[要約] RFC 4025は、IPsecキー情報をDNSに保存するための方法を提案しています。その目的は、IPsecセキュリティアソシエーションの鍵情報を効果的に管理し、セキュリティの向上を図ることです。
Network Working Group M. Richardson
Request for Comments: 4025 SSW
Category: Standards Track February 2005
A Method for Storing IPsec Keying Material in DNS
IPSECキーイング材料をDNSに保存する方法
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
Abstract
概要
This document describes a new resource record for the Domain Name System (DNS). This record may be used to store public keys for use in IP security (IPsec) systems. The record also includes provisions for indicating what system should be contacted when an IPsec tunnel is established with the entity in question.
このドキュメントでは、ドメイン名システム(DNS)の新しいリソースレコードについて説明します。このレコードは、IPセキュリティ(IPSEC)システムで使用するためにパブリックキーを保存するために使用できます。記録には、問題のエンティティとともにIPSECトンネルが確立されたときにどのシステムに接触するかを示すための規定も含まれています。
This record replaces the functionality of the sub-type #4 of the KEY Resource Record, which has been obsoleted by RFC 3445.
このレコードは、RFC 3445によって廃止された主要なリソースレコードのサブタイプ#4の機能を置き換えます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Overview . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2. Use of DNS Address-to-Name Maps (IN-ADDR.ARPA and
IP6.ARPA) . . . . . . . . . . . . . . . . . . . . . . . 3
1.3. Usage Criteria . . . . . . . . . . . . . . . . . . . . . 3
2. Storage Formats . . . . . . . . . . . . . . . . . . . . . . . 3
2.1. IPSECKEY RDATA Format . . . . . . . . . . . . . . . . . 3
2.2. RDATA Format - Precedence . . . . . . . . . . . . . . . 4
2.3. RDATA Format - Gateway Type . . . . . . . . . . . . . . 4
2.4. RDATA Format - Algorithm Type . . . . . . . . . . . . . 4
2.5. RDATA Format - Gateway . . . . . . . . . . . . . . . . . 5
2.6. RDATA Format - Public Keys . . . . . . . . . . . . . . . 5
3. Presentation Formats . . . . . . . . . . . . . . . . . . . . . 6
3.1. Representation of IPSECKEY RRs . . . . . . . . . . . . . 6
3.2. Examples . . . . . . . . . . . . . . . . . . . . . . . . 6
4. Security Considerations . . . . . . . . . . . . . . . . . . . 7
4.1. Active Attacks Against Unsecured IPSECKEY Resource
Records . . . . . . . . . . . . . . . . . . . . . . . . 8
4.1.1. Active Attacks Against IPSECKEY Keying
Materials. . . . . . . . . . . . . . . . . . . . 8
4.1.2. Active Attacks Against IPSECKEY Gateway
Material. . . . . . . . . . . . . . . . . . . . 8
5. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 9
6. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 10
7. References . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.1. Normative References . . . . . . . . . . . . . . . . . . 10
7.2. Informative References . . . . . . . . . . . . . . . . . 10
Author's Address . . . . . . . . . . . . . . . . . . . . . . . . . 11
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . . 12
Suppose a host wishes (or is required by policy) to establish an IPsec tunnel with some remote entity on the network prior to allowing normal communication to take place. In many cases, this end system will be able to determine the DNS name for the remote entity (either by having the DNS name given explicitly, by performing a DNS PTR query for a particular IP address, or through some other means, e.g., by extracting the DNS portion of a "user@FQDN" name for a remote entity). In these cases, the host will need to obtain a public key to authenticate the remote entity, and may also need some guidance about whether it should contact the entity directly or use another node as a gateway to the target entity. The IPSECKEY RR provides a mechanism for storing such information.
ホストが、通常の通信を許可する前に、ネットワーク上にリモートエンティティを持つIPSECトンネルを確立することを望んでいる(またはポリシーで要求されている)とします。多くの場合、このエンドシステムは、リモートエンティティのDNS名を決定できます(特定のIPアドレスのDNS PTRクエリを実行することにより、または他の手段を介して、たとえば、DNS名を明示的に指定することにより、リモートエンティティの「user@fqdn」名のDNS部分を抽出します)。これらの場合、ホストはリモートエンティティを認証するために公開キーを取得する必要があります。また、エンティティに直接連絡するか、ターゲットエンティティへのゲートウェイとして別のノードを使用するかについてのガイダンスが必要になる場合があります。Ipseckey RRは、そのような情報を保存するためのメカニズムを提供します。
The type number for the IPSECKEY RR is 45.
