Network Working Group K. Luehrs
Request for Comments: 3634 CableLabs
Category: Standards Track R. Woundy
Comcast Cable
J. Bevilacqua
N. Davoust
YAS Corporation
December 2003
Key Distribution Center (KDC) Server Address Sub-option for
the Dynamic Host Configuration Protocol (DHCP)
CableLabs Client Configuration (CCC) Option
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
Abstract
抽象
This document defines a new sub-option for the CableLabs Client Configuration (CCC) Dynamic Host Configuration Protocol (DHCP) option code for conveying the network addresses of Key Distribution Center (KDC) servers.
この文書では、キー配布センター(KDC)サーバのネットワークアドレスを搬送するためのCableLabsのクライアント設定(CCC)動的ホスト構成プロトコル(DHCP)オプションコードのための新しいサブオプションを定義します。
A CableLabs Client Configuration (CCC) Dynamic Host Configuration Protocol (DHCP) Option code providing the Key Distribution Center (KDC) server address will be needed for CableHome-compliant residential gateways configured to use Kerberos for authentication as the first step in establishing a secure SNMPv3 link between the Portal Service (PS) logical element [2,3] in residential gateways, and the SNMP entity in the cable operator's data network.
CableLabsのクライアント構成(CCC)動的ホスト構成プロトコル(DHCP)オプションコードキー配布センターを提供する(KDC)サーバーのアドレスが安全なのSNMPv3を確立するための最初のステップとして、認証にKerberosを使用するように設定CableHomeの準拠レジデンシャルゲートウェイのために必要とされるであろうレジデンシャルゲートウェイにポータルサービス(PS)論理要素[2,3]、およびケーブルオペレータのデータネットワークにおけるSNMPエンティティとの間のリンク。
The CCC DHCP option code will be used to address specific needs of CableLabs client devices during their configuration processes. This document proposes a sub-option for the CCC DHCP option.
CCC DHCPオプションコードは、その構成プロセス中のCableLabsクライアントデバイスの特定のニーズに対処するために使用されます。この文書では、CCC DHCPオプションのサブオプションを提案しています。
Configuration of a class of CableLabs client devices described in [2] and [3] will require a DHCP sub-option to provide the client with the network address of a KDC server in the cable operator's data network.
で説明したのCableLabsクライアントデバイスのクラスの設定[2]、[3]ケーブル事業者のデータネットワークでのKDCサーバのネットワークアドレスをクライアントに提供するために、DHCPサブオプションが必要になります。
The class of devices assumed in [2] and [3] is unlike the class of devices considered in [1], which perform a DNS lookup of the Kerberos Realm name to find the KDC server network address.
で想定デバイスのクラス[2]、[3] KDCサーバのネットワークアドレスを見つけるためにケルベロスレルム名のDNSルックアップを行う[1]において考慮デバイスのクラスとは異なります。
This document proposes a sub-option of the CCC DHCP option code for use with CableLabs client devices. The proposed sub-option encodes an identifier for the network address of each of one or more Key Distribution Center servers with which the CableLabs client device exchanges security information.
この文書では、CableLabsのクライアントデバイスで使用するためのCCC DHCPオプションコードのサブオプションを提案しています。提案されたサブオプションが付きCableLabsのクライアントデバイスの交換のセキュリティ情報一つ以上のキー配布センターサーバーのそれぞれのネットワークアドレスの識別子を符号化します。
The key words "MUST", "MUST NOT", "SHOULD", "SHOULD NOT" and "MAY" in this document are to be interpreted as described in BCP 14, RFC 2119 [4].
キーワード "MUST"、 "MUST NOT"、 "SHOULD"、 "SHOULD NOT" および本書でBCP 14に記載されるように解釈されるべきである、 "MAY"、RFC 2119 [4]。
CableHome specifications will specify the Key Distribution Center network address encoding as a sub-option of the CCC DHCP Option code. This field will be used to inform the client device of the network address of one or more Key Distribution Center servers.
