Internet Engineering Task Force (IETF) H. Moustafa
Request for Comments: 5713 France Telecom
Category: Informational H. Tschofenig
ISSN: 2070-1721 Nokia Siemens Networks
S. De Cnodder
Alcatel-Lucent
January 2010
Security Threats and Security Requirements for the
Access Node Control Protocol (ANCP)
Abstract
抽象
The Access Node Control Protocol (ANCP) aims to communicate Quality of Service (QoS)-related, service-related, and subscriber-related configurations and operations between a Network Access Server (NAS) and an Access Node (e.g., a Digital Subscriber Line Access Multiplexer (DSLAM)). The main goal of this protocol is to allow the NAS to configure, manage, and control access equipment, including the ability for the Access Nodes to report information to the NAS.
アクセスノード制御プロトコル(ANCP)は、サービスの品質(QoS)は、ネットワークアクセスサーバ(NAS)とアクセスノード(例えば、デジタル加入者線との間に、サービス関連、および加入者関連の設定や操作を - 関連通信することを目指してアクセスマルチプレクサ(DSLAM))。このプロトコルの主な目的は、NASはNASに情報を報告するアクセスノードのための能力を含む、アクセス機器の設定、管理、および制御することができるようにすることです。
This present document investigates security threats that all ANCP nodes could encounter. This document develops a threat model for ANCP security, with the aim of deciding which security functions are required. Based on this, security requirements regarding the Access Node Control Protocol are defined.
この本書では、すべてのANCPノードが遭遇する可能性があり、セキュリティ上の脅威を調査します。この文書では、セキュリティ機能が必要とされているかを決定することを目的として、ANCPセキュリティのための脅威モデルを開発しています。これに基づき、アクセスノード制御プロトコルに関するセキュリティ要件が定義されています。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5713.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5713で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction ....................................................3
2. Specification Requirements ......................................3
3. System Overview and Threat Model ................................4
4. Objectives of Attackers .........................................7
5. Potential Attacks ...............................................7
5.1. Denial of Service (DoS) ....................................7
5.2. Integrity Violation ........................................8
5.3. Downgrading ................................................8
5.4. Traffic Analysis ...........................................8
5.5. Management Attacks .........................................8
6. Attack Forms ....................................................9
7. Attacks against ANCP ...........................................10
7.1. Dynamic Access-Loop Attributes ............................11
7.2. Access-Loop Configuration .................................12
7.3. Remote Connectivity Test ..................................14
7.4. Multicast .................................................14
8. Security Requirements ..........................................16
9. Security Considerations ........................................16
10. Acknowledgments ...............................................17
11. References ....................................................17
11.1. Normative References .....................................17
11.2. Informative References ...................................17
The Access Node Control Protocol (ANCP) aims to communicate QoS-related, service-related, and subscriber-related configurations and operations between a Network Access Server (NAS) and an Access Node (e.g., a Digital Subscriber Line Access Multiplexer (DSLAM)).
アクセスノード制御プロトコル(ANCP)は、QoS関連、サービス関連、およびネットワーク・アクセス・サーバ(NAS)とアクセスノード(例えば、デジタル加入者線アクセスマルチプレクサ(DSLAM)との間に、加入者関連の構成と動作を伝えることを目的と)。
[ANCP-FRAME] illustrates the framework, usage scenarios, and general requirements for ANCP. This document focuses on describing security threats and deriving security requirements for the Access Node Control Protocol, considering the ANCP use cases defined in [ANCP-FRAME] as well as the guidelines for IETF protocols' security requirements given in [RFC3365]. Section 5 and Section 6, respectively, describe the potential attacks and the different attack forms that are liable to take place within ANCP, while Section 7 applies the described potential attacks to ANCP and its different use cases. Security policy negotiation, including authentication and authorization to define the per-subscriber policy at the policy/AAA (Authentication, Authorization, and Accounting) server, is out of the scope of this work. As a high-level summary, the following aspects need to be considered:
[ANCPフレームは】フレームワーク、使用シナリオ、およびANCPのための一般的な要件を示しています。この文書では、セキュリティ上の脅威を説明し、アクセスノード制御プロトコルのためのセキュリティ要件を導出する、[ANCP-FRAME]で定義されたANCPのユースケースと同様に、[RFC3365]で与えられたIETFプロトコルのセキュリティ要件のためのガイドラインを考慮に焦点を当てています。それぞれ第5節と第6節、第7節はANCPとそのさまざまな使用例に説明した潜在的な攻撃を適用しながら、潜在的な攻撃とANCP内で行わやすい異なる攻撃の形を記述する。政策/ AAA(認証、許可、およびアカウンティング)サーバ側で加入者ごとのポリシーを定義するための認証および承認などのセキュリティポリシー交渉は、この作業の範囲外です。高レベルの概要としては、以下の点を考慮する必要があります。
Message Protection:
メッセージ保護:
Signaling message content can be protected against eavesdropping, modification, injection, and replay while in transit. This applies to both ANCP headers and payloads.
シグナリングメッセージの内容は、転送中に盗聴、改変、注射、及びリプレイ保護することができます。これは、ANCPヘッダとペイロードの両方に適用されます。
Prevention against Impersonation:
偽装に対する予防:
It is important that protection be available against a device impersonating an ANCP node (i.e., an unauthorized device generating an ANCP message and pretending it was generated by a valid ANCP node).
それは保護ANCPノードになりすましデバイスに対して利用可能であることが重要である(即ち、不正なデバイスANCPメッセージを生成し、それが有効なANCPノードによって生成されたふり)。
Prevention of Denial-of-Service Attacks:
サービス拒否攻撃の防止:
ANCP nodes and the network have finite resources (state storage, processing power, bandwidth). It is important to protect against exhaustion attacks on these resources and to prevent ANCP nodes from being used to launch attacks on other network elements.
ANCPノードおよびネットワークは有限のリソース(状態記憶、処理能力、帯域幅)を有します。これらのリソースの枯渇攻撃から保護し、他のネットワーク要素への攻撃を起動するために使用されているからANCPノードを防止することが重要です。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119], with the
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているようにして、解釈されるべきで
qualification that, unless otherwise stated, they apply to the design of the Access Node Control Protocol (ANCP), not its implementation or application.
特に断りのない限り、資格は、彼らがアクセスノード制御プロトコル(ANCP)ではなく、その実装やアプリケーションの設計に適用されます。
The relevant components are described in Section 3.
関連する構成要素は、セクション3に記載されています。
As described in [ANCP-FRAME] and schematically shown in Figure 1, the Access Node Control system consists of the following components:
[ANCP-FRAME]に記載されており、図1に概略的に示されているように、アクセスノード制御システムは以下の成分からなります:
Network Access Server (NAS):
ネットワークアクセスサーバー(NAS):
A NAS provides access to a service (e.g., network access) and operates as a client of the AAA protocol. The AAA client is responsible for passing authentication information to designated AAA servers and then acting on the response that is returned.