Ipseckey RRのタイプ番号は45です。
This record replaces the functionality of the sub-type #4 of the KEY Resource Record, which has been obsoleted by RFC 3445 [11].
このレコードは、RFC 3445 [11]によって廃止された主要なリソースレコードのサブタイプ#4の機能に取って代わります。
The IPSECKEY resource record (RR) is used to publish a public key that is to be associated with a Domain Name System (DNS) [1] name for use with the IPsec protocol suite. This can be the public key of a host, network, or application (in the case of per-port keying).
IPSECKEYリソースレコード(RR)は、IPSECプロトコルスイートで使用するドメイン名システム(DNS)[1]名前に関連付けられる公開キーを公開するために使用されます。これは、ホスト、ネットワーク、またはアプリケーションの公開鍵になる可能性があります(ポートごとのキーイングの場合)。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [3].
「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、RFC 2119 [3]に記載されているように解釈される。
Often a security gateway will only have access to the IP address of the node with which communication is desired and will not know any other name for the target node. Because of this, frequently the best way of looking up IPSECKEY RRs will be by using the IP address as an index into one of the reverse mapping trees (IN-ADDR.ARPA for IPv4 or IP6.ARPA for IPv6).
多くの場合、セキュリティゲートウェイは、通信が望まれるノードのIPアドレスにのみアクセスでき、ターゲットノードの他の名前はわかりません。このため、多くの場合、IPSECKEY RRSを検索する最良の方法は、IPアドレスを逆マッピングツリーの1つ(IPv4の場合はIPv4またはIP6.ARPAのIN-ADDR.ARPA)にインデックスとして使用することです。
The lookup is done in the fashion usual for PTR records. The IP address' octets (IPv4) or nibbles (IPv6) are reversed and looked up with the appropriate suffix. Any CNAMEs or DNAMEs found MUST be followed.
ルックアップは、PTRレコードに対して通常のファッションで行われます。IPアドレス 'オクテット(IPv4)またはニブル(IPv6)が逆になり、適切な接尾辞で検索されます。見つかったCNAMEまたはDNAMEには従わなければなりません。
Note: even when the IPsec function is contained in the end-host, often only the application will know the forward name used. Although the case where the application knows the forward name is common, the user could easily have typed in a literal IP address. This storage mechanism does not preclude using the forward name when it is available but does not require it.
注:IPSEC関数がエンドホストに含まれている場合でも、多くの場合、アプリケーションのみが使用されるフォワード名を知ることができます。アプリケーションがフォワード名を知っている場合は一般的ですが、ユーザーはリテラルIPアドレスに簡単に入力できた可能性があります。このストレージメカニズムは、使用可能な場合はフォワード名を使用することはできませんが、それを必要としません。
An IPSECKEY resource record SHOULD be used in combination with DNSSEC [8] unless some other means of authenticating the IPSECKEY resource record is available.
Ipseckeyリソースレコードは、Ipseckeyリソースレコードを認証する他の手段が利用可能でない限り、DNSSEC [8]と組み合わせて使用する必要があります。
It is expected that there will often be multiple IPSECKEY resource records at the same name. This will be due to the presence of multiple gateways and a need to roll over keys.
多くの場合、同じ名前に複数のIpseckeyリソースレコードがあることが予想されます。これは、複数のゲートウェイの存在とキーをロールオーバーする必要があるためです。
This resource record is class independent.
このリソースレコードはクラスに依存しません。
The RDATA for an IPSECKEY RR consists of a precedence value, a gateway type, a public key, algorithm type, and an optional gateway address.
