[要約] RFC 5713はANCPのセキュリティ脅威とセキュリティ要件に関するものであり、ANCPのセキュリティ強化を目的としている。

Internet Engineering Task Force (IETF)                       H. Moustafa
Request for Comments: 5713                                France Telecom
Category: Informational                                    H. Tschofenig
ISSN: 2070-1721                                   Nokia Siemens Networks
                                                           S. De Cnodder
                                                          Alcatel-Lucent
                                                            January 2010
        

Security Threats and Security Requirements for the Access Node Control Protocol (ANCP)

アクセスノード制御プロトコル(ANCP)のセキュリティの脅威とセキュリティ要件

Abstract

概要

The Access Node Control Protocol (ANCP) aims to communicate Quality of Service (QoS)-related, service-related, and subscriber-related configurations and operations between a Network Access Server (NAS) and an Access Node (e.g., a Digital Subscriber Line Access Multiplexer (DSLAM)). The main goal of this protocol is to allow the NAS to configure, manage, and control access equipment, including the ability for the Access Nodes to report information to the NAS.

Accessノード制御プロトコル(ANCP)は、Network Access Server(NAS)とAccessノード(例:デジタルサブスクライバーライン)間のサービス品質(QOS)関連、サービス関連、およびサブスクライバー関連の構成と操作を通信することを目的としています。アクセスマルチプレクサー(DSLAM))。このプロトコルの主な目標は、NASがAccessノードがNASに情報を報告する機能を含むアクセス機器を構成、管理、および制御できるようにすることです。

This present document investigates security threats that all ANCP nodes could encounter. This document develops a threat model for ANCP security, with the aim of deciding which security functions are required. Based on this, security requirements regarding the Access Node Control Protocol are defined.

この現在の文書は、すべてのANCPノードが遭遇する可能性のあるセキュリティの脅威を調査しています。このドキュメントは、どのセキュリティ機能が必要かを決定することを目的として、ANCPセキュリティの脅威モデルを開発します。これに基づいて、アクセスノード制御プロトコルに関するセキュリティ要件が定義されています。

Status of This Memo

本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5713.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc5713で取得できます。

Copyright Notice

著作権表示

Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2010 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。

Table of Contents

目次

   1. Introduction ....................................................3
   2. Specification Requirements ......................................3
   3. System Overview and Threat Model ................................4
   4. Objectives of Attackers .........................................7
   5. Potential Attacks ...............................................7
      5.1. Denial of Service (DoS) ....................................7
      5.2. Integrity Violation ........................................8
      5.3. Downgrading ................................................8
      5.4. Traffic Analysis ...........................................8
      5.5. Management Attacks .........................................8
   6. Attack Forms ....................................................9
   7. Attacks against ANCP ...........................................10
      7.1. Dynamic Access-Loop Attributes ............................11
      7.2. Access-Loop Configuration .................................12
      7.3. Remote Connectivity Test ..................................14
      7.4. Multicast .................................................14
   8. Security Requirements ..........................................16
   9. Security Considerations ........................................16
   10. Acknowledgments ...............................................17
   11. References ....................................................17
      11.1. Normative References .....................................17
      11.2. Informative References ...................................17
        
1. Introduction
1. はじめに

The Access Node Control Protocol (ANCP) aims to communicate QoS-related, service-related, and subscriber-related configurations and operations between a Network Access Server (NAS) and an Access Node (e.g., a Digital Subscriber Line Access Multiplexer (DSLAM)).

Accessノード制御プロトコル(ANCP)は、QoS関連、サービス関連、およびサブスクライバー関連の構成とネットワークアクセスサーバー(NAS)とアクセスノードの間の操作を通信することを目的としています(例:デジタルサブスクライバーラインアクセスマルチプレクサー(DSLAM))。

[ANCP-FRAME] illustrates the framework, usage scenarios, and general requirements for ANCP. This document focuses on describing security threats and deriving security requirements for the Access Node Control Protocol, considering the ANCP use cases defined in [ANCP-FRAME] as well as the guidelines for IETF protocols' security requirements given in [RFC3365]. Section 5 and Section 6, respectively, describe the potential attacks and the different attack forms that are liable to take place within ANCP, while Section 7 applies the described potential attacks to ANCP and its different use cases. Security policy negotiation, including authentication and authorization to define the per-subscriber policy at the policy/AAA (Authentication, Authorization, and Accounting) server, is out of the scope of this work. As a high-level summary, the following aspects need to be considered:

[ANCPフレーム]は、ANCPのフレームワーク、使用シナリオ、および一般的な要件を示しています。このドキュメントは、[ANCPフレーム]で定義されているANCPユースケースと[RFC3365]に与えられたIETFプロトコルのセキュリティ要件のガイドラインを考慮して、セキュリティの脅威を説明し、アクセスノード制御プロトコルのセキュリティ要件を導き出すことに焦点を当てています。セクション5とセクション6は、それぞれ潜在的な攻撃とANCP内で行われる可能性があるさまざまな攻撃フォームについて説明しますが、セクション7では、説明された潜在的な攻撃をANCPおよびその異なるユースケースに適用します。Policy/AAA(認証、承認、会計)サーバーで担当者ごとのポリシーを定義する認証と許可を含むセキュリティポリシーの交渉は、この作業の範囲外です。高レベルの要約として、次の側面を考慮する必要があります。

Message Protection:

メッセージ保護:

Signaling message content can be protected against eavesdropping, modification, injection, and replay while in transit. This applies to both ANCP headers and payloads.

シグナリングメッセージコンテンツは、輸送中に盗聴、変更、注入、およびリプレイから保護できます。これは、ANCPヘッダーとペイロードの両方に適用されます。

Prevention against Impersonation:

なりすましに対する予防:

It is important that protection be available against a device impersonating an ANCP node (i.e., an unauthorized device generating an ANCP message and pretending it was generated by a valid ANCP node).

ANCPノードになりすましているデバイス(つまり、ANCPメッセージを生成し、有効なANCPノードによって生成されたふりをする不正デバイス)に対して保護を利用できることが重要です。

Prevention of Denial-of-Service Attacks:

サービス拒否攻撃の防止:

ANCP nodes and the network have finite resources (state storage, processing power, bandwidth). It is important to protect against exhaustion attacks on these resources and to prevent ANCP nodes from being used to launch attacks on other network elements.

ANCPノードとネットワークには、有限リソース(状態ストレージ、処理能力、帯域幅)があります。これらのリソースに対する疲労攻撃から保護し、ANCPノードが他のネットワーク要素への攻撃を開始するために使用されないようにすることが重要です。

2. Specification Requirements
2. 仕様要件

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119], with the qualification that, unless otherwise stated, they apply to the design of the Access Node Control Protocol (ANCP), not its implementation or application.

