メインコンテンツまでスキップ

4. セキュリティに関する考察 (Security Considerations)

本文書で"config true"で定義されたYANGモジュールは、書き込み可能/作成可能/削除可能です(つまり、構成情報への書き込みアクセスを提供します)。

機密性の高い書き込み可能データノード

これらのデータノードは、一部のネットワーク環境では機密または脆弱と見なされる可能性があり、特別な考慮が必要です:

  • 書き込みアクセスは信頼できるエンティティにのみ付与すべきです
  • 適切なアクセス制御メカニズムを実装する必要があります

NETCONFアクセス制御

"ネットワーク構成アクセス制御モデル" (NACM) [RFC8341] の実装を推奨します:

  • 特定のNETCONFまたはRESTCONFユーザーによる特定の事前構成された操作へのアクセスを制限します
  • きめ細かいアクセス制御ポリシーを提供します

OSPF固有のセキュリティに関する考察

セグメントルーティング構成の整合性

Prefix-SID保護:

  • 権限のないPrefix-SIDの変更は、トラフィックの誤った方向付けにつながる可能性があります
  • ブラックホールルーティングまたはトラフィックハイジャックを引き起こす可能性があります

Adjacency-SID保護:

  • Adjacency-SIDの変更は、トラフィックエンジニアリングパスに影響を与える可能性があります
  • 高速リルート保護を破壊する可能性があります

SRGB/SRLB競合

不適切に構成されたSRGBは、以下につながる可能性があります:

  • ラベル空間の競合
  • 他のノードとの相互運用性の問題
  • セグメントルーティング機能の障害

LSAフラッディング攻撃

悪意のある構成は、以下を引き起こす可能性があります:

  • 大量のLSA更新
  • ネットワーク帯域幅の消費
  • ルーターCPUリソースの枯渇

推奨されるセキュリティ対策

  1. 強力な認証:

    • OSPF認証メカニズムを使用してプロトコルメッセージを保護します
    • OSPFv2: MD5または暗号化認証
    • OSPFv3: IPsec

  2. 管理インターフェース保護:

    • NETCONF/RESTCONFセッションにTLS/SSH暗号化を使用します
    • 強力なパスワードポリシーを実装します
    • 多要素認証

  3. アクセス制御リスト (ACL):

    • 管理インターフェースアクセス送信元アドレスを制限します
    • ロールベースアクセス制御 (RBAC) を実装します

  4. 構成検証:

    • コミット前の検証メカニズムを実装します
    • SID競合を検出します
    • SRGB範囲の妥当性を検証します

  5. 監査とモニタリング:

    • すべての構成変更を記録します
    • 異常なLSAアクティビティを監視します
    • ベースラインを確立し、逸脱を検出します

5. IANAに関する考察 (IANA Considerations)

YANGモジュール名の登録

IANAは、"YANG Module Names" レジストリ [RFC6020] に以下のURIを登録しました:

URI: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
登録者連絡先: OSPFワーキンググループ ([email protected])
XML: N/A; 要求されたURIはXML名前空間です

YANGモジュールの登録

本文書は、"YANG Module Names" レジストリ [RFC6020] に以下のYANGモジュールを登録します:

名前: ietf-ospf-sr-mpls
名前空間: urn:ietf:params:xml:ns:yang:ietf-ospf-sr-mpls
プレフィックス: ospf-sr-mpls
参照: RFC 9903

6. 参考文献 (References)

6.1. 規範的参考文献 (Normative References)

  • [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997.

  • [RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, DOI 10.17487/RFC2328, April 1998.

  • [RFC5340] Coltun, R., Ferguson, D., Moy, J., and A. Lindem, Ed., "OSPF for IPv6", RFC 5340, DOI 10.17487/RFC5340, July 2008.

  • [RFC6020] Bjorklund, M., Ed., "YANG - A Data Modeling Language for the Network Configuration Protocol (NETCONF)", RFC 6020, DOI 10.17487/RFC6020, October 2010.

  • [RFC6991] Schoenwaelder, J., Ed., "Common YANG Data Types", RFC 6991, DOI 10.17487/RFC6991, July 2013.

  • [RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language", RFC 7950, DOI 10.17487/RFC7950, August 2016.

  • [RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017.

  • [RFC8341] Bierman, A. and M. Bjorklund, "Network Configuration Access Control Model", STD 91, RFC 8341, DOI 10.17487/RFC8341, March 2018.

  • [RFC8349] Lhotka, L., Lindem, A., and Y. Qu, "A YANG Data Model for Routing Management (NMDA Version)", RFC 8349, DOI 10.17487/RFC8349, March 2018.

  • [RFC8665] Psenak, P., Ed., Previdi, S., Ed., Filsfils, C., Gredler, H., Shakir, R., Henderickx, W., and J. Tantsura, "OSPF Extensions for Segment Routing", RFC 8665, DOI 10.17487/RFC8665, December 2019.

  • [RFC8666] Psenak, P., Ed. and S. Previdi, Ed., "OSPFv3 Extensions for Segment Routing", RFC 8666, DOI 10.17487/RFC8666, December 2019.

  • [RFC9129] Yeung, D., Qu, Y., Zhang, J., Chen, I., and A. Lindem, "YANG Data Model for the OSPF Protocol", RFC 9129, DOI 10.17487/RFC9129, October 2022.

6.2. 情報的参考文献 (Informative References)

  • [RFC8340] Bjorklund, M. and L. Berger, Ed., "YANG Tree Diagrams", BCP 215, RFC 8340, DOI 10.17487/RFC8340, March 2018.

  • [RFC8660] Bashandy, A., Ed., Filsfils, C., Ed., Previdi, S., Decraene, B., Litkowski, S., and R. Shakir, "Segment Routing with the MPLS Data Plane", RFC 8660, DOI 10.17487/RFC8660, December 2019.

最終更新