[要約] 要約:RFC 4593は、ルーティングプロトコルに対する一般的な脅威について説明しています。 目的:このRFCの目的は、ルーティングプロトコルのセキュリティに関する理解を深め、脅威に対する対策を提供することです。
Network Working Group A. Barbir
Request for Comments: 4593 Nortel
Category: Informational S. Murphy
Sparta, Inc.
Y. Yang
Cisco Systems
October 2006
Generic Threats to Routing Protocols
ルーティングプロトコルに対する一般的な脅威
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
Routing protocols are subject to attacks that can harm individual users or network operations as a whole. This document provides a description and a summary of generic threats that affect routing protocols in general. This work describes threats, including threat sources and capabilities, threat actions, and threat consequences, as well as a breakdown of routing functions that might be attacked separately.
ルーティングプロトコルには、個々のユーザーまたはネットワーク操作全体に害を及ぼす可能性のある攻撃の対象となります。このドキュメントは、一般的なルーティングプロトコルに影響を与える一般的な脅威の説明と要約を提供します。この作業では、脅威ソースと能力、脅威の行動、脅威の結果、および個別に攻撃される可能性のあるルーティング機能の内訳などの脅威について説明しています。
Table of Contents
目次
1. Introduction ....................................................2
2. Routing Functions Overview ......................................3
3. Generic Routing Protocol Threat Model ...........................4
3.1. Threat Definitions .........................................4
3.1.1. Threat Sources ......................................4
3.1.1.1. Adversary Motivations ......................5
3.1.1.2. Adversary Capabilities .....................5
3.1.2. Threat Consequences .................................7
3.1.2.1. Threat Consequence Scope ...................9
3.1.2.2. Threat Consequence Zone ...................10
3.1.2.3. Threat Consequence Periods ................10
4. Generally Identifiable Routing Threat Actions ..................11
4.1. Deliberate Exposure .......................................11
4.2. Sniffing ..................................................11
4.3. Traffic Analysis ..........................................12
4.4. Spoofing ..................................................12
4.5. Falsification .............................................13
4.5.1. Falsifications by Originators ......................13
4.5.1.1. Overclaiming ..............................13
4.5.1.2. Misclaiming ...............................16
4.5.2. Falsifications by Forwarders .......................16
4.5.2.1. Misstatement ..............................16
4.6. Interference .........................................17
4.7. Overload .............................................18
5. Security Considerations ........................................18
6. References .....................................................18
6.1. Normative References ......................................18
Appendix A. Acknowledgments .......................................20
Appendix B. Acronyms ..............................................20
Routing protocols are subject to threats and attacks that can harm individual users or the network operations as a whole. The document provides a summary of generic threats that affect routing protocols. In particular, this work identifies generic threats to routing protocols that include threat sources, threat actions, and threat consequences. A breakdown of routing functions that might be separately attacked is provided.
ルーティングプロトコルには、個々のユーザーまたはネットワーク操作全体に害を及ぼす可能性のある脅威や攻撃があります。このドキュメントは、ルーティングプロトコルに影響を与える一般的な脅威の要約を提供します。特に、この作業は、脅威ソース、脅威行動、脅威の結果を含むルーティングプロトコルに対する一般的な脅威を特定します。個別に攻撃される可能性のあるルーティング関数の内訳が提供されます。
This work should be considered a precursor to developing a common set of security requirements for routing protocols. While it is well known that bad, incomplete, or poor implementations of routing protocols may, in themselves, lead to routing problems or failures or may increase the risk of a network's being attacked successfully, these issues are not considered here. This document only considers attacks against robust, well-considered implementations of routing protocols, such as those specified in Open Shortest Path First (OSPF) [4], Intermediate System to Intermediate System (IS-IS) [5][8], RIP [6] and BGP [7]. Attacks against implementation-specific weaknesses and vulnerabilities are out of scope for this document.
この作業は、ルーティングプロトコルの共通のセキュリティ要件セットを開発する前兆と見なされるべきです。ルーティングプロトコルの悪い、不完全、または不十分な実装が、それ自体がルーティングの問題や障害につながる可能性があるか、ネットワークが攻撃されるリスクを高める可能性があることはよく知られていますが、これらの問題はここでは考慮されません。このドキュメントでは、オープン最短パスファースト(OSPF)[4]、中間システムから中間システム(IS-IS)[5] [8]、RIPなど、ルーティングプロトコルの堅牢でよく考えられている実装に対する攻撃のみを考慮します。[6]およびBGP [7]。実装固有の弱点と脆弱性に対する攻撃は、このドキュメントの範囲外です。
The document is organized as follows: Section 2 provides a review of routing functions. Section 3 defines threats. In Section 4, a discussion on generally identifiable routing threat actions is provided. Section 5 addresses security considerations.
ドキュメントは次のように編成されています。セクション2では、ルーティング機能のレビューを提供します。セクション3では、脅威を定義しています。セクション4では、一般的に識別可能なルーティング脅威アクションに関する議論が提供されます。セクション5では、セキュリティに関する考慮事項について説明します。
This section provides an overview of common functions that are shared among various routing protocols. In general, routing protocols share the following functions:
このセクションでは、さまざまなルーティングプロトコル間で共有される一般的な関数の概要を説明します。一般に、ルーティングプロトコルは次の機能を共有しています。
o Transport Subsystem: The routing protocol transmits messages to its neighbors using some underlying protocol. For example, OSPF uses IP, while other protocols may run over TCP.
o トランスポートサブシステム:ルーティングプロトコルは、基礎となるプロトコルを使用してメッセージを近隣に送信します。たとえば、OSPFはIPを使用しますが、他のプロトコルはTCPを介して実行される場合があります。
o Neighbor State Maintenance: Neighboring relationship formation is the first step for topology determination. For this reason, routing protocols may need to maintain state information. Each routing protocol may use a different mechanism for determining its neighbors in the routing topology. Some protocols have distinct exchanges through which they establish neighboring relationships, e.g., Hello exchanges in OSPF.
o 近隣の州のメンテナンス:近隣の関係形成は、トポロジー決定の最初のステップです。このため、ルーティングプロトコルは状態情報を維持する必要がある場合があります。各ルーティングプロトコルは、ルーティングトポロジ内の隣接を決定するために異なるメカニズムを使用する場合があります。一部のプロトコルには、隣接する関係を確立する明確な交換があります。
o Database Maintenance: Routing protocols exchange network topology and reachability information. The routers collect this information in routing databases with varying detail. The maintenance of these databases is a significant portion of the function of a routing protocol.
o データベースメンテナンス:ルーティングプロトコルは、ネットワークトポロジとリーチ性情報を交換します。ルーターは、さまざまな詳細でルーティングデータベースでこの情報を収集します。これらのデータベースのメンテナンスは、ルーティングプロトコルの機能の大部分です。
In a routing protocol, there are message exchanges that are intended for the control of the state of the protocol. For example, neighbor maintenance messages carry such information. On the other hand, there are messages that are used to exchange information that is intended to be used in the forwarding function, for example, messages that are used to maintain the database. These messages affect the data (information) part of the routing protocol.
ルーティングプロトコルには、プロトコルの状態の制御を目的としたメッセージ交換があります。たとえば、近隣のメンテナンスメッセージにはそのような情報が含まれています。一方、転送機能で使用することを目的とした情報を交換するために使用されるメッセージ、たとえばデータベースの維持に使用されるメッセージがあります。これらのメッセージは、ルーティングプロトコルのデータ(情報)部分に影響します。
The model developed in this section can be used to identify threats to any routing protocol.
このセクションで開発されたモデルは、ルーティングプロトコルに対する脅威を特定するために使用できます。
Routing protocols are subject to threats at various levels. For example, threats can affect the transport subsystem, where the routing protocol can be subject to attacks on its underlying protocol. An attacker may also attack messages that carry control information in a routing protocol to break a neighboring (e.g., peering, adjacency) relationship. This type of attack can impact the network routing behavior in the affected routers and likely the surrounding neighborhood as well. For example, in BGP, if a router receives a CEASE message, it will break its neighboring relationship to its peer and potentially send new routing information to any remaining peers.
