Network Working Group A. Barbir
Request for Comments: 3837 Nortel Networks
Category: Informational O. Batuner
Independent consultant
B. Srinivas
Nokia
M. Hofmann
Bell Labs/Lucent Technologies
H. Orman
Purple Streak Development
August 2004
Security Threats and Risks for Open Pluggable Edge Services (OPES)
オープンプラグイン可能なエッジサービスのセキュリティの脅威とリスク(OPES)
Status of this Memo
このメモの位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2004).
著作権(C)インターネット協会(2004)。
Abstract
抽象
The document investigates the security threats associated with the Open Pluggable Edge Services (OPES) and discusses the effects of security threats on the underlying architecture. The main goal of this document is threat discovery and analysis. The document does not specify or recommend any solutions.
文書は、オープンプラグイン可能なエッジサービス(OPES)に関連付けられているセキュリティの脅威を調査し、根本的なアーキテクチャ上のセキュリティの脅威の影響を論じています。このドキュメントの主な目標は、脅威の発見と分析です。文書が指定するか、または任意のソリューションをお勧めしません。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. OPES Data Flow Threats . . . . . . . . . . . . . . . . . . . . 4
2.1. OPES Flow Network Level Threats . . . . . . . . . . . . 5
2.1.1. Connection-Flow Denial-of-Service (DoS). . . . . 6
2.1.2. Threats to Network Robustness. . . . . . . . . . 6
2.2. OPES Flow Application Level Threats. . . . . . . . . . . 6
2.2.1. Unauthorized OPES Entities . . . . . . . . . . . 6
2.2.2. Unauthorized Actions of legitimate OPES Entities 7
2.2.3. Unwanted Content Transformations . . . . . . . . 7
2.2.4. Corrupted Content . . . . . . . . . . . . . . . 7
2.2.5. Threats to Message Structure Integrity . . . . . 8
2.2.6. Granularity of Protection . . . . . . . . . . . 8
2.2.7. Risks of Hop-by-Hop Protection . . . . . . . . . 8
2.2.8. Threats to Integrity of Complex Data . . . . . . 8
2.2.9. Denial of Service (DoS) . . . . . . . . . . . . 9
2.2.10. Tracing and Notification Information . . . . . . 9
2.2.11. Unauthenticated Communication in OPES Flow . . . 9
3. Threats to Out-of-Band Data . . . . . . . . . . . . . . . . . 9
3.1. Threats that Endanger the OPES Data Flow . . . . . . . . 10
3.2. Inaccurate Accounting Information . . . . . . . . . . . 10
3.3. OPES Service Request Repudiation . . . . . . . . . . . . 11
3.4. Inconsistent Privacy Policy . . . . . . . . . . . . . . 11
3.5. Exposure of Privacy Preferences . . . . . . . . . . . . 11
3.6. Exposure of Security Settings . . . . . . . . . . . . . 11
3.7. Improper Enforcement of Privacy and Security Policy . . 11
3.8. DoS Attacks . . . . . . . . . . . . . . . . . . . . . . 12
4. Security Considerations . . . . . . . . . . . . . . . . . . . 12
5. References . . . . . . . . . . . . . . . . . . . . . . . . . . 12
5.1. Normative References . . . . . . . . . . . . . . . . . . 12
5.2. Informative References . . . . . . . . . . . . . . . . . 12
6. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 12
7. Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . 13
8. Full Copyright Statement . . . . . . . . . . . . . . . . . . . 14
The Open Pluggable Edge Services (OPES) [1] architecture enables cooperative application services (OPES services) between a data provider, a data consumer, and zero or more OPES processors. The application services under consideration analyze and possibly transform application-level messages exchanged between the data provider and the data consumer. The OPES processor can distribute the responsibility of service execution by communicating and collaborating with one or more remote callout servers. The details of the OPES architecture can be found in [1].
オープンプラグイン可能なエッジサービス(OPES)[1]アーキテクチャは、データプロバイダとの間の連携アプリケーションサービス(OPESサービス)、データコンシューマ、およびゼロ以上OPESプロセッサを可能にします。検討中のアプリケーションサービスは、分析し、おそらくデータプロバイダとデータコンシューマの間でやり取りするアプリケーションレベルのメッセージを変換します。 OPESプロセッサは、通信および1つ以上のリモートコールアウトサーバとの連携により、サービス実行の責任を配布することができます。 OPESアーキテクチャの詳細は、[1]に見出すことができます。
Security threats with respect to OPES can be viewed from different angles. There are security risks that affect content consumer applications, and those that affect the data provider applications. These threats affect the quality and integrity of data that the applications either produce or consume. On the other hand, the security risks can also be categorized into trust within the system (i.e., OPES service providers) and protection of the system from threats imposed by outsiders such as hackers and attackers. Insiders are those parties that are part of the OPES system. Outsiders are those entities that are not participating in the OPES system.