「必須」、「そうしない」、「必須」、「必要」、「しない」、「そうしない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[RFC2119]に記載されているとおりに解釈するために、特に明記しない限り、それらはその実装やアプリケーションではなく、アクセスノード制御プロトコル(ANCP)の設計に適用されるという資格とともに。

The relevant components are described in Section 3.

関連するコンポーネントについては、セクション3で説明します。

3. System Overview and Threat Model
3. システムの概要と脅威モデル

As described in [ANCP-FRAME] and schematically shown in Figure 1, the Access Node Control system consists of the following components:

[ANCPフレーム]で説明されており、図1に概略的に示されているように、アクセスノード制御システムは次のコンポーネントで構成されています。

Network Access Server (NAS):

ネットワークアクセスサーバー(NAS):

A NAS provides access to a service (e.g., network access) and operates as a client of the AAA protocol. The AAA client is responsible for passing authentication information to designated AAA servers and then acting on the response that is returned.

NASは、サービスへのアクセス(ネットワークアクセスなど)を提供し、AAAプロトコルのクライアントとして動作します。AAAクライアントは、認証情報を指定されたAAAサーバーに渡し、返される応答に基づいて行動する責任があります。

Authentication, Authorization, and Accounting (AAA) server:

認証、承認、および会計(AAA)サーバー:

A AAA server is responsible for authenticating users, authorizing access to services, and returning authorization information (including configuration parameters) back to the AAA client to deliver service to the user. As a consequence, service usage accounting might be enabled and information about the user's resource usage will be sent to the AAA server.

AAAサーバーは、ユーザーの認証、サービスへのアクセスの承認、およびユーザーにサービスを提供するためにAAAクライアントに承認情報(構成パラメーターを含む)を返す責任があります。結果として、サービスの使用会計が有効になる場合があり、ユーザーのリソースの使用に関する情報はAAAサーバーに送信されます。

Access Node (AN):

アクセスノード(an):

The AN is a network device, usually located at a service provider central office or street cabinet, that terminates access-loop connections from subscribers. In case the access loop is a Digital Subscriber Line (DSL), this is often referred to as a DSL Access Multiplexer (DSLAM).

ANは、通常、サービスプロバイダーの中央オフィスまたはストリートキャビネットにあるネットワークデバイスで、加入者からのアクセスループ接続を終了します。アクセスループがデジタルサブスクライバーライン(DSL)である場合、これはしばしばDSLアクセスマルチプレクサ(DSLAM)と呼ばれます。

Customer Premises Equipment (CPE):

顧客施設機器(CPE):

A CPE is a device located inside a subscriber's premise that is connected at the LAN side of the Home Gateway (HGW).

CPEは、ホームゲートウェイ(HGW)のLAN側に接続されているサブスクライバーの前提の内側にあるデバイスです。

Home Gateway (HGW):

ホームゲートウェイ(HGW):

The HGW connects the different Customer Premises Equipments (CPEs) to the Access Node and the access network. In case of DSL, the HGW is a DSL Network Termination (NT) that could either operate as a layer 2 bridge or as a layer 3 router. In the latter case, such a device is also referred to as a Routing Gateway (RG).

HGWは、さまざまな顧客施設機器(CPE)をアクセスノードとアクセスネットワークに接続します。DSLの場合、HGWはDSLネットワーク終了(NT)であり、レイヤー2ブリッジとして動作するか、レイヤー3ルーターとして動作します。後者の場合、そのようなデバイスはルーティングゲートウェイ(RG)とも呼ばれます。

Aggregation Network:

集約ネットワーク:

The aggregation network provides traffic aggregation from multiple ANs towards the NAS. ATM or Ethernet transport technologies can be used.

集約ネットワークは、複数のANSからNASへのトラフィック集約を提供します。ATMまたはイーサネット輸送技術を使用できます。

For the threat analysis, this document focuses on the ANCP communication between the Access Node and the NAS. However, communications with the other components (such as HGW, CPE, and the AAA server) play a role in the understanding of the system architecture and of what triggers ANCP communications. Note that the NAS and the AN might belong to two different administrative realms. The threat model and the security requirements in this document consider this latter case.

脅威分析のために、このドキュメントは、アクセスノードとNAS間のANCP通信に焦点を当てています。ただし、他のコンポーネント(HGW、CPE、AAAサーバーなど)との通信は、システムアーキテクチャとANCP通信をトリガーするものの理解に役割を果たします。NASとANは2つの異なる管理領域に属している可能性があることに注意してください。このドキュメントの脅威モデルとセキュリティ要件は、この後者の場合を考慮します。

                                                             +--------+
                                                             | AAA    |
                                                             | Server |
                                                             +--------+
                                                                  |
                                                                  |
      +---+   +---+   +------+    +-----------+    +-----+   +--------+
      |CPE|---|HGW|---|      |    |Aggregation|    |     |   |        |
      +---+   +---+   |Access|    | Network   |    |     |   |Internet|
                      | Node |----|           |----| NAS |---|   /    |
      +---+   +---+   | (AN) |    |           |    |     |   |Regional|
      |CPE|---|HGW|---|      |    |           |    |     |   |Network |
      +---+   +---+   +------+    +-----------+    +-----+   +--------+
        

Figure 1: System Overview

図1:システムの概要

In the absence of an attack, the NAS receives configuration information from the AAA server related to a CPE attempting to access the network. A number of parameters, including Quality of Service information, need to be conveyed to the Access Node in order to become effective. The Access Node Control Protocol is executed between the NAS and the AN to initiate control requests. The AN returns responses to these control requests and provides information reports.

攻撃がない場合、NASは、ネットワークにアクセスしようとするCPEに関連するAAAサーバーから構成情報を受信します。サービスの品質を含む多くのパラメーターを、効果的になるためにアクセスノードに伝える必要があります。アクセスノード制御プロトコルは、NASとANの間で実行され、制御要求を開始します。ANは、これらの制御要求に対する応答を返し、情報レポートを提供します。

For this to happen, the following individual steps must occur:

これを行うには、次の個々の手順が発生する必要があります。

o The AN discovers the NAS.

o ANはNASを発見します。

o The AN needs to start the protocol communication with the NAS to announce its presence.

o ANは、NASとのプロトコル通信を開始して、その存在を発表する必要があります。

o The AN and the NAS perform a capability exchange.

o ANとNASは機能交換を実行します。

o The NAS sends requests to the AN.

o NASはANにリクエストを送信します。

o The AN processes these requests, authorizes the actions, and responds with the appropriate answer. In order to fulfill the commands, it might be necessary for the AN to communicate with the HGW or other nodes, for example, as part of a keep-alive mechanism.

o これらの要求をプロセスし、アクションを承認し、適切な回答で応答します。コマンドを満たすためには、ANがHGWまたは他のノードと通信する必要がある場合があります。たとえば、キープアライブメカニズムの一部として。

o The AN provides status reports to the NAS.

o ANはNASにステータスレポートを提供します。

Attackers can be:

