RFC5095 日本語訳
5095 Deprecation of Type 0 Routing Headers in IPv6. J. Abley, P.Savola, G. Neville-Neil. December 2007. (Format: TXT=13423 bytes) (Updates RFC2460, RFC4294) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group J. Abley Request for Comments: 5095 Afilias Updates: 2460, 4294 P. Savola Category: Standards Track CSC/FUNET G. Neville-Neil Neville-Neil Consulting December 2007
Ableyがコメントのために要求するワーキンググループJ.をネットワークでつないでください: 5095のアフィリアスアップデート: 2460、4294P.Savolaカテゴリ: 2007年12月に相談する標準化過程CSC/FUNET G.ネヴィル-ニール・ネヴィル-ニール
Deprecation of Type 0 Routing Headers in IPv6
IPv6の0個のタイプルート設定ヘッダーの不賛成
Status of This Memo
このメモの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Abstract
要約
The functionality provided by IPv6's Type 0 Routing Header can be exploited in order to achieve traffic amplification over a remote path for the purposes of generating denial-of-service traffic. This document updates the IPv6 specification to deprecate the use of IPv6 Type 0 Routing Headers, in light of this security concern.
業務用輸送の否定を生成する目的のために遠く離れた経路にわたってトラフィック増幅を達成するのにIPv6のType0ルート設定Headerによって提供された機能性は利用できます。 このドキュメントはIPv6 Type0ルート設定Headersの使用を非難するためにIPv6仕様をアップデートします、このセキュリティ関心の観点から。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3. Deprecation of RH0 . . . . . . . . . . . . . . . . . . . . . . 3 4. Operations . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4.1. Ingress Filtering . . . . . . . . . . . . . . . . . . . . . 3 4.2. Firewall Policy . . . . . . . . . . . . . . . . . . . . . . 3 5. Security Considerations . . . . . . . . . . . . . . . . . . . . 4 6. IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 4 7. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 4 8. References . . . . . . . . . . . . . . . . . . . . . . . . . . 5 8.1. Normative References . . . . . . . . . . . . . . . . . . . 5 8.2. Informative References . . . . . . . . . . . . . . . . . . 5
1. 序論. . . . . . . . . . . . . . . . . . . . . . . . . 2 2。 定義. . . . . . . . . . . . . . . . . . . . . . . . . . 3 3。 RH0. . . . . . . . . . . . . . . . . . . . . . 3 4の不賛成。 操作. . . . . . . . . . . . . . . . . . . . . . . . . . 3 4.1。 イングレスフィルタリング. . . . . . . . . . . . . . . . . . . . . 3 4.2。 ファイアウォール方針. . . . . . . . . . . . . . . . . . . . . . 3 5。 セキュリティ問題. . . . . . . . . . . . . . . . . . . . 4 6。 IANA問題. . . . . . . . . . . . . . . . . . . . . . 4 7。 承認. . . . . . . . . . . . . . . . . . . . . . . 4 8。 参照. . . . . . . . . . . . . . . . . . . . . . . . . . 5 8.1。 引用規格. . . . . . . . . . . . . . . . . . . 5 8.2。 有益な参照. . . . . . . . . . . . . . . . . . 5
Abley, et al. Standards Track [Page 1] RFC 5095 Deprecation of RH0 December 2007
Abley、他 規格は2007年12月にRH0のRFC5095不賛成を追跡します[1ページ]。
1. Introduction
1. 序論
[RFC2460] defines an IPv6 extension header called "Routing Header", identified by a Next Header value of 43 in the immediately preceding header. A particular Routing Header subtype denoted as "Type 0" is also defined. Type 0 Routing Headers are referred to as "RH0" in this document.
[RFC2460]はすぐに前のヘッダーの43のNext Header値によって特定された「ルート設定ヘッダー」と呼ばれるIPv6拡張ヘッダーを定義します。 「また、タイプ0インチは定義される」ので指示された特定のルート設定Header subtype。 0タイプルート設定Headersが「このドキュメントのRH0"」と呼ばれます。
A single RH0 may contain multiple intermediate node addresses, and the same address may be included more than once in the same RH0. This allows a packet to be constructed such that it will oscillate between two RH0-processing hosts or routers many times. This allows a stream of packets from an attacker to be amplified along the path between two remote routers, which could be used to cause congestion along arbitrary remote paths and hence act as a denial-of-service mechanism. An 88-fold amplification has been demonstrated using this technique [CanSecWest07].