Ipseckey RRのRDATAは、優先順位値、ゲートウェイタイプ、公開キー、アルゴリズムタイプ、およびオプションのゲートウェイアドレスで構成されています。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| precedence | gateway type | algorithm | gateway |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-------------+ +
~ gateway ~
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| /
/ public key /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
This is an 8-bit precedence for this record. It is interpreted in the same way as the PREFERENCE field described in section 3.3.9 of RFC 1035 [2].
これは、このレコードの8ビットの優先事項です。これは、RFC 1035のセクション3.3.9で説明されている設定フィールドと同じ方法で解釈されます[2]。
Gateways listed in IPSECKEY records with lower precedence are to be attempted first. Where there is a tie in precedence, the order should be non-deterministic.
優先順位が低いIpseckeyレコードにリストされているゲートウェイは、最初に試みられます。優先順位のネクタイがある場合、順序は非決定的である必要があります。
The gateway type field indicates the format of the information that is stored in the gateway field.
ゲートウェイタイプフィールドは、ゲートウェイフィールドに保存されている情報の形式を示します。
The following values are defined: 0 No gateway is present. 1 A 4-byte IPv4 address is present. 2 A 16-byte IPv6 address is present. 3 A wire-encoded domain name is present. The wire-encoded format is self-describing, so the length is implicit. The domain name MUST NOT be compressed. (See Section 3.3 of RFC 1035 [2].)
次の値が定義されています。0ゲートウェイは存在しません。1 4バイトのIPv4アドレスが存在します。2 16バイトのIPv6アドレスが存在します。3ワイヤーエンコードドメイン名が存在します。ワイヤエンコード形式は自己記述的であるため、長さは暗黙的です。ドメイン名を圧縮してはなりません。(RFC 1035のセクション3.3 [2]を参照してください。)
The algorithm type field identifies the public key's cryptographic algorithm and determines the format of the public key field.
アルゴリズムタイプフィールドは、公開キーの暗号化アルゴリズムを識別し、公開キーフィールドの形式を決定します。
A value of 0 indicates that no key is present.
0の値は、キーが存在しないことを示します。
The following values are defined: 1 A DSA key is present, in the format defined in RFC 2536 [9]. 2 A RSA key is present, in the format defined in RFC 3110 [10].
次の値が定義されています。1DSAキーが存在し、RFC 2536 [9]で定義されている形式。2 RFC 3110 [10]で定義されている形式で、RSAキーが存在します。
The gateway field indicates a gateway to which an IPsec tunnel may be created in order to reach the entity named by this resource record.
ゲートウェイフィールドは、このリソースレコードによって名前が付けられたエンティティに到達するために、IPSECトンネルが作成される可能性のあるゲートウェイを示します。
There are three formats:
3つの形式があります。
A 32-bit IPv4 address is present in the gateway field. The data portion is an IPv4 address as described in section 3.4.1 of RFC 1035 [2]. This is a 32-bit number in network byte order.
32ビットIPv4アドレスがゲートウェイフィールドに存在します。データ部分は、RFC 1035のセクション3.4.1で説明されているIPv4アドレスです[2]。これは、ネットワークバイトの順序で32ビットの数字です。
A 128-bit IPv6 address is present in the gateway field. The data portion is an IPv6 address as described in section 2.2 of RFC 3596 [12]. This is a 128-bit number in network byte order.
128ビットIPv6アドレスがゲートウェイフィールドに存在します。データ部分は、RFC 3596のセクション2.2で説明されているIPv6アドレスです[12]。これは、ネットワークバイトの順序で128ビットの数字です。
The gateway field is a normal wire-encoded domain name, as described in section 3.3 of RFC 1035 [2]. Compression MUST NOT be used.
Gatewayフィールドは、RFC 1035のセクション3.3で説明されているように、通常のワイヤエンコードドメイン名です[2]。圧縮は使用してはなりません。
Both the public key types defined in this document (RSA and DSA) inherit their public key formats from the corresponding KEY RR formats. Specifically, the public key field contains the algorithm-specific portion of the KEY RR RDATA, which is all the KEY RR DATA after the first four octets. This is the same portion of the KEY RR that must be specified by documents that define a DNSSEC algorithm. Those documents also specify a message digest to be used for generation of SIG RRs; that specification is not relevant for IPSECKEY RRs.