攻撃者は次のことができます:

o off-path, i.e., they cannot see the messages exchanged between the AN and the NAS;

o オフパス、つまり、ANとNASの間で交換されるメッセージを見ることができません。

o on-path, i.e., they can see the messages exchanged between the AN and the NAS.

o オンパス、つまり、ANとNASの間で交換されるメッセージを見ることができます。

Both off-path and on-path attackers can be:

オフパスとパスの両方の攻撃者の両方ができます:

o passive, i.e., they do not participate in the network operation but rather listen to all transfers to obtain the maximum possible information;

o パッシブ、つまり、彼らはネットワーク操作に参加するのではなく、すべての転送に耳を傾けて、可能な最大の情報を取得します。

o active, i.e., they participate in the network operation and can inject falsified packets.

o アクティブ、つまり、彼らはネットワーク操作に参加し、偽造されたパケットを注入できます。

We assume the following threat model:

次の脅威モデルを想定しています。

o An off-path adversary located at the CPE or the HGW.

o CPEまたはHGWにあるオフパス敵。

o An off-path adversary located on the Internet or a regional network that connects one or more NASes and associated access networks to Network Service Providers (NSPs) and Application Service Providers (ASPs).

o インターネット上にあるオフパス敵または1つ以上のNaseと関連するアクセスネットワークをネットワークサービスプロバイダー(NSP)およびアプリケーションサービスプロバイダー(ASP)に接続する地域ネットワーク。

o An on-path adversary located at network elements between the AN and the NAS.

o ANとNASの間のネットワーク要素にあるパス敵。

o An on-path adversary taking control over the NAS.

o NASを支配しているパス敵。

o An on-path adversary taking control over the AN.

o ANを管理するパス敵。

4. Objectives of Attackers
4. 攻撃者の目的

Attackers may direct their efforts either against an individual entity or against a large portion of the access network. Attacks fall into three classes:

攻撃者は、個々のエンティティまたはアクセスネットワークの大部分に対して努力を向けることができます。攻撃は3つのクラスに分類されます。

o Attacks to disrupt the communication for individual customers.

o 個々の顧客のコミュニケーションを混乱させるための攻撃。

o Attacks to disrupt the communication of a large fraction of customers in an access network. These also include attacks to the network itself or a portion of it, such as attacks to disrupt the network services or attacks to destruct the network functioning.

o アクセスネットワークでの大部分の顧客の通信を混乱させるための攻撃。これらには、ネットワークサービスや攻撃を混乱させる攻撃やネットワーク機能を破壊する攻撃など、ネットワーク自体またはその一部への攻撃も含まれます。

o Attacks to gain profit for the attacker through modifying the QoS settings. Also, through replaying old packets (of another privileged client, for instance), an attacker can attempt to configure a better QoS profile on its own DSL line, increasing its own benefit.

o QOS設定を変更することにより、攻撃者の利益を得るための攻撃。また、(たとえば、別の特権クライアントの)古いパケットを再生することで、攻撃者は独自のDSLラインでより良いQoSプロファイルを構成しようとすることができ、独自の利益を増やします。

5. Potential Attacks
5. 潜在的な攻撃

This section discusses the different types of attacks against ANCP, while Section 6 describes the possible means of their occurrence.

このセクションでは、ANCPに対するさまざまな種類の攻撃について説明し、セクション6では発生の可能な手段について説明します。

ANCP is mainly susceptible to the following types of attacks:

ANCPは、主に次のタイプの攻撃の影響を受けやすいです。

5.1. Denial of Service (DoS)
5.1. サービス拒否(DOS)

A number of denial-of-service (DoS) attacks can cause ANCP nodes to malfunction. When state is established or certain functions are performed without requiring prior authorization, there is a chance to mount denial-of-service attacks. An adversary can utilize this fact to transmit a large number of signaling messages to allocate state at nodes and to cause consumption of resources. Also, an adversary, through DoS, can prevent certain subscribers from accessing certain services. Moreover, DoS can take place at the AN or the NAS themselves, where it is possible for the NAS (or the AN) to intentionally ignore the requests received from the AN (or the NAS) through not replying to them. This causes the sender of the request to retransmit the request, which might allocate additional state at the sender side to process the reply. Allocating more state may result in memory depletion.

多くのサービス拒否(DOS)攻撃により、ANCPノードが誤動作する可能性があります。事前の許可を必要とせずに状態が確立されるか、特定の機能が実行される場合、サービス拒否攻撃を実施する機会があります。敵はこの事実を利用して、多数のシグナル伝達メッセージを送信して、ノードで状態を割り当て、リソースの消費を引き起こすことができます。また、敵はDOSを通じて、特定の加入者が特定のサービスにアクセスするのを防ぐことができます。さらに、DOSは、ANまたはNAS自体で行われ、NAS(またはAN)がAN(またはNAS)から受け取った要求を意図的に無視して返信しないことが可能です。これにより、リクエストの送信者がリクエストを再送信するために、送信者側に追加の状態を割り当てる可能性があります。より多くの状態を割り当てると、メモリが枯渇する可能性があります。

5.2. Integrity Violation
5.2. 整合性違反

Adversaries gaining illegitimate access on the transferred messages can act on these messages, causing integrity violation. Integrity violation can cause unexpected network behavior, leading to a disturbance in the network services as well as in the network functioning.

転送されたメッセージで違法なアクセスを獲得した敵は、これらのメッセージに基づいて行動し、整合性違反を引き起こす可能性があります。整合性違反は、予期しないネットワークの動作を引き起こす可能性があり、ネットワークサービスとネットワーク機能の妨害につながります。

5.3. Downgrading
5.3. 格下げ

Protocols may be useful in a variety of scenarios with different security and functional requirements. Different parts of a network (e.g., within a building, across a public carrier's network, or over a private microwave link) may need different levels of protection. It is often difficult to meet these (sometimes conflicting) requirements with a single mechanism or fixed set of parameters; thus, often a selection of mechanisms and parameters is offered. A protocol is required to agree on certain (security) mechanisms and parameters. An insecure parameter exchange or security negotiation protocol can give an adversary the opportunity to mount a downgrading attack to force selection of mechanisms weaker than those mutually desired. Thus, without binding the negotiation process to the legitimate parties and protecting it, ANCP might only be as secure as the weakest mechanism provided (e.g., weak authentication) and the benefits of defining configuration parameters and a negotiation protocol are lost.

