メインコンテンツまでスキップ

4. セキュリティに関する考慮事項 (Security Considerations)

このセクションは、[YANG-GUIDE] のセクション3.7で説明されているテンプレートに基づいてモデル化されています。

"ietf-isis-sr-mpls" YANGモジュールは、NETCONF [RFC6241] やRESTCONF [RFC8040] などのYANGベースの管理プロトコルを介してアクセスされるように設計されたデータモデルを定義します。これらのYANGベースの管理プロトコルは、(1) セキュアなトランスポート層 (例: SSH [RFC4252]、TLS [RFC8446]、QUIC [RFC9000]) を使用しなければならず (MUST)、(2) 相互認証を使用しなければなりません (MUST)。

ネットワーク設定アクセス制御モデル (Network Configuration Access Control Model, NACM) [RFC8341] は、特定のNETCONFまたはRESTCONFユーザーに対して、利用可能なすべてのNETCONFまたはRESTCONFプロトコル操作とコンテンツの事前設定されたサブセットへのアクセスを制限する手段を提供します。

書き込み可能なデータノード

このYANGモジュールで定義されている書き込み可能/作成可能/削除可能なデータノード (つまり、デフォルトである "config true") は多数あります。すべての書き込み可能なデータノードは、一部のネットワーク環境において機密または脆弱である可能性があります (可能性がある)。これらのデータノードへの書き込み操作 (例: edit-config) および削除操作が適切な保護または認証なしで行われると、ネットワーク運用に悪影響を及ぼす可能性があります (可能性がある)。以下のサブツリーとデータノードは、特に機密性/脆弱性を持っています:

  • /isis:isis/segment-routing
  • /isis:isis/protocol-srgb
  • /isis:isis/isis:interfaces/isis:interface/segment-routing
  • /isis:isis/isis:interfaces/isis:interface/isis:fast-reroute/ti-lfa

IS-IS SRサポートを無効化または有効化する能力、および/またはSR設定を変更する能力は、サービス拒否 (Denial-of-Service, DoS) 攻撃を引き起こす可能性があります (可能性がある)。これは、トラフィックがドロップされたり誤ってルーティングされたりする原因となる可能性があるためです。SR拡張に関する詳細情報については、[RFC8667] のセクション5を参照してください。

読み取り可能なデータノード

このYANGモジュールの読み取り可能なデータノードの一部は、一部のネットワーク環境において機密または脆弱であると見なされる可能性があります (可能性がある)。したがって、これらのデータノードへの読み取りアクセス (例: get、get-config、または通知を介して) を制御することが重要です。具体的には、以下のサブツリーとデータノードは、特に機密性/脆弱性を持っています:

  • /isis:router-capabilities/sr-capability
  • /isis:router-capabilities/sr-algorithms
  • /isis:router-capabilities/local-blocks
  • /isis:router-capabilities/srms-preference
  • およびIS-IS LSDBへの拡張

これらのサブツリーのデータノードへの不正アクセスは、デバイス上のIS-ISプロトコルの動作状態情報を開示する可能性があります (可能性がある)。

特に機密性の高いRPCまたはアクション操作はありません。

5. IANAに関する考慮事項 (IANA Considerations)

IANAは、"IETF XML Registry" [RFC3688] に1つの新しいURIを割り当てています:

URI:  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Registrant Contact:  The IESG.
XML:  N/A; 要求されたURIはXML名前空間です

本文書はまた、"YANG Module Names" レジストリ [RFC6020] に1つの新しいYANGモジュール名を登録します:

Name:  ietf-isis-sr-mpls
Maintained by IANA?  N
Namespace:  urn:ietf:params:xml:ns:yang:ietf-isis-sr-mpls
Prefix:  isis-sr-mpls
Reference:  RFC 9902

6. 参考文献 (References)

6.1. 規範的参考文献 (Normative References)

  • [RFC3688] Mealling, M., "The IETF XML Registry", BCP 81, RFC 3688, DOI 10.17487/RFC3688, January 2004, https://www.rfc-editor.org/info/rfc3688.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010, https://www.rfc-editor.org/info/rfc6020.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013, https://www.rfc-editor.org/info/rfc6991.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016, https://www.rfc-editor.org/info/rfc7950.