ルーティングプロトコルは、さまざまなレベルでの脅威の対象となります。たとえば、脅威はトランスポートサブシステムに影響を与える可能性があります。このサブシステムでは、ルーティングプロトコルが基礎となるプロトコルに対する攻撃の対象となります。また、攻撃者は、ルーティングプロトコルで制御情報を運ぶメッセージを攻撃して、隣接する(例えば、ピアリング、隣接)関係を破ります。このタイプの攻撃は、影響を受けるルーターとおそらく周囲の近所のネットワークルーティング動作に影響を与える可能性があります。たとえば、BGPでは、ルーターが停止メッセージを受信した場合、ピアとの隣接する関係を破り、残りのピアに新しいルーティング情報を送信する可能性があります。
An attacker may also attack messages that carry data information in order to break a database exchange between two routers or to affect the database maintenance functionality. For example, the information in the database must be authentic and authorized. An attacker who is able to introduce bogus data can have a strong effect on the behavior of routing in the neighborhood. For example, if an OSPF router sends LSAs with the wrong Advertising Router, the receivers will compute a Shortest Path First (SPF) tree that is incorrect and might not forward the traffic. If a BGP router advertises a Network Layer Reachability Information (NLRI) that it is not authorized to advertise, then receivers might forward that NLRI's traffic toward that router and the traffic would not be deliverable. A Protocol Independent Multicast (PIM) router might transmit a JOIN message to receive multicast data it would otherwise not receive.
攻撃者は、2つのルーター間のデータベース交換を壊したり、データベースのメンテナンス機能に影響を与えるために、データ情報を伝達するメッセージを攻撃する場合もあります。たとえば、データベース内の情報は本物で承認されている必要があります。偽のデータを導入できる攻撃者は、近隣のルーティングの動作に大きな影響を与える可能性があります。たとえば、OSPFルーターが間違った広告ルーターでLSAを送信する場合、受信機は最初に最短パス(SPF)ツリーを間違っており、トラフィックを転送しない可能性があります。BGPルーターが宣伝することが許可されていないネットワークレイヤーリーチビリティ情報(NLRI)を宣伝する場合、受信者はそのルーターにNLRIのトラフィックを転送し、トラフィックが配達可能ではないことを受信者が転送できます。プロトコル独立したマルチキャスト(PIM)ルーターは、結合メッセージを送信して、それ以外の場合は受信しないマルチキャストデータを受信する場合があります。
In [1], a threat is defined as a potential for violation of security, which exists when there is a circumstance, capability, action, or event that could breach security and cause harm. Threats can be categorized as threat sources, threat actions, threat consequences, threat consequence zones, and threat consequence periods.
[1]では、脅威はセキュリティの違反の可能性として定義されます。これは、セキュリティに違反して害を引き起こす可能性のある状況、能力、行動、またはイベントがある場合に存在します。脅威は、脅威源、脅威行動、脅威の結果、脅威の結果ゾーン、および脅威の結果期間に分類できます。
In the context of deliberate attack, a threat source is defined as a motivated, capable adversary. By modeling the motivations (attack goals) and capabilities of the adversaries who are threat sources, one can better understand what classes of attacks these threats may mount and thus what types of countermeasures will be required to deal with these attacks.
意図的な攻撃の文脈では、脅威ソースはやる気のある有能な敵として定義されます。脅威源である敵の動機(攻撃目標)と能力をモデル化することにより、これらの脅威がどのクラスの攻撃が得られるか、したがって、これらの攻撃に対処するためにどのような対策が必要かをよりよく理解することができます。
We assume that the most common goal of an adversary deliberately attacking routing is to cause inter-domain routing to malfunction. A routing malfunction affects data transmission such that traffic follows a path (sequence of autonomous systems in the case of BGP) other than one that would have been computed by the routing protocol if it were operating properly (i.e., if it were not under attack). As a result of an attack, a route may terminate at a router other than the one that legitimately represents the destination address of the traffic, or it may traverse routers other than those that it would otherwise have traversed. In either case, a routing malfunction may allow an adversary to wiretap traffic passively, or to engage in man-in-the-middle (MITM) active attacks, including discarding traffic (denial of service).
敵が意図的に攻撃するルーティングの最も一般的な目標は、ドメイン間ルーティングを誤動作することであると仮定します。ルーティングの誤動作は、データ送信に影響を与えます。これにより、トラフィックは、適切に動作している場合(つまり、攻撃を受けていない場合)、ルーティングプロトコルによって計算されたもの以外のトラフィック(BGPの場合の自律システムのシーケンス)に従うように影響します。。攻撃の結果として、ルートは、トラフィックの宛先アドレスを合法的に表すルーター以外のルーターで終了する場合があります。そうしないと、それ以外の場合はルーター以外のルーターを通過する場合があります。どちらの場合でも、ルーティングの誤動作により、敵が受動的に盗聴することを可能にする場合があります。
A routing malfunction might be effected for financial gain related to traffic volume (vs. the content of the routed traffic), e.g., to affect settlements among ISPs.
ISP間の和解に影響を与えるために、交通量に関連する経済的利益(ルーティングされたトラフィックの内容)のために、ルーティングの誤動作が行われる可能性があります。
Another possible goal for attacks against routing can be damage to the network infrastructure itself, on a targeted or wide-scale basis. Thus, for example, attacks that cause excessive transmission of UPDATE or other management messages, and attendant router processing, could be motivated by these goals.
ルーティングに対する攻撃のもう1つの可能な目標は、ターゲットまたは広範囲のベースで、ネットワークインフラストラクチャ自体にダメージを与える可能性があります。したがって、たとえば、更新またはその他の管理メッセージの過度の送信を引き起こす攻撃、および付随するルーター処理は、これらの目標によって動機付けられる可能性があります。
Irrespective of the goals noted above, an adversary may or may not be averse to detection and identification. This characteristic of an adversary influences some of the ways in which attacks may be accomplished.
上記の目標に関係なく、敵は検出と識別を嫌う場合と嫌悪感を抱いている場合とそうでない場合があります。敵の特徴は、攻撃が達成される可能性のある方法のいくつかに影響を与えます。
Different adversaries possess varied capabilities.
異なる敵はさまざまな能力を持っています。
o All adversaries are presumed to be capable of directing packets to routers from remote locations and can assert a false IP source address with each packet (IP address spoofing) in an effort to cause the targeted router to accept and process the packet as though it emanated from the indicated source. Spoofing attacks may be employed to trick routers into acting on bogus messages to effect misrouting, or these messages may be used to overwhelm the management processor in a router, to effect DoS. Protection from such adversaries must not rely on the claimed identity in routing packets that the protocol receives.
o すべての敵は、リモートの場所からルーターにパケットを向けることができると推定されており、ターゲットルーターがパケットを受け入れて処理するように、各パケット(IPアドレススプーフィング)で誤ったIPソースアドレスを主張することができます。指定されたソース。スプーフィング攻撃を使用して、ルーターをだまして偽のメッセージに作用して誤った誤った攻撃を行うか、これらのメッセージを使用してルーターで管理プロセッサを圧倒してDOSを効果的に使用する場合があります。そのような敵からの保護は、プロトコルが受け取るルーティングパケットの請求されたアイデンティティに依存してはなりません。
o Some adversaries can monitor links over which routing traffic is carried and emit packets that mimic data contained in legitimate routing traffic carried over these links; thus, they can actively participate in message exchanges with the legitimate routers. This increases the opportunities for an adversary to generate bogus routing traffic that may be accepted by a router, to effect misrouting or DoS. Retransmission of previously delivered management traffic (replay attacks) exemplify this capability. As a result, protection from such adversaries ought not to rely on the secrecy of unencrypted data in packet headers or payloads.