独身のRH0が複数の中間的ノードアドレスを含むかもしれなくて、同じアドレスは同じRH0の一度より含まれるかもしれません。 これは、何回も2つのRH0-処理ホストかルータの間を揺れるように、パケットが組み立てられるのを許容します。 これで、攻撃者からのパケットの流れは、任意の遠く離れた経路に沿って混雑を引き起こして、したがって、サービスの否定メカニズムとして機能するように2つのリモートルータの間の経路に沿って増幅します。ルータを使用できました。 88倍の増幅は、このテクニック[CanSecWest07]を使用することで示されました。
This attack is particularly serious in that it affects the entire path between the two exploited nodes, not only the nodes themselves or their local networks. Analogous functionality may be found in the IPv4 source route option, but the opportunities for abuse are greater with RH0 due to the ability to specify many more intermediate node addresses in each packet.
ノード自体かそれらの企業内情報通信網だけではなく、2つの利用されたノードの間の全体の経路に影響するので、この攻撃は特に重大です。 類似の機能性はIPv4送信元経路オプションで見つけられるかもしれませんが、乱用の機会は各パケットのずっと多くの中間的ノードアドレスを指定する能力のためにRH0と共に、より大きいです。
The severity of this threat is considered to be sufficient to warrant deprecation of RH0 entirely. A side effect is that this also eliminates benign RH0 use-cases; however, such applications may be facilitated by future Routing Header specifications.
この脅威の厳しさがRH0の不賛成を完全に保証するために十分であると考えられます。 副作用はまた、これがケースを使用する状態で優しいRH0を排除するということです。 しかしながら、そのようなアプリケーションは将来のルート設定Header仕様で容易にされるかもしれません。
Potential problems with RH0 were identified in 2001 [Security]. In 2002 a proposal was made to restrict Routing Header processing in hosts [Hosts]. These efforts resulted in the modification of the Mobile IPv6 specification to use the type 2 Routing Header instead of RH0 [RFC3775]. Vishwas Manral identified various risks associated with RH0 in 2006 including the amplification attack; several of these vulnerabilities (together with other issues) were later documented in [RFC4942].
RH0の潜在的な問題は2001年[セキュリティ]に特定されました。 2002年に、ホスト[ホスト]でルート設定Header処理を制限するのを提案をしました。 これらの取り組みは、RH0[RFC3775]の代わりにタイプ2ルート設定Headerを使用するためにモバイルIPv6仕様の変更に結果として生じました。 Vishwas Manralは2006年の増幅攻撃を含んでいるRH0に関連している様々な危険を特定しました。 これらのいくつかの脆弱性(他の問題に伴う)が後で[RFC4942]に記録されました。
A treatment of the operational security implications of RH0 was presented by Philippe Biondi and Arnaud Ebalard at the CanSecWest conference in Vancouver, 2007 [CanSecWest07]. This presentation resulted in widespread publicity for the risks associated with RH0.
RH0の操作上のセキュリティ含意の処理はバンクーバー2007[CanSecWest07]でのCanSecWest会議にフィリップ・ビオンディとアルノードEbalardによって提示されました。 このプレゼンテーションはRH0に関連しているリスクのための広範囲の宣伝をもたらしました。
This document updates [RFC2460] and [RFC4294].
このドキュメントは[RFC2460]と[RFC4294]をアップデートします。
Abley, et al. Standards Track [Page 2] RFC 5095 Deprecation of RH0 December 2007
Abley、他 規格は2007年12月にRH0のRFC5095不賛成を追跡します[2ページ]。
2. Definitions
2. 定義
RH0 in this document denotes the IPv6 Extension Header type 43 ("Routing Header") variant 0 ("Type 0 Routing Header"), as defined in [RFC2460].
