Internet Architecture Board (IAB) D. Thaler
Request for Comments: 5902 L. Zhang
Category: Informational G. Lebovitz
ISSN: 2070-1721 July 2010
IAB Thoughts on IPv6 Network Address Translation
Abstract
抽象
There has been much recent discussion on the topic of whether the IETF should develop standards for IPv6 Network Address Translators (NATs). This document articulates the architectural issues raised by IPv6 NATs, the pros and cons of having IPv6 NATs, and provides the IAB's thoughts on the current open issues and the solution space.
IETFは、翻訳者(NATのを)アドレスIPv6ネットワークのための基準を策定する必要があるかどうかのトピックに関する多くの最近の議論がなされてきました。この文書は、IPv6 NATを、IPv6のNATのを持っていることの長所と短所が提起したアーキテクチャの問題点を明確に表現し、現在未解決の問題と解空間にIABの考えを提供します。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Architecture Board (IAB) and represents information that the IAB has deemed valuable to provide for permanent record. Documents approved for publication by the IAB are not a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットアーキテクチャ委員会(IAB)の製品であり、IABは、永久的な記録を提供するために貴重なものとみなされたことの情報を表します。 IABによって公表のために承認されたドキュメントは、インターネット標準の任意のレベルの候補ではありません。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5902.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5902で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. What is the problem? . . . . . . . . . . . . . . . . . . . . . 3
2.1. Avoiding Renumbering . . . . . . . . . . . . . . . . . . . 3
2.2. Site Multihoming . . . . . . . . . . . . . . . . . . . . . 4
2.3. Homogenous Edge Network Configurations . . . . . . . . . . 4
2.4. Network Obfuscation . . . . . . . . . . . . . . . . . . . 5
2.4.1. Hiding Hosts . . . . . . . . . . . . . . . . . . . . . 5
2.4.2. Topology Hiding . . . . . . . . . . . . . . . . . . . 8
2.4.3. Summary Regarding NAT as a Tool for Network
Obfuscation . . . . . . . . . . . . . . . . . . . . . 8
2.5. Simple Security . . . . . . . . . . . . . . . . . . . . . 9
2.6. Discussion . . . . . . . . . . . . . . . . . . . . . . . . 9
3. Architectural Considerations of IPv6 NAT . . . . . . . . . . . 9
4. Solution Space . . . . . . . . . . . . . . . . . . . . . . . . 11
4.1. Discussion . . . . . . . . . . . . . . . . . . . . . . . . 12
5. Security Considerations . . . . . . . . . . . . . . . . . . . 13
6. IAB Members at the Time of Approval . . . . . . . . . . . . . 13
7. Informative References . . . . . . . . . . . . . . . . . . . . 14
In the past, the IAB has published a number of documents relating to Internet transparency and the end-to-end principle, and other IETF documents have also touched on these issues as well. These documents articulate the general principles on which the Internet architecture is based, as well as the core values that the Internet community seeks to protect going forward. Most recently, RFC 4924 [RFC4924] reaffirms these principles and provides a review of the various documents in this area.
過去には、IABは、インターネットの透明性とエンド・ツー・エンド原理、および他のIETFの文書に関連する文書の数も同様にこれらの問題に触れている公開しています。これらの文書は、インターネットアーキテクチャの基礎となる一般原則だけでなく、インターネットコミュニティは、今後の保護に努めるコアバリューを明確に。最近では、RFC 4924 [RFC4924]はこれらの原則を再確認し、この分野における様々な文書のレビューを提供します。
Facing imminent IPv4 address space exhaustion, recently there have been increased efforts in IPv6 deployment. However, since late 2008 there have also been increased discussions about whether the IETF should standardize network address translation within IPv6. People who are against standardizing IPv6 NAT argue that there is no fundamental need for IPv6 NAT, and that as IPv6 continues to roll out, the Internet should converge towards reinstallation of the end-to-end reachability that has been a key factor in the Internet's success. On the other hand, people who are for IPv6 NAT believe that NAT vendors would provide IPv6 NAT implementations anyway as NAT can be a solution to a number of problems, and that the IETF should avoid repeating the same mistake as with IPv4 NAT, where the lack of protocol standards led to different IPv4 NAT implementations, making NAT traversal difficult.
差し迫ったIPv4アドレス空間の枯渇に直面し、最近のIPv6展開で増加した努力がなされてきました。しかし、2008年後半以降も、IETFがIPv6内のネットワークアドレス変換を標準化する必要があるかどうかについての議論が高まってきました。 IPv6のNATを標準化することに反対している人々は、IPv6 NATのための基本的な必要性がないと主張し、IPv6を展開し続けている、インターネットはインターネットの中に重要な要因となっているエンドツーエンドの到達性の再インストールに向かって収束する必要があること成功。一方、IPv6のNATのためにある人々は、NATは、多くの問題を解決することができ、そのIETFがIPv4 NATと同じ過ちを繰り返さないようにする必要がありとしてNATベンダーがとにかくIPv6のNATの実装を提供するだろうと信じていますプロトコル標準の欠如は、NATトラバーサルを困難に、異なるIPv4のNATの実装につながりました。
An earlier effort, [RFC4864], provides a discussion of the real or perceived benefits of NAT and suggests alternatives for most of them, with the intent of showing that NAT is not required to get the desired benefits. However, it also identifies several gaps remaining to be filled.
