[要約] RFC 4272は、BGP(Border Gateway Protocol)のセキュリティ脆弱性に関する分析を提供しています。このRFCの目的は、BGPのセキュリティ上の問題を特定し、それに対する対策を提案することです。
Network Working Group S. Murphy
Request for Comments: 4272 Sparta, Inc.
Category: Informational January 2006
BGP Security Vulnerabilities Analysis
BGPセキュリティの脆弱性分析
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
Border Gateway Protocol 4 (BGP-4), along with a host of other infrastructure protocols designed before the Internet environment became perilous, was originally designed with little consideration for protection of the information it carries. There are no mechanisms internal to BGP that protect against attacks that modify, delete, forge, or replay data, any of which has the potential to disrupt overall network routing behavior.
Border Gateway Protocol 4(BGP-4)は、インターネット環境が危険になる前に設計された他の多くのインフラストラクチャプロトコルとともに、もともと、それが伝える情報の保護をほとんど考慮せずに設計されました。データを変更、削除、フォージ、またはリプレイする攻撃から保護するBGPの内部メカニズムはありません。
This document discusses some of the security issues with BGP routing data dissemination. This document does not discuss security issues with forwarding of packets.
このドキュメントでは、BGPルーティングデータの普及に関するセキュリティ問題のいくつかについて説明します。このドキュメントでは、パケットの転送に関するセキュリティの問題については説明していません。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Specification of Requirements ..............................5
2. Attacks .........................................................6
3. Vulnerabilities and Risks .......................................7
3.1. Vulnerabilities in BGP Messages ............................8
3.1.1. Message Header ......................................9
3.1.2. OPEN ................................................9
3.1.3. KEEPALIVE ..........................................11
3.1.4. NOTIFICATION .......................................11
3.1.5. UPDATE .............................................11
3.1.5.1. Unfeasible Routes Length, Total
Path Attribute Length .....................12
3.1.5.2. Withdrawn Routes ..........................13
3.1.5.3. Path Attributes ...........................13
3.1.5.4. NLRI ......................................16
3.2. Vulnerabilities through Other Protocols ...................16
3.2.1. TCP Messages .......................................16
3.2.1.1. TCP SYN ...................................16
3.2.1.2. TCP SYN ACK ...............................17
3.2.1.3. TCP ACK ...................................17
3.2.1.4. TCP RST/FIN/FIN-ACK .......................17
3.2.1.5. DoS and DDos ..............................18
3.2.2. Other Supporting Protocols .........................18
3.2.2.1. Manual Stop ...............................18
3.2.2.2. Open Collision Dump .......................18
3.2.2.3. Timer Events ..............................18
4. Security Considerations ........................................19
4.1. Residual Risk .............................................19
4.2. Operational Protections ...................................19
5. References .....................................................21
5.1. Normative References ......................................21
5.2. Informative References ....................................21
The inter-domain routing protocol BGP was created when the Internet environment had not yet reached the present, contentious state. Consequently, the BGP design did not include protections against deliberate or accidental errors that could cause disruptions of routing behavior.
インターネット環境がまだ現在の論争のある状態に到達していないときに、ドメイン間ルーティングプロトコルBGPが作成されました。その結果、BGPの設計には、ルーティング動作の混乱を引き起こす可能性のある意図的または偶発的なエラーに対する保護は含まれていませんでした。
This document discusses the vulnerabilities of BGP, based on the BGP specification [RFC4271]. Readers are expected to be familiar with the BGP RFC and the behavior of BGP.
このドキュメントでは、BGP仕様[RFC4271]に基づいて、BGPの脆弱性について説明します。読者は、BGP RFCとBGPの挙動に精通していることが期待されています。
It is clear that the Internet is vulnerable to attack through its routing protocols and BGP is no exception. Faulty, misconfigured, or deliberately malicious sources can disrupt overall Internet behavior by injecting bogus routing information into the BGP-distributed routing database (by modifying, forging, or replaying BGP packets). The same methods can also be used to disrupt local and overall network behavior by breaking the distributed communication of information between BGP peers. The sources of bogus information can be either outsiders or true BGP peers.
インターネットがルーティングプロトコルを介して攻撃に対して脆弱であることは明らかであり、BGPも例外ではありません。誤った、誤解された、または意図的に悪意のあるソースは、BGP-Sistributedルーティングデータベースに偽のルーティング情報を注入することにより(BGPパケットを変更、鍛造、または再生することにより)、全体的なインターネット動作を混乱させる可能性があります。同じ方法を使用して、BGPピア間の情報の通信を破ることにより、ローカルおよび全体的なネットワークの動作を混乱させることもできます。偽の情報のソースは、部外者または真のBGPピアのいずれかです。
Cryptographic authentication of peer-peer communication is not an integral part of BGP. As a TCP/IP protocol, BGP is subject to all TCP/IP attacks, e.g., IP spoofing, session stealing, etc. Any outsider can inject believable BGP messages into the communication between BGP peers, and thereby inject bogus routing information or break the peer-peer connection. Any break in the peer-peer communication has a ripple effect on routing that can be widespread. Furthermore, outsider sources can also disrupt communications between BGP peers by breaking their TCP connection with spoofed packets. Outsider sources of bogus BGP information can reside anywhere in the world.
ピアピア通信の暗号化認証は、BGPの不可欠な部分ではありません。TCP/IPプロトコルとして、BGPはすべてのTCP/IP攻撃、例えばIPスプーフィング、セッション盗みなどの対象となります。ピアピア通信の休憩は、広範囲に及ぶルーティングに波及効果をもたらします。さらに、アウトサイダーソースは、スプーフィングされたパケットとのTCP接続を破ることにより、BGPピア間の通信を混乱させることもできます。偽のBGP情報の部外者の情報源は、世界のどこにでも住むことができます。
Consequently, the current BGP specification requires that a BGP implementation must support the authentication mechanism specified in [TCPMD5]. However, the requirement for support of that authentication mechanism cannot ensure that the mechanism is configured for use. The mechanism of [TCPMD5] is based on a pre-installed, shared secret; it does not have the capability of IPsec [IPsec] to agree on a shared secret dynamically. Consequently, the use of [TCPMD5] must be a deliberate decision, not an automatic feature or a default.
したがって、現在のBGP仕様では、BGP実装が[TCPMD5]で指定された認証メカニズムをサポートする必要があります。ただし、その認証メカニズムのサポートの要件は、メカニズムが使用のために構成されていることを保証することはできません。[TCPMD5]のメカニズムは、事前にインストールされ、共有された秘密に基づいています。IPSEC [IPSEC]が共有された秘密に動的に同意する能力はありません。その結果、[TCPMD5]の使用は、自動機能やデフォルトではなく、意図的な決定でなければなりません。
The current BGP specification also allows for implementations that would accept connections from "unconfigured peers" ([RFC4271] Section 8). However, the specification is not clear as to what an unconfigured peer might be, or how the protections of [TCPMD5] would apply in such a case. Therefore, it is not possible to include an analysis of the security issues of this feature. When a specification that describes this feature more fully is released, a security analysis should be part of that specification.
現在のBGP仕様では、「構成されていないピア」([RFC4271]セクション8)からの接続を受け入れる実装も可能になります。ただし、このような場合には、固定されていないピアが何であるか、または[TCPMD5]の保護がどのように適用されるかについて、仕様は明確ではありません。したがって、この機能のセキュリティ問題の分析を含めることはできません。この機能をより完全に説明する仕様がリリースされる場合、セキュリティ分析はその仕様の一部である必要があります。
BGP speakers themselves can inject bogus routing information, either by masquerading as any other legitimate BGP speaker, or by distributing unauthorized routing information as themselves. Historically, misconfigured and faulty routers have been responsible for widespread disruptions in the Internet. The legitimate BGP peers have the context and information to produce believable, yet bogus, routing information, and therefore have the opportunity to cause great damage. The cryptographic protections of [TCPMD5] and operational protections cannot exclude the bogus information arising from a legitimate peer. The risk of disruptions caused by legitimate BGP speakers is real and cannot be ignored.
BGPスピーカー自体は、他の正当なBGPスピーカーを装って、または不正なルーティング情報を自分自身として配布することにより、偽のルーティング情報を注入できます。歴史的に、誤って構成された誤ったルーターが、インターネットでの広範な混乱の原因でした。合法的なBGPピアには、信頼できる、しかし偽物のルーティング情報を生み出すためのコンテキストと情報があり、したがって大きなダメージを与える機会があります。[TCPMD5]および運用上の保護の暗号化保護は、正当な仲間から生じる偽の情報を排除することはできません。正当なBGPスピーカーによって引き起こされる混乱のリスクは現実であり、無視することはできません。
Bogus routing information can have many different effects on routing behavior. If the bogus information removes routing information for a particular network, that network can become unreachable for the portion of the Internet that accepts the bogus information. If the bogus information changes the route to a network, then packets destined for that network may be forwarded by a sub-optimal path, or by a path that does not follow the expected policy, or by a path that will not forward the traffic. Consequently, traffic to that network could be delayed by a path that is longer than necessary. The network could become unreachable from areas where the bogus information is accepted. Traffic might also be forwarded along a path that permits some adversary to view or modify the data. If the bogus information makes it appear that an autonomous system originates a network when it does not, then packets for that network may not be deliverable for the portion of the Internet that accepts the bogus information. A false announcement that an autonomous systems originates a network may also fragment aggregated address blocks in other parts of the Internet and cause routing problems for other networks.