プロトコルは、さまざまなセキュリティと機能的要件を備えたさまざまなシナリオで役立つ場合があります。ネットワークのさまざまな部分(たとえば、建物内、公共の航空会社のネットワーク全体、またはプライベートマイクロ波リンクを越えて)が異なるレベルの保護が必要になる場合があります。多くの場合、これらの(時には矛盾する)要件を単一のメカニズムまたは固定パラメーターセットで満たすことは困難です。したがって、多くの場合、メカニズムとパラメーターの選択が提供されます。特定の(セキュリティ)メカニズムとパラメーターに同意するには、プロトコルが必要です。不安定なパラメーター交換またはセキュリティ交渉プロトコルは、相互に望まれるメカニズムの選択を強制するために格下げ攻撃を強制する機会を敵に与えることができます。したがって、交渉プロセスを正当な当事者に拘束し、それを保護することなく、ANCPは提供される最も弱いメカニズム(例えば、弱い認証)と同じくらい安全であり、構成パラメーターと交渉プロトコルを定義する利点が失われる可能性があります。

5.4. Traffic Analysis
5.4. トラフィック分析

An adversary can be placed at the NAS, the AN, or any other network element capturing all traversing packets. Adversaries can thus have unauthorized information access. As well, they can gather information relevant to the network and then use this information in gaining later unauthorized access. This attack can also help adversaries in other malicious purposes -- for example, capturing messages sent from the AN to the NAS announcing that a DSL line is up and containing some information related to the connected client. This could be any form of information about the client and could also be an indicator of whether or not the DSL subscriber is at home at a particular moment.

すべてのトラバースパケットをキャプチャするNAS、AN、またはその他のネットワーク要素に敵を配置できます。したがって、敵は許可されていない情報アクセスを受けることができます。同様に、ネットワークに関連する情報を収集してから、この情報を使用して、後で許可されていないアクセスを獲得できます。この攻撃は、他の悪意のある目的の敵にも役立ちます。たとえば、ANからNASに送信されたメッセージをキャプチャして、DSLラインが上がっていることを発表し、接続されたクライアントに関連する情報を含んでいます。これは、クライアントに関するあらゆる形態の情報である可能性があり、DSLサブスクライバーが特定の瞬間に自宅にいるかどうかの指標でもあります。

5.5. Management Attacks
5.5. 管理攻撃

Since the ANCP sessions are configured in the AN and not in the NAS [ANCP-FRAME], most configurations of ANCP are done in the AN. Consequently, the management attacks to ANCP mainly concern the AN configuration phase. In this context, the AN MIB module could create disclosure- and misconfiguration-related attacks. [ANCP-MIB] defines the vulnerabilities on the management objects within the AN MIB module. These attacks mainly concern the unauthorized changes of the management objects, leading to a number of attacks such as session deletion, a session using an undesired/unsupported protocol, disabling certain ANCP capabilities or enabling undesired capabilities, ANCP packets being sent out to the wrong interface (and thus being received by an unintended receiver), harming the synchronization between the AN and the NAS, and impacting traffic in the network other than ANCP.

ANCPセッションはANで構成されており、NAS [ANCPフレーム]ではなく構成されているため、ANCPのほとんどの構成はANで行われます。その結果、ANCPに対する管理攻撃は、主に構成フェーズに関係しています。これに関連して、AN MIBモジュールは、開示および誤解関連の攻撃を作成できます。[ANCP-MIB]は、AN MIBモジュール内の管理オブジェクトの脆弱性を定義します。これらの攻撃は、主に管理オブジェクトの不正な変更に関係しており、セッション削除、望ましくない/サポートされていないプロトコルを使用したセッション、特定のANCP機能の無効化、または間違ったインターフェイスに送信されるANCPパケットの有効化などの多くの攻撃につながります。(したがって、意図しないレシーバーによって受信されます)、ANとNASの間の同期を傷つけ、ANCP以外のネットワークのトラフィックに影響を与えます。

6. Attack Forms
6. 攻撃フォーム

The attacks mentioned above in Section 5 can be carried out through the following means:

セクション5で上記の攻撃は、次の手段で実行できます。

Message Replay:

メッセージリプレイ:

This threat scenario covers the case in which an adversary eavesdrops, collects signaling messages, and replays them at a later time (or at a different place or in a different way; e.g., cut-and-paste attacks). Through replaying signaling messages, an adversary might mount denial-of-service and theft-of-service attacks.

この脅威シナリオは、敵が盗聴し、シグナリングメッセージを収集し、後で(または別の場所または別の方法で、例えばカットアンドパスティ攻撃)を再生する場合をカバーします。信号メッセージを再生することにより、敵はサービスの拒否とサービスの盗難攻撃を実施する可能性があります。

Faked Message Injection:

偽のメッセージインジェクション:

An adversary may be able to inject false error or response messages, causing unexpected protocol behavior and succeeding with a DoS attack. This could be achieved at the signaling-protocol level, at the level of specific signaling parameters (e.g., QoS information), or at the transport layer. An adversary might, for example, inject a signaling message to request allocation of QoS resources. As a consequence, other users' traffic might be impacted. The discovery protocol, especially, exhibits vulnerabilities with regard to this threat scenario.

敵は、誤ったエラーまたは応答メッセージを注入することができ、予期しないプロトコルの動作を引き起こし、DOS攻撃で成功する可能性があります。これは、シグナル伝達プロトコルレベル、特定のシグナリングパラメーター(QoS情報など)のレベル、または輸送層で達成できます。敵は、たとえば、QoSリソースの割り当てを要求するためにシグナリングメッセージを注入する場合があります。結果として、他のユーザーのトラフィックが影響を受ける可能性があります。特に、発見プロトコルは、この脅威シナリオに関して脆弱性を示しています。

Messages Modification:

メッセージの変更:

This involves integrity violation, where an adversary can modify signaling messages in order to cause unexpected network behavior. Possible related actions an adversary might consider for its attack are the reordering and delaying of messages, causing a protocol's process failure.

これには、敵が予期しないネットワーク動作を引き起こすためにシグナリングメッセージを変更できる完全性違反が含まれます。攻撃のために敵が考慮する可能性のある関連する行動は、メッセージの並べ替えと遅延であり、プロトコルのプロセス障害を引き起こすことです。

Man-in-the-Middle:

真ん中の男:

An adversary might claim to be a NAS or an AN, acting as a man-in-the-middle to later cause communication and services disruption. The consequence can range from DoS to fraud. An adversary acting as a man-in-the-middle could modify the intercepted messages, causing integrity violation, or could drop or truncate the intercepted messages, causing DoS and a protocol's process failure. In addition, a man-in-the-middle adversary can signal information to an illegitimate entity in place of the right destination. In this case, the protocol could appear to continue working correctly. This may result in an AN contacting a wrong NAS. For the AN, this could mean that the protocol failed for unknown reasons. A man-in-the-middle adversary can also cause downgrading attacks through initiating faked configuration parameters and through forcing selection of weak security parameters or mechanisms.