以前の努力、[RFC4864]は、NATの実際のまたは認識の利益の議論を提供し、NATが所望の利益を得るために必要とされていないことを示すことを意図して、それらのほとんどのための選択肢を示唆しています。しかし、それはまた、充填されるべき残りのいくつかのギャップを識別する。
This document provides the IAB's current thoughts on this debate. We believe that the issue at hand must be viewed from an overall architectural standpoint in order to fully assess the pros and cons of IPv6 NAT on the global Internet and its future development.
この文書では、この議論にIABの現在の考えを提供します。私たちは、手で問題は完全にグローバルなインターネットとその将来の発展のIPv6 NATの長所と短所を評価するために、全体的なアーキテクチャの観点から見なければならないことを信じています。
The discussions on the desire for IPv6 NAT can be summarized as follows. Network address translation is viewed as a solution to achieve a number of desired properties for individual networks: avoiding renumbering, facilitating multihoming, making configurations homogenous, hiding internal network details, and providing simple security.
次のようにIPv6のNATのための欲求の議論をまとめることができます。回避リナンバリング、構成が均質作り、マルチホーミングを促進する内部ネットワークの詳細を隠し、簡単なセキュリティを提供する:ネットワークアドレス変換は、個々のネットワークにおける所望の特性の数を達成するための解決策と見られています。
As discussed in [RFC4864], Section 2.5, the ability to change service providers with minimal operational difficulty is an important requirement in many networks. However, renumbering is still quite painful today, as discussed in [RFC5887]. Currently it requires reconfiguring devices that deal with IP addresses or prefixes, including DNS servers, DHCP servers, firewalls, IPsec policies, and potentially many other systems such as intrusion detection systems, inventory management systems, patch management systems, etc.
[RFC4864]、セクション2.5で説明したように、最小限の操作難しさとサービスプロバイダーを変更する機能は、多くのネットワークで重要な要件です。 [RFC5887]で説明したようにしかし、リナンバリングは、今日でもかなり痛いです。現在はDNSサーバ、DHCPサーバ、ファイアウォール、IPsecポリシー、およびなど侵入検知システム、在庫管理システム、パッチ管理システム、潜在的に他の多くのシステムを含むIPアドレスまたはプレフィックスを扱うデバイスを、再設定が必要です
In practice today, renumbering does not seem to be a significant problem in consumer networks, such as home networks, where addresses or prefixes are typically obtained through DHCP and are rarely manually configured in any component. However, in managed networks, renumbering can be a serious problem.
実際、今日では、リナンバリングは、そのようなアドレスまたはプレフィックスは、通常DHCPを介して取得されていると稀に手動で任意のコンポーネントで構成されていないホームネットワーク、のような消費者ネットワーク、中に重大な問題ではないようです。しかし、管理ネットワークでは、リナンバリングは深刻な問題になる可能性があります。
We also note that many, if not most, large enterprise networks avoid the renumbering problem by using provider-independent (PI) IP address blocks. The use of PI addresses is inherent in today's Internet operations. However, in smaller managed networks that cannot get provider-independent IP address blocks, renumbering remains a serious issue. Regional Internet Registries (RIRs) constantly receive requests for PI address blocks; one main reason that they hesitate in assigning PI address blocks to all users is the concern about the PI addresses' impact on the routing system scalability.
我々はまた、多くの、そうでない場合はほとんど、大規模な企業ネットワークは、プロバイダに依存しない(PI)IPアドレスブロックを使用してリナンバリングの問題を回避することに注意してください。 PIアドレスの使用は、今日のインターネット事業に固有のものです。しかし、プロバイダに依存しないIPアドレスのブロックを得ることができない小さな管理ネットワークで、リナンバリングは深刻な問題のまま。地域インターネットレジストリ(RIRは)常にPIアドレスブロックの要求を受け取ります。彼らはすべてのユーザーにPIアドレスブロックを割り当てる際に躊躇1主な理由は、ルーティングシステムのスケーラビリティにPIアドレスの影響が懸念されます。
Another important requirement in many networks is site multihoming. A multihomed site essentially requires that its IP prefixes be present in the global routing table to achieve the desired reliability in its Internet connectivity as well as load balancing. In today's practice, multihomed sites with PI addresses announce their PI prefixes to the global routing system; multihomed sites with provider-allocated (PA) addresses also announce the PA prefix they obtained from one service provider to the global routing system through another service provider, effectively disabling provider-based prefix aggregation. This practice makes the global routing table scale linearly with the number of multihomed user networks.
多くのネットワークにおけるもう一つの重要な要件は、サイトマルチホーミングです。マルチホームサイトは、基本的にそのIPプレフィックスは、そのインターネット接続だけでなく、負荷分散に必要な信頼性を達成するために、グローバルルーティングテーブルに存在している必要があります。今日の練習では、PIアドレスを持つサイトはグローバルルーティングシステムへのPIの接頭辞を発表マルチホーム。プロバイダ割り当て(PA)アドレスを持つマルチホームサイトはまた、彼らが効果的に提供ベースプレフィックス集約を無効に、別のサービスプロバイダを介してグローバルルーティングシステムに一つのサービスプロバイダから得られたPAプレフィックスをアナウンス。この方法は、マルチホーム利用者網の数に比例し、グローバルルーティングテーブルの規模になります。
This issue was identified in [RFC4864], Section 6.4. Unfortunately, no solution except NAT has been deployed today that can insulate the global routing system from the growing number of multihomed sites, where a multihomed site simply assigns multiple IPv4 addresses (one from each of its service providers) to its exit router, which is an IPv4 NAT box. Using address translation to facilitate multihoming support has one unique advantage: there is no impact on the routing system scalability, as the NAT box simply takes one address from each service provider, and the multihomed site does not inject its own routes into the system. Intuitively, it also seems straightforward to roll the same solution into multihoming support in the IPv6 deployment. However, one should keep in mind that this approach brings all the drawbacks of putting a site behind a NAT box, including the loss of reachability to the servers behind the NAT box.