  • [RFC8102] Sarkar, P., Ed., Hegde, S., Bowers, C., Gredler, H., and S. Litkowski, "Remote-LFA Node Protection and Manageability", RFC 8102, DOI 10.17487/RFC8102, March 2017, https://www.rfc-editor.org/info/rfc8102.

  • [RFC8294] Liu, X., Qu, Y., Lindem, A., Hopps, C., and L. Berger, "Common YANG Data Types for the Routing Area", RFC 8294, DOI 10.17487/RFC8294, December 2017, https://www.rfc-editor.org/info/rfc8294.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018, https://www.rfc-editor.org/info/rfc8341.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018, https://www.rfc-editor.org/info/rfc8349.

  • [RFC8402] Filsfils, C., Ed., Previdi, S., Ed., Ginsberg, L., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing Architecture", RFC 8402, DOI 10.17487/RFC8402, July 2018, https://www.rfc-editor.org/info/rfc8402.

  • [RFC8667] Previdi, S., Ed., Ginsberg, L., Ed., Filsfils, C., Bashandy, A., Gredler, H., and B. Decraene, "IS-IS Extensions for Segment Routing", RFC 8667, DOI 10.17487/RFC8667, December 2019, https://www.rfc-editor.org/info/rfc8667.

  • [RFC9020] Litkowski, S., Qu, Y., Lindem, A., Sarkar, P., and J. Tantsura, "YANG Data Model for Segment Routing", RFC 9020, DOI 10.17487/RFC9020, May 2021, https://www.rfc-editor.org/info/rfc9020.

  • [RFC9130] Litkowski, S., Ed., Yeung, D., Lindem, A., Zhang, J., and L. Lhotka, "YANG Data Model for the IS-IS Protocol", RFC 9130, DOI 10.17487/RFC9130, October 2022, https://www.rfc-editor.org/info/rfc9130.

  • [RFC9855] Bashandy, A., Litkowski, S., Filsfils, C., Francois, P., Decraene, B., and D. Voyer, "Topology Independent Fast Reroute Using Segment Routing", RFC 9855, DOI 10.17487/RFC9855, October 2025, https://www.rfc-editor.org/info/rfc9855.

6.2. 参考情報 (Informative References)

  • [RFC4252] Ylonen, T. and C. Lonvick, Ed., "The Secure Shell (SSH) Authentication Protocol", RFC 4252, DOI 10.17487/RFC4252, January 2006, https://www.rfc-editor.org/info/rfc4252.

  • [RFC6241] Enns, R., Ed., Bjorklund, M., Ed., Schoenwaelder, J., Ed., and A. Bierman, Ed., "Network Configuration Protocol (NETCONF)", RFC 6241, DOI 10.17487/RFC6241, June 2011, https://www.rfc-editor.org/info/rfc6241.

  • [RFC8040] Bierman, A., Bjorklund, M., and K. Watsen, "RESTCONF Protocol", RFC 8040, DOI 10.17487/RFC8040, January 2017, https://www.rfc-editor.org/info/rfc8040.

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018, https://www.rfc-editor.org/info/rfc8340.

  • [RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018, https://www.rfc-editor.org/info/rfc8446.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019, https://www.rfc-editor.org/info/rfc8660.

  • [RFC8661] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., and S. Litkowski, "Segment Routing MPLS Interworking with LDP", RFC 8661, DOI 10.17487/RFC8661, December 2019, https://www.rfc-editor.org/info/rfc8661.

  • [RFC9000] Iyengar, J., Ed. and M. Thomson, Ed., "QUIC: A UDP-Based Multiplexed and Secure Transport", RFC 9000, DOI 10.17487/RFC9000, May 2021, https://www.rfc-editor.org/info/rfc9000.

  • [YANG-GUIDE] Bierman, A., "Guidelines for Authors and Reviewers of Documents Containing YANG Data Models", Work in Progress, Internet-Draft, draft-ietf-netmod-rfc8407bis-05, 22 August 2024, https://datatracker.ietf.org/doc/html/draft-ietf-netmod-rfc8407bis-05.

最終更新