RFC3514 日本語訳

3514 The Security Flag in the IPv4 Header. S. Bellovin. April 1 2003. (Format: TXT=11211 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
英語原文

Network Working Group                                        S. Bellovin
Request for Comments: 3514                            AT&T Labs Research
Category: Informational                                     1 April 2003

Bellovinがコメントのために要求するワーキンググループS.をネットワークでつないでください: 3514のAT&T研究室がカテゴリについて研究します: 情報の2003年4月1日

                  The Security Flag in the IPv4 Header

IPv4ヘッダーのセキュリティ旗

Status of this Memo

このMemoの状態

   This memo provides information for the Internet community.  It does
   not specify an Internet standard of any kind.  Distribution of this
   memo is unlimited.

このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。

Copyright Notice

版権情報

   Copyright (C) The Internet Society (2003).  All Rights Reserved.

Copyright(C)インターネット協会(2003)。 All rights reserved。

Abstract

要約

   Firewalls, packet filters, intrusion detection systems, and the like
   often have difficulty distinguishing between packets that have
   malicious intent and those that are merely unusual.  We define a
   security flag in the IPv4 header as a means of distinguishing the two
   cases.

ファイアウォール、パケットフィルタ、侵入検知システム、および同様のものは悪意がある意図を持っているパケットと単に珍しいものを見分けるのにしばしば苦労します。 私たちはIPv4ヘッダーで2つのケースを区別する手段とセキュリティ旗を定義します。

1. Introduction

1. 序論

   Firewalls [CBR03], packet filters, intrusion detection systems, and
   the like often have difficulty distinguishing between packets that
   have malicious intent and those that are merely unusual.  The problem
   is that making such determinations is hard.  To solve this problem,
   we define a security flag, known as the "evil" bit, in the IPv4
   [RFC791] header.  Benign packets have this bit set to 0; those that
   are used for an attack will have the bit set to 1.

ファイアウォール[CBR03]、パケットフィルタ、侵入検知システム、および同様のものは悪意がある意図を持っているパケットと単に珍しいものを見分けるのにしばしば苦労します。 問題はそのような決断をするのが困難であるということです。 この問題を解決するために、私たちはIPv4[RFC791]ヘッダーで「不吉な」ビットとして知られているセキュリティ旗を定義します。 優しいパケットで、このビットを0に設定します。 攻撃に使用されるもので、1にビットを設定するでしょう。

1.1. Terminology

1.1. 用語

   The keywords MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD,
   SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL, when they appear in this
   document, are to be interpreted as described in [RFC2119].

キーワードが解釈しなければならない、本書では現れるとき、[RFC2119]で説明されるようにNOT、REQUIRED、SHALL、SHALL NOT、SHOULD、SHOULD NOT、RECOMMENDED、5月、およびOPTIONALを解釈することになっていなければなりませんか?

2. Syntax

2. 構文

   The high-order bit of the IP fragment offset field is the only unused
   bit in the IP header.  Accordingly, the selection of the bit position
   is not left to IANA.

IP断片オフセットの高位のビット分野はIPヘッダーで唯一の未使用のビットです。 それに従って、ビット位置の選択はIANAに残されません。

Bellovin                     Informational                      [Page 1]

RFC 3514          The Security Flag in the IPv4 Header      1 April 2003

セキュリティがIPv4ヘッダー2003年4月1日に旗を揚げさせるBellovinの情報[1ページ]のRFC3514

   The bit field is laid out as follows:

噛み付いている分野は以下の通り広げられます:

             0

0

            +-+
            |E|
            +-+

+-+ |E| +-+

   Currently-assigned values are defined as follows:

現在の割り当てられた値は以下の通り定義されます:

   0x0  If the bit is set to 0, the packet has no evil intent.  Hosts,
        network elements, etc., SHOULD assume that the packet is
        harmless, and SHOULD NOT take any defensive measures.  (We note
        that this part of the spec is already implemented by many common
        desktop operating systems.)