このドキュメント(RSAおよびDSA)で定義されている公開キータイプは両方とも、対応するキーRR形式から公開キー形式を継承します。具体的には、公開キーフィールドには、最初の4オクテットの後のすべてのキーRRデータであるキーRR RDATAのアルゴリズム固有の部分が含まれています。これは、DNSSECアルゴリズムを定義するドキュメントで指定する必要があるキーRRの同じ部分です。これらのドキュメントは、SIG RRの生成に使用されるメッセージダイジェストも指定します。その仕様は、iPseckey RRSには関係ありません。
Future algorithms, if they are to be used by both DNSSEC (in the KEY RR) and IPSECKEY, are likely to use the same public key encodings in both records. Unless otherwise specified, the IPSECKEY public key field will contain the algorithm-specific portion of the KEY RR RDATA for the corresponding algorithm. The algorithm must still be designated for use by IPSECKEY, and an IPSECKEY algorithm type number (which might be different from the DNSSEC algorithm number) must be assigned to it.
将来のアルゴリズムは、DNSSEC(キーRR)とIPSECKEYの両方で使用される場合、両方のレコードで同じ公開キーエンコーディングを使用する可能性があります。特に指定されていない限り、IPSECKEY公開キーフィールドには、対応するアルゴリズムのキーRR RDATAのアルゴリズム固有の部分が含まれます。アルゴリズムは、Ipseckeyが使用するためにまだ指定する必要があり、Ipseckeyアルゴリズムタイプ番号(DNSSECアルゴリズム番号とは異なる場合があります)を割り当てる必要があります。
The DSA key format is defined in RFC 2536 [9]
DSAキー形式はRFC 2536 [9]で定義されています
The RSA key format is defined in RFC 3110 [10], with the following changes:
RSAキー形式はRFC 3110 [10]で定義されており、次の変更があります。
The earlier definition of RSA/MD5 in RFC 2065 [4] limited the exponent and modulus to 2552 bits in length. RFC 3110 extended that limit to 4096 bits for RSA/SHA1 keys. The IPSECKEY RR imposes no length limit on RSA public keys, other than the 65535 octet limit imposed by the two-octet length encoding. This length extension is applicable only to IPSECKEY; it is not applicable to KEY RRs.
RFC 2065 [4]におけるRSA/MD5の以前の定義は、指数と弾性率を長さ2552ビットに制限しました。RFC 3110は、RSA/SHA1キーの4096ビットにその制限を延長しました。Ipseckey RRは、2オクテットの長さエンコードによって課される65535オクテット制限を除き、RSAパブリックキーに長さの制限を課しません。この長さの拡張は、Ipseckeyにのみ適用されます。キーRRSには適用できません。
IPSECKEY RRs may appear in a zone data master file. The precedence, gateway type, algorithm, and gateway fields are REQUIRED. The base64 encoded public key block is OPTIONAL; if it is not present, the public key field of the resource record MUST be construed to be zero octets in length.
Ipseckey RRSは、ゾーンデータマスターファイルに表示される場合があります。優先順位、ゲートウェイタイプ、アルゴリズム、およびゲートウェイフィールドが必要です。base64エンコードされた公開キーブロックはオプションです。存在しない場合、リソースレコードの公開鍵フィールドは、長さがゼロオクテットであると解釈される必要があります。
The algorithm field is an unsigned integer. No mnemonics are defined.
アルゴリズムフィールドは、署名されていない整数です。ニーモニックは定義されていません。
If no gateway is to be indicated, then the gateway type field MUST be zero, and the gateway field MUST be "."
ゲートウェイが表示されない場合、ゲートウェイタイプフィールドはゼロでなければならず、ゲートウェイフィールドは「」でなければなりません。
The Public Key field is represented as a Base64 encoding of the Public Key. Whitespace is allowed within the Base64 text. For a definition of Base64 encoding, see RFC 3548 [6], Section 5.2.
公開キーフィールドは、公開キーのBase64エンコードとして表されます。WhitespaceはBase64テキスト内で許可されています。Base64エンコーディングの定義については、RFC 3548 [6]、セクション5.2を参照してください。
The general presentation for the record is as follows:
レコードの一般的なプレゼンテーションは次のとおりです。
IN IPSECKEY ( precedence gateway-type algorithm gateway base64-encoded-public-key )
Ipseckey(Precence Gateway-Type Algorithm Gateway Base64-Encoded-Public-Key)
An example of a node, 192.0.2.38, that will accept IPsec tunnels on its own behalf.