CableHomeの仕様はCCC DHCPオプションコードのサブオプションとしてキー配布センターネットワークアドレスのエンコードを指定します。このフィールドは、一つ以上のキー配布センターサーバのネットワークアドレスのクライアントデバイスに通知するために使用されます。
The encoding of the KDC Server Address sub-option will adhere to the format of an IPv4 address. The minimum length for this option is 4 octets, and the length MUST always be a multiple of 4. If multiple KDC Servers are listed, they MUST be listed in decreasing order of priority. The format of the KDC Server Address sub-option of the CCC option code is as shown below:
KDCサーバアドレスサブオプションのエンコーディングは、IPv4アドレスの形式に準拠します。このオプションの最小の長さは4つのオクテットであり、長さは常に複数のKDCサーバーがリストされている場合は、それらは優先順位の順にリストされている必要があり4の倍数でなければなりません。 CCCのオプションコードのKDCサーバアドレスサブオプションのフォーマットは以下のように示されています。
SubOpt Len Address 1 Address 2
+------+-----+-----+-----+-----+-----+-----+-----+--
| 10 | n | a1 | a2 | a3 | a4 | a1 | a2 | ...
+------+-----+-----+-----+-----+-----+-----+-----+--
This document relies upon the DHCP protocol [5] for authentication and security, i.e., it does not provide security in excess of what DHCP is (or will be) providing. Potential exposures to attack in the DHCP protocol are discussed in section 7 of the DHCP protocol specification [5] and in Authentication for DHCP Messages [6].
この文書では、提供する[5]の認証及びセキュリティのために、すなわち、それはDHCPである(又はあろう)ものを超えるセキュリティを提供しないDHCPプロトコルに依存しています。 DHCPメッセージのためのもの[5]と認証でDHCPプロトコルの攻撃に対する潜在的エクスポージャーDHCPプロトコル仕様のセクション7に記載されている[6]。
The CCC option can be used to misdirect network traffic by providing incorrect DHCP server addresses, incorrect provisioning server addresses, and incorrect Kerberos realm names to a CableLabs client device. This misdirection can lead to several threat scenarios. A Denial of Service (DoS) attack can result from address information being simply invalid. A man-in-the-middle attack can be mounted by providing addresses to a potential snooper. A malicious service provider can steal customers from the customer selected service provider, by altering the Kerberos realm designation.
CCCオプションは、CableLabsのクライアントデバイスへの不正なDHCPサーバアドレス、間違ったプロビジョニングサーバーのアドレス、および間違ったKerberosレルム名を提供することにより、ネットワークトラフィックをmisdirectするために使用することができます。このミスディレクションは、いくつかの脅威のシナリオにつながることができます。サービス拒否(DoS)攻撃は、アドレス情報は、単に無効であることに起因することができます。 man-in-the-middle攻撃は、潜在的な盗聴者にアドレスを提供することで、マウントすることができます。悪質なサービスプロバイダは、Kerberosレルムの指定を変更することによって、顧客選択されたサービスプロバイダから顧客を盗むことができます。
These threats are mitigated by several factors.
これらの脅威は、いくつかの要因によって軽減されています。
Within the cable delivery architecture required by CableLabs' PacketCable, DOCSIS, and CableHome specifications, the DHCP client is connected to a network through a cable modem and the Cable Modem Termination System (CMTS). The CMTS is explicitly configured with a set of DHCP servers to which DHCP requests are forwarded. Further, a correctly configured CMTS will only allow downstream traffic from specific IP addresses/ ranges.
