メインコンテンツまでスキップ

4. Operations (運用)

4.1. Ingress Filtering (入力フィルタリング)

すべてのIPv6ノードがRH0のサポートを削除するように更新されるまでには、ある程度の時間がかかることが予想されます。[CanSecWest07]で説明されているRH0の使用のいくつかは、[RFC2827]および[RFC3704]で推奨されているように、入力フィルタリングを使用して緩和できます。

RH0を使用した攻撃から保護することを目的としたサイトセキュリティポリシーには、サイト境界での入力フィルタリングの実装を含めるべきです (SHOULD)。

4.2. Firewall Policy (ファイアウォールポリシー)

ルーティングヘッダーを含むすべてのIPv6パケットをブロックすること (Type 0を特別にブロックして他のタイプを許可するのではなく) は、IPv6の将来の開発に非常に深刻な影響を与えます。展開されたファイアウォールのわずかな割合でも、デフォルトで他のタイプのルーティングヘッダーをブロックする場合、実際にはIPv6ルーティングヘッダーを拡張することが不可能になります。たとえば、Mobile IPv6 [RFC3775]はType 2ルーティングヘッダーに依存しています; 広範囲にわたる無差別なルーティングヘッダーのブロックは、Mobile IPv6を展開不可能にします。

RH0を含むパケットから保護することを目的としたファイアウォールポリシーは、ルーティングヘッダーを含むすべてのトラフィックを単純にフィルタリングしてはなりません (MUST NOT); 他のタイプのルーティングヘッダーをブロックせずにType 0トラフィックの転送を無効にすることができなければなりません。さらに、デフォルト設定では、0以外のルーティングヘッダーを使用するトラフィックの転送を許可しなければなりません (MUST)。

最終更新