OPESに関するセキュリティ上の脅威は、異なる角度から見ることができます。セキュリティコンテンツコンシューマアプリケーションに影響を与えるリスク、およびデータプロバイダのアプリケーションに影響するものがあります。これらの脅威は、品質とアプリケーションが生成または消費のいずれかのデータの整合性に影響を与えます。一方、セキュリティ上のリスクは、システム(すなわち、OPESサービス・プロバイダー)や、ハッカーや攻撃者など部外によって課される脅威からシステムを保護以内信託に分類することができます。インサイダーはOPESシステムの一部であるこれらの当事者です。アウトサイダーはOPESシステムに参加していないこれらのエンティティです。
It must be noted that not everyone in an OPES delivery path is equally trusted. Each OPES administrative trust domain must protect itself from all outsiders. Furthermore, it may have a limited trust relationship with another OPES administrative domain for certain purposes.
OPESの配信パスではない、誰もが平等に信頼されていることに留意しなければなりません。各OPES行政信頼ドメインは、すべての部外者から自分自身を保護する必要があります。さらに、それは特定の目的のために別のOPESの管理ドメインを持つ限られた信頼関係を有することができます。
OPES service providers must use authentication as the basis for building trust relationships between administrative domains. Insiders can intentionally or unintentionally inflict harm and damage on the data consumer and data provider applications. This can be through bad system configuration, execution of bad software or, if their networks are compromised, by inside or outside hackers.
OPESサービスプロバイダは、管理ドメイン間の信頼関係を構築するための基礎としての認証を使用する必要があります。インサイダーは意図的にまたは意図せずにデータコンシューマとデータプロバイダのアプリケーションに危害や損害を与えることができます。これは悪い、システム構成、悪いソフトウェアの実行や、そのネットワークが危険にさらされている場合、内部または外部のハッカーによる通過することができます。
Depending on the deployment scenario, the trust within the OPES system is based on a set of transitive trust relationships between the data provider application, the OPES entities, and the data consumer application. Threats to OPES entities can be at the OPES flow level and/or at the network level.
展開シナリオによっては、OPESシステム内の信頼は、データプロバイダのアプリケーション、OPESエンティティ、およびデータ・コンシューマ・アプリケーション間の推移的な信頼関係のセットに基づいています。 OPESエンティティの脅威はOPESフローレベルおよび/またはネットワークレベルであってもよいです。
In considering threats to the OPES system, the document will follow a threat analysis model that identifies the threats from the perspective of how they will affect the data consumer and the data provider applications.
OPESシステムに脅威を考慮して、文書は、彼らがデータコンシューマとデータプロバイダのアプリケーションにどのような影響を与えるかという観点からの脅威を識別し、脅威分析モデルに従います。
The main goal of this document is threat discovery and analysis. The document does not specify or recommend any solutions.
このドキュメントの主な目標は、脅威の発見と分析です。文書が指定するか、または任意のソリューションをお勧めしません。
It is important to mention that the OPES architecture has many similarities with other so called overlay networks, specifically web caches and content delivery networks (CDN) (see [2], [4]). This document focuses on threats that are introduced by the existence of the OPES processor and callout servers. Security threats specific to content services that do not use the OPES architecture are considered out-of-scope of this document. However, this document can be used as input when considering security implications for web caches and CDNs.
([4]、[2]参照)、具体的にウェブキャッシュおよびコンテンツ配信ネットワーク(CDN)、OPESアーキテクチャは、他のいわゆるオーバーレイネットワークに多くの類似点を持っていることを言及することは重要です。この文書は、OPESプロセッサと吹き出しサーバーの存在によって導入された脅威に焦点を当てています。 OPESアーキテクチャを使用していないコンテンツサービスに固有のセキュリティ上の脅威は、範囲外のこのドキュメントの考えられています。 WebキャッシュとのCDNのためのセキュリティ上の影響を考慮した場合しかし、この文書では、入力として使用することができます。
The document is organized as follows: Section 2 discusses threats to OPES data flow on the network and application level, section 3 discusses threats to other parts of the system, and section 4 discusses security considerations.
第2は、ネットワークとアプリケーションレベルでOPESデータフローに脅威について説明し、セクション3は、システムの他の部分への脅威について説明し、セクション4は、セキュリティ上の考慮事項について説明します。文書は次のように編成されます。
Threats to the OPES data flow can affect the data consumer and data provider applications. At the OPES flow level, threats can occur at Policy Enforcement Points, and Policy Decision Points [3], and along the OPES flow path where network elements are used to process the data.
OPESデータフローに対する脅威は、データコンシューマとデータプロバイダのアプリケーションに影響を与えることができます。 OPESフローレベルで、脅威がポリシー施行ポイントで生じ得る、およびポリシー決定ポイント[3]、及びネットワーク要素がデータを処理するために使用されるOPES流路に沿っ。
A serious problem is posed by the very fact that the OPES architecture is based on widely adopted protocols (HTTP is used as an example). The architecture document specifically requires that "the presence of an OPES processor in the data request/response flow SHALL NOT interfere with the operations of non-OPES aware clients and servers". This greatly facilitates OPES' deployment, but on the other hand a vast majority of clients (browsers) will not be able to exploit any safeguards added as base protocol extensions.
