6. セキュリティに関する考慮事項 (Security Considerations)
フローラベルフィールドは IPv6 ヘッダーの保護されていない部分にあり、パス上の任意のノードが検出されることなく変更できます。本節では、フローラベルフィールドの使用に関するセキュリティへの影響を説明し、潜在的なセキュリティリスクを軽減する方法についてのガイダンスを提供します。
一般的なセキュリティ特性 (General Security Properties)
フローラベルには以下のセキュリティ特性があります。
- 完全性保護なし (No Integrity Protection): フローラベルは IPv6 ヘッダーのチェックサムや認証メカニズムによって保護されていません。
- 機密性なし (No Confidentiality): フローラベル値は平文で転送され、パス上の任意のノードが観察できます。
- 認証なし (No Authentication): フローラベルが主張された送信元によって設定されたことを検証するメカニズムはありません。
6.1. 隠れチャネルのリスク (Covert Channel Risk)
フローラベルフィールドは情報を転送するための隠れチャネルとして使用される可能性があります。
軽減措置 (Mitigation)
- ネットワーク管理者はセキュリティ境界でフローラベルフィールドをクリアすることを選択してもよいです (MAY)。
- セキュリティデバイスはフローラベルフィールドの隠れチャネルの可能性を認識すべきです (SHOULD)。
6.2. 盗用とサービス拒否 (Theft and Denial of Service)
攻撃者はフローラベルフィールドを悪用してサービス拒否を引き起こしたり、フローに割り当てられたリソースを「盗む」可能性があります。
軽減措置 (Mitigation)
- 予測不可能性 (Unpredictability): 送信元ノードは攻撃者が正当なフローのフローラベルを推測しにくくするために擬似乱数関数を使用すべきです (SHOULD)。
- レート制限 (Rate Limiting): フローラベルに基づいてリソースを割り当てるノードはリソース枯渇攻撃を防ぐためにレート制限を実装すべきです (SHOULD)。
- 認証 (Authentication): 強力なセキュリティ保証が必要なフローには、フローラベルに加えて上位層の認証メカニズム(IPsec、TLS など)を使用すべきです (SHOULD)。
6.3. IPsec とトンネリングの相互作用 (IPsec and Tunneling Interactions)
フローラベルフィールドは IPsec とトンネリングプロトコルと特定の相互作用があります。
推奨事項 (Recommendations):
- 外部ヘッダーのフローラベルはトンネル内のフロー識別特性を保持するために内部ヘッダーのフローラベルとその他のフィールドに基づいて設定すべきです (SHOULD)。
6.4. セキュリティフィルタリングの相互作用 (Security Filtering Interactions)
- ファイアウォールはセキュリティ決定のためにフローラベルのみに依存してはなりません (MUST NOT)。フローラベルは偽造される可能性があるためです。
- ファイアウォールはフロー識別のためにフローラベルを他のヘッダーフィールドと組み合わせて使用すべきです (SHOULD)。
総括 (Summary)
フローラベルフィールドはフロー識別と負荷分散に有用な機能を提供しますが、セキュリティ特性は限定的です。実装は以下を行うべきです。
- 推測攻撃を防ぐために予測不可能なフローラベル値を使用する
- セキュリティクリティカルな決定のためにフローラベルのみに依存しない
- 強力なセキュリティ保証が必要な場合は上位層のセキュリティメカニズム(IPsec、TLS)を使用する