敵は、NASまたはANであると主張するかもしれません。結果は、DOSから詐欺に及ぶ可能性があります。中間者として行動する敵は、傍受されたメッセージを変更し、整合性違反を引き起こすか、傍受されたメッセージをドロップまたは切り捨て、DOSとプロトコルのプロセス障害を引き起こす可能性があります。さらに、中間者の敵は、正しい目的地の代わりに非合法的なエンティティに情報を信号することができます。この場合、プロトコルは正しく動作し続けるように見える可能性があります。これにより、ANが間違ったNASに接触する可能性があります。ANの場合、これは未知の理由でプロトコルが失敗したことを意味します。中間の敵は、偽造された構成パラメーターを開始し、弱いセキュリティパラメーターまたはメカニズムの選択を強制することにより、攻撃を格下げする可能性もあります。

Eavesdropping:

盗聴:

This is related to adversaries that are able to eavesdrop on transferred messages. The collection of the transferred packets by an adversary may allow traffic analysis or be used later to mount replay attacks. The eavesdropper might learn QoS parameters, communication patterns, policy rules for firewall traversal, policy information, application identifiers, user identities, NAT bindings, authorization objects, network configuration, performance information, and more.

これは、転送されたメッセージを盗聴できる敵に関連しています。敵による転送されたパケットのコレクションは、交通分析を許可するか、後でリプレイ攻撃を取り付けるために使用することができます。盗聴者は、QoSパラメーター、通信パターン、ファイアウォールトラバーサルのポリシールール、ポリシー情報、アプリケーション識別子、ユーザーバインディング、承認オブジェクト、ネットワーク構成、パフォーマンス情報などを学習する場合があります。

7. Attacks against ANCP
7. ANCPに対する攻撃

ANCP is susceptible to security threats, causing disruption/ unauthorized access to network services, manipulation of the transferred data, and interference with network functions. Based on the threat model given in Section 3 and the potential attacks presented in Section 5, this section describes the possible attacks against ANCP, considering the four use cases defined in [ANCP-FRAME].

ANCPはセキュリティの脅威の影響を受けやすく、ネットワークサービスへの混乱/不正アクセス、転送されたデータの操作、およびネットワーク機能への干渉を引き起こします。セクション3に記載されている脅威モデルとセクション5に示されている潜在的な攻撃に基づいて、このセクションでは、[ANCPフレーム]で定義されている4つのユースケースを考慮して、ANCPに対する攻撃の可能性について説明します。

Although ANCP is not involved in the communication between the NAS and the AAA/policy server, the secure communication between the NAS and the AAA/policy server is important for ANCP security. Consequently, this document considers the attacks that are related to the ANCP operation associated with the communication between the NAS and the AAA/Policy server. In other words, the threat model and security requirements in this document take into consideration the data transfer between the NAS and the AAA server, when this data is used within the ANCP operation.

ANCPはNASとAAA/ポリシーサーバーの間の通信には関与していませんが、NASとAAA/ポリシーサーバーの間の安全な通信はANCPセキュリティにとって重要です。その結果、このドキュメントでは、NASとAAA/ポリシーサーバーの間の通信に関連するANCP操作に関連する攻撃を考慮します。言い換えれば、このドキュメントの脅威モデルとセキュリティ要件は、このデータがANCP操作内で使用される場合、NASとAAAサーバー間のデータ転送を考慮します。

Besides the attacks against the four ANCP use cases described in the following subsections, ANCP is susceptible to a number of attacks that can take place during the protocol-establishment phase. These attacks are mainly on-path attacks, taking the form of DoS or man-in-the-middle attacks, which could be as follows:

次のサブセクションで説明されている4つのANCPユースケースに対する攻撃に加えて、ANCPは、プロトコル確立段階で行われる可能性のある多くの攻撃の影響を受けやすくなります。これらの攻撃は主にパス上の攻撃であり、DOSまたは中間の攻撃の形をとります。これは次のとおりです。

o Attacks during the session initiation from the AN to the NAS: DoS attacks could take place affecting the session-establishment process. Also, man-in-the-middle attacks could take place, causing message truncation or message modification and leading to session-establishment failure.

o ANからNASへのセッション開始中の攻撃:DOS攻撃が行われる可能性があり、セッション確立プロセスに影響を与えます。また、中間の攻撃が行われる可能性があり、メッセージの切り捨てやメッセージの変更を引き起こし、セッション確立の失敗につながります。

o Attacks during the peering establishment: DoS attacks could take place during state synchronization between the AN and the NAS. Also, man-in-the-middle attacks could take place through message modification during identity discovery, which may lead to loss of contact between the AN and the NAS.

o ピアリング施設中の攻撃:ANとNASの間の州の同期中にDOS攻撃が行われる可能性があります。また、中間の攻撃は、IDの発見中にメッセージの変更を通じて行われる可能性があり、ANとNASの間の接触の喪失につながる可能性があります。

o Attacks during capabilities negotiation: Message replay could take place, leading to DoS. Also, man-in-the-middle attacks could take place, leading to message modification, message truncation, or downgrading through advertising lesser capabilities.

o 能力交渉中の攻撃:メッセージのリプレイが行われ、DOSにつながる可能性があります。また、中間の攻撃が行われる可能性があり、メッセージの変更、メッセージの切り捨て、または広告の低い機能を通じて格下げにつながります。

7.1. Dynamic Access-Loop Attributes
7.1. 動的アクセスループ属性

This use case concerns the communication of access-loop attributes for dynamic, access-line topology discovery. Since the access-loop rate may change over time, advertisement is beneficial to the NAS to gain knowledge about the topology of the access network for QoS scheduling. Besides data rates and access-loop links identification, other information may also be transferred from the AN to the NAS (examples in case of a DSL access loop are DSL type, maximum achievable data rate, and maximum data rate configured for the access loop). This use case is thus vulnerable to a number of on-path and off-path attacks that can be either active or passive.

このユースケースは、動的でアクセスライントポロジの発見に対するアクセスループ属性の通信に関するものです。アクセスループレートは時間とともに変化する可能性があるため、広告はNASにとって有益であり、QoSスケジューリングのアクセスネットワークのトポロジに関する知識を得ることができます。データレートとアクセスループリンクの識別に加えて、他の情報はANからNASに転送される場合があります(DSLアクセスループの場合の例は、DSLタイプ、最大達成可能なデータレート、およびアクセスループ用に構成された最大データレートです)。したがって、このユースケースは、アクティブまたはパッシブのいずれかである可能性のある多くのパスおよびパスオフパスの攻撃に対して脆弱です。

On-path attacks can take place between the AN and the NAS, on the AN or on the NAS, during the access-loop attributes transfer. These attacks may be:

アクセスループ属性の転送中に、ANとNASの間、ANまたはNASでNASの間で発生する可能性があります。これらの攻撃は次のとおりです。

o Active, acting on the transferred attributes and injecting falsified packets. The main attacks here are:

o アクティブ、転送された属性に作用し、偽造されたパケットを注入します。ここでの主な攻撃は次のとおりです。

* Man-in-the-middle attacks can cause access-loop attributes transfer between the AN and a forged NAS or a forged AN and the NAS, which can directly cause faked attributes and message modification or truncation.