この問題は、[RFC4864]、セクション6.4で確認されました。残念ながら、NAT以外に解決策はある、マルチホームサイトは、単にその終了ルータに複数のIPv4アドレス(そのサービスプロバイダのそれぞれからの1)を割り当てマルチホームのサイトが増えているから、グローバルルーティングシステムを絶縁することができる今日を展開されていませんIPv4のNATボックス。マルチホーミングサポートを容易にするために、アドレス変換を使用すると、1つのユニークな利点があります:ルーティングシステムの拡張性への影響はありません、NATボックスは、単に各サービスプロバイダから一つのアドレスを取り、マルチホームサイトがシステムに独自のルートを注入しないと。直感的に、また、IPv6の展開でサポートをマルチホーミングに同じソリューションを展開する簡単なようです。しかし、1は、このアプローチは、NATボックスの背後にあるサーバへの到達性の損失を含む、NATボックスの後ろにサイトを置くのすべての欠点をもたらすということを覚えておいてください。
It is also important to point out that a multihomed site announcing its own prefix(es) achieves two important benefits that NAT-based multihoming support does not provide. First, end-to-end communications can be preserved in face of connectivity failures of individual service providers, as long as the site remains connected through at least one operational service provider. Second, announcing one's prefixes also gives a multihomed site the ability to perform traffic engineering and load balancing.
独自の接頭語(es)を発表マルチホームのサイトには、NATベースのマルチホーミングのサポートを提供していない二つの重要な利益を達成することを指摘することも重要です。まず、エンド・ツー・エンドの通信は限りサイトが少なくとも1つの動作のサービスプロバイダを介して接続されたままのように、個々のサービスプロバイダの接続障害に直面して保存することができます。第二に、自分のプレフィックスを発表することも、マルチホームサイトにトラフィックエンジニアリングおよびロードバランシングを実行することができます。
Service providers supporting residential customers need to minimize support costs (e.g., help desk calls). Often a key factor in minimizing support costs is ensuring customers have homogenous configurations, including the addressing architecture. Today, when IPv4 NATs are provided by a service provider, all customers get the same address space on their home networks, and hence the home gateway always has the same address. From a customer-support perspective, this perhaps represents the most important property of NAT usage today.
住宅の顧客をサポートするサービスプロバイダは、(例えば、ヘルプデスクの呼び出し)サポートコストを最小限にする必要があります。多くの場合、サポートコストを最小限に抑える上で重要な要素は、顧客がアドレス体系を含む均質な構成を、持って確保されます。 IPv4のNATのは、サービスプロバイダによって提供されたときに今日、すべての顧客は彼らのホームネットワーク上の同じアドレス空間を取得し、ひいてはホームゲートウェイは、常に同じアドレスを持っています。顧客サポートの観点から、これはおそらく、今日NATの使用の最も重要な特性を表しています。
In IPv6, link-local addresses can be used to ensure that all home gateways have the same address, and to provide homogenous addresses to any other devices supported by the service provider. Unlike IPv4, having a globally unique address does not prevent the use of a homogenous address within the subnet. It is only in the case of multi-subnet customers that IPv6 NAT would provide some homogeneity that wouldn't be provided by link-local addresses. For multi-subnet customers (e.g., a customer using a wireless access point behind the service provider router/modem), service providers today might only discuss problems (for IPv4 or IPv6) from computers connected directly to the service provider router.
IPv6では、リンクローカルアドレスは、すべてのホームゲートウェイが同じアドレスを持っていることを確実にするために、サービスプロバイダによってサポートされている任意の他のデバイスに均質なアドレスを提供するために使用することができます。 IPv4のとは異なり、グローバルに一意のアドレスを持つことは、サブネット内の均質なアドレスの使用を妨げるものではありません。これは、IPv6のみNATは、リンクローカルアドレスによって提供されない、いくつかの均質性を提供するマルチサブネットのお客様の場合です。マルチサブネット顧客(例えば、サービスプロバイダのルータ/モデムの背後にある無線アクセスポイントを使用して、顧客)、サービスプロバイダ、今日のための唯一のサービスプロバイダのルータに直接接続されたコンピュータから(IPv4またはIPv6のための)問題を議論することがあります。
It is currently unknown whether IPv6 link-local addresses provide sufficient homogeneity to minimize help desk calls. If they do not, providers might still desire IPv6 NATs in the residential gateways they provide.
IPv6リンクローカルアドレスは、ヘルプデスクへの問い合わせを最小にするために十分な均一性を提供するかどうか現時点では不明です。そうでない場合は、プロバイダはまだ彼らが提供する住宅用ゲートウェイでのIPv6 NATのを望むかもしれません。
Most network administrators want to hide the details of the computing resources, information infrastructure, and communications networks within their borders. This desire is rooted in the basic security principle that an organization's assets are for its sole use and all information about those assets, their operation, and the methods and tactics of their use are proprietary secrets. Some organizations use their information and communication technologies as a competitive advantage in their industries. It is a generally held belief that measures must be taken to protect those secrets. The first layer of protection of those secrets is preventing access to the secrets or knowledge about the secrets whenever possible. It is understandable why network administrators would want to keep the details about the hosts on their network, as well as the network infrastructure itself, private. They believe that NAT helps achieve this goal.
