IPv4ヘッダのセキュリティフラグ

広告

広告

原文

最終更新
2006-03-27T23:52:00+09:00
この記事のURI参照
http://www.7key.jp/rfc/rfc3514.html#source

IPv4ヘッダのセキュリティフラグ(和訳)

最終更新
2006-03-29T01:01:00+09:00
この記事のURI参照
http://www.7key.jp/rfc/rfc3514.html#translation

Status of this Memo

   This memo provides information for the Internet community.  This memo
   does not specify an Internet standard of any kind.  Distribution of
   this memo is unlimited.

当メモはインターネットコミュニティに役立つであらう情報を提供するものであり、これによつて標準的なインターネット像をでつちあげやうとするものではない。当メモは配布に関しての制限を設けてゐない。

Copyright Notice

   Copyright (C) The Internet Society (2003).  All Rights Reserved.

Abstract

   Firewalls, packet filters, intrusion detection systems, and the like
   often have difficulty distinguishing between packets that have
   malicious intent and those that are merely unusual.  We define a
   security flag in the IPv4 header as a means of distinguishing the two
   cases.

ファイアウォール、パケットフィルター、IDS等では、悪意のあるパケットと単に少し変つてゐるパケットとを見分けることは非常に難しい。当RFCではこれらの二つのパケットを区別する為、IPv4ヘッダにセキュリティフラグを定義してゐる。

1. Introduction

   Firewalls [CBR03], packet filters, intrusion detection systems, and
   the like often have difficulty distinguishing between packets that
   have malicious intent and those that are merely unusual.  The problem
   is that making such determinations is hard.  To solve this problem,
   we define a security flag, known as the "evil" bit, in the IPv4
   [RFC791] header.  Benign packets have this bit set to 0; those that
   are used for an attack will have the bit set to 1.

ファイアウォール[CBR03]、パケットフィルタ、IDS等では、悪意のあるパケットと単に少し変つてゐるパケットとを見分けることは非常に難しい。問題となるのは、これらの二つのパケットを見分けるのが難しい点だ。この問題を解決する為、当RFCではIPv4[RFC791]ヘッダに有害ビットと呼ばれるセキュリティフラグを定義した。善良なパケットではこのフラグに"0"を、攻撃に使われるパケットではこのフラグを"1"に設定することとなる。

1.1. Terminology

   The keywords MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD,
   SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL, when they appear in this
   document, are to be interpreted as described in [RFC2119].

RFCに於いて次の単語が使われてゐる場合、[RFC2119]で説明されてゐる通りの意味となる。

2. Syntax

   The high-order bit of the IP fragment offset field is the only unused
   bit in the IP header.  Accordingly, the selection of the bit position
   is not left to IANA.

IPフラグメントオフセットフィールドの最上位ビットは、IPヘッダ内で唯一使用されてゐない領域である。故に、この領域を使うことによつてIANAに兎や角言われる筋合ひは無い。

   The bit field is laid out as follows:

             0
            +-+
            |E|
            +-+

有害ビットはこのやうに定義される。

   Currently-assigned values are defined as follows:

   0x0  If the bit is set to 0, the packet has no evil intent.  Hosts,
        network elements, etc., SHOULD assume that the packet is
        harmless, and SHOULD NOT take any defensive measures.  (We note
        that this part of the spec is already implemented by many common
        desktop operating systems.)

   0x1  If the bit is set to 1, the packet has evil intent.  Secure
        systems SHOULD try to defend themselves against such packets.
        Insecure systems MAY chose to crash, be penetrated, etc.

現在割り当てられてゐる値は、次のやうに定義されてゐる。

0x0
有害ビットに"0"が設定されてゐる場合、このパケットには有害な意思は含まれてゐないことを示す。ホストやネットワークを構成するノード等は、このパケットに悪意は無いと仮定すべき(SHOULD)であり、如何なる防御措置も用ゐるべきではない(SHOULD NOT)。当RFCのこの部分に尽いては、既に殆どの大衆向けデスクトップOSで実装済みであることを追記しておく。
0x1
有害ビットに"1"が設定されてゐる場合、このパケットには有害な意思が含まれてゐることを示す。安全なシステムでは、このやうなパケットから自身を守る為の対策を採るべき(SHOULD)だ。安全ではないシステムは、破壊される、侵入される等と云ふ選択肢を持つてもよい(MAY)。

3. Setting the Evil Bit

   There are a number of ways in which the evil bit may be set.  Attack
   applications may use a suitable API to request that it be set.
   Systems that do not have other mechanisms MUST provide such an API;
   attack programs MUST use it.