偽のルーティング情報は、ルーティング動作に多くの異なる影響を与える可能性があります。偽の情報が特定のネットワークのルーティング情報を削除する場合、そのネットワークは、偽の情報を受け入れるインターネットの部分に対して到達不可能になる可能性があります。偽の情報がネットワークへのルートを変更した場合、そのネットワークに向けられたパケットは、最適下のパス、または予想されるポリシーに従わないパス、またはトラフィックを転送しないパスによって転送される場合があります。その結果、そのネットワークへのトラフィックは、必要以上に長いパスによって遅れる可能性があります。ネットワークは、偽の情報が受け入れられる領域から到達不能になる可能性があります。また、トラフィックは、一部の敵がデータを表示または変更できるパスに沿って転送される場合があります。偽の情報が自律システムがそうでないときにネットワークを発信するように見える場合、そのネットワークのパケットは、偽の情報を受け入れるインターネットの部分に対して配信できない場合があります。自律システムがネットワークを発信するという虚偽の発表は、インターネットの他の部分の集約されたアドレスブロックをフラグメントし、他のネットワークにルーティングの問題を引き起こす可能性もあります。
The damages that might result from these attacks include:
これらの攻撃から生じる可能性のある損害は次のとおりです。
starvation: Data traffic destined for a node is forwarded to a part of the network that cannot deliver it.
飢v:ノードに向けられたデータトラフィックは、それを提供できないネットワークの一部に転送されます。
network congestion: More data traffic is forwarded through some portion of the network than would otherwise need to carry the traffic.
ネットワークの混雑:ネットワークの一部の部分を介して、トラフィックを運ぶ必要があるよりも多くのデータトラフィックが転送されます。
blackhole: Large amounts of traffic are directed to be forwarded through one router that cannot handle the increased level of traffic and drops many/most/all packets.
ブラックホール:大量のトラフィックは、トラフィックのレベルの増加を処理できず、多くの/ほとんど/すべてのパケットをドロップできない1つのルーターを介して転送されるように指示されています。
delay: Data traffic destined for a node is forwarded along a path that is in some way inferior to the path it would otherwise take.
遅延:ノードに向けられたデータトラフィックは、他の方法ではそれがとるパスよりも劣っているパスに沿って転送されます。
looping: Data traffic is forwarded along a path that loops, so that the data is never delivered.
ループ:データトラフィックは、ループするパスに沿って転送されるため、データが配信されないようにします。
eavesdrop: Data traffic is forwarded through some router or network that would otherwise not see the traffic, affording an opportunity to see the data.
Eavesdrop:データトラフィックは、トラフィックが表示されないルーターまたはネットワークを介して転送され、データを確認する機会が与えられます。
partition: Some portion of the network believes that it is partitioned from the rest of the network, when, in fact, it is not.
パーティション:ネットワークの一部は、実際にはそうではない場合、ネットワークの残りの部分から分割されていると考えています。
cut: Some portion of the network believes that it has no route to some network to which it is, in fact, connected.
カット:ネットワークの一部は、実際に接続されているネットワークへのルートがないと考えています。
churn: The forwarding in the network changes at a rapid pace, resulting in large variations in the data delivery patterns (and adversely affecting congestion control techniques).
チャーン:ネットワークの転送は急速なペースで変化し、データ配信パターンに大きなばらつきがあります(混雑制御技術に悪影響を及ぼします)。
instability: BGP becomes unstable in such a way that convergence on a global forwarding state is not achieved.
不安定性:BGPは、グローバルな転送状態での収束が達成されないように不安定になります。
overload: The BGP messages themselves become a significant portion of the traffic the network carries.
過負荷:BGPメッセージ自体は、ネットワークが携帯するトラフィックのかなりの部分になります。
resource exhaustion: The BGP messages themselves cause exhaustion of critical router resources, such as table space.
リソースの消耗:BGPメッセージ自体は、テーブルスペースなどの重要なルーターリソースの疲労を引き起こします。
address-spoofing: Data traffic is forwarded through some router or network that is spoofing the legitimate address, thus enabling an active attack by affording the opportunity to modify the data.
アドレススプーフィング:データトラフィックは、正当なアドレスをスプーフィングしているルーターまたはネットワークを介して転送され、データを変更する機会を提供することで積極的な攻撃を可能にします。
These consequences can fall exclusively on one end-system prefix or may effect the operation of the network as a whole.
これらの結果は、1つの最終システムの接頭辞に専念するか、ネットワーク全体の動作に影響を与える可能性があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC2119 [RFC2119].
「必須」、「必要」、「必須」、「「しなければ」、「そうしない」、「はそうしない」、「はす」、「そうでない」、「推奨」、「5月」、および「オプション」は、RFC2119 [RFC2119]に記載されていると解釈されます。
BGP, in and of itself, is subject to the following attacks. (The list is taken from the IAB RFC that provides guidelines for the "Security Considerations" section of RFCs [SecCons].)
BGP自体は、以下の攻撃の対象となります。(このリストは、RFCS [Seccons]の「セキュリティ上の考慮事項」セクションのガイドラインを提供するIAB RFCから取得されます。)
confidentiality violations: The routing data carried in BGP is carried in cleartext, so eavesdropping is a possible attack against routing data confidentiality. (Routing data confidentiality is not a common requirement.)
機密性違反:BGPで運ばれるルーティングデータはClearTextで運ばれるため、盗聴はデータの機密性をルーティングする可能性のある攻撃です。(データのルーティングの機密性は一般的な要件ではありません。)
replay: BGP does not provide for replay protection of its messages.
リプレイ:BGPは、メッセージのリプレイ保護を提供していません。
message insertion: BGP does not provide protection against insertion of messages. However, because BGP uses TCP, when the connection is fully established, message insertion by an outsider would require accurate sequence number prediction (not entirely out of the question, but more difficult with mature TCP implementations) or session-stealing attacks.
メッセージ挿入:BGPは、メッセージの挿入に対する保護を提供しません。ただし、BGPはTCPを使用するため、接続が完全に確立されている場合、部外者によるメッセージ挿入には、正確なシーケンス番号予測が必要です(完全に質問からではなく、成熟したTCP実装ではより困難)またはセッションスチール攻撃が必要です。
message deletion: BGP does not provide protection against deletion of messages. Again, this attack is more difficult against a mature TCP implementation, but is not entirely out of the question.
メッセージの削除:BGPは、メッセージの削除に対する保護を提供しません。繰り返しますが、この攻撃は成熟したTCP実装に対してより困難ですが、完全に問題から外れているわけではありません。
message modification: BGP does not provide protection against modification of messages. A modification that was syntactically correct and did not change the length of the TCP payload would in general not be detectable.
メッセージの変更:BGPは、メッセージの変更に対する保護を提供しません。構文的に正しく、TCPペイロードの長さを変更しなかった変更は、一般に検出できません。
man-in-the-middle: BGP does not provide protection against man-in-the-middle attacks. As BGP does not perform peer entity authentication, a man-in-the-middle attack is child's play.
中間者:BGPは、中間の攻撃に対する保護を提供しません。BGPはピアエンティティ認証を実行しないため、中間の攻撃は子供の遊びです。
denial of service: While bogus routing data can present a denial of service attack on the end systems that are trying to transmit data through the network and on the network infrastructure itself, certain bogus information can represent a denial of service on the BGP routing protocol. For example, advertising large numbers of more specific routes (i.e., longer prefixes) can cause BGP traffic and router table size to increase, even explode.
サービスの拒否:偽のルーティングデータは、ネットワークを介してデータを送信しようとしている最終システムおよびネットワークインフラストラクチャ自体にサービスの拒否攻撃を提示できますが、特定の偽の情報はBGPルーティングプロトコルのサービス拒否を表すことができます。たとえば、多数のより具体的なルート(つまり、長いプレフィックス)を広告すると、BGPトラフィックとルーターテーブルサイズが増加し、爆発することもあります。
The mandatory-to-support mechanism of [TCPMD5] will counter message insertion, deletion, and modification, man-in-the-middle and denial of service attacks from outsiders. The use of [TCPMD5] does not protect against eavesdropping attacks, but routing data confidentiality is not a goal of BGP. The mechanism of [TCPMD5] does not protect against replay attacks, so the only protection against replay is provided by the TCP sequence number processing. Therefore, a replay attack could be mounted against a BGP connection protected with [TCPMD5] but only in very carefully timed circumstances. The mechanism of [TCPMD5] cannot protect against bogus routing information that originates from an insider.