0×0 ビットが0に設定されるなら、パケットには、どんな不吉な意図もありません。 SHOULDは、パケットが無害であると仮定します、そして、ホストは要素などをネットワークでつないでください、そして、SHOULD NOTはどんな防衛策も取ります。 (私たちは、仕様のこの部分が多くの一般的なデスクトップオペレーティングシステムで既に実装されることに注意します。)

   0x1  If the bit is set to 1, the packet has evil intent.  Secure
        systems SHOULD try to defend themselves against such packets.
        Insecure systems MAY chose to crash, be penetrated, etc.

0×1 ビットが1に設定されるなら、パケットには、不吉な意図があります。 安全なシステムSHOULDはそのようなパケットに対して自らを守ろうとします。 不安定なシステムは、ダウンするのを選んで、入り込まれるかもしれませんなど。

3. Setting the Evil Bit

3. 不吉なビットを設定します。

   There are a number of ways in which the evil bit may be set.  Attack
   applications may use a suitable API to request that it be set.
   Systems that do not have other mechanisms MUST provide such an API;
   attack programs MUST use it.

不吉なビットが設定されるかもしれない多くの方法があります。 攻撃アプリケーションは、それが設定されるよう要求するのに適当なAPIを使用するかもしれません。 他のメカニズムを持っていないシステムはそのようなAPIを提供しなければなりません。 攻撃プログラムはそれを使用しなければなりません。

   Multi-level insecure operating systems may have special levels for
   attack programs; the evil bit MUST be set by default on packets
   emanating from programs running at such levels.  However, the system
   MAY provide an API to allow it to be cleared for non-malicious
   activity by users who normally engage in attack behavior.

マルチレベルの不安定なオペレーティングシステムには、攻撃プログラムのための特別なレベルがあるかもしれません。 デフォルトでそのようなレベルで動くプログラムから発するパケットを不吉なビットにけしかけなければなりません。 しかしながら、システムは、通常、攻撃の振舞いに従事しているユーザが非悪意がある活動のためにそれを晴れさせるのを許容するためにAPIを提供するかもしれません。

   Fragments that by themselves are dangerous MUST have the evil bit
   set.  If a packet with the evil bit set is fragmented by an
   intermediate router and the fragments themselves are not dangerous,
   the evil bit MUST be cleared in the fragments, and MUST be turned
   back on in the reassembled packet.

自分たちで危険な断片で、不吉なビットを設定しなければなりません。 不吉なビットがセットしたことでのパケットが中間的ルータによって断片化されて、断片自体が危険でないなら、不吉なビットを断片できれいにしなければならなくて、組み立て直されたパケットでつけ返さなければなりません。

   Intermediate systems are sometimes used to launder attack
   connections.  Packets to such systems that are intended to be relayed
   to a target SHOULD have the evil bit set.

中間システムは、攻撃接続を洗濯するのに時々使用されます。 目標SHOULDにリレーされることを意図するそのようなシステムへのパケットで、不吉なビットを設定します。

   Some applications hand-craft their own packets.  If these packets are
   part of an attack, the application MUST set the evil bit by itself.

あるアプリケーションハンドクラフト、それら自身のパケット。 これらのパケットが攻撃の一部であるなら、アプリケーションはそれ自体で不吉なビットを設定しなければなりません。

   In networks protected by firewalls, it is axiomatic that all
   attackers are on the outside of the firewall.  Therefore, hosts
   inside the firewall MUST NOT set the evil bit on any packets.

ファイアウォールによって保護されたネットワークでは、すべての攻撃者がファイアウォールの外部にいるのは、自明です。 したがって、ファイアウォールの中のホストはどんなパケットの不吉なビットも設定してはいけません。

Bellovin                     Informational                      [Page 2]

RFC 3514          The Security Flag in the IPv4 Header      1 April 2003

セキュリティがIPv4ヘッダー2003年4月1日に旗を揚げさせるBellovinの情報[2ページ]のRFC3514

   Because NAT [RFC3022] boxes modify packets, they SHOULD set the evil
   bit on such packets.  "Transparent" http and email proxies SHOULD set
   the evil bit on their reply packets to the innocent client host.

