Zum Hauptinhalt springen

10. Security Considerations (Sicherheitsüberlegungen)

10. Security Considerations (Sicherheitsüberlegungen)

We consider the ramifications of a forged message of each type.

Wir betrachten die Auswirkungen einer gefälschten Nachricht jedes Typs.

Query Message:

Abfragenachricht (Query Message):

A forged Query message from a machine with a lower IP address than the current Querier will cause Querier duties to be assigned to the forger. If the forger then sends no more Query messages, other routers' Other Querier Present timer will time out and one will resume the role of Querier. During this time, if the forger ignores Leave Messages, traffic might flow to groups with no members for up to [Group Membership Interval].

Eine gefälschte Abfragenachricht von einer Maschine mit einer niedrigeren IP-Adresse als der aktuelle Abfragende (Querier) führt dazu, dass die Aufgaben des Abfragenden dem Fälscher zugewiesen werden. Wenn der Fälscher dann keine weiteren Abfragenachrichten sendet, läuft der Timer „Anderer Abfragender anwesend“ (Other Querier Present) anderer Router ab und einer von ihnen übernimmt wieder die Rolle des Abfragenden. Wenn der Fälscher in dieser Zeit Austrittsnachrichten (Leave Messages) ignoriert, kann der Datenverkehr bis zu [Gruppenmitgliedschaftsintervall] (Group Membership Interval) lang an Gruppen ohne Mitglieder fließen.

A forged Query message sent to a group with members will cause the hosts which are members of the group to report their memberships. This causes a small amount of extra traffic on the LAN, but causes no protocol problems.

Eine gefälschte Abfragenachricht, die an eine Gruppe mit Mitgliedern gesendet wird, veranlasst die Hosts, die Mitglieder der Gruppe sind, ihre Mitgliedschaften zu melden. Dies verursacht eine geringe Menge an zusätzlichem Verkehr im LAN, führt aber zu keinen Protokollproblemen.

Report messages:

Berichtsnachrichten (Report messages):

A forged Report message may cause multicast routers to think there are members of a group on a subnet when there are not. Forged Report messages from the local subnet are meaningless, since joining a group on a host is generally an unprivileged operation, so a local user may trivially gain the same result without forging any messages. Forged Report messages from external sources are more troublesome; there are two defenses against externally forged Reports:

Eine gefälschte Berichtsnachricht kann dazu führen, dass Multicast-Router glauben, dass es Mitglieder einer Gruppe in einem Subnetz gibt, obwohl dies nicht der Fall ist. Gefälschte Berichtsnachrichten aus dem lokalen Subnetz sind bedeutungslos, da der Beitritt zu einer Gruppe auf einem Host im Allgemeinen eine nicht privilegierte Operation ist, sodass ein lokaler Benutzer ohne das Fälschen von Nachrichten trivialerweise das gleiche Ergebnis erzielen kann. Gefälschte Berichtsnachrichten aus externen Quellen sind problematischer; es gibt zwei Verteidigungsmaßnahmen gegen extern gefälschte Berichte:

  • Ignore the Report if you cannot identify the source address of the packet as belonging to a subnet assigned to the interface on which the packet was received. This solution means that Reports sent by mobile hosts without addresses on the local subnet will be ignored.

  • Ignorieren Sie den Bericht, wenn Sie die Quelladresse des Pakets nicht als zu einem Subnetz gehörig identifizieren können, das der Schnittstelle zugewiesen ist, auf der das Paket empfangen wurde. Diese Lösung bedeutet, dass Berichte, die von mobilen Hosts ohne Adressen im lokalen Subnetz gesendet werden, ignoriert werden.

  • Ignore Report messages without Router Alert options [RFC 2113], and require that routers not forward Report messages. (The requirement is not a requirement of generalized filtering in the forwarding path, since the packets already have Router Alert options in them). This solution breaks backwards compatibility with implementations of earlier versions of this specification which did not require Router Alert.

  • Ignorieren Sie Berichtsnachrichten ohne Router-Alarm-Optionen (Router Alert options) [RFC 2113] und verlangen Sie, dass Router Berichtsnachrichten nicht weiterleiten. (Die Anforderung ist keine Anforderung an eine verallgemeinerte Filterung im Weiterleitungspfad, da die Pakete bereits Router-Alarm-Optionen enthalten). Diese Lösung bricht die Abwärtskompatibilität mit Implementierungen früherer Versionen dieser Spezifikation, die keinen Router-Alarm erforderten.

