RFC3697 日本語訳
3697 IPv6 Flow Label Specification. J. Rajahalme, A. Conta, B.Carpenter, S. Deering. March 2004. (Format: TXT=21296 bytes) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group J. Rajahalme
Request for Comments: 3697 Nokia
Category: Standards Track A. Conta
Transwitch
B. Carpenter
IBM
S. Deering
Cisco
March 2004
Rajahalmeがコメントのために要求するワーキンググループJ.をネットワークでつないでください: 3697年のノキアカテゴリ: 2004年の標準化過程A.コンタのTranswitch B.大工IBMのS.デアリングシスコの行進
IPv6 Flow Label Specification
IPv6流れラベル仕様
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2004). All Rights Reserved.
Copyright(C)インターネット協会(2004)。 All rights reserved。
Abstract
要約
This document specifies the IPv6 Flow Label field and the minimum requirements for IPv6 source nodes labeling flows, IPv6 nodes forwarding labeled packets, and flow state establishment methods. Even when mentioned as examples of possible uses of the flow labeling, more detailed requirements for specific use cases are out of scope for this document.
このドキュメントは流れをラベルするIPv6ソースノード、パケットとラベルされたIPv6ノード推進、および流れ州の設立メソッドにIPv6 Flow Label分野と必要最小限を指定します。 いつが、流れラベリングの可能な用途、特定的用法のための、より詳細な要件に関する例としてこのドキュメントのための範囲の外にケースがあると言及さえしましたか?
The usage of the Flow Label field enables efficient IPv6 flow classification based only on IPv6 main header fields in fixed positions.
Flow Label分野の用法は固定位置のIPv6の主なヘッダーフィールドだけに基づく効率的なIPv6流れ分類を可能にします。
1. Introduction
1. 序論
A flow is a sequence of packets sent from a particular source to a particular unicast, anycast, or multicast destination that the source desires to label as a flow. A flow could consist of all packets in a specific transport connection or a media stream. However, a flow is not necessarily 1:1 mapped to a transport connection.
流れは特定のソースから特定のユニキャストに送られたパケット、anycast、またはソースが流れとしてラベルすることを望んでいるマルチキャストの目的地の系列です。 流れは特定の輸送接続かメディアストリームですべてのパケットから成ることができました。 しかしながら、輸送接続に写像されて、流れは必ず1:1であるというわけではありません。
Rajahalme, et al. Standards Track [Page 1] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[1ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
Traditionally, flow classifiers have been based on the 5-tuple of the source and destination addresses, ports, and the transport protocol type. However, some of these fields may be unavailable due to either fragmentation or encryption, or locating them past a chain of IPv6 option headers may be inefficient. Additionally, if classifiers depend only on IP layer headers, later introduction of alternative transport layer protocols will be easier.
伝統的に、流れクラシファイアはソースと送付先アドレスの5-tuple、ポート、およびトランスポート・プロトコルタイプに基づきました。 しかしながら、これらの分野のいくつかが断片化か暗号化のどちらかで入手できないかもしれませんか、またはIPv6オプションヘッダーのチェーンの先でそれらの場所を見つけるのは効率が悪いかもしれません。 さらに、クラシファイアがIP層のヘッダーだけに頼っていると、代替のトランスポート層プロトコルの後の導入は、より簡単になるでしょう。
The usage of the 3-tuple of the Flow Label and the Source and Destination Address fields enables efficient IPv6 flow classification, where only IPv6 main header fields in fixed positions are used.
Flow Labelの3-tuple、Source、およびDestination Address分野の用法は効率的なIPv6流れ分類を可能にします、固定位置のIPv6の主なヘッダーフィールドだけが使用されているところで。
The minimum level of IPv6 flow support consists of labeling the flows. IPv6 source nodes supporting the flow labeling MUST be able to label known flows (e.g., TCP connections, application streams), even if the node itself would not require any flow-specific treatment. Doing this enables load spreading and receiver oriented resource reservations, for example. Node requirements for flow labeling are given in section 3.