ノードの例、192.0.2.38は、それ自体に代わってIPSecトンネルを受け入れます。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 1 2 192.0.2.38 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.2.0.192.in-addr.arpa。7200 IN IPSECKEY(10 1 2 192.0.2.38 AQNRU3MG7TVTO2BKR47USNTB102UFJTUGBO6BSGVGQT4AQ ==)
An example of a node, 192.0.2.38, that has published its key only.
そのキーのみを公開しているノードの例192.0.2.38。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 0 2 . AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.2.0.192.in-addr.arpa。7200 IN IPSECKEY(10 02。AQNRU3MG7TVTO2BKR47USNTB102UFJTUGBO6BSGVGQT4AQ==)
An example of a node, 192.0.2.38, that has delegated authority to the node 192.0.2.3.
ノード192.0.2.3に権限を委任したノード192.0.2.38の例。
38.2.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 1 2 192.0.2.3 AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.2.0.192.in-addr.arpa。7200 IN IPSECKEY(10 1 2 192.0.2.3 AQNRU3MG7TVTO2BKR47USNTB102UFJTUGBO6BSGVGQT4AQ ==)
An example of a node, 192.0.1.38 that has delegated authority to the node with the identity "mygateway.example.com".
ノードの例、192.0.1.38は、「mygateway.example.com」というアイデンティティでノードに権限を委任しました。
38.1.0.192.in-addr.arpa. 7200 IN IPSECKEY ( 10 3 2 mygateway.example.com. AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
38.1.0.192.in-addr.arpa。7200 IN IPSECKEY(10 3 2mygateway.example.com。AQNRU3MG7TVTO2BKR47USNTB102UFJTUGBO6BSGVGQT4AQ==)
An example of a node, 2001:0DB8:0200:1:210:f3ff:fe03:4d0, that has
delegated authority to the node 2001:0DB8:c000:0200:2::1
$ORIGIN 1.0.0.0.0.0.2.8.B.D.0.1.0.0.2.ip6.arpa.
0.d.4.0.3.0.e.f.f.f.3.f.0.1.2.0 7200 IN IPSECKEY ( 10 2 2
2001:0DB8:0:8002::2000:1
AQNRU3mG7TVTO2BkR47usntb102uFJtugbo6BSGvgqt4AQ== )
This entire memo pertains to the provision of public keying material for use by key management protocols such as ISAKMP/IKE (RFC 2407) [7].
このメモ全体は、ISAKMP/IKE(RFC 2407)[7]などの主要な管理プロトコルによって使用するための公共キーイング資料の提供に関するものです。
The IPSECKEY resource record contains information that SHOULD be communicated to the end client in an integral fashion; i.e., free from modification. The form of this channel is up to the consumer of the data; there must be a trust relationship between the end consumer of this resource record and the server. This relationship may be end-to-end DNSSEC validation, a TSIG or SIG(0) channel to another secure source, a secure local channel on the host, or some combination of the above.
Ipseckeyリソースレコードには、統合的にエンドクライアントに伝えるべき情報が含まれています。つまり、変更がない。このチャネルの形式は、データの消費者次第です。このリソースレコードの最終消費者とサーバーの間には信頼関係がなければなりません。この関係は、エンドツーエンドのDNSSEC検証、TSIGまたはSIG(0)チャネルへの別の安全なソース、ホストの安全なローカルチャネル、または上記の組み合わせです。
The keying material provided by the IPSECKEY resource record is not sensitive to passive attacks. The keying material may be freely disclosed to any party without any impact on the security properties of the resulting IPsec session. IPsec and IKE provide defense against both active and passive attacks.
Ipseckeyリソースレコードが提供するキーイング資料は、受動的な攻撃に敏感ではありません。キーイング資料は、結果のIPSECセッションのセキュリティプロパティに影響を与えることなく、あらゆる当事者に自由に開示される場合があります。IPSECとIKEは、アクティブな攻撃とパッシブ攻撃の両方に対して防御を提供します。
Any derivative specification that makes use of this resource record MUST carefully document its trust model and why the trust model of DNSSEC is appropriate, if that is the secure channel used.
