メインコンテンツまでスキップ

11. セキュリティに関する考慮事項

トンネルが特定のホストにスコープされているかどうかに関係なく、任意のクライアントが任意のホストへの送信を許可するトンネルを確立できるようにすることには、重大なリスクがあります。悪意のあるアクターがこの機能を悪用してトラフィックを送信し、それを IP プロキシに帰属させる可能性があります。IP プロキシをサポートする HTTP サーバーは、その使用を認証されたユーザーに制限すべきです (SHOULD)。展開に応じて、可能な認証メカニズムには、IP プロキシエンドポイント間の相互 TLS、HTTP Authorization ヘッダー [HTTP] を介した HTTP ベースの認証、またはベアラートークンが含まれます。プロキシは、認証されたユーザーに対してポリシーを適用して、クライアントの動作をさらに制限したり、悪用の可能性に対処したりできます。たとえば、プロキシは、プロキシを介して過剰な量のトラフィックを送信する個々のクライアントをレート制限できます。別の例として、プロキシは、地理的な場所などの特定のクライアント属性に基づいて、クライアントへのアドレス(プレフィックス)の割り当てを制限できます。

アドレス割り当ては、エンドポイントにプライバシーの影響を与える可能性があります。たとえば、プロキシが認証されたクライアントの数によってアドレス空間を分割し、各クライアントに異なるアドレス範囲を割り当てる場合、ターゲットホストはこの情報を使用して、IP パケットがいつ同じクライアントに対応するかを判断できます。このような追跡ベクトルの回避は、特定のプロキシ展開にとって重要な場合があります。プロキシは、可能な限り、永続的なクライアントごとのアドレス(プレフィックス)割り当てを避けるべきです (SHOULD)。

送信トラフィックでの IP 送信元アドレスの偽装は、サービス拒否攻撃で一般的です。このメカニズムの実装は、そのような攻撃を助長しないようにする必要があります。特に、エンドポイントが、ピアが特定のプレフィックスからのみ IP パケットを送信することを許可されていることを知っているシナリオがあります。たとえば、これは帯域外構成情報を介して、または許可されたプレフィックスが ADDRESS_ASSIGN カプセルを介して共有される場合に発生する可能性があります。このようなシナリオでは、エンドポイントは送信元アドレスのなりすましを防ぐために [BCP38] の推奨事項に従わなければなりません (MUST)。

リクエストスコープを制限する(セクション 4.6 を参照)と、リクエストが異なるインターネットプロトコル番号にスコープされている場合、2 つのクライアントがプロキシの外部 IP アドレスの 1 つを共有できます。プロキシがその外部 IP アドレス宛ての ICMP パケットを受信した場合、それをクライアントに転送するオプションがあります。ただし、これらの ICMP パケットの一部は、ICMP 応答をトリガーした元の IP パケットの一部を運びます。そのようなパケットを転送すると、あるクライアントのトラフィックに関する情報が誤って別のクライアントに漏洩する可能性があります。これを回避するために、共有外部 IP アドレスで ICMP を転送するプロキシは、ICMP パケットに含まれる呼び出しパケットを検査し、スコープが呼び出しパケットと一致するクライアントにのみ ICMP パケットを転送しなければなりません (MUST)。

実装者は、[TUNNEL-SECURITY] のガイダンスを読むことで恩恵を受けるでしょう。一部の IPv6 拡張ヘッダー(例:[ROUTING-HDR])には既知のリスクがあるため、実装者は IPv6 拡張ヘッダーの処理に関する最新のガイダンスに従う必要があります。

内部パケットから外部パケットへの DSCP マーキングの転送(セクション 10.3 を参照)は、IP プロキシエンドポイント間のパス上のオブザーバーにエンドツーエンドのフローレベル情報を公開します。これにより、単一のエンドツーエンドフローが公開される可能性があります。このため、プライバシーに敏感なコンテキストでの DSCP のこのような使用は推奨されません (NOT RECOMMENDED)。

IP パケットの日和見的な送信(セクション 7.1 を参照)は、HTTP/1.x では許可されていません。これは、サーバーが HTTP アップグレードを拒否し、IP パケットを後続の HTTP リクエストとして解析しようとして、リクエストスマグリング攻撃を許可する可能性があるためです。[OPTIMISTIC] を参照してください。特に、リクエストを HTTP/2 または 3 から HTTP/1.1 に再エンコードする仲介者は、成功した IP プロキシ応答を解析するまで、受信したカプセルを転送してはなりません (MUST NOT)。

最終更新