重大な問題は、OPESアーキテクチャが広く採用されているプロトコル(HTTPを例として使用される)に基づいているという事実によってもたらされます。アーキテクチャドキュメントは、具体的には、「データ要求/応答フロー内OPESプロセッサの存在は非OPES対応クライアントとサーバーの操作を妨害してはなりません」ということが必要です。これは大幅OPES」展開を容易にするが、一方のクライアント(ブラウザ)の大部分は、基本プロトコルの拡張として追加された保護手段を利用することはできません。
For the usual data consumer, who might have questions such as (Where does this content come from? Can I get it another way? What is the difference? Is it legitimate?). Even if there are facilities and technical expertise present to pursue these questions, such thorough examination of each result is prohibitively expensive in terms of time and effort. OPES-aware content providers may try to protect themselves by adding verification scripts and special page structures. OPES-aware end users may use special tools. In all other cases (non-OPES aware clients and servers) protection will rely on monitoring services and investigation of occasionally discovered anomalies.
以下のような質問かもしれません、通常のデータの消費者については、(どこでこの内容は?から来るんが、私はそれを別の方法を取得することはできますか?違いは何ですか?それは合法的ですか?)。これらの質問を追求することが、本施設や技術的な専門知識があっても、それぞれの結果のように徹底した検査は、時間と労力の面で非常に高価です。 OPES対応のコンテンツプロバイダは、検証スクリプトと特別なページ構造を追加することによって、自分自身を保護しようとするかもしれません。 OPES対応のエンドユーザーは特別なツールを使用することができます。他のすべての場合(非OPES対応クライアントとサーバ)で保護が監視サービスに依存しますとの調査は時折異常を発見しました。
An OPES system poses a special danger as a possible base for classical man-in-the-middle attacks. One of the reasons why such attacks are relatively rare is the difficulty in finding an appropriate base: a combination of a traffic interception point controlling a large flow of data and an application codebase running on a high-performance hardware with sufficient performance to analyze and possibly modify all passing data. An OPES processor meets this definition. This calls for special attention to protection measures at all levels of the system.
OPESシステムは、古典的なman-in-the-middle攻撃のための可能な塩基のような特殊な危険をもたらします。このような攻撃は比較的まれである理由の一つは、適切な塩基を見つけることが困難なことである:トラフィックインターセプトポイントの組み合わせは、分析するために十分な性能と高性能ハードウェア上で実行されているデータの大流量とアプリケーションのコードベースを制御し、おそらくはすべてのデータの受け渡しを変更します。 OPESプロセッサは、この定義を満たします。これは、システムのすべてのレベルでの保護対策への特別な注意を求めています。
Any compromise of an OPES processor or remote callout server can have a ripple effect on the integrity of the affected OPES services across all service providers that use the service. To mitigate this threat, appropriate security procedures and tools (e.g., a firewall) should be applied.
OPESプロセッサまたはリモートコールアウトサーバーの一切の妥協は、サービスを使用するすべてのサービスプロバイダ間で影響を受けたOPESサービスの健全性への波及効果を持つことができます。この脅威を緩和するために、適切なセキュリティ手順とツール(例えば、ファイアウォール)が適用されるべきです。
Specific threats can exist at the network level and at the OPES data flow level.
具体的な脅威は、ネットワークレベルでとOPESデータフローレベルで存在することができます。
OPES processor and callout servers are susceptible to network level attacks from outsiders or from the networks of other OPES service providers (i.e., if the network of a contracted OPES service is compromised).
(契約OPESサービスのネットワークが侵害された場合、すなわち、)OPESプロセッサとコールアウトサーバーは、外部から、または他のOPESサービスプロバイダのネットワークからのネットワークレベルの攻撃を受けやすいです。
The OPES architecture is based on common application protocols that do not provide strong guarantees of privacy, authentication, or integrity. The IAB considerations [4] require that the IP address of an OPES processor be accessible to data consumer applications at the IP addressing level. This requirement limits the ability of service providers to position the OPES processor behind firewalls and may expose the OPES processor and remote callout servers to network level attacks. For example, the use of TCP/IP as a network level protocol makes OPES processors subject to many known attacks, such as IP spoofing and session stealing.
OPESアーキテクチャは、プライバシー、認証、または整合性の強い保証を提供していない一般的なアプリケーションプロトコルに基づいています。 IABの考慮事項[4] OPESプロセッサのIPアドレスがIPアドレッシングレベルのデータ・コンシューマ・アプリケーションにアクセスできることを必要とします。この要件は、ファイアウォールの背後OPESプロセッサを配置するサービスプロバイダの能力を制限し、レベルの攻撃をネットワークにOPESプロセッサおよびリモートコールアウトサーバを公開することがあります。例えば、ネットワーク・レベルのプロトコルとしてTCP / IPの使用は、IPスプーフィングやセッションスチールのような多くの既知の攻撃を受けるOPESプロセッサを行います。
The OPES system is also susceptible to a number of security threats that are commonly associated with network infrastructure. These threats include snooping, denial of service, sabotage, vandalism, industrial espionage, and theft of service.
OPESシステムは、一般的に、ネットワークインフラストラクチャに関連付けられているセキュリティの脅威の数の影響を受けやすいです。これらの脅威は、スヌーピング、サービス拒否、サボタージュ、破壊行為、産業スパイ、およびサービスの窃盗が含まれています。
There are best practice solutions to mitigate network level threats. It is recommended that the security of the OPES entities at the network level be enhanced using known techniques and methods that minimize the risks of IP spoofing, snooping, denial of service, and session stealing.