ほとんどのネットワーク管理者は、その境界内のコンピューティングリソース、情報インフラストラクチャ、および通信ネットワークの詳細を非表示にします。この願望は、組織の資産は、その単独の使用のためのものであり、それらの資産、その動作、およびそれらの使用方法や戦術に関するすべての情報は、独自の秘密であることを基本的なセキュリティ原則に根ざしています。一部の組織は、彼らの業界での競争優位性としての情報通信技術を使用しています。これは、措置は、これらの秘密を保護するために注意する必要があり、一般的に信じています。これらの秘密の保護の最初の層は、可能な限りの秘密についての秘密や知識へのアクセスを妨げています。ネットワーク管理者はネットワーク上のホストだけでなく、ネットワークインフラストラクチャ自体、民間の詳細を維持したいと思う理由は理解できます。彼らは、NATは、この目標を達成するのに役立つと信じています。
As a specific measure of network obfuscation, network administrators wish to keep secret any and all information about the computer systems residing within their network boundaries. Such computer systems include workstations, laptops, servers, function-specific end-points (e.g., printers, scanners, IP telephones, point-of-sale machines, building door access-control devices), and such. They want to prevent an external entity from counting the number of hosts on the network. They also want to prevent host fingerprinting, i.e., gaining information about the constitution, contents, or function of a host. For example, they want to hide the role of a host, as whether it is a user workstation, a finance server, a source code build server, or a printer. A second element of host-fingerprinting prevention is to hide details that could aid an attacker in compromising the host. Such details might include the type of operating system, its version number, any patches it may or may not have, the make and model of the device hardware, any application software packages loaded, those version numbers and patches, and so on. With such information about hosts, an attacker can launch a more focused, targeted attack. Operators want to stop both host counting and host fingerprinting.
ネットワーク難読化の具体策として、ネットワーク管理者はネットワーク境界内に存在するコンピュータシステムに関する一切の情報を秘密にしておきたいです。そのようなコンピュータシステムは、ワークステーション、ラップトップ、サーバ、関数固有のエンドポイント(例えば、プリンタ、スキャナ、IP電話、ポイント・オブ・販売機、建物ドアアクセス制御装置)を含み、そしてそのような。彼らは、ネットワーク上のホストの数をカウントから外部エンティティを防ぎたいです。彼らはまた、すなわち、憲法、内容、またはホストの機能についての情報を得て、ホストのフィンガープリントを防ぎたいです。それはユーザワークステーション、金融サーバー、ソースコードのビルドサーバー、またはプリンタであるかのように例えば、彼らは、ホストの役割を非表示にします。ホスト指紋防止の第2の要素は、ホストを損なうことで、攻撃者を助けることができ詳細を隠すことです。このような詳細は、そのバージョン番号、それはかいてもいなくてもよい任意のパッチ、メイクやデバイスハードウェアのモデルは、任意のアプリケーション・ソフトウェア・パッケージはように、これらのバージョン番号とパッチをロードされ、オペレーティングシステムのタイプが含まれる場合があります。ホストに関するこのような情報を使用すると、攻撃者は、より焦点を絞った、標的型攻撃を起動することができます。オペレータは、ホストカウントとホスト指紋の両方を停止したいです。
Where host counting is a concern, it is worth pointing out some of the challenges in preventing it. [Bellovin] showed how one can successfully count the number of hosts behind a certain type of simple NAT box. More complex NAT deployments, e.g., ones employing Network Address Port Translators (NAPTs) with a pool of public addresses that are randomly bound to internal hosts dynamically upon receipt of any new connection, and do so without persistency across connections from the same host are more successful in preventing host counting. However, the more complex the NAT deployment, the less likely that complex connection types like the Session Initiation Protocol (SIP) [RFC3261] and the Stream Control Transmission Protocol (SCTP) [RFC4960] will be able to successfully traverse the NAT. This observation follows the age-old axiom for networked computer systems: for every unit of security you gain, you give up a unit of convenience, and for every unit of convenience you hope to gain, you must give up a unit of security.
ホストカウントが懸念される場合は、それを防止する上での課題のいくつかを指摘する価値があります。 [Bellovin氏】一が正常にシンプルなNATボックスの特定の種類の背後にあるホストの数をカウントする方法を示しました。より複雑なNATの展開、例えば、ネットワークを動的に任意の新しい接続を受信すると、ランダムに内部ホストにバインドされているパブリックアドレスのプールでポート翻訳者(NAPTs)に対処し、同じホストからの接続にわたって持続せず、そう採用するものがもっとありますホストカウントを防止することに成功。しかし、より複雑なNATの展開、可能性が低いが、セッション開始プロトコル(SIP)[RFC3261]とストリーム制御伝送プロトコル(SCTP)[RFC4960]のような複雑な接続タイプが正常にNATを通過できるようになること。この観察は、ネットワーク接続されたコンピュータ・システムのための古来の公理を、次のとおりです。あなたが得るセキュリティのすべてのユニットのために、あなたは、利便性の単位を放棄し、あなたが得ることを望む利便性のすべてのユニットのために、あなたはセキュリティの単位を放棄しなければなりません。
If fields such as fragment ID, TCP initial sequence number, or ephemeral port number are chosen in a predictable fashion (e.g., sequentially), then an attacker may correlate packets or connections coming from the same host.