NASは、サービス(例えば、ネットワークアクセス)へのアクセスを提供し、AAAプロトコルのクライアントとして動作します。 AAAクライアントは、指定されたAAAサーバに認証情報を渡した後、返された応答に作用する責任があります。
Authentication, Authorization, and Accounting (AAA) server:
認証、許可、アカウンティング(AAA)サーバ。
A AAA server is responsible for authenticating users, authorizing access to services, and returning authorization information (including configuration parameters) back to the AAA client to deliver service to the user. As a consequence, service usage accounting might be enabled and information about the user's resource usage will be sent to the AAA server.
AAAサーバは、ユーザを認証サービスへのアクセスを許可し、ユーザーにサービスを提供するためにAAAクライアントに戻す(設定パラメータを含む)、認可情報を返すために責任があります。その結果、サービスの利用会計は有効かもしれないと、ユーザーのリソース使用状況に関する情報は、AAAサーバに送信されます。
Access Node (AN):
アクセスノード(AN):
The AN is a network device, usually located at a service provider central office or street cabinet, that terminates access-loop connections from subscribers. In case the access loop is a Digital Subscriber Line (DSL), this is often referred to as a DSL Access Multiplexer (DSLAM).
ANは、加入者からのアクセスループ接続を終了し、通常はサービスプロバイダセントラルオフィスや通りキャビネットに配置されたネットワーク機器、です。場合は、アクセスループは、デジタル加入者線(DSL)で、これは多くの場合、DSLアクセスマルチプレクサ(DSLAM)と呼ばれています。
Customer Premises Equipment (CPE):
顧客宅内機器(CPE):
A CPE is a device located inside a subscriber's premise that is connected at the LAN side of the Home Gateway (HGW).
CPEは、ホームゲートウェイ(HGW)のLAN側に接続されている加入者の前提の内側にデバイスです。
Home Gateway (HGW):
ホームゲートウェイ(HGW):
The HGW connects the different Customer Premises Equipments (CPEs) to the Access Node and the access network. In case of DSL, the HGW is a DSL Network Termination (NT) that could either operate as a layer 2 bridge or as a layer 3 router. In the latter case, such a device is also referred to as a Routing Gateway (RG).
HGWは、アクセスノードとアクセスネットワークに異なる加入者宅内機器(CPEの)を接続します。 DSLの場合には、HGWは、レイヤ2ブリッジとしてまたはレイヤ3ルータとして動作することができるいずれかのDSLネットワーク終端(NT)です。後者の場合には、そのようなデバイスはまた、ルーティングゲートウェイ(RG)と呼ばれます。
Aggregation Network:
集約ネットワーク:
The aggregation network provides traffic aggregation from multiple ANs towards the NAS. ATM or Ethernet transport technologies can be used.
アグリゲーションネットワークは、NASへの複数のANからのトラフィック集約を提供します。 ATMまたはイーサネット・トランスポート技術を使用することができます。
For the threat analysis, this document focuses on the ANCP communication between the Access Node and the NAS. However, communications with the other components (such as HGW, CPE, and the AAA server) play a role in the understanding of the system architecture and of what triggers ANCP communications. Note that the NAS and the AN might belong to two different administrative realms. The threat model and the security requirements in this document consider this latter case.
脅威の分析については、このドキュメントでは、アクセス・ノードとNAS間のANCP通信に焦点を当てています。しかしながら、(例えば、HGW、CPE、およびAAAサーバのような)他のコンポーネントとの通信は、システムアーキテクチャのとANCP通信をトリガするかの理解において役割を果たす。 NASとANは、2つの異なる管理のレルムに属しているかもしれないことに注意してください。脅威モデルとこの文書のセキュリティ要件は、この後者の場合を考えます。
+--------+
| AAA |
| Server |
+--------+
|
|
+---+ +---+ +------+ +-----------+ +-----+ +--------+
|CPE|---|HGW|---| | |Aggregation| | | | |
+---+ +---+ |Access| | Network | | | |Internet|
| Node |----| |----| NAS |---| / |
+---+ +---+ | (AN) | | | | | |Regional|
|CPE|---|HGW|---| | | | | | |Network |
+---+ +---+ +------+ +-----------+ +-----+ +--------+
Figure 1: System Overview
図1:システムの概要
In the absence of an attack, the NAS receives configuration information from the AAA server related to a CPE attempting to access the network. A number of parameters, including Quality of Service information, need to be conveyed to the Access Node in order to become effective. The Access Node Control Protocol is executed between the NAS and the AN to initiate control requests. The AN returns responses to these control requests and provides information reports.
攻撃の非存在下で、NASは、ネットワークにアクセスしようとCPEに関連するAAAサーバから構成情報を受信します。サービス情報の品質を含むパラメータの数は、有効になるために、アクセスノードに伝達する必要があります。アクセスノード制御プロトコルは、制御要求を開始するためにNASとANとの間で行われます。 ANは、これらの制御要求に対する応答を返し、情報のレポートを提供します。
For this to happen, the following individual steps must occur:
そのためには、以下の個々のステップが発生しなければなりません。
o The AN discovers the NAS.
oをANは、NASを検出します。
o The AN needs to start the protocol communication with the NAS to announce its presence.
O ANは、その存在を発表するNASとのプロトコル通信を開始する必要があります。
o The AN and the NAS perform a capability exchange.
ANとNAS oは能力交換を行います。
o The NAS sends requests to the AN.
O NASは、ANに要求を送信します。
o The AN processes these requests, authorizes the actions, and responds with the appropriate answer. In order to fulfill the commands, it might be necessary for the AN to communicate with the HGW or other nodes, for example, as part of a keep-alive mechanism.
ANは、これらの要求を処理O、アクションを許可し、適切な答えで応答します。 ANは、キープアライブ機構の一部として、例えば、HGWまたは他のノードと通信するためのコマンドを満たすために、それが必要かもしれません。
o The AN provides status reports to the NAS.
O ANは、NASにステータスレポートを提供します。
Attackers can be:
攻撃者は、ことができます:
o off-path, i.e., they cannot see the messages exchanged between the AN and the NAS;
Oオフパス、すなわち、それらは、メッセージがANとNASの間で交換さ見ることができません。
o on-path, i.e., they can see the messages exchanged between the AN and the NAS.
O上のパス、すなわち、それらは、メッセージがANとNASの間で交換さ見ることができます。
Both off-path and on-path attackers can be:
どちらのパスオフとオンパス攻撃者がすることができます:
o passive, i.e., they do not participate in the network operation but rather listen to all transfers to obtain the maximum possible information;
受動O、即ち、それらはネットワーク動作に関与しない、むしろ可能な最大の情報を得るためにすべての転送に耳を傾けます。
o active, i.e., they participate in the network operation and can inject falsified packets.