CableLabsののPacketCable、DOCSIS、およびCableHomeの仕様によって必要とされるケーブル配信アーキテクチャ内で、DHCPクライアントは、ケーブルモデムおよびケーブルモデム終端システム(CMTS)を介してネットワークに接続されています。 CMTSは明示的にDHCP要求を転送するようにDHCPサーバのセットで構成されています。さらに、正しく設定CMTSは、特定のIPアドレスのみ/範囲からダウンストリームトラフィックを許可します。
Assuming that server addresses were successfully spoofed to the point that a malicious client device was able to contact a KDC, the client device must still present valid certificates to the KDC before being service enabled. Given the computational overhead of the certificate validation process, this situation could present a DoS opportunity.
そのサーバのアドレスを仮定することに成功し、悪質なクライアントデバイスは、KDC、まだサービスが有効にされる前に、KDCに有効な証明書を提示しなければならないクライアントデバイスに連絡することができたポイントに偽装されました。証明書の検証プロセスの計算のオーバーヘッドを考えると、このような状況は、DoS攻撃の機会を提示することができます。
It is possible for a malicious (although certificate enabled) service provider to redirect a customer from the customer's selected service provider. It is assumed that all service providers permitted onto an access providers network are trusted entities that will cooperate to ensure peaceful coexistence. If a service provider is found to be redirecting customers, this should be handled as an administrative matter between the access provider and the service provider.
悪意のある(証明書が有効であるが)、サービスプロバイダは、顧客の選択したサービスプロバイダから顧客をリダイレクトすることが可能です。アクセスプロバイダのネットワークに許可されているすべてのサービスプロバイダーが平和共存を確保するために協力するエンティティを信頼されているものとします。サービスプロバイダは、顧客をリダイレクトすることが判明した場合、これは、アクセスプロバイダとサービスプロバイダ間の管理の問題として扱われるべきです。
Another safeguard that can be taken by service providers to limit their exposure to their KDC server(s) is to configure their network so that the KDC(s) reside on a separate subnetwork.
彼らのKDCサーバー(複数可)への露出を制限するために、サービスプロバイダーが取ることができる別の安全策は、KDC(s)は別々のサブネットワーク上に存在するように、彼らのネットワークを構成することです。
Service providers can further protect their KDC server(s) by placing a firewall in front of the KDC(s) only allowing connections needed for its current provisioning processes. The IP temporary addresses given the client devices from the DHCP server could be sent directly to the firewall from the DHCP server to open a hole for Kerberos messages only for those particular IP addresses for a short period of time. If this was used it would be recommended that service providers authenticate their DHCP server to the KDC as well. This could be done via password authentication rather than digital certificate due to the co-location of the DHCP server to the KDC.
サービスプロバイダは、さらにKDC(複数可)、現在のプロビジョニング・プロセスのために必要な唯一の可能な接続の前にファイアウォールを配置することによって、彼らのKDCサーバー(複数可)を保護することができます。 DHCPサーバーからクライアント・デバイスを指定したIPアドレスを一時的に短時間だけのもの、特定のIPアドレスのKerberosメッセージ用の穴を開くには、DHCPサーバからファイアウォールに直接送ることができます。これが使用された場合は、サービスプロバイダーが、同様KDCへのDHCPサーバを認証することを推奨されるだろう。これは、KDCにDHCPサーバのコロケーションにパスワード認証ではなく、デジタル証明書を経由して行うことができます。
Finally, Kerberos requires mutual client-server authentication. Therefore, the client device must authenticate itself with its digital certificate and the KDC is required to authenticate it to the client device. If a hacker tries to redirect the client device by replacing the service provider-configured KDC Server Address sub-option with another IP address, it is not likely to be a valid service provider's KDC server and authentication will fail.
最後に、Kerberosは相互クライアントサーバ認証が必要です。したがって、クライアントデバイスは、デジタル証明書を使用して自身を認証する必要がありますし、KDCは、クライアントデバイスにそれを認証するために必要とされます。ハッカーは別のIPアドレスとサービスプロバイダ設定のKDCサーバアドレスサブオプションを置き換えることにより、クライアントデバイスをリダイレクトしようとすると、有効なサービスプロバイダのKDCサーバと認証が失敗する可能性が高いではありません。
The KDC Server Address sub-option described in this document is intended to be a sub-option of the CableLabs Client Configuration (CCC) option described in [1]. IANA has assigned and registered sub-option code 10 of the CCC option to the KDC Server Address sub-option.