RH0は本書ではIPv6 Extension Headerタイプ43(「ルート設定ヘッダー」)異形0を指示します(「0ルート設定ヘッダーをタイプしてください」)、[RFC2460]で定義されるように。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTは[RFC2119]で説明されるように本書では解釈されることであるべきですか?
3. Deprecation of RH0
3. RH0の不賛成
An IPv6 node that receives a packet with a destination address assigned to it and that contains an RH0 extension header MUST NOT execute the algorithm specified in the latter part of Section 4.4 of [RFC2460] for RH0. Instead, such packets MUST be processed according to the behaviour specified in Section 4.4 of [RFC2460] for a datagram that includes an unrecognised Routing Type value, namely:
送付先アドレスがそれに割り当てられている状態でパケットを受けて、RH0拡張ヘッダーを含むIPv6ノードは[RFC2460]のセクション4.4の後半でRH0に指定されたアルゴリズムを実行してはいけません。 代わりに、[RFC2460]のセクション4.4で認識されていないルート設定Type価値を含んでいるデータグラムに指定されたふるまいに従ってそのようなパケットを処理しなければならない、すなわち:
If Segments Left is zero, the node must ignore the Routing header and proceed to process the next header in the packet, whose type is identified by the Next Header field in the Routing header.
Segments Leftがゼロであるなら、ノードは、ルート設定ヘッダーを無視して、パケットのタイプがルート設定ヘッダーのNext Header分野によって特定される次のヘッダーを処理しかけなければなりません。
If Segments Left is non-zero, the node must discard the packet and send an ICMP Parameter Problem, Code 0, message to the packet's Source Address, pointing to the unrecognized Routing Type.
Segments Leftが非ゼロであるなら、ノードは、パケットを捨てて、ICMP Parameter Problemを送らなければなりません、Code0、パケットのSource Addressへのメッセージ、認識されていないルート設定Typeを示して。
IPv6 implementations are no longer required to implement RH0 in any way.
IPv6実装は、何らかの方法でRH0を実装するのにもう必要ではありません。
4. Operations
4. 操作
4.1. Ingress Filtering
4.1. イングレスフィルタリング
It is to be expected that it will take some time before all IPv6 nodes are updated to remove support for RH0. Some of the uses of RH0 described in [CanSecWest07] can be mitigated using ingress filtering, as recommended in [RFC2827] and [RFC3704].
RH0のサポートを取り除くためにすべてのIPv6ノードをアップデートする前にそれがある程度時間がかかると予想されることになっています。 フィルターにかけることの、そして、[RFC2827]と[RFC3704]のお勧めのイングレスを使用することで[CanSecWest07]で説明されたRH0の用途のいくつかを緩和できます。
A site security policy intended to protect against attacks using RH0 SHOULD include the implementation of ingress filtering at the site border.
RH0 SHOULDを使用することで攻撃から守ることを意図するサイト安全保障政策はサイト境界にイングレスフィルタリングの実装を含んでいます。
4.2. Firewall Policy
4.2. ファイアウォール方針
Blocking all IPv6 packets that carry Routing Headers (rather than specifically blocking Type 0 and permitting other types) has very serious implications for the future development of IPv6. If even a
ルート設定Headers(明確にType0を妨げて、他のタイプを可能にするよりむしろ)を運ぶすべてのIPv6パケットを妨げるのにおいて、IPv6の今後の開発のための非常に重大な意味があります。 aですさえ。
Abley, et al. Standards Track [Page 3] RFC 5095 Deprecation of RH0 December 2007
Abley、他 規格は2007年12月にRH0のRFC5095不賛成を追跡します[3ページ]。
small percentage of deployed firewalls block other types of Routing Headers by default, it will become impossible in practice to extend IPv6 Routing Headers. For example, Mobile IPv6 [RFC3775] relies upon a Type 2 Routing Header; wide-scale, indiscriminate blocking of Routing Headers will make Mobile IPv6 undeployable.