O活性、すなわち、それらはネットワーク動作に参加し、偽造パケットを注入することができます。
We assume the following threat model:
我々は、次の脅威モデルを前提としています。
o An off-path adversary located at the CPE or the HGW.
CPEまたはHGWに位置するオフパス敵O。
o An off-path adversary located on the Internet or a regional network that connects one or more NASes and associated access networks to Network Service Providers (NSPs) and Application Service Providers (ASPs).
Oオフパス敵対者はインターネットまたはネットワークサービスプロバイダ(NSPの)およびアプリケーションサービスプロバイダ(ASP)への1個のまたは複数のNASと関連するアクセスネットワークを接続する地域ネットワークに位置します。
o An on-path adversary located at network elements between the AN and the NAS.
ANとNASの間のネットワーク要素に位置するオンパス敵O。
o An on-path adversary taking control over the NAS.
O NASのコントロールを取って上のパス敵。
o An on-path adversary taking control over the AN.
O ANの制御を取って上のパス敵。
Attackers may direct their efforts either against an individual entity or against a large portion of the access network. Attacks fall into three classes:
攻撃者は、個々のエンティティに対して、またはアクセスネットワークの大部分に対していずれかの努力を指示することができます。攻撃は、3つのクラスに分類されます:
o Attacks to disrupt the communication for individual customers.
個々の顧客のための通信を妨害するO攻撃。
o Attacks to disrupt the communication of a large fraction of customers in an access network. These also include attacks to the network itself or a portion of it, such as attacks to disrupt the network services or attacks to destruct the network functioning.
O攻撃は、アクセスネットワークの顧客の大部分の通信を破壊します。これらはまた、このようなネットワークの機能を破壊するために、ネットワークサービスや攻撃を破壊する攻撃などのネットワーク自体またはその一部に攻撃を、含まれています。
o Attacks to gain profit for the attacker through modifying the QoS settings. Also, through replaying old packets (of another privileged client, for instance), an attacker can attempt to configure a better QoS profile on its own DSL line, increasing its own benefit.
O攻撃は、QoSの設定を変更することによって、攻撃者の利益を得るために。また、(例えば、別の特権クライアントの)古いパケットを再生を通じて、攻撃者は、自身の利益を増やし、独自のDSL回線上の優れたQoSプロファイルを設定しようとすることができます。
This section discusses the different types of attacks against ANCP, while Section 6 describes the possible means of their occurrence.
第6節は、その発生の可能な手段を説明しながら、このセクションでは、ANCPに対する攻撃の異なる種類について説明します。
ANCP is mainly susceptible to the following types of attacks:
ANCPは攻撃の次のタイプに主に影響を受けやすいです。
A number of denial-of-service (DoS) attacks can cause ANCP nodes to malfunction. When state is established or certain functions are performed without requiring prior authorization, there is a chance to mount denial-of-service attacks. An adversary can utilize this fact to transmit a large number of signaling messages to allocate state at nodes and to cause consumption of resources. Also, an adversary, through DoS, can prevent certain subscribers from accessing certain services. Moreover, DoS can take place at the AN or the NAS themselves, where it is possible for the NAS (or the AN) to intentionally ignore the requests received from the AN (or the NAS) through not replying to them. This causes the sender of the request to retransmit the request, which might allocate additional state at the sender side to process the reply. Allocating more state may result in memory depletion.
サービス拒否(DoS)攻撃の数は、誤動作にANCPノードを引き起こす可能性があります。状態が確立されるか、特定の機能が、事前の承認を必要とせずに実行された場合、サービス拒否攻撃をマウントするチャンスがあります。敵は、ノードの状態を割り当てるために、資源の消費を引き起こすためにシグナリングメッセージを大量に送信するためにこの事実を利用することができます。また、敵は、DoS攻撃を通じて、特定のサービスへのアクセス、特定の加入者を防ぐことができます。また、DoS攻撃は、意図的にそれらに返信しませを通じてAN(またはNAS)から受信した要求を無視するためにANまたはNAS自身、それはNASのために可能である(またはAN)で行うことができます。これは、応答を処理するために、送信者側で追加の状態を割り当てるかもしれない要求を、再送要求の送信者が発生します。より多くの状態を割り当てると、メモリの枯渇をもたらすことができます。
Adversaries gaining illegitimate access on the transferred messages can act on these messages, causing integrity violation. Integrity violation can cause unexpected network behavior, leading to a disturbance in the network services as well as in the network functioning.
転送されるメッセージの違法なアクセスを獲得する敵は、整合性違反を引き起こし、これらのメッセージに基づいて行動することができます。整合性違反は、ネットワークサービス内だけでなく、ネットワーク機能の乱れにつながる、予期しないネットワーク動作を引き起こす可能性があります。
Protocols may be useful in a variety of scenarios with different security and functional requirements. Different parts of a network (e.g., within a building, across a public carrier's network, or over a private microwave link) may need different levels of protection. It is often difficult to meet these (sometimes conflicting) requirements with a single mechanism or fixed set of parameters; thus, often a selection of mechanisms and parameters is offered. A protocol is required to agree on certain (security) mechanisms and parameters. An insecure parameter exchange or security negotiation protocol can give an adversary the opportunity to mount a downgrading attack to force selection of mechanisms weaker than those mutually desired. Thus, without binding the negotiation process to the legitimate parties and protecting it, ANCP might only be as secure as the weakest mechanism provided (e.g., weak authentication) and the benefits of defining configuration parameters and a negotiation protocol are lost.
プロトコルは異なるセキュリティと機能要件と、さまざまなシナリオで有用である可能性があります。ネットワークのさまざまな部分は、(例えば、建物内、公衆通信事業者のネットワークを介して、あるいは民間のマイクロ波リンクを介して)異なるレベルの保護を必要とするかもしれません。単一のメカニズムまたはパラメータの固定セットこれらの(時には矛盾)の要件を満たすことはしばしば困難それです。このように、しばしばメカニズムとパラメータの選択が提供されています。プロトコルは、特定の(セキュリティ)メカニズムおよびパラメータに同意する必要があります。安全でないパラメータ交換またはセキュリティネゴシエーションプロトコルが敵を互いに所望のものよりも弱い機構の選択を強制的にダウングレード攻撃をマウントする機会を与えることができます。したがって、正当関係者に交渉プロセスを結合し、それを保護することなく、ANCPのみ(例えば、弱い認証)が設けられ、最も弱いメカニズムほど安全であるかもしれないと設定パラメータとネゴシエーションプロトコルを定義することの利点は失われます。
An adversary can be placed at the NAS, the AN, or any other network element capturing all traversing packets. Adversaries can thus have unauthorized information access. As well, they can gather information relevant to the network and then use this information in gaining later unauthorized access. This attack can also help adversaries in other malicious purposes -- for example, capturing messages sent from the AN to the NAS announcing that a DSL line is up and containing some information related to the connected client. This could be any form of information about the client and could also be an indicator of whether or not the DSL subscriber is at home at a particular moment.
