[要約] RFC 7350は、STUNプロトコルのトランスポートとしてDTLSを使用する方法についての仕様です。目的は、NATトラバーサルのためのセッションユーティリティを提供するために、セキュアなトランスポートを提供することです。
Internet Engineering Task Force (IETF) M. Petit-Huguenin
Request for Comments: 7350 Jive Communications
Updates: 5389, 5928 G. Salgueiro
Category: Standards Track Cisco Systems
ISSN: 2070-1721 August 2014
Datagram Transport Layer Security (DTLS) as Transport for Session Traversal Utilities for NAT (STUN)
NATのセッショントラバーサルユーティリティ(STUN)のトランスポートとしてのデータグラムトランスポート層セキュリティ(DTLS)
Abstract
概要
This document specifies the usage of Datagram Transport Layer Security (DTLS) as a transport protocol for Session Traversal Utilities for NAT (STUN). It provides guidance on when and how to use DTLS with the currently standardized STUN usages. It also specifies modifications to the STUN and Traversal Using Relay NAT (TURN) URIs and to the TURN resolution mechanism to facilitate the resolution of STUN and TURN URIs into the IP address and port of STUN and TURN servers supporting DTLS as a transport protocol. This document updates RFCs 5389 and 5928.
このドキュメントでは、NAT(STUN)のセッショントラバーサルユーティリティのトランスポートプロトコルとして、データグラムトランスポート層セキュリティ(DTLS)の使用法を指定します。現在標準化されているSTUNの使用法でDTLSをいつどのように使用するかについてのガイダンスを提供します。また、トランスポートプロトコルとしてDTLSをサポートするSTUNおよびTURNサーバーのIPアドレスとポートへのSTUNおよびTURN URIの解決を容易にするために、STUNとリレーNAT(TURN)URIを使用したトラバーサル、およびTURN解決メカニズムへの変更を指定します。このドキュメントは、RFC 5389および5928を更新します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7350.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7350で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 3
3. DTLS as Transport for STUN . . . . . . . . . . . . . . . . . 3
4. STUN Usages . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1. NAT Discovery Usage . . . . . . . . . . . . . . . . . . . 4
4.1.1. DTLS Support in STUN URIs . . . . . . . . . . . . . . 5
4.2. Connectivity Check Usage . . . . . . . . . . . . . . . . 5
4.3. Media Keep-Alive Usage . . . . . . . . . . . . . . . . . 5
4.4. SIP Keep-Alive Usage . . . . . . . . . . . . . . . . . . 6
4.5. NAT Behavior Discovery Usage . . . . . . . . . . . . . . 6
4.6. TURN Usage . . . . . . . . . . . . . . . . . . . . . . . 6
4.6.1. DTLS Support in TURN URIs . . . . . . . . . . . . . . 7
4.6.2. Resolution Mechanism for TURN over DTLS . . . . . . . 7
5. Security Considerations . . . . . . . . . . . . . . . . . . . 8
6. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 9
6.1. S-NAPTR Application Protocol Tag . . . . . . . . . . . . 9
6.2. Service Name and Transport Protocol Port Number . . . . . 9
6.2.1. The "stuns" Service Name . . . . . . . . . . . . . . 10
6.2.2. The "turns" Service Name . . . . . . . . . . . . . . 11
7. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . 11
8. References . . . . . . . . . . . . . . . . . . . . . . . . . 12
8.1. Normative References . . . . . . . . . . . . . . . . . . 12
8.2. Informative References . . . . . . . . . . . . . . . . . 13
Appendix A. Examples . . . . . . . . . . . . . . . . . . . . . . 14
STUN [RFC5389] defines Transport Layer Security (TLS) over TCP (simply referred to as TLS [RFC5246]) as the transport for STUN due to additional security advantages it offers over plain UDP or TCP transport. But, TCP (and thus TLS-over-TCP) is not an optimal transport when STUN is used for its originally intended purpose, which is to support multimedia sessions. This is a well documented and understood transport limitation for real-time communications.
STUN [RFC5389]は、プレーンなUDPまたはTCPトランスポートよりも優れたセキュリティ上の利点があるため、STUNのトランスポートとしてTCP上のトランスポート層セキュリティ(TLS)(単にTLS [RFC5246]と呼ばれます)を定義しています。しかし、TCP(したがってTLS-over-TCP)は、マルチメディアセッションをサポートするという本来の目的でSTUNを使用する場合、最適なトランスポートではありません。これは、十分に文書化され、理解されているリアルタイム通信のトランスポート制限です。
DTLS-over-UDP (referred to in this document as simply DTLS [RFC6347]) offers the same security advantages as TLS-over-TCP, but without the undesirable concerns.
DTLS-over-UDP(このドキュメントでは単にDTLS [RFC6347]と呼ばれます)は、TLS-over-TCPと同じセキュリティ上の利点を提供しますが、望ましくない懸念はありません。
The key words "MUST", "MUST NOT", "REQUIRED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119] when they appear in ALL CAPS. When these words are not in ALL CAPS (such as "must" or "Must"), they have their usual English meanings, and are not to be interpreted as RFC 2119 key words.