そのようなフラグメントID、TCP初期シーケンス番号、またはエフェメラルポート番号などのフィールドが予測可能な方法(例えば、順次)で選択された場合、攻撃者は、同じホストからのパケットまたは接続を相関させることができます。
To prevent counting hosts by counting addresses, one might be tempted to use a separate IP address for each transport-layer connection. Such an approach introduces other architectural problems, however. Within the host's subnet, various devices including switches, routers, and even the host's own hardware interface often have a limited amount of state available before causing communication that uses a large number of addresses to suffer significant performance problems. In addition, if an attacker can somehow determine an average number of connections per host, the attacker can still estimate the number of hosts based on the number of connections observed. Hence, such an approach can adversely affect legitimate communication at all times, simply to raise the bar for an attacker.
アドレスをカウントしてカウントホストを防ぐためには、それぞれのトランスポート層接続のための個別のIPアドレスを使用するように誘惑されるかもしれません。このようなアプローチは、しかし、他のアーキテクチャ上の問題を紹介します。ホストのサブネット内では、スイッチ、ルータ、さらには宿主自身のハードウェア・インタフェースを含む様々なデバイスは、多くの場合、大幅なパフォーマンスの問題に苦しむ多数のアドレスを使用して通信を引き起こし前に、使用可能な状態の限られた量を持っています。攻撃者が何らかの方法でホストごとの接続の平均数を決定することができる場合に加えて、攻撃者は依然として観察された接続の数に基づいて、ホストの数を推定することができます。したがって、このようなアプローチは悪単に攻撃者のためのバーを上げるために、すべての回で、正当な通信に影響を与えることができます。
Where host fingerprinting is concerned, even a complex NAT cannot prevent fingerprinting completely. The way that different hosts respond to different requests and sequences of events will indicate consistently the type of a host that it is, its OS, version number, and sometimes applications installed, etc. Products exist that do this for network administrators as a service, as part of a vulnerability assessment.
ホスト指紋が懸念される場合には、複雑なNATは完全に指紋を防ぐことはできません。道異なるホストが一貫しているホストのタイプを示しますイベントの異なる要求との配列に対応することを、そのOSは、バージョン番号、そして時にはアプリケーションがインストールされ、その他製品は、それがサービスとしてネットワーク管理者のためにこれを行うに存在します脆弱性評価の一環として。
These scanning tools initiate connections of various types across a range of possible IP addresses reachable through that network. They observe what returns, and then send follow-up messages accordingly until they "fingerprint" the host thoroughly. When run as part of a network assessment process, these tools are normally run from the inside of the network, behind the NAT. If such a tool is set outside a network boundary (as part of an external vulnerability assessment or penetration test) along the path of packets, and is passively observing and recording connection exchanges, over time it can fingerprint hosts only if it has a means of determining which externally viewed connections are originating from the same internal host. If the NATing is simple and static, and each host's internal address is always mapped to the same external address and vice versa, the tool has 100% success fingerprinting the host. With the internal hosts mapped to their external IP addresses and fingerprinted, the attacker can launch targeted attacks into those hosts, or reliably attempt to hijack those hosts' connections. If the NAT uses a single external IP, or a pool of dynamically assigned IP addresses for each host, but does so in a deterministic and predictable way, then the operation of fingerprinting is more complex, but quite achievable.
これらのスキャンツールは、ネットワークを介して到達可能なIPアドレスの範囲の様々なタイプの接続を開始します。彼らは返すものを観察し、それに応じてホスト徹底的に彼ら「指紋」までフォローアップメッセージを送信します。ネットワーク評価プロセスの一部として実行すると、これらのツールは、通常、NATの背後に、ネットワークの内部から実行されています。そのようなツールは、パケットの経路に沿って(外部の脆弱性評価や侵入テストの一部として)ネットワーク境界の外側に設定され、受動的に接続交換を観察し、記録している場合、それはの手段を有している場合にのみ、時間をかけてそれがホストの指紋ができ決定外部から閲覧の接続は、同じ内部ホストから発信されています。 NAT変換が簡単で、静的であり、各ホストの内部アドレスが常に同じ外部アドレスとその逆にマップされている場合、このツールはホストのフィンガープリンティング、100%の成功を持っています。内部ホストが自分の外部IPアドレスにマップされ、指紋を使用すると、攻撃者は、これらのホストに標的型攻撃を起動するか、確実にこれらのホストの接続をハイジャックしようとすることができます。 NATは、単一の外部IP、またはホストごとに動的に割り当てられたIPアドレスのプールを使用していますが、決定論的で予測可能な方法でそうする場合には、フィンガープリントの操作は、より複雑な、しかし非常に達成可能です。
If the NAT uses dynamically assigned addresses, with short-term persistency, but no externally learnable determinism, then the problem gets harder for the attacker. The observer may be able to fingerprint a host during the lifetime of a particular IP address mapping, and across connections, but once that IP mapping is terminated, the observer doesn't immediately know which new mapping will be that same host. After much observation and correlation, the attacker could sometimes determine if an observed new connection in flight is from a familiar host. With that information, and a good set of man-in-the-middle attack tools, the attacker could attempt to compromise the host by hijacking a new connection of adequately long duration. If temporal persistency is not deployed on the NAT, then this tactic becomes almost impossible. As the difficulty and cost of the attack increases, the number of attackers attempting to employ it decreases. And certainly the attacker would not be able to initiate a connection toward a host for which the attacker does not know the current IP address binding. So, the attacker is limited to hijacking observed connections thought to be from a familiar host, or to blindly initiating attacks on connections in flight. This is why network administrators appreciate complex NATs' ability to deter host counting and fingerprinting, but such deterrence comes at a cost of host reachability.
