ネットワーク WG
Request for Comments: 2644
更新: 1812
BCP: 34

分類: ベストカレントプラクティス
D. Senie
Amaranth Networks Inc.
1999年 8月

English

ルーターにおいて指図されるブロードキャストについてのデフォルトを変更する
(Changing the Default for Directed Broadcasts in Routers)

このメモの位置付け

この文書は、インターネットコミュニティのためにインターネットの「現時点における最善の実践(ベストカレントプラクティス)」を規定し、実装者に改善のために検討と示唆を要求するものです。このメモの配布 に制限はありません。

著作権表記

Copyright (C) The Internet Society (1999). All Rights Reserved.

 

1. はじめに English

ルーター要件 [1] において、「ルーターは、指図されるブロードキャストを受信し転送しなければならない」と規定しています。これは、 「ルーターが、この機能を使えなくするオプションを持たなければならず(MUST)、このオプションは、指図されるブロードキャストの受信と転送を許すのがデフォルトでなければならない(MUST)こと」も規定しています。しかし、指図されるブロードキャストには、そのインターネットバックボーン上における使用が、完全に他のネットワークからの悪意ある攻撃によってしかけられたものに見える使用法があります。

ルーターに要求されるデフォルトを変更することは、インターネットに接続される新しいルーターが現状の問題に加わることがないことを確保するのに有益でしょう。この文書中のキーワード、"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", "OPTIONAL" は、RFC 2119 に記述されているように解釈されるべきものです。

 

2. 検討 English

破壊的なサービス妨害攻撃によって、イングレスフィルタリングについての [2] が執筆されました。多くのネットワークプロバイダーや企業ネットワークは、彼らのネットワークがそのような攻撃の起点でないことを確保するために、これらの手法の使用を推奨してきました。

Smurf 攻撃 [3] にみられる最近の傾向は、自身のネットワークの外部からの指図されるブロードキャストを許しているネットワークを標的とすることです。指図されるブロードキャストを許すことによって、これらのシステムは「Smurf アンプ」になってしまいます。

継続的なイングレスフィルタの実装が、これらの攻撃を制限する最善のやり方であることは変わりありませんが、指図されるブロードキャストを制限することも重要度が高いはずです。

ネットワークサービスプロバイダーと企業ネットワーク オペレーターには、彼らのネットワークが、そのネットワークの外部を起点として指図されるブロードキャストパケットに対して影響を受けないことを確認することが強く薦められます。

Mobile IP [4] は、モービルノードが動的エージェント探索を使用する際、指図されるブロードキャストを使用することを用意していました。いくつかの実装が、この機能をサポートしていますが、これが有用であるかは明確ではありません。同じ結果を達成する他の手法は [5] に文書化されています。指図されるブロードキャストについて Mobile IP のスタンダードトラック(標準化過程)の進行において、その言葉を削除することは検討に値することでしょう。

 

3. 推奨事項  English

ルーター要件 [1] は下記のように更新されます。:

セクション 4.2.2.11 (d) は、次のように置換されます。:

(d) { <Network-prefix>, -1 }

指図されたブロードキャスト(特定のネットワークプリフィックスに指図されたブロードキャスト)は、ソースアドレスとして使用されてはならない(MUST NOT)。ルーターは、ネットワーク越しに 指図するブロードキャストパケットの起点となってもよい(MAY)。ルーターは、指図されるブロードキャストパケットを受け取ることを許容する設定オプションをもってもよい(MAY)が、このオプションは、デフォルトで は使えないようにしなければならない(MUST)。それゆえルーターは、エンドユーザによって特別に設定されたのでない限り、ネットワーク越しに指図されるブロードキャストパケットを受け取ってはならない(MUST NOT)

セクション 5.3.5.2 の第 2 パラグラフは、次のように置換されます。:

ルーターは、ひとつのインターフェイス上でネットワークプリフィックスに指図されたブロードキャストを受信することを可能にするオプションを持つことができ(MAY)、ネットワークプリフィックス に指図されたブロードキャストを転送することを可能にするオプションをもつことができる(MAY)。これらのオプションは、ネットワークプリフィックスに指図されたブロードキャストの受信をブロックすることと転送をブロックすることをデフォルトとしなければならない(MUST)

 

4. セキュリティについての考慮事項 English

本書の目的は、特定の種類のサービス妨害攻撃の有効性を低減することにあります。

 

5. 参考文献

[1] Baker, F.,
"Requirements for IP Version 4 Routers",
RFC 1812, 1995年 6月.
 
[2] Ferguson, P. and D. Senie,
「ネットワーク境界におけるフィルタリング: IP ソース アドレスを偽ったサービス妨害攻撃をくじく(Ingress Filtering)」,
RFC 2267, 1998年 1月.
 
[3] See the pages by Craig Huegen at:
http://www.quadrunner.com/~chuegen/smurf.txt, and the CERT advisory at:
http://www.cert.org/advisories/CA-98.01.smurf.html
 
[4] Perkins, C.,
"IP Mobility Support",
RFC 2002, 1996年10月.
 
[5] P. Calhoun, C. Perkins,
"Mobile IP Dynamic Home Address Allocation Extensions",
作業中.

 

6. 謝辞

著者は、情報提供してくださった Mindspring の Brandon Ross 氏と Sun の Gabriel Montenegro 氏に感謝します。

 

7. 著者のアドレス

Daniel Senie
Amaranth Networks Inc.
324 Still River Road
Bolton, MA 01740

電話: (978) 779-6813
EMail: dts@senie.com

翻訳者のアドレス

宮川 寧夫
情報処理振興事業協会
セキュリティセンター

EMail: miyakawa@ipa.go.jp

 

8. 著作権表記全文

Copyright (C) The Internet Society (1999). All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

謝辞

RFC 編集者のための資金は現在、Internet Society によって提供されています。