[TCPMD5]の必須のサポートメカニズムは、メッセージの挿入、削除、および修正、中間者、および部外者からのサービス攻撃の拒否に対抗します。[TCPMD5]の使用は、盗聴攻撃から保護するものではありませんが、データの機密性をルーティングすることはBGPの目標ではありません。[TCPMD5]のメカニズムは、リプレイ攻撃から保護されていないため、リプレイに対する唯一の保護は、TCPシーケンス番号処理によって提供されます。したがって、[TCPMD5]で保護されたBGP接続に対してリプレイ攻撃を取り付けることができますが、非常に慎重にタイミングされた状況でのみ。[TCPMD5]のメカニズムは、インサイダーに由来する偽のルーティング情報から保護できません。
The risks in BGP arise from three fundamental vulnerabilities:
BGPのリスクは、3つの基本的な脆弱性から生じます。
(1) BGP has no internal mechanism that provides strong protection of the integrity, freshness, and peer entity authenticity of the messages in peer-peer BGP communications.
(1) BGPには、ピアピアBGP通信のメッセージの完全性、鮮度、およびピアエンティティの強力な保護を提供する内部メカニズムはありません。
(2) no mechanism has been specified within BGP to validate the authority of an AS to announce NLRI information.
(2) NLRI情報を発表するASの権限を検証するために、BGP内でメカニズムは指定されていません。
(3) no mechanism has been specified within BGP to ensure the authenticity of the path attributes announced by an AS.
(3) ASによって発表されたパス属性の信頼性を確保するために、BGP内でメカニズムは指定されていません。
The first fundamental vulnerability motivated the mandated support of [TCPMD5] in the BGP specification. When the support of [TCPMD5] is employed, message integrity and peer entity authentication are provided. The mechanism of [TCPMD5] assumes that the MD5 algorithm is secure and that the shared secret is protected and chosen to be difficult to guess.
最初の基本的な脆弱性は、BGP仕様における[TCPMD5]の義務付けられた支持を動機付けました。[TCPMD5]のサポートが採用されると、メッセージの整合性とピアエンティティ認証が提供されます。[TCPMD5]のメカニズムは、MD5アルゴリズムが安全であり、共有された秘密が保護されており、推測が困難になるように選択されていることを前提としています。
In the discussion that follows, the vulnerabilities are described in terms of the BGP Finite State Machine events. The events are defined and discussed in section 8 of [RFC4271]. The events mentioned here are:
以下の議論では、脆弱性はBGP有限状態マシンイベントの観点から説明されています。イベントは、[RFC4271]のセクション8で定義および議論されています。ここで説明したイベントは次のとおりです。
[Administrative Events]
[管理イベント]
Event 2: ManualStop
イベント2:マニュアルストップ
Event 8: AutomaticStop
イベント8:オートマチックストップ
[Timer Events]
[タイマーイベント]
Event 9: ConnectRetryTimer_Expires
イベント9:ConnectRetrytimer_expires
Event 10: HoldTimer_Expires
イベント10:HoldTimer_Expires
Event 11: KeepaliveTimer_Expires
イベント11:KeepAlivetimer_expires
Event 12: DelayOpenTimer_Expires Event 13: IdleHoldTimer_Expires
イベント12:delaypentimer_expiresイベント13:idleholdtimer_expires
[TCP Connection based Events]
[TCP接続ベースのイベント]
Event 14: TcpConnection_Valid
イベント14:tcpconnection_valid
Event 16: Tcp_CR_Acked
イベント16:tcp_cr_acked
Event 17: TcpConnectionConfirmed
イベント17:tcpconnectionConfirmed
Event 18: TcpConnectionFails
イベント18:tcpconnectionFails
[BGP Messages based Events]
[BGPメッセージベースのイベント]
Event 19: BGPOpen
イベント19:bgpopen
Event 20: BGPOpen with DelayOpenTimer running
イベント20:daelopentimerが実行されたBGPopen
Event 21: BGPHeaderErr
イベント21:Bgpheadererr
Event 22: BGPOpenMsgErr
イベント22:bgpopenmsgerr
Event 23: OpenCollisionDump
イベント23:opencollisionDump
Event 24: NotifMsgVerErr
イベント24:notifmsgvererr
Event 25: NotifMsg
イベント25:notifmsg
Event 26: KeepAliveMsg
イベント26:KeepAlivemsg
Event 27: UpdateMsg
イベント27:updatemsg
Event 28: UpdateMsgErr
イベント28:updatemsgerr
There are four different BGP message types - OPEN, KEEPALIVE, NOTIFICATION, and UPDATE. This section contains a discussion of the vulnerabilities arising from each message and the ability of outsiders or BGP peers to exploit the vulnerabilities. To summarize, outsiders can use bogus OPEN, KEEPALIVE, NOTIFICATION, or UPDATE messages to disrupt the BGP peer-peer connections. They can use bogus UPDATE messages to disrupt routing without breaking the peer-peer connection. Outsiders can also disrupt BGP peer-peer connections by inserting bogus TCP packets that disrupt the TCP connection processing. In general, the ability of outsiders to use bogus BGP and TCP messages is limited, but not eliminated, by the TCP sequence number processing. The use of [TCPMD5] can counter these outsider attacks. BGP peers themselves are permitted to break peer-peer connections, at any time, using NOTIFICATION messages. Thus, there is no additional risk of broken connections through their use of OPEN, KEEPALIVE, or UPDATE messages. However, BGP peers can disrupt routing (in impermissible ways) by issuing UPDATE messages that contain bogus routing information. In particular, bogus ATOMIC_AGGREGATE, NEXT_HOP and AS_PATH attributes and bogus NLRI in UPDATE messages can disrupt routing. The use of [TCPMD5] will not counter these attacks from BGP peers.
4つの異なるBGPメッセージタイプがあります - オープン、キープライブ、通知、および更新。このセクションには、各メッセージに起因する脆弱性と、脆弱性を活用する部外者またはBGPピアが能力を備えていることについての議論が含まれています。要約すると、部外者は、BGPのピア接続を破壊するために、Bogus Open、Keepalive、Notification、または更新メッセージを使用できます。Peer-Peer接続を壊すことなく、Bogus Updateメッセージを使用してルーティングを破壊できます。部外者は、TCP接続処理を破壊する偽のTCPパケットを挿入することにより、BGPピアピア接続を破壊することもできます。一般に、TCPシーケンス番号処理によって、担当者が偽のBGPおよびTCPメッセージを使用する能力は制限されていますが、排除されません。[TCPMD5]の使用は、これらの部外者攻撃に対抗できます。BGPピア自体は、通知メッセージを使用して、いつでもピアピア接続を破ることができます。したがって、オープン、キープライブ、または更新メッセージを使用することにより、接続が壊れるリスクは追加されません。ただし、BGPピアは、偽のルーティング情報を含む更新メッセージを発行することにより、ルーティングを(容認できない方法で)混乱させる可能性があります。特に、更新メッセージのBogus Atomic_Aggregate、next_hop、およびas_path属性、および偽のnlriはルーティングを破壊する可能性があります。[TCPMD5]の使用は、BGPピアからのこれらの攻撃に対抗しません。
Each message introduces certain vulnerabilities and risks, which are discussed in the following sections.
各メッセージは、特定の脆弱性とリスクを導入します。これらについては、次のセクションで説明します。
Event 21: Each BGP message starts with a standard header. In all cases, syntactic errors in the message header will cause the BGP speaker to close the connection, release all associated BGP resources, delete all routes learned through that connection, run its decision process to decide on new routes, and cause the state to return to Idle. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. An outsider who could spoof messages with message header errors could cause disruptions in routing over a wide area.
イベント21:各BGPメッセージは、標準ヘッダーから始まります。すべての場合において、メッセージヘッダーの構文エラーにより、BGPスピーカーは接続を閉じ、関連するすべてのBGPリソースをリリースし、その接続を介して学習したすべてのルートを削除し、決定プロセスを実行して新しいルートを決定し、状態をアイドル状態に戻します。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。メッセージヘッダーエラーを使用してメッセージを吹き込むことができる部外者は、広範囲にわたるルーティングの混乱を引き起こす可能性があります。
Event 19: Receipt of an OPEN message in states Connect or Active will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted.