NATは、短期的な持続性で、動的に割り当てられたアドレスを使用していますが、ない外部から学習可能な決定論場合、問題は攻撃者にとって難しくなります。観察者は、特定のIPアドレスのマッピングの存続期間中、および接続間でホストを指紋することができるかもしれないが、そのIPマッピングが終了すると、観察者はすぐに新しいマッピングが、同じホストされるかを知りません。飛行中に観測され、新しい接続はおなじみのホストからであれば多くの観測と相関した後、攻撃者は時々決定することができます。その情報、およびman-in-the-middle攻撃ツールの良いセットを使用すると、攻撃者は、適切に長い期間の新しい接続をハイジャックして、ホストを侵害しようとする可能性があり。時間的持続性をNATに配備されていない場合は、この戦術はほとんど不可能になります。攻撃が増加の難しさやコストなど、採用しようとする攻撃者の数が、それは減少します。そして、確かに攻撃者は、攻撃者が結合現在のIPアドレスを知らないためにホストに向けて接続を開始することができません。だから、攻撃者は、使い慣れたホストからのものであると考え乗っ取り観察の接続に制限されている、または盲目的に飛行中の接続への攻撃を開始します。ネットワーク管理者は、ホストのカウントとフィンガープリントを抑止するために、複雑なNATのの能力を高く評価する理由ですが、そのような抑止力は、ホストの到達可能性を犠牲にしています。
It is perceived that a network operator may want to hide the details of the network topology, the size of the network, the identities of the internal routers, and the interconnection among the routers. This desire has been discussed in [RFC4864], Sections 4.4 and 6.2.
ネットワークオペレータは、ネットワークトポロジ、ネットワークの大きさ、内部ルータのアイデンティティ、およびルータ間の相互接続の詳細を非表示にすることが認識されています。この要望は、セクション4.4および6.2、[RFC4864]で議論されてきました。
However, the success of topology hiding is dependent upon the complexity, dynamism, and pervasiveness of bindings the NAT employs (all of which were described above). The more complex, the more the topology will be hidden, but the less likely that complex connection types will successfully traverse the NAT barrier. Thus, the trade-off is reachability across applications.
しかし、トポロジ隠蔽の成功は、NATを採用バインディング(いずれも前述された)の複雑さ、ダイナミズム、および普及に依存しています。より複雑な、より多くのトポロジが非表示になりますが、複雑な接続タイプが正常にNATの障壁を通過することが少ないです。したがって、トレードオフは、アプリケーション間で到達可能です。
Even if one can hide the actual addresses of internal hosts through address translation, this does not necessarily prove sufficient to hide internal topology. It may be possible to infer some aspects of topological information from passively observing packets. For example, based on packet timing, delay measurements, the Hop Limit field, or other fields in the packet header, one could infer the relative distance between multiple hosts. Once an observed session is believed to match a previously fingerprinted host, that host's distance from the NAT device may be learned, but not its exact location or particular internal subnet.
1は、アドレス変換を介して内部ホストの実際のアドレスを隠すことができたとしても、これは必ずしも内部トポロジを隠すために十分な証明にはなりません。受動的に観察したパケットからトポロジ情報のいくつかの側面を推測することも可能です。例えば、パケットのタイミング、遅延測定、ホップリミットフィールド、あるいはパケット・ヘッダ内の他のフィールドに基づいて、一方が複数のホスト間の相対距離を推測することができました。観察されたセッションが以前にフィンガープリントホストと一致すると考えられたら、NATデバイスからそのホストの距離が学習ではなく、その正確な位置または特定の内部サブネットされてもよいです。
Host fingerprinting is required in order to do a thorough distance mapping. An attacker might then use message contents to lump certain types of devices into logical clusters, and take educated guesses at attacks. This is not, however, a thorough mapping. Some NATs change the TTL hop counts, much like an application-layer proxy would, while others don't; this is an administrative setting on more advanced NATs. The simpler and more static the NAT, the more possible this is. The more complex and dynamic and non-persistent the NAT bindings, the more difficult.
ホストのフィンガープリントは、徹底した距離のマッピングを行うために必要とされます。その後、攻撃者は論理クラスタへのデバイスの特定の種類のしこりするメッセージの内容を使用して、攻撃で教育を受け推測がかかる場合があります。これは、しかし、徹底したマッピングではありません。他の人がいない間、いくつかのNATは、多くのアプリケーション層プロキシだろうと同じように、TTLのホップ数を変更します。これは、より高度なNATの上で管理者の設定です。よりシンプルかつスタティックNAT、可能なよりこれがあります。より複雑かつダイナミックで非永続NATバインディング、より難しいです。
The degree of obfuscation a NAT can achieve will be a function of its complexity as measured by:
によって測定されるようにNATを実現することができます難読化の程度は、その複雑さの関数であろう。
o The use of one-to-many NAPT mappings;
一対多NAPTのマッピングの使用O;
o The randomness over time of the mappings from internal to external IP addresses, i.e., non-deterministic mappings from an outsider's perspective;
内部から外部のIPアドレスへのマッピングの時間をかけてランダムO、部外者の視点から、すなわち、非決定論的マッピング。
o The lack of persistence of mappings, i.e., the shortness of mapping lifetimes and not using the same mapping repeatedly;
即ち、マッピングの持続性の欠如、マッピング寿命の短さと繰り返し同じマッピングを使用していないO。
o The use of re-writing in IP header fields such as TTL.