敵対者はNAS、AN、または全て通過するパケットをキャプチャし、他のネットワーク要素に配置することができます。敵対は、不正な情報アクセスを持つことができます。同様に、彼らは、ネットワークに関連する情報を収集し、後で不正アクセスを獲得するには、この情報を使用することができます。この攻撃は、他の悪意のある目的で敵を助けることができる - 例えば、DSLラインが稼働していることを発表し、接続されたクライアントに関連するいくつかの情報を含むNASにANから送信されたメッセージをキャプチャします。これは、クライアントに関する情報の任意の形式とすることができ、また、DSL加入者が特定の瞬間に家にいるかどうかの指標である可能性があります。
Since the ANCP sessions are configured in the AN and not in the NAS [ANCP-FRAME], most configurations of ANCP are done in the AN. Consequently, the management attacks to ANCP mainly concern the AN configuration phase. In this context, the AN MIB module could create disclosure- and misconfiguration-related attacks. [ANCP-MIB] defines
ANCPセッションがNAS [ANCP-FRAME]にANにしていないように構成されているので、ANCPのほとんどの構成は、ANで行われます。その結果、ANCPへの管理攻撃は、主に構成フェーズに関係します。この文脈では、AN MIBモジュールはdisclosure-と設定ミスに関連した攻撃を作成することができます。 [ANCP-MIB]定義
the vulnerabilities on the management objects within the AN MIB module. These attacks mainly concern the unauthorized changes of the management objects, leading to a number of attacks such as session deletion, a session using an undesired/unsupported protocol, disabling certain ANCP capabilities or enabling undesired capabilities, ANCP packets being sent out to the wrong interface (and thus being received by an unintended receiver), harming the synchronization between the AN and the NAS, and impacting traffic in the network other than ANCP.
AN MIBモジュール内の管理オブジェクト上の脆弱性。これらの攻撃は、主にこのようなセッションの削除、望ましくない/サポートされていないプロトコルを使用してセッション、特定のANCP機能を無効にするまたは望ましくない機能を有効にするなどの攻撃の数につながる、管理オブジェクトの不正な変更を関係、ANCPパケットが間違ったインターフェイスに送出されます(従って、意図しない受信機によって受信される)、ANとNAS間の同期を傷つける、およびANCP以外のネットワーク内のトラフィックに影響を与えます。
The attacks mentioned above in Section 5 can be carried out through the following means:
第5節では、上記の攻撃は、次のような手段により行うことができます。
Message Replay:
メッセージリプレイ:
This threat scenario covers the case in which an adversary eavesdrops, collects signaling messages, and replays them at a later time (or at a different place or in a different way; e.g., cut-and-paste attacks). Through replaying signaling messages, an adversary might mount denial-of-service and theft-of-service attacks.
この脅威シナリオは、敵が、シグナリングメッセージを収集傍受し、後でそれを再生する場合、カバー(または別の場所で、または別の方法では、例えば、カットアンドペースト攻撃)。シグナリングメッセージを再生を通じて、敵対者はサービス拒否やサービスの窃盗攻撃をマウントすることがあります。
Faked Message Injection:
偽造メッセージインジェクション:
An adversary may be able to inject false error or response messages, causing unexpected protocol behavior and succeeding with a DoS attack. This could be achieved at the signaling-protocol level, at the level of specific signaling parameters (e.g., QoS information), or at the transport layer. An adversary might, for example, inject a signaling message to request allocation of QoS resources. As a consequence, other users' traffic might be impacted. The discovery protocol, especially, exhibits vulnerabilities with regard to this threat scenario.
敵対者は、誤ったエラーまたは応答メッセージ、予期しないプロトコルの動作を引き起こし、DoS攻撃と後続を注入することができるかもしれません。これは、(例えば、QoS情報)特定のシグナリング・パラメータのレベルで、またはトランスポート層で、シグナリングプロトコルレベルで達成することができます。敵対者は、例えば、QoSリソースの割当を要求するシグナリングメッセージを注入する可能性があります。その結果、他のユーザのトラフィックが影響を受ける可能性があります。発見プロトコルは、特に、この脅威のシナリオに関して脆弱性を発揮します。
Messages Modification:
メッセージは変更します。
This involves integrity violation, where an adversary can modify signaling messages in order to cause unexpected network behavior. Possible related actions an adversary might consider for its attack are the reordering and delaying of messages, causing a protocol's process failure.
これは、敵が予期しないネットワーク動作を引き起こすためにシグナリングメッセージを変更することができます整合性違反を伴います。敵はその攻撃のために検討するかもしれない可能性のある関連アクションは、プロトコルのプロセス障害を引き起こして、メッセージの並べ替えや遅延しています。
Man-in-the-Middle:
真ん中の男:
An adversary might claim to be a NAS or an AN, acting as a man-in-the-middle to later cause communication and services disruption. The consequence can range from DoS to fraud. An adversary acting as a man-in-the-middle could modify the intercepted messages, causing integrity violation, or could drop or truncate the intercepted messages, causing DoS and a protocol's process failure. In addition, a man-in-the-middle adversary can signal information to an illegitimate entity in place of the right destination. In this case, the protocol could appear to continue working correctly. This may result in an AN contacting a wrong NAS. For the AN, this could mean that the protocol failed for unknown reasons. A man-in-the-middle adversary can also cause downgrading attacks through initiating faked configuration parameters and through forcing selection of weak security parameters or mechanisms.
敵はのman-in-the-middle後で通信やサービス中断を引き起こすとして動作する、NASまたはANであると主張するかもしれません。その結果は、DoS攻撃からの不正行為の範囲とすることができます。 man-in-the-middleとして動作する敵は、整合性違反を引き起こし、傍受したメッセージを修正することができ、またはDoS攻撃やプロトコルのプロセス障害を引き起こし、傍受したメッセージをドロップするか、切り捨てることができます。また、のman-in-the-middle攻撃は、正しい宛先の代わりに不正なエンティティに情報を知らせることができます。この場合、プロトコルが正しく動作し続けることが表示されることがあります。これは間違ったNASとの接触ANをもたらすことができます。 ANの場合、これは、プロトコルが不明な理由で失敗したことを意味するかもしれません。 man-in-the-middle攻撃者はまた、偽造の設定パラメータを開始して、弱いセキュリティパラメータやメカニズムの選択を強制を通じて攻撃をダウングレード引き起こす可能性があります。
Eavesdropping:
盗聴:
This is related to adversaries that are able to eavesdrop on transferred messages. The collection of the transferred packets by an adversary may allow traffic analysis or be used later to mount replay attacks. The eavesdropper might learn QoS parameters, communication patterns, policy rules for firewall traversal, policy information, application identifiers, user identities, NAT bindings, authorization objects, network configuration, performance information, and more.