イベント19:State ConnectまたはActiveでのオープンメッセージの受信により、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行し、状態がアイドル状態に戻ります。ルートの削除は、ルーティングの変更が他のピアを通じて伝播するカスケード効果を引き起こす可能性があります。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。
In state OpenConfirm or Established, the arrival of an OPEN may indicate a connection collision has occurred. If this connection is to be dropped, then Event 23 will be issued. (Event 23, discussed below, results in the same set of disruptive actions as mentioned above for states Connect or Active.)
州のopenconfirmまたは確立された状態では、オープンの到着は、接続の衝突が発生したことを示している可能性があります。この接続をドロップする場合、イベント23が発行されます。(以下で説明するイベント23は、州の接続またはアクティブで上記と同じ破壊的な行動のセットが得られます。)
In state OpenSent, the arrival of an OPEN message will cause the BGP speaker to transition to the OpenConfirm state. If an outsider was able to spoof an OPEN message (requiring very careful timing), then the later arrival of the legitimate peer's OPEN message might lead the BGP speaker to declare a connection collision. The collision detection procedure may cause the legitimate connection to be dropped.
州の開始では、開いたメッセージが到着すると、BGPスピーカーはOpenConfirm状態に移行します。部外者が開かれたメッセージ(非常に慎重なタイミングが必要)を吹き込むことができた場合、その後、正当なピアのオープンメッセージが到着すると、BGPスピーカーが接続の衝突を宣言する可能性があります。衝突検出手順により、正当な接続が削除される可能性があります。
Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
その結果、部外者がこのメッセージを投げかける能力は、広範囲にわたるルーティングの深刻な混乱につながる可能性があります。
Event 20: If an OPEN message arrives when the DelayOpen timer is running when the connection is in state OpenSent, OpenConfirm or Established, the BGP speaker will bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. However, because the OpenDelay timer should never be running in these states, this effect could only be caused by an error in the implementation (a NOTIFICATION is sent with the error code "Finite State Machine Error"). It would be difficult, if not impossible, for an outsider to induce this Finite State Machine error.
イベント20:接続が状態開放、OpenConfirm、または確立されているときにDailopenタイマーが実行されているときに開いたメッセージが届くと、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行し、状態をIDLEに戻します。ルートの削除は、ルーティングの変更が他のピアを通じて伝播するカスケード効果を引き起こす可能性があります。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。ただし、Opendelayタイマーはこれらの状態では決して実行されないはずであるため、この効果は実装のエラーによってのみ引き起こされる可能性があります(エラーコード「有限状態マシンエラー」と通知が送信されます)。部外者がこの有限状態マシンエラーを誘導することは、不可能ではないにしても困難です。
In states Connect and Active, this event will cause a transition to the OpenConfirm state. As in Event 19, if an outsider were able to spoof an OPEN, which arrived while the DelayOpen timer was running, then a later arriving OPEN (from the legitimate peer) might be considered a connection collision and the legitimate connection could be dropped.
Connect and Activeでは、このイベントはOpenConfirm州への移行を引き起こします。イベント19のように、部外者が遅延タイマーが実行されている間に到着したオープンをスプーフィングできた場合、その後のオープン(正当なピアから)が接続の衝突と見なされ、正当な接続がドロップされる可能性があります。
Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
その結果、部外者がこのメッセージを投げかける能力は、広範囲にわたるルーティングの深刻な混乱につながる可能性があります。
Event 22: Errors in the OPEN message (e.g., unacceptable Hold state, malformed Optional Parameter, unsupported version, etc.) will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント22:オープンメッセージのエラー(たとえば、許容できない保留状態、奇形のオプションパラメーター、サポートされていないバージョンなど)により、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、すべての関連ルートを削除し、決定プロセスを実行し、状態がアイドルに戻ります。ルートの削除は、ルーティングの変更が他のピアを通じて伝播するカスケード効果を引き起こす可能性があります。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。その結果、部外者がこのメッセージを投げかける能力は、広範囲にわたるルーティングの深刻な混乱につながる可能性があります。
Event 26: Receipt of a KEEPALIVE message, when the peering connection is in the Connect, Active, and OpenSent states, would cause the BGP speaker to transition to the Idle state and fail to establish a connection. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. The ability of an outsider to spoof this message can lead to a disruption of routing. To exploit this vulnerability deliberately, the KEEPALIVE must be carefully timed in the sequence of messages exchanged between the peers; otherwise, it causes no damage.
イベント26:ピーリング接続が接続、アクティブ、およびオープンな状態にある場合、Keepaliveメッセージの受信により、BGPスピーカーはアイドル状態に移行し、接続の確立に失敗します。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。部外者がこのメッセージを投げかける能力は、ルーティングの混乱につながる可能性があります。この脆弱性を意図的に活用するには、ピア間で交換される一連のメッセージの順調に慎重にタイミングを合わせる必要があります。それ以外の場合は、損傷を引き起こしません。
Event 25: Receipt of a NOTIFICATION message in any state will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, in any state but Established, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント25:どの状態でも通知メッセージを受信すると、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行し、状態がアイドル状態に戻ります。ルートの削除は、ルーティングの変更が他のピアを通じて伝播するカスケード効果を引き起こす可能性があります。また、オプションでは、任意の状態ではありますが、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。その結果、部外者がこのメッセージを投げかける能力は、広範囲にわたるルーティングの深刻な混乱につながる可能性があります。
Event 24: A NOTIFICATION message carrying an error code of "Version Error" behaves the same as in Event 25, with the exception that the optional peer oscillation damping is not performed in states OpenSent or OpenConfirm, or in states Connect or Active if the DelayOpen timer is running. Therefore, the damage caused is one small bit less, because restarting the connection is not affected.
イベント24:「バージョンエラー」のエラーコードを運ぶ通知メッセージは、イベント25と同じように動作します。これは、オプションのピア振動減衰が州で開いたり、OpenConfirmで実行されないことを除いて、またはDailopenタイマーが実行されている場合に接続またはアクティブな状態で実行されます。したがって、接続の再起動が影響を受けないため、引き起こされる損傷は少し少ないです。
Event 8: A BGP speaker may optionally choose to automatically disconnect a BGP connection if the total number of prefixes exceeds a configured maximum. In such a case, an UPDATE may carry a number of prefixes that would result in that maximum being exceeded. The BGP speaker would disconnect the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント8:BGPスピーカーは、プレフィックスの総数が構成された最大値を超える場合、BGP接続を自動的に切断することをオプションで選択できます。そのような場合、更新には、その最大値が超えるとなるプレフィックスが多数搭載されている場合があります。BGPスピーカーは、接続を切断し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行し、状態をアイドル状態に戻します。ルートの削除は、ルーティングの変更が他のピアを通じて伝播するカスケード効果を引き起こす可能性があります。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。その結果、部外者がこのメッセージを投げかける能力は、広範囲にわたるルーティングの深刻な混乱につながる可能性があります。
Event 28: If the UPDATE message is malformed, then the BGP speaker will bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. (Here, "malformed" refers to improper Withdrawn Routes Length, Total Attribute Length, or Attribute Length, missing mandatory well-known attributes, Attribute Flags that conflict with the Attribute Type Codes, syntactic errors in the ORIGIN, NEXT_HOP or AS_PATH, etc.) The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message could cause widespread disruption of routing. As a BGP speaker has the authority to close a connection whenever it wants, this message gives BGP speakers no additional opportunity to cause damage.
イベント28:更新メッセージが奇形である場合、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行し、状態をアイドル状態に戻します。(ここでは、「奇形」とは、不適切な撤回ルートの長さ、総属性の長さ、または属性の長さ、属性タイプコードと矛盾する属性フラグ、Originの構文エラー、next_hopまたはas_pathなどを指すことを指します。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。その結果、部外者がこのメッセージを投げかける能力は、ルーティングの広範な混乱を引き起こす可能性があります。BGPスピーカーには、必要なときにいつでも接続を閉じる権限があるため、このメッセージはBGPスピーカーにダメージを与える追加の機会を与えません。
Event 27: An Update message that arrives in any state except Established will cause the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, run its decision process, and cause the state to return to Idle. The deletion of routes can cause a cascading effect in which routing changes propagate through other peers. Also, optionally, an implementation-specific peer oscillation damping may be performed. The peer oscillation damping process can affect how soon the connection can be restarted. Consequently, the ability of an outsider to spoof this message can lead to a severe disruption of routing over a wide area.
イベント27:確立を除く州に到着する更新メッセージにより、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行し、状態がアイドル状態に戻ります。ルートの削除は、ルーティングの変更が他のピアを通じて伝播するカスケード効果を引き起こす可能性があります。また、オプションでは、実装固有のピア振動減衰が実行される場合があります。ピア振動の減衰プロセスは、接続の再起動の早い段階に影響を与える可能性があります。その結果、部外者がこのメッセージを投げかける能力は、広範囲にわたるルーティングの深刻な混乱につながる可能性があります。
In the Established state, the Update message carries the routing information. The ability to spoof any part of this message can lead to a disruption of routing, whether the source of the message is an outsider or a legitimate BGP speaker.