わずかな百分率の配布しているファイアウォールがデフォルトでルート設定Headersの他のタイプを妨げて、IPv6ルート設定Headersを広げるのは実際には不可能になるでしょう。 例えば、モバイルIPv6[RFC3775]はType2ルート設定Headerを当てにします。 ルート設定Headersの広いスケールの、そして、無差別のブロッキングはモバイルIPv6 undeployableを作るでしょう。
Firewall policy intended to protect against packets containing RH0 MUST NOT simply filter all traffic with a Routing Header; it must be possible to disable forwarding of Type 0 traffic without blocking other types of Routing Headers. In addition, the default configuration MUST permit forwarding of traffic using a Routing Header other than 0.
単にRH0 MUST NOTを含むパケットから守ることを意図するファイアウォール方針はルート設定Headerと共にすべてのトラフィックをフィルターにかけます。 ルート設定Headersの他のタイプを妨げないでType0トラフィックの推進を無効にするのは可能であるに違いありません。 さらに、デフォルト設定は0以外のルート設定Headerをトラフィック使用の推進に可能にしなければなりません。
5. Security Considerations
5. セキュリティ問題
The purpose of this document is to deprecate a feature of IPv6 that has been shown to have undesirable security implications. Specific examples of vulnerabilities that are facilitated by the availability of RH0 can be found in [CanSecWest07]. In particular, RH0 provides a mechanism for traffic amplification, which might be used as a denial- of-service attack. A description of this functionality can be found in Section 1.
このドキュメントの目的は望ましくないセキュリティ意味を持つために見せられたIPv6の特徴を非難することです。 [CanSecWest07]でRH0の有用性によって容易にされる脆弱性の特定の例を見つけることができます。 特に、RH0はトラフィック増幅にメカニズムを提供します。(それは、サービスの否定攻撃として使用されるかもしれません)。 セクション1でこの機能性の記述を見つけることができます。
6. IANA Considerations
6. IANA問題
The IANA registry "Internet Protocol Version 6 (IPv6) Parameters" should be updated to reflect that variant 0 of IPv6 header-type 43 ("Routing Header") is deprecated.
IPv6ヘッダータイプ43(「ルート設定ヘッダー」)の異形0が推奨しないのを反映するためにIANA登録「インターネットプロトコルバージョン6(IPv6)パラメタ」をアップデートするべきです。
7. Acknowledgements
7. 承認
This document benefits from the contributions of many IPV6 and V6OPS working group participants, including Jari Arkko, Arnaud Ebalard, Tim Enos, Brian Haberman, Jun-ichiro itojun Hagino, Bob Hinden, Thomas Narten, Jinmei Tatuya, David Malone, Jeroen Massar, Dave Thaler, and Guillaume Valadon.
このドキュメントは多くのIPV6とV6OPSワーキンググループの関係者の貢献の利益を得ます、ヤリArkko、アルノードEbalard、ティム・イーノス、ブライアン・ハーバーマン、6月-ichiro itojun Hagino、ボブHinden、トーマスNarten、Jinmei Tatuya、デヴィッド・マローン、ジョロエンMassar、デーヴThaler、およびギヨーム・バラドンを含んでいて。
Abley, et al. Standards Track [Page 4] RFC 5095 Deprecation of RH0 December 2007
Abley、他 規格は2007年12月にRH0のRFC5095不賛成を追跡します[4ページ]。
8. References
8. 参照
8.1. Normative References
8.1. 引用規格
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", RFC 2460, December 1998.
[RFC2460]デアリング、S.とR.Hinden、「インターネットプロトコル、バージョン6(IPv6)仕様」、RFC2460、12月1998日
[RFC4294] Loughney, J., "IPv6 Node Requirements", RFC 4294, April 2006.
[RFC4294] Loughney、J.、「IPv6ノード要件」、RFC4294、2006年4月。
8.2. Informative References
8.2. 有益な参照
[CanSecWest07] Biondi, P. and A. Ebalard, "IPv6 Routing Header Security", CanSecWest Security Conference 2007, April 2007. http://www.secdev.org/conf/IPv6_RH_security-csw07.pdf
[CanSecWest07]ビオンディとP.とA.Ebalard、「IPv6ルート設定ヘッダーセキュリティ」、CanSecWestセキュリティコンファレンス2007、4月2007、 http://www.secdev.org/conf/IPv6_RH_security-csw07.pdf
[Hosts] Savola, P., "Note about Routing Header Processing on IPv6 Hosts", Work in Progress, February 2002.