例えばTTLなどのIPヘッダフィールド内の再書き込みの利用O。
However, deployers be warned: as obfuscation increases, host reachability decreases. Mechanisms such as STUN [RFC5389] and Teredo [RFC4380] fail with the more complex NAT mechanisms.
しかし、デプロイヤが警告さ:難読化が増加すると、ホストの到達可能性が減少します。そのようなSTUN [RFC5389]とTeredo [RFC4380]などのメカニズムは、より複雑なNAT機構で失敗します。
It is commonly perceived that a NAT box provides one level of protection because external hosts cannot directly initiate communication with hosts behind a NAT. However, one should not confuse NAT boxes with firewalls. As discussed in [RFC4864], Section 2.2, the act of translation does not provide security in itself. The stateful filtering function can provide the same level of protection without requiring a translation function. For further discussion, see [RFC4864], Section 4.2.
一般的に、外部のホストが直接NATの背後にあるホストとの通信を開始することができないので、NATボックスは、保護の1つのレベルを提供することを認識されています。しかし、一つは、ファイアウォールでNATボックスを混同してはなりません。 [RFC4864]、セクション2.2で説明したように、翻訳の行為は、それ自体にセキュリティを提供しません。ステートフルフィルタリング機能は、翻訳機能を必要とすることなく、同じレベルの保護を提供することができます。さらなる議論に関しては、[RFC4864]、セクション4.2を参照してください。
At present, the primary benefits one may receive from deploying NAT appear to be avoiding renumbering, facilitating multihoming without impacting routing scalability, and making edge consumer network configurations homogenous.
現時点では、1は、NATを展開から受け取ることが主な利点は、リナンバリングを避け、ルーティング拡張性に影響を与えることなく、マルチホーミングを促進し、エッジ消費者のネットワーク構成が均質作るように見えます。
Network obfuscation (host hiding, both counting and fingerprinting prevention, and topology hiding) may well be achieved with more complex NATs, but at the cost of losing some reachability and application success. Again, when it comes to security, this is often the case: to gain security one must give up some measure of convenience.
ネットワーク難読化(ホスト隠し、集計および指紋防止の両方、およびトポロジ隠蔽)だけでなく、より複雑なNATので達成することができるが、いくつかの到達可能性とアプリケーションの成功を失うコストで。利便性のいくつかの対策を放棄しなければならないセキュリティ1を得るために:それは、セキュリティに来るときここでも、これはよくあるケースです。
First, it is important to distinguish between the effects of a NAT box vs. the effects of a firewall. A firewall is intended to prevent unwanted traffic [RFC4948] without impacting wanted traffic, whereas a NAT box also interferes with wanted traffic. In the remainder of this section, the term "reachability" is used with respect to wanted traffic.
まず、ファイアウォールの影響対NATボックスの影響を区別することが重要です。ファイアウォールはNATボックスも指名手配交通を妨げる一方で、トラフィックを望んでいた影響を与えることなく、不要なトラフィック[RFC4948]を防止するためです。このセクションの残りでは、用語「到達可能性」は、所望のトラフィックに対して使用されます。
The discussions on IPv6 NAT often refer to the wide deployment of IPv4 NAT, where people have both identified tangible benefits and gained operational experience. However, the discussions so far seem mostly focused on the potential benefits that IPv6 NAT may, or may not, bring. Little attention has been paid to the bigger picture, as we elaborate below.
IPv6のNATに関する議論は、多くの場合、人々は両方の具体的なメリットを特定し、運用経験を得ていたIPv4 NAT、幅広い展開を参照してください。しかし、議論はこれまでのIPv6 NATは、してもしなくてもよい、持って来る可能性がある潜在的な利益のほとんどが集中思えます。私たちは以下の手の込んだとして少し注意は、大きな画像が注目されています。
When considering the benefits that IPv6 NAT may bring to a site that deploys it, we must not overlook a bigger question: if one site deploys IPv6 NAT, what is the potential impact it brings to the rest of the Internet that does not do IPv6 NAT? By "the rest of the Internet", we mean the Internet community that develops, deploys, and uses end-to-end applications and protocols and hence is affected by any loss of transparency (see [RFC2993] and [RFC4924] for further discussion). This important question does not seem to have been addressed, or addressed adequately.
IPv6のNATは、それを展開し、サイトにもたらすことのメリットを考えるとき、私たちは大きな問題を見落とさない必要があります:1つのサイトがIPv6のNATを展開している場合、IPv6のNATをしない、インターネットの残りの部分にそれがもたらす潜在的な影響するものです? 「インターネットの残りの部分」とは、我々は、開発展開、およびエンドツーエンドのアプリケーションとプロトコルを使用していますので、透明性の損失の影響を受けているインターネットコミュニティを意味する(さらなる議論のための[RFC2993]と[RFC4924]を参照してください)。この重要な問題は対処されているように見える、または適切に対処しません。
We believe that the discussions on IPv6 NAT should be put in the context of the overall Internet architecture. The foremost question is not how many benefits one may derive from using IPv6 NAT, but more fundamentally, whether a significant portion of parties on the Internet are willing to deploy IPv6 NAT, and hence whether we want to make IP address translation a permanent building block in the Internet architecture.