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「MAY」、および「OPTIONAL」は、すべて大文字で表記されている場合、[RFC2119]で説明されているように解釈されます。これらの単語がすべて大文字ではない場合(「必須」または「必須」など)、それらは通常の英語の意味を持ち、RFC 2119のキーワードとして解釈されません。
STUN [RFC5389] defines three transports: UDP, TCP, and TLS. This document adds DTLS as a valid transport for STUN.
STUN [RFC5389]は、UDP、TCP、TLSの3つのトランスポートを定義しています。このドキュメントでは、STUNの有効なトランスポートとしてDTLSを追加しています。
STUN over DTLS MUST use the same retransmission rules as STUN over UDP (as described in Section 7.2.1 of [RFC5389]). It MUST also use the same rules that are described in Section 7.2.2 of [RFC5389] to verify the server identity. Instead of TLS_RSA_WITH_AES_128_CBC_SHA, which is the default cipher suite for STUN over TLS, implementations of STUN over DTLS, and deployed clients and servers, MUST support TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 and TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, and MAY support other cipher suites. Perfect Forward Secrecy (PFS) cipher suites MUST be preferred over non-PFS cipher suites. Cipher suites with known weaknesses, such as those based on (single) DES and RC4, MUST NOT be used. Implementations MUST disable TLS-level compression. The same rules established in Section 7.2.2 of [RFC5389] for keeping open and closing TCP/TLS connections MUST be used as well for DTLS associations.
STUN over DTLSは、STUN over UDPと同じ再送信ルールを使用する必要があります([RFC5389]のセクション7.2.1で説明)。また、[RFC5389]のセクション7.2.2で説明されているのと同じルールを使用して、サーバーのIDを確認する必要があります。 STUN over TLSのデフォルトの暗号スイートであるTLS_RSA_WITH_AES_128_CBC_SHAの代わりに、STTLS over DTLSの実装、およびデプロイされたクライアントとサーバーは、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256とTLS_ECDHE_RSA_WITH_AESHAとMSA_256_CM_SESをサポートする必要があります。 Perfect Forward Secrecy(PFS)暗号スイートは、非PFS暗号スイートよりも優先される必要があります。 (単一の)DESおよびRC4に基づくものなど、既知の弱点を持つ暗号スイートは使用してはなりません(MUST NOT)。実装ではTLSレベルの圧縮を無効にする必要があります。 [RFC5389]のセクション7.2.2で確立された、TCP / TLS接続の開閉を維持するための同じルールをDTLSアソシエーションにも使用する必要があります。
In addition to the path MTU rules described in Section 7.1 of [RFC5389], if the path MTU is unknown, the actual STUN message needs to be adjusted to take into account the size of the (13-byte) DTLS Record header, the MAC size, and the padding size.
[RFC5389]のセクション7.1で説明されているパスMTUルールに加えて、パスMTUが不明な場合、実際のSTUNメッセージを調整して、(13バイト)DTLSレコードヘッダー、MACのサイズを考慮する必要がありますサイズ、パディングサイズ。
By default, STUN over DTLS MUST use port 5349, the same port number as STUN over TLS. However, the Service Record (SRV) procedures can be implemented to use a different port (as described in Section 9 of [RFC5389]). When using SRV records, the service name MUST be set to "stuns" and the protocol name to "udp".
デフォルトでは、STUN over DTLSはSTUN over TLSと同じポート番号であるポート5349を使用する必要があります。ただし、サービスレコード(SRV)手順は、別のポートを使用するように実装できます([RFC5389]のセクション9で説明されています)。 SRVレコードを使用するときは、サービス名を「stuns」に、プロトコル名を「udp」に設定する必要があります。
Classic STUN [RFC3489] (which was obsoleted by [RFC5389]) defines only UDP as a transport, and DTLS MUST NOT be used. Any STUN request or indication without the magic cookie (see Section 6 of [RFC5389]) over DTLS MUST always result in an error.
クラシックSTUN [RFC3489]([RFC5389]によって廃止されました)は、UDPのみをトランスポートとして定義し、DTLSを使用してはなりません(MUST NOT)。 DTLSを介したマジックCookie([RFC5389]のセクション6を参照)を使用しないSTUN要求または指示は、常にエラーになる必要があります。
Section 7.2 of [RFC5389] states that STUN usages must specify which transport protocol is used. The following sections discuss if and how the existing STUN usages are used with DTLS as the transport. Future STUN usages MUST take into account DTLS as a transport and discuss its applicability. In all cases, new STUN usages MUST explicitly state if implementing the denial-of-service countermeasure described in Section 4.2.1 of [RFC6347] is mandatory.