これは、転送されたメッセージを盗聴することができます敵に関連しています。敵によって転送されたパケットの収集は、トラフィック分析を可能にすることができるか、リプレイ攻撃をマウントするために、後で使用すること。盗聴者は、ファイアウォールトラバーサル、ポリシー情報、アプリケーション識別子、ユーザーID、NATバインディング、権限オブジェクト、ネットワークの構成、パフォーマンス情報、および多くのためのQoSパラメータ、通信パターン、ポリシールールを学習する可能性があります。
ANCP is susceptible to security threats, causing disruption/ unauthorized access to network services, manipulation of the transferred data, and interference with network functions. Based on the threat model given in Section 3 and the potential attacks presented in Section 5, this section describes the possible attacks against ANCP, considering the four use cases defined in [ANCP-FRAME].
ANCPは、ネットワークサービス、転送されるデータの操作、およびネットワーク機能との干渉の中断/不正アクセスの原因となる、セキュリティ上の脅威の影響を受けやすいです。第3節で与えられた脅威モデルと5章で提示潜在的な攻撃に基づいて、このセクションでは、[ANCP-FRAME]で定義された4つのユースケースを考えると、ANCPに対する攻撃の可能性を説明しています。
Although ANCP is not involved in the communication between the NAS and the AAA/policy server, the secure communication between the NAS and the AAA/policy server is important for ANCP security. Consequently, this document considers the attacks that are related to the ANCP operation associated with the communication between the NAS and the AAA/Policy server. In other words, the threat model and security requirements in this document take into consideration the data transfer between the NAS and the AAA server, when this data is used within the ANCP operation.
ANCPはNASおよびAAA /ポリシーサーバ間の通信に関与していないが、NASおよびAAA /ポリシサーバ間の安全な通信がANCPセキュリティのために重要です。したがって、この文書は、NASおよびAAA /ポリシーサーバとの間の通信に関連ANCP動作に関連する攻撃を考えます。このデータはANCP操作内で使用されたときに、他の言葉では、このドキュメントの脅威モデルとセキュリティ要件は、考慮にNASとAAAサーバ間のデータ転送を取ります。
Besides the attacks against the four ANCP use cases described in the following subsections, ANCP is susceptible to a number of attacks that can take place during the protocol-establishment phase. These attacks are mainly on-path attacks, taking the form of DoS or man-in-the-middle attacks, which could be as follows:
以下のサブセクションで説明した4つのANCPユースケースに対する攻撃に加えて、ANCPは、プロトコル確立フェーズの間に起こり得る攻撃の数に影響を受けやすいです。これらの攻撃は、次のように可能性がDoS攻撃やman-in-the-middle攻撃の形を取って、主に、パス攻撃、以下のとおりです。
o Attacks during the session initiation from the AN to the NAS: DoS attacks could take place affecting the session-establishment process. Also, man-in-the-middle attacks could take place, causing message truncation or message modification and leading to session-establishment failure.
NASへのANからセッション開始時のO攻撃:DoS攻撃は、セッション確立のプロセスに影響を与える場所を取ることができます。また、man-in-the-middle攻撃は、メッセージの切り詰めやメッセージの変更を引き起こし、セッション確立の失敗につながる、場所を取ることができます。
o Attacks during the peering establishment: DoS attacks could take place during state synchronization between the AN and the NAS. Also, man-in-the-middle attacks could take place through message modification during identity discovery, which may lead to loss of contact between the AN and the NAS.
Oピアリング確立中攻撃:DoS攻撃は、ANとNAS間の状態の同期中に場所を取ることができます。また、man-in-the-middle攻撃は、アイデンティティの発見時のメッセージの変更によって起こり得るANとNASの間の接触の損失につながる可能性があります。
o Attacks during capabilities negotiation: Message replay could take place, leading to DoS. Also, man-in-the-middle attacks could take place, leading to message modification, message truncation, or downgrading through advertising lesser capabilities.
O機能ネゴシエーション中に攻撃:メッセージの再生がDoS攻撃につながる、場所を取ることができます。また、man-in-the-middle攻撃は、メッセージの変更、メッセージの切り捨てにつながる、または広告低い機能によって、ダウングレード、場所を取ることができます。
This use case concerns the communication of access-loop attributes for dynamic, access-line topology discovery. Since the access-loop rate may change over time, advertisement is beneficial to the NAS to gain knowledge about the topology of the access network for QoS scheduling. Besides data rates and access-loop links identification, other information may also be transferred from the AN to the NAS (examples in case of a DSL access loop are DSL type, maximum achievable data rate, and maximum data rate configured for the access loop). This use case is thus vulnerable to a number of on-path and off-path attacks that can be either active or passive.
このユースケースは、ダイナミック、アクセス回線のトポロジー発見のためのアクセス・ループ属性の通信に関するものです。アクセス・ループ率は時間とともに変化する可能性があるため、広告は、QoSスケジューリングのためのアクセスネットワークのトポロジーについての知識を得るためにNASに有益です。データレートおよびアクセス・ループリンクの識別に加えて、他の情報も(DSLアクセスループの場合の例は、アクセスループ用に構成DSLタイプ、達成可能な最大データレート、及び最大データレートである)ANからNASに転送することができます。このユースケースは、能動的または受動的のいずれかであり得るパスオンおよびオフパス攻撃の数に、従って脆弱です。
On-path attacks can take place between the AN and the NAS, on the AN or on the NAS, during the access-loop attributes transfer. These attacks may be:
オン・パス攻撃は、アクセス・ループ属性の転送中に、ANとNASの間、AN上またはNAS上の場所を取ることができます。これらの攻撃は次のようになります。
o Active, acting on the transferred attributes and injecting falsified packets. The main attacks here are:
Oアクティブ、転送された属性に作用し、偽造パケットを注入します。ここでの主な攻撃は、次のとおりです。
* Man-in-the-middle attacks can cause access-loop attributes transfer between the AN and a forged NAS or a forged AN and the NAS, which can directly cause faked attributes and message modification or truncation.
* man-in-the-middle攻撃は、アクセス・ループが直接偽造属性やメッセージの変更または切り捨てを引き起こす可能性がANおよび鍛造NASまたは鍛造ANとNAS間の転送を、属性引き起こす可能性があります。
* Signaling replay, by an attacker between the AN and the NAS, on the AN or on the NAS itself, causing DoS.