A forged Version 1 Report Message may put a router into "version 1 members present" state for a particular group, meaning that the router will ignore Leave messages. This can cause traffic to flow to groups with no members for up to [Group Membership Interval]. There are two defenses against forged v1 Reports:

Eine gefälschte Berichtsnachricht der Version 1 kann einen Router für eine bestimmte Gruppe in den Status „Version 1 Mitglieder anwesend“ versetzen, was bedeutet, dass der Router Austrittsnachrichten ignoriert. Dies kann dazu führen, dass Datenverkehr bis zu [Gruppenmitgliedschaftsintervall] lang an Gruppen ohne Mitglieder fließt. Es gibt zwei Verteidigungsmaßnahmen gegen gefälschte v1-Berichte:

  • To defend against externally sourced v1 Reports, ignore the Report if you cannot identify the source address of the packet as belonging to a subnet assigned to the interface on which the packet was received. This solution means that v1 Reports sent by mobile hosts without addresses on the local subnet will be ignored.

  • Um sich gegen extern stammende v1-Berichte zu verteidigen, ignorieren Sie den Bericht, wenn Sie die Quelladresse des Pakets nicht als zu einem Subnetz gehörig identifizieren können, das der Schnittstelle zugewiesen ist, auf der das Paket empfangen wurde. Diese Lösung bedeutet, dass v1-Berichte, die von mobilen Hosts ohne Adressen im lokalen Subnetz gesendet werden, ignoriert werden.

  • Provide routers with a configuration switch to ignore Version 1 messages completely. This breaks automatic compatibility with Version 1 hosts, so should only be used in situations where "fast leave" is critical. This solution protects against forged version 1 reports from the local subnet as well.

  • Stellen Sie Routern einen Konfigurationsschalter zur Verfügung, um Nachrichten der Version 1 vollständig zu ignorieren. Dies bricht die automatische Kompatibilität mit Version-1-Hosts und sollte daher nur in Situationen verwendet werden, in denen „schnelles Verlassen“ (fast leave) kritisch ist. Diese Lösung schützt auch vor gefälschten Berichten der Version 1 aus dem lokalen Subnetz.

Leave message:

Austrittsnachricht (Leave message):

A forged Leave message will cause the Querier to send out Group-Specific Queries for the group in question. This causes extra processing on each router and on each member of the group, but can not cause loss of desired traffic. There are two defenses against externally forged Leave messages:

Eine gefälschte Austrittsnachricht veranlasst den Abfragenden, gruppenspezifische Abfragen (Group-Specific Queries) für die betreffende Gruppe zu senden. Dies führt zu zusätzlicher Verarbeitung auf jedem Router und jedem Mitglied der Gruppe, kann aber keinen Verlust des gewünschten Datenverkehrs verursachen. Es gibt zwei Verteidigungsmaßnahmen gegen extern gefälschte Austrittsnachrichten:

  • Ignore the Leave message if you cannot identify the source address of the packet as belonging to a subnet assigned to the interface on which the packet was received. This solution means that Leave messages sent by mobile hosts without addresses on the local subnet will be ignored.

  • Ignorieren Sie die Austrittsnachricht, wenn Sie die Quelladresse des Pakets nicht als zu einem Subnetz gehörig identifizieren können, das der Schnittstelle zugewiesen ist, auf der das Paket empfangen wurde. Diese Lösung bedeutet, dass Austrittsnachrichten, die von mobilen Hosts ohne Adressen im lokalen Subnetz gesendet werden, ignoriert werden.

  • Ignore Leave messages without Router Alert options [RFC 2113], and require that routers not forward Leave messages. (The requirement is not a requirement of generalized filtering in the forwarding path, since the packets already have Router Alert options in them). This solution breaks backwards compatibility with implementations of earlier versions of this specification which did not require Router Alert.

  • Ignorieren Sie Austrittsnachrichten ohne Router-Alarm-Optionen [RFC 2113] und verlangen Sie, dass Router Austrittsnachrichten nicht weiterleiten. (Die Anforderung ist keine Anforderung an eine verallgemeinerte Filterung im Weiterleitungspfad, da die Pakete bereits Router-Alarm-Optionen enthalten). Diese Lösung bricht die Abwärtskompatibilität mit Implementierungen früherer Versionen dieser Spezifikation, die keinen Router-Alarm erforderten.

Letztes Update am