ネットワークレベルの脅威を緩和するためのベストプラクティスのソリューションがあります。ネットワークレベルでOPESエンティティのセキュリティは、既知の技術および方法IPスプーフィングのリスクを最小限に抑える、スヌーピング、サービス拒否、およびセッションスチールを使用して拡張することをお勧めします。
At the OPES Flow level, connection-level security between the OPES processor and callout servers is an important consideration. For example, it is possible to spoof the OPES processor or the remote callout server. There are threats to data confidentiality between the OPES processor and the remote callout server in an OPES flow.
OPESフローレベルでは、OPESプロセッサとコールアウトサーバ間の接続レベルのセキュリティが重要な考慮事項です。例えば、OPESプロセッサまたはリモートコールアウトサーバを偽装することが可能です。 OPESプロセッサとOPESフローにおけるリモートコールアウトサーバ間のデータの機密性に対する脅威があります。
The next subsections cover possible DoS attacks on an OPES processor, remote callout server or data consumer application, and network robustness.
次のサブセクションでは、OPESプロセッサの可能DoS攻撃、リモートコールアウトサーバまたはデータ・コンシューマ・アプリケーション、およびネットワークの堅牢性をカバーします。
OPES processors, callout servers, and data consumer applications can be vulnerable to DoS attacks. DoS attacks can be of various types. One example of a DoS attack is the overloading of OPES processors or callout servers by spurious service requests issued by a malicious node, which denies the legal data traffic the necessary resources to render service. The resources include CPU cycles, memory, network interfaces, etc. A Denial-of-Service attack can be selective, generic, or random in terms of which communication streams are affected.
OPESプロセッサ、コールアウトサーバ、およびデータコンシューマアプリケーションは、DoS攻撃に対して脆弱であることができます。 DoS攻撃は、様々なタイプのものとすることができます。 DoS攻撃の一例は、法律上のデータトラフィックサービスをレンダリングするために必要なリソースを拒否する悪意のあるノード、によって発行された偽のサービス要求によってOPESプロセッサまたはコールアウトサーバのオーバーロードです。リソースは、サービス拒否(DoS)攻撃は、通信ストリームが影響されるという点で、選択汎用、またはランダムであることができるCPUサイクル、メモリ、ネットワークインタフェース、等が挙げられます。
Distributed DoS is also possible when an attacker successfully directs multiple nodes over the network to initiate spurious service requests to an OPES processor (or callout server) simultaneously.
攻撃者が同時にOPESプロセッサ(またはコールアウトサーバ)に偽のサービス要求を開始するために、ネットワークを介して複数のノードを指示するとき、分散DoS攻撃も可能です。
If OPES implementation violates end-to-end addressing principles, it could endanger the Internet infrastructure by complicating routing and connection management. If it does not use flow-control principles for managing connections, or if it interferes with end-to-end flow control of connections that it did not originate, then it could cause Internet congestion.
OPESの実装は、エンドツーエンドのアドレッシングの原則に違反している場合、それは、ルーティングおよび接続管理を複雑にすることにより、インターネットのインフラストラクチャを危険にさらす可能性があります。それは接続を管理するためのフロー制御の原則を使用していない、またはそれが由来していなかった接続のエンド・ツー・エンドのフロー制御を妨害した場合、それはインターネットの混雑を引き起こす可能性があります。
An implementation that violates the IAB requirement of explicit IP level addressing (for example, by adding OPES functional capabilities to an interception proxy) may defeat some of the protective mechanisms and safeguards built into the OPES architecture.
(例えば、傍受プロキシにOPES機能的能力を追加することによって)明示的なアドレス指定IPレベルのIAB要件に違反する実装は、OPESアーキテクチャに組み込まれた保護メカニズムと保障措置の一部を無効にしてもよいです。
At the content level, threats to the OPES system can come from outsiders or insiders. The threat from outsiders is frequently intentional. Threats from insiders can be intentional or accidental. Accidents may result from programming or configuration errors that result in bad system behavior.
コンテンツレベルでは、OPESシステムへの脅威は部外者または部内から来ることができます。外部からの脅威は、しばしば意図的なものです。インサイダーの脅威は、意図的または偶発することができます。事故は悪い、システムの動作を引き起こすプログラミングまたは設定エラーに起因する可能性があります。
Application level problems and threats to the OPES systems are discussed below:
OPESシステムへの応用レベルの問題や脅威は、以下で説明されています。
Although one party authorization is mandated by the OPES architecture, such authorization occurs out-of-band. Discovering the presence of an OPES entity and verifying authorization requires special actions and may present a problem.
一方の当事者の承認がOPESアーキテクチャによって義務付けられているが、このような許可は、アウト・オブ・バンド起こります。 OPESエンティティの存在を発見し、承認を検証することは特別なアクションを必要とし、問題を提示することができます。
Adding notification and authorization information to the data messages (by using base protocol extensions) may help, especially if the data consumer's software is aware of such extensions.
(ベースプロトコル拡張を使用して)データメッセージに通知し、認証情報を追加すると、データの消費者のソフトウェアは、そのような拡張を認識している場合は特に、役立つかもしれません。
According to the OPES architecture, the authorization is not tightly coupled with specific rules and procedures triggered by the rules. Even if a requirement to approve each particular rule and procedure was set, it looks at least impractical, if not impossible, to request such permission from the end user. Authorization granularity extends to transformation classes, but not to individual rules or transformations. The actual rules and triggered procedures may (maliciously or due to a programming error) perform actions that they are not authorized for.