o 一部の敵は、ルーティングトラフィックが運ばれるリンクを監視し、これらのリンクを介して正当なルーティングトラフィックに含まれるデータを模倣するパケットを模倣することができます。したがって、彼らは正当なルーターとのメッセージ交換に積極的に参加できます。これにより、敵がルーターによって受け入れられる可能性のある偽のルーティングトラフィックを生成し、誤った誤ったものやDOSを実現する機会が増えます。以前に配信された管理トラフィック(リプレイ攻撃)の再送信がこの機能を例示しています。その結果、そのような敵からの保護は、パケットヘッダーまたはペイロードにおける暗号化されていないデータの秘密に依存するべきではありません。
o Some adversaries can effect MITM attacks against routing traffic, e.g., as a result of active wiretapping on a link between two routers. This represents the ultimate wiretapping capability for an adversary. Protection from such adversaries must not rely on the integrity of inter-router links to authenticate traffic, unless cryptographic measures are employed to detect unauthorized modification.
o 一部の敵は、2つのルーター間のリンクでのアクティブな盗聴の結果として、トラフィックのルーティングに対するMITM攻撃に影響を与える可能性があります。これは、敵の究極の盗聴能力を表しています。そのような敵からの保護は、不正な修正を検出するために暗号化措置が採用されていない限り、トラフィックを認証するためにルーター間リンクの完全性に依存してはなりません。
o Some adversaries can subvert routers, or the management workstations used to control these routers. These Byzantine failures represent the most serious form of attack capability in that they result in emission of bogus traffic by legitimate routers. As a result, protection from such adversaries must not rely on the correct operation of neighbor routers. Protection measures should adopt the principle of least privilege, to minimize the impact of attacks of this sort. To counter Byzantine attacks, routers ought not to trust management traffic (e.g., based on its source) but rather each router should independently authenticate management traffic before acting upon it.
o 一部の敵は、ルーター、またはこれらのルーターを制御するために使用される管理ワークステーションを破壊することができます。これらのビザンチンの障害は、正当なルーターによる偽のトラフィックの放出をもたらすという点で、最も深刻な攻撃能力を表しています。その結果、そのような敵からの保護は、隣接ルーターの正しい操作に依存してはなりません。保護対策は、この種の攻撃の影響を最小限に抑えるために、最小の特権の原則を採用する必要があります。ビザンチンの攻撃に対抗するために、ルーターは管理トラフィック(たとえば、そのソースに基づいて)を信頼するべきではなく、各ルーターがそれに基づいて行動する前に独立して管理トラフィックを認証する必要があります。
We will assume that any cryptographic countermeasures employed to secure BGP will employ algorithms and modes that are resistant to attack, even by sophisticated adversaries; thus, we will ignore cryptanalytic attacks.
BGPを保護するために採用された暗号化対策は、洗練された敵によってさえ、攻撃に耐性のあるアルゴリズムとモードを採用すると仮定します。したがって、暗号化攻撃を無視します。
Deliberate attacks are mimicked by failures that are random and unintentional. In particular, a Byzantine failure in a router may occur because the router is faulty in hardware or software or is misconfigured. As described in [3], "A node with a Byzantine failure may corrupt messages, forge messages, delay messages, or send conflicting messages to different nodes". Byzantine routers, whether faulty, misconfigured, or subverted, have the context to provide believable and very damaging bogus routing information. Byzantine routers may also claim another legitimate peer's identity. Given their status as peers, they may even elude the authentication protections, if those protections can only detect that a source is one of the legitimate peers (e.g., the router uses the same cryptographic key to authenticate all peers).
意図的な攻撃は、ランダムで意図的ではない失敗によって模倣されます。特に、ルーターがハードウェアやソフトウェアに故障しているか、誤解されているため、ルーターでのビザンチン障害が発生する可能性があります。[3]で説明されているように、「ビザンチンの障害を伴うノードは、メッセージを破壊したり、メッセージを偽造したり、メッセージを遅らせたり、異なるノードに矛盾するメッセージを送信したりする可能性があります」。ビザンチンのルーターは、誤った、誤って、または破壊されているかどうかにかかわらず、信頼できる非常に有害な偽のルーティング情報を提供するコンテキストを持っています。ビザンチンルーターは、別の正当なピアのアイデンティティを主張する場合があります。ピアとしてのステータスを考えると、それらの保護がソースが正当なピアの1つであることのみを検出できる場合、認証保護を排除することさえあります(たとえば、ルーターは同じ暗号化キーを使用してすべてのピアを認証します)。
We therefore characterize threat sources into two groups:
したがって、脅威ソースを2つのグループに特徴付けます。
Outsiders: These attackers may reside anywhere in the Internet, have the ability to send IP traffic to the router, may be able to observe the router's replies, and may even control the path for a legitimate peer's traffic. These are not legitimate participants in the routing protocol.
部外者:これらの攻撃者は、インターネットのどこにでも住んでいて、ルーターにIPトラフィックを送信する能力を持ち、ルーターの返信を観察することができ、合法的なピアのトラフィックのパスを制御することさえできます。これらは、ルーティングプロトコルの正当な参加者ではありません。
Byzantine: These attackers are faulty, misconfigured, or subverted routers; i.e., legitimate participants in the routing protocol.
ビザンチン:これらの攻撃者は、誤っている、誤って構成されている、または破壊されたルーターです。すなわち、ルーティングプロトコルの正当な参加者。
A threat consequence is a security violation that results from a threat action [1]. To a routing protocol, a security violation is a compromise of some aspect of the correct behavior of the routing system. The compromise can damage the data traffic intended for a particular network or host or can damage the operation of the routing infrastructure of the network as a whole.
脅威の結果は、脅威行動に起因するセキュリティ違反です[1]。ルーティングプロトコルにとって、セキュリティ違反は、ルーティングシステムの正しい動作のいくつかの側面の妥協です。妥協点は、特定のネットワークまたはホスト用に意図されたデータトラフィックに損傷を与えたり、ネットワーク全体のルーティングインフラストラクチャの動作を損傷する可能性があります。
There are four types of general threat consequences: disclosure, deception, disruption, and usurpation [1].
一般的な脅威の結果には、開示、欺ception、混乱、および奪取の4種類があります[1]。
o Disclosure: Disclosure of routing information happens when an attacker successfully accesses the information without being authorized. Outsiders who can observe or monitor a link may cause disclosure, if routing exchanges lack confidentiality. Byzantine routers can cause disclosure, as long as they are successfully involved in the routing exchanges. Although inappropriate disclosure of routing information can pose a security threat or be part of a later, larger, or higher layer attack, confidentiality is not generally a design goal of routing protocols.
o 開示:ルーティング情報の開示は、攻撃者が許可されずに情報に正常にアクセスすると発生します。ルーティング交換に機密性がない場合、リンクを観察または監視できる部外者は開示を引き起こす可能性があります。ビザンチンのルーターは、ルーティング交換にうまく関与している限り、開示を引き起こす可能性があります。ルーティング情報の不適切な開示は、セキュリティの脅威をもたらすか、後の、より大きな、または高層攻撃の一部である可能性がありますが、機密性は一般にルーティングプロトコルの設計目標ではありません。
o Deception: This consequence happens when a legitimate router receives a forged routing message and believes it to be authentic. Both outsiders and Byzantine routers can cause this consequence if the receiving router lacks the ability to check routing message integrity or origin authentication.
o 欺ception:この結果は、正当なルーターが偽造されたルーティングメッセージを受け取り、それが本物であると信じているときに起こります。受信ルーターにルーティングメッセージの整合性または起源認証を確認する機能がない場合、部外者とビザンチンの両方のルーターがこの結果を引き起こす可能性があります。
o Disruption: This consequence occurs when a legitimate router's operation is being interrupted or prevented. Outsiders can cause this by inserting, corrupting, replaying, delaying, or dropping routing messages, or by breaking routing sessions between legitimate routers. Byzantine routers can cause this consequence by sending false routing messages, interfering with normal routing exchanges, or flooding unnecessary routing protocol messages. (DoS is a common threat action causing disruption.)