* 中間の攻撃により、ANと鍛造NASまたは偽造ANとNASの間のアクセスループ属性の転送が発生する可能性があります。

* Signaling replay, by an attacker between the AN and the NAS, on the AN or on the NAS itself, causing DoS.

* ANとNASの間の攻撃者による、ANまたはNAS自体のシグナリングリプレイ、DOSを引き起こします。

* An adversary acting as man-in-the-middle can cause downgrading through changing the actual data rate of the access loop, which impacts the downstream shaping from the NAS.

* 中間者として行動する敵は、アクセスループの実際のデータレートを変更することにより格下げを引き起こす可能性があり、これはNASからの下流の形状に影響を与えます。

o Passive, only learning these attributes. The main attacks here are caused by:

o 受動的で、これらの属性のみを学習します。ここでの主な攻撃は、次のことによって引き起こされます。

* Eavesdropping through learning access-loop attributes and information about the clients' connection state, and thus impacting their privacy protection.

* アクセスループの属性とクライアントの接続状態に関する情報を学習することで盗聴し、プライバシー保護に影響を与えます。

* Traffic analysis allowing unauthorized information access, which could allow later unauthorized access to the NAS.

* 不正な情報アクセスを可能にするトラフィック分析。これにより、NASへの後で許可されていないアクセスが可能になります。

Off-path attacks can take place on the Internet, affecting the access-loop attribute sharing between the NAS and the AAA/policy server. These attacks may be:

インターネット上でオフパス攻撃が行われ、NASとAAA/ポリシーサーバー間のアクセスループ属性共有に影響を与えます。これらの攻撃は次のとおりです。

o Active attacks, which are mainly concerning:

o 主に懸念されるアクティブな攻撃:

* DoS through flooding the communication links to the AAA/policy server, causing service disruption.

* DOSは、通信リンクをAAA/ポリシーサーバーに浸水させ、サービスの混乱を引き起こします。

* Man-in-the-middle, causing access-loop configuration retrieval by an illegitimate NAS.

* 中間者、不法なNASによるアクセスループ構成の検索を引き起こします。

o Passive attacks, gaining information on the access-loop attributes. The main attacks in this case are:

o 受動的な攻撃、アクセスループ属性に関する情報を取得します。この場合の主な攻撃は次のとおりです。

* Eavesdropping through learning access-loop attributes and learning information about the clients' connection states, and thus impacting their privacy protection.

* アクセスループ属性の学習を通じて盗聴し、クライアントの接続状態に関する情報を学習し、プライバシー保護に影響を与えます。

* Traffic analysis allowing unauthorized information access, which could allow later unauthorized access to the NAS.

* 不正な情報アクセスを可能にするトラフィック分析。これにより、NASへの後で許可されていないアクセスが可能になります。

7.2. Access-Loop Configuration
7.2. アクセスループ構成

This use case concerns the dynamic, local-loop line configuration through allowing the NAS to change the access-loop parameters (e.g., rate) in a dynamic fashion. This allows for centralized, subscriber-related service data. This dynamic configuration can be achieved, for instance, through profiles that are pre-configured on ANs. This use case is vulnerable to a number of on-path and off-path attacks.

このユースケースは、NASが動的にアクセスループパラメーター(レートなど)を変更できるようにすることにより、動的なローカルループラインの構成に関するものです。これにより、集中化されたサブスクライバー関連のサービスデータが可能になります。この動的な構成は、たとえば、ANSで事前に構成されているプロファイルを介して実現できます。このユースケースは、多くのオンパスおよびパスオフパスの攻撃に対して脆弱です。

On-path attacks can take place where the attacker is between the AN and the NAS, is on the AN, or is on the NAS. These can be as follows:

攻撃者がANとNASの間にある、AN上にある、またはNASにある場所で、パス上の攻撃が行われます。これらは次のとおりです。

o Active attacks, taking the following forms:

o アクティブな攻撃、次の形式を取る:

* DoS attacks of the AN can take place by an attacker, through replaying the Configure Request messages.

* ANのDOS攻撃は、Configure Requestメッセージを再生することにより、攻撃者が行うことができます。

* An attacker on the AN can prevent the AN from reacting on the NAS request for the access-loop configuration, leading to the NAS continually sending the Configure Request message and, hence, allocating additional states.

* ANの攻撃者は、ANがAccess-Loop構成のNASリクエストでANが反応するのを防ぎ、NASに継続的にリクエストメッセージを継続的に送信し、したがって追加の状態を割り当てることができます。

* Damaging clients' profiles at ANs can take place by adversaries that gained control on the network through discovery of users' information from a previous traffic analysis.

* ANSでのクライアントのプロファイルに損害を与えることは、以前のトラフィック分析からユーザーの情報を発見することにより、ネットワークをコントロールした敵によって行われます。

* An adversary can replay old packets, modify messages, or inject faked messages. Such adversary can also be a man-in-the-middle. These attack forms can be related to a privileged client profile (having more services) in order to configure this profile on the adversary's own DSL line, which is less privileged. In order that the attacker does not expose its identity, he may also use these attack forms related to the privileged client profile to configure a number of illegitimate DSL lines. The adversary can also force configuration parameters other than the selected ones, leading to, for instance, downgrading the service for a privileged client.

* 敵は、古いパケットを再生したり、メッセージを変更したり、偽造メッセージを挿入したりできます。そのような敵はまた、中間の男になることができます。これらの攻撃フォームは、敵自身のDSLラインでこのプロファイルを構成するために、特権的なクライアントプロファイル(より多くのサービスを持つ)に関連している可能性があります。攻撃者がそのアイデンティティを公開しないために、彼はまた、特権的なクライアントプロファイルに関連するこれらの攻撃フォームを使用して、多くの違法なDSLラインを構成することもできます。敵は、選択したパラメーター以外の構成パラメーターを強制することもでき、たとえば特権クライアントのサービスを格下げすることになります。

o Passive attacks, where the attacker listens to the ANCP messages. This can take place as follows:

o パッシブ攻撃。攻撃者がANCPメッセージに耳を傾けます。これは次のように行われます。

* Learning configuration attributes is possible during the update of the access-loop configuration. An adversary might profit to see the configuration that someone else gets (e.g., one ISP might be interested to know what the customers of another ISP get and therefore might break into the AN to see this).