OPESアーキテクチャによれば、許可がしっかりルールによってトリガ特定の規則および手順を用いて結合されていません。各特定のルールや手順を承認するための要件が設定された場合であっても不可能ではない場合、それはエンドユーザーからそのような許可を要求するために、少なくとも非現実的に見えます。認可粒度はなく、個々のルールまたは変換する、変換クラスに延びています。実際のルールとトリガ手順は、(故意又はによるプログラミングエラーに)彼らが許可されていないアクションを実行することができます。
An authorized OPES service may perform actions that do not adhere to the expectations of the party that gave the authorization for the service. Examples may include ad flooding by a local ad insertion service or use of inappropriate policy by a content filtering service.
認可OPESサービスは、サービスの認可を与えた当事者の期待に付着していないアクションを実行することができます。例としては、ローカル広告挿入サービスまたはコンテンツフィルタリングサービスによって不適切なポリシーを使用することによって、広告フラッディングを含むことができます。
On the other hand, an OPES entity acting on behalf of one party may perform transformations that another party deems inappropriate. Examples may include replacing ads initially inserted by the content provider or applying filtering transformations that change the meaning of the text.
一方、一方の当事者のために行動するOPESエンティティは、他の当事者が不適切と判断変換を実行することができます。例としては、最初にコンテンツプロバイダによって挿入された広告を交換またはテキストの意味を変更するフィルタ変換を適用することを含むことができます。
The OPES system may deliver outdated or otherwise distorted information due to programming problems or as a result of malicious attacks. For example, a compromised server, instead of performing an OPES service, may inject bogus content. Such an action may be an act of cyber-vandalism (including virus injection) or intentional distribution of misleading information (such as manipulations with financial data).
OPESシステムが原因計画問題や悪意のある攻撃の結果として古いかそうでない歪んだ情報を配信することができます。例えば、損なわサーバは、代わりOPESサービスを実行する、偽のコンテンツを注入することができます。そのようなアクションは、(ウイルス注射を含む)サイバー破壊行為又は(例えば、財務データに操作など)誤解を招く情報の意図的分布の行為であってもよいです。
A compromised OPES server or malicious entity in the data flow may introduce changes specifically intended to cause improper actions in the OPES server or callout server. These changes may be in the message body, headers, or both. This type of threat is discussed in more detail below.
データフローで妥協OPESサーバや悪意のあるエンティティは、具体的OPESサーバまたはコールアウトサーバ内の不適切な行動を起こすことを目的の変更を導入することができます。これらの変化は、メッセージ本体、ヘッダ、またはその両方であってもよいです。脅威のこのタイプは、以下に詳細に説明されます。
An OPES server may add, remove, or delete certain headers in a request and/or response message (for example, to implement additional privacy protection or assist in content filtering). Such changes may violate end-to-end integrity requirements or defeat services that use information provided in such headers (for example, some local filtering services or reference-based services).
OPESサーバは、追加、削除、または(例えば、追加のプライバシー保護を実現するか、またはコンテンツフィルタリングを助ける)要求及び/または応答メッセージ内の特定のヘッダを削除してもよいです。そのような変化は、エンドツーエンドの完全性要件又はヘッダ(例えば、いくつかのローカルフィルタリングサービスまたは基準ベースのサービス)で提供される情報を使用して敗北サービスに違反してもよいです。
OPES services have implicit permission to modify content. However, the permissions generally apply only to portions of the content, for example, URL's between particular HTML tags, text in headlines, or URL's matching particular patterns. In order to express such policies, one must be able to refer to portions of messages and to detect modifications to message parts.
OPESサービスは、コンテンツを変更するための暗黙的な権限を持っています。しかしながら、アクセス許可は、一般に、例えば、コンテンツの部分にのみ、特定のHTMLタグ、見出しのテキスト、またはURLの一致する特定のパターンとの間のURLを適用します。そのようなポリシーを表現するためには、メッセージの部分を参照することができなければならないとメッセージ部分に対する変更を検出します。
Because there is currently very little support for policies that are expressed in terms of message parts, it will be difficult to attribute any particular modification to a particular OPES processor, or to automatically detect policy violations.
メッセージ部分で表現されたポリシーを非常に小さなサポートは現在があるので、特定のOPESプロセッサに特定の変更を属性に、または自動的にポリシー違反を検出することが困難になります。
A fine-grained policy language should be devised, and it could be enforced using digital signatures. This would avoid the problems inherent in hop-by-hop data integrity measures (see next section).
きめ細かいポリシー言語は、考案されなければならない、そしてそれは、デジタル署名を使用して実施することができます。これは、ホップバイホップデータの整合性対策(次のセクションを参照)に固有の問題を避けるだろう。
Generally, OPES services cannot be applied to data protected with end-to-end encryption methods because the decryption key cannot be shared with OPES processors without compromising the intended confidentiality of the data. This means that if the endpoint policies permit OPES services, the data must either be transmitted without confidentiality protections or an alternative model to end-to-end encryption must be developed, one in which the confidentiality is guaranteed hop-by-hop. Extending the end-to-end encryption model is out of scope of this work.