NAT[RFC3022]箱はパケットを変更して、それらは悪がそのようなパケットの上で噛み付いたSHOULDセットです。 「透明な」httpとメールプロキシSHOULDは彼らの回答パケットの不吉なビットを潔白なクライアントホストに設定します。

   Some hosts scan other hosts in a fashion that can alert intrusion
   detection systems.  If the scanning is part of a benign research
   project, the evil bit MUST NOT be set.  If the scanning per se is
   innocent, but the ultimate intent is evil and the destination site
   has such an intrusion detection system, the evil bit SHOULD be set.

ホストの中には侵入検知システムを警告できるファッションで他のホストをスキャンする人もいます。スキャンが優しい研究計画の一部であるなら、不吉なビットは設定されてはいけません。 そういうもののスキャンが潔白ですが、究極の意図が不吉であり、目的地サイトにそのような侵入検知システムがあるなら、悪はSHOULDに噛み付きました。用意ができています。

4. Processing of the Evil Bit

4. 不吉なビットの処理

   Devices such as firewalls MUST drop all inbound packets that have the
   evil bit set.  Packets with the evil bit off MUST NOT be dropped.
   Dropped packets SHOULD be noted in the appropriate MIB variable.

ファイアウォールなどのデバイスは不吉なビットを設定するすべての本国行きのパケットを下げなければなりません。 不吉なビットがオフのパケットを下げてはいけません。 有名なコネが適切なMIB変数であったならパケットSHOULDを下げました。

   Intrusion detection systems (IDSs) have a harder problem.  Because of
   their known propensity for false negatives and false positives, IDSs
   MUST apply a probabilistic correction factor when evaluating the evil
   bit.  If the evil bit is set, a suitable random number generator
   [RFC1750] must be consulted to determine if the attempt should be
   logged.  Similarly, if the bit is off, another random number
   generator must be consulted to determine if it should be logged
   despite the setting.

侵入検知システム(IDSs)には、より困難な問題があります。 有病誤診と無病誤診へのそれらの知られている傾向のために、不吉なビットを評価するとき、IDSsは確率的な修正率を適用しなければなりません。 不吉なビットが設定されるなら、試みが登録されるべきであるかどうか決定するために、適当な乱数発生器[RFC1750]に相談しなければなりません。 同様に、ビットがオフであるなら、設定にもかかわらず、それが登録されるべきであるかどうか決定するために別の乱数発生器に相談しなければなりません。

   The default probabilities for these tests depends on the type of IDS.
   Thus, a signature-based IDS would have a low false positive value but
   a high false negative value.  A suitable administrative interface
   MUST be provided to permit operators to reset these values.

これらのテストのためのデフォルト確率はIDSのタイプに頼っています。 したがって、署名ベースのIDSには、低無病誤診値にもかかわらず、高い有病誤診値があるでしょう。 オペレータがこれらの値をリセットすることを許可するために適当な管理インタフェースを提供しなければなりません。

   Routers that are not intended as as security devices SHOULD NOT
   examine this bit.  This will allow them to pass packets at higher
   speeds.

セキュリティデバイスSHOULD NOTのように意図しないルータはこのビットを調べます。 これで、彼らは、より高い速度でパケットを通過できるでしょう。

   As outlined earlier, host processing of evil packets is operating-
   system dependent; however, all hosts MUST react appropriately
   according to their nature.

より早く概説されるように、不吉なパケットのホスト・プロセッシングは操作システムに依存しています。 しかしながら、彼らの自然に従って、すべてのホストが適切に反応しなければなりません。

5. Related Work

5. 関連仕事

   Although this document only defines the IPv4 evil bit, there are
   complementary mechanisms for other forms of evil.  We sketch some of
   those here.