* DoS攻撃を引き起こし、ANまたはNAS自体に、ANとNASの間の攻撃者によって、再生をシグナリング。
* An adversary acting as man-in-the-middle can cause downgrading through changing the actual data rate of the access loop, which impacts the downstream shaping from the NAS.
*のman-in-the-middleとして動作する敵は、NASからの影響下流の成形アクセスループ、実際のデータ転送速度を変更することによってダウングレード引き起こす可能性があります。
o Passive, only learning these attributes. The main attacks here are caused by:
Oパッシブは、のみこれらの属性を学びます。ここでの主な攻撃が原因で発生します。
* Eavesdropping through learning access-loop attributes and information about the clients' connection state, and thus impacting their privacy protection.
*クライアントの接続状態についてのアクセス・ループ属性や情報を学習し、したがって彼らのプライバシーの保護に影響を与えて盗聴。
* Traffic analysis allowing unauthorized information access, which could allow later unauthorized access to the NAS.
* NASへの以降の不正アクセスを許可することができ、不正な情報へのアクセスを、許可するトラフィック分析。
Off-path attacks can take place on the Internet, affecting the access-loop attribute sharing between the NAS and the AAA/policy server. These attacks may be:
オフパス攻撃はNASおよびAAA /ポリシサーバ間で共有アクセス-loop属性に影響を与え、インターネット上で行うことができます。これらの攻撃は次のようになります。
o Active attacks, which are mainly concerning:
主に関連しているOアクティブ攻撃:
* DoS through flooding the communication links to the AAA/policy server, causing service disruption.
*のDoSサービスの中断を引き起こし、AAA /ポリシサーバへの通信リンクをフラッディングによる。
* Man-in-the-middle, causing access-loop configuration retrieval by an illegitimate NAS.
*のman-in-the-middle、不正NASによってアクセスループ構成の検索を引き起こします。
o Passive attacks, gaining information on the access-loop attributes. The main attacks in this case are:
O受動攻撃、アクセス・ループ属性についての情報を得ます。この場合、主な攻撃は、次のとおりです。
* Eavesdropping through learning access-loop attributes and learning information about the clients' connection states, and thus impacting their privacy protection.
*アクセス・ループ属性を学習し、クライアントの接続状態についての情報を学ぶため、彼らのプライバシーの保護に影響を与えて盗聴。
* Traffic analysis allowing unauthorized information access, which could allow later unauthorized access to the NAS.
* NASへの以降の不正アクセスを許可することができ、不正な情報へのアクセスを、許可するトラフィック分析。
This use case concerns the dynamic, local-loop line configuration through allowing the NAS to change the access-loop parameters (e.g., rate) in a dynamic fashion. This allows for centralized, subscriber-related service data. This dynamic configuration can be achieved, for instance, through profiles that are pre-configured on ANs. This use case is vulnerable to a number of on-path and off-path attacks.
このユースケースは、NASが動的にアクセス・ループ・パラメータ(例えば、速度)を変更できるようにを通じて動的、ローカルループライン構成に関する。これは、集中、加入者関連サービスデータが可能になります。この動的な構成は、例えば、のANに事前に設定されたプロファイルを介して、達成することができます。このユースケースは、上のパスの数とオフパス攻撃に対して脆弱です。
On-path attacks can take place where the attacker is between the AN and the NAS, is on the AN, or is on the NAS. These can be as follows:
オン・パス攻撃は、攻撃者は、ANとNASの間にあるAN上にある、またはNAS上で行うことができます。これらは以下のようになります
o Active attacks, taking the following forms:
Oアクティブな攻撃は、次の形式を取ります:
* DoS attacks of the AN can take place by an attacker, through replaying the Configure Request messages.
ANの* DoS攻撃は、設定要求メッセージを再生を通じて、攻撃者によって行うことができます。
* An attacker on the AN can prevent the AN from reacting on the NAS request for the access-loop configuration, leading to the NAS continually sending the Configure Request message and, hence, allocating additional states.
* AN上の攻撃者は、NASが継続的に追加の状態を割り当て、それゆえ、設定要求メッセージを送信し、につながる、アクセス・ループ構成のためのNAS要求に反応するのANを防ぐことができます。
* Damaging clients' profiles at ANs can take place by adversaries that gained control on the network through discovery of users' information from a previous traffic analysis.
*損なうクライアント以前のトラフィック分析からの情報とのプロファイルは、ユーザーの発見を介してネットワーク上の制御を獲得した敵によって行うことができます。
* An adversary can replay old packets, modify messages, or inject faked messages. Such adversary can also be a man-in-the-middle. These attack forms can be related to a privileged client profile (having more services) in order to configure this profile on the adversary's own DSL line, which is less privileged. In order that the attacker does not expose its identity, he may also use these attack forms related to the privileged client profile to configure a number of illegitimate DSL lines. The adversary can also force configuration parameters other than the selected ones, leading to, for instance, downgrading the service for a privileged client.
*敵は、古いパケットを再生するメッセージを変更したり、偽造メッセージを注入することができます。このような敵ものman-in-the-middleすることができます。これらの攻撃の形は、以下の特権である敵の独自のDSL回線上でこのプロファイルを設定するために(より多くのサービスを持つ)特権クライアントプロファイルに関連することができます。攻撃者はその身元を公開しないようにするために、彼はまた、非嫡出DSL回線の数を設定するには、特権クライアント・プロファイルに関連するこれらの攻撃の形を使用することができます。敵はまた、特権クライアントにサービスをダウングレード、例えば、につながる、選択されたもの以外の構成パラメータを強制することができます。
o Passive attacks, where the attacker listens to the ANCP messages. This can take place as follows:
攻撃者はANCPメッセージに耳を傾け、O受動攻撃。これは以下のように場所を取ることができます。
* Learning configuration attributes is possible during the update of the access-loop configuration. An adversary might profit to see the configuration that someone else gets (e.g., one ISP might be interested to know what the customers of another ISP get and therefore might break into the AN to see this).
*学習の構成属性アクセスループ構成の更新中に可能です。敵は他の誰かが(例えば、1 ISPが他のISPの顧客が得るため、これを見るためにANに壊すかもしれないものを知って興味があるかもしれません)を取得した構成を確認するために利益があります。
Off-path attacks can take place as follows:
次のようにオフパス攻撃を行うことができます。
o An off-path passive adversary on the Internet can exert eavesdropping during the access-loop configuration retrieval by the NAS from the AAA/policy server.
Oインターネット上オフパスパッシブ敵はAAA /ポリシサーバからNASによるアクセスループ構成の検索時の盗聴を発揮することができます。
o An off-path active adversary on the Internet can threaten the centralized subscribers-related service data in the AAA/policy server through, for instance, making subscribers' records inaccessible.