復号鍵がデータの意図された機密性を損なうことなく、OPESプロセッサと共有することはできませんので、一般的に、OPESサービスは、エンドツーエンドの暗号化方式で保護されたデータに適用することはできません。これは、エンドポイントポリシーは、OPESサービスを許可した場合、データはいずれかの機密性の保護なしで送信しなければならないか、またはエンドツーエンド暗号化を代替モデルは、機密性がホップバイホップ保証されているものを開発しなければならないことを意味しています。エンドツーエンドの暗号化モデルを拡張することは、この仕事の範囲外です。
OPES services that modify data are incompatible with end-to-end integrity protection methods, and this work will not attempt to define hop-by-hop integrity protection methods.
データを変更するOPESサービスは、エンドツーエンドの完全性保護方法と互換性がありませんが、この作品は、ホップバイホップ完全性保護方法を定義しようとしません。
The OPES system may violate data integrity by applying inconsistent transformations to interrelated data objects or references within the data object. Problems may range from a broken reference structure (modified/missing targets, references to wrong locations or missing documents) to deliberate replacement/deletion/insertion of links that violate intentions of the content provider.
OPESシステムは、データオブジェクト内で相互にデータ・オブジェクトまたは参照に一貫性のない変換を適用することにより、データの整合性に違反してもよいです。問題は、コンテンツプロバイダの意図に反するリンクの交換/削除/挿入を審議するために壊れた参照構造(修正/行方不明の目標、間違った場所または行方不明の文書への参照)の範囲とすることができます。
The data consumer application may not be able to access data if the OPES system fails for any reason.
OPESシステムが何らかの理由で失敗した場合、データコンシューマアプリケーションがデータにアクセスすることはできません。
A malicious or malfunctioning node may be able to block all traffic. The data traffic destined for the OPES processor (or callout server) may not be able to use the services of the OPES device. The DoS may be achieved by preventing the data traffic from reaching the processor or the callout server.
悪意のあるまたは故障したノードは、すべてのトラフィックをブロックすることができるかもしれません。 OPESプロセッサ(またはコールアウトサーバ)宛のデータトラフィックは、OPESデバイスのサービスを利用することができないかもしれません。 DoS攻撃は、プロセッサまたはコールアウトサーバに到達するデータトラフィックを防止することによって達成することができます。
Inadequate or vulnerable implementation of the tracing and notification mechanisms may defeat safeguards built into the OPES architecture.
追跡および通知メカニズムの不十分なまたは脆弱な実装がOPESアーキテクチャに組み込まれた安全装置を倒すことができます。
Tracing and notification facilities may become a target of malicious attack. Such an attack may create problems in discovering and stopping other attacks.
トレースおよび通知機能は、悪意のある攻撃の対象になることがあります。このような攻撃は発見やその他の攻撃を停止することで問題を作成することがあります。
The absence of a standard for tracing and notification information may present an additional problem. This information is produced and consumed by the independent entities (OPES servers/user agents/ content provider facilities). This calls for a set of standards related to each base protocol in use.
トレース情報を通知するための標準が存在しない場合は、追加の問題を提示してもよいです。この情報は、独立したエンティティ(OPESサーバ/ユーザエージェント/コンテンツプロバイダ施設)で生産され、消費されます。これは、使用中の各基本プロトコルに関連する標準のセットを求めています。
There are risks and threats that could arise from unauthenticated communication between the OPES server and callout servers. Lack of use of strong authentication between OPES processors and callout servers may open security holes whereby DoS and other types of attacks (see sections [2 and 3]) can be performed.
OPESサーバとコールアウトサーバ間の認証されていない通信から発生する可能性のあるリスクや脅威があります。 DoS攻撃の他のタイプは、(セクション[2,3]参照)を行うことができるOPESプロセッサとコールアウトサーバ間の強力な認証の使用の欠如は、セキュリティホールを開くことができます。
The OPES architecture separates a data flow from a control information flow (loading rulesets, trust establishment, tracing, policy propagation, etc.). There are certain requirements set for the latter, but no specific mechanism is prescribed. This gives more flexibility for implementations, but creates more burden for implementers and potential customers to ensure that each specific implementation meets all requirements for data security, entity authentication, and action authorization.
OPESアーキテクチャは、(トレースローディングルールセット、信頼関係の確立、ポリシーの伝達、等)の制御情報フローからのデータフローを分離します。そこ後者に設定された一定の要件がありますが、具体的なメカニズムが規定されていません。これは、実装のためのより多くの柔軟性が得られますが、それぞれ固有の実装は、データセキュリティ、エンティティ認証、およびアクションの許可のためのすべての要件を満たしていることを確認するために実装し、潜在的な顧客のためのより多くの負担を作成します。
In addition to performing correct actions on the OPES data flow, any OPES implementation has to provide an adequate mechanism to satisfy requirements for out-of-band data and signaling information integrity.
OPESデータフローに正しいアクションを実行することに加えて、任意OPES実装は、帯域外データとシグナリング情報の整合性の要件を満たすために十分なメカニズムを提供しなければなりません。
Whatever the specific mechanism may be, it inevitably becomes subject to multiple security threats and possible attacks. The way the threats and attacks may be realized depends on implementation specifics but the resulting harm generally falls into two categories: threats to OPES data flow and threats to data integrity.
