Network Working Group A. Barbir
Request for Comments: 4593 Nortel
Category: Informational S. Murphy
Sparta, Inc.
Y. Yang
Cisco Systems
October 2006
Generic Threats to Routing Protocols
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
著作権(C)インターネット協会(2006)。
Abstract
抽象
Routing protocols are subject to attacks that can harm individual users or network operations as a whole. This document provides a description and a summary of generic threats that affect routing protocols in general. This work describes threats, including threat sources and capabilities, threat actions, and threat consequences, as well as a breakdown of routing functions that might be attacked separately.
ルーティングプロトコルは、全体として、個々のユーザーやネットワーク運用を害することができ、攻撃の対象となっています。この文書では、説明と一般的にはルーティングプロトコルに影響を与える一般的な脅威の概要を提供します。この作品は、脅威の源と能力、脅威アクション、および脅威への影響だけでなく、個別に攻撃される可能性がありますルーティング機能の内訳を含む脅威を、説明しています。
Table of Contents
目次
1. Introduction ....................................................2
2. Routing Functions Overview ......................................3
3. Generic Routing Protocol Threat Model ...........................4
3.1. Threat Definitions .........................................4
3.1.1. Threat Sources ......................................4
3.1.1.1. Adversary Motivations ......................5
3.1.1.2. Adversary Capabilities .....................5
3.1.2. Threat Consequences .................................7
3.1.2.1. Threat Consequence Scope ...................9
3.1.2.2. Threat Consequence Zone ...................10
3.1.2.3. Threat Consequence Periods ................10
4. Generally Identifiable Routing Threat Actions ..................11
4.1. Deliberate Exposure .......................................11
4.2. Sniffing ..................................................11
4.3. Traffic Analysis ..........................................12
4.4. Spoofing ..................................................12
4.5. Falsification .............................................13
4.5.1. Falsifications by Originators ......................13
4.5.1.1. Overclaiming ..............................13
4.5.1.2. Misclaiming ...............................16
4.5.2. Falsifications by Forwarders .......................16
4.5.2.1. Misstatement ..............................16
4.6. Interference .........................................17
4.7. Overload .............................................18
5. Security Considerations ........................................18
6. References .....................................................18
6.1. Normative References ......................................18
Appendix A. Acknowledgments .......................................20
Appendix B. Acronyms ..............................................20
Routing protocols are subject to threats and attacks that can harm individual users or the network operations as a whole. The document provides a summary of generic threats that affect routing protocols. In particular, this work identifies generic threats to routing protocols that include threat sources, threat actions, and threat consequences. A breakdown of routing functions that might be separately attacked is provided.
ルーティングプロトコルは、全体として、個々のユーザーやネットワーク運用を害することができ脅威や攻撃の対象となっています。文書には、ルーティングプロトコルに影響を与える一般的な脅威の概要を提供します。具体的には、この作業は、脅威源、脅威アクション、および脅威の影響を含め、ルーティングプロトコルへの一般的な脅威を識別します。個別に攻撃される可能性がありますルーティング機能の内訳が提供されています。
This work should be considered a precursor to developing a common set of security requirements for routing protocols. While it is well known that bad, incomplete, or poor implementations of routing protocols may, in themselves, lead to routing problems or failures or may increase the risk of a network's being attacked successfully, these issues are not considered here. This document only considers attacks against robust, well-considered implementations of routing protocols, such as those specified in Open Shortest Path First (OSPF) [4], Intermediate System to Intermediate System (IS-IS) [5][8], RIP [6] and BGP [7]. Attacks against implementation-specific weaknesses and vulnerabilities are out of scope for this document.
この作品は、ルーティングプロトコルのためのセキュリティ要件の共通セットを開発するための前駆体と考えるべきです。それがうまくルーティングプロトコルの、悪い不完全な、または貧しい人々の実装は、それ自体が、ルーティングの問題や障害につながる可能性やネットワークのが正常に攻撃されるリスクを高めることが知られているが、これらの問題はここでは考慮されていません。この文書は、[5] [8]、RIP [4]、中間システム中間システム(IS-IS)のようなオープンショーテストパスファースト(OSPF)で指定されたもののようなルーティングプロトコルのロバストな、よく考え実装、攻撃を考慮します[6]とBGP [7]。実装固有の弱点や脆弱性に対する攻撃はこの文書の範囲外です。
The document is organized as follows: Section 2 provides a review of routing functions. Section 3 defines threats. In Section 4, a discussion on generally identifiable routing threat actions is provided. Section 5 addresses security considerations.
次のように文書が構成されています。第2節では、ルーティング機能の見直しを提供します。第3節では、脅威を定義します。 4節では、一般的に識別可能なルーティング脅威行動上の議論が提供されます。第5節では、セキュリティ上の考慮事項に対処しています。
This section provides an overview of common functions that are shared among various routing protocols. In general, routing protocols share the following functions:
このセクションでは、さまざまなルーティングプロトコル間で共有される共通の機能の概要を提供します。一般に、ルーティングプロトコルは、以下の機能を共有します。
o Transport Subsystem: The routing protocol transmits messages to its neighbors using some underlying protocol. For example, OSPF uses IP, while other protocols may run over TCP.
トランスポートサブシステム(O)ルーティングプロトコルは、いくつかの基本的なプロトコルを使用して、その近傍にメッセージを送信します。他のプロトコルはTCP上で実行することができる一方、例えば、OSPFは、IPを使用しています。
o Neighbor State Maintenance: Neighboring relationship formation is the first step for topology determination. For this reason, routing protocols may need to maintain state information. Each routing protocol may use a different mechanism for determining its neighbors in the routing topology. Some protocols have distinct exchanges through which they establish neighboring relationships, e.g., Hello exchanges in OSPF.
Oネイバー状態メンテナンス:隣接関係形成トポロジ決意の第一歩です。このため、ルーティングプロトコルは、状態情報を維持する必要があるかもしれません。各ルーティングプロトコルは、ルーティングトポロジ内のその近隣を決定するための別のメカニズムを使用してもよいです。一部のプロトコルは、彼らがOSPFでこんにちは、例えば、交流を、隣接関係を確立されて明確な交流を持っています。
o Database Maintenance: Routing protocols exchange network topology and reachability information. The routers collect this information in routing databases with varying detail. The maintenance of these databases is a significant portion of the function of a routing protocol.
Oデータベースの保守:ルーティングプロトコル交換ネットワークトポロジと到達可能性情報。ルータは、様々なディテールでデータベースをルーティングでは、この情報を収集します。これらのデータベースのメンテナンスは、ルーティングプロトコルの機能の重要な部分です。
In a routing protocol, there are message exchanges that are intended for the control of the state of the protocol. For example, neighbor maintenance messages carry such information. On the other hand, there are messages that are used to exchange information that is intended to be used in the forwarding function, for example, messages that are used to maintain the database. These messages affect the data (information) part of the routing protocol.
ルーティングプロトコルでは、プロトコルの状態の制御のために意図されたメッセージ交換があります。たとえば、隣人メンテナンスメッセージは、そのような情報を運びます。一方、データベースを維持するために使用される、例えば、転送機能で使用されるように意図されて情報を交換するために使用されるメッセージ、メッセージがあります。これらのメッセージは、ルーティングプロトコルのデータ(情報)の部分に影響を与えます。
The model developed in this section can be used to identify threats to any routing protocol.
このセクションで開発したモデルは、任意のルーティングプロトコルへの脅威を識別するために使用することができます。
Routing protocols are subject to threats at various levels. For example, threats can affect the transport subsystem, where the routing protocol can be subject to attacks on its underlying protocol. An attacker may also attack messages that carry control information in a routing protocol to break a neighboring (e.g., peering, adjacency) relationship. This type of attack can impact the network routing behavior in the affected routers and likely the surrounding neighborhood as well. For example, in BGP, if a router receives a CEASE message, it will break its neighboring relationship to its peer and potentially send new routing information to any remaining peers.