確立された状態では、更新メッセージにはルーティング情報が含まれます。このメッセージの任意の部分を吹き飛ばす能力は、メッセージのソースが部外者であろうと正当なBGPスピーカーであろうと、ルーティングの混乱につながる可能性があります。
There is a vulnerability arising from the ability to modify these fields. If a length is modified, the message is not likely to parse properly, resulting in an error, the transmission of a NOTIFICATION message and the close of the connection (see Event 28, above). As a true BGP speaker is able to close a connection at any time, this vulnerability represents an additional risk only when the source is not the configured BGP peer, i.e., it presents no additional risk from BGP speakers.
これらのフィールドを変更する能力から生じる脆弱性があります。長さが変更されている場合、メッセージは適切に解析されない可能性が高く、エラー、通知メッセージの送信、接続の終了が発生します(上記のイベント28を参照)。真のBGPスピーカーはいつでも接続を閉じることができるため、この脆弱性は、ソースが構成されたBGPピアではない場合にのみ、追加のリスクを表します。つまり、BGPスピーカーに追加のリスクを提示しません。
An outsider could cause the elimination of existing legitimate routes by forging or modifying this field. An outsider could also cause the elimination of reestablished routes by replaying this withdrawal information from earlier packets.
部外者は、このフィールドを偽造または変更することにより、既存の正当なルートの排除を引き起こす可能性があります。部外者は、この撤回情報を以前のパケットから再生することにより、再確立されたルートの排除を引き起こす可能性もあります。
A BGP speaker could "falsely" withdraw feasible routes using this field. However, as the BGP speaker is authoritative for the routes it will announce, it is allowed to withdraw any previously announced routes that it wants. As the receiving BGP speaker will only withdraw routes associated with the sending BGP speaker, there is no opportunity for a BGP speaker to withdraw another BGP speaker's routes. Therefore, there is no additional risk from BGP peers via this field.
BGPスピーカーは、このフィールドを使用して実行可能なルートを「誤って」引き出すことができます。ただし、BGPスピーカーは発表するルートに対して権威あるため、以前に発表されたルートを撤回することが許可されています。受信BGPスピーカーは、送信BGPスピーカーに関連付けられたルートのみを撤回するため、BGPスピーカーが別のBGPスピーカーのルートを引き出す機会はありません。したがって、このフィールドを介してBGPピアからの追加のリスクはありません。
The path attributes present many different vulnerabilities and risks.
パス属性は、多くの異なる脆弱性とリスクを提示します。
o Attribute Flags, Attribute Type Codes, Attribute Length
o 属性フラグ、属性タイプコード、属性長
A BGP peer or an outsider could modify the attribute length or attribute type (flags and type codes) not to reflect the attribute values that followed. If the flags were modified, the flags and type code could become incompatible (i.e., a mandatory attribute marked as partial), or an optional attribute could be interpreted as a mandatory attribute or vice versa. If the type code were modified, the attribute value could be interpreted as if it were the data type and value of a different attribute.
BGPピアまたは部外者は、属性の長さまたは属性タイプ(フラグとタイプコード)を変更して、続いた属性値を反映しないように変更できます。フラグが変更された場合、フラグとタイプコードは互換性がない(つまり、部分的なものとしてマークされた必須属性)、またはオプションの属性を必須属性として解釈するか、その逆にすることができます。タイプコードが変更された場合、属性値は、異なる属性のデータ型と値であるかのように解釈できます。
The most likely result from modifying the attribute length, flags, or type code would be a parse error of the UPDATE message. A parse error would cause the transmission of a NOTIFICATION message and the close of the connection (see Event 28, above). As a true BGP speaker is able to close a connection at any time, this vulnerability represents an additional risk only when the source is an outsider, i.e., it presents no additional risk from a BGP peer.
属性の長さ、フラグ、またはタイプコードを変更することによる最も可能性の高い結果は、更新メッセージの解析エラーになります。解析エラーは、通知メッセージの送信と接続の終了を引き起こします(上記のイベント28を参照)。真のBGPスピーカーはいつでも接続を閉じることができるため、この脆弱性は、ソースが部外者である場合にのみ追加のリスクを表します。つまり、BGPピアからの追加のリスクはありません。
o ORIGIN
o 元
This field indicates whether the information was learned from IGP or EGP information. This field is used in making routing decisions, so there is some small vulnerability of being able to affect the receiving BGP speaker's routing decision by modifying this field.
このフィールドは、情報がIGP情報またはEGP情報から学習されたかどうかを示します。このフィールドはルーティングの決定を行う際に使用されるため、このフィールドを変更することにより、受信BGPスピーカーのルーティング決定に影響を与えることができるという小さな脆弱性があります。
o AS_PATH
o as_path
A BGP peer or outsider could announce an AS_PATH that was not accurate for the associated NLRI.
BGPのピアまたは部外者は、関連するNLRIにとって正確ではないAS_Pathを発表することができます。
Because a BGP peer might not verify that a received AS_PATH begins with the AS number of its peer, a malicious BGP peer could announce a path that begins with the AS of any BGP speaker, with little impact on itself. This could affect the receiving BGP speaker's decision procedure and choice of installed route. The malicious peer could considerably shorten the AS_PATH, which will increase that route's chances of being chosen, possibly giving the malicious peer access to traffic it would otherwise not receive. The shortened AS_PATH also could result in routing loops, as it does not contain the information needed to prevent loops.
BGPピアは、受信したAS_PATHが同業他社の数で始まることを確認できない可能性があるため、悪意のあるBGPピアは、それ自体にほとんど影響を与えないBGPスピーカーのASから始まるパスを発表することができます。これは、受信しているBGPスピーカーの決定手順とインストールされたルートの選択に影響を与える可能性があります。悪意のあるピアはAS_PATHをかなり短くする可能性があります。これにより、そのルートが選択される可能性が高まり、おそらくそれが受け取らないトラフィックへの悪意のあるピアアクセスを提供する可能性があります。短縮されたAS_PATHは、ループを防ぐために必要な情報が含まれていないため、ルーティングループをもたらす可能性があります。
It is possible for a BGP speaker to be configured to accept routes with its own AS number in the AS path. Such operational considerations are defined to be "outside the scope" of the BGP specification. But because AS_PATHs can legitimately have loops, implementations cannot automatically reject routes with loops. Each BGP speaker verifies only that its own AS number does not appear in the AS_PATH.
BGPスピーカーを、As Pathの数字を持つルートを受け入れるように構成されている可能性があります。このような運用上の考慮事項は、BGP仕様の「範囲外」であると定義されます。ただし、AS_Pathsにはループを合法的に持つことができるため、実装はループを使用してループを自動的に拒否することはできません。各BGPスピーカーは、AS_PATHに数字が表示されないことのみを確認します。
Coupled with the ability to use any value for the NEXT_HOP, this provides a malicious BGP speaker considerable control over the path traffic will take.
Next_Hopに任意の値を使用する機能と相まって、これにより、悪意のあるBGPスピーカーがパストラフィックをかなりの制御することができます。
o Originating Routes
o 元のルート
A special case of announcing a false AS_PATH occurs when the AS_PATH advertises a direct connection to a specific network address. A BGP peer or outsider could disrupt routing to the network(s) listed in the NLRI field by falsely advertising a direct connection to the network. The NLRI would become unreachable to the portion of the network that accepted this false route, unless the ultimate AS on the AS_PATH undertook to tunnel the packets it was forwarded for this NLRI toward their true destination AS by a valid path. But even when the packets are tunneled to the correct destination AS, the route followed may not be optimal, or may not follow the intended policy. Additionally, routing for other networks in the Internet could be affected if the false advertisement fragmented an aggregated address block, forcing the routers to handle (issue UPDATES, store, manage) the multiple fragments rather than the single aggregate. False originations for multiple addresses can result in routers and transit networks along the announced route to become flooded with misdirected traffic.
AS_PATHが特定のネットワークアドレスへの直接接続を宣伝するときに、誤ったAS_PATHを発表する特別なケースが発生します。BGPのピアまたは部外者は、ネットワークへの直接接続を誤って宣伝することにより、NLRIフィールドにリストされているネットワークへのルーティングを混乱させる可能性があります。NLRIは、AS_PATHのような究極が有効なパスのように彼らの真の目的地に向かって転送されたパケットのトンネルを引き受けることを引き受けた場合を除き、この誤ったルートを受け入れたネットワークの部分に対して到達不能になります。しかし、パケットが正しい宛先にトンネルされている場合でも、続くルートは最適ではない場合があるか、意図したポリシーに従っていない場合があります。さらに、誤った広告が集約されたアドレスブロックを断片化した場合、インターネット内の他のネットワークのルーティングが影響を受ける可能性があります。複数のアドレスの誤った起源は、発表されたルートに沿ってルーターとトランジットネットワークをもたらすと、誤った方向のトラフィックがあふれています。
o NEXT_HOP
o next_hop
The NEXT_HOP attribute defines the IP address of the border router that should be used as the next hop when forwarding the NLRI listed in the UPDATE message. If the recipient is an external peer, then the recipient and the NEXT_HOP address must share a subnet. It is clear that an outsider who modified this field could disrupt the forwarding of traffic between the two ASes.
