12. セキュリティに関する考慮事項 (Security Considerations)
クラスレスプレフィックス (Classless Prefixes) をサポートするルーティングプロトコルの導入と、より特定的な (最長一致) ルートが、より特定的でないプレフィックスへのルートと重複する場合に優先されることを義務付ける転送モデルへの移行により、少なくとも2つのセキュリティ上の懸念が生じます:
1. トラフィックハイジャック (Traffic Hijacking)
トラフィックは、特定の宛先に対して通常広告される集約よりも特定的なプレフィックスを広告することにより、ハイジャックされる可能性があります。たとえば、アドレス 192.168.17.100 を持つ人気のあるエンドシステムが、192.168.16.0/20 を広告するサービスプロバイダーに接続されていると仮定します。このサイトのトラフィックを傍受することに関心のある悪意のあるネットワークオペレーターは、192.168.17.0/24 をグローバルルーティングシステムに広告する、または少なくとも広告しようとする可能性があります。このプレフィックスは「通常の」プレフィックスよりも特定的であるため、トラフィックは正当なエンドシステムから逸れ、悪意のあるオペレーターが所有するネットワークに向けられます。
CIDRの出現前は、特定のネットワーク番号と正確に一致する誤った広告に従うようにネットワークの一部からトラフィックを誘導することが可能でした。CIDRは、最長一致ルーティング (Longest-Match Routing) が一般的にすべてのトラフィックがより特定的でないルートよりも特定的なルートを優先するため、この問題を多少悪化させます。ただし、CIDRベースの攻撃の対策は、CIDRベースでない攻撃の対策と同じです: プロバイダー間の信頼関係 (Trust Relationships) の確立と、プロバイダー境界での強力なルートポリシーフィルター (Route Policy Filters) の組み合わせです。
残念ながら、そのようなフィルターの実装は、高度に分散化されたインターネットでは困難です。回避策として、多くのプロバイダーは、RIRガイドラインから派生した、割り当てるブロックのサイズの上限を設定し、他のプロバイダーから受け入れられるプレフィックスの長さに関する一般的なフィルターを実装しています。「スパマー (Spammers)」が、生成するトラフィック (「スパム」電子メールメッセージ) の起源を隠すために、一時的にアドレス空間をハイジャックするためにこの種の攻撃を使用していることが観察されていることに注意してください。
2. サービス拒否攻撃 (Denial-of-Service Attacks)
サービス拒否攻撃 (Denial-of-Service Attacks) は、大量のルートをシステムに広告することにより、インターネットインフラストラクチャの多くの部分に対して開始できます。このような攻撃は、ルーティングテーブルと転送テーブルをオーバーフローさせることにより、ルーターの障害を引き起こすことを目的としています。この種の障害を引き起こした悪意のないインシデントの良い例は、悪名高い「AS 7007」イベント [7007] です。ここでは、オペレーターによるルーターの設定ミスにより、大量の無効なルートがグローバルルーティングシステムを介して伝播されました。
繰り返しますが、この種の攻撃はCIDRで本当に新しいものではありません。レガシークラスA/B/Cルートを使用すると、最大16,843,008の一意のネットワーク番号をグローバルルーティングシステムに広告することができました。この数は、2005年に製造された最も最新のルーティング機器でも問題を引き起こすのに十分です。異なる点は、CIDRの存在下でルーターを正しく構成する中程度の複雑さが、この種の偶発的な「攻撃」をより可能にする傾向があることです。
この種の攻撃を防ぐための措置は、ハイジャックについて上記で説明したものとほぼ同じですが、ベストプラクティスとして、境界ルーター (Border Router) が隣接ルーターから受け入れるプレフィックスの合理的な最大数を構成することも追加されます。
これは、CIDRが容易にする攻撃の種類の網羅的な分析を意図したものではないことに注意してください。グローバルルーティングシステムのセキュリティ脆弱性のより包括的な分析は、このドキュメントの範囲を超えています。