IPv6流れサポートの最低水準は流れをラベルするのから成ります。 流れラベリングを支えるIPv6ソースノードは知られている流れをラベルできなければなりません(例えば、TCP接続、アプリケーションは流れます)、ノード自体が少しの流れ特有の処理も必要としないでも。 これをすると、例えば負荷普及と受信機指向の資源予約は可能にされます。 セクション3で流れラベリングのためのノード要件を与えます。
Specific flow state establishment methods and the related service models are out of scope for this specification, but the generic requirements enabling co-existence of different methods in IPv6 nodes are set forth in section 4. The associated scaling characteristics (such as nodes involved in state establishment, amount of state maintained by them, and state growth function) will be specific to particular service models.
この仕様のための範囲の外に特定の流れ州の設立メソッドと関連するサービスモデルがありますが、IPv6ノードの異なったメソッドの共存を可能にするジェネリック要件はセクション4で詳しく説明されます。 関連スケーリングの特性(州の設立にかかわるノードや、彼らによって維持された状態の量や、州の成長関数などの)は特定のサービスモデルに特定になるでしょう。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14, RFC 2119 [KEYWORDS].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはBCP14RFC2119[キーワード]で説明されるように本書では解釈されることであるべきです。
2. IPv6 Flow Label Specification
2. IPv6流れラベル仕様
The 20-bit Flow Label field in the IPv6 header [IPv6] is used by a source to label packets of a flow. A Flow Label of zero is used to indicate packets not part of any flow. Packet classifiers use the triplet of Flow Label, Source Address, and Destination Address fields to identify which flow a particular packet belongs to. Packets are processed in a flow-specific manner by the nodes that have been set up with flow-specific state. The nature of the specific treatment and the methods for the flow state establishment are out of scope for this specification.
IPv6ヘッダー[IPv6]の20ビットのFlow Label分野は、流れのパケットをラベルするのにソースによって使用されます。 ゼロのFlow Labelは、部分ではなく、どんな流れのパケットも示すのに使用されます。 パケットクラシファイアは、特定のパケットがどの流れに属すかを特定するのにFlow Label、Source Address、およびDestination Address分野の三つ子を使用します。 パケットは流れ特有の状態でセットアップされたノードによって流れ特有の方法で処理されます。 この仕様のための範囲の外に特殊療法の本質と流れ州の設立のためのメソッドがあります。
The Flow Label value set by the source MUST be delivered unchanged to the destination node(s).
目的地ノードに変わりがない状態でソースのそばのFlow Label選択値群を提供しなければなりません。
Rajahalme, et al. Standards Track [Page 2] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[2ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
IPv6 nodes MUST NOT assume any mathematical or other properties of the Flow Label values assigned by source nodes. Router performance SHOULD NOT be dependent on the distribution of the Flow Label values. Especially, the Flow Label bits alone make poor material for a hash key.
IPv6ノードはソースノードによって割り当てられたFlow Label値の少しの数学の、または、他の特性も仮定してはいけません。 ルータ性能SHOULD NOT、Flow Label値の分配に依存してください。 特に、Flow Labelビットだけがナンバー記号のキーのための不十分な材料を作ります。
Nodes keeping dynamic flow state MUST NOT assume packets arriving 120 seconds or more after the previous packet of a flow still belong to the same flow, unless a flow state establishment method in use defines a longer flow state lifetime or the flow state has been explicitly refreshed within the lifetime duration.
ダイナミックな流れが状態であることを保つノードは、流れの前のパケットの120秒以上後に到着するパケットがまだ同じ流れに属していると仮定してはいけなくて、使用中の流れ州の設立メソッドが、より長い流れ状態を定義しない場合、生涯か流れ状態が生涯持続時間の中で明らかにリフレッシュされました。
The use of the Flow Label field does not necessarily signal any requirement on packet reordering. Especially, the zero label does not imply that significant reordering is acceptable.