Next_hop属性は、更新メッセージにリストされているNLRIを転送するときに次のホップとして使用する必要があるボーダールーターのIPアドレスを定義します。受信者が外部ピアである場合、受信者とNext_Hopアドレスはサブネットを共有する必要があります。このフィールドを変更した部外者が、2つのASE間のトラフィックの転送を混乱させる可能性があることは明らかです。
If the recipient of the message is an external peer of an AS and the route was learned from another peer AS (this is one of two forms of "third party" NEXT_HOP), then the BGP speaker advertising the route has the opportunity to direct the recipient to forward traffic to a BGP speaker at the NEXT_HOP address. This affords the opportunity to direct traffic at a router that may not be able to continue forwarding the traffic. A malicious BGP speaker can also use this technique to force another AS to carry traffic it would otherwise not have to carry. In some cases, this could be to the malicious BGP speaker's benefit, as it could cause traffic to be carried long-haul by the victim AS to some other peering point it shared with the victim.
メッセージの受信者がASの外部ピアであり、ルートが別のピアから学習された場合(これは「サードパーティ」次の2つの形式の1つです。これにより、トラフィックの転送を継続できない可能性のあるルーターにトラフィックを向ける機会が与えられます。悪意のあるBGPスピーカーは、この手法を使用して、それ以外の場合は運ぶ必要がないトラフィックを運ぶために別の手法を強制することもできます。場合によっては、これは悪意のあるBGPスピーカーの利益になる可能性があります。これは、被害者と共有する他の覗き見について、被害者によって長距離交通を引き起こす可能性があるためです。
o MULTI_EXIT_DISC
o multi_exit_disc
The MULTI_EXIT_DISC attribute is used in UPDATE messages transmitted between inter-AS BGP peers. While the MULTI_EXIT_DISC received from an inter-AS peer may be propagated within an AS, it may not be propagated to other ASes. Consequently, this field is only used in making routing decisions internal to one AS. Modifying this field, whether by an outsider or a BGP peer, could influence routing within an AS to be sub-optimal, but the effect should be limited in scope.
Multi_exit_disc属性は、BGP間のピア間で送信される更新メッセージで使用されます。AS間のピアから受信したmulti_exit_discは、AS内で伝播される場合がありますが、他のASEに伝播されない場合があります。したがって、このフィールドは、ルーティングの決定を内部のasにする際にのみ使用されます。部外者であろうとBGPピアによるものであろうと、この分野を変更すると、最適ではないようにルーティングに影響を与える可能性がありますが、効果は範囲が制限されるべきです。
o LOCAL_PREF
o local_pref
The LOCAL_PREF attribute must be included in all messages with internal peers, and excluded from messages with external peers. Consequently, modification of the LOCAL_PREF could effect the routing process within the AS only. Note that there is no requirement in the BGP RFC that the LOCAL_PREF be consistent among the internal BGP speakers of an AS. Because BGP peers are free to choose the LOCAL_PREF, modification of this field is a vulnerability with respect to outsiders only.
Local_Pref属性は、内部ピアを含むすべてのメッセージに含める必要があり、外部ピアを使用したメッセージから除外する必要があります。その結果、local_prefの変更は、ASのみ内でルーティングプロセスに影響を与える可能性があります。BGP RFCには、ASの内部BGPスピーカーの間でLocal_Prefが一貫しているという要件はないことに注意してください。BGPピアはLocal_Prefを自由に選択できるため、このフィールドの変更は部外者のみに関してのみ脆弱性です。
o ATOMIC_AGGREGATE
o Atomic_Aggregate
The ATOMIC_AGGREGATE field indicates that an AS somewhere along the way has aggregated several routes and advertised the aggregate NLRI without the AS_SET being formed as usual from the ASes in the aggregated routes' AS_PATHs. BGP speakers receiving a route with ATOMIC_AGGREGATE are restricted from making the NLRI any more specific. Removing the ATOMIC_AGGREGATE attribute would remove the restriction, possibly causing traffic intended for the more specific NLRI to be routed incorrectly. Adding the ATOMIC_AGGREGATE attribute, when no aggregation was done, would have little effect beyond restricting the un-aggregated NLRI from being made more specific. This vulnerability exists whether the source is a BGP peer or an outsider.
ATOMIC_AGGREGATEフィールドは、途中のどこかでいくつかのルートを集約し、AS_SETが集約されたルートのAS_PATHのASESから通常どおり形成されずに集約NLRIを宣伝したことを示しています。ATOMIC_AGGREGATEでルートを受け取るBGPスピーカーは、NLRIをより具体的にすることを制限されています。ATOMIC_AGGREGATE属性を削除すると、制限が削除され、より具体的なNLRIが誤ってルーティングされることを目的としたトラフィックを引き起こす可能性があります。Atomic_Aggregate属性を追加すると、集約が行われなかった場合、凝集していないNLRIがより具体的になるのを制限する以外にはほとんど効果がありません。この脆弱性は、ソースがBGPピアであろうと部外者であろうと存在します。
o AGGREGATOR
o アグリゲーター
This field may be included by a BGP speaker who has computed the routes represented in the UPDATE message by aggregating other routes. The field contains the AS number and IP address of the last aggregator of the route. It is not used in making any routing decisions, so it does not represent a vulnerability.
このフィールドは、他のルートを集約することにより更新メッセージに表されるルートを計算したBGPスピーカーによって含まれる場合があります。フィールドには、ルートの最後のアグリゲーターのAS番号とIPアドレスが含まれています。ルーティングの決定を行う際には使用されていないため、脆弱性を表すものではありません。
By modifying or forging this field, either an outsider or BGP peer source could cause disruption of routing to the announced network, overwhelm a router along the announced route, cause data loss when the announced route will not forward traffic to the announced network, route traffic by a sub-optimal route, etc.
このフィールドを変更または鍛造することにより、部外者またはBGPピアソースのいずれかが発表されたネットワークへのルーティングの混乱を引き起こし、発表されたルートに沿ってルーターを圧倒し、発表されたルートが発表されたネットワークにトラフィックを転送しない場合、データ損失を引き起こす可能性があります。
BGP runs over TCP, listening on port 179. Therefore, BGP is subject to attack through attacks on TCP.
BGPはTCPを介して実行され、ポート179を聴きます。したがって、BGPはTCPへの攻撃を通じて攻撃を受ける可能性があります。
SYN flooding: Like other protocols, BGP is subject to the effects on the TCP implementation of SYN flooding attacks, and must rely on the implementation's protections against these attacks.
Syn Flooding:他のプロトコルと同様に、BGPはSyn洪水攻撃のTCP実装への影響の影響を受け、これらの攻撃に対する実装の保護に依存する必要があります。
Event 14: If an outsider were able to send a SYN to the BGP speaker at the appropriate time during connection establishment, then the legitimate peer's SYN would appear to be a second connection. If the outsider were able to continue with a sequence of packets resulting in a BGP connection (guessing the BGP speaker's choice for sequence number on the SYN ACK, for example), then the outsider's connection and the legitimate peer's connection would appear to be a connection collision. Depending on the outcome of the collision detection (i.e., if the outsider chooses a BGP identifier so as to win the race), the legitimate peer's true connection could be destroyed. The use of [TCPMD5] can counter this attack.
イベント14:部外者が接続確立中に適切な時期にSynをBGPスピーカーに送信できた場合、正当なピアのSynは2番目の接続のように見えます。部外者が一連のパケットを続けてBGP接続をもたらすことができた場合(たとえば、Syn ACKのシーケンス番号のBGPスピーカーの選択を推測します)、部外者の接続と正当なピアの接続が接続衝突のように見えます。衝突検出の結果に応じて(つまり、部外者がレースに勝つためにBGP識別子を選択した場合)、正当なピアの真のつながりが破壊される可能性があります。[TCPMD5]の使用は、この攻撃に対抗できます。
Event 16: If an outsider were able to respond to a BGP speaker's SYN before the legitimate peer, then the legitimate peer's SYN-ACK would receive an empty ACK reply, causing the legitimate peer to issue a RST that would break the connection. The BGP speaker would bring down the connection, release all associated BGP resources, delete all associated routes, and run its decision process. This attack requires that the outsider be able to predict the sequence number used in the SYN. The use of [TCPMD5] can counter this attack.