有害ビットを設定する方法は幾つかある。攻撃アプリケーションは、有害ビットを設定する為に適当なAPIを用ゐる場合もあるが、他にその機能を持たないシステム上ではそのやうなAPIを攻撃アプリケーション側で必ず提供しなければならない(MUST)し、攻撃プログラムはそのAPIを必ず用ゐなければならない(MUST)。

   Multi-level insecure operating systems may have special levels for
   attack programs; the evil bit MUST be set by default on packets
   emanating from programs running at such levels.  However, the system
   MAY provide an API to allow it to be cleared for non-malicious
   activity by users who normally engage in attack behavior.

階層分けされてゐる安全ではないOSでは、攻撃プログラムの為の特別な階層を持たせても良いが、この階層から送信されるパケットはデフォルトで有害ビットを設定しなければならない(MUST)。ただし、普段は攻撃を行つてゐる使用者が悪意のない行為をするときの為に、システム側で有害ビットをクリアするAPIを提供してもよい(MAY)。

   Fragments that by themselves are dangerous MUST have the evil bit
   set.  If a packet with the evil bit set is fragmented by an
   intermediate router and the fragments themselves are not dangerous,
   the evil bit MUST be cleared in the fragments, and MUST be turned
   back on in the reassembled packet.

フラグメント自身が危険な場合、そのフラグメントに有害ビットを設定しなければならない(MUST)。有害ビットが設定されてゐるパケットが経路上の中継ルータによつて分割され、結果そのフラグメント自身が危険ではなくなつた場合、そのフラグメントの有害ビットはクリアされなければならない(MUST)。又、それらのパケットが再構成された際、有害ビットは設定し直さなければならない(MUST)。

   Intermediate systems are sometimes used to launder attack
   connections.  Packets to such systems that are intended to be relayed
   to a target SHOULD have the evil bit set.

中継システムは攻撃の際の踏み台に使はれることがある。攻撃対象への中継を目的として中継システムへ送信されるパケットには、有害ビットが設定されるべきである(SHOULD)。

   Some applications hand-craft their own packets.  If these packets are
   part of an attack, the application MUST set the evil bit by itself.

中にはパケットを自身で作成するアプリケーションもある。そのパケットが攻撃の一部に使はれる場合は、アプリケーション自身によつて有害ビットを設定しなければならない(MUST)。

   In networks protected by firewalls, it is axiomatic that all
   attackers are on the outside of the firewall.  Therefore, hosts
   inside the firewall MUST NOT set the evil bit on any packets.

ファイアウォールによつて保護されてゐるネットワークでは、攻撃者がファイアウォールの内側にゐる筈が無い。従つて、ファイアウォールの内側にゐるホストは如何なるパケットであらうと有害ビットを設定してはならない(MUST NOT)。

   Because NAT [RFC3022] boxes modify packets, they SHOULD set the evil
   bit on such packets.  "Transparent" http and email proxies SHOULD set
   the evil bit on their reply packets to the innocent client host.

NAT[RFC3022]はパケットを加工する為、NATマシンによつて加工されたパケットは有害ビットが設定されるべきである(SHOULD)。又、httpや電子メールで用ゐられる透過型プロクシは、内側の何も知らないクライアントホストへの応答パケットに有害ビットを設定すべきである(SHOULD)。

   Some hosts scan other hosts in a fashion that can alert intrusion
   detection systems.  If the scanning is part of a benign research
   project, the evil bit MUST NOT be set.  If the scanning per se is
   innocent, but the ultimate intent is evil and the destination site
   has such an intrusion detection system, the evil bit SHOULD be set.