ルーティングプロトコルは、様々なレベルでの脅威にさらされています。例えば、脅威は、ルーティングプロトコルがその基礎となるプロトコルへの攻撃を受けることがあるトランスポートサブシステムに影響を与えることができます。また、攻撃者は、隣接する(例えば、ピアリング、隣接)の関係を破壊するルーティングプロトコルで制御情報を運ぶメッセージを攻撃することができます。このタイプの攻撃は、同様に影響を受けるルータ、おそらく周囲の周辺にネットワークルーティング動作に影響を与えることができます。ルータはCEASEメッセージを受信した場合、例えば、BGPにおいて、そのピアにその隣接関係を破壊し、潜在的に任意の残りのピアに新しいルーティング情報を送信します。
An attacker may also attack messages that carry data information in order to break a database exchange between two routers or to affect the database maintenance functionality. For example, the information in the database must be authentic and authorized. An attacker who is able to introduce bogus data can have a strong effect on the behavior of routing in the neighborhood. For example, if an OSPF router sends LSAs with the wrong Advertising Router, the receivers will compute a Shortest Path First (SPF) tree that is incorrect and might not forward the traffic. If a BGP router advertises a Network Layer Reachability Information (NLRI) that it is not authorized to advertise, then receivers might forward that NLRI's traffic toward that router and the traffic would not be deliverable. A Protocol Independent Multicast (PIM) router might transmit a JOIN message to receive multicast data it would otherwise not receive.
攻撃者はまた、2つのルータ間のデータベース交換を破るか、データベースのメンテナンス機能に影響するために、データ情報を運ぶメッセージを攻撃することがあります。たとえば、データベース内の情報は本物と承認されなければなりません。偽のデータを導入することができ、攻撃者は、近隣のルーティングの行動に強い影響を持つことができます。 OSPFルータが間違っている広告ルータにLSAを送信した場合、受信機は間違っていると、トラフィックを転送しない場合があります最短パス優先(SPF)ツリーを計算します。 BGPルータは、宣伝する権限がないことをネットワーク層到達可能性情報(NLRI)をアドバタイズした場合、その後、受信機は、そのルータおよびトラフィックに向けたNLRIのトラフィックは成果物ではないことを転送することがあります。プロトコル独立マルチキャスト(PIM)ルータは、それがそうでなければ受信しないでしょうマルチキャストデータを受信するためにJoinメッセージを送信することがあります。
In [1], a threat is defined as a potential for violation of security, which exists when there is a circumstance, capability, action, or event that could breach security and cause harm. Threats can be categorized as threat sources, threat actions, threat consequences, threat consequence zones, and threat consequence periods.
[1]では、脅威は状況、能力、行動、またはセキュリティを侵害して害を引き起こす可能性があるイベントがあるときに存在するセキュリティ違反のための潜在的な、と定義されます。脅威は、脅威源、脅威アクション、脅威の結果、脅威の結果ゾーン、および脅威の結果期間として分類することができます。
In the context of deliberate attack, a threat source is defined as a motivated, capable adversary. By modeling the motivations (attack goals) and capabilities of the adversaries who are threat sources, one can better understand what classes of attacks these threats may mount and thus what types of countermeasures will be required to deal with these attacks.
意図的攻撃の文脈では、脅威源は意欲、可能な敵として定義されます。動機(攻撃目標)と脅威の源である敵の能力をモデル化することにより、人はより良い攻撃のクラスはこれらの脅威は、対策の種類は、これらの攻撃に対処する必要がありますどのようにマウントしてかを理解することができます。
We assume that the most common goal of an adversary deliberately attacking routing is to cause inter-domain routing to malfunction. A routing malfunction affects data transmission such that traffic follows a path (sequence of autonomous systems in the case of BGP) other than one that would have been computed by the routing protocol if it were operating properly (i.e., if it were not under attack). As a result of an attack, a route may terminate at a router other than the one that legitimately represents the destination address of the traffic, or it may traverse routers other than those that it would otherwise have traversed. In either case, a routing malfunction may allow an adversary to wiretap traffic passively, or to engage in man-in-the-middle (MITM) active attacks, including discarding traffic (denial of service).
私たちは、故意にルーティングを攻撃する敵の最も一般的な目標は、誤動作にドメイン間ルーティングを引き起こすことがあることを前提としています。ルーティング異常は、それが正常に動作している場合、ルーティングプロトコルによって計算されたであろうもの以外(BGPの場合に自律システムの配列)(すなわち、それが攻撃を受けていなかった場合)トラフィックパスを追従するように、データ伝送に影響を与え。攻撃の結果として、ルートが合法トラフィックの宛先アドレスを表すもの以外のルータで終端することができる、又はそれは、さもなければ横断たであろうもの以外のルータを横断することができます。いずれの場合においても、ルーティング誤動作攻撃者がトラフィック(サービス拒否)を廃棄するなど積極的な攻撃を、受動的にトラフィックを盗聴したり、のman-in-the-middle(MITM)に従事することを可能にし得ます。
A routing malfunction might be effected for financial gain related to traffic volume (vs. the content of the routed traffic), e.g., to affect settlements among ISPs.
ルーティング機能不全は、ISPの間の和解に影響を与えるために、例えば、(ルーティングされたトラフィックの量対)トラフィック量に関連する金銭上の利益のために行われる可能性があります。
Another possible goal for attacks against routing can be damage to the network infrastructure itself, on a targeted or wide-scale basis. Thus, for example, attacks that cause excessive transmission of UPDATE or other management messages, and attendant router processing, could be motivated by these goals.
ルーティング攻撃のための別の可能な目標は、目標や大規模ベースでのネットワーク・インフラストラクチャ自体の損傷であることができます。したがって、例えば、UPDATEまたは他の管理メッセージ、および付随するルータの処理の過度な伝送を引き起こす攻撃は、これらの目標によって動機づけすることができます。
Irrespective of the goals noted above, an adversary may or may not be averse to detection and identification. This characteristic of an adversary influences some of the ways in which attacks may be accomplished.
かかわらず、上述した目標の、敵対者は、または検出および識別を嫌うであってもなくてもよいです。攻撃のこの特徴は、攻撃が達成することのできる方法のいくつかに影響を与えます。
Different adversaries possess varied capabilities.
別の敵は、様々な機能を有しています。
o All adversaries are presumed to be capable of directing packets to routers from remote locations and can assert a false IP source address with each packet (IP address spoofing) in an effort to cause the targeted router to accept and process the packet as though it emanated from the indicated source. Spoofing attacks may be employed to trick routers into acting on bogus messages to effect misrouting, or these messages may be used to overwhelm the management processor in a router, to effect DoS. Protection from such adversaries must not rely on the claimed identity in routing packets that the protocol receives.
Oすべての敵は、遠隔地からのルータにパケットを指示することができるであると推定されており、受け入れ、それを放っているかのようにパケットを処理するために、対象となるルータを起こすための努力で、各パケット(IPスプーフィング)との偽のIP送信元アドレスを主張することができます指示されたソースから。スプーフィング攻撃はmisroutingを達成するために偽のメッセージに作用するにルータをだまして使用することができる、またはこれらのメッセージは、DoS攻撃を行うために、ルータの管理プロセッサを圧倒するために使用することができます。そのような敵からの保護は、プロトコルが受信パケットをルーティングに記載のアイデンティティに依存してはいけません。
o Some adversaries can monitor links over which routing traffic is carried and emit packets that mimic data contained in legitimate routing traffic carried over these links; thus, they can actively participate in message exchanges with the legitimate routers. This increases the opportunities for an adversary to generate bogus routing traffic that may be accepted by a router, to effect misrouting or DoS. Retransmission of previously delivered management traffic (replay attacks) exemplify this capability. As a result, protection from such adversaries ought not to rely on the secrecy of unencrypted data in packet headers or payloads.
O一部の敵は、ルーティングトラフィックが搬送されるリンクを監視し、これらのリンクを介して搬送される正当なルーティングトラフィックに含まれるデータを模倣するパケットを放出することができます。このように、彼らは積極的に正当なルータとのメッセージ交換に参加することができます。これはmisroutingまたはDoS攻撃を行うために、ルータによって受け入れられる偽のルーティング・トラフィックを生成するために敵の機会を増加させます。以前に配信管理トラフィック(リプレイ攻撃)の再送信この機能を例示しています。その結果、敵からの保護は、パケットヘッダやペイロード内の暗号化されていないデータの機密性に頼るべきではありません。
o Some adversaries can effect MITM attacks against routing traffic, e.g., as a result of active wiretapping on a link between two routers. This represents the ultimate wiretapping capability for an adversary. Protection from such adversaries must not rely on the integrity of inter-router links to authenticate traffic, unless cryptographic measures are employed to detect unauthorized modification.