* アクセスループ構成の更新中に、学習構成属性が可能です。敵は、他の誰かが得る構成を見るために利益を得るかもしれません(たとえば、あるISPは、別のISPの顧客が何を得るかを知りたいと思うかもしれないので、これを見るためにANに侵入するかもしれません)。

Off-path attacks can take place as follows:

オフパス攻撃は次のように行われます。

o An off-path passive adversary on the Internet can exert eavesdropping during the access-loop configuration retrieval by the NAS from the AAA/policy server.

o インターネット上のオフパスパッシブ敵は、AAA/ポリシーサーバーからのNASによるアクセスループ構成検索中に盗聴を行使することができます。

o An off-path active adversary on the Internet can threaten the centralized subscribers-related service data in the AAA/policy server through, for instance, making subscribers' records inaccessible.

o インターネット上のオフパスのアクティブな敵は、たとえば、加入者の記録をアクセスできないようにするために、AAA/ポリシーサーバーの集中型購読者関連のサービスデータを脅かす可能性があります。

7.3. Remote Connectivity Test
7.3. リモート接続テスト

In this use case, the NAS can carry out a Remote Connectivity Test using ANCP to initiate an access-loop test between the AN and the HGW. Thus, multiple access-loop technologies can be supported. This use case is vulnerable to a number of active attacks. Most of the attacks in this use case concern the network operation.

このユースケースでは、NASはANCPを使用してリモート接続テストを実行して、ANとHGW間のアクセスループテストを開始できます。したがって、複数のアクセスループテクノロジーをサポートできます。このユースケースは、多くのアクティブな攻撃に対して脆弱です。このユースケースの攻撃のほとんどは、ネットワーク操作に関するものです。

On-path active attacks can take place in the following forms:

オンパスアクティブ攻撃は、次の形式で行われます。

o Man-in-the-middle attack during the NAS's triggering to the AN to carry out the test, where an adversary can inject falsified signals or can truncate the triggering.

o NASがANにトリガーしている間の中間攻撃は、敵が偽造されたシグナルを注入したり、引き金を切り捨てることができるテストを実行します。

o Message modification can take place during the Subscriber Response message transfer from the AN to the NAS announcing the test results, causing failure of the test operation.

o メッセージの変更は、ANからNASへのサブスクライバー応答メッセージ転送中に行われ、テスト結果を発表し、テスト操作の障害を引き起こす可能性があります。

o An adversary on the AN can prevent the AN from sending the Subscriber Response message to the NAS announcing the test results, and hence the NAS will continue triggering the AN to carry out the test, which results in more state being allocated at the NAS. This may result in unavailability of the NAS to the ANs.

o ANの敵は、ANがテスト結果を発表するNASにサブスクライバー応答メッセージを送信するのを防ぐことができます。したがって、NASはANがテストを実行するために引き起こし続け、NASでより多くの状態が割り当てられます。これにより、ANSに対するNASが利用できなくなる可能性があります。

Off-path active attacks can take place as follows:

オフパスアクティブ攻撃は次のように行われます。

o An adversary can cause DoS during the access-loop test, in case of an ATM-based access loop, when the AN generates loopback cells. This can take place through signal replaying.

o ATがループバックセルを生成するときに、ATMベースのアクセスループの場合、敵はアクセスループテスト中にDOSを引き起こす可能性があります。これは、信号リプレイによって行われます。

o Message truncating can take place by an adversary during the access-loop test, which can lead to service disruption due to assumption of test failures.

o メッセージの切り捨ては、アクセスループテスト中に敵によって行われる可能性があります。

7.4. Multicast
7.4. マルチキャスト

In this use case, ANCP could be used in exchanging information between the AN and the NAS, allowing the AN to perform replication inline with the policy and configuration of the subscriber. Also, this allows the NAS to follow subscribers' multicast (source, group) membership and control replication performed by the AN. Four multicast use cases are expected to take place, making use of ANCP; these are typically multicast conditional access, multicast admission control, multicast accounting, and spontaneous admission response. This section gives a high-level description of the possible attacks that can take place in these cases. Attacks that can occur are mostly active attacks.

このユースケースでは、ANCPはANとNASの間の情報を交換する際に使用でき、ANがサブスクライバーのポリシーと構成とインラインなレプリケーションを実行できるようにします。また、これにより、NASはANによって実行されたサブスクライバーのマルチキャスト(ソース、グループ)メンバーシップおよび制御レプリケーションに従うことができます。ANCPを使用して、4つのマルチキャストユースケースが行われると予想されます。これらは通常、マルチキャスト条件付きアクセス、マルチキャスト入場制御、マルチキャスト会計、および自発的な入場応答です。このセクションでは、これらの場合に行われる可能性のある攻撃の高レベルの説明を示します。発生する可能性のある攻撃は、ほとんどがアクティブな攻撃です。

On-path active attacks can be as follows:

オンパスアクティブ攻撃は次のとおりです。

o DoS attacks, causing inability for certain subscribers to access particular multicast streams or only access the multicast stream at a reduced bandwidth, impacting the quality of the possible video stream. This can take place through message replay by an attacker between the AN and the NAS, on the AN or on the NAS. Such DoS attacks can also be done by tempering, for instance, with white/black list configuration or by placing attacks to the bandwidth-admission-control mechanism.

o DOS攻撃は、特定のサブスクライバーが特定のマルチキャストストリームにアクセスするか、帯域幅の減少でマルチキャストストリームにのみアクセスできないため、可能なビデオストリームの品質に影響を与えます。これは、ANとNASの間の攻撃者によるメッセージリプレイ、ANまたはNASで行われます。このようなDOS攻撃は、たとえば、白/黒のリストの構成を使用して、または帯域幅補給制御メカニズムに攻撃を配置することで、強化することによっても実行できます。

o An adversary on the NAS can prevent the NAS from reacting on the AN requests for white/black/grey lists or for admission control for the access line. The AN in this case would not receive a reply and would continue sending its requests, resulting in more states being allocated at the AN. A similar case happens for admission control when the NAS can also send requests to the AN. When the NAS does not receive a response, it could also retransmit requests, resulting in more state being allocated at the NAS side to process responses. This may result in the unavailability of the NAS to the ANs.

o NASの敵は、NASが白/黒/灰色のリストのANリクエストやアクセスラインの入場制御の反応を防ぐことができます。この場合、ANは返信を受け取らず、リクエストを送信し続けるため、より多くの州がANで割り当てられます。同様のケースは、NASがANにリクエストを送信することができるときに入学制御のために発生します。NASが応答を受け取らない場合、リクエストを再送信する可能性もあり、その結果、より多くの状態がNAS側で応答を処理するために割り当てられます。これにより、ANSに対するNASが利用できない場合があります。

o Man-in-the-middle, causing the exchange of messages between the AN and a forged NAS or a forged AN and the NAS. This can lead to the following:

o 中間者、鍛造NASと鍛造ANとNASの間のメッセージの交換を引き起こします。これは次のことにつながる可能性があります。

* Message modification, which can cause service downgrading for legitimate subscribers -- for instance, an illegitimate change of a subscriber's policy.

* たとえば、サブスクライバーのポリシーの違法な変化など、正当な加入者のサービス格下げを引き起こす可能性があるメッセージの変更。

* Message truncation between the AN and the NAS, which can result in the non-continuity of services.

