Zum Hauptinhalt springen

9. Security Considerations (Sicherheitsüberlegungen)

9. Security Considerations (Sicherheitsüberlegungen)

Dieses Dokument hat keine direkten Auswirkungen auf die Internet-Infrastruktursicherheit.

Beachten Sie, dass die meisten Quelladressauswahlalgorithmen, einschließlich des in diesem Dokument spezifizierten, ein potenzielles Datenschutzproblem aufweisen. Ein unfreundlicher Knoten kann Korrelationen zwischen den Adressen eines Zielknotens ableiten, indem er den Zielknoten mit Anforderungspaketen untersucht, die den Zielhost zwingen, seine Quelladresse für die Antwortpakete zu wählen (vielleicht weil die Anforderungspakete an eine Anycast- oder Multicast-Adresse gesendet werden, oder vielleicht weil das für den Angriff gewählte höhere Schichtprotokoll keine bestimmte Quelladresse für seine Antwortpakete spezifiziert). Durch Verwendung verschiedener Adressen für sich selbst kann der unfreundliche Knoten den Zielknoten veranlassen, die eigenen Adressen des Ziels offenzulegen. Die Standard-Präferenz der Quelladressauswahl für temporäre Adressen hilft, dieses Problem zu mildern.

Ähnlich beeinflussen die meisten Quell- und Zieladressauswahlalgorithmen, einschließlich des in diesem Dokument spezifizierten, die Wahl des genommenen Netzwerkpfads (wie auch Routing-Algorithmen, die orthogonal zu solchen Algorithmen sind, aber zusammen mit ihnen verwendet werden) und daher, ob Daten über einen Pfad oder ein Netzwerk gesendet werden könnten, der vertrauenswürdiger oder weniger vertrauenswürdig sein könnte als andere Pfade oder Netzwerke. Administratoren sollten die Sicherheitsauswirkungen der Zeilen berücksichtigen, die sie in der Präfix-Richtlinientabelle konfigurieren, genauso wie sie die Sicherheitsauswirkungen der in den Routing-Algorithmen verwendeten Schnittstellenmetriken berücksichtigen sollten.

Darüber hinaus könnten einige Adressauswahlregeln administrativ konfigurierbar sein. Es muss darauf geachtet werden, dass alle administrativen Optionen gegen unerlaubte Änderung gesichert sind, sonst könnte ein Angreifer Datenverkehr umleiten und/oder blockieren.

Letztes Update am