特定のメカニズムが何であれ、それは必然的に複数のセキュリティ上の脅威や攻撃の可能性にさらさなります。脅威や攻撃が実現されてもよい方法は、実装の詳細に依存するが、結果の害は、一般に2つのカテゴリに分類されます。データの整合性にOPESデータフローへの脅威と脅威。
The specific threats are:
特定の脅威は以下のとおりです。
Any weakness in the implementation of a security, authentication, or authorization mechanism may open the door to the attacks described in section 2.
セキュリティ、認証、または認可機構の実装における任意の弱点は、セクション2で説明した攻撃への扉を開くことができます。
An OPES system implementation should address all these threats and prove its robustness and ability to withstand malicious attacks or networking and programming problems.
OPESシステムの実装では、すべてのこれらの脅威に対処し、その堅牢性や悪質な攻撃やネットワークやプログラミングの問題に耐える能力を証明する必要があります。
Collecting and reporting accurate accounting data may be vital when OPES servers are used to extend a business model of a content provider, service provider, or as a basis for third party service. The ability to collect and process accounting data is an important part of OPES' system functionality. This functionality may be challenged by distortion or destruction of base accounting data (usually logs), processed accounting data, accounting parameters, and reporting configuration.
OPESサーバがコンテンツプロバイダのビジネスモデル、サービスプロバイダ、またはサードパーティのサービスの基礎としてを拡張するために使用されたときに収集し、正確な会計データを報告することは不可欠であります。アカウンティング・データを収集し、処理する能力がOPES」システム機能の重要な部分です。この機能は、(通常はログに記録されます)ベースの会計データの歪みや破壊によって処理された会計データ、会計パラメータ、およびレポートの構成に挑戦することができます。
As a result a data consumer may be inappropriately charged for viewing content that was not successfully delivered, or a content provider or independent OPES services provider may not be compensated for the services performed.
その結果、データコンシューマは、不適切に正常に配信されなかったコンテンツを表示するために帯電することができる、又はコンテンツプロバイダまたは独立OPESサービスプロバイダは、実行されるサービスのために補償されなくてもよいです。
The OPES system may use accounting information to distribute resources between different consumers or limit resource usage by a specific consumer. In this case an attack on the accounting system (by distortion of data or issuing false configuration commands) may result in incorrect resource management and DoS by artificial resource starvation.
OPESシステムは、特定の消費者によって異なる消費者または制限するリソース使用量との間のリソースを分配する課金情報を使用してもよいです。この場合、(データの歪みや偽の構成コマンドを発行して)会計システムへの攻撃は、人工的なリソース不足によって、誤った資源管理やDoS攻撃をもたらすことができます。
An entity (producer or consumer) might make an authorized request and later claim that it did not make that request. As a result, an OPES entity may be held liable for unauthorized changes to the data flow, or will be unable to receive compensation for a service.
エンティティ(プロデューサまたはコンシューマ)が認可要求を作成し、後でそれがその要求をしなかったと主張するかもしれません。結果として、OPESエンティティは、データフローへの不正変更の責任を負うことができる、またはサービスのための補償を受けることができないであろう。
There should be a clear request that this service is required and there should be a clear course of action on behalf of all parties. This action should have a request, an action, a non-repudiable means of verifying the request, and a means of specifying the effect of the action.
このサービスが必要とされ、すべての当事者に代わってアクションの明確なコースがあるべき明確な要求があるはずです。このアクションは、要求、アクション、要求を検証する非repudiable手段、および行動の効果を指定する手段を持っている必要があります。
The OPES entities may have privacy policies that are not consistent with the data consumer application or content provider application.
OPESエンティティは、データコンシューマ・アプリケーションやコンテンツプロバイダアプリケーションと一致していないプライバシーポリシーを持っていることがあります。
Privacy related problems may be further complicated if OPES entities, content providers, and end users belong to different jurisdictions with different requirements and different levels of legal protection. As a result, the end user may not be aware that he or she does not have the expected legal protection. The content provider may be exposed to legal risks due to a failure to comply with regulations of which he is not even aware.
OPESエンティティ、コンテンツプロバイダ、およびエンドユーザーがさまざまな要件や法的保護レベルの異なる別の管轄区域に属する場合、プライバシー関連の問題はさらに複雑になることがあります。その結果、エンドユーザは、彼または彼女が期待される法的保護を持っていないことを認識していなくてもよいです。コンテンツプロバイダが原因彼も気づいていないとなっている規制を遵守するために失敗に法的リスクにさらされる可能性があります。
The OPES system may inadvertently or maliciously expose end user privacy settings and requirements.
OPESシステムは、不注意または故意エンドユーザーのプライバシー設定と要件を露出させることができます。
There are risks that the OPES system may expose end user security settings when handling the request and responses. The user data must be handled as sensitive system information and protected against accidental and deliberate disclosure.
要求と応答を処理するときOPESシステムは、エンドユーザーのセキュリティ設定を公開することのリスクがあります。ユーザデータは、敏感なシステム情報として扱われ、偶発的および意図的な開示から保護されなければなりません。
OPES entities are part of the content distribution system and as such take on certain obligations to support security and privacy policies mandated by the content producer and/or end user. However there is a danger that these policies are not properly implemented and enforced. The data consumer application may not be aware that its protections are no longer in effect.