[RFC5389]のセクション7.2には、STUNの使用方法で使用するトランスポートプロトコルを指定する必要があると記載されています。次のセクションでは、既存のSTUNの使用法がトランスポートとしてDTLSと共に使用されるかどうか、およびどのように使用されるかについて説明します。将来のSTUNの使用法では、トランスポートとしてDTLSを考慮に入れ、その適用性について議論する必要があります。すべての場合において、[RFC6347]のセクション4.2.1で説明されているサービス拒否対策の実装が必須である場合、新しいSTUNの使用法で明示的に述べる必要があります。
As stated by Section 13 of [RFC5389], "...TLS provides minimal security benefits..." for this particular STUN usage. DTLS will also similarly offer only limited benefit. This is because the only mandatory attribute that is TLS/DTLS protected is the XOR-MAPPED-ADDRESS, which is already known by an on-path attacker, since it is the same as the source address and port of the STUN request. On the other hand, using TLS/DTLS will prevent an active attacker to inject XOR-MAPPED-ADDRESS in responses. The TLS/DTLS transport will also protect the SOFTWARE attribute, which can be used to find vulnerabilities in STUN implementations.
[RFC5389]のセクション13で述べられているように、この特定のSTUNの使用に対して「... TLSは最小限のセキュリティ上の利点を提供します...」 DTLSも同様に限られた利点のみを提供します。これは、保護されたTLS / DTLSの唯一の必須属性がXOR-MAPPED-ADDRESSであるためです。これは、STUN要求の送信元アドレスおよびポートと同じであるため、パス上の攻撃者によってすでに知られています。一方、TLS / DTLSを使用すると、アクティブな攻撃者がXOR-MAPPED-ADDRESSを応答に挿入するのを防ぐことができます。 TLS / DTLSトランスポートは、STUN実装の脆弱性を見つけるために使用できるSOFTWARE属性も保護します。
Regardless, this usage is rarely used by itself, since using TURN [RFC5766] with Interactive Connectivity Establishment (ICE) [RFC5245] is generally indispensable, and TURN provides the same NAT Discovery feature as part of an allocation creation. In fact, with ICE, the NAT Discovery usage is only used when there is no longer any resource available for new allocations in the TURN server.
とにかく、インタラクティブ接続確立(ICE)[RFC5245]でTURN [RFC5766]を使用することは一般に不可欠であり、TURNは割り当て作成の一部として同じNAT検出機能を提供するため、この使用法が単独で使用されることはほとんどありません。実際、ICEでは、NAT検出の使用は、TURNサーバーで新しい割り当てに使用できるリソースがなくなった場合にのみ使用されます。
A STUN server implementing the NAT Discovery usage and using DTLS MUST implement the denial-of-service countermeasure described in Section 4.2.1 of [RFC6347].
NAT Discoveryの使用法を実装し、DTLSを使用するSTUNサーバーは、[RFC6347]のセクション4.2.1で説明されているサービス拒否対策を実装する必要があります。
This document does not make any changes to the syntax of a STUN URI [RFC7064]. As indicated in Section 3.2 of [RFC7064], secure transports like STUN over TLS, and now STUN over DTLS, MUST use the "stuns" URI scheme.
このドキュメントは、STUN URI [RFC7064]の構文に変更を加えません。 [RFC7064]のセクション3.2に示されているように、STUN over TLSのようなセキュアなトランスポート、および現在はSTUN over DTLSでは、「stuns」URIスキームを使用する必要があります。
The <host> value MUST be used when using the rules in Section 7.2.2 of [RFC5389] to verify the server identity. A STUN URI containing an IP address MUST be rejected, unless the domain name is provided by the same mechanism that provided the STUN URI, and that domain name can be passed to the verification code.
[RFC5389]のセクション7.2.2のルールを使用してサーバーIDを確認する場合は、<host>値を使用する必要があります。ドメイン名がSTUN URIを提供したのと同じメカニズムによって提供され、そのドメイン名が確認コードに渡される場合を除き、IPアドレスを含むSTUN URIは拒否する必要があります。
Using DTLS would hide the USERNAME, PRIORITY, USE-CANDIDATE, ICE-CONTROLLED, and ICE-CONTROLLING attributes. But, because MESSAGE-INTEGRITY protects the entire STUN response using a password that is known only by looking at the Session Description Protocol (SDP) exchanged, it is not possible for an attacker that does not have access to this SDP to inject an incorrect XOR-MAPPED-ADDRESS, which would subsequently be used as a peer reflexive candidate.
DTLSを使用すると、USERNAME、PRIORITY、USE-CANDIDATE、ICE-CONTROLLED、およびICE-CONTROLLING属性が非表示になります。ただし、MESSAGE-INTEGRITYは、交換されたセッション記述プロトコル(SDP)を確認するだけで既知のパスワードを使用してSTUN応答全体を保護するため、このSDPにアクセスできない攻撃者が不正なXORを挿入することはできません-MAPPED-ADDRESS。これは、後でピア再帰候補として使用されます。
Adding DTLS on top of the connectivity check would delay, and consequently impair, the ICE process. Adding additional round trips to ICE is undesirable, so much that there is a proposal ([ICE-DTLS]) to use the DTLS handshake used by the WebRTC Secure Real-time Transport Protocol (SRTP) streams as a replacement for the connectivity checks.
接続チェックの上にDTLSを追加すると、ICEプロセスが遅延し、その結果、ICEプロセスが損なわれます。追加のラウンドトリップをICEに追加することは望ましくないため、接続性チェックの代わりにWebRTCセキュアリアルタイムトランスポートプロトコル(SRTP)ストリームで使用されるDTLSハンドシェイクを使用する提案([ICE-DTLS])があります。
STUN URIs are not used with this usage.