O一部の敵は、2つのルータ間のリンク上のアクティブな盗聴の結果として、例えば、トラフィックをルーティングに対するMITM攻撃を行うことができます。これは敵のための究極の盗聴機能を表します。そのような敵からの保護は、暗号化措置は不正な変更を検出するために使用されていない限り、トラフィックを認証するためにルータ間のリンクの整合性に依存してはいけません。
o Some adversaries can subvert routers, or the management workstations used to control these routers. These Byzantine failures represent the most serious form of attack capability in that they result in emission of bogus traffic by legitimate routers. As a result, protection from such adversaries must not rely on the correct operation of neighbor routers. Protection measures should adopt the principle of least privilege, to minimize the impact of attacks of this sort. To counter Byzantine attacks, routers ought not to trust management traffic (e.g., based on its source) but rather each router should independently authenticate management traffic before acting upon it.
O一部の敵は、ルータ、またはこれらのルータを制御するために使用する管理ワークステーションを覆すことができます。彼らは合法的なルータによって偽のトラフィックの排出につながるという点で、これらのビザンチン故障は、攻撃能力の最も深刻な形を表しています。その結果、敵からの保護は、隣接ルータの正しい動作に依存してはいけません。保護対策は、この種の攻撃の影響を最小限に抑えるために、最小限の特権の原則を採用すべきです。ビザンチン攻撃に対抗するために、ルータは、管理トラフィックを信頼するべきではない(例えば、そのソースに基づいた)のではなく、各ルータは、独立して、それに作用する前に、管理トラフィックを認証する必要があります。
We will assume that any cryptographic countermeasures employed to secure BGP will employ algorithms and modes that are resistant to attack, even by sophisticated adversaries; thus, we will ignore cryptanalytic attacks.
私たちは、BGPを確保するために使用される任意の暗号化対策にも洗練された敵によって、攻撃に耐性のあるアルゴリズムとモードを採用することを前提としています。したがって、我々は、暗号解読の攻撃を無視します。
Deliberate attacks are mimicked by failures that are random and unintentional. In particular, a Byzantine failure in a router may occur because the router is faulty in hardware or software or is misconfigured. As described in [3], "A node with a Byzantine failure may corrupt messages, forge messages, delay messages, or send conflicting messages to different nodes". Byzantine routers, whether faulty, misconfigured, or subverted, have the context to provide believable and very damaging bogus routing information. Byzantine routers may also claim another legitimate peer's identity. Given their status as peers, they may even elude the authentication protections, if those protections can only detect that a source is one of the legitimate peers (e.g., the router uses the same cryptographic key to authenticate all peers).
意図的な攻撃はランダムと意図しないある障害によって模倣されています。ルータは、ハードウェアまたはソフトウェアに障害があるか、正しく構成されているので、特に、ルータのビザンチン故障が発生する可能性があります。 [3]に記載の「破損メッセージは、メッセージを偽造することができるビザンチン故障とノード、メッセージを遅延させる、または異なるノードに矛盾するメッセージを送信します」。ビザンチンルータは、不良設定ミス、または打倒するかどうか、信じられると非常に有害な偽のルーティング情報を提供するコンテキストを有します。ビザンチンルータはまた別の合法的なピアのアイデンティティを請求することができます。それらの保護が唯一のソースが正当なピアの1つであることを検出することができた場合、ピアとしての地位を考えると、彼らも(例えば、ルータはすべてのピアを認証するために、同じ暗号化キーを使用しています)、認証保護を逃れることがあります。
We therefore characterize threat sources into two groups:
したがって、我々は二つのグループに脅威の源を特徴づけます:
Outsiders: These attackers may reside anywhere in the Internet, have the ability to send IP traffic to the router, may be able to observe the router's replies, and may even control the path for a legitimate peer's traffic. These are not legitimate participants in the routing protocol.
アウトサイダーは:これらの攻撃者は、ルータにIPトラフィックを送信する能力を持っている、インターネットのどこに存在してもよく、ルータの応答を観察することができるかもしれない、とさえ正当なピアのトラフィックのパスを制御することができます。これらは、ルーティングプロトコルにおける正当な参加者ではありません。
Byzantine: These attackers are faulty, misconfigured, or subverted routers; i.e., legitimate participants in the routing protocol.
ビザンチン:これらの攻撃者は、障害のある誤設定、または堕落ルータです。すなわち、ルーティングプロトコルで正規参加。
A threat consequence is a security violation that results from a threat action [1]. To a routing protocol, a security violation is a compromise of some aspect of the correct behavior of the routing system. The compromise can damage the data traffic intended for a particular network or host or can damage the operation of the routing infrastructure of the network as a whole.
脅威の結果は、脅威アクション[1]から得られるセキュリティ違反です。ルーティングプロトコルに、セキュリティ違反は、ルーティングシステムの正しい動作のいくつかの態様の妥協です。妥協は、特定のネットワークまたはホストのために意図されたデータトラフィックを損傷する可能性があり、または全体としてネットワークのルーティングインフラストラクチャの動作に損傷を与えることができます。
There are four types of general threat consequences: disclosure, deception, disruption, and usurpation [1].
開示、詐欺、破壊、および強奪[1]:一般的な脅威の影響の4つのタイプがあります。
o Disclosure: Disclosure of routing information happens when an attacker successfully accesses the information without being authorized. Outsiders who can observe or monitor a link may cause disclosure, if routing exchanges lack confidentiality. Byzantine routers can cause disclosure, as long as they are successfully involved in the routing exchanges. Although inappropriate disclosure of routing information can pose a security threat or be part of a later, larger, or higher layer attack, confidentiality is not generally a design goal of routing protocols.
O開示:攻撃者が許可されずに情報にアクセスする際にルーティング情報の開示が起こります。ルーティング交換は機密性が不足しているかどうかを観察またはリンクを監視することができアウトサイダーは、開示を引き起こす可能性があります。ビザンチンルータは限りが正常にルーティング交換に関与しているとして、開示を引き起こす可能性があります。ルーティング情報の不適切な開示はセキュリティ上の脅威をもたらすか、後でより大きな、またはより高い層の攻撃の一部であってもよいが、機密性は、一般的にルーティングプロトコルの設計目標ではありません。
o Deception: This consequence happens when a legitimate router receives a forged routing message and believes it to be authentic. Both outsiders and Byzantine routers can cause this consequence if the receiving router lacks the ability to check routing message integrity or origin authentication.
O詐欺:正当なルータは偽造ルーティングメッセージを受信して、それが本物であることを信じているときに、この結果は起こります。受信したルータは、ルーティングメッセージの整合性や発信元認証をチェックする機能が欠けている場合は、両方の部外者とビザンチン様式のルータは、この結果を引き起こす可能性があります。
o Disruption: This consequence occurs when a legitimate router's operation is being interrupted or prevented. Outsiders can cause this by inserting, corrupting, replaying, delaying, or dropping routing messages, or by breaking routing sessions between legitimate routers. Byzantine routers can cause this consequence by sending false routing messages, interfering with normal routing exchanges, or flooding unnecessary routing protocol messages. (DoS is a common threat action causing disruption.)
O破壊:合法的なルータの操作が中断または防止されているときに、この結果が発生します。アウトサイダーは、挿入破損、再生、遅延、またはルーティングメッセージをドロップすることにより、または正当なルータ間のルーティングセッションを破壊することによって、これを引き起こす可能性があります。ビザンチンルータは、偽のルーティングメッセージを送信し、通常のルーティング交換に干渉し、または不必要なルーティングプロトコルメッセージをフラッディングすることで、この結果を引き起こす可能性があります。 (DoS攻撃は、混乱を引き起こす共通の脅威アクションです。)
o Usurpation: This consequence happens when an attacker gains control over the services/functions a legitimate router is providing to others. Outsiders can cause this by delaying or dropping routing exchanges, or fabricating or replaying routing information. Byzantine routers can cause this consequence by sending false routing information or interfering with routing exchanges.