イベント16:部外者が合法的なピアの前にBGPスピーカーのSynに応答できた場合、正当なピアのSyn-ackは空のACK応答を受け取り、正当なピアに接続を破るRSTを発行します。BGPスピーカーは、接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行します。この攻撃では、部外者がSynで使用されるシーケンス番号を予測できることが必要です。[TCPMD5]の使用は、この攻撃に対抗できます。
Event 17: If an outsider were able to spoof an ACK at the appropriate time during connection establishment, then the BGP speaker would consider the connection complete, send an OPEN (Event 17), and transition to the OpenSent state. The arrival of the legitimate peer's ACK would not be delivered to the BGP process, as it would look like a duplicate packet. Thus, this message does not present a vulnerability to BGP during connection establishment. Spoofing an ACK after connection establishment requires knowledge of the sequence numbers in use, and is, in general, a very difficult task. The use of [TCPMD5] can counter this attack.
イベント17:部外者が接続確立中に適切な時期にACKを吹き込むことができた場合、BGPスピーカーは接続の完了を検討し、オープン(イベント17)を送信し、オープンな状態に移行します。正当なピアのACKの到着は、重複したパケットのように見えるため、BGPプロセスには配信されません。したがって、このメッセージは、接続確立中にBGPに対する脆弱性を提示しません。接続の確立後にACKをスプーフィングするには、使用中のシーケンス数の知識が必要であり、一般に非常に困難なタスクです。[TCPMD5]の使用は、この攻撃に対抗できます。
Event 18: If an outsider were able to spoof a RST, the BGP speaker would bring down the connection, release all associated BGP resources, delete all associated routes, and run its decision process. If an outsider were able to spoof a FIN, then data could still be transmitted, but any attempt to receive it would trigger a notification that the connection is closing. In most cases, this results in the connection being placed in an Idle state. But if the connection is in the Connect state or the OpenSent state at the time, the connection will return to an Active state.
イベント18:部外者が最初にスプーフィングできた場合、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行します。部外者がFINを投げることができた場合、データは引き続き送信される可能性がありますが、それを受信しようとすると、接続が閉じているという通知がトリガーされます。ほとんどの場合、これにより、接続がアイドル状態に配置されます。しかし、接続がその時点で接続状態または開閉状態にある場合、接続はアクティブ状態に戻ります。
Spoofing a RST in this situation requires an outsider to guess a sequence number that need only be within the receive window [Watson04]. This is generally an easier task than guessing the exact sequence number required to spoof a FIN. The use of [TCPMD5] can counter this attack.
この状況で最初にスプーフィングするには、部外者が受信ウィンドウ内にのみ必要なシーケンス番号を推測する必要があります[WATSON04]。これは、通常、フィンをスプーフィングするために必要な正確なシーケンス番号を推測するよりも簡単なタスクです。[TCPMD5]の使用は、この攻撃に対抗できます。
Because the packets directed to TCP port 179 are passed to the BGP process, which potentially resides on a slower processor in the router, flooding a router with TCP port 179 packets is an avenue for DoS attacks against the router. No BGP mechanism can defeat such attacks; other mechanisms must be employed.
TCPポート179に向けられたパケットはBGPプロセスに渡されるため、ルーター内のより遅いプロセッサに存在する可能性があるため、TCPポート179パケットでルーターにあふれているため、ルーターに対するDOS攻撃の手段です。BGPメカニズムはそのような攻撃を打ち負かすことはできません。他のメカニズムを採用する必要があります。
Event 2: A manual stop event causes the BGP speaker to bring down the connection, release all associated BGP resources, delete all associated routes, and run its decision process. If the mechanism by which a BGP speaker was informed of a manual stop is not carefully protected, the BGP connection could be destroyed by an outsider. Consequently, BGP security is secondarily dependent on the security of the management and configuration protocols that are used to signal this event.
イベント2:手動停止イベントにより、BGPスピーカーは接続を削減し、関連するすべてのBGPリソースをリリースし、関連するすべてのルートを削除し、決定プロセスを実行します。BGPスピーカーが手動停止を通知されたメカニズムが慎重に保護されていない場合、BGP接続は部外者によって破壊される可能性があります。したがって、BGPセキュリティは、このイベントのシグナルに使用される管理および構成プロトコルのセキュリティに次いで依存します。
Event 23: The OpenCollisionDump event may be generated administratively when a connection collision event is detected and the connection has been selected to be disconnected. When this event occurs in any state, the BGP connection is dropped, the BGP resources are released, the associated routes are deleted, etc. Consequently, BGP security is secondarily dependent on the security of the management and configuration protocols that are used to signal this event.
イベント23:接続衝突イベントが検出され、接続が切断されるように選択された場合、OpenCollisionDumpイベントは管理上生成される場合があります。このイベントが任意の状態で発生すると、BGP接続がドロップされ、BGPリソースがリリースされ、関連するルートが削除されます。その結果、BGPセキュリティは、このイベントのシグナルに使用される管理および構成プロトコルのセキュリティに次いで依存します。
Events 9-13: BGP employs five timers (ConnectRetry, Hold, Keepalive, MinASOrigination-Interval, and MinRouteAdvertisementInterval) and two optional timers (DelayOpen and IdleHold). These timers are critical to BGP operation. For example, if the Hold timer value were changed, the remote peer might consider the connection unresponsive and bring the connection down, thus releasing resources, deleting associated routes, etc. Consequently, BGP security is secondarily dependent on the security of the operation, management, and configuration protocols that are used to modify the timers.
イベント9-13:BGPは、5つのタイマー(ConnectRetry、Hold、Keepalive、Minasorigination-interval、MinrouteadedvertisementInterval)と2つのオプションタイマー(DelayOpenおよびIdlehold)を採用しています。これらのタイマーは、BGP操作にとって重要です。たとえば、ホールドタイマーの値が変更された場合、リモートピアは接続を反応しないと考える可能性があり、接続を下げてリソースをリリースし、関連ルートを削除します。その結果、BGPセキュリティは、タイマーを変更するために使用される運用、管理、および構成プロトコルのセキュリティに次いで依存します。
This entire memo is about security, describing an analysis of the vulnerabilities that exist in BGP.
このメモ全体は、BGPに存在する脆弱性の分析を説明するセキュリティに関するものです。
Use of the mandatory-to-support mechanisms of [TCPMD5] counters the message insertion, deletion, and modification attacks, as well as man-in-the-middle attacks by outsiders. If routing data confidentiality is desired (there is some controversy as to whether it is a desirable security service), the use of IPsec ESP could provide that service.
[TCPMD5]の必須のサポートメカニズムの使用は、メッセージの挿入、削除、および修正攻撃、および部外者による中間の攻撃に対抗します。データの機密性をルーティングしている場合(それが望ましいセキュリティサービスであるかどうかについていくつかの論争があります)、IPSEC ESPの使用はそのサービスを提供できます。
As cryptographic-based mechanisms, both [TCPMD5] and IPsec [IPsec] assume that the cryptographic algorithms are secure, that secrets used are protected from exposure and are chosen well so as not to be guessable, that the platforms are securely managed and operated to prevent break-ins, etc.
暗号化ベースのメカニズムとして、[TCPMD5]とIPSEC [IPSEC]の両方が暗号化アルゴリズムが安全であると仮定し、使用される秘密は暴露から保護されており、推測できないように選択されているため、プラットフォームは安全に管理および操作されるように操作されます。
These mechanisms do not prevent attacks that arise from a router's legitimate BGP peers. There are several possible solutions to prevent a BGP speaker from inserting bogus information in its advertisements to its peers (i.e., from mounting an attack on a network's origination or AS-PATH):
これらのメカニズムは、ルーターの正当なBGPピアから生じる攻撃を防ぐものではありません。BGPスピーカーがその広告に同僚に偽の情報を挿入することを防ぐためのいくつかの可能なソリューションがあります(つまり、ネットワークのオリジネーションまたはパスへの攻撃の取り付けから):
(1) Origination Protection: sign the originating AS.
(1) オリジネーション保護:起源のように署名します。
(2) Origination and Adjacency Protection: sign the originating AS and predecessor information ([Smith96])
(2) オリジネーションと隣接保護:起源のASと前身情報に署名する([SMITH96])
(3) Origination and Route Protection: sign the originating AS, and nest signatures of AS_PATHs to the number of consecutive bad routers you want to prevent from causing damage. ([SBGP00])
(3) オリジネーションとルートの保護:as_pathsのsigon signature signatures signaturesは、ダメージを引き起こすのを防ぎたい連続した悪いルーターの数に署名します。([sbgp00])
(4) Filtering: rely on a registry to verify the AS_PATH and NLRI originating AS ([RPSL]).