STUN URIは、この使用法では使用されません。
When STUN Binding Indications are being used for media keep-alive (described in Section 10 of [RFC5245]), it runs alongside an RTP or RTP Control Protocol (RTCP) session. It is possible to send these media keep-alive packets inside a separately negotiated non-SRTP DTLS session if DTLS-SRTP [RFC5764] is used, but that would add overhead, with minimal security benefit.
メディアキープアライブにSTUNバインディング表示が使用されている場合([RFC5245]のセクション10で説明)、RTPまたはRTP制御プロトコル(RTCP)セッションと並行して実行されます。 DTLS-SRTP [RFC5764]が使用されている場合、個別にネゴシエートされた非SRTP DTLSセッション内でこれらのメディアキープアライブパケットを送信することは可能ですが、オーバーヘッドが増加し、セキュリティ上の利点は最小限になります。
STUN URIs are not used with this usage.
STUN URIは、この使用法では使用されません。
The SIP keep-alive (described in [RFC5626]) runs inside a SIP flow. This flow would be protected if a SIP over DTLS transport mechanism is implemented (such as described in [SIP-DTLS]).
SIPキープアライブ([RFC5626]で説明)は、SIPフロー内で実行されます。このフローは、SIP over DTLSトランスポートメカニズムが実装されている場合に保護されます([SIP-DTLS]で説明されているなど)。
STUN URIs are not used with this usage.
STUN URIは、この使用法では使用されません。
The NAT Behavior Discovery usage is Experimental and to date has never been effectively deployed. Despite this, using DTLS would add the same security properties as for the NAT Discovery usage (Section 4.1).
NAT Behavior Discoveryの使用は実験的なものであり、現在まで効果的に展開されたことはありません。それにもかかわらず、DTLSを使用すると、NAT検出の使用(セクション4.1)と同じセキュリティプロパティが追加されます。
The STUN URI can be used to access the NAT Discovery feature of a NAT Behavior Discovery server, but accessing the full features would require definition of a "stun-behaviors:" URI, which is out of scope for this document.
STUN URIを使用して、NAT Behavior DiscoveryサーバーのNAT Discovery機能にアクセスできますが、すべての機能にアクセスするには、「stun-behaviors:」URIの定義が必要ですが、このドキュメントの範囲外です。
A STUN server implementing the NAT Behavior Discovery usage and using DTLS MUST implement the denial-of-service countermeasure described in Section 4.2.1 of [RFC6347].
NAT Behavior Discoveryの使用法を実装し、DTLSを使用するSTUNサーバーは、[RFC6347]のセクション4.2.1で説明されているサービス拒否対策を実装する必要があります。
TURN [RFC5766] defines three combinations of transports/allocations: UDP/UDP, TCP/UDP, and TLS/UDP. This document adds DTLS/UDP as a valid combination. A TURN server using DTLS MUST implement the denial-of-service countermeasure described in Section 4.2.1 of [RFC6347].
TURN [RFC5766]は、トランスポート/割り当ての3つの組み合わせを定義しています:UDP / UDP、TCP / UDP、およびTLS / UDP。このドキュメントでは、DTLS / UDPを有効な組み合わせとして追加しています。 DTLSを使用するTURNサーバーは、[RFC6347]のセクション4.2.1で説明されているサービス拒否の対策を実装する必要があります。
[RFC6062] states that TCP allocations cannot be obtained using a UDP association between client and server. The fact that DTLS uses UDP implies that TCP allocations MUST NOT be obtained using a DTLS association between client and server.
[RFC6062]は、クライアントとサーバー間のUDPアソシエーションを使用してTCP割り当てを取得できないと述べています。 DTLSがUDPを使用するという事実は、TCP割り当てがクライアントとサーバー間のDTLSアソシエーションを使用して取得されてはならないことを意味します。
By default, TURN over DTLS uses port 5349, the same port number as TURN over TLS. However, the SRV procedures can be implemented to use a different port (as described in Section 6 of [RFC5766]). When using SRV records, the service name MUST be set to "turns" and the protocol name to "udp".
デフォルトでは、TURN over DTLSはポート5349を使用します。これは、TURN over TLSと同じポート番号です。ただし、SRV手順を実装して別のポートを使用することもできます([RFC5766]のセクション6で説明)。 SRVレコードを使用するときは、サービス名を「turns」に、プロトコル名を「udp」に設定する必要があります。
This document does not make any changes to the syntax of a TURN URI [RFC7065]. As indicated in Section 3 of [RFC7065], secure transports like TURN over TLS, and now TURN over DTLS, MUST use the "turns" URI scheme. When using the "turns" URI scheme to designate TURN over DTLS, the transport value of the TURN URI, if set, MUST be "udp".