O簒奪:攻撃者が正当なルータが他の人に提供しているサービス/機能を制御する場合、この結果が起こります。アウトサイダーは、遅延またはルーティング交換を落とす、あるいは製造またはルーティング情報を再生することによって、これを引き起こす可能性があります。ビザンチンルータは、偽のルーティング情報を送信したり、ルーティング交換を妨害することにより、この結果を引き起こす可能性があります。
Note: An attacker does not have to control a router directly to control its services. For example, in Figure 1, Network 1 is dual-homed through Router A and Router B, and Router A is preferred. However, Router B is compromised and advertises a better metric. Consequently, devices on the Internet choose the path through Router B to reach Network 1. In this way, Router B steals the data traffic, and Router A loses its control of the services to Router B. This is depicted in Figure 1.
注意:攻撃者は、そのサービスを制御するためにルータを直接制御する必要はありません。例えば、図1では、ネットワーク1は、ルータAおよびルータBを介してデュアルホームであり、ルータAが好ましいです。しかし、ルータBは妥協して、より良いメトリックをアドバタイズしています。これにより、インターネット上のデバイスは、このようにネットワーク1に到達するためにルータBを介して経路を選択し、ルータBは、データトラフィックを盗み、ルータAは、これは図1に示されているルータBにサービスのその制御を失います。
+-------------+ +-------+
| Internet |---| Rtr A |
+------+------+ +---+---+
| |
| |
| |
| *-+-*
+-------+ / \
| Rtr B |----------* N 1 *
+-------+ \ /
*---*
Figure 1. Dual-homed network
図1.デュアルホームネットワーク
Several threat consequences might be caused by a single threat action. In Figure 1, there exist at least two consequences: routers using Router B to reach Network 1 are deceived, and Router A is usurped.
いくつかの脅威の結果は、単一の脅威動作によって引き起こされる可能性があります。ネットワーク1に到達するためにルータBを使用してルータがだまされ、ルータAが奪われている。図1において、少なくとも2つの結果が存在します。
As mentioned above, an attack might damage the data traffic intended for a particular network or host or damage the operation of the routing infrastructure of the network as a whole. Damage that might result from attacks against the network as a whole may include the following:
上述したように、攻撃は、特定のネットワークまたはホストのために意図されたデータトラフィックを損傷したり、全体としてネットワークのルーティングインフラストラクチャの動作に損傷を与えるかもしれません。全体としてのネットワークへの攻撃に起因する可能性がある損傷は次のようなものがあります
o Network congestion. More data traffic is forwarded through some portion of the network than would otherwise need to carry the traffic.
Oネットワークの輻輳。それ以外の場合はトラフィックを伝送する必要があるだろうよりも多くのデータトラフィックは、ネットワークの一部を介して転送されます。
o Blackhole. Large amounts of traffic are unnecessarily re-directed to be forwarded through one router and that router drops many/most/all packets.
ブラックホールO。大量のトラフィックが不必要に1ルータ経由で転送されるようにリダイレクトし、そのルータは、多くの/ほとんど/すべてのパケットを廃棄しています。
o Looping. Data traffic is forwarded along a route that loops, so that the data is never delivered (resulting in network congestion).
Oループ。データは、(ネットワークの輻輳を生じる)に送達されることはないように、データトラフィックは、ループ経路に沿って転送されます。
o Partition. Some portion of the network believes that it is partitioned from the rest of the network when it is not.
Oパーティション。ネットワークのいくつかの部分は、それがないときに、それがネットワークの他の部分から分割されていると信じています。
o Churn. The forwarding in the network changes (unnecessarily) at a rapid pace, resulting in large variations in the data delivery patterns (and adversely affecting congestion control techniques).
解約O。データ配信パターン(及び悪影響を及ぼす輻輳制御技術)の大きな変動をもたらす急速にネットワークの変更(不必要)に転送。
o Instability. The protocol becomes unstable so that convergence on a global forwarding state is not achieved.
O不安定。グローバルフォワーディング状態に収束が達成されないようにプロトコルが不安定になります。
o Overcontrol. The routing protocol messages themselves become a significant portion of the traffic the network carries.
Overcontrol O。ルーティングプロトコルメッセージ自体は、ネットワークが伝送するトラフィックのかなりの部分になります。
o Clog. A router receives an excessive number of routing protocol messages, causing it to exhaust some resource (e.g., memory, CPU, battery).
クロッグO。ルータは、いくつかのリソース(例えば、メモリ、CPU、バッテリー)を排出させる、ルーティングプロトコルメッセージの過剰な数を受信します。
The damage that might result from attacks against a particular host or network address may include the following:
特定のホストまたはネットワークアドレスに対する攻撃に起因するかもしれないダメージは、以下を含むことができます。
o Starvation. Data traffic destined for the network or host is forwarded to a part of the network that cannot deliver it.
飢餓O。ネットワークまたはホスト宛てのデータトラフィックは、それを配信することはできませんネットワークの一部に転送されます。
o Eavesdrop. Data traffic is forwarded through some router or network that would otherwise not see the traffic, affording an opportunity to see the data or at least the data delivery pattern.
盗聴O。データトラフィックは、データまたは少なくともデータ配信パターンを見る機会を与える、そうでない場合、トラフィックは表示されませんいくつかのルータやネットワークを介して転送されます。
o Cut. Some portion of the network believes that it has no route to the host or network when it is in fact connected.
Oカット。ネットワークのいくつかの部分は、それが実際に接続されている場合、それはホストまたはネットワークへのルートを持っていないと考えています。
o Delay. Data traffic destined for the network or host is forwarded along a route that is in some way inferior to the route it would otherwise take.
ディレイO。ネットワークまたはホスト宛てのデータトラフィックは、何らかの方法でそれはそう取るルートに劣っているルートに沿って転送されます。
o Looping. Data traffic for the network or host is forwarded along a route that loops, so that the data is never delivered.
Oループ。データが配信されることはありませんように、ネットワークまたはホストのデータトラフィックは、ループの経路に沿って転送されます。
It is important to consider all consequences, because some security solutions can protect against one consequence but not against others. It might be possible to design a security solution that protects against eavesdropping on one destination's traffic without protecting against churn in the network. Similarly, it is possible to design a security solution that prevents a starvation attack against one host, but not a clogging attack against a router. The security requirements must be clear as to which consequences are being avoided and which consequences must be addressed by other means (e.g., by administrative means outside the protocol).
いくつかのセキュリティソリューションは、1つの結果に対してではなく、他の人から守ることができますので、すべての結果を考慮することが重要です。ネットワーク内のチャーンから保護せずに、1つ先のトラフィック上の盗聴から保護し、セキュリティ・ソリューションを設計することが可能かもしれません。同様に、一つのホストではなくルータに対する目詰まり攻撃に対する飢餓の攻撃を防ぐセキュリティソリューションを設計することが可能です。結果が回避されている先の、どの結果が他の手段(例えば、プロトコル外部管理による)によって対処されなければならないようにセキュリティ要件が明確でなければなりません。
A threat consequence zone covers the area within which the network operations have been affected by threat actions. Possible threat consequence zones can be classified as a single link or router, multiple routers (within a single routing domain), a single routing domain, multiple routing domains, or the global Internet. The threat consequence zone varies based on the threat action and the position of the target of the attack. Similar threat actions that happen at different locations may result in totally different threat consequence zones. For example, when an outsider breaks the routing session between a distribution router and a stub router, only reachability to and from the network devices attached to the stub router will be impaired. In other words, the threat consequence zone is a single router. In another case, if the outsider is located between a customer edge router and its corresponding provider edge router, such an action might cause the whole customer site to lose its connection. In this case, the threat consequence zone might be a single routing domain.