この文書に記載さKDCサーバアドレスサブオプションは、[1]に記載のCableLabsクライアント構成(CCC)オプションのサブオプションであることを意図しています。 IANAが割り当てられ、KDCサーバアドレスサブオプションにCCCオプションのサブオプションコード10が登録されています。
The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.
IETFは、そのような権限下で、ライセンスがたりないかもしれない可能性があるためにどの本書または程度に記載されている技術の実装や使用に関係すると主張される可能性があります任意の知的財産やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能。また、そうした権利を特定するために取り組んできたことを表していないん。スタンダードトラックおよび標準関連文書における権利に関するIETFの手続きの情報は、BCP-11に記載されています。権利の主張のコピーは、出版のために利用可能とライセンスの保証が利用できるようにする、または本仕様の実装者または利用者が、そのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますIETF事務局から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.
IETFは、その注意にこの標準を実践するために必要な場合があり技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 IETF専務に情報を扱ってください。
[1] Beser, B. and P. Duffy, "DHCP Option for CableLabs Client Configuration", RFC 3495, March 2003.
[1] Beser、B.およびP.ダフィー、 "CableLabsのクライアント構成のためのDHCPオプション"、RFC 3495、2003年3月。
[2] "CableHome 1.1 Specification", CableLabs, http://www.cablelabs.com/projects/cablehome/specifications/.
[2] "CableHomeの1.1仕様"、CableLabsの、http://www.cablelabs.com/projects/cablehome/specifications/。
[3] "CableHome 1.0 Specification", CableLabs, http://www.cablelabs.com/projects/cablehome/specifications/.
[3] "CableHomeの1.0仕様"、CableLabsの、http://www.cablelabs.com/projects/cablehome/specifications/。
[4] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[4]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
[5] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.
[5] Droms、R.、 "動的ホスト構成プロトコル"、RFC 2131、1997年3月。
[6] Droms, R. and W. Arbaugh, "Authentication for DHCP Messages", RFC 3118, June 2001
[6] Droms、R.とW. Arbaugh、 "DHCPメッセージの認証"、RFC 3118、2001年6月
Kevin Luehrs CableLabs 858 Coal Creek Circle Louisville, CO 80027
ケビンLuehrs CableLabsの858コールクリークサークルルイビル、CO 80027
Phone: (303) 661-9100 EMail: k.luehrs@cablelabs.com
電話:(303)661-9100 Eメール:k.luehrs@cablelabs.com
Richard Woundy Comcast Cable 27 Industrial Drive Chelmsford, MA 01824
リチャードWoundy Comcastのケーブル27インダストリアルドライブチェルムズフォード、MA 01824
Phone: (978) 244-4010 EMail: richard_woundy@cable.comcast.com
電話:(978)244-4010 Eメール:richard_woundy@cable.comcast.com
John Bevilacqua YAS Corporation 300 Brickstone Square Andover, MA 01810
ジョンベヴィラックアYAS社300 Brickstoneスクエアアンドーバー、MA 01810
Phone: (978) 749-9999 EMail: john@yas.com
電話:(978)749-9999 Eメール:john@yas.com
Nancy Davoust YAS Corporation 300 Brickstone Square Andover, MA 01810
ナンシーDavoust YAS社300 Brickstoneスクエアアンドーバー、MA 01810
Phone: (978) 749-9999 EMail: nancy@yas.com
電話:(978)749-9999 Eメール:nancy@yas.com
Copyright (C) The Internet Society (2003). All Rights Reserved.
著作権(C)インターネット協会(2003)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees.
上記の制限は永続的なものであり、インターネットソサエティもしくはその継承者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。