* ANとNASの間のメッセージの切り捨て。サービスの非連続性をもたらす可能性があります。

* Message replay between the AN and the NAS, on the AN or on the NAS, leading to a DoS or services fraud.

* ANとNASの間のメッセージリプレイ、ANまたはNASで、DOSまたはサービス詐欺につながります。

* Message modification to temper with accounting information, for example, in order to avoid service charges or, conversely, in order to artificially increase service charges on other users.

* たとえば、サービス料を回避するため、または逆に、他のユーザーのサービス料を人為的に増やすために、会計情報を使用して気質を変更するメッセージ。

An off-path active attack is as follows:

オフパスアクティブ攻撃は次のとおりです。

o DoS could take place through message replay of join/leave requests by the HGW or CPE, frequently triggering the ANCP activity between the AN and the NAS. DoS could also result from generating heaps of IGMP join/leaves by the HGW or CPE, leading to very high rate of ANCP query/response.

o DOSは、HGWまたはCPEによる参加/休暇リクエストのメッセージリプレイを介して行われ、ANとNASの間のANCPアクティビティを頻繁にトリガーすることができます。また、DOSは、HGWまたはCPEによってIGMP結合/葉のヒープを生成し、ANCPクエリ/応答の割合が非常に高いことになる可能性があります。

8. Security Requirements
8. セキュリティ要件

This section presents a number of requirements motivated by the different types of attacks defined in the previous section. These requirements are as follows:

このセクションでは、前のセクションで定義されているさまざまな種類の攻撃によって動機付けられた多くの要件を示します。これらの要件は次のとおりです。

o The protocol solution MUST offer authentication of the AN to the NAS.

o プロトコルソリューションは、NASにANの認証を提供する必要があります。

o The protocol solution MUST offer authentication of the NAS to the AN.

o プロトコルソリューションは、ANにNASの認証を提供する必要があります。

o The protocol solution MUST allow authorization to take place at the NAS and the AN.

o プロトコルソリューションは、NASおよびANで認可を行うことを許可する必要があります。

o The protocol solution MUST offer replay protection.

o プロトコルソリューションは、リプレイ保護を提供する必要があります。

o The protocol solution MUST provide data-origin authentication.

o プロトコルソリューションは、データオリジン認証を提供する必要があります。

o The protocol solution MUST be robust against denial-of-service (DoS) attacks. In this context, the protocol solution MUST consider a specific mechanism for the DoS that the user might create by sending many IGMP messages.

o プロトコルソリューションは、サービス拒否(DOS)攻撃に対して堅牢でなければなりません。これに関連して、プロトコルソリューションは、多くのIGMPメッセージを送信することでユーザーが作成する可能性のあるDOSの特定のメカニズムを考慮する必要があります。

o The protocol solution SHOULD offer confidentiality protection.

o プロトコルソリューションは、機密保護を提供する必要があります。

o The protocol solution SHOULD ensure that operations in default configuration guarantees a low number of AN/NAS protocol interactions.

o プロトコルソリューションは、デフォルトの構成での操作により、AN/NASプロトコルの相互作用が少ないことを保証する必要があります。

o The protocol solution SHOULD ensure the access control of the management objects and possibly encrypt the values of these objects when sending them over the networks.

o プロトコルソリューションは、管理オブジェクトのアクセス制御を保証し、ネットワーク上に送信するときにこれらのオブジェクトの値を暗号化する場合があります。

9. Security Considerations
9. セキュリティに関する考慮事項

This document focuses on security threats, deriving a threat model for ANCP and presenting the security requirements to be considered for the design of ANCP.

このドキュメントは、ANCPの脅威モデルを導き出し、ANCPの設計に考慮されるセキュリティ要件を提示するセキュリティの脅威に焦点を当てています。

10. Acknowledgments
10. 謝辞

Many thanks go to Francois Le Faucher for reviewing this document and for all his useful comments. The authors would also like to thank Philippe Niger, Curtis Sherbo, and Michael Busser for reviewing this document. Other thanks go to Bharat Joshi, Mark Townsley, Wojciech Dec, and Kim Hylgaard who have had valuable comments during the development of this work.

このドキュメントをレビューしてくれたフランソワルファーチャーに感謝します。著者はまた、この文書をレビューしてくれたフィリップ・ニジェール、カーティス・シェルボ、マイケル・バスサーにも感謝したいと思います。その他の感謝は、この作業の開発中に貴重なコメントをしてくれたBharat Joshi、Mark Townsley、Wojciech Dec、およびKim Hylgaardに感謝します。

11. References
11. 参考文献
11.1. Normative References
11.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC3365] Schiller, J., "Strong Security Requirements for Internet Engineering Task Force Standard Protocols", BCP 61, RFC 3365, August 2002.

[RFC3365]シラー、J。、「インターネットエンジニアリングタスクフォースの標準プロトコルの強力なセキュリティ要件」、BCP 61、RFC 3365、2002年8月。

11.2. Informative References
11.2. 参考引用

[ANCP-FRAME] Ooghe, S., Voigt, N., Platnic, M., Haag, T., and S. Wadhwa, "Framework and Requirements for an Access Node Control Mechanism in Broadband Multi-Service Networks", Work in Progress, October 2009.

[ANCPフレーム] Ooghe、S.、Voigt、N.、Platnic、M.、Haag、T。、およびS. Wadhwa、「ブロードバンドマルチサービスネットワークのアクセスノード制御メカニズムのフレームワークと要件」、進捗、2009年10月。

[ANCP-MIB] De Cnodder, S. and M. Morgenstern, "Access Node Control Protocol (ANCP) MIB module for Access Nodes", Work in Progress, July 2009.

[ANCP-MIB] de Cnodder、S。およびM. Morgenstern、「アクセスノード制御プロトコル(ANCP)アクセスノードのMIBモジュール」、2009年7月の作業進行中。

Authors' Addresses

著者のアドレス

Hassnaa Moustafa France Telecom 38-40 rue du General Leclerc Issy Les Moulineaux, 92794 Cedex 9 France

Hassnaa Moustafa France Telecom 38-40 Rue du General Leclerc Issy Les Moulineaux、92794 Cedex 9 France

   EMail: hassnaa.moustafa@orange-ftgroup.com
        

Hannes Tschofenig Nokia Siemens Networks Linnoitustie 6 Espoo 02600 Finland

Hannes Tschofenig Nokia Siemens Networks Linnoitustie 6 Espoo 02600フィンランド

   Phone: +358 (50) 4871445
   EMail: Hannes.Tschofenig@gmx.net
   URI:   http://www.tschofenig.priv.at
        

Stefaan De Cnodder Alcatel-Lucent Copernicuslaan 50 B-2018 Antwerp, Belgium

Stefaan de Cnodder Alcatel-Lucent Copernicuslaan 50 B-2018 Antwerp、Belgium

   Phone: +32 3 240 85 15
   EMail: stefaan.de_cnodder@alcatel-lucent.com