o 中断:この結果は、正当なルーターの操作が中断または防止されている場合に発生します。部外者は、ルーティングメッセージを挿入、破損、再生、遅延、またはドロップすること、または合法的なルーター間のルーティングセッションを壊すことにより、これを引き起こす可能性があります。ビザンチンルーターは、誤ったルーティングメッセージを送信したり、通常のルーティング交換を妨害したり、不必要なルーティングプロトコルメッセージを浸水させたりすることにより、この結果を引き起こす可能性があります。(DOSは、混乱を引き起こす一般的な脅威行動です。)
o Usurpation: This consequence happens when an attacker gains control over the services/functions a legitimate router is providing to others. Outsiders can cause this by delaying or dropping routing exchanges, or fabricating or replaying routing information. Byzantine routers can cause this consequence by sending false routing information or interfering with routing exchanges.
o 奪取:この結果は、攻撃者が正当なルーターが他の人に提供しているサービス/機能に対する制御を獲得すると発生します。部外者は、ルーティング交換を遅らせたりドロップしたり、ルーティング情報を製造または再生することにより、これを引き起こす可能性があります。ビザンチンルーターは、誤ったルーティング情報を送信したり、ルーティング交換を妨害することにより、この結果を引き起こす可能性があります。
Note: An attacker does not have to control a router directly to control its services. For example, in Figure 1, Network 1 is dual-homed through Router A and Router B, and Router A is preferred. However, Router B is compromised and advertises a better metric. Consequently, devices on the Internet choose the path through Router B to reach Network 1. In this way, Router B steals the data traffic, and Router A loses its control of the services to Router B. This is depicted in Figure 1.
注:攻撃者は、サービスを制御するためにルーターを直接制御する必要はありません。たとえば、図1では、ネットワーク1はルーターAとルーターBを介してデュアルホームされており、ルーターAが推奨されます。ただし、ルーターBは侵害されており、より良いメトリックを宣伝しています。その結果、インターネット上のデバイスはルーターBを介してパスを選択してネットワーク1に到達します。このようにして、ルーターBはデータトラフィックを盗み、ルーターAはルーターBへのサービスの制御を失います。これを図1に示します。
+-------------+ +-------+
| Internet |---| Rtr A |
+------+------+ +---+---+
| |
| |
| |
| *-+-*
+-------+ / \
| Rtr B |----------* N 1 *
+-------+ \ /
*---*
Figure 1. Dual-homed network
図1.デュアルホームネットワーク
Several threat consequences might be caused by a single threat action. In Figure 1, there exist at least two consequences: routers using Router B to reach Network 1 are deceived, and Router A is usurped.
いくつかの脅威の結果は、単一の脅威行動によって引き起こされる可能性があります。図1には、少なくとも2つの結果が存在します。ルーターBを使用してネットワーク1に到達するルーターが欺かれ、ルーターAが奪われます。
As mentioned above, an attack might damage the data traffic intended for a particular network or host or damage the operation of the routing infrastructure of the network as a whole. Damage that might result from attacks against the network as a whole may include the following:
上記のように、攻撃は、特定のネットワーク用に意図されたデータトラフィックを損傷するか、ホストまたはネットワーク全体のルーティングインフラストラクチャの操作を損傷する可能性があります。ネットワーク全体に対する攻撃から生じる可能性のあるダメージには、以下が含まれる場合があります。
o Network congestion. More data traffic is forwarded through some portion of the network than would otherwise need to carry the traffic.
o ネットワークの混雑。それ以外の場合は、トラフィックを運ぶ必要があるよりも、ネットワークの一部を介してより多くのデータトラフィックが転送されます。
o Blackhole. Large amounts of traffic are unnecessarily re-directed to be forwarded through one router and that router drops many/most/all packets.
o ブラックホール。大量のトラフィックは、1つのルーターを介して転送されるように不必要に再監督され、そのルーターは多くの/ほとんど/すべてのパケットをドロップします。
o Looping. Data traffic is forwarded along a route that loops, so that the data is never delivered (resulting in network congestion).
o ループ。データトラフィックはループするルートに沿って転送されるため、データが配信されないようになります(ネットワークの輻輳が発生します)。
o Partition. Some portion of the network believes that it is partitioned from the rest of the network when it is not.
o パーティション。ネットワークの一部は、ネットワークの残りの部分から分割されていないと考えています。
o Churn. The forwarding in the network changes (unnecessarily) at a rapid pace, resulting in large variations in the data delivery patterns (and adversely affecting congestion control techniques).
o チャーン。ネットワークの転送は(不必要に)急速なペースで変化し、データ提供パターンに大きなばらつきがあります(混雑制御技術に悪影響を及ぼします)。
o Instability. The protocol becomes unstable so that convergence on a global forwarding state is not achieved.
o 不安定。プロトコルは不安定になり、グローバル転送状態での収束が達成されません。
o Overcontrol. The routing protocol messages themselves become a significant portion of the traffic the network carries.
o オーバーコントロール。ルーティングプロトコルメッセージ自体は、ネットワークが伝達するトラフィックの大部分になります。
o Clog. A router receives an excessive number of routing protocol messages, causing it to exhaust some resource (e.g., memory, CPU, battery).
o 詰まります。ルーターは、過度の数のルーティングプロトコルメッセージを受信し、リソース(メモリ、CPU、バッテリーなど)を使い果たします。
The damage that might result from attacks against a particular host or network address may include the following:
特定のホストまたはネットワークアドレスに対する攻撃から生じる可能性のある損害には、以下が含まれる場合があります。
o Starvation. Data traffic destined for the network or host is forwarded to a part of the network that cannot deliver it.
o 飢v。ネットワークまたはホスト用に運命づけられているデータトラフィックは、それを提供できないネットワークの一部に転送されます。
o Eavesdrop. Data traffic is forwarded through some router or network that would otherwise not see the traffic, affording an opportunity to see the data or at least the data delivery pattern.
o 盗聴。データトラフィックは、それ以外の場合はトラフィックが表示されないルーターまたはネットワークを介して転送され、データまたは少なくともデータ配信パターンを確認する機会が与えられます。
o Cut. Some portion of the network believes that it has no route to the host or network when it is in fact connected.
o 切る。ネットワークの一部は、実際に接続されている場合、ホストまたはネットワークへのルートがないと考えています。
o Delay. Data traffic destined for the network or host is forwarded along a route that is in some way inferior to the route it would otherwise take.
o 遅れ。ネットワークまたはホスト用に運命づけられているデータトラフィックは、それ以外の場合はそれが取るルートよりも劣っているルートに沿って転送されます。
o Looping. Data traffic for the network or host is forwarded along a route that loops, so that the data is never delivered.
o ループ。ネットワークまたはホストのデータトラフィックは、ループするルートに沿って転送されるため、データが配信されないようにします。
It is important to consider all consequences, because some security solutions can protect against one consequence but not against others. It might be possible to design a security solution that protects against eavesdropping on one destination's traffic without protecting against churn in the network. Similarly, it is possible to design a security solution that prevents a starvation attack against one host, but not a clogging attack against a router. The security requirements must be clear as to which consequences are being avoided and which consequences must be addressed by other means (e.g., by administrative means outside the protocol).
一部のセキュリティソリューションは、ある結果から保護できますが、他の結果からではなく保護できるため、すべての結果を考慮することが重要です。ネットワーク内の解約から保護することなく、1つの目的地の交通を盗聴することから保護するセキュリティソリューションを設計することが可能かもしれません。同様に、1人のホストに対する飢star攻撃を防ぐセキュリティソリューションを設計することができますが、ルーターに対する詰まり攻撃ではありません。セキュリティ要件は、どの結果が回避され、どの結果が他の手段で対処しなければならないかについて明確でなければなりません(たとえば、プロトコル以外の管理手段によって)。
A threat consequence zone covers the area within which the network operations have been affected by threat actions. Possible threat consequence zones can be classified as a single link or router, multiple routers (within a single routing domain), a single routing domain, multiple routing domains, or the global Internet. The threat consequence zone varies based on the threat action and the position of the target of the attack. Similar threat actions that happen at different locations may result in totally different threat consequence zones. For example, when an outsider breaks the routing session between a distribution router and a stub router, only reachability to and from the network devices attached to the stub router will be impaired. In other words, the threat consequence zone is a single router. In another case, if the outsider is located between a customer edge router and its corresponding provider edge router, such an action might cause the whole customer site to lose its connection. In this case, the threat consequence zone might be a single routing domain.