脅威の結果ゾーンはネットワーク運用は、脅威アクションの影響を受けているその内の領域をカバーしています。可能性のある脅威の結果ゾーンは、単一のリンクやルータ、(単一のルーティングドメイン内の)複数のルータ、単一のルーティングドメイン、複数のルーティングドメイン、またはグローバルインターネットに分類することができます。脅威の結果ゾーンは、脅威アクションと攻撃のターゲットの位置に基づいて変化します。異なる場所で起こる同様の脅威アクションは全く異なる脅威の結果としてゾーンをもたらすことができます。例えば、部外者が配信ルータとスタブルータ間のルーティングセッションを切断するとき、スタブルータに接続されたネットワークデバイスへとからのみ到達可能性は損なわれるであろう。言い換えれば、脅威結果ゾーンは、単一のルータです。部外者が顧客のエッジルータとそれに対応するプロバイダーエッジルータ間に配置されている場合は別のケースでは、そのような行動は、全顧客のサイトはその接続を失う可能性があります。この場合、脅威結果ゾーンは、単一のルーティングドメインであるかもしれません。
A threat consequence period is defined as the portion of time during which the network operations are impacted by the threat consequences. The threat consequence period is influenced by, but not totally dependent on, the duration of the threat action. In some cases, the network operations will get back to normal as soon as the threat action has been stopped. In other cases, however, threat consequences may persist longer than does the threat action. For example, in the original Advanced Research Projects Agency Network (ARPANET) link-state algorithm, some errors in a router introduced three instances of a Link-State Announcement (LSA). All of them flooded throughout the network continuously, until the entire network was power cycled [2].
脅威結果期間は、ネットワーク動作が脅威の影響によって影響される時間の部分として定義されます。脅威の結果期間が影響を受けますが、脅威アクションの期間、に完全に依存していません。いくつかのケースでは、ネットワークの運用とすぐ脅威動作が停止されたように正常に戻って取得します。他の例では、しかし、脅威の結果は、脅威アクションの場合よりも長く持続することがあります。たとえば、元高等研究計画庁ネットワーク(ARPANET)リンクステートアルゴリズムでは、ルータに多少の誤差はリンクステートアナウンスメント(LSA)の3つのインスタンスを導入しました。ネットワーク全体がパワー[2]で循環するまでそれらのすべては、継続的にネットワーク全体にフラッディング。
This section addresses generally identifiable and recognized threat actions against routing protocols. The threat actions are not necessarily specific to individual protocols but may be present in one or more of the common routing protocols in use today.
このセクションでは、一般的に識別およびルーティングプロトコルに対する脅威アクションを認識し対処しています。脅威アクションは、個々のプロトコルに必ずしも固有のものではありませんが、今日使用されている一般的なルーティングプロトコルの一つ以上に存在することができます。
Deliberate exposure occurs when an attacker takes control of a router and intentionally releases routing information to other entities (e.g., the attacker, a web page, mail posting, other routers) that otherwise should not receive the exposed information.
攻撃者は、ルータの制御を取得し、意図的にそうでなければ露出情報を受信しないことを他のエンティティ(例えば、攻撃者は、Webページ、メール投稿、他のルータ)にルーティング情報を離したときに意図的な露出が発生します。
The consequence of deliberate exposure is the disclosure of routing information.
意図的な暴露の結果は、ルーティング情報の開示です。
The threat consequence zone of deliberate exposure depends on the routing information that the attackers have exposed. The more knowledge they have exposed, the bigger the threat consequence zone.
意図的な露出の脅威結果ゾーンは、攻撃者が暴露されていることをルーティング情報に依存します。彼らが露出しているより多くの知識、大きな脅威結果ゾーン。
The threat consequence period of deliberate exposure might be longer than the duration of the action itself. The routing information exposed will not be outdated until there is a topology change of the exposed network.
意図的な露出の脅威結果期間は、アクション自体の持続時間よりも長くなるかもしれません。露出されたネットワークのトポロジーの変化があるまで露出ルーティング情報は時代遅れではないであろう。
Sniffing is an action whereby attackers monitor and/or record the routing exchanges between authorized routers to sniff for routing information. Attackers can also sniff data traffic information (however, this is out of scope of the current work).
スニッフィングは、攻撃者が監視および/または情報をルーティングするために盗聴することを許可ルータ間のルーティング交換を記録することにより作用します。攻撃者は、データトラフィック情報を盗聴することができます(ただし、これは現在の仕事の範囲外です)。
The consequence of sniffing is disclosure of routing information.
スニッフィングの結果は、ルーティング情報の開示です。
The threat consequence zone of sniffing depends on the attacker's location, the routing protocol type, and the routing information that has been recorded. For example, if the outsider is sniffing a link that is in an OSPF totally stubby area, the threat consequence zone should be limited to the whole area. An attacker that is sniffing a link in an External Border Gateway Protocol (EBGP) session can gain knowledge of multiple routing domains.
スニッフィングの脅威結果ゾーンは、攻撃者の所在地、ルーティングプロトコルの種類、および記録されているルーティング情報に依存します。部外者がOSPF完全スタブエリア内にあるリンクを盗聴されている場合、脅威の結果ゾーンが全体の面積に制限する必要があります。外部ボーダーゲートウェイプロトコル(EBGP)セッションのリンクを盗聴されている攻撃者は、複数のルーティングドメインの知識を得ることができます。
The threat consequence period might be longer than the duration of the action. If an attacker stops sniffing a link, their acquired knowledge will not be out-dated until there is a topology change of the affected network.
脅威の結果の期間は、作用持続時間よりも長くなるかもしれません。攻撃者は、リンクを盗聴停止した場合、影響を受けたネットワークのトポロジ変更があるまで、彼らの獲得した知識は時代遅れではありません。
Traffic analysis is an action whereby attackers gain routing information by analyzing the characteristics of the data traffic on a subverted link. Traffic analysis threats can affect any data that is sent over a communication link. This threat is not peculiar to routing protocols and is included here for completeness.
トラフィック分析は、攻撃者が打倒リンク上のデータ・トラフィックの特性を分析することによって、ルーティング情報を得ることができるアクションです。トラフィック分析の脅威は、通信リンクを介して送信されるすべてのデータに影響を与えることができます。この脅威は、ルーティングプロトコルに特有のものではなく、完全を期すためにここに含まれています。
The consequence of data traffic analysis is the disclosure of routing information. For example, the source and destination IP addresses of the data traffic and the type, magnitude, and volume of traffic can be disclosed.
データトラフィック分析の結果は、ルーティング情報の開示です。例えば、データトラフィックおよびタイプ、大きさ、及びトラフィックの量の送信元と送信先のIPアドレスを開示することができます。
The threat consequence zone of the traffic analysis depends on the attacker's location and what data traffic has passed through. An attacker at the network core should be able to gather more information than its counterpart at the edge and would therefore have to be able to analyze traffic patterns in a wider area.
トラフィック分析の脅威結果ゾーンは、攻撃者の場所に依存し、どのようなデータトラフィックを通過しました。ネットワークコアにおける攻撃者は、エッジにおけるその対応物よりも多くの情報を収集することができる必要があり、したがって、より広い領域でのトラフィックパターンを分析することができなければなりません。
The threat consequence period might be longer than the duration of the traffic analysis. After the attacker stops traffic analysis, its knowledge will not be outdated until there is a topology change of the disclosed network.
脅威の結果の期間は、トラフィック分析の持続時間より長いかもしれません。攻撃者は、トラフィック分析を停止した後に開示されたネットワークのトポロジ変更があるまで、その知識は時代遅れではありません。
Spoofing occurs when an illegitimate device assumes the identity of a legitimate one. Spoofing in and of itself is often not the true attack. Spoofing is special in that it can be used to carry out other threat actions causing other threat consequences. An attacker can use spoofing as a means for launching other types of attacks. For example, if an attacker succeeds in spoofing the identity of a router, the attacker can send out unrealistic routing information that might cause the disruption of network services.
