5. Liabilities (留意事項)

5. Liabilities (留意事項)

この種のフィルタリングは, 一部のタイプの "特別な" サービスを破壊する可能性があります。しかし, これらのタイプの特別なサービスを提供する ISP の最善の利益は, 入口トラフィックフィルタリングによる影響を避けるために, これらのサービスを実装する代替方法を検討することです。

[6] で定義されている Mobile IP (モバイル IP) は, 入口トラフィックフィルタリングによって特に影響を受けます。仕様によれば, モバイルノードへのトラフィックはトンネリングされますが, モバイルノードからのトラフィックはトンネリングされません。これにより, ステーションが接続されているネットワークと一致しない送信元アドレスを持つモバイルノードからのパケットが生成されます。入口フィルタリングとその他の懸念に対応するために, Mobile IP Working Group (モバイル IP ワーキンググループ) は "reverse tunnels (逆トンネル)" の方法論を開発し, [7] で規定されています。これは, モバイルノードによって送信されたデータが, インターネットへの送信前にホームエージェントにトンネリングされる方法を提供します。逆トンネリングスキームには, マルチキャストトラフィックのより良い処理を含む追加の利点があります。モバイル IP システムを実装する者は, この逆トンネリングの方法を実装することが奨励されます。

前述のように, 入口トラフィックフィルタリングは送信元アドレススプーフィングの成功を大幅に減少させますが, 攻撃者が許可されたプレフィックスフィルタ範囲内の別のホストの偽造された送信元アドレスを使用することを排除するものではありません。しかし, この種の攻撃が実際に発生した場合, ネットワーク管理者は, 攻撃が実際にアナウンスされている既知のプレフィックス内から発信されていることを確信できます。これにより, 犯人の追跡が簡素化され, 最悪の場合でも, 管理者は問題が解決されるまで送信元アドレスの範囲をブロックできます。

DHCP または BOOTP が使用される環境で入口フィルタリングが使用される場合, ネットワーク管理者は, 送信元アドレス 0.0.0.0 および宛先 255.255.255.255 のパケットが, 適切な場合にルータ内のリレーエージェントに到達できるようにすることをよく検討することが賢明です。しかし, directed broadcast 複製の範囲は制御されるべきであり, 任意に転送されるべきではありません。