7. Security Considerations
RFC 9960 は RFC 9524 の Replication segments に関する security considerations を継承する。SR domain は RFC 8402, RFC 8754, RFC 8986 に従って外部攻撃者から保護されなければならない。
SR-MPLS domain で interface ごとの MPLS support が正しく provisioning されていない場合, 外部攻撃者は domain 内の SR P2MP Policies を使う multipoint service receivers へ packets を送れる可能性がある。SRv6 domain では external interfaces の inbound Infrastructure Access Control Lists (IACLs), RFC 2827 / BCP 38, SID を provision する nodes 上の IACLs が重要である。
Controller が Replication segments を誤って provisioning すると loop が形成され得る。その場合 replicated packets は SR-MPLS の MPLS TTL または SRv6 の IPv6 Hop Limit が zero になるまで packet storm を起こす可能性がある。
PCEP や BGP などの control-plane protocols は encryption, authentication, filtering など自身の security mechanisms を利用すべきである。SRv6 では ICMPv6 Parameter Problem Code 2 に関する例外があり, unknown mandatory extension-header option を悪用されると source node に denial-of-service attack が起こり得る。