中にはIDSに引つ掛かつてしまうやうな方法で、他のホストをスキャンするホストがある。もしスキャンが親切な調査計画の一部であるならば、有害ビットを設定してはならない(MUST NOT)。もしスキャン行為そのものに悪意が無くとも、結果的に目的が有害と看做され、且つパケットの宛先ホストがIDSを持つてゐるのであれば、有害ビットを設定すべきである(SHOULD)。

4. Processing of the Evil Bit

   Devices such as firewalls MUST drop all inbound packets that have the
   evil bit set.  Packets with the evil bit off MUST NOT be dropped.
   Dropped packets SHOULD be noted in the appropriate MIB variable.

ファイアウォールのやうな装置は、有害ビットが設定されたパケットを全て破棄しなければならない(MUST)し、有害ビットが設定されてゐないパケットは破棄してはならない(MUST NOT)。破棄されたパケットに尽いては、適切なMIB変数に記録されるべきである(SHOULD)。

   Intrusion detection systems (IDSs) have a harder problem.  Because of
   their known propensity for false negatives and false positives, IDSs
   MUST apply a probabilistic correction factor when evaluating the evil
   bit.  If the evil bit is set, a suitable random number generator
   [RFC1750] must be consulted to determine if the attempt should be
   logged.  Similarly, if the bit is off, another random number
   generator must be consulted to determine if it should be logged
   despite the setting.

IDSについては更にやつかいな問題がある。IDSにはパケットの安全性に尽いての判断を誤ると云ふよく知られた性質がある為、IDSは有害ビットの真偽を評価する際に統計的な補正をパケットに対して行はなければならない。即ち、有害ビットが設定されてゐるパケットに対しては、適切な乱数発生器[RFC1750]を用ゐてそのパケットを記録するか如何かを判断しなければならないし、同様に、有害ビットが設定されてゐなくともIDSの設定に関はらずそのパケットを記録するか如何かを判断しなければならない。

   The default probabilities for these tests depends on the type of IDS.
   Thus, a signature-based IDS would have a low false positive value but
   a high false negative value.  A suitable administrative interface
   MUST be provided to permit operators to reset these values.

これらの判断に用ゐられる真偽の揺れの為のデフォルト値はIDSの種類に依存する。従つて、シグネチャベースIDSのデフォルト値は、有害ビットが設定されてゐない状態を肯定する確立が低くなり、否定する確立が高くなるだらう。使用者がこれらの確立を調節出来るやうな、適切な管理者インターフェイスが提供されなければならない(MUST)。

   Routers that are not intended as as security devices SHOULD NOT
   examine this bit.  This will allow them to pass packets at higher
   speeds.

セキュリティ装置として機能させるつもりのないルータは有害ビットを検査させるべきではない(SHOULD NOT)。これによつてパケットの転送処理が、より高速に行はれることとなる。

   As outlined earlier, host processing of evil packets is operating-
   system dependent; however, all hosts MUST react appropriately
   according to their nature.

既に述べた通り、有害パケットの処理はホストのOSに依存する。しかし、全てのホストは本来の姿に則つて適切な反応をしなければならない(MUST)。

5. Related Work

   Although this document only defines the IPv4 evil bit, there are
   complementary mechanisms for other forms of evil.  We sketch some of
   those here.

RFCではIPv4に於ける有害ビットしか定義してゐないが、それ以外にも有害な形式に対する補足的な仕組みがあるので、その幾つかを紹介する。

   For IPv6 [RFC2460], evilness is conveyed by two options.  The first,
   a hop-by-hop option, is used for packets that damage the network,
   such as DDoS packets.  The second, an end-to-end option, is for
   packets intended to damage destination hosts.  In either case, the
   option contains a 128-bit strength indicator, which says how evil the
   packet is, and a 128-bit type code that describes the particular type
   of attack intended.