(4) フィルタリング:レジストリに依存して、AS_PATHとNLRIが([RPSL])として発信されることを確認します。
Filtering is in use near some customer attachment points, but is not effective near the Internet center. The other mechanisms are still controversial and are not yet in common use.
フィルタリングは、いくつかの顧客添付のポイントの近くで使用されていますが、インターネットセンターの近くでは効果的ではありません。他のメカニズムは依然として議論の余地があり、まだ一般的ではありません。
BGP is primarily used as a means to provide reachability information to Autonomous Systems (AS) and to distribute external reachability internally within an AS. BGP is the routing protocol used to distribute global routing information in the Internet. Therefore, BGP is used by all major Internet Service Providers (ISP), as well as many smaller providers and other organizations.
BGPは、主に自律システムに到達可能な情報を提供し、AS内で外部の到達可能性を内部的に配布する手段として使用されます。BGPは、インターネットにグローバルルーティング情報を配布するために使用されるルーティングプロトコルです。したがって、BGPは、すべての主要なインターネットサービスプロバイダー(ISP)、および多くの小規模なプロバイダーやその他の組織で使用されます。
BGP's role in the Internet puts BGP implementations in unique conditions, and places unique security requirements on BGP. BGP is operated over interprovider interfaces in which traffic levels push the state of the art in specialized packet forwarding hardware and exceed the performance capabilities of hardware implementation of decryption by many orders of magnitude. The capability of an attacker using a single workstation with high speed interface to generate false traffic for denial of service (DoS) far exceeds the capability of software-based decryption or appropriately-priced cryptographic hardware to detect the false traffic. Under such conditions, one means to protect the network elements from DoS attacks is to use packet-based filtering techniques based on relatively simple inspections of packets. As a result, for an ISP carrying large volumes of traffic, the ability to packet filter on the basis of port numbers is an important protection against DoS attacks, and a necessary adjunct to cryptographic strength in encapsulation.
インターネットでのBGPの役割は、BGPの実装を一意の条件に置き、BGPに独自のセキュリティ要件を置きます。BGPは、トラフィックレベルが特殊なパケット転送ハードウェアでアートの最新技術を押し進め、復号化のハードウェア実装のパフォーマンス機能を数桁上回る、介入インターフェイスを介して動作します。高速インターフェイスを備えた単一のワークステーションを使用して攻撃者の機能は、サービス拒否(DOS)のために誤ったトラフィックを生成することで、ソフトウェアベースの復号化または適切な価格の暗号化ハードウェアの機能をはるかに上回り、誤ったトラフィックを検出します。このような条件下では、DOS攻撃からネットワーク要素を保護するための1つの手段は、パケットの比較的単純な検査に基づいてパケットベースのフィルタリング手法を使用することです。その結果、大量のトラフィックを運ぶISPの場合、ポート番号に基づいてフィルターをパケットする能力は、DOS攻撃に対する重要な保護であり、カプセル化における暗号化強度に必要な補助です。
Current practice in ISP operation is to use certain common filtering techniques to reduce the exposure to attacks from outside the ISP. To protect Internal BGP (IBGP) sessions, filters are applied at all borders to an ISP network. This removes all traffic destined for network elements' internal addresses (typically contained within a single prefix) and the BGP port number (179). If the BGP port number is found, packets from within an ISP are not forwarded from an internal interface to the BGP speaker's address (on which External BGP (EBGP) sessions are supported), or to a peer's EBGP address. Appropriate router design can limit the risk of compromise when a BGP peer fails to provide adequate filtering. The risk can be limited to the peering session on which filtering is not performed by the peer, or to the interface or line card on which the peering is supported. There is substantial motivation, and little effort is required, for ISPs to maintain such filters.
ISP操作における現在の慣行は、特定の一般的なフィルタリング手法を使用して、ISPの外部からの攻撃への暴露を減らすことです。内部BGP(IBGP)セッションを保護するために、すべての境界でISPネットワークにフィルターが適用されます。これにより、ネットワーク要素の内部アドレス(通常は単一のプレフィックス内に含まれる)とBGPポート番号(179)に導かれるすべてのトラフィックが削除されます。BGPポート番号が見つかった場合、ISP内からのパケットは、内部インターフェイスからBGPスピーカーのアドレス(外部BGP(EBGP)セッションがサポートされている)またはピアのEBGPアドレスに転送されません。適切なルーター設計は、BGPピアが適切なフィルタリングを提供できない場合、妥協のリスクを制限する可能性があります。リスクは、ピアによってフィルタリングが実行されないピアリングセッション、またはピアリングがサポートされているインターフェイスまたはラインカードに限定できます。ISPがそのようなフィルターを維持するためには、かなりの動機があり、ほとんど努力が必要です。
These operational practices can considerably raise the difficulty for an outsider to launch a DoS attack against an ISP. Prevented from injecting sufficient traffic from outside a network to effect a DoS attack, the attacker would have to undertake more difficult tasks, such as compromising the ISP network elements or undetected tapping into physical media.
これらの運用慣行は、部外者がISPに対するDOS攻撃を開始するための困難を大幅に高めることができます。DOS攻撃を実施するためにネットワークの外部から十分なトラフィックを注入することができなくなったため、攻撃者はISPネットワーク要素を侵害したり、物理メディアへの検出されていないタッピングなど、より困難なタスクを引き受けなければなりません。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", RFC 2119, BCP 14, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、RFC 2119、BCP 14、1997年3月。
[TCPMD5] Heffernan, A., "Protection of BGP Sessions via the TCP MD5 Signature Option", RFC 2385, August 1998.
[TCPMD5] Heffernan、A。、「TCP MD5署名オプションによるBGPセッションの保護」、RFC 2385、1998年8月。
[RFC4271] Rekhter, Y., Li, T., and S. Hares, Eds., "A Border Gateway Protocol 4 (BGP-4)", RFC 4271, January 2006.
[RFC4271] Rekhter、Y.、Li、T。、およびS. Hares、eds。、「A Border Gateway Protocol 4(BGP-4)」、RFC 4271、2006年1月。
[IPsec] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998.
[IPSEC] Kent、S。およびR. Atkinson、「インターネットプロトコルのセキュリティアーキテクチャ」、RFC 2401、1998年11月。
[SBGP00] Kent, S., Lynn, C. and Seo, K., "Secure Border Gateway Protocol (Secure-BGP)", IEEE Journal on Selected Areas in Communications, Vol. 18, No. 4, April 2000, pp. 582-592.
[SBGP00] Kent、S.、Lynn、C。and SEO、K。、「Secure Border Gateway Protocol(Secure-BGP)」、IEEE Journal on Communications、vol。18、No。4、2000年4月、pp。582-592。
[SecCons] Rescorla, E. and B. Korver, "Guidelines for Writing RFC Text on Security Considerations", BCP 72, RFC 3552, July 2003.
[Seccons] Rescorla、E。and B. Korver、「セキュリティに関する考慮事項に関するRFCテキストを書くためのガイドライン」、BCP 72、RFC 3552、2003年7月。
[Smith96] Smith, B. and Garcia-Luna-Aceves, J.J., "Securing the Border Gateway Routing Protocol", Proc. Global Internet '96, London, UK, 20-21 November 1996.
[Smith96] Smith、B。およびGarcia-Luna-Aceves、J.J。、「Border Gateway Routing Protocolのセキュリティ」、Proc。Global Internet '96、ロンドン、英国、1996年11月20〜21日。
[RPSL] Villamizar, C., Alaettinoglu, C., Meyer, D., and S. Murphy, "Routing Policy System Security", RFC 2725, December 1999.
[RPSL] Villamizar、C.、Alaettinoglu、C.、Meyer、D。、およびS. Murphy、「ルーティングポリシーシステムセキュリティ」、RFC 2725、1999年12月。
[Watson04] Watson, P., "Slipping In The Window: TCP Reset Attacks", CanSecWest 2004, April 2004.
[Watson04] Watson、P。、「窓の滑り:TCPリセット攻撃」、Cansecwest 2004、2004年4月。
Author's Address
著者の連絡先
Sandra Murphy Sparta, Inc. 7075 Samuel Morse Drive Columbia, MD 21046
Sandra Murphy Sparta、Inc。7075 Samuel Morse Drive Columbia、MD 21046
EMail: Sandy@tislabs.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書と本書に含まれる情報は、「現状」に基づいて提供され、貢献者、インターネット社会とインターネットエンジニアリングタスクフォースが代表する、または後援する組織、またはインターネットエンジニアリングタスクフォースは、すべての保証を否認します。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用、またはそのような権利に基づくライセンスに基づくライセンスが利用可能である可能性がある範囲に関連すると主張される可能性のある他の権利の範囲に関してはありません。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果、http://ww.ietf.org/IPRでIETFオンラインIPRリポジトリから取得できます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。