P.、「IPv6ホストにおけるルート設定ヘッダー処理に関する注」という[ホスト]Savolaは進歩、2002年2月に働いています。
[RFC2827] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[RFC2827] ファーガソン、P.、およびD.Senieは「以下をフィルターにかけるイングレスをネットワークでつなぎます」。 「IP Source Address Spoofingを使うサービス妨害Attacksを破ります」、BCP38、RFC2827、2000年5月。
[RFC3704] Baker, F. and P. Savola, "Ingress Filtering for Multihomed Networks", BCP 84, RFC 3704, March 2004.
[RFC3704]ベイカー、F.とP.Savola、「Multihomedのためにネットワークをフィルターにかけるイングレス」BCP84、2004年3月のRFC3704。
[RFC3775] Johnson, D., Perkins, C., and J. Arkko, "Mobility Support in IPv6", RFC 3775, June 2004.
[RFC3775] ジョンソンとD.とパーキンス、C.とJ.Arkko、「IPv6"、RFC3775、2004年6月の移動性サポート。」
[RFC4942] Davies, E., Krishnan, S., and P. Savola, "IPv6 Transition/Co-existence Security Considerations", RFC 4942, September 2007.
[RFC4942] デイヴィースとE.とクリシュナン、S.とP.Savola、「IPv6変遷/共存セキュリティ問題」、RFC4942、2007年9月。
[Security] Savola, P., "Security of IPv6 Routing Header and Home Address Options", Work in Progress, March 2002.
P.、「IPv6ルート設定ヘッダーとホームアドレスオプションのセキュリティ」という[セキュリティ]Savolaは進歩、2002年3月に働いています。
Abley, et al. Standards Track [Page 5] RFC 5095 Deprecation of RH0 December 2007
Abley、他 規格は2007年12月にRH0のRFC5095不賛成を追跡します[5ページ]。
Authors' Addresses
作者のアドレス
Joe Abley Afilias Canada Corp. Suite 204, 4141 Yonge Street Toronto, ON M2P 2A8 Canada
M2P 2A8カナダのジョーAbleyアフィリアスカナダ社のSuite204、4141ヤング・通りトロント
Phone: +1 416 673 4176 EMail: jabley@ca.afilias.info
以下に電話をしてください。 +1 4176年の416 673メール: jabley@ca.afilias.info
Pekka Savola CSC/FUNET Espoo, Finland
ペッカ・Savola CSC/FUNETエスポー(フィンランド)
EMail: psavola@funet.fi
メール: psavola@funet.fi
George Neville-Neil Neville-Neil Consulting 2261 Market St. #239 San Francisco, CA 94114 USA
ジョージネヴィル-ニールネヴィル-ニールConsulting2261市場#239聖カリフォルニア94114サンフランシスコ(米国)
EMail: gnn@neville-neil.com
メール: gnn@neville-neil.com
Abley, et al. Standards Track [Page 6] RFC 5095 Deprecation of RH0 December 2007
Abley、他 規格は2007年12月にRH0のRFC5095不賛成を追跡します[6ページ]。
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The IETF Trust (2007).
IETFが信じる著作権(C)(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれた情報はその人が代理をするか、または(もしあれば)後援される組織、インターネットの振興発展を目的とする組織、「そのままで」という基礎と貢献者の上で提供していて、IETFはそして、インターネット・エンジニアリング・タスク・フォースがすべての保証を放棄すると信じます、急行である、または暗示していて、他を含んでいて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるということであるかいずれが市場性か特定目的への適合性の黙示的な保証です。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するどんな独立している取り組みも作りました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実装するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を扱ってください。
Abley, et al. Standards Track [Page 7]
Abley、他 標準化過程[7ページ]
一覧
スポンサーリンク