步骤e)中,PC1无法访问,PC2可以访问 4.7.4URL访问控制功能 4.7.4.1测试目的 网关应支持设置黑白名单实现URL访问控制功能,黑白名单应支持与账号绑定 4.7.4.2测试配置 测试配置见图5 4.7.4.3测试步骤 测试步骤如下 按照图5进行连接; a b 配置网关的URL控制功能,设定黑白名单功能,并根据名单内的URL进行访问 4.7.4.4预期结果 步骤b)中,访问结果应符合对URL访问控制功能的配置 4.8wLAN安全性 4.8.1SSID广播/隐藏功能测试 4.8.1.1 测试目的 网关应支持配置不同的sSID以区分网络,支持启用或者关闭sSID广播功能,SSID可以隐藏 4.8.1.2测试配置 测试配置见图6. wLAN终端1！ 接入节点 网关 INTERNET BRAS wLAN终端1 图6wLAN安全性测试配置
GB/T38797一2020 4.8.1.3测试步骤 测试步骤如下 按照图6进行连接,开启网关的wLAN功能 a D)网关上配置2个不同的SSID,wLAN终端1和终端2分别连接每个SSID c 关闭SSID广播功能,查看SSID是否隐藏 4.8.1.4预期结果 步骤b)中,wLAN终端1和终端2可正常接人网络 步骤c)中,WILAN终端的无线网络列表中看不到SSID,但通过手动配置可连接到网关 4.8.2MAC层认证功能测试 4.8.2.1测试目的 网关应支持OpenSystem和SharedKey两种认证方式 4.8.2.2测试配置 测试配置见图6 4.8.2.3测试步骤 测试步骤如下 按照图6进行连接,开启网关的wLAN功能,配置wEP加密功能; a) b) 分别启用OpenSystem和sharcdKey两种认证方式 设置wLAN接人终端的各参数,分别采用OpenSystem和sharedkey两种认证方式 c d wLAN终端接人公网 4.8.2.4预期结果 步骤d)中,wLAN终端可正常接人网络 4.8.3wPA-PSK、wPA2-PSK加密功能测试 4.8.3.1测试目的 验证网关wLAN加密功能 4.8.3.2测试配置 测试配置见图6. 4.8.3.3测试步骤 测试步骤如下 a)按照图6进行连接,开启网关的wLAN功能,正确配置加密参数 b)wLAN终端正确配置相应的加密方式和密钥,观察与AP连接情况 4.8.3.4预期结果 步骤b)中,wLAN终端可以连接到AP,能够访问公网 10
GB/38797一2020 控制平面安全测试 5.1鉴别和认证 鉴别和认证的测试内容见YD/T1440一2006中6.1的规定 5.2日志功能 5.2.1测试目的 日志应记录过滤规则、拒绝访问配置修改等相关安全事件 网关应提供防火墙日志,记录所有违 背防火墙规则的操作,每个条目应打上时间戳,日志应至少包括100条以上条目 5.2.2测试配置 测试配置见图1 5.2.3测试步骤 测试步骤如下 按照图1进行连接; a b)在PC上以web方式登录网关配置界面,对网关进行一些配置,多次配置,使日志条目大于 00条; 查看网关日志记录 5.2.4预期结果 步骤c)中,日志应至少包含最新100条记录,记录中包含用户账户登录和配置的记录，且能看到防 火墙日志 管理平面安全测试 6.1测试目的 网关应具有一定的安全措施,保证RMs对网关远程管理和控制的安全性,避免对网关的非法配 置 同时网关应具有一定的安全机制,如远程网管都应支持连接认证、支持修改管理认证账号、系统日 志和安全日志、管理信息传输的安全机制等,保证远程管理的安全性 6.2测试配置 测试配置见图7 INTRNE RMs BRAs 接入节点 网关 用户Cl 连接认证功能测试配置 6.3测试步骤 测试步骤如下 11
GB/T38797一2020 按图7进行连接; a b 在网关上配置错误的连接认证信息,重启网关后观察网关与RMS的连接情况 c 在网关上配置正确的连接认证信息,重启网关后观察网关与RMS的连接情况 6.4预期结果 步骤b)中,网关无法与RMS建立连接 步骤c)中,网关应能成功与RMS建立连接 可靠性测试 7.1升级功能 7.1.1测试目的 网关应将当前的软件和固件版本上报给RMS,并在需要时可以由RMS启动对网关软件和固件远 程升级 升级后将升级是否成功的结果反馈给运营商 传输协议应支持HTTP或HTTPS或FTP或TFTP 升级应支持安全校验 7.1.2测试配置 测试配置见图7 7.1.3测试步骤 测试步骤如下 按照图7进行连接,网关与RMS的连接正常; a D)通过RMS查看网关当前软件版本; c 在RMS上对网关的软件进行远程升级,等待升级过程完成; d 通过RMS查看网关当前软件版本 7.1.4预期结果 步骤c)中,网关应能正确响应远程升级指令,并在升级后上报是否成功 步骤d)中,网关的软件版本应为升级后的版本 7.2远程重启功能 7.2.1测试目的 网关应支持RMs对其进行远程重启 7.2.2测试配置 测试配置见图7 7.2.3测试步骤 测试步骤如下 按照图7进行连接,网关与RMS的连接正常 a b) 在RMS上对网关下发重启命令 12
GB/38797一2020 7.2.4预期结果 步骤b)中,网关应在正确响应远程重启命令后重新启动 7.3远程诊断功能 7.3.1测试目的 网关应支持RMS远程进行链路连接诊断 7.3.2测试配置 测试配置见图7 7.3.3测试步骤 测试步骤如下 按照图7进行连接,网关与RMS的连接正常; b)在RMS上发起链路连接诊断; 查看网关相关参数 c 7.3.4预期结果 步骤c)中,应能看到链路诊断结果 电气安全测试 8 8.1电源测试 电源测试的内容见YD/T10552005中第12章的规定 8.2过压、过流保护测试 过压、过流保护测试的内容见YD/T10822011中第6章的规定

基于公用电信网的宽带客户网络设备安全测试方法宽带客户网关GB/T38797-2020

随着互联网的普及和发展，人们对通讯网络的要求也越来越高。在这样的背景下，宽带客户网络设备成为人们获取互联网信息的重要途径之一。然而，由于它的特殊性质，宽带客户网络设备也成为了黑客攻击的目标。因此，我们需要一种可行的宽带客户网络设备安全测试方法。

GB/T38797-2020《宽带客户网关安全技术要求及测试方法》是中国国家标准中提出的一套针对宽带客户网络设备的安全测试方法。该标准主要针对宽带客户网关进行测试，包括安全功能测试、性能测试、兼容性测试等方面。

在测试过程中，我们需要注意以下几点：

• 安全功能测试包括基础功能测试、网络访问控制测试、漏洞扫描测试、安全加固测试等；
• 性能测试包括吞吐量测试、响应时间测试、连接速度测试等；
• 兼容性测试包括与不同厂家设备的兼容性测试、与不同安全设备的兼容性测试等。

通过以上测试，可以有效地评估宽带客户网络设备的安全性，发现潜在的风险和问题，并提供相应的解决方案。

总之，宽带客户网络设备的安全性是我们必须关注的问题。而GB/T38797-2020作为国内首个对宽带客户网络设备进行测试的标准，将会在未来得到广泛的应用。

基于公用电信网的宽带客户网络设备安全测试方法宽带客户网关的相关资料

和基于公用电信网的宽带客户网络设备安全测试方法宽带客户网关类似的标准