このドキュメントは、TURN URI [RFC7065]の構文に変更を加えません。 [RFC7065]のセクション3に示されているように、TURN over TLSのような安全なトランスポート、および今ではTURN over DTLSでは、「turns」URIスキームを使用する必要があります。 「turns」URIスキームを使用してTURN over DTLSを指定する場合、TURN URIのトランスポート値は、設定されている場合、「udp」でなければなりません。
The <host> value MUST be used when using the rules in Section 7.2.2 of [RFC5389] to verify the server identity. A TURN URI containing an IP address MUST be rejected, unless the domain is provided by the same mechanism that provided the TURN URI, and that domain name can be passed to the verification code.
[RFC5389]のセクション7.2.2のルールを使用してサーバーIDを確認する場合は、<host>値を使用する必要があります。ドメインがTURN URIを提供したのと同じメカニズムによって提供され、そのドメイン名を確認コードに渡すことができない場合を除き、IPアドレスを含むTURN URIは拒否する必要があります。
This document defines a new Straightforward-Naming Authority Pointer (S-NAPTR) application protocol tag: "turn.dtls".
このドキュメントでは、新しいStraightforward-Naming Authority Pointer(S-NAPTR)アプリケーションプロトコルタグ「turn.dtls」を定義しています。
The <transport> component, as provisioned or resulting from the parsing of a TURN URI, is passed without modification to the TURN resolution mechanism defined in Section 3 of [RFC5928], but with the following alterations to that algorithm:
<transport>コンポーネントは、プロビジョニングされているか、またはTURN URIの解析の結果として、[RFC5928]のセクション3で定義されているTURN解決メカニズムに変更なしで渡されますが、そのアルゴリズムは次のように変更されています。
o The acceptable values for the transport name are extended with the addition of "dtls".
o トランスポート名の許容値は、「dtls」が追加されて拡張されています。
o The acceptable values in the ordered list of supported TURN transports is extended with the addition of "Datagram Transport Layer Security (DTLS)".
o サポートされているTURNトランスポートの順序付きリストの許容値は、「データグラムトランスポート層セキュリティ(DTLS)」が追加されて拡張されています。
o The resolution algorithm check rules list is extended with the addition of the following step:
o 解決アルゴリズムのチェックルールリストが拡張され、次のステップが追加されます。
If <secure> is true and <transport> is defined as "udp" but the list of TURN transports supported by the application does not contain DTLS, then the resolution MUST stop with an error.
<secure>がtrueで<transport>が "udp"として定義されているが、アプリケーションでサポートされるTURNトランスポートのリストにDTLSが含まれていない場合、解決はエラーで停止する必要があります。
o The 5th rule of the resolution algorithm check rules list is modified to read like this:
o 解決アルゴリズムチェックルールリストの5番目のルールは、次のように変更されます。
If <secure> is true and <transport> is not defined but the list of TURN transports supported by the application does not contain TLS or DTLS, then the resolution MUST stop with an error.
<secure>がtrueで<transport>が定義されていないが、アプリケーションでサポートされるTURNトランスポートのリストにTLSまたはDTLSが含まれていない場合、解決はエラーで停止する必要があります。
o Table 1 is modified to add the following line:
o 表1は、次の行を追加するように変更されています。
+----------+-------------+----------------+
| <secure> | <transport> | TURN Transport |
+----------+-------------+----------------+
| true | "udp" | DTLS |
+----------+-------------+----------------+
o In step 1 of the resolution algorithm, the default port for DTLS is 5349.
o 解決アルゴリズムのステップ1では、DTLSのデフォルトポートは5349です。
o In step 4 of the resolution algorithm, the following is added to the list of conversions between the filtered list of TURN transports supported by the application and application protocol tags:
o 解決アルゴリズムのステップ4では、アプリケーションとアプリケーションプロトコルタグでサポートされるTURNトランスポートのフィルターされたリスト間の変換のリストに、次のものが追加されます。
"turn.dtls" is used if the TURN transport is DTLS.
「turn.dtls」は、TURNトランスポートがDTLSの場合に使用されます。
Note that using the resolution mechanism in [RFC5928] does not imply that additional round trips to the DNS server will be needed (e.g., the TURN client will start immediately if the TURN URI contains an IP address).
[RFC5928]の解決メカニズムを使用しても、DNSサーバーへの追加のラウンドトリップが必要になることを意味しないことに注意してください(たとえば、TURN URIにIPアドレスが含まれている場合、TURNクライアントはすぐに開始されます)。
STUN over DTLS as a STUN transport does not introduce any specific security considerations beyond those for STUN over TLS detailed in [RFC5389].
STUNトランスポートとしてのSTUN over DTLSは、[RFC5389]で詳述されているSTUN over TLSのセキュリティを超える特定のセキュリティ上の考慮事項を導入していません。
The usage of "udp" as a transport parameter with the "stuns" URI scheme does not introduce any specific security issues beyond those discussed in [RFC7064].
「stuns」URIスキームでトランスポートパラメータとして「udp」を使用しても、[RFC7064]で説明されている問題以外の特定のセキュリティ問題は発生しません。
TURN over DTLS as a TURN transport does not introduce any specific security considerations beyond those for TURN over TLS detailed in [RFC5766].