このリソースレコードを使用するデリバティブ仕様は、その信頼モデルと、それが使用されている安全なチャネルである場合、DNSSECの信頼モデルが適切である理由を慎重に文書化する必要があります。
An active attack on the DNS that caused the wrong IP address to be retrieved (via forged address), and therefore the wrong QNAME to be queried, would also result in a man-in-the-middle attack. This situation is independent of whether the IPSECKEY RR is used.
間違ったIPアドレスを取得したため(偽造アドレスを介して)、したがって間違ったQNAMEを照会するDNSに対する積極的な攻撃も、中間の攻撃をもたらします。この状況は、Ipseckey RRが使用されるかどうかとは無関係です。
This section deals with active attacks against the DNS. These attacks require that DNS requests and responses be intercepted and changed. DNSSEC is designed to defend against attacks of this kind. This section deals with the situation in which DNSSEC is not available. This is not the recommended deployment scenario.
このセクションでは、DNSに対する積極的な攻撃を扱います。これらの攻撃では、DNSの要求と応答を傍受して変更する必要があります。DNSSECは、この種の攻撃から防御するように設計されています。このセクションでは、DNSSECが利用できない状況を扱います。これは、推奨される展開シナリオではありません。
The first kind of active attack is when the attacker replaces the keying material with either a key under its control or with garbage.
最初の種類の積極的な攻撃は、攻撃者がキーイング素材を、その制御下またはゴミのいずれかに置き換えるときです。
The gateway field is either untouched or is null. The IKE negotiation will therefore occur with the original end-system. For this attack to succeed, the attacker must perform a man-in-the-middle attack on the IKE negotiation. This attack requires that the attacker be able to intercept and modify packets on the forwarding path for the IKE and data packets.
ゲートウェイフィールドは、触れられていないか、nullです。したがって、IKEの交渉は、元の最終システムで発生します。この攻撃を成功させるためには、攻撃者はIKE交渉に対して中間の攻撃を行わなければなりません。この攻撃では、攻撃者がIKEおよびデータパケットの転送パスでパケットを傍受して変更できることが必要です。
If the attacker is not able to perform this man-in-the-middle attack on the IKE negotiation, then a denial of service will result, as the IKE negotiation will fail.
攻撃者がIKEの交渉に対してこの中間の攻撃を実行できない場合、IKEの交渉が失敗するにつれて、サービスの拒否が生じます。
If the attacker is not only able to mount active attacks against DNS but also in a position to perform a man-in-the-middle attack on IKE and IPsec negotiations, then the attacker will be able to compromise the resulting IPsec channel. Note that an attacker must be able to perform active DNS attacks on both sides of the IKE negotiation for this to succeed.
攻撃者がDNSに対してアクティブな攻撃を実施できるだけでなく、IKEおよびIPSECの交渉に対する中間の攻撃を実行する立場にある場合、攻撃者は結果のIPSECチャネルを妥協することができます。攻撃者は、これを成功させるためにIKE交渉の両側でアクティブなDNS攻撃を実行できる必要があることに注意してください。
The second kind of active attack is one in which the attacker replaces the gateway address to point to a node under the attacker's control. The attacker then either replaces the public key or removes it. If the public key were removed, then the attacker could provide an accurate public key of its own in a second record.
2番目の種類のアクティブな攻撃は、攻撃者がゲートウェイアドレスを置き換えて、攻撃者のコントロールの下にあるノードを指すものです。攻撃者は、公開キーを交換するか、削除します。公開キーが削除された場合、攻撃者は2番目のレコードで独自の正確な公開キーを提供できます。
This second form creates a simple man-in-the-middle attacks since the attacker can then create a second tunnel to the real destination. Note that, as before, this requires that the attacker also mount an active attack against the responder.