このドキュメントはIPv4不吉なビットを定義するだけですが、補足的なメカニズムが他のフォームの弊害によってあります。 私たちはここのそれらのいくつかについてスケッチします。

   For IPv6 [RFC2460], evilness is conveyed by two options.  The first,
   a hop-by-hop option, is used for packets that damage the network,
   such as DDoS packets.  The second, an end-to-end option, is for
   packets intended to damage destination hosts.  In either case, the

IPv6[RFC2460]に関しては、悪は2つのオプションで運ばれます。 1(ホップごとのオプション)番目はネットワークを破損するDDoSパケットなどのパケットに使用されます。 2番目(終わりから終わりへのオプション)はあて先ホストを破損することを意図するパケットのためのものです。 どちらかの場合で

Bellovin                     Informational                      [Page 3]

RFC 3514          The Security Flag in the IPv4 Header      1 April 2003

セキュリティがIPv4ヘッダー2003年4月1日に旗を揚げさせるBellovinの情報[3ページ]のRFC3514

   option contains a 128-bit strength indicator, which says how evil the
   packet is, and a 128-bit type code that describes the particular type
   of attack intended.

オプションは128ビットの強さインディケータと意図していた状態で特定のタイプの攻撃について説明する128ビットのタイプコードを含んでいます。(インディケータはパケットがどれくらい不吉であるかを言います)。

   Some link layers, notably those based on optical switching, may
   bypass routers (and hence firewalls) entirely.  Accordingly, some
   link-layer scheme MUST be used to denote evil.  This may involve evil
   lambdas, evil polarizations, etc.

いくつかのリンクレイヤ(著しく光学切り換えに基づくもの)がルータ(そして、したがって、ファイアウォール)を完全に迂回させるかもしれません。 それに従って、悪を指示するのに何らかのリンクレイヤ体系を使用しなければなりません。 これは不吉なλ、不吉な分裂などにかかわるかもしれません。

   DDoS attack packets are denoted by a special diffserv code point.

DDoS攻撃パケットは特別なdiffservコード・ポイント指示されます。

   An application/evil MIME type is defined for Web- or email-carried
   mischief.  Other MIME types can be embedded inside of evil sections;
   this permit easy encoding of word processing documents with macro
   viruses, etc.

アプリケーション/不吉なMIMEの種類はウェブかメールで運ばれたいたずらのために定義されます。 他のMIMEの種類は不吉なセクションの埋め込まれた内部であるかもしれません。 これはマクロウイルスなどがあるワープロ文書の簡単なコード化を可能にします。

6. IANA Considerations

6. IANA問題

   This document defines the behavior of security elements for the 0x0
   and 0x1 values of this bit.  Behavior for other values of the bit may
   be defined only by IETF consensus [RFC2434].

このドキュメントはこのビットの0×0と0×1の値のためにセキュリティ要素の動きを定義します。 ビットの他の値のための振舞いはIETFコンセンサス[RFC2434]だけによって定義されるかもしれません。

7. Security Considerations

7. セキュリティ問題

   Correct functioning of security mechanisms depend critically on the
   evil bit being set properly.  If faulty components do not set the
   evil bit to 1 when appropriate, firewalls will not be able to do
   their jobs properly.  Similarly, if the bit is set to 1 when it
   shouldn't be, a denial of service condition may occur.

不吉なビットでセキュリティー対策を機能させるのが批判的によるのが正しいのは、適切にセットです。 適切であるときに、欠陥部品が不吉なビットを1に設定しないと、ファイアウォールは適切に仕事できないでしょう。 同様に、それが設定されるべきでないとき、ビットが1に設定されるなら、運転条件の否定は起こるかもしれません。

8. References

8. 参照

   [CBR03]   W.R. Cheswick, S.M. Bellovin, and A.D. Rubin, "Firewalls
             and Internet Security: Repelling the Wily Hacker", Second
             Edition, Addison-Wesley, 2003.

[CBR03]W.R.チェスウィック、S.M.Bellovin、およびA.D.ルービン、「ファイアウォールとインターネットセキュリティ:」 「陰険なハッカーを退けます」、第2版、アディソン-ウエスリー、2003。

   [RFC791]  Postel, J., "Internet Protocol", STD 5, RFC 791, September
             1981.

[RFC791] ポステル、J.、「インターネットプロトコル」、STD5、RFC791、1981年9月。

   [RFC1750] Eastlake, D., 3rd, Crocker, S. and J. Schiller, "Randomness
             Recommendations for Security", RFC 1750, December 1994.