TURNトランスポートとしてのTURN over DTLSは、[RFC5766]で説明されているTURN over TLSの場合を超える特定のセキュリティ上の考慮事項を導入していません。
The usage of "udp" as a transport parameter with the "turns" URI scheme does not introduce any specific security issues beyond those discussed in [RFC7065].
「ターン」URIスキームのトランスポートパラメータとして「udp」を使用しても、[RFC7065]で説明されている問題以外に、特定のセキュリティ問題は発生しません。
The new S-NAPTR application protocol tag defined in this document as well as the modifications this document makes to the TURN resolution mechanism described in [RFC5928] do not introduce any additional security considerations beyond those outlined in [RFC5928].
このドキュメントで定義されている新しいS-NAPTRアプリケーションプロトコルタグ、およびこのドキュメントが[RFC5928]で説明されているTURN解決メカニズムに対して行う変更では、[RFC5928]で概要が説明されているセキュリティ上の考慮事項以外にセキュリティに関する考慮事項はありません。
This specification contains the registration information for one S-NAPTR application protocol tag in the "Straightforward-NAPTR (S-NAPTR) Parameters" registry under "S-NAPTR Application Protocol Tags" (in accordance with [RFC3958]).
この仕様には、[S-NAPTR Application Protocol Tags]の下にある[Straightforward-NAPTR(S-NAPTR)Parameters]レジストリの1つのS-NAPTRアプリケーションプロトコルタグの登録情報が含まれています([RFC3958]に準拠)。
Application Protocol Tag: turn.dtls
Intended Usage: See Section 4.6.2
Interoperability considerations: N/A
Security considerations: See Section 5
Relevant publications: This document
Contact information: Marc Petit-Huguenin <petithug@acm.org>
Author/Change controller: The IESG
This specification contains the registration information for two Service Name and Transport Protocol Port Numbers in the "Service Names and Transport Protocol Port Numbers/Service Name and Transport Protocol Port Number" registry (in accordance with [RFC6335]).
この仕様には、[サービス名とトランスポートプロトコルのポート番号/サービス名とトランスポートプロトコルのポート番号]レジストリ([RFC6335]に準拠)の2つのサービス名とトランスポートプロトコルのポート番号の登録情報が含まれています。
IANA has modified the following entry in the registry "Service Names and Transport Protocol Port Numbers/Service Name and Transport Protocol Port Number":
IANAは、レジストリ「サービス名とトランスポートプロトコルのポート番号/サービス名とトランスポートプロトコルのポート番号」の次のエントリを変更しました。
Service Name: stuns PortNumber: 5349 Transport Protocol: udp Description: Reserved for a future enhancement of STUN Assignee: Contact: Reference: RFC 5389
サービス名:stunsポート番号:5349トランスポートプロトコル:udp説明:STUN割り当て先の将来の拡張のために予約済み:連絡先:参照:RFC 5389
So that it contains the following:
そのため、以下が含まれます。
Service Name: stuns Port Number: 5349 Transport Protocol: udp Description: STUN over DTLS Assignee: IESG Contact: IETF Chair <chair@ietf.org> Reference: RFC 7350 Assignment Notes: This service name was initially created by RFC 5389.
サービス名:stunsポート番号:5349トランスポートプロトコル:udp説明:STUN over DTLS割り当て:IESG連絡先:IETF議長<chair@ietf.org>参照:RFC 7350割り当てに関する注意:このサービス名は、最初にRFC 5389によって作成されました。
IANA has modified the following entry in the registry "Service Names and Transport Protocol Port Numbers/Service Name and Transport Protocol Port Number":
IANAは、レジストリ「サービス名とトランスポートプロトコルのポート番号/サービス名とトランスポートプロトコルのポート番号」の次のエントリを変更しました。
Service Name: turns Port Number: 5349 Transport Protocol: udp Description: Reserved for a future enhancement of TURN Assignee: Contact: Reference: RFC 5766
サービス名:ターンポート番号:5349トランスポートプロトコル:udp説明:TURNの将来の拡張のために予約されています譲受人:連絡先:参照:RFC 5766
So that it contains the following:
そのため、以下が含まれます。
Service Name: turns Port Number: 5349 Transport Protocol: udp Description: TURN over DTLS Assignee: IESG Contact: IETF Chair <chair@ietf.org> Reference: RFC 7350 Assignment Notes: This service name was initially created by RFC 5766.
サービス名:オンポート番号:5349トランスポートプロトコル:udp説明:TURN over DTLS割り当て:IESG連絡先:IETF議長<chair@ietf.org>参照:RFC 7350割り当て注:このサービス名は、最初にRFC 5766によって作成されました。
Thanks to Alan Johnston, Oleg Moskalenko, Simon Perreault, Thomas Stach, Simon Josefsson, Roni Even, Kathleen Moriarty, Benoit Claise, Martin Stiemerling, Jari Arkko, and Stephen Farrell for the comments, suggestions, and questions that helped improve this document.
このドキュメントの改善に役立ったコメント、提案、および質問を提供してくれたコメント、提案、質問について、Alan Johnston、Oleg Moskalenko、Simon Perreault、Thomas Stach、Simon Josefsson、Roni Even、Kathleen Moriarty、Benoit Claise、Martin Stiemerling、Jari Arkko、Stephen Farrellに感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC3489] Rosenberg, J., Weinberger, J., Huitema, C., and R. Mahy, "STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)", RFC 3489, March 2003.