この2番目のフォームは、攻撃者が実際の目的地まで2番目のトンネルを作成できるため、単純な中間の攻撃を作成します。前と同様に、これには攻撃者がレスポンダーに対して積極的な攻撃を行う必要があることに注意してください。
Note that the man-in-the-middle cannot just forward cleartext packets to the original destination. While the destination may be willing to speak in the clear, replying to the original sender, the sender will already have created a policy expecting ciphertext. Thus, the attacker will need to intercept traffic in both directions. In some cases, the attacker may be able to accomplish the full intercept by use of Network Address/Port Translation (NAT/NAPT) technology.
中間者は、クリアテキストパケットを元の宛先に転送するだけではないことに注意してください。目的地は、元の送信者に返信して明確に話すことをいとわないかもしれませんが、送信者はすでに暗号文を期待するポリシーを作成しています。したがって、攻撃者は両方向にトラフィックを傍受する必要があります。場合によっては、攻撃者は、ネットワークアドレス/ポート翻訳(NAT/NAPT)テクノロジーを使用することにより、完全なインターセプトを達成できる場合があります。
This attack is easier than the first one because the attacker does NOT need to be on the end-to-end forwarding path. The attacker need only be able to modify DNS replies. This can be done by packet modification, by various kinds of race attacks, or through methods that pollute DNS caches.
この攻撃は、攻撃者がエンドツーエンドの転送パスにいる必要がないため、最初の攻撃よりも簡単です。攻撃者は、DNS応答を変更できる必要があります。これは、パケットの変更、さまざまな種類のレース攻撃、またはDNSキャッシュを汚染する方法によって行うことができます。
If the end-to-end integrity of the IPSECKEY RR is suspect, the end client MUST restrict its use of the IPSECKEY RR to cases where the RR owner name matches the content of the gateway field. As the RR owner name is assumed when the gateway field is null, a null gateway field is considered a match.
Ipseckey RRのエンドツーエンドの整合性が疑わしい場合、最終クライアントは、RR所有者名がゲートウェイフィールドのコンテンツと一致する場合にIPSeckey RRの使用を制限する必要があります。Gatewayフィールドがnullの場合、RRの所有者名が想定されるため、Null Gatewayフィールドは一致と見なされます。
Thus, any records obtained under unverified conditions (e.g., no DNSSEC or trusted path to source) that have a non-null gateway field MUST be ignored.
したがって、非検証された条件(例:DNSSECやソースへの信頼できるパスなし)で得られた記録は無視する必要があります。
This restriction eliminates attacks against the gateway field, which are considered much easier, as the attack does not need to be on the forwarding path.
この制限は、攻撃が転送パス上にある必要がないため、ゲートウェイフィールドに対する攻撃を排除します。これははるかに簡単であると考えられています。
In the case of an IPSECKEY RR with a value of three in its gateway type field, the gateway field contains a domain name. The subsequent query required to translate that name into an IP address or IPSECKEY RR will also be subject to man-in-the-middle attacks. If the end-to-end integrity of this second query is suspect, then the provisions above also apply. The IPSECKEY RR MUST be ignored whenever the resulting gateway does not match the QNAME of the original IPSECKEY RR query.
ゲートウェイタイプフィールドに3つの値があるIPSeckey RRの場合、ゲートウェイフィールドにはドメイン名が含まれています。その名前をIPアドレスまたはIPSECKEY RRに変換するために必要なその後のクエリも、中間攻撃の対象となります。この2番目のクエリのエンドツーエンドの完全性が疑わしい場合、上記の規定も適用されます。結果のゲートウェイが元のIpseckey RRクエリのQNameと一致しない場合は、ipseckey RRを無視する必要があります。
This document updates the IANA Registry for DNS Resource Record Types by assigning type 45 to the IPSECKEY record.
このドキュメントは、タイプ45をIpseckeyレコードに割り当てることにより、DNSリソースレコードタイプのIANAレジストリを更新します。
This document creates two new IANA registries, both specific to the IPSECKEY Resource Record:
このドキュメントでは、IPSECKEYリソースレコードに固有の2つの新しいIANAレジストリを作成します。
This document creates an IANA registry for the algorithm type field.
このドキュメントは、アルゴリズムタイプフィールドのIANAレジストリを作成します。
Values 0, 1, and 2 are defined in Section 2.4. Algorithm numbers 3 through 255 can be assigned by IETF Consensus (see RFC 2434 [5]).