O、インターネット上のオフパスアクティブな敵は、加入者の記録がアクセス不能になって、例えば、経由AAA /ポリシサーバで集中管理、加入者に関連したサービスデータを脅かすことができます。
In this use case, the NAS can carry out a Remote Connectivity Test using ANCP to initiate an access-loop test between the AN and the HGW. Thus, multiple access-loop technologies can be supported. This use case is vulnerable to a number of active attacks. Most of the attacks in this use case concern the network operation.
このユースケースでは、NASは、ANとHGWとの間のアクセス・ループ・テストを開始するANCPを使用してリモート接続試験を行うことができます。このように、複数のアクセス・ループ技術をサポートすることができます。このユースケースは、能動的な攻撃の数に対して脆弱です。このユースケースでの攻撃のほとんどは、ネットワークの運用に関係します。
On-path active attacks can take place in the following forms:
オンパスアクティブな攻撃は、次の形式で行うことができます。
o Man-in-the-middle attack during the NAS's triggering to the AN to carry out the test, where an adversary can inject falsified signals or can truncate the triggering.
敵対者が改ざん信号を注入することができるか、トリガーを切り捨てることができるテストを実行するNASのトリガANの間にO man-in-the-middle攻撃。
o Message modification can take place during the Subscriber Response message transfer from the AN to the NAS announcing the test results, causing failure of the test operation.
Oメッセージの変更は、テスト動作の障害を引き起こして、テスト結果を発表NASへのANから加入者応答メッセージの転送中に行うことができます。
o An adversary on the AN can prevent the AN from sending the Subscriber Response message to the NAS announcing the test results, and hence the NAS will continue triggering the AN to carry out the test, which results in more state being allocated at the NAS. This may result in unavailability of the NAS to the ANs.
O AN上の敵は、試験結果を発表NASに加入応答メッセージを送信ANを防ぐことができ、ひいてはNASはNASに割り当てられている複数の状態になるテストを実行するためにANをトリガ続けます。これは、のANにNASの使用不能になることがあります。
Off-path active attacks can take place as follows:
次のようにオフパスアクティブな攻撃を行うことができます。
o An adversary can cause DoS during the access-loop test, in case of an ATM-based access loop, when the AN generates loopback cells. This can take place through signal replaying.
ANは、ループバック・セルを生成する際O敵対者は、ATMベースのアクセスループの場合には、アクセス・ループ・テスト中にDoS攻撃を引き起こす可能性があります。これは、信号のリプレイを介して行うことができます。
o Message truncating can take place by an adversary during the access-loop test, which can lead to service disruption due to assumption of test failures.
O切り捨てメッセージによるテストの失敗を前提にサービスの中断につながる可能アクセス・ループテスト、中に敵によって行うことができます。
In this use case, ANCP could be used in exchanging information between the AN and the NAS, allowing the AN to perform replication inline with the policy and configuration of the subscriber. Also, this allows the NAS to follow subscribers' multicast (source, group) membership and control replication performed by the AN. Four multicast use cases are expected to take place, making use of ANCP; these are typically multicast conditional access, multicast admission control, multicast accounting, and spontaneous admission response. This section gives a high-level description of the possible attacks that can take place in these cases. Attacks that can occur are mostly active attacks.
このユースケースでは、ANCPは、ANとNASの間で情報を交換ANは、加入者のポリシーおよび構成で複製をインラインで実行することを可能に用いることができます。また、これは、NASは、ANによって実行される加入者のマルチキャスト(ソース、グループ)のメンバーシップとコントロールの複製を追跡することができます。四マルチキャストユースケースは、ANCPを利用して、場所を取ることが期待されています。これらは通常、マルチキャスト条件付きアクセス、マルチキャストアドミッション制御、マルチキャストアカウンティング、および自発的入院応答です。このセクションでは、これらの場合に起こり得る攻撃の可能性の高レベルの説明を示します。発生する可能性があります攻撃は、ほとんどがアクティブな攻撃です。
On-path active attacks can be as follows:
次のようにパスアクティブな攻撃をすることができます:
o DoS attacks, causing inability for certain subscribers to access particular multicast streams or only access the multicast stream at a reduced bandwidth, impacting the quality of the possible video stream. This can take place through message replay by an attacker between the AN and the NAS, on the AN or on the NAS. Such DoS attacks can also be done by tempering, for instance, with white/black list configuration or by placing attacks to the bandwidth-admission-control mechanism.
O特定の加入者は、特定のマルチキャストストリームにアクセスしたり、唯一減少した帯域幅でのマルチキャストストリームにアクセスするためにできないことの原因となるDoS攻撃は、可能なビデオストリームの品質に影響を与えます。これは、AN上またはNAS上、ANとNASの間で、攻撃者により、メッセージの再生を通じて行うことができます。そのようなDoS攻撃はまた、ホワイト/ブラックリスト設定または帯域アドミッション制御機構への攻撃を置くことによって、例えば、焼き戻しによって行うことができます。
o An adversary on the NAS can prevent the NAS from reacting on the AN requests for white/black/grey lists or for admission control for the access line. The AN in this case would not receive a reply and would continue sending its requests, resulting in more states being allocated at the AN. A similar case happens for admission control when the NAS can also send requests to the AN. When the NAS does not receive a response, it could also retransmit requests, resulting in more state being allocated at the NAS side to process responses. This may result in the unavailability of the NAS to the ANs.
O NAS上の敵は、白/黒/グレーリストまたはアクセス回線のためのアドミッション制御のためのAN要求に反応するのNASを防ぐことができます。この場合、ANは応答を受信しないだろうとANに割り当てられている以上の状態で、その結果、その要求を送信し続けることになります。 NASはまた、ANに要求を送ることができるときに、似たようなケースは、アドミッション制御のために起こります。 NASは、応答を受信しない場合、それはまた、応答を処理するためにNAS側に割り当てられている複数の状態で得られ、要求を再送信することができました。これは、のANにNASの使用不能になることがあります。
o Man-in-the-middle, causing the exchange of messages between the AN and a forged NAS or a forged AN and the NAS. This can lead to the following:
マン・イン・ザ・ミドル、O AN及び鍛造NAS又は鍛造ANとNAS間のメッセージの交換を引き起こします。これは、次のようにつながることができます:
* Message modification, which can cause service downgrading for legitimate subscribers -- for instance, an illegitimate change of a subscriber's policy.
正当な加入者に対するサービスの格下げを引き起こす可能性があります*メッセージの変更、 - 例えば、加入者の政策の違法な変更。
* Message truncation between the AN and the NAS, which can result in the non-continuity of services.
*サービスの非継続性をもたらすことがANとNASの間のメッセージの切り捨て。
* Message replay between the AN and the NAS, on the AN or on the NAS, leading to a DoS or services fraud.
* ANおよびAN上のNAS、間またはNAS上のメッセージの再生、DoS攻撃やサービス詐欺につながります。
* Message modification to temper with accounting information, for example, in order to avoid service charges or, conversely, in order to artificially increase service charges on other users.