違法なデバイスが正当1のアイデンティティを前提としていたときにスプーフィングが発生します。それ自体とのなりすましは、多くの場合、真の攻撃ではありません。スプーフィングは、他の脅威の影響を引き起こし、他の脅威アクションを実行するために使用できることで特別なものです。攻撃者は、他のタイプの攻撃を起動するための手段として、スプーフィングを使用することができます。攻撃者は、ルータの身元を偽装に成功した場合、攻撃者がネットワークサービスの中断を引き起こす可能性がある非現実的なルーティング情報を送信することができます。
There are a few cases where spoofing can be an attack in and of itself. For example, messages from an attacker that spoof the identity of a legitimate router may cause a neighbor relationship to form and deny the formation of the relationship with the legitimate router.
なりすましは、それ自体は攻撃することができ、いくつかの例があります。例えば、正当なルータの身元を詐称攻撃者からのメッセージを形成し、正当なルータとの関係の形成を拒否するネイバー関係が発生することがあります。
The consequences of spoofing are as follows:
次のようになりすましの結果は以下のとおりです。
o The disclosure of routing information. The spoofing router will be able to gain access to the routing information.
ルーティング情報の開示O。なりすましルータは、ルーティング情報へのアクセスを得ることができるようになります。
o The deception of peer relationship. The authorized routers, which exchange routing messages with the spoofing router, do not realize that they are neighboring with a router that is faking another router's identity.
ピア関係の欺瞞O。なりすましルータとルーティングメッセージを交換許可ルータは、彼らが他のルータのIDを偽造されたルータと隣接していることに気づいていません。
The threat consequence zone is as follows:
次のような脅威の結果ゾーンは次のとおりです。
o The consequence zone of the fake peer relationship will be limited to those routers trusting the attacker's claimed identity.
O偽のピア関係の結果ゾーンは、攻撃者の主張のアイデンティティを信頼するそれらのルータに制限されます。
o The consequence zone of the disclosed routing information depends on the attacker's location, the routing protocol type, and the routing information that has been exchanged between the attacker and its deceived neighbors.
O開示されたルーティング情報の結果ゾーンは、攻撃者の位置、ルーティング・プロトコル・タイプ、および攻撃者とそのだまさ隣人との間で交換されているルーティング情報に依存します。
Note: This section focuses on addressing spoofing as a threat on its own. However, spoofing creates conditions for other threats actions. The other threat actions are considered falsifications and are treated in the next section.
注意:このセクションでは、独自の脅威としてスプーフィングに対処に焦点を当てています。しかし、なりすましは、他の脅威アクションの条件を作成します。他の脅威アクションが改ざんとみなされ、次のセクションで扱われます。
Falsification is an action whereby an attacker sends false routing information. To falsify the routing information, an attacker has to be either the originator or a forwarder of the routing information. It cannot be a receiver-only. False routing information describes the network in an unrealistic fashion, whether or not intended by the authoritative network administrator.
改ざんは、攻撃者が偽のルーティング情報を送信することにより、アクションです。ルーティング情報を改ざんするために、攻撃者が発信またはルーティング情報の転送機能のいずれかでなければなりません。これは、受信機専用にすることはできません。偽のルーティング情報は、権威、ネットワーク管理者が意図したかどうかにかかわらず、非現実的な方法でネットワークを記述する。
An originator of routing information can launch the falsifications that are described in the next sections.
ルーティング情報の発信は、次のセクションで説明されている改ざんを起動することができます。
Overclaiming occurs when a Byzantine router or outsider advertises its control of some network resources, while in reality it does not, or if the advertisement is not authorized. This is given in Figures 2 and 3.
現実には、それはそうではない、または広告が許可されていない場合は、ビザンチンルータや部外者には、いくつかのネットワークリソースの制御をアドバタイズするときOverclaimingが発生します。これは、図2及び図3に示されています。
+-------------+ +-------+ +-------+
| Internet |---| Rtr B |---| Rtr A |
+------+------+ +-------+ +---+---+
| .
| |
| .
| *-+-*
+-------+ / \
| Rtr C |------------------* N 1 *
+-------+ \ /
*---*
Figure 2. Overclaiming-1
図2 Overclaiming-1
+-------------+ +-------+ +-------+
| Internet |---| Rtr B |---| Rtr A |
+------+------+ +-------+ +-------+
|
|
|
| *---*
+-------+ / \
| Rtr C |------------------* N 1 *
+-------+ \ /
*---*
Figure 3. Overclaiming-2
図3 Overclaiming-2
The above figures provide examples of overclaiming. Router A, the attacker, is connected to the Internet through Router B. Router C is authorized to advertise its link to Network 1. In Figure 2, Router A controls a link to Network 1 but is not authorized to advertise it. In Figure 3, Router A does not control such a link. But in either case, Router A advertises the link to the Internet, through Router B.
上記図面はoverclaimingの例を提供します。ルータB.ルータCは、図2ではネットワーク1へのリンクをアドバタイズすることを許可されているを介してルータA、攻撃者は、インターネットに接続され、ルータAは、ネットワーク1へのリンクを制御するが、それを宣伝することを許可されていません。図3では、ルータAは、リンクを制御しません。しかし、いずれの場合には、ルータAはルータBを介して、インターネットへのリンクをアドバタイズ
Both Byzantine routers and outsiders can overclaim network resources. The consequences of overclaiming include the following:
ビザンチンルータと外部の両方がネットワークリソースをoverclaimすることができます。 overclaimingの結果は次のものがあります。
o Usurpation of the overclaimed network resources. In Figures 2 and 3, usurpation of Network 1 can occur when Router B (or other routers on the Internet not shown in the figures) believes that Router A provides the best path to reach the Network 1. As a result, routers forward data traffic destined to Network 1 to Router A. The best result is that the data traffic uses an unauthorized path, as in Figure 2. The worst case is that the data never reaches the destination Network 1, as in Figure 3. The ultimate consequence is that Router A gains control over Network 1's services, by controlling the data traffic.
overclaimedネットワークリソースのO簒奪。ルータB(または不図示のインターネット上の他のルータ)がルータAが最良の結果としてネットワーク1に到達する経路、ルータ順方向データ・トラフィックを提供すると信じているときに図2および図3において、ネットワーク1の強奪が発生する可能性がルータAにネットワーク1宛の最悪の場合には、究極の結果は、ということである。図3のようにデータは、宛先ネットワーク1に到達したことがないということである。図2のように最良の結果は、データトラフィックが不正なパスを使用していることですルータAの利益は、データトラフィックを制御することで、ネットワーク1のサービスを介して制御します。
o Usurpation of the legitimate advertising routers. In Figures 2 and 3, Router C is the legitimate advertiser of Network 1. By overclaiming, Router A also controls (partially or totally) the services/functions provided by the Router C. (This is NOT a disruption, as Router C is operating in a way intended by the authoritative network administrator.)
合法的な広告ルータの簒奪O。図2及び図3に、ルータCはoverclaimingによって、ネットワーク1の正当な広告主であり、ルータAは、ルータCが動作しているように、これは、破壊されていない場合((部分的または全体的に)ルータC.によって提供されるサービス/機能を制御します権威あるネットワーク管理者が意図した方法で)。
o Deception of other routers. In Figures 2 and 3, Router B, or other routers on the Internet, might be deceived into believing that the path through Router A is the best.
O他のルータの詐欺。図2及び図3に、ルータB、またはインターネット上の他のルータは、ルータAを通る経路が最良であると信じるようにだまされる可能性があります。
o Disruption of data planes on some routers. This might happen to routers that are on the path that is used by other routers to reach the overclaimed network resources through the attacker. In Figures 2 and 3, when other routers on the Internet are deceived, they will forward the data traffic to Router B, which might be overloaded.
一部のルータ上のデータプレーンのOの破壊。これは、攻撃者によってoverclaimedネットワークリソースに到達するために、他のルータによって使用されるパス上にあるルータに起こるかもしれません。インターネット上の他のルータがだまされたときに、図2および図3では、彼らが過負荷にされる可能性がありますルータBにデータトラフィックを転送します。
The threat consequence zone varies based on the consequence:
脅威の結果ゾーンは、その結果に基づいて異なります
o Where usurpation is concerned, the consequence zone covers the network resources that are overclaimed by the attacker (Network 1 in Figures 2 and 3), and the routers that are authorized to advertise the network resources but lose the competition against the attacker (Router C in Figures 2 and 3).