[RFC1750] イーストレークとD.と3番目とクロッカーとS.とJ.シラー、「セキュリティのための偶発性推薦」、RFC1750、1994年12月。

   [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
             Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。

   [RFC2434] Narten, T. and H. Alvestrand, "Guidelines for Writing an
             IANA Considerations Section in RFCs", BCP 26, RFC 2434,
             October 1998.

[RFC2434]Narten、T.とH.Alvestrand、「RFCsにIANA問題部に書くためのガイドライン」BCP26、RFC2434(1998年10月)。

Bellovin                     Informational                      [Page 4]

RFC 3514          The Security Flag in the IPv4 Header      1 April 2003

セキュリティがIPv4ヘッダー2003年4月1日に旗を揚げさせるBellovinの情報[4ページ]のRFC3514

   [RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6
             (IPv6) Specification", RFC 2460, December 1998.

[RFC2460]デアリング、S.とR.Hinden、「インターネットプロトコル、バージョン6(IPv6)仕様」、RFC2460、12月1998日

   [RFC3022] Srisuresh, P. and K. Egevang, "Traditional IP Network
             Address Translator (Traditional NAT)", RFC 3022, January
             2001.

[RFC3022] SrisureshとP.とK.Egevang、「伝統的なIPネットワークアドレス変換機構(伝統的なNAT)」、RFC3022、2001年1月。

9. Author's Address

9. 作者のアドレス

   Steven M. Bellovin
   AT&T Labs Research
   Shannon Laboratory
   180 Park Avenue
   Florham Park, NJ 07932

スティーブンM.Bellovin AT&T研究室はシャノン研究所180パーク・アベニューFlorham公園、ニュージャージー 07932について研究します。

   Phone: +1 973-360-8656
   EMail: bellovin@acm.org

以下に電話をしてください。 +1 973-360-8656 メールしてください: bellovin@acm.org

Bellovin                     Informational                      [Page 5]

RFC 3514          The Security Flag in the IPv4 Header      1 April 2003

セキュリティがIPv4ヘッダー2003年4月1日に旗を揚げさせるBellovinの情報[5ページ]のRFC3514

10. Full Copyright Statement

10. 完全な著作権宣言文

   Copyright (C) The Internet Society (2003).  All Rights Reserved.

Copyright(C)インターネット協会(2003)。 All rights reserved。

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。

Acknowledgement

承認

   Funding for the RFC Editor function is currently provided by the
   Internet Society.

RFC Editor機能のための基金は現在、インターネット協会によって提供されます。

Bellovin                     Informational                      [Page 6]

Bellovin情報です。[6ページ]

一覧

 RFC 1〜100  RFC 1401〜1500  RFC 2801〜2900  RFC 4201〜4300 
 RFC 101〜200  RFC 1501〜1600  RFC 2901〜3000  RFC 4301〜4400 
 RFC 201〜300  RFC 1601〜1700  RFC 3001〜3100  RFC 4401〜4500 
 RFC 301〜400  RFC 1701〜1800  RFC 3101〜3200  RFC 4501〜4600 
 RFC 401〜500  RFC 1801〜1900  RFC 3201〜3300  RFC 4601〜4700 
 RFC 501〜600  RFC 1901〜2000  RFC 3301〜3400  RFC 4701〜4800 
 RFC 601〜700  RFC 2001〜2100  RFC 3401〜3500  RFC 4801〜4900 
 RFC 701〜800  RFC 2101〜2200  RFC 3501〜3600  RFC 4901〜5000 
 RFC 801〜900  RFC 2201〜2300  RFC 3601〜3700  RFC 5001〜5100 
 RFC 901〜1000  RFC 2301〜2400  RFC 3701〜3800  RFC 5101〜5200 
 RFC 1001〜1100  RFC 2401〜2500  RFC 3801〜3900  RFC 5201〜5300 
 RFC 1101〜1200  RFC 2501〜2600  RFC 3901〜4000  RFC 5301〜5400 
 RFC 1201〜1300  RFC 2601〜2700  RFC 4001〜4100  RFC 5401〜5500 
 RFC 1301〜1400  RFC 2701〜2800  RFC 4101〜4200 

スポンサーリンク

light 光源から光を当てた効果を指定する

ホームページ製作・web系アプリ系の製作案件募集中です。

上に戻る