ネットワーク WG Request for Comments: 2644 更新: 1812 BCP: 34 分類: ベストカレントプラクティス |
D. Senie Amaranth Networks Inc. 1999年8月 |
この文書は、 インターネットコミュニティのためにインターネットの「現時点における最善の実践(ベストカレントプラクティス)」を規定し、 実装者に改善のために検討と示唆を要求するものです。 このメモの配布に制限はありません。
Copyright (C) The Internet Society (1999). All Rights Reserved.
ルーター要件 [1] において、「ルーターは、 指図されるブロードキャストを受信し転送しなければならない」と規定しています。 これは、「ルーターが、 この機能を使えなくするオプションを持たなければならず(MUST)、 このオプションは、 指図されるブロードキャストの受信と転送を許すのがデフォルトでなければならない(MUST)こと」も規定しています。 しかし、指図されるブロードキャストには、 そのインターネットバックボーン上における使用が、 完全に他のネットワークからの悪意ある攻撃によってしかけられたものに見える使用法があります。
ルーターに要求されるデフォルトを変更することは、 インターネットに接続される新しいルーターが現状の問題に加わることがないことを確保するのに有益でしょう。 この文書中のキーワード、"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", "OPTIONAL"は、RFC 2119に記述されているように解釈されるべきものです。
破壊的なサービス妨害攻撃によって、 イングレスフィルタリングについての [2] が執筆されました。 多くのネットワークプロバイダーや企業ネットワークは、 彼らのネットワークがそのような攻撃の起点でないことを確保するために、 これらの手法の使用を推奨してきました。
Smurf攻撃 [3] にみられる最近の傾向は、 自身のネットワークの外部からの指図されるブロードキャストを許しているネットワークを標的とすることです。 指図されるブロードキャストを許すことによって、 これらのシステムは「Smurfアンプ」になってしまいます。
継続的なイングレスフィルタの実装が、 これらの攻撃を制限する最善のやり方であることは変わりありませんが、 指図されるブロードキャストを制限することも重要度が高いはずです。
ネットワークサービスプロバイダーと企業ネットワーク オペレーターには、 彼らのネットワークが、 そのネットワークの外部を起点として指図されるブロードキャストパケットに対して影響を受けないことを確認することが強く薦められます。
Mobile IP [4] は、 モービルノードが動的エージェント探索を使用する際、 指図されるブロードキャストを使用することを用意していました。 いくつかの実装が、この機能をサポートしていますが、 これが有用であるかは明確ではありません。 同じ結果を達成する他の手法は [5] に文書化されています。 指図されるブロードキャストについてMobile IPのスタンダードトラック(標準化過程)の進行において、 その言葉を削除することは検討に値することでしょう。
ルーター要件 [1] は下記のように更新されます。:
セクション 4.2.2.11 (d) は、次のように置換されます。:
(d) { <Network-prefix>, -1 }
指図されたブロードキャスト(特定のネットワークプリフィックスに指図されたブロードキャスト)は、 ソースアドレスとして使用されてはならない(MUST NOT)。 ルーターは、 ネットワーク越しに指図するブロードキャストパケットの起点となってもよい(MAY)。 ルーターは、 指図されるブロードキャストパケットを受け取ることを許容する設定オプションをもってもよい(MAY)が、 このオプションは、 デフォルトでは使えないようにしなければならない(MUST)。 それゆえルーターは、エンドユーザによって特別に設定されたのでない限り、 ネットワーク越しに指図されるブロードキャストパケットを受け取ってはならない(MUST NOT)。
セクション5.3.5.2の第2パラグラフは、次のように置換されます。:
ルーターは、 ひとつのインターフェイス上でネットワークプリフィックスに指図されたブロードキャストを受信することを可能にするオプションを持つことができ(MAY)、 ネットワークプリフィックスに指図されたブロードキャストを転送することを可能にするオプションをもつことができる(MAY)。 これらのオプションは、 ネットワークプリフィックスに指図されたブロードキャストの受信をブロックすることと転送をブロックすることをデフォルトとしなければならない(MUST)。
本書の目的は、 特定の種類のサービス妨害攻撃の有効性を低減することにあります。
[1] |
Baker, F., "Requirements for IP Version 4 Routers", RFC 1812, 1995年6月. |
[2] |
Ferguson, P. and D. Senie, 「ネットワーク境界におけるフィルタリング: IPソースアドレスを偽ったサービス妨害攻撃をくじく(Ingress Filtering)」, RFC 2267, 1998年1月. |
[3] |
See the pages by Craig Huegen at: http://www.quadrunner.com/~chuegen/smurf.txt, and the CERT advisory at: http://www.cert.org/advisories/CA-98.01.smurf.html |
[4] |
Perkins, C., "IP Mobility Support", RFC 2002, 1996年10月. |
[5] |
P. Calhoun, C. Perkins, "Mobile IP Dynamic Home Address Allocation Extensions", 作業中. |
著者は、情報提供してくださったMindspringのBrandon Ross氏とSunのGabriel Montenegro氏に感謝します。
Daniel Senie
Amaranth Networks Inc.
324 Still River Road
Bolton, MA 01740
電話: (978) 779-6813
EMail: dts@senie.com
宮川 寧夫
情報処理振興事業協会
セキュリティセンター
EMail: miyakawa@ipa.go.jp
Copyright (C) The Internet Society (1999). All Rights Reserved.
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
RFC編集者のための資金は現在、 Internet Societyによって提供されています。