メインコンテンツまでスキップ

11. セキュリティに関する考慮事項

このメカニズムを DNS-over-TLS で使用する場合、これらのメッセージは他の DNS-over-TLS メッセージと同じ制約を受け、TLS セッションが確立される前に平文で送信してはなりません(MUST NOT)。

「暗号化パディング」TLV のデータフィールドは、隠れチャネルとして使用される可能性があります。

新しい DSO TLV を設計する際は、TLV 内のデータが追跡識別子として使用される可能性を考慮し、不要な場合は回避すべきです。

TLS または同様の暗号化保護なしで使用する場合、悪意のあるエンティティが悪意のある一方向 DSO 再試行遅延メッセージをデータストリームに注入し、不当に大きな RETRY DELAY を指定して、クライアントに対するサービス拒否攻撃を引き起こす可能性があります。

DSO セッションの確立は、DNS サーバー上の開いている TCP 接続の数に影響を与えます。その結果、サーバー上で追加のリソースが使用される可能性があります。ただし、サーバーは確立された DSO セッションの数を制限でき、必要に応じて既存の DSO セッションを閉じることもできるため、サービス拒否やリソースの枯渇は懸念事項ではないはずです。

11.1. TLS ゼロラウンドトリップの考慮事項

DSO は、セッション確立におけるラウンドトリップを削減または排除するために、TLS 1.3 [RFC8446] 早期データを使用した TCP Fast Open を使用したゼロラウンドトリップ操作を許可します。TCP Fast Open は、TLS 1.3 早期データとの組み合わせでのみ許可されます。このセクションの残りの部分では、TCP Fast Open オプションを使用して早期データを含む TCP SYN パケットに含まれているかどうかに関係なく、TLS ゼロラウンドトリップ初期ハンドシェイクメッセージ内の TLS 1.3 早期データを「早期データ」と呼びます。

DSO メッセージは、早期データとして送信することが許可される場合と許可されない場合があります。プライマリ TLV として使用できる各 TLV の定義では、その TLV が早期データとして許可されるかどうかを述べる必要があります。応答が必要なメッセージのみが早期データとして許可され、暗黙的な DSO セッション(セクション 5.1 参照)がない限り、クライアントのみが DSO メッセージを早期データとして送信できます。

早期データとして許可される DSO メッセージの場合、クライアントは、DSO セッションの確立が成功したことを確認するために最初の DSO 要求メッセージに対する DSO 応答を待つことなく、1つ以上のそのようなメッセージを早期データとして含めることができます(MAY)。

ただし、暗黙的な DSO セッションがない限り、クライアントは DSO セッションが相互に確立されるまで、DSO 一方向メッセージを送信してはなりません(MUST NOT)。

同様に、暗黙的な DSO セッションがない限り、サーバーはクライアントから応答が必要な DSO 要求メッセージを受信し、その要求に対して成功した NOERROR 応答を送信するまで、DSO 要求メッセージを送信してはなりません(MUST NOT)。

早期データとして送信される DSO メッセージが冪等であるか、またはゼロラウンドトリップ操作で発生する可能性のある不注意な再生から生じる可能性のある問題に対して免疫があることを確認するために注意が必要です。

サーバーに何らかの重要な作業を行うことを要求する TLV を追加し、それを TCP SYN パケット内の初期データとしてサーバーに送信することは可能です。そのようなパケットのフラッドは、サーバーに対する DoS 攻撃として使用される可能性があります。ここで定義されている TLV にはこの特性はありません。

この特性を持つ新しい TLV が指定された場合、その TLV はゼロラウンドトリップメッセージでは許可されないものとして指定する必要があります。これにより、パケットの送信元アドレスが到達可能であることを確認するためにサーバーからクライアントへのラウンドトリップが発生するまで、作業が行われるのを防ぎます。

新しい TLV を定義するドキュメントは、各新しい TLV が早期データとして送信される可能性があるかどうかを述べる必要があります。そのようなドキュメントは、早期データとして送信される可能性があるドキュメントで定義されている各 TLV のセキュリティに関する考慮事項セクションに脅威分析を含める必要があります。この脅威分析は、TLS 1.3 仕様 [RFC8446] のセクション 2.3、8、および付録 E.5 で示されているアドバイスに基づいて行う必要があります。

最終更新