Flow Label分野の使用は必ずパケット再命令に関するどんな要件も示すというわけではありません。 特に、ラベルがするゼロは、重要な再命令が許容できるのを含意しません。
If an IPv6 node is not providing flow-specific treatment, it MUST ignore the field when receiving or forwarding a packet.
パケットを受けるか、または進めるとき、IPv6ノードが流れ特有の処理を備えていないなら、それは分野を無視しなければなりません。
3. Flow Labeling Requirements
3. 要件をラベルする流れ
To enable Flow Label based classification, source nodes SHOULD assign each unrelated transport connection and application data stream to a new flow. The source node MAY also take part in flow state establishment methods that result in assigning certain packets to specific flows. A source node which does not assign traffic to flows MUST set the Flow Label to zero.
Flow Labelのベースの分類を可能にするために、ソースノードSHOULDはそれぞれの関係ない輸送接続とアプリケーションデータ・ストリームを新しい流れに選任します。 また、ソースノードはあるパケットを特定の流れに割り当てるのに結果として生じる流れ州の設立メソッドに参加するかもしれません。 トラフィックを流れに割り当てないソースノードはゼロにFlow Labelを設定しなければなりません。
To enable applications and transport protocols to define what packets constitute a flow, the source node MUST provide means for the applications and transport protocols to specify the Flow Label values to be used with their flows. The use of the means to specify Flow Label values is subject to appropriate privileges (see section 5.1). The source node SHOULD be able to select unused Flow Label values for flows not requesting a specific value to be used.
アプリケーションとトランスポート・プロトコルが、どんなパケットが流れを構成するかを定義するのを可能にするために、ソースノードはアプリケーションとトランスポート・プロトコルがそれらの流れと共に使用されるためにFlow Label値を指定する手段を備えなければなりません。 指定するFlow Label値を条件としている手段の使用は特権を当てます(セクション5.1を見てください)。 ノードSHOULDの出典を明示してください。使用されるよう特定の値に要求しないことで流れのために未使用のFlow Label値を選択できてください。
A source node MUST ensure that it does not unintentionally reuse Flow Label values it is currently using or has recently used when creating new flows. Flow Label values previously used with a specific pair of source and destination addresses MUST NOT be assigned to new flows with the same address pair within 120 seconds of the termination of the previous flow. The source node SHOULD provide the means for the applications and transport protocols to specify quarantine periods longer than the default 120 seconds for individual flows.
ソースノードは、最近新しい流れを引き起こすときそれが現在、使用しているか、または使用したFlow Label値を何気なく再利用しないのを確実にしなければなりません。 前の流れの終了の120秒以内に同じアドレス組と共に以前にソースと送付先アドレスの特定の組と共に使用された流れLabel値を新しい流れに割り当ててはいけません。 ソースノードSHOULDはアプリケーションとトランスポート・プロトコルが個人のための120秒のデフォルトが流れるより長い間隔離の期間を指定する手段を提供します。
To avoid accidental Flow Label value reuse, the source node SHOULD select new Flow Label values in a well-defined sequence (e.g., sequential or pseudo-random) and use an initial value that avoids
または、偶然のFlow Label値の再利用を避けるために、ソースノードSHOULDが明確な系列の新しいFlow Label値を選択する、(例えば、連続する、擬似ランダム)、それが避ける初期の値を使用してください。
Rajahalme, et al. Standards Track [Page 3] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[3ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
reuse of recently used Flow Label values each time the system restarts. The initial value SHOULD be derived from a previous value stored in non-volatile memory, or in the absence of such history, a randomly generated initial value using techniques that produce good randomness properties [RND] SHOULD be used.
最近中古のFlow Labelの再利用はその都度、システムリスタートを評価します。 初期は使用されていた状態で生産物良い偶発性の特性[RND]のSHOULDがある非揮発性メモリーに保存された前の値から派生するか、またはそのような歴史、手当たりしだいに発生している初期の値がないときテクニックを使用することであるSHOULDを評価します。
4. Flow State Establishment Requirements
4. 流れ州の設立要件
To enable flow-specific treatment, flow state needs to be established on all or a subset of the IPv6 nodes on the path from the source to the destination(s). The methods for the state establishment, as well as the models for flow-specific treatment will be defined in separate specifications.