値0、1、および2は、セクション2.4で定義されています。アルゴリズム番号3〜255は、IETFコンセンサスによって割り当てることができます(RFC 2434 [5]を参照)。
This document creates an IANA registry for the gateway type field.
このドキュメントは、ゲートウェイタイプフィールドのIANAレジストリを作成します。
Values 0, 1, 2, and 3 are defined in Section 2.3. Gateway type numbers 4 through 255 can be assigned by Standards Action (see RFC 2434 [5]).
値0、1、2、および3は、セクション2.3で定義されています。ゲートウェイタイプ番号4〜255は、標準アクションで割り当てることができます(RFC 2434 [5]を参照)。
My thanks to Paul Hoffman, Sam Weiler, Jean-Jacques Puig, Rob Austein, and Olafur Gudmundsson, who reviewed this document carefully. Additional thanks to Olafur Gurmundsson for a reference implementation.
ポール・ホフマン、サム・ワイラー、ジャン・ジャック・プイグ、ロブ・オーストイン、オラフル・グドムンソンに感謝します。参照実装をしてくれたOlafur Gurmundssonに追加。
[1] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[1] Mockapetris、P。、「ドメイン名 - 概念と施設」、STD 13、RFC 1034、1987年11月。
[2] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[2] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[3] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[3] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[4] Eastlake 3rd, D. and C. Kaufman, "Domain Name System Security Extensions", RFC 2065, January 1997.
[4] Eastlake 3rd、D。およびC. Kaufman、「ドメイン名システムセキュリティ拡張機能」、RFC 2065、1997年1月。
[5] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[5] Narten、T。およびH. Alvestrand、「RFCSでIANA考慮事項セクションを書くためのガイドライン」、BCP 26、RFC 2434、1998年10月。
[6] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 3548, July 2003.
[6] Josefsson、S。、「Base16、Base32、およびBase64データエンコーディング」、RFC 3548、2003年7月。
[7] Piper, D., "The Internet IP Security Domain of Interpretation for ISAKMP", RFC 2407, November 1998.
[7] Piper、D。、「ISAKMPの解釈のインターネットIPセキュリティドメイン」、RFC 2407、1998年11月。
[8] Eastlake 3rd, D., "Domain Name System Security Extensions", RFC 2535, March 1999.
[8] EastLake 3rd、D。、「ドメイン名システムセキュリティ拡張機能」、RFC 2535、1999年3月。
[9] Eastlake 3rd, D., "DSA KEYs and SIGs in the Domain Name System (DNS)", RFC 2536, March 1999.
[9] Eastlake 3rd、D。、「ドメイン名システム(DNS)のDSAキーとSIG」、RFC 2536、1999年3月。
[10] Eastlake 3rd, D., "RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS)", RFC 3110, May 2001.
[10] Eastlake 3rd、D。、「RSA/SHA-1 SIGSおよびRSAキー内のドメイン名システム(DNS)」、RFC 3110、2001年5月。
[11] Massey, D. and S. Rose, "Limiting the Scope of the KEY Resource Record (RR)", RFC 3445, December 2002.
[11] Massey、D。およびS. Rose、「主要なリソースレコード(RR)の範囲の制限」、RFC 3445、2002年12月。
[12] Thomson, S., Huitema, C., Ksinant, V., and M. Souissi, "DNS Extensions to Support IP Version 6", RFC 3596, October 2003.
[12] Thomson、S.、Huitema、C.、Ksinant、V。、およびM. Souissi、「IPバージョン6をサポートするDNS拡張」、RFC 3596、2003年10月。
Author's Address
著者の連絡先
Michael C. Richardson Sandelman Software Works 470 Dawson Avenue Ottawa, ON K1Z 5V7 CA
マイケル・C・リチャードソン・サンデルマン・ソフトウェアは470ドーソン・アベニュー・オタワ、k1z5v7ca
EMail: mcr@sandelman.ottawa.on.ca
URI: http://www.sandelman.ottawa.on.ca/
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the IETF's procedures with respect to rights in IETF Documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。IETFドキュメントの権利に関するIETFの手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。