メインコンテンツまでスキップ

7. セキュリティに関する考慮事項

このセクションでは, 差別化サービスの導入によって引き起こされるセキュリティ問題, 主にサービス拒否攻撃の可能性, および無許可トラフィックによるサービス盗用の関連する可能性 (第7.1節) について考察します。第7.2節では, IPsec トンネルモードおよびその他のトンネリングプロトコルとの相互作用を含む, IPsec の存在下での差別化サービスの動作について説明します。全体的な差別化サービスアーキテクチャによって引き起こされるセキュリティ上の懸念のより広範な扱いについては, [ARCH] を参照してください。

7.1 盗用とサービス拒否

差別化サービスの主な目標は, 共通のネットワークインフラストラクチャ上のトラフィックストリームに対して異なるレベルのサービスを提供できるようにすることです。これを実現するためにさまざまな技術を使用できますが, 最終的な結果は, 一部のパケットが他のパケットよりも異なる (たとえば, より良い) サービスを受けることです。ネットワークトラフィックから異なる (たとえば, より良いまたはより悪い) サービスをもたらす特定の動作へのマッピングは, 主に DS コードポイントによって示されるため, 敵対者はコードポイントを拡張サービスに使用される動作を示す値に変更するか, そのようなコードポイント値を持つパケットを注入することによって, より良いサービスを得ることができる可能性があります。限界まで進めると, このようなサービス盗用 (theft-of-service) は, 変更または注入されたトラフィックがそれと他のトラフィックストリームを転送するために利用可能なリソースを枯渇させるとき, サービス拒否攻撃 (denial-of-service attack) になります。

このクラスの盗用およびサービス拒否攻撃に対する防御は, DS ドメイン境界でのトラフィック条件化と DS ドメイン内のネットワークインフラストラクチャのセキュリティと完全性の組み合わせで構成されます。DS ドメイン境界ノードは, ドメインに入るすべてのトラフィックがトラフィックとドメインに適したコードポイント値でマークされていることを確認し, 必要に応じて新しいコードポイント値でトラフィックを再マークしなければなりません (MUST)。これらの DS 境界ノードは, 変更されたコードポイントに基づく盗用およびサービス拒否攻撃に対する主要な防御線 (primary line of defense) です。このような攻撃の成功は, 攻撃トラフィックによって使用されたコードポイントが不適切であったことを示すためです。境界ノードの重要なインスタンスは, DS ドメイン内のトラフィック発信ノードがそのトラフィックの初期境界ノードであることです。DS ドメイン内の内部ノードは, DS コードポイントに依存してトラフィックを転送 PHB に関連付け, コードポイント値を使用する前にチェックする必要はありません (are NOT REQUIRED)。その結果, 内部ノードは, 不適切なコードポイントを持つトラフィックまたはプロビジョニングされたレベル (provisioned levels) を超えるトラフィックの到着を防ぎ, ドメインの動作を妨げるために, DS ドメイン境界ノードの正しい動作に依存します。

7.2 IPsecとトンネリングの相互作用

[ESP, AH] で定義されている IPsec プロトコルは, その暗号計算に IP ヘッダーの DSフィールドを含めません (トンネルモードの場合, 含まれないのは外部 IP ヘッダーの DSフィールドです)。したがって, ネットワークノードによる DSフィールドの変更は, IPsec の完全性チェックを失敗させることができないため, IPsec のエンドツーエンドセキュリティに影響を与えません。その結果, IPsec は敵対者による DSフィールドの変更 (つまり, 中間者攻撃, man-in-the-middle attack) に対する防御を提供しません。敵対者の変更も IPsec のエンドツーエンドセキュリティに影響を与えないためです。

IPsec のトンネルモードは, カプセル化された IP ヘッダーの DSフィールドにセキュリティを提供します。トンネルモード IPsec パケットには2つの IP ヘッダーが含まれています: トンネル入口ノード (tunnel ingress node) によって提供される外部ヘッダーと, パケットの元のソースによって提供されるカプセル化された内部ヘッダーです。IPsec トンネルが (全体的または部分的に) 差別化サービスネットワーク上でホストされる場合, 中間ネットワークノードは外部ヘッダーの DSフィールドを操作します。トンネル出口ノード (tunnel egress node) で, IPsec 処理には外部ヘッダーの削除と (必要な場合) 内部ヘッダーを使用したパケットの転送が含まれます。IPsec プロトコルは, DSフィールドの変更が IPsec トンネルエンドポイントを越えて盗用またはサービス拒否攻撃を開始するために使用できないことを保証するために, この脱カプセル化処理 (decapsulation processing) によって内部ヘッダーの DSフィールドを変更してはならない (REQUIRES) ことを要求しています。この文書はその要件に変更を加えません。内部 IP ヘッダーがトンネル出口ノードの DS ドメインの DS 境界ノードによって処理されていない場合, トンネル出口ノードはトンネルを出るトラフィックの境界ノードであり, したがって結果のトラフィックが適切な DS コードポイントを持っていることを保証しなければなりません (MUST)。

IPsec トンネル出口脱カプセル化処理がカプセル化されたパケットの十分に強力な暗号完全性チェック (cryptographic integrity check) を含む場合 (十分性はローカルセキュリティポリシーによって決定されます), トンネル出口ノードは, 内部ヘッダーの DSフィールドがトンネル入口ノードでの値と同じ値を持つと安全に仮定できます。重要な結果は, DS ドメイン内の他の安全でないリンクが十分に強力な IPsec トンネルによって保護できることです。この分析とその影響は, 完全性チェックを実行する任意のトンネリングプロトコルに適用されますが, 内部ヘッダーの DSフィールドの保証レベル (level of assurance) は, トンネリングプロトコルによって実行される完全性チェックの強度に依存します。現在の DS ドメイン外のノードを通過する可能性のあるトンネル (または他の方法で脆弱, otherwise vulnerable) に対する十分な保証がない場合, カプセル化されたパケットは DS ドメインの外部からの境界に到着したかのように扱われなければなりません (MUST)。

最終更新