流れ特有の処理を可能にするために、流れ州は、経路のソースから目的地までのIPv6ノードのすべてか部分集合に設立される必要があります。 州の設立のための流れ特有の処理のためのモデルが別々の仕様に基づき定義されるのと同じくらいよくメソッド。
To enable co-existence of different methods in IPv6 nodes, the methods MUST meet the following basic requirements:
IPv6ノードの異なったメソッドの共存を可能にするために、メソッドは以下の基本的な要件を満たさなければなりません:
(1) The method MUST provide the means for flow state clean-up from
the IPv6 nodes providing the flow-specific treatment. Signaling
based methods where the source node is involved are free to
specify flow state lifetimes longer than the default 120
seconds.
(1) メソッドは、流れ特有の処理を提供しながら、手段をIPv6ノードから流れ州のクリーンアップに提供しなければなりません。 ソースノードがかかわるシグナリングのベースのメソッドは無料で流れ状態を指定できます。120秒のデフォルトより長い生涯。
(2) Flow state establishment methods MUST be able to recover from
the case where the requested flow state cannot be supported.
(2) 流れ州の設立メソッドは要求された流れ状態をサポートすることができないケースから回復できなければなりません。
5. Security Considerations
5. セキュリティ問題
This section considers security issues raised by the use of the Flow Label, primarily the potential for denial-of-service attacks, and the related potential for theft of service by unauthorized traffic (Section 5.1). Section 5.2 addresses the use of the Flow Label in the presence of IPsec including its interaction with IPsec tunnel mode and other tunneling protocols. We also note that inspection of unencrypted Flow Labels may allow some forms of traffic analysis by revealing some structure of the underlying communications. Even if the flow label were encrypted, its presence as a constant value in a fixed position might assist traffic analysis and cryptoanalysis.
権限のないトラフィック(セクション5.1)でこのセクションは、サービスの窃盗のためにセキュリティがFlow Labelの使用で提起された問題と、主としてサービス不能攻撃の可能性と、関連する可能性であると考えます。 セクション5.2はIPsecトンネルモードと他のトンネリングプロトコルとの相互作用を含むIPsecの面前でFlow Labelの使用を扱います。 また、私たちは、unencrypted Flow Labelsの点検が基本的なコミュニケーションの何らかの構造を明らかにすることによっていくつかの形式のトラヒック分析を許容するかもしれないことに注意します。 流れラベルが暗号化されたとしても、固定位置の恒常価値としての存在はトラヒック分析と暗号解読を促進するでしょうに。
5.1. Theft and Denial of Service
5.1. 窃盗とサービス妨害
Since the mapping of network traffic to flow-specific treatment is triggered by the IP addresses and Flow Label value of the IPv6 header, an adversary may be able to obtain better service by modifying the IPv6 header or by injecting packets with false addresses and/or labels. Taken to its limits, such theft-of-service becomes a denial-of-service attack when the modified or injected traffic depletes the resources available to forward it and other
流れ特有の処理へのネットワークトラフィックに関するマッピングがIPv6ヘッダーのIPアドレスとFlow Label値によって引き起こされるので、敵はIPv6ヘッダーを変更するか、または誤ったアドレス、そして/または、ラベルをパケットに注射することによって、より良いサービスを得ることができるかもしれません。 限界に取ります、変更されたか注入されたトラフィックがそれを進めるために利用可能であって、他でリソースを使い果たすとき、そのようなサービスの窃盗はサービス不能攻撃になります。
Rajahalme, et al. Standards Track [Page 4] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[4ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
traffic streams. A curiosity is that if a DoS attack were undertaken against a given Flow Label (or set of Flow Labels), then traffic containing an affected Flow Label might well experience worse-than- best-effort network performance.