[RFC3489] Rosenberg、J.、Weinberger、J.、Huitema、C。、およびR. Mahy、「STUN-Simple Data Traversal of User Datagram Protocol(UDP)Through Network Address Translators(NATs)」、RFC 3489、2003年3月。
[RFC3958] Daigle, L. and A. Newton, "Domain-Based Application Service Location Using SRV RRs and the Dynamic Delegation Discovery Service (DDDS)", RFC 3958, January 2005.
[RFC3958] Daigle、L。およびA. Newton、「SRV RRおよび動的委任検出サービス(DDDS)を使用したドメインベースのアプリケーションサービスロケーション」、RFC 3958、2005年1月。
[RFC5245] Rosenberg, J., "Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal for Offer/Answer Protocols", RFC 5245, April 2010.
[RFC5245] Rosenberg、J。、「Interactive Connectivity Establishment(ICE):A Protocol for Network Address Translator(NAT)Traversal for Offer / Answer Protocols」、RFC 5245、2010年4月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、2008年8月。
[RFC5389] Rosenberg, J., Mahy, R., Matthews, P., and D. Wing, "Session Traversal Utilities for NAT (STUN)", RFC 5389, October 2008.
[RFC5389] Rosenberg、J.、Mahy、R.、Matthews、P。、およびD. Wing、「NAT用セッショントラバーサルユーティリティ(STUN)」、RFC 5389、2008年10月。
[RFC5626] Jennings, C., Mahy, R., and F. Audet, "Managing Client-Initiated Connections in the Session Initiation Protocol (SIP)", RFC 5626, October 2009.
[RFC5626] Jennings、C.、Mahy、R。、およびF. Audet、「Managing Client-Initiated Connections in the Session Initiation Protocol(SIP)」、RFC 5626、2009年10月。
[RFC5764] McGrew, D. and E. Rescorla, "Datagram Transport Layer Security (DTLS) Extension to Establish Keys for the Secure Real-time Transport Protocol (SRTP)", RFC 5764, May 2010.
[RFC5764] McGrew、D。およびE. Rescorla、「Secure Real-time Transport Protocol(SRTP)のキーを確立するためのデータグラムトランスポート層セキュリティ(DTLS)拡張」、RFC 5764、2010年5月。
[RFC5766] Mahy, R., Matthews, P., and J. Rosenberg, "Traversal Using Relays around NAT (TURN): Relay Extensions to Session Traversal Utilities for NAT (STUN)", RFC 5766, April 2010.
[RFC5766] Mahy、R.、Matthews、P.、J。Rosenberg、「NAT周辺のリレーを使用したトラバーサル(TURN):NATのセッショントラバーサルユーティリティへのリレー拡張(STUN)」、RFC 5766、2010年4月。
[RFC5928] Petit-Huguenin, M., "Traversal Using Relays around NAT (TURN) Resolution Mechanism", RFC 5928, August 2010.
[RFC5928] Petit-Huguenin、M。、「NAT(TURN)解決メカニズムの周りのリレーを使用したトラバーサル」、RFC 5928、2010年8月。
[RFC6062] Perreault, S. and J. Rosenberg, "Traversal Using Relays around NAT (TURN) Extensions for TCP Allocations", RFC 6062, November 2010.
[RFC6062] Perreault、S。およびJ. Rosenberg、「NAT(TURN)拡張のリレーを使用したTCP割り当てのトラバーサル」、RFC 6062、2010年11月。
[RFC6335] Cotton, M., Eggert, L., Touch, J., Westerlund, M., and S. Cheshire, "Internet Assigned Numbers Authority (IANA) Procedures for the Management of the Service Name and Transport Protocol Port Number Registry", BCP 165, RFC 6335, August 2011.
[RFC6335]綿、M。、エガート、L。、タッチ、J。、ウェスターランド、M。、およびS.チェシャー、「サービス名とトランスポートプロトコルのポート番号レジストリの管理のためのInternet Assigned Numbers Authority(IANA)手順"、BCP 165、RFC 6335、2011年8月。
[RFC6347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security Version 1.2", RFC 6347, January 2012.
[RFC6347] Rescorla、E。およびN. Modadugu、「Datagram Transport Layer Security Version 1.2」、RFC 6347、2012年1月。
[RFC7064] Nandakumar, S., Salgueiro, G., Jones, P., and M. Petit-Huguenin, "URI Scheme for the Session Traversal Utilities for NAT (STUN) Protocol", RFC 7064, November 2013.
[RFC7064] Nandakumar、S.、Salgueiro、G.、Jones、P.、and M. Petit-Huguenin、 "URI Scheme for the Session Traversal Utilities for NAT(STUN)Protocol"、RFC 7064、2013年11月。
[RFC7065] Petit-Huguenin, M., Nandakumar, S., Salgueiro, G., and P. Jones, "Traversal Using Relays around NAT (TURN) Uniform Resource Identifiers", RFC 7065, November 2013.