脅威の結果ゾーンは、ネットワーク操作が脅威行動の影響を受けている領域をカバーします。脅威の結果ゾーンは、単一のリンクまたはルーター、複数のルーター(単一のルーティングドメイン内)、単一のルーティングドメイン、複数のルーティングドメイン、またはグローバルインターネットとして分類できます。脅威の結果ゾーンは、脅威の行動と攻撃のターゲットの位置に基づいて異なります。異なる場所で発生する同様の脅威アクションは、まったく異なる脅威の結果ゾーンをもたらす可能性があります。たとえば、部外者が分布ルーターとスタブルーターの間のルーティングセッションを破ると、スタブルーターに接続されたネットワークデバイスとの間の到達可能性が損なわれます。言い換えれば、脅威の結果ゾーンは単一のルーターです。別のケースでは、部外者が顧客エッジルーターとそれに対応するプロバイダーエッジルーターの間にある場合、そのようなアクションにより、顧客サイト全体が接続を失う可能性があります。この場合、脅威の結果ゾーンは単一のルーティングドメインである可能性があります。
A threat consequence period is defined as the portion of time during which the network operations are impacted by the threat consequences. The threat consequence period is influenced by, but not totally dependent on, the duration of the threat action. In some cases, the network operations will get back to normal as soon as the threat action has been stopped. In other cases, however, threat consequences may persist longer than does the threat action. For example, in the original Advanced Research Projects Agency Network (ARPANET) link-state algorithm, some errors in a router introduced three instances of a Link-State Announcement (LSA). All of them flooded throughout the network continuously, until the entire network was power cycled [2].
脅威の結果期間は、ネットワーク操作が脅威の結果によって影響を受ける時間の一部として定義されます。脅威の結果期間は、脅威行動の期間に影響されますが、完全に依存していません。場合によっては、脅威アクションが停止するとすぐに、ネットワーク操作が正常に戻ります。ただし、他のケースでは、脅威の結果は脅威アクションよりも長く持続する場合があります。たとえば、元のAdvanced Research Projects Agency Network(ARPANET)リンク状態アルゴリズムでは、ルーターにいくつかのエラーがリンク状態発表(LSA)の3つのインスタンスを導入しました。それらはすべて、ネットワーク全体がパワーサイクルされるまで、ネットワーク全体に継続的に浸水しました[2]。
This section addresses generally identifiable and recognized threat actions against routing protocols. The threat actions are not necessarily specific to individual protocols but may be present in one or more of the common routing protocols in use today.
このセクションでは、一般的に識別可能で認識されているルーティングプロトコルに対する脅威アクションについて説明します。脅威アクションは必ずしも個々のプロトコルに固有のものではありませんが、現在使用されている1つ以上の一般的なルーティングプロトコルに存在する可能性があります。
Deliberate exposure occurs when an attacker takes control of a router and intentionally releases routing information to other entities (e.g., the attacker, a web page, mail posting, other routers) that otherwise should not receive the exposed information.
攻撃者がルーターを制御し、ルーティング情報を他のエンティティ(攻撃者、Webページ、メール投稿、その他のルーターなど)に意図的にリリースして、それ以外の場合は公開された情報を受け取ってはならない場合、意図的な露出が発生します。
The consequence of deliberate exposure is the disclosure of routing information.
意図的な露出の結果は、ルーティング情報の開示です。
The threat consequence zone of deliberate exposure depends on the routing information that the attackers have exposed. The more knowledge they have exposed, the bigger the threat consequence zone.
意図的な暴露の脅威の結果ゾーンは、攻撃者が暴露したルーティング情報に依存します。彼らが暴露した知識が多いほど、脅威の結果ゾーンが大きくなります。
The threat consequence period of deliberate exposure might be longer than the duration of the action itself. The routing information exposed will not be outdated until there is a topology change of the exposed network.
意図的な暴露の脅威の結果期間は、アクション自体の期間よりも長くなる可能性があります。公開されたルーティング情報は、露出したネットワークのトポロジー変更が発生するまで時代遅れではありません。
Sniffing is an action whereby attackers monitor and/or record the routing exchanges between authorized routers to sniff for routing information. Attackers can also sniff data traffic information (however, this is out of scope of the current work).
スニッフィングとは、攻撃者がルーティング情報のためにスニッフィングするために、承認されたルーター間のルーティング交換を監視および/または記録するアクションです。攻撃者はデータトラフィック情報を嗅ぐこともできます(ただし、これは現在の作業の範囲外です)。
The consequence of sniffing is disclosure of routing information.
スニッフィングの結果は、ルーティング情報の開示です。
The threat consequence zone of sniffing depends on the attacker's location, the routing protocol type, and the routing information that has been recorded. For example, if the outsider is sniffing a link that is in an OSPF totally stubby area, the threat consequence zone should be limited to the whole area. An attacker that is sniffing a link in an External Border Gateway Protocol (EBGP) session can gain knowledge of multiple routing domains.
スニッフィングの脅威の結果ゾーンは、攻撃者の位置、ルーティングプロトコルタイプ、および記録されたルーティング情報に依存します。たとえば、部外者がOSPF完全にずんぐりした領域にあるリンクを嗅いでいる場合、脅威の結果ゾーンは領域全体に限定されるべきです。外部ボーダーゲートウェイプロトコル(EBGP)セッションでリンクをスニッフィングしている攻撃者は、複数のルーティングドメインの知識を得ることができます。
The threat consequence period might be longer than the duration of the action. If an attacker stops sniffing a link, their acquired knowledge will not be out-dated until there is a topology change of the affected network.
脅威の結果期間は、アクションの期間よりも長くなる可能性があります。攻撃者がリンクのスニッフィングを停止した場合、獲得した知識は、影響を受けるネットワークのトポロジー変更が発生するまで外出されません。
Traffic analysis is an action whereby attackers gain routing information by analyzing the characteristics of the data traffic on a subverted link. Traffic analysis threats can affect any data that is sent over a communication link. This threat is not peculiar to routing protocols and is included here for completeness.
トラフィック分析とは、攻撃者が破壊されたリンク上のデータトラフィックの特性を分析することにより、ルーティング情報を取得するアクションです。トラフィック分析の脅威は、通信リンクを介して送信されるデータに影響を与える可能性があります。この脅威は、ルーティングプロトコルに特有のものではなく、完全性のためにここに含まれています。
The consequence of data traffic analysis is the disclosure of routing information. For example, the source and destination IP addresses of the data traffic and the type, magnitude, and volume of traffic can be disclosed.
データトラフィック分析の結果は、ルーティング情報の開示です。たとえば、データトラフィックのソースおよび宛先IPアドレスとトラフィックのタイプ、大きさ、およびボリュームを開示できます。
The threat consequence zone of the traffic analysis depends on the attacker's location and what data traffic has passed through. An attacker at the network core should be able to gather more information than its counterpart at the edge and would therefore have to be able to analyze traffic patterns in a wider area.
トラフィック分析の脅威の結果ゾーンは、攻撃者の位置とデータトラフィックが通過したことによって異なります。ネットワークコアの攻撃者は、エッジのカウンターパートよりも多くの情報を収集できるため、より広い領域のトラフィックパターンを分析できる必要があります。
The threat consequence period might be longer than the duration of the traffic analysis. After the attacker stops traffic analysis, its knowledge will not be outdated until there is a topology change of the disclosed network.
脅威の結果期間は、トラフィック分析の期間よりも長くなる可能性があります。攻撃者がトラフィック分析を停止した後、開示されたネットワークのトポロジー変更が発生するまで、その知識は時代遅れになりません。
Spoofing occurs when an illegitimate device assumes the identity of a legitimate one. Spoofing in and of itself is often not the true attack. Spoofing is special in that it can be used to carry out other threat actions causing other threat consequences. An attacker can use spoofing as a means for launching other types of attacks. For example, if an attacker succeeds in spoofing the identity of a router, the attacker can send out unrealistic routing information that might cause the disruption of network services.