トラフィックストリーム好奇心がDoS攻撃が与えられたFlow Label(または、Flow Labelsのセット)に対して引き受けられたなら影響を受けるFlow Labelを含むトラフィックがたぶんより悪くなるだろうということである、-、ベストエフォート型ネットワーク性能より。
Note that since the treatment of IP headers by nodes is typically unverified, there is no guarantee that flow labels sent by a node are set according to the recommendations in this document. Therefore, any assumptions made by the network about header fields such as flow labels should be limited to the extent that the upstream nodes are explicitly trusted.
ノードによるIPヘッダーの処理が通常非検証されるので推薦に従ってノードによって送られた流れラベルが本書では設定されるという保証が全くないことに注意してください。 したがって、流れラベルなどのヘッダーフィールドに関するネットワークによってされたどんな仮定も上流のノードが明らかに信じられるという範囲に制限されるべきです。
Since flows are identified by the 3-tuple of the Flow Label and the Source and Destination Address, the risk of theft or denial of service introduced by the Flow Label is closely related to the risk of theft or denial of service by address spoofing. An adversary who is in a position to forge an address is also likely to be able to forge a label, and vice versa.
流れがFlow Label、Source、およびDestination Addressの3-tupleによって特定されるので、アドレススプーフィングで窃盗の危険かFlow Labelによって導入されたサービスの否定が密接に窃盗のリスクかサービスの否定に関連します。 また、アドレスを偽造する立場にいる敵はラベルを鍛造できそうです、逆もまた同様に。
There are two issues with different properties: Spoofing of the Flow Label only, and spoofing of the whole 3-tuple, including Source and Destination Address.
異なった特性には2冊があります: SourceとDestination Addressを含むFlow Labelのスプーフィングだけ、および全体の3-tupleのスプーフィング。
The former can be done inside a node which is using or transmitting the correct source address. The ability to spoof a Flow Label typically implies being in a position to also forge an address, but in many cases, spoofing an address may not be interesting to the spoofer, especially if the spoofer's goal is theft of service, rather than denial of service.
正しいソースアドレスを使用するか、または伝えているノードの中で前者ができます。 Flow Labelを偽造する能力はまた、アドレスを偽造する立場で存在を通常含意しますが、多くの場合、アドレスを偽造するのはspooferにおもしろくないかもしれません、特にspooferの目標がサービスの否定よりむしろサービスの窃盗であるなら。
The latter can be done by a host which is not subject to ingress filtering [INGR] or by an intermediate router. Due to its properties, such is typically useful only for denial of service. In the absence of ingress filtering, almost any third party could instigate such an attack.
ホストは後者ができます([INGR]をフィルターにかけるイングレスか中間的ルータで受けることがありません)。 特性のために、そのようなものは通常サービスの否定だけの役に立ちます。 イングレスフィルタリングがないとき、ほとんどどんな第三者もそのような攻撃を扇動できました。
In the presence of ingress filtering, forging a non-zero Flow Label on packets that originated with a zero label, or modifying or clearing a label, could only occur if an intermediate system such as a router was compromised, or through some other form of man-in-the- middle attack. However, the risk is limited to traffic receiving better or worse quality of service than intended. For example, if Flow Labels are altered or cleared at random, flow classification will no longer happen as intended, and the altered packets will receive default treatment. If a complete 3-tuple is forged, the altered packets will be classified into the forged flow and will receive the corresponding quality of service; this will create a denial of service attack subtly different from one where only the
感染されるか、または中の男性のある他のフォームを通してルータなどの中間システムがある場合にだけイングレスフィルタリングがあるときラベルをaゼロラベルを発したパケットに非ゼロFlow Labelを鍛造するか、変更するか、またはきれいにするのが起こることができる、-、-中央は攻撃されます。 しかしながら、危険は意図するよりさらに良いか悪いサービスの質を受けるトラフィックに制限されます。 例えば、Flow Labelsが無作為に変更されるか、またはきれいにされると、流れ分類はもう意図されるとして起こらないでしょう、そして、変えられたパケットはデフォルト処理を受けるでしょう。 完全な3-tupleが偽造していると、変えられたパケットは、偽造流れに分類されて、対応するサービスの質を受けるでしょう。 これは唯一で1とかすかに異なった状態でサービス不能攻撃を作成するでしょう。
Rajahalme, et al. Standards Track [Page 5] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[5ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
addresses are forged. Because it is limited to a single flow definition, e.g., to a limited amount of bandwidth, such an attack will be more specific and at a finer granularity than a normal address-spoofing attack.