ルータC(O簒奪が懸念される場合、その結果ゾーンが(図2、図3にネットワーク1)攻撃者によってoverclaimedされているネットワークリソースをカバーし、ネットワークリソースを宣伝することが許可されているルータが、攻撃者との競争を失います図2および3)です。
o Where deception is concerned, the consequence zone covers the routers that do believe the attacker's advertisement and use the attacker to reach the claimed networks (Router B and other deceived routers on the Internet in Figures 2 and 3).
詐欺が関係している場合は、O、結果ゾーンが攻撃者の広告を信じていると主張したネットワーク(ルータBおよび図2と図3で、インターネット上の他だまさルータ)に達するために、攻撃者を使用しないルータをカバーしています。
o Where disruption is concerned, the consequence zone includes the routers that are on the path of misdirected data traffic (Router B in Figures 2 and 3 and other routers in the Internet on the path of the misdirected traffic).
破壊が懸念される場合、O、結果ゾーンは、(図2及び図3と誤っトラフィックの経路上のインターネット内の他のルータのルータB)誤ったデータトラフィックの経路上にあるルータを含みます。
The threat consequence will not cease when the attacker stops overclaiming and will totally disappear only when the routing tables are converged. As a result, the consequence period is longer than the duration of the overclaiming.
攻撃者はoverclaiming停止し、完全にルーティングテーブルが収束されている場合にのみ表示されなくなりますとき、脅威の結果は中止しません。その結果、結果として期間はoverclaimingの持続時間よりも長いです。
A misclaiming threat is defined as an action whereby an attacker is advertising some network resources that it is authorized to control, but in a way that is not intended by the authoritative network administrator. For example, it may be advertising inappropriate link costs in an OSPF LSA. An attacker can eulogize or disparage when advertising these network resources. Byzantine routers can misclaim network resources.
misclaimingの脅威はなく、権威あるネットワーク管理者が意図していない方法で、攻撃者はこれを制御することが許可されているいくつかのネットワークリソースをアドバタイズさせるアクションとして定義されています。例えば、それは、OSPF LSAでの不適切なリンクコストを宣伝することができます。攻撃者は、誉めるまたはこれらのネットワークリソースをアドバタイズするときに非難することができます。ビザンチンルータは、ネットワークリソースをmisclaimすることができます。
The threat consequences of misclaiming are similar to the consequences of overclaiming.
misclaimingの脅威への影響はoverclaimingの結果に類似しています。
The consequence zone and period are also similar to those of overclaiming.
その結果ゾーンと期間もoverclaimingのものと同様です。
In each routing protocol, routers that forward routing protocol messages are expected to leave some fields unmodified and to modify other fields in certain circumscribed ways. The fields to be modified, the possible new contents of those fields and their computation from the original fields, the fields that must remain unmodified, etc. are all detailed in the protocol specification. They may vary depending on the function of the router or its network environment. For example, in RIP, the forwarder must modify the routing information by increasing the hop count by 1. On the other hand, a forwarder must not modify any field of the type 1 LSA in OSPF except the age field. In general, forwarders in distance vector routing protocols are authorized to and must modify the routing information, while most forwarders in link state routing protocols are not authorized to and must not modify most routing information.
各ルーティングプロトコルでは、ルーティング・プロトコル・メッセージを転送するルータは、未修飾いくつかのフィールドを残しておよび特定の外接方法で他のフィールドを変更することが期待されます。フィールド等可能新しいこれらのフィールドの内容と元のフィールドからの計算、未修飾のままでなければならないフィールドは、すべてのプロトコル仕様に詳述され、変更されます。彼らは、ルータまたはそのネットワーク環境の機能に応じて異なる場合があります。例えば、RIPで、フォワーダが一方1.でホップ数を増やすことでルーティング情報を変更する必要があり、フォワーダはageフィールドを除くOSPFでタイプ1 LSAのいずれかのフィールドを変更してはなりません。リンクステートルーティングプロトコルで最もフォワーダをする権限がありません、ほとんどのルーティング情報を変更してはならないしながら、一般的に、距離ベクトルルーティングプロトコルでフォワーダは、に認可され、ルーティング情報を変更する必要があります。
As a forwarder authorized to modify routing messages, an attacker might also falsify by not forwarding routing information to other authorized routers as required.
フォワーダがルーティングメッセージを修正することを許可するように、攻撃者はまた、必要に応じて他の許可ルータにルーティング情報を転送しないことにより、改ざん可能性があります。
This is defined as an action whereby the attacker modifies route attributes in an incorrect manner. For example, in RIP, the attacker might increase the path cost by two hops instead of one. In BGP, the attacker might delete some AS numbers from the AS PATH.
これは、攻撃者が不正な方法でルート属性を変更することにより作用として定義されます。例えば、RIPで、攻撃者は2つのホップの代わりに、1でパスコストが増加する可能性があります。 BGPでは、攻撃者は、ASパスからいくつかのAS番号を削除する場合があります。
Where forwarding routing information should not be modified, an attacker can launch the following falsifications:
転送経路情報が変更されるべきではない場合、攻撃者は次の偽造を起動することができます。
o Deletion. Attacker deletes valid data in the routing message.
削除O。攻撃者は、ルーティングメッセージに有効なデータを削除します。
o Insertion. Attacker inserts false data in the routing message.
O挿入。攻撃者は、ルーティングメッセージに誤ったデータを挿入します。
o Substitution. Attacker replaces valid data in the routing message with false data.
Oの置換。攻撃者は、偽のデータを持つルーティングメッセージに有効なデータを置き換えます。
A forwarder can also falsify data by replaying out-dated data in the routing message as current data.
フォワーダは、現在のデータとしてルーティングメッセージに外付けデータを再生することにより、データを改ざんすることができます。
All types of attackers, outsiders and Byzantine routers, can falsify the routing information when they forward the routing messages.
彼らは、ルーティングメッセージを転送する場合、攻撃者、部外者とビザンチンルータのすべての種類は、ルーティング情報を改ざんすることができます。
The threat consequences of these falsifications by forwarders are similar to those caused by originators: usurpation of some network resources and related routers; deception of routers using false paths; and disruption of data planes of routers on the false paths. The threat consequence zone and period are also similar.
フォワーダーによってこれらの改ざんの脅威への影響は、オリジネーターによって引き起こされるものと類似している:いくつかのネットワークリソースおよび関連ルータの強奪。偽のパスを使用して、ルータの欺瞞。偽の経路上のルータのデータ面の破壊。脅威の結果ゾーンと期間も同様です。
Interference is a threat action whereby an attacker inhibits the exchanges by legitimate routers. The attacker can do this by adding noise, by not forwarding packets, by replaying out-dated packets, by inserting or corrupting messages, by delaying responses, by denial of receipts, or by breaking synchronization.
干渉は、攻撃者が正当なルータによって交換を阻害することにより、脅威アクションです。攻撃者は、パケットを転送しないことにより、外付けのパケット再生することで、メッセージを挿入または破損により、応答を遅延させることにより、領収書の拒否によって、または同期を壊すことによって、ノイズを追加することによってこれを行うことができます。
Byzantine routers can slow down their routing exchanges or induce flapping in the routing sessions of legitimate neighboring routers.
ビザンチンルータは、そのルーティング交換を減速または正当な隣接ルータのルーティングセッションで羽ばたき誘導することができます。
The consequence of interference is the disruption of routing operations.
干渉の結果は、ルーティング動作の中断です。
The consequence zone of interference depends on the severity of the interference. If the interference results in consequences at the neighbor maintenance level, then there may be changes in the database, resulting in network-wide consequences.
干渉の結果ゾーンは、干渉の重症度に依存します。隣接メンテナンスレベルの結果に干渉をもたらす場合、ネットワーク全体の結果が得られ、データベースに変更があってもよいです。
The threat consequences might disappear as soon as the interference is stopped or might not totally disappear until the networks have converged. Therefore, the consequence period is equal to or longer than the duration of the interference.
