メインコンテンツまでスキップ

12. Security Considerations (セキュリティに関する考慮事項)

12. Security Considerations (セキュリティに関する考慮事項)

Flow Specifications が関連するプレフィックスの対応するユニキャストルーティングパスに一致するように制限されている限り (セクション 6), この提案のセキュリティ特性は BGP ユニキャストルーティングの既存のセキュリティプロパティと同等です。セクション 6 で説明されている検証手順の緩和により, 望ましくない Flow Specifications の伝播が可能になり, フローに望ましくないトラフィックフィルタリングアクションが適用される可能性があります。

上記のメカニズムが整っていない場合, これは望ましくないトラフィックフィルタリング, 再マーキング, またはリダイレクトなど, さらなるサービス拒否攻撃への扉を開く可能性があります。

ネットワークの管理境界内での検証の特定の緩和の配備は, サービス拒否攻撃を防ぐためにフィルタを迅速に配布するために一部のネットワークに役立ちます。ネットワークがそのような緩和から利益を得るためには, ソース AS フィールドが空であるため, BGP ポリシーは追加のフィルタリングをサポートする必要があります。検証制限を緩和する仕様には, 必要な追加フィルタリングの詳細を提供するセキュリティに関する考慮事項を含める必要があります。たとえば, ソース検証の使用により, AS コンフェデレーション内で強化されたフィルタリングを提供できます。

ドメイン間ルーティングは信頼ネットワークに基づいています。隣接する自律システムは, 有効な到達可能性情報をアドバタイズすることが信頼されています。この信頼モデルが違反された場合, 隣接する自律システムは, サービスを提供しない特定のプレフィックスの到達可能性情報をアドバタイズすることにより, サービス拒否攻撃を引き起こす可能性があります (フィルタリングされていないアドレス空間ハイジャック)。Flow Specifications の検証は最良のユニキャストルートのアドバタイズに関連付けられているため, 最良パスルーティングの検証の失敗により, ローカルルータが Flow Specification を使用できなくなる可能性があります。可能な緩和策は [RFC6811] および [RFC8205] です。

インターネットエクスチェンジポイント (IXP) では, ルートは AS_PATH を拡張しないルートサーバーを介して交換されることがよくあります。この場合, AS_PATH の最も左側の AS が隣接 AS (ルートサーバーの AS) であることを強制できません。Flow Specifications の検証 (セクション 6) はこれに依存しているため, 特別な注意が必要です。このようなシナリオでは, 厳格なインバウンドルーティングポリシーを使用することをお勧めします。

集中管理なしでルータでファイアウォールのような機能を有効にすると, 一部の障害を診断するのがより困難になる可能性があります。たとえば, アドレスのペア間で TCP パケットを通過させることは可能ですが, ICMP パケットは通過させません。また, アドレスのペア間で 900 未満または 1000 オクテットを超えるパケットを通過させることは可能ですが, 900-1000 の範囲の長さのパケットは通過させません。この動作は混乱を招く可能性があり, 手動で構成されているか, このドキュメントで説明されているプロトコル拡張を介して調整されているかにかかわらず, これらの機能は慎重に使用する必要があります。

Flow Specification BGP スピーカー (たとえば, 自動化された DDoS コントローラー) は, プログラミングが不適切な場合, アルゴリズムが意図したとおりに実行されない場合, または単に悪意のあるシステムである場合, 予期しない Flow Specifications をアドバタイズしたり, 高速で更新を送信したり, 大量の Flow Specifications を生成したりする可能性があります。これにより, 受信システムにストレスがかかり, その容量を超えたり, フローに望ましくないトラフィックフィルタリングアクションを適用したりする可能性があります。

システムは, パケットを識別するために必要なすべてのヘッダー値を見つけることができない場合があります。これは, 最初のフラグメントではないフラグメント化されたパケットの場合に特に問題があり, したがって上位層プロトコルヘッダーが欠けている, または Encapsulating Security Payload (ESP) NULL [RFC4303] 暗号化の場合です。

Flow Specification NLRI の一般的な検証はこのドキュメントで指定されていますが (セクション 6), サードパーティから受信した Traffic Filtering Actions にはカスタム検証またはフィルタリングが必要な場合があります。特に, すべての非トラフィックレートアクションにより, サードパーティがパケット転送属性を変更し, 他のルーティングテーブル/VPN または望ましくないキューへのアクセスを取得する可能性があります。これは, ネットワーク境界で Traffic Filtering Action Communities を適切にフィルタリング/スクリーニングし, 事前定義された Traffic Filtering Actions のサブセットのみ (セクション 7 を参照) をサードパーティに公開することで回避できます。これを達成する 1 つの方法は, サードパーティによって設定できるユーザー定義コミュニティを Traffic Filtering Actions にマッピングし, サードパーティからの Traffic Filtering Action Extended Communities を受け入れないことです。

この拡張はインターネットルータに追加情報を追加します。これらは, ホストできるデータ要素の最大数と, 特定の時間単位で処理できるイベントの数の点で制限されています。サービスプロバイダは, 機器の最大容量を考慮する必要があり, 受け入れおよび処理される Flow Specifications の数を制限する必要がある場合があります。

最終更新