メインコンテンツまでスキップ

11. Security Considerations (セキュリティに関する考慮事項)

11. Security Considerations (セキュリティに関する考慮事項)

NAT に関連するセキュリティ問題は長らく文書化されている。[RFC2663] および [RFC2993] を参照のこと。

しかし, NAT 機能を CPE からサービスプロバイダネットワークのコアへ移し, 顧客間で IPv4 アドレスを共有することは, 悪用のためのデータログ記録において追加の要件を生じさせる。IPv4 アドレスがエンドホストを一意に表さないアーキテクチャでは, IPv4 アドレスとタイムスタンプだけでは特定のブロードバンド顧客を識別するには不十分である。AFTR は, ユーザセッションを一意に識別するために, tunnel-id (トンネル識別子), プロトコル, ポート / IP アドレス, および NAT バインディングの作成時刻をログに記録する能力を備えるべきである。何をログに残すかの正確な詳細は実装固有であり, 本文書の対象外である。

AFTR は, RFC 1918 アドレスまたは IANA 予約アドレス範囲 (192.0.0.0/29) を用いる内部 IPv4 ホストに対して変換機能を実行する。一部の状況では, ISP は AFTR にポリシーをプロビジョニングし, <IPv4 Address, port number, protocol> に基づいて AFTR に変換機能のバイパスを指示しうる。AFTR が内部ホストからポリシーに合致する情報を含むパケットを受信した場合, AFTR は変換なしで単にパケットを転送してよい。アドレス, ポート, およびプロトコル情報は, パケットを受信する前に AFTR 上にプロビジョニングされなければならない。プロビジョニングの仕組みは本仕様の対象外である。

パケットをデカプセル化する際, AFTR は RFC 1918 アドレス, IANA 予約アドレス範囲, またはその他の帯域外で事前承認されたアドレスから送出されたパケットのみを転送しなければならない。AFTR は他のすべてのパケットを廃棄しなければならない。これにより, 不正デバイスが IPv4 送信元ヘッダフィールドに不正なパブリック IPv4 アドレスを用いたり, IPv4 トランスポートヘッダフィールドに不正なトランスポートポート範囲を用いたりして, サービス拒否攻撃を開始することを防ぐ。例えば, 不正デバイスは TCP SYN ACK 攻撃 [RFC4987] を開始してパブリック Web サーバを攻撃しうる。被害者はランダムな IPv4 送信元アドレスからの TCP SYN を高速率で受信し, 正当なユーザへの TCP サービスを拒否する。

複数のユーザにより IPv4 アドレスが共有されると, ポートが重要なリソースとなる。そのため, AFTR により, 新規接続のレート制限を行うか, 単一ユーザが使用可能なポートの最大数に硬い上限を設けるなど, ポート使用を制限する仕組みを講じる必要がある。この数が十分高ければ, 通常の使用を妨げず, 共有プールの合理的な保護を依然として提供できる。IPv4 アドレスの共有に関するさらなる考慮事項は [RFC6269] にある。ログ記録に関するその他の考慮事項と推奨事項は [RFC6302] にある。

AFTR は, 登録済み顧客にのみサービスを制限する方法を支援すべきである。単純な選択肢の一つは, AFTR のトンネルインタフェース上に IPv6 イングレスフィルタを実装し, フィルタで定義された IPv6 アドレス範囲のみを受け入れることである。

最終更新