人為的に他のユーザーにサービス料を増加させるために、逆に、サービス料金を回避またはするために、例えば、会計情報を和らげるために*メッセージの修正。
An off-path active attack is as follows:
次のようにオフパスアクティブな攻撃は、次のとおりです。
o DoS could take place through message replay of join/leave requests by the HGW or CPE, frequently triggering the ANCP activity between the AN and the NAS. DoS could also result from generating heaps of IGMP join/leaves by the HGW or CPE, leading to very high rate of ANCP query/response.
O DoS攻撃は頻繁にANとNASの間ANCP活性を惹起する、HGWまたはCPEの要請を残す/加入のメッセージのリプレイを介して行うことができます。 DoS攻撃はまた、IGMPのヒープを生成から生じる可能性/ ANCPクエリ/レスポンスの非常に高い率につながる、HGWまたはCPEによって葉に参加。
This section presents a number of requirements motivated by the different types of attacks defined in the previous section. These requirements are as follows:
このセクションでは、前のセクションで定義された攻撃の異なる種類が動機多くの要件を提示します。次のようにこれらの要件は次のとおりです。
o The protocol solution MUST offer authentication of the AN to the NAS.
Oプロトコル・ソリューションは、NASへのANの認証を提供しなければなりません。
o The protocol solution MUST offer authentication of the NAS to the AN.
Oプロトコル・ソリューションは、ANにNASの認証を提供しなければなりません。
o The protocol solution MUST allow authorization to take place at the NAS and the AN.
Oプロトコル・ソリューションは、認証がNASおよびANで場所を取るようにする必要があります。
o The protocol solution MUST offer replay protection.
Oプロトコル・ソリューションは、リプレイ保護を提供しなければなりません。
o The protocol solution MUST provide data-origin authentication.
Oプロトコル・ソリューションは、データ発信元認証を提供しなければなりません。
o The protocol solution MUST be robust against denial-of-service (DoS) attacks. In this context, the protocol solution MUST consider a specific mechanism for the DoS that the user might create by sending many IGMP messages.
Oプロトコル溶液は、サービス拒否(DoS)攻撃に対してロバストでなければなりません。この文脈では、プロトコル・ソリューションは、ユーザーが多くのIGMPメッセージを送信することで作成することができますDoS攻撃のための具体的な仕組みを検討する必要があります。
o The protocol solution SHOULD offer confidentiality protection.
Oプロトコル・ソリューションは、機密性保護を提供する必要があります。
o The protocol solution SHOULD ensure that operations in default configuration guarantees a low number of AN/NAS protocol interactions.
Oプロトコル溶液は、デフォルト設定で操作がAN / NASプロトコル相互作用の低い数を保証することを確実にすべきです。
o The protocol solution SHOULD ensure the access control of the management objects and possibly encrypt the values of these objects when sending them over the networks.
Oプロトコル・ソリューションは、管理オブジェクトのアクセス制御を確保し、ネットワークを介してそれらを送信する場合、おそらく、これらのオブジェクトの値を暗号化すべきです。
This document focuses on security threats, deriving a threat model for ANCP and presenting the security requirements to be considered for the design of ANCP.
この文書では、ANCPのための脅威モデルを導出し、ANCPの設計のために考慮すべきセキュリティ要件を提示し、セキュリティの脅威に焦点を当てています。
Many thanks go to Francois Le Faucher for reviewing this document and for all his useful comments. The authors would also like to thank Philippe Niger, Curtis Sherbo, and Michael Busser for reviewing this document. Other thanks go to Bharat Joshi, Mark Townsley, Wojciech Dec, and Kim Hylgaard who have had valuable comments during the development of this work.
多くのおかげでこの文書をレビューすると、すべての彼の有益なコメントをフランソワ・ルFaucherに行きます。著者らはまた、この文書をレビューするフィリップ・ニジェール、カーティスSherbo、そしてマイケルBusserに感謝したいと思います。その他のおかげで、この作品の開発中に、貴重なコメントを残しているバーラト・ジョシ、マークTownsley、ヴォイチェフ12月、キムHylgaardに行きます。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC3365] Schiller, J., "Strong Security Requirements for Internet Engineering Task Force Standard Protocols", BCP 61, RFC 3365, August 2002.
[RFC3365]シラー、J.、BCP 61、RFC 3365、2002年8月 "インターネットエンジニアリングタスクフォース標準プロトコルのための強力なセキュリティ要件"。
[ANCP-FRAME] Ooghe, S., Voigt, N., Platnic, M., Haag, T., and S. Wadhwa, "Framework and Requirements for an Access Node Control Mechanism in Broadband Multi-Service Networks", Work in Progress, October 2009.
[ANCP-FRAME] Ooghe、S.、フォークト、N.、Platnic、M.、ハーグ、T.、およびS. Wadhwa、 "フレームワークおよびブロードバンドマルチサービスネットワークにおけるアクセスノード制御機構のための要件"、仕事に進歩、2009年10月。
[ANCP-MIB] De Cnodder, S. and M. Morgenstern, "Access Node Control Protocol (ANCP) MIB module for Access Nodes", Work in Progress, July 2009.
[ANCP-MIB]デCnodder、S.及びM.モルゲンシュテルン、 "アクセスノードのアクセスノード制御プロトコル(ANCP)MIBモジュール"、進歩、2009年7月ワーク。
Authors' Addresses
著者のアドレス
Hassnaa Moustafa France Telecom 38-40 rue du General Leclerc Issy Les Moulineaux, 92794 Cedex 9 France
Hassnaa Moustafaフランステレコム38-40 RUEデュ一般ルクレールイシレムリノーセデックス9、フランス92794
EMail: hassnaa.moustafa@orange-ftgroup.com
メールアドレス:hassnaa.moustafa@orange-ftgroup.com
Hannes Tschofenig Nokia Siemens Networks Linnoitustie 6 Espoo 02600 Finland
ハンネスTschofenigノキアシーメンスネットワークスLinnoitustie 6 02600エスポー、フィンランド
Phone: +358 (50) 4871445 EMail: Hannes.Tschofenig@gmx.net URI: http://www.tschofenig.priv.at
電話番号:+358(50)4871445 Eメール:Hannes.Tschofenig@gmx.net URI:http://www.tschofenig.priv.at
Stefaan De Cnodder Alcatel-Lucent Copernicuslaan 50 B-2018 Antwerp, Belgium
Stefaan Cnodderアルカテル・ルーセントCopernicuslaan 50 B-2018アントワープ、ベルギー
Phone: +32 3 240 85 15 EMail: stefaan.de_cnodder@alcatel-lucent.com
電話:+32 3 240 85 15 Eメール:stefaan.de_cnodder@alcatel-lucent.com