OPESエンティティは、コンテンツ配信システムの一部であり、そのようにコンテンツ制作および/またはエンドユーザーによって義務付けセキュリティとプライバシーポリシーをサポートするために、特定の義務を取ります。しかし、これらの政策が適切に実装され、施行されていない恐れがあります。データコンシューマ・アプリケーションは、その保護が有効でなくなっていることを認識していなくてもよいです。
There is also the possibility of security and privacy leaks due to the accidental misconfiguration or, due to misunderstanding what rules are in effect for a particular user or request.
偶然の設定ミスによるセキュリティとプライバシー漏洩の可能性や、原因ルールは、特定のユーザーや要求のために有効であるか誤解にもあります。
Privacy and security related parts of the systems can be targeted by malicious attacks and the ability to withstand such attacks is of paramount importance.
システムのプライバシーとセキュリティ関連の部品は、悪意ある攻撃の標的とすることができ、このような攻撃に耐える能力が最も重要です。
DoS attacks can be of various types. One type of DoS attack takes effect by overloading the client. For example, an intruder can direct an OPES processor to issue numerous responses to a client. There is also additional DoS risk from a rule misconfiguration that would have the OPES processor ignore a data consumer application.
DoS攻撃は、様々なタイプのものとすることができます。 DoS攻撃の一つのタイプは、クライアントに過負荷をかけることで有効になります。たとえば、侵入者がクライアントに多数の応答を発行するOPESプロセッサに指示することができます。 OPESプロセッサはデータコンシューマーアプリケーションを無視する必要がありますルールの設定ミスから追加のDoSリスクもあります。
This document discusses multiple security and privacy issues related to the OPES services.
この文書は、OPESサービスに関連する複数のセキュリティとプライバシーの問題について説明します。
[1] Barbir, A., Penno, R., Chen, R., Hofmann, M., and H. Orman, "An Architecture for Open Pluggable Edge Services (OPES)", RFC 3835, August 2004.
[1] Barbir、A.、Penno、R.、陳、R.、ホフマン、M.、およびH.オーマン、 "オープン・プラグイン可能なエッジサービスのためのアーキテクチャ(OPES)"、RFC 3835、2004年8月。
[2] Barbir, A., Burger, E., Chen, R., McHenry, S., Orman, H., and R. Penno, "OPES Use Cases and Deployment Scenarios", RFC 3752, April 2004.
[2] Barbir、A.、バーガー、E.、陳、R.、マクヘンリー、S.、オーマン、H.、およびR. Penno、 "OPES使用事例と展開シナリオ"、RFC 3752、2004年4月。
[3] Barbir, A., Batuner, O., Beck, A., Chan, T., and H. Orman, "Policy, Authorization, and Enforcement Requirements of Open Pluggable Edge Services (OPES)", RFC 3838, August 2004.
[3] Barbir、A.、Batuner、O.、ベック、A.、チャン、T.、およびH.オーマン、 "政策、オープンプラグイン可能なエッジ・サービス(OPES)の認可、および施行の要件"、RFC 3838、8月2004。
[4] Floyd, S. and L. Daigle, "IAB Architectural and Policy Considerations for Open Pluggable Edge Services", RFC 3238, January 2002.
[4]フロイド、S.とL. Daigle氏、 "オープン・プラグイン可能なエッジサービスのためのIAB建築・ポリシーに関する注意事項"、RFC 3238、2002年1月。
Many thanks to T. Chan (Nokia) and A. Beck (Lucent).
T.チャン(ノキア)とA.ベック(ルーセント)に感謝します。
Abbie Barbir Nortel Networks 3500 Carling Avenue Nepean, Ontario K2H 8E9 Canada
アビーBarbir Nortel Networksの3500カーリングアベニューオタワ、オンタリオK2H 8E9カナダ
Phone: +1 613 763 5229 EMail: abbieb@nortelnetworks.com
電話:+1 613 763 5229 Eメール:abbieb@nortelnetworks.com
Oskar Batuner Independent consultant
オスカーBatuner独立コンサルタント
EMail: batuner@attbi.com
メールアドレス:batuner@attbi.com
Bindignavile Srinivas Nokia 5 Wayside Road Burlington, MA 01803 USA
Bindignavileスリニバスノキア5ウェイサイド道路バーリントン、MA 01803 USA
EMail: bindignavile.srinivas@nokia.com
メールアドレス:bindignavile.srinivas@nokia.com
Markus Hofmann Bell Labs/Lucent Technologies Room 4F-513 101 Crawfords Corner Road Holmdel, NJ 07733 US
マーカス・ホフマンベル研究所/ルーセント・テクノロジーズルーム4F-513 101 Crawfordsコーナー道路ホルムデル、NJ 07733米国
Phone: +1 732 332 5983 EMail: hofmann@bell-labs.com
電話:+1 732 332 5983 Eメール:hofmann@bell-labs.com
Hilarie Orman Purple Streak Development
ヒラリーオーマンパープルストリーク開発
EMail: ho@alum.mit.edu
メールアドレス:ho@alum.mit.edu
Copyright (C) The Internet Society (2004). This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
著作権(C)インターネット協会(2004)。この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。