スプーフィングは、違法なデバイスが正当なデバイスのアイデンティティを想定している場合に発生します。それ自体のスプーフィングは、多くの場合、真の攻撃ではありません。スプーフィングは、他の脅威の結果を引き起こす他の脅威行動を実行するために使用できるという点で特別です。攻撃者は、他のタイプの攻撃を開始するための手段としてスプーフィングを使用できます。たとえば、攻撃者がルーターのアイデンティティをスプーフィングすることに成功した場合、攻撃者はネットワークサービスの混乱を引き起こす可能性のある非現実的なルーティング情報を送信できます。
There are a few cases where spoofing can be an attack in and of itself. For example, messages from an attacker that spoof the identity of a legitimate router may cause a neighbor relationship to form and deny the formation of the relationship with the legitimate router.
スプーフィングがそれ自体で攻撃になる可能性があるいくつかのケースがあります。たとえば、合法的なルーターのアイデンティティを押し上げる攻撃者からのメッセージは、隣接関係を形成し、合法的なルーターとの関係の形成を否定する可能性があります。
The consequences of spoofing are as follows:
スプーフィングの結果は次のとおりです。
o The disclosure of routing information. The spoofing router will be able to gain access to the routing information.
o ルーティング情報の開示。スプーフィングルーターは、ルーティング情報にアクセスできるようになります。
o The deception of peer relationship. The authorized routers, which exchange routing messages with the spoofing router, do not realize that they are neighboring with a router that is faking another router's identity.
o ピア関係の欺ception。スプーフィングルーターとルーティングメッセージを交換する許可されたルーターは、別のルーターのアイデンティティを偽造しているルーターが隣接していることを認識していません。
The threat consequence zone is as follows:
脅威の結果ゾーンは次のとおりです。
o The consequence zone of the fake peer relationship will be limited to those routers trusting the attacker's claimed identity.
o 偽のピア関係の結果ゾーンは、攻撃者の主張されたアイデンティティを信頼するルーターに限定されます。
o The consequence zone of the disclosed routing information depends on the attacker's location, the routing protocol type, and the routing information that has been exchanged between the attacker and its deceived neighbors.
o 開示されたルーティング情報の結果ゾーンは、攻撃者の位置、ルーティングプロトコルタイプ、および攻撃者とその欺ceiveされた隣人との間で交換されたルーティング情報に依存します。
Note: This section focuses on addressing spoofing as a threat on its own. However, spoofing creates conditions for other threats actions. The other threat actions are considered falsifications and are treated in the next section.
注:このセクションでは、スプーフィングへの対処には、それ自体の脅威としての対処に焦点を当てています。ただし、スプーフィングは、他の脅威アクションの条件を作成します。他の脅威行動は偽造と見なされ、次のセクションで扱われます。
Falsification is an action whereby an attacker sends false routing information. To falsify the routing information, an attacker has to be either the originator or a forwarder of the routing information. It cannot be a receiver-only. False routing information describes the network in an unrealistic fashion, whether or not intended by the authoritative network administrator.
偽造とは、攻撃者が誤ったルーティング情報を送信するアクションです。ルーティング情報を偽造するには、攻撃者はルーティング情報のオリジネーターまたはフォワーダーでなければなりません。レシーバーのみにすることはできません。誤ったルーティング情報は、権威あるネットワーク管理者が意図しているかどうかにかかわらず、ネットワークを非現実的な方法で説明します。
An originator of routing information can launch the falsifications that are described in the next sections.
ルーティング情報の創始者は、次のセクションで説明されている偽造を起動できます。
Overclaiming occurs when a Byzantine router or outsider advertises its control of some network resources, while in reality it does not, or if the advertisement is not authorized. This is given in Figures 2 and 3.
ブラジャンティンルーターまたはアウトサイダーがいくつかのネットワークリソースの制御を宣伝しているが、実際にはそうではない場合、または広告が承認されていない場合、オーバーレイートは発生します。これを図2および3に示します。
+-------------+ +-------+ +-------+
| Internet |---| Rtr B |---| Rtr A |
+------+------+ +-------+ +---+---+
| .
| |
| .
| *-+-*
+-------+ / \
| Rtr C |------------------* N 1 *
+-------+ \ /
*---*
Figure 2. Overclaiming-1
図2.オーバーレイビング-1
+-------------+ +-------+ +-------+
| Internet |---| Rtr B |---| Rtr A |
+------+------+ +-------+ +-------+
|
|
|
| *---*
+-------+ / \
| Rtr C |------------------* N 1 *
+-------+ \ /
*---*
Figure 3. Overclaiming-2
図3.オーバーレイム-2
The above figures provide examples of overclaiming. Router A, the attacker, is connected to the Internet through Router B. Router C is authorized to advertise its link to Network 1. In Figure 2, Router A controls a link to Network 1 but is not authorized to advertise it. In Figure 3, Router A does not control such a link. But in either case, Router A advertises the link to the Internet, through Router B.
上記の図は、オーバーレイビングの例を示しています。攻撃者であるRouter Aは、Router Bを介してインターネットに接続されています。RouterCは、ネットワーク1へのリンクを宣伝することを許可されています。図2では、Router Aはネットワーク1へのリンクを制御しますが、宣伝することは許可されていません。図3では、ルーターAはそのようなリンクを制御しません。しかし、どちらの場合でも、ルーターAはルーターBを介してインターネットへのリンクを宣伝します。
Both Byzantine routers and outsiders can overclaim network resources. The consequences of overclaiming include the following:
ビザンチンのルーターと部外者の両方が、ネットワークリソースをオーバーリームすることができます。オーバーレイティングの結果には、次のものが含まれます。
o Usurpation of the overclaimed network resources. In Figures 2 and 3, usurpation of Network 1 can occur when Router B (or other routers on the Internet not shown in the figures) believes that Router A provides the best path to reach the Network 1. As a result, routers forward data traffic destined to Network 1 to Router A. The best result is that the data traffic uses an unauthorized path, as in Figure 2. The worst case is that the data never reaches the destination Network 1, as in Figure 3. The ultimate consequence is that Router A gains control over Network 1's services, by controlling the data traffic.
o オーバーレイートされたネットワークリソースの奪取。図2および3では、ネットワーク1の奪取が発生する可能性があります。ルーターB(またはインターネット上の他のルーターが図に示されていない)は、ルーターAがネットワークに到達するための最適なパスを提供すると考えています。結果として、ルーターはデータトラフィックを転送しますネットワーク1からルーターAに運命づけられています。最良の結果は、図2のように、データトラフィックが不正なパスを使用することです。最悪の場合は、図3のように、データが宛先ネットワーク1に到達しないことです。最終的な結果は、最終的な結果です。ルーターAデータトラフィックを制御することにより、ネットワーク1のサービスを制御します。
o Usurpation of the legitimate advertising routers. In Figures 2 and 3, Router C is the legitimate advertiser of Network 1. By overclaiming, Router A also controls (partially or totally) the services/functions provided by the Router C. (This is NOT a disruption, as Router C is operating in a way intended by the authoritative network administrator.)
o 正当な広告ルーターの奪取。図2および3では、ルーターCはネットワーク1の合法的な広告主です。オーバーリレーティングにより、ルーターAはルーターCによって提供されるサービス/機能も(部分的または完全に)制御します(ルーターCが動作しているため、これは破壊ではありません。権威あるネットワーク管理者が意図した方法。)
o Deception of other routers. In Figures 2 and 3, Router B, or other routers on the Internet, might be deceived into believing that the path through Router A is the best.
o 他のルーターの欺ception。図2および3では、インターネット上のルーターBまたはその他のルーターは、ルーターAを通るパスが最適であると信じてだまされる可能性があります。
o Disruption of data planes on some routers. This might happen to routers that are on the path that is used by other routers to reach the overclaimed network resources through the attacker. In Figures 2 and 3, when other routers on the Internet are deceived, they will forward the data traffic to Router B, which might be overloaded.
