15. セキュリティに関する考慮事項 (Security Considerations)
15. セキュリティに関する考慮事項 (Security Considerations)
ヘッダー圧縮自体は新しいセキュリティ問題を引き起こしません。ただし、以下の点を考慮する必要があります。
サービス拒否 (Denial of service)
攻撃者は多数の異なるパケットストリームを送信することで、圧縮器または解凍器のコンテキスト空間を枯渇させようとする可能性があります。これは同時に圧縮できるパケットストリームの数を制限することで緩和できます。
攻撃者はまた、多数の拡張ヘッダーを持つパケットを送信することでコンテキストメモリを枯渇させようとする可能性があります。これはコンテキストに保存されるヘッダーの最大長を制限することで緩和できます(MAX_HEADER パラメーター参照)。
コンテキストハイジャック (Context hijacking)
攻撃者は同じ CID を持つパケットを送信することで既存のコンテキストをハイジャックしようとする可能性があります。これは攻撃者がリンクにアクセスできる場合にのみ発生します。この場合、攻撃者はすでにすべてのトラフィックを読み取りまたは変更できるため、ヘッダー圧縮によって状況が悪化することはありません。
IPsec の考慮事項 (IPsec considerations)
IPsec とともにヘッダー圧縮を使用する場合は特別な注意が必要です。IPsec 認証ヘッダー(AH)は IP ヘッダーを含むパケット全体を保護します。IP ヘッダーが圧縮されると、AH はパケットを検証できなくなります。
一つの解決策は IPsec トンネルのエンドポイントでヘッダー圧縮を適用することです。すなわち、IPsec 処理の後または前に適用します。別の解決策は AH の代わりに IPsec カプセル化セキュリティペイロード(ESP)を使用することです。ESP は外部 IP ヘッダーを保護しないためです。