アドレスは偽造しています。 それがただ一つのフロー定義に制限されるので、そのような攻撃は、より特定であり、通常のアドレスを偽造する攻撃よりすばらしい粒状で例えば、帯域幅の数量限定への、制限になるでしょう。
Since flows are identified by the complete 3-tuple, ingress filtering [INGR] will, as noted above, mitigate part of the risk. If the source address of a packet is validated by ingress filtering, there can be a degree of trust that the packet has not transited a compromised router, to the extent that ISP infrastructure may be trusted. However, this gives no assurance that another form of man- in-the-middle attack has not occurred.
流れが完全な3-tupleによって特定されるので、[INGR]をフィルターにかけるイングレスが上で述べたようにリスクの一部を緩和するでしょう。 パケットのソースアドレスがイングレスフィルタリングによって有効にされるなら、パケットが持っている信頼の度合いが感染しているルータを通過しなかったというそこでは、ことであることができます、ISPインフラストラクチャが信じられるかもしれないという範囲に。 しかしながら、これは中央での別の形式の男性攻撃が起こっていないという保証を全く与えません。
Only applications with an appropriate privilege in a sending host will be entitled to set a non-zero Flow Label. Mechanisms for this are operating system dependent. Related policy and authorization mechanisms may also be required; for example, in a multi-user host, only some users may be entitled to set the Flow Label. Such authorization issues are outside the scope of this specification.
適切な特権が送付ホストにあるアプリケーションだけが非ゼロFlow Labelを設定する権利を与えられるでしょう。 これのためのメカニズムはオペレーティングシステムに依存しています。 また、関連方針と承認メカニズムが必要であるかもしれません。 例えば、マルチユーザホストでは、何人かだけのユーザがFlow Labelを設定する権利を与えられるかもしれません。 この仕様の範囲の外にそのような承認問題があります。
5.2. IPsec and Tunneling Interactions
5.2. IPsecとトンネリング相互作用
The IPsec protocol, as defined in [IPSec, AH, ESP], does not include the IPv6 header's Flow Label in any of its cryptographic calculations (in the case of tunnel mode, it is the outer IPv6 header's Flow Label that is not included). Hence modification of the Flow Label by a network node has no effect on IPsec end-to-end security, because it cannot cause any IPsec integrity check to fail. As a consequence, IPsec does not provide any defense against an adversary's modification of the Flow Label (i.e., a man-in-the-middle attack).
[IPSec、AH、超能力]で定義されるIPsecプロトコルは暗号の計算のいずれにもIPv6ヘッダーのFlow Labelを含んでいません(トンネルモードの場合では、含まれていないのは、外側のIPv6ヘッダーのFlow Labelです)。 したがって、ネットワーク・ノードによるFlow Labelの変更はIPsec終わりから終わりへのセキュリティで効き目がありません、それがどんなIPsec保全チェックにも失敗できないので。 結果として、IPsecは敵のFlow Label(すなわち、介入者攻撃)の変更に対してどんなディフェンスも提供しません。
IPsec tunnel mode provides security for the encapsulated IP header's Flow Label. A tunnel mode IPsec packet contains two IP headers: an outer header supplied by the tunnel ingress node and an encapsulated inner header supplied by the original source of the packet. When an IPsec tunnel is passing through nodes performing flow classification, the intermediate network nodes operate on the Flow Label in the outer header. At the tunnel egress node, IPsec processing includes removing the outer header and forwarding the packet (if required) using the inner header. The IPsec protocol requires that the inner header's Flow Label not be changed by this decapsulation processing to ensure that modifications to label cannot be used to launch theft- or denial-of-service attacks across an IPsec tunnel endpoint. This document makes no change to that requirement; indeed it forbids changes to the Flow Label.