o 一部のルーター上のデータプレーンの破壊。これは、攻撃者を介してオーバークレームされたネットワークリソースに到達するために、他のルーターが使用するパス上にあるルーターに発生する可能性があります。図2および3では、インターネット上の他のルーターが欺かれると、データトラフィックをルーターBに転送します。
The threat consequence zone varies based on the consequence:
脅威の結果ゾーンは、結果に基づいて異なります。
o Where usurpation is concerned, the consequence zone covers the network resources that are overclaimed by the attacker (Network 1 in Figures 2 and 3), and the routers that are authorized to advertise the network resources but lose the competition against the attacker (Router C in Figures 2 and 3).
o 奪取が関係する場合、結果ゾーンは、攻撃者がオーバークレームしたネットワークリソース(図2および3のネットワーク1)と、ネットワークリソースを宣伝することを許可されているが、攻撃者との競争を失うルーターをカバーしています(ルーターCのルーターC図2および3)。
o Where deception is concerned, the consequence zone covers the routers that do believe the attacker's advertisement and use the attacker to reach the claimed networks (Router B and other deceived routers on the Internet in Figures 2 and 3).
o 欺ceptionが懸念される場合、結果ゾーンは攻撃者の広告を信じるルーターをカバーし、攻撃者を使用してクレームされたネットワークに到達します(図2および3のインターネット上のルーターBおよびその他の欺ceiveなルーター)。
o Where disruption is concerned, the consequence zone includes the routers that are on the path of misdirected data traffic (Router B in Figures 2 and 3 and other routers in the Internet on the path of the misdirected traffic).
o 中断が関係する場合、結果ゾーンには、誤った方向のデータトラフィックの経路にあるルーターが含まれます(図2および3のルーターBと、誤った方向のトラフィックの経路にあるインターネットの他のルーター)。
The threat consequence will not cease when the attacker stops overclaiming and will totally disappear only when the routing tables are converged. As a result, the consequence period is longer than the duration of the overclaiming.
脅威の結果は、攻撃者がオーバーリレーティングを停止した場合に停止しません。また、ルーティングテーブルが収束された場合にのみ完全に消えます。その結果、結果期間はオーバーレイムの期間よりも長くなります。
A misclaiming threat is defined as an action whereby an attacker is advertising some network resources that it is authorized to control, but in a way that is not intended by the authoritative network administrator. For example, it may be advertising inappropriate link costs in an OSPF LSA. An attacker can eulogize or disparage when advertising these network resources. Byzantine routers can misclaim network resources.
誤った脅威は、攻撃者が制御を許可されているネットワークリソースを宣伝するアクションとして定義されますが、権威あるネットワーク管理者が意図していない方法です。たとえば、OSPF LSAの不適切なリンクコストを宣伝する可能性があります。攻撃者は、これらのネットワークリソースを宣伝する際に、reめたりdisめることができます。ビザンチンルーターは、ネットワークリソースを誤解させることができます。
The threat consequences of misclaiming are similar to the consequences of overclaiming.
誤った脅威の脅威の結果は、オーバーリレーティングの結果に似ています。
The consequence zone and period are also similar to those of overclaiming.
結果ゾーンと期間は、オーバーレイミングのゾーンと同様です。
In each routing protocol, routers that forward routing protocol messages are expected to leave some fields unmodified and to modify other fields in certain circumscribed ways. The fields to be modified, the possible new contents of those fields and their computation from the original fields, the fields that must remain unmodified, etc. are all detailed in the protocol specification. They may vary depending on the function of the router or its network environment. For example, in RIP, the forwarder must modify the routing information by increasing the hop count by 1. On the other hand, a forwarder must not modify any field of the type 1 LSA in OSPF except the age field. In general, forwarders in distance vector routing protocols are authorized to and must modify the routing information, while most forwarders in link state routing protocols are not authorized to and must not modify most routing information.
各ルーティングプロトコルでは、ルーティングプロトコルメッセージを転送するルーターは、一部のフィールドを修正せずに、特定の囲まれた方法で他のフィールドを変更することが期待されます。変更するフィールド、これらのフィールドの可能な新しい内容、および元のフィールドからの計算、修正されていないままでなければならないフィールドなどはすべて、プロトコル仕様で詳しく説明されています。それらは、ルーターの機能またはそのネットワーク環境によって異なる場合があります。たとえば、RIPでは、フォワーダーはホップ数を1倍にすることでルーティング情報を変更する必要があります。一方、フォワーダーは、年齢フィールドを除くOSPFのタイプ1 LSAのフィールドを変更してはなりません。一般に、距離ベクトルルーティングプロトコルのフォワーダーはルーティング情報を許可され、変更する必要がありますが、リンク状態ルーティングプロトコルのほとんどのフォワーダーは、ほとんどのルーティング情報を許可されておらず、ほとんどのルーティング情報を変更してはなりません。
As a forwarder authorized to modify routing messages, an attacker might also falsify by not forwarding routing information to other authorized routers as required.
ルーティングメッセージの変更を許可されたフォワーダーとして、攻撃者は、必要に応じて、ルーティング情報を他の認定ルーターに転送しないことで偽造することもあります。
This is defined as an action whereby the attacker modifies route attributes in an incorrect manner. For example, in RIP, the attacker might increase the path cost by two hops instead of one. In BGP, the attacker might delete some AS numbers from the AS PATH.
これは、攻撃者がルート属性を誤った方法で変更するアクションとして定義されます。たとえば、RIPでは、攻撃者は1つではなく2ホップだけでパスコストを増やす可能性があります。BGPでは、攻撃者はAs As Pathからの数字を削除する場合があります。
Where forwarding routing information should not be modified, an attacker can launch the following falsifications:
転送ルーティング情報を変更すべきではない場合、攻撃者は次の偽造を起動できます。
o Deletion. Attacker deletes valid data in the routing message.
o 消す。攻撃者は、ルーティングメッセージ内の有効なデータを削除します。
o Insertion. Attacker inserts false data in the routing message.
o 挿入。攻撃者は、ルーティングメッセージに誤ったデータを挿入します。
o Substitution. Attacker replaces valid data in the routing message with false data.
o 代替。攻撃者は、ルーティングメッセージの有効なデータを誤ったデータに置き換えます。
A forwarder can also falsify data by replaying out-dated data in the routing message as current data.
先後のデータを現在のデータとして再生することにより、フォワーダーはデータを改ざんすることもできます。
All types of attackers, outsiders and Byzantine routers, can falsify the routing information when they forward the routing messages.
あらゆる種類の攻撃者、部外者、ビザンチンルーターは、ルーティングメッセージを転送するときにルーティング情報を偽造できます。
The threat consequences of these falsifications by forwarders are similar to those caused by originators: usurpation of some network resources and related routers; deception of routers using false paths; and disruption of data planes of routers on the false paths. The threat consequence zone and period are also similar.
フォワーダーによるこれらの偽造の脅威の結果は、創始者によって引き起こされたものと似ています。いくつかのネットワークリソースと関連するルーターの奪取。偽のパスを使用したルーターの欺ception;誤った経路上のルーターのデータプレーンの破壊。脅威の結果ゾーンと期間も同様です。
Interference is a threat action whereby an attacker inhibits the exchanges by legitimate routers. The attacker can do this by adding noise, by not forwarding packets, by replaying out-dated packets, by inserting or corrupting messages, by delaying responses, by denial of receipts, or by breaking synchronization.
干渉は、攻撃者が合法的なルーターによる交換を阻害する脅威行動です。攻撃者は、これを行うことができます。パケットを転送しないこと、時代遅れのパケットを再生し、メッセージを挿入または破損すること、応答を遅らせること、領収書の否定、または同期を破ることによって。
Byzantine routers can slow down their routing exchanges or induce flapping in the routing sessions of legitimate neighboring routers.
ビザンチンルーターは、ルーティング交換を遅くしたり、正当な隣接するルーターのルーティングセッションで羽ばたきを引き起こす可能性があります。
The consequence of interference is the disruption of routing operations.
干渉の結果は、ルーティング操作の混乱です。
The consequence zone of interference depends on the severity of the interference. If the interference results in consequences at the neighbor maintenance level, then there may be changes in the database, resulting in network-wide consequences.