[RFC7065] Petit-Huguenin、M.、Nandakumar、S.、Salgueiro、G。、およびP. Jones、「NAT(TURN)Uniform Resource Identifiersの周りのリレーを使用したトラバーサル」、RFC 7065、2013年11月。
[ICE-DTLS] Thomson, M., "Using Datagram Transport Layer Security (DTLS) For Interactivity Connectivity Establishment (ICE) Connectivity Checking: ICE-DTLS", Work in Progress, March 2012.
[ICE-DTLS] Thomson、M。、「Interactive Connectivity Establishment(ICE)Connectivity Checking:ICE-DTLSのためのDatagram Transport Layer Security(DTLS)の使用」、作業中、2012年3月。
[SIP-DTLS] Jennings, C. and N. Modadugu, "Session Initiation Protocol (SIP) over Datagram Transport Layer Security (DTLS)", Work in Progress, October 2007.
[SIP-DTLS] Jennings、C。およびN. Modadugu、「Datagram Transport Layer Security(DTLS)を介したセッション開始プロトコル(SIP)」、2007年10月、作業中。
Table 1 shows how the <secure>, <port>, and <transport> components are populated for a TURN URI that uses DTLS as its transport. For all these examples, the <host> component is populated with "example.net".
表1は、トランスポートとしてDTLSを使用するTURN URIの<secure>、<port>、および<transport>コンポーネントがどのように入力されるかを示しています。これらすべての例で、<host>コンポーネントには「example.net」が入力されています。
+---------------------------------+----------+--------+-------------+
| URI | <secure> | <port> | <transport> |
+---------------------------------+----------+--------+-------------+
| turns:example.net?transport=udp | true | | DTLS |
+---------------------------------+----------+--------+-------------+
Table 1
表1
With the DNS Resource Records (RRs) in Figure 1 and an ordered TURN transport list of {DTLS, TLS, TCP, UDP}, the resolution algorithm will convert the TURN URI "turns:example.net" to the ordered list of IP address, port, and protocol tuples in Table 2.
図1のDNSリソースレコード(RR)と{DTLS、TLS、TCP、UDP}の順序付けられたTURNトランスポートリストを使用すると、解決アルゴリズムはTURN URI "turns:example.net"をIPアドレスの順序付けされたリストに変換します、ポート、およびプロトコルのタプルを表2に示します。
example.net. IN NAPTR 100 10 "" RELAY:turn.udp:turn.dtls "" datagram.example.net. IN NAPTR 200 10 "" RELAY:turn.tcp:turn.tls "" stream.example.net.
example.net。 IN NAPTR 100 10 "" RELAY:turn.udp:turn.dtls "" datagram.example.net。 IN NAPTR 200 10 "" RELAY:turn.tcp:turn.tls "" stream.example.net。
datagram.example.net. IN NAPTR 100 10 S RELAY:turn.udp "" _turn._udp.example.net. IN NAPTR 200 10 S RELAY:turn.dtls "" _turns._udp.example.net.
datagram.example.net。 IN NAPTR 100 10 S RELAY:turn.udp "" _turn._udp.example.net。 IN NAPTR 200 10 S RELAY:turn.dtls "" _turns._udp.example.net。
stream.example.net. IN NAPTR 100 10 S RELAY:turn.tcp "" _turn._tcp.example.net. IN NAPTR 200 10 A RELAY:turn.tls "" a.example.net.
stream.example.net。 IN NAPTR 100 10 S RELAY:turn.tcp "" _turn._tcp.example.net。 IN NAPTR 200 10 A RELAY:turn.tls "" a.example.net。
_turn._udp.example.net. IN SRV 0 0 3478 a.example.net.
_turn._udp.example.net。 IN SRV 0 0 3478 a.example.net。
_turn._tcp.example.net. IN SRV 0 0 5000 a.example.net.
_turn._tcp.example.net。 IN SRV 0 0 5000 a.example.net。
_turns._udp.example.net. IN SRV 0 0 5349 a.example.net.
_turns._udp.example.net。 IN SRV 0 0 5349 a.example.net。
a.example.net. IN A 192.0.2.1
a.example.net。 A 192.0.2.1
Figure 1
図1
+-------+----------+------------+------+
| Order | Protocol | IP address | Port |
+-------+----------+------------+------+
| 1 | DTLS | 192.0.2.1 | 5349 |
| 2 | TLS | 192.0.2.1 | 5349 |
+-------+----------+------------+------+
Table 2
表2
Authors' Addresses
著者のアドレス
Marc Petit-Huguenin Jive Communications 1275 West 1600 North, Suite 100 Orem, UT 84057 USA
Marc Petit-Huguenin Jive Communications 1275 West 1600 North、Suite 100 Orem、UT 84057 USA
EMail: marcph@getjive.com
Gonzalo Salgueiro Cisco Systems 7200-12 Kit Creek Road Research Triangle Park, NC 27709 USA
Gonzalo Salgueiro Cisco Systems 7200-12 Kit Creek Road Research Triangle Park、NC 27709 USA
EMail: gsalguei@cisco.com