IPsecトンネルモードはカプセル化されたIPヘッダーのFlow Labelにセキュリティを供給します。 トンネルモードIPsecパケットは2個のIPヘッダーを含んでいます: トンネルイングレスノードを供給された外側のヘッダーとパケットの一次資料によって供給されたカプセル化された内側のヘッダー。 IPsecトンネルが流れ分類を実行するノードを通り抜けているとき、中間ネットワークノードは外側のヘッダーでFlow Labelを作動させます。 トンネル出口ノードでは、IPsec処理は、内側のヘッダーを使用することで外側のヘッダーを取り除いて、(必要なら、)パケットを進めるのを含んでいます。 IPsecプロトコルは、内側のヘッダーのFlow LabelがIPsecトンネル終点の向こう側に窃盗かサービス不能攻撃に着手するのにラベルする変更を使用できないのを保証するためにこの被膜剥離術処理で変えられないのを必要とします。 このドキュメントはその要件への変更を全く行いません。 本当に、それはFlow Labelへの変化を禁じます。
Rajahalme, et al. Standards Track [Page 6] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[6ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
When IPsec tunnel egress decapsulation processing includes a sufficiently strong cryptographic integrity check of the encapsulated packet (where sufficiency is determined by local security policy), the tunnel egress node can safely assume that the Flow Label in the inner header has the same value as it had at the tunnel ingress node.
IPsecトンネル出口被膜剥離術処理がカプセル化されたパケット(十分がローカルの安全保障政策で決定するところ)の十分強い暗号の保全チェックを含んでいると、トンネル出口ノードは、内側のヘッダーのFlow Labelがそれが持っていたようにトンネルイングレスノードに同じ値を持っていると安全に仮定できます。
This analysis and its implications apply to any tunneling protocol that performs integrity checks. Of course, any Flow Label set in an encapsulating IPv6 header is subject to the risks described in the previous section.
この分析とその含意は保全チェックを実行するどんなトンネリングプロトコルにも適用されます。 もちろん、要約のIPv6ヘッダーで用意ができているどんなFlow Labelも前項で説明された危険に受けることがあります。
5.3. Security Filtering Interactions
5.3. 相互作用をフィルターにかけるセキュリティ
The Flow Label does nothing to eliminate the need for packet filtering based on headers past the IP header, if such filtering is deemed necessary for security reasons on nodes such as firewalls or filtering routers.
Flow LabelはIPヘッダーの先でヘッダーに基づくパケットフィルタリングの必要性を排除するようなことを何もしません、そのようなフィルタリングが安全保障上の理由でファイアウォールなどのノードで必要であると考えられるか、またはルータをフィルターにかけているなら。
6. Acknowledgements
6. 承認
The discussion on the topic in the IPv6 WG mailing list has been instrumental for the definition of this specification. The authors want to thank Ran Atkinson, Steve Blake, Jim Bound, Francis Dupont, Robert Elz, Tony Hain, Robert Hancock, Bob Hinden, Christian Huitema, Frank Kastenholz, Thomas Narten, Charles Perkins, Pekka Savola, Hesham Soliman, Michael Thomas, Margaret Wasserman, and Alex Zinin for their contributions.
この仕様の定義において、IPv6 WGメーリングリストの話題についての議論は手段になっています。 作者は彼らの貢献についてRanアトキンソン、スティーブ・ブレーク、ジムBound、フランシス・デュポン、ロバートElz、トニー・ハイン、ロバートハンコック、ボブHinden、クリスチャンのHuitema、フランクKastenholz、トーマスNarten、チャールズ・パーキンス、ペッカSavola、Heshamソリマン、マイケル・トーマス、マーガレット・ワッサーマン、およびアレックス・ジニンに感謝したがっています。
7. References
7. 参照
7.1. Normative References
7.1. 引用規格
[IPv6] Deering, S. and R. Hinden, "Internet Protocol Version 6
Specification", RFC 2460, December 1998.