IPv6[RFC2460]では、有害度合ひは二つのオプションにて伝へられる。一つ目はホップバイホップオプションで、DDos攻撃で使はれるパケットのやうにネットワークへ打撃を与へるパケットに対して使はれる。二つ目はエンドトゥエンドオプションで、宛先ホストに打撃を与へる目的のパケットに対して使はれる。どちらの場合もオプションには、有害度合いを示す128ビットの強度と攻撃の意図の詳細を示す128ビットの数値が含まれる。

   Some link layers, notably those based on optical switching, may
   bypass routers (and hence firewalls) entirely.  Accordingly, some
   link-layer scheme MUST be used to denote evil.  This may involve evil
   lambdas, evil polarizations, etc.

データリンク層――特に光中継をベースにしたもの――にはルータやファイアウォールを完全に抜けてしまうものがある。従つて、データリンク層でも有害度合いを示す何かが使用されなければならない(MUST)。これには有害波長や有害偏光などが含まれる。

   DDoS attack packets are denoted by a special diffserv code point.

DDos攻撃で使はれるパケットには特殊なDiffServコードが付加される。

   An application/evil MIME type is defined for Web- or email-carried
   mischief.  Other MIME types can be embedded inside of evil sections;
   this permit easy encoding of word processing documents with macro
   viruses, etc.

Web若しくは電子メール経由で悪戯を行ふ際の為に、application/evilと云ふMIMEタイプが定義されてゐる。他のMIMEタイプを持つファイルを有害な部分に埋め込むことも可能で、これによつてマクロウィルス等が含まれた文書を簡単に符号化することが出来る。

6. IANA Considerations

   This document defines the behavior of security elements for the 0x0
   and 0x1 values of this bit.  Behavior for other values of the bit may
   be defined only by IETF consensus [RFC2434].

RFC有害ビットが"0x0"と"0x1"の値をとる場合に尽いてのセキュリティ的な振る舞ひを定義してゐる。有害ビットがこれ以外の値をとつた場合の振る舞ひは、IETFの合意方法[RFC2434]によつてのみ定義される。

7. Security Considerations

   Correct functioning of security mechanisms depend critically on the
   evil bit being set properly.  If faulty components do not set the
   evil bit to 1 when appropriate, firewalls will not be able to do
   their jobs properly.  Similarly, if the bit is set to 1 when it
   shouldn't be, a denial of service condition may occur.

セキュリティ機構が正しく機能するためには、有害ビットが的確に設定されてゐるか如何かに極めて依存する。有害ビットに的確な値を設定出来ない欠陥のある何かがネットワーク上にあると、ファイアウォールは正しく機能することが出来ない。同様に、有害ビットが誤つて"1"に設定された場合、サービス妨害状態となつてしまう恐れがある。

8. References

原文を参照下さい。

9. Author's Address

原文を参照下さい。

10. Full Copyright Statement

   Copyright (C) The Internet Society (2003).  All Rights Reserved.
   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

上記著作権表示とこの段落が全ての複写や派生的な仕事につけられてゐれば、この文書と翻訳は複写や他者への提供が可能であり、コメントや説明、実装を支援する派生的な仕事の為にこの文書の全部或いは一部を制約無く複写や出版、配布することが出来ます。しかしこの文書自身は、英語以外の言語への翻訳やインターネット標準を開発する目的で必要な場合を除いて、インターネット学会や他のインターネット組織は著作権表示や参照を削除されるやうな変更は出来ません。インターネット標準を開発する場合は、インターネット標準化プロセスで定義された著作権の手順に従ひます。

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

上に与へられた限定的な許可は永久で、インターネット学会やその後継者や譲渡者によつて無効化されることはありません。

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

この文書とここに含む情報は無保証で供給され、そしてインターネット学会とインターネット技術標準化タスクフォースは――特別にも暗黙にも――この情報の利用が権利を侵害しないことや、特別の目的への利用に適当であることの保証を含め、全ての保証を拒否します。

Acknowledgement

   Funding for the RFC Editor function is currently provided by the
   Internet Society.

RFC編集者機構の資金は、現在インターネット学会から提供されてゐる。

広告

Copyright (C) 2006 七鍵 key@do.ai 初版:2006年03月27日 最終更新:2006年03月29日