干渉の結果ゾーンは、干渉の重症度に依存します。干渉が近隣のメンテナンスレベルで結果をもたらす場合、データベースに変化があり、ネットワーク全体の結果が生じる可能性があります。
The threat consequences might disappear as soon as the interference is stopped or might not totally disappear until the networks have converged. Therefore, the consequence period is equal to or longer than the duration of the interference.
脅威の結果は、干渉が停止するとすぐに消えるか、ネットワークが収束するまで完全に消えない場合があります。したがって、結果期間は干渉の期間以下です。
Overload is defined as a threat action whereby attackers place excess burden on legitimate routers. For example, it is possible for an attacker to trigger a router to create an excessive amount of state that other routers within the network are not able to handle. In a similar fashion, it is possible for an attacker to overload database routing exchanges and thus to influence the routing operations.
過負荷は、攻撃者が合法的なルーターに過剰な負担をかける脅威行動として定義されます。たとえば、攻撃者がルーターをトリガーして、ネットワーク内の他のルーターが処理できない過剰な量の状態を作成することができます。同様の方法で、攻撃者がデータベースルーティング交換を過負荷にし、したがってルーティング操作に影響を与える可能性があります。
This entire document is security related. Specifically, the document addresses security of routing protocols as associated with threats to those protocols. In a larger context, this work builds upon the recognition of the IETF community that signaling and control/management planes of networked devices need strengthening. Routing protocols can be considered part of that signaling and control plane. However, to date, routing protocols have largely remained unprotected and open to malicious attacks. This document discusses inter- and intra-domain routing protocol threats that are currently known and lays the foundation for other documents that will discuss security requirements for routing protocols. This document is protocol independent.
このドキュメント全体はセキュリティに関連しています。具体的には、ドキュメントは、これらのプロトコルに対する脅威に関連するルーティングプロトコルのセキュリティに対応しています。より大きなコンテキストでは、この作業は、ネットワークデバイスのシグナルと制御/管理のプレーンが強化する必要があるというIETFコミュニティの認識に基づいています。ルーティングプロトコルは、その信号および制御プレーンの一部と見なすことができます。ただし、これまでのところ、ルーティングプロトコルはほとんど保護されておらず、悪意のある攻撃に対して開かれています。このドキュメントは、現在既知であるドメイン間およびドメイン内のルーティングプロトコルの脅威について説明し、ルーティングプロトコルのセキュリティ要件を議論する他のドキュメントの基盤を築きます。このドキュメントはプロトコルに依存しません。
[1] Shirey, R., "Internet Security Glossary", RFC 2828, May 2000.
[1] Shirey、R。、「インターネットセキュリティ用語集」、RFC 2828、2000年5月。
[2] Rosen, E., "Vulnerabilities of network control protocols: An example", RFC 789, July 1981.
[2] Rosen、E。、「ネットワーク制御プロトコルの脆弱性:例」、RFC 789、1981年7月。
[3] Perlman, R., "Network Layer Protocols with Byzantine Robustness", PhD thesis, MIT LCS TR-429, October 1988.
[3] Perlman、R。、「ビザンチンの堅牢性を備えたネットワーク層プロトコル」、PhD論文、MIT LCS TR-429、1988年10月。
[4] Moy, J., "OSPF Version 2", STD 54, RFC 2328, April 1998.
[4] Moy、J。、「OSPFバージョン2」、STD 54、RFC 2328、1998年4月。
[5] Callon, R., "Use of OSI IS-IS for routing in TCP/IP and dual environments", RFC 1195, December 1990.
[5] Callon、R。、「TCP/IPおよびデュアル環境でのルーティングのためのOSI IS-I-ISの使用」、RFC 1195、1990年12月。
[6] Malkin, G., "RIP Version 2", STD 56, RFC 2453, November 1998.
[6] Malkin、G。、「RIPバージョン2」、STD 56、RFC 2453、1998年11月。
[7] Rekhter, Y., Li, T., and S. Hares, "A Border Gateway Protocol 4 (BGP-4)", RFC 4271, January 2006.
[7] Rekhter、Y.、Li、T。、およびS. Hares、「A Border Gateway Protocol 4(BGP-4)」、RFC 4271、2006年1月。
[8] ISO 10589, "Intermediate System to Intermediate System intra-domain routeing information exchange protocol for use in conjunction with the protocol for providing the connectionless-mode network service (ISO 8473)", ISO/IEC 10589:2002.
[8] ISO 10589、「Connectionless-Mode Network Service(ISO 8473)を提供するためのプロトコルと組み合わせて使用するためのドメイン内部システム内領域内領域内のルーティング情報交換プロトコル」、ISO/IEC 10589:2002。
This document would not have been possible save for the excellent efforts and teamwork characteristics of those listed here.
このドキュメントは、ここにリストされているものの優れた努力とチームワークの特性を除いて除いては不可能でした。
o Dennis Beard, Nortel o Ayman Musharbash, Nortel o Jean-Jacques Puig, int-evry, France o Paul Knight, Nortel o Elwyn Davies, Nortel o Ameya Dilip Pandit, Graduate student, University of Missouri o Senthilkumar Ayyasamy, Graduate student, University of Missouri o Stephen Kent, BBN o Tim Gage, Cisco Systems o James Ng, Cisco Systems o Alvaro Retana, Cisco Systems
o Dennis Beard、Nortel O Ayman Musharbash、Nortel O Jean-Jacques Puig、Int-Evry、France O Paul Knight、Nortel O Elwyn Davies、Nortel O Ameya Dilip Pandit、Missouri Oby Missouri O Senthilkumar Ayyasamy、大学院生ミズーリOスティーブンケント、BBN Oティムゲージ、シスコシステムOジェームズNG、シスコシステムオルバロレターナ、シスコシステム
AS - Autonomous system. Set of routers under a single technical administration. Each AS normally uses a single interior gateway protocol (IGP) and metrics to propagate routing information within the set of routers. Also called routing domain.
AS-自律システム。単一の技術管理下のルーターのセット。それぞれが通常、単一のインテリアゲートウェイプロトコル(IGP)とメトリックを使用して、ルーターのセット内でルーティング情報を伝播します。ルーティングドメインとも呼ばれます。
AS-Path - In BGP, the route to a destination. The path consists of the AS numbers of all routers a packet must go through to reach a destination.
AS -PATH- BGPでは、目的地へのルート。パスは、すべてのルーターのAS番号で構成されています。パケットは、宛先に到達するために通過する必要があります。
BGP - Border Gateway Protocol. Exterior gateway protocol used to exchange routing information among routers in different autonomous systems.
BGP-ボーダーゲートウェイプロトコル。異なる自律システムのルーター間でルーティング情報を交換するために使用される外部ゲートウェイプロトコル。
LSA - Link-State Announcement
LSA-リンク状態の発表
NLRI - Network Layer Reachability Information. Information that is carried in BGP packets and is used by MBGP.
NLRI-ネットワークレイヤーリーチビリティ情報。BGPパケットで携帯され、MBGPで使用される情報。
OSPF - Open Shortest Path First. A link-state IGP that makes routing decisions based on the shortest-path-first (SPF) algorithm (also referred to as the Dijkstra algorithm).
OSPF-最初に最短パスを開きます。最も短いパスファースト(SPF)アルゴリズム(Dijkstraアルゴリズムとも呼ばれる)に基づいてルーティング決定を行うリンク状態のIGP。
Authors' Addresses
著者のアドレス
Abbie Barbir Nortel 3500 Carling Avenue Nepean, Ontario K2H 8E9 Canada
Abbie Barbir Nortel 3500 Carling Avenue Nepean、オンタリオK2H 8E9カナダ
EMail: abbieb@nortel.com
Sandy Murphy Sparta, Inc. 7110 Samuel Morse Drive Columbia, MD USA
Sandy Murphy Sparta、Inc。7110 Samuel Morse Drive Columbia、MD USA
Phone: 443-430-8000 EMail: sandy@sparta.com
電話:443-430-8000メール:sandy@sparta.com
Yi Yang Cisco Systems 7025 Kit Creek Road RTP, NC 27709 USA
Yi Yang Cisco Systems 7025 Kit Creek Road RTP、NC 27709 USA
EMail: yiya@cisco.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。