脅威の結果は干渉が停止しているか、ネットワークが収束するまで完全に消えない場合がありますとすぐに消えるかもしれません。したがって、結果の期間は、干渉の継続時間以上です。
Overload is defined as a threat action whereby attackers place excess burden on legitimate routers. For example, it is possible for an attacker to trigger a router to create an excessive amount of state that other routers within the network are not able to handle. In a similar fashion, it is possible for an attacker to overload database routing exchanges and thus to influence the routing operations.
過負荷は、攻撃者が正当なルータに過剰な負担を置くことにより、脅威アクションとして定義されています。攻撃者がネットワーク内の他のルータが処理することができない状態の過剰な量を作成するためにルータをトリガするために、例えば、それが可能です。攻撃者は、データベースのルーティング交換をオーバーロードするために、したがって、ルーティング動作に影響を与えるために同様の方法で、それが可能です。
This entire document is security related. Specifically, the document addresses security of routing protocols as associated with threats to those protocols. In a larger context, this work builds upon the recognition of the IETF community that signaling and control/management planes of networked devices need strengthening. Routing protocols can be considered part of that signaling and control plane. However, to date, routing protocols have largely remained unprotected and open to malicious attacks. This document discusses inter- and intra-domain routing protocol threats that are currently known and lays the foundation for other documents that will discuss security requirements for routing protocols. This document is protocol independent.
この全体のドキュメントは、セキュリティ関連です。これらのプロトコルの脅威に関連するものとして具体的には、文書は、ルーティングプロトコルのセキュリティに対処します。より大きな文脈では、この作業は、ネットワーク接続されたデバイスのシグナリングと制御/管理プレーンを強化する必要がIETF共同体の認識に基づいて構築します。ルーティングプロトコルは、シグナリング及び制御プレーンの一部と考えることができます。しかし、現在までに、ルーティングプロトコルは、主に保護されていないと、悪意のある攻撃に開いて残っています。この文書では、現在知られているとルーティングプロトコルのためのセキュリティ要件を議論する他の文書の基盤としている間およびドメイン内のルーティングプロトコルの脅威について説明します。このドキュメントは、プロトコルに依存しています。
[1] Shirey, R., "Internet Security Glossary", RFC 2828, May 2000.
[1] Shirey、R.、 "インターネットセキュリティ用語集"、RFC 2828、2000年5月。
[2] Rosen, E., "Vulnerabilities of network control protocols: An example", RFC 789, July 1981.
[2]ローゼン、E.、 "ネットワーク制御プロトコルの脆弱性:例"、RFC 789、2011 1981。
[3] Perlman, R., "Network Layer Protocols with Byzantine Robustness", PhD thesis, MIT LCS TR-429, October 1988.
[3]・パールマン、R.、 "ビザンチン堅牢性を持つネットワーク層プロトコル"、博士論文、MIT LCS TR-429、1988年10月。
[4] Moy, J., "OSPF Version 2", STD 54, RFC 2328, April 1998.
[4]モイ、J.、 "OSPFバージョン2"、STD 54、RFC 2328、1998年4月。
[5] Callon, R., "Use of OSI IS-IS for routing in TCP/IP and dual environments", RFC 1195, December 1990.
[5] Callon、R.は、 "OSIの使用は、TCP / IPやデュアル環境でのルーティングのためIS-IS"、RFC 1195、1990年12月。
[6] Malkin, G., "RIP Version 2", STD 56, RFC 2453, November 1998.
[6]マルキン、G.、 "RIPバージョン2"、STD 56、RFC 2453、1998年11月。
[7] Rekhter, Y., Li, T., and S. Hares, "A Border Gateway Protocol 4 (BGP-4)", RFC 4271, January 2006.
[7] Rekhter、Y.、李、T.、およびS.野兎、 "ボーダーゲートウェイプロトコル4(BGP-4)"、RFC 4271、2006年1月。
[8] ISO 10589, "Intermediate System to Intermediate System intra-domain routeing information exchange protocol for use in conjunction with the protocol for providing the connectionless-mode network service (ISO 8473)", ISO/IEC 10589:2002.
「コネクションレスモードのネットワークサービスを提供するためのプロトコルと一緒に使用するための情報交換プロトコルをrouteingする中間システムイントラドメインに中間システム(ISO 8473)」[8] ISO 10589、ISO / IEC 10589:2002。
Appendix A. Acknowledgments
付録A.謝辞
This document would not have been possible save for the excellent efforts and teamwork characteristics of those listed here.
このドキュメントでは、ここに挙げたの優れた努力とチームワークの特性のために保存可能ではなかったでしょう。
o Dennis Beard, Nortel o Ayman Musharbash, Nortel o Jean-Jacques Puig, int-evry, France o Paul Knight, Nortel o Elwyn Davies, Nortel o Ameya Dilip Pandit, Graduate student, University of Missouri o Senthilkumar Ayyasamy, Graduate student, University of Missouri o Stephen Kent, BBN o Tim Gage, Cisco Systems o James Ng, Cisco Systems o Alvaro Retana, Cisco Systems
ポール・ナイト、飴屋ディリップパンディット、大学院生Oエルウィン・デイヴィス、ノーテルOノーテル、Senthilkumar Ayyasamy、大学院生Oミズーリ大学、大学〇〇デニス・ビアード、ジャン・ジャック・プイグ、INT-エブリーOアイマンMusharbash、ノーテルOノーテル、フランスティム・ゲージ、ジェームスンOシスコシステムズ、アルバロRetana Oシスコシステムズ、シスコシステムズOスティーブン・ケント、BBN Oミズーリ州の
Appendix B. Acronyms
付録B.略語
AS - Autonomous system. Set of routers under a single technical administration. Each AS normally uses a single interior gateway protocol (IGP) and metrics to propagate routing information within the set of routers. Also called routing domain.
AS - 自律システム。単一の技術的管理の下ルータのセット。各ASは、通常、ルータのセット内のルーティング情報を伝播する単一内部ゲートウェイプロトコル(IGP)とメトリックを使用します。また、ルーティングドメインと呼ばれます。
AS-Path - In BGP, the route to a destination. The path consists of the AS numbers of all routers a packet must go through to reach a destination.
AS-パス - BGPでは、目的地までのルート。パスは、パケットが宛先に到達するために通過しなければならないすべてのルータのAS番号で構成されています。
BGP - Border Gateway Protocol. Exterior gateway protocol used to exchange routing information among routers in different autonomous systems.
BGP - ボーダーゲートウェイプロトコル。外部ゲートウェイプロトコルは、異なる自律システム内のルータ間でルーティング情報を交換するために使用されます。
LSA - Link-State Announcement
LSA - リンクステートのお知らせ
NLRI - Network Layer Reachability Information. Information that is carried in BGP packets and is used by MBGP.
NLRI - ネットワーク層到達可能性情報。 BGPパケットで運ばれ、MBGPで使用される情報。
OSPF - Open Shortest Path First. A link-state IGP that makes routing decisions based on the shortest-path-first (SPF) algorithm (also referred to as the Dijkstra algorithm).
OSPF - オープンショーテストパスファースト。 (また、ダイクストラ法と呼ばれる)最短パス優先(SPF)アルゴリズムに基づいてルーティング決定を行うリンク状態IGP。
Authors' Addresses
著者のアドレス
Abbie Barbir Nortel 3500 Carling Avenue Nepean, Ontario K2H 8E9 Canada
アビーBarbirノーテル3500カーリングアベニューオタワ、オンタリオK2H 8E9カナダ
EMail: abbieb@nortel.com
メールアドレス:abbieb@nortel.com
Sandy Murphy Sparta, Inc. 7110 Samuel Morse Drive Columbia, MD USA
サンディマーフィースパルタ株式会社7110サミュエル・モールスドライブコロンビア、MD USA
Phone: 443-430-8000 EMail: sandy@sparta.com
電話:443-430-8000 Eメール:sandy@sparta.com
Yi Yang Cisco Systems 7025 Kit Creek Road RTP, NC 27709 USA
李ヤンシスコシステムズ7025キットクリーク道路RTP、NC 27709 USA
EMail: yiya@cisco.com
メールアドレス:yiya@cisco.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
著作権(C)インターネット協会(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディタ機能のための資金は、IETF管理サポート活動(IASA)によって提供されます。