[IPv6] デアリングとS.とR.Hinden、「インターネットプロトコルバージョン6仕様」、RFC2460、1998年12月。
[KEYWORDS] Bradner, S., "Key words for use in RFCs to indicate
requirement levels", BCP 14, RFC 2119, March 1997.
[KEYWORDS]ブラドナー、S.、「使用のための要件レベルを示すRFCsのキーワード」、BCP14、RFC2119、1997年3月。
[RND] Eastlake, D., Crocker, S. and J. Schiller, "Randomness
Recommendations for Security", RFC 1750, December 1994.
[RND] イーストレークとD.とクロッカーとS.とJ.シラー、「セキュリティのための偶発性推薦」、RFC1750、1994年12月。
7.2. Informative References
7.2. 有益な参照
[AH] Kent, S. and R. Atkinson, "IP Authentication Header", RFC
2402, November 1998.
[ああ] ケントとS.とR.アトキンソン、「IP認証ヘッダー」、RFC2402、1998年11月。
[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security
Payload (ESP)", RFC 2406, November 1998.
[超能力] ケントとS.とR.アトキンソン、「セキュリティが有効搭載量(超能力)であるとカプセル化するIP」、RFC2406、1998年11月。
Rajahalme, et al. Standards Track [Page 7] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[7ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
[INGR] Ferguson, P. and D. Senie, "Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP
Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[INGR] ファーガソン、P.、およびD.Senieは「以下をフィルターにかけるイングレスをネットワークでつなぎます」。 「IP Source Address Spoofingを使うサービス妨害Attacksを破ります」、BCP38、RFC2827、2000年5月。
[IPSec] Kent, S. and R. Atkinson, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
[IPSec] ケントとS.とR.アトキンソン、「インターネットプロトコルのためのセキュリティー体系」、RFC2401、1998年11月。
Authors' Addresses
作者のアドレス
Jarno Rajahalme Nokia Research Center P.O. Box 407 FIN-00045 NOKIA GROUP, Finland
ヤルノRajahalmeノキアリサーチセンター私書箱407フィン-00045Nokia Group、フィンランド
EMail: jarno.rajahalme@nokia.com
メール: jarno.rajahalme@nokia.com
Alex Conta Transwitch Corporation 3 Enterprise Drive Shelton, CT 06484 USA
CT06484米国のアレックスコンタTranswitch社3のエンタープライズDriveシェルトン
EMail: aconta@txc.com
メール: aconta@txc.com
Brian E. Carpenter IBM Zurich Research Laboratory Saeumerstrasse 4 / Postfach 8803 Rueschlikon Switzerland
ブライアン・E.大工IBMチューリッヒ研究所Saeumerstrasse4 / Postfach8803Rueschlikonスイス
EMail: brc@zurich.ibm.com
メール: brc@zurich.ibm.com
Steve Deering Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA
西タスマン・DriveスティーブデアリングシスコシステムズInc.170カリフォルニア95134-1706サンノゼ(米国)
Rajahalme, et al. Standards Track [Page 8] RFC 3697 IPv6 Flow Label Specification March 2004
Rajahalme、他 標準化過程[8ページ]RFC3697IPv6は2004年のラベル仕様行進のときに流れます。
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The Internet Society (2004). This document is subject to the rights, licenses and restrictions contained in BCP 78 and except as set forth therein, the authors retain all their rights.
Copyright(C)インターネット協会(2004)。 このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと「そのままで」という基礎と貢献者、その人が代表する組織で提供するか、または後援されて、インターネット協会とインターネット・エンジニアリング・タスク・フォースはすべての保証を放棄します、と急行ORが含意したということであり、他を含んでいて、ここに含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するどんな独立している取り組みも作りました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実装するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を扱ってください。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Rajahalme, et al. Standards Track [Page 9]
Rajahalme、他 標準化過程[9ページ]
一覧
スポンサーリンク