私たちは、IPv6 NATに関する議論は、全体的なインターネットアーキテクチャの文脈に置かれるべきであると信じています。一番の問題は1つが、インターネット上の当事者の重要な部分は、IPv6 NATを展開して喜んでいる、とするかどうかを、より根本的にIPv6のNATを使用してから派生するかもしれないが、どのように多くのメリットではありませんので、我々は永久的なビルディングブロックIPアドレス変換をしたいかどうかインターネットアーキテクチャインチ
One may argue that the answers to the above questions depend on whether we can find adequate solutions to the renumbering, site multihoming, and edge network configuration problems, and whether the solutions provide transparency or not. If transparency is not provided, making NAT a permanent building block in the Internet would represent a fundamental architectural change.
一つは、上記の質問に対する答えは、我々はリナンバリング、サイトマルチホーミング、およびエッジネットワーク構成の問題への適切な解決策を見つけることができるかどうかに依存していると主張する、とするかどうかのソリューションは、透明性を提供したりしませ。透明性はNATを作り、提供されていない場合は、インターネットでの恒久的なビルディングブロックは、基本的なアーキテクチャの変更を表します。
It is desirable that IPv6 users and applications be able to reach each other directly without having to worry about address translation boxes between the two ends. IPv6 application developers in general should be able to program based on the assumption of end-to-end reachability (of wanted traffic), without having to address the issue of traversing NAT boxes. For example, referrals and multi-party conversations are straightforward with end-to-end addressing, but vastly complicated in the presence of address translation. Similarly, network administrators should be able to run their networks without the added complexity of NATs, which can bring not only the cost of additional boxes, but also increased difficulties in network monitoring and problem debugging.
IPv6のユーザーとアプリケーションが2つの端部の間のアドレス変換ボックスを気にすることなく、直接相互に到達できることが望ましいです。一般的にはIPv6のアプリケーション開発者は、NAT箱を横断する問題に対処することなく、(指名手配トラフィックの)エンドツーエンドの到達性の仮定に基づいてプログラムすることができるはずです。例えば、紹介およびマルチパーティの会話は、エンドツーエンドのアドレッシングとの簡単な、しかし、アドレス変換の存在下で非常に複雑です。同様に、ネットワーク管理者は、追加のボックスのコストが、ネットワークの監視や問題のデバッグでも増加難しさだけでなく、をもたらすことができるのNATの追加複雑さ、せずに自社のネットワークを実行することができます。
Given the diversity of the Internet user populations and the diversity in today's operational practice, it is conceivable that some parties may have a strong desire to deploy IPv6 NAT, and the Internet should accommodate different views that lead to different practices (i.e., some using IPv6 NAT, others not).
インターネットの利用者集団の多様性と、今日の運用実務の多様性を考えると、いくつかの当事者がIPv6 NATを展開する強い意欲を有していてもよく、そしてインターネットは異なる実践につながる異なるビュー(すなわち、いくつか使用してIPv6に対応すべきであると考えられますNAT、他の人ではありません)。
If we accept the view that some, but not all, parties want IPv6 NAT, then the real debate should not be on what benefits IPv6 NAT may bring to the parties who deploy it. It is undeniable that network address translation can bring certain benefits to its users. However, the real challenge we should address is how to design IPv6 NAT in such a way that it can hide its impact within some localized scope. If IPv6 NAT design can achieve this goal, then the Internet as a whole can strive for (reinstalling) the end-to-end reachability model.
我々はいくつかが、すべてではなく、当事者が欲しいという見解を受け入れた場合のIPv6 NATは、その後、実際の議論は、IPv6 NATは、それを展開パーティーにもたらすことがメリットものにすべきではありません。ネットワークアドレス変換は、そのユーザーに一定の利益をもたらすことができるということは否定できない。しかし、私たちが取り組むべき本当の課題は、それはいくつかのローカライズされた範囲内でその影響を隠すことができるような方法でのIPv6 NATを設計する方法です。 IPv6のNATのデザインは、この目標を達成することができた場合は、全体としてのインターネットは、エンドツーエンドの到達可能性モデルを(再インストール)のために努力することができます。
From an end-to-end perspective, the solution space for renumbering and multihoming can be broadly divided into three classes:
エンドツーエンドの観点から、リナンバリングとマルチホーミングのための解空間は、大きく3つのクラスに分けることができます。
1. Endpoints get a stable, globally reachable address: In this class of solutions, end sites use provider-independent addressing and hence endpoints are unaffected by changing service providers. For this to be a complete solution, provider-independent addressing must be available to all managed networks (i.e., all networks that use manual configuration of addresses or prefixes in any type of system). However, in today's practice, assigning provider-independent addresses to all networks, including small ones, raises concerns with the scalability of the global routing system. This is an area of ongoing research and experimentation. In practice, network administrators have also been developing short-term approaches to resolve today's gap between the continued routing table growth and limitations in existing router capacity [NANOG].
1.エンドポイントは、安定した、世界的に到達可能なアドレスを取得:ソリューションのこのクラスでは、エンドサイトは、プロバイダに依存しないアドレス指定を使用し、したがって、エンドポイントは、サービスプロバイダを変更することによって影響を受けません。これは完全な解決策であるために、プロバイダに依存しないアドレス指定は、すべての管理対象ネットワークに利用可能でなければならない(すなわち、システムの任意のタイプのアドレスまたはプレフィックスの手動設定を使用するすべてのネットワーク)。しかし、今日の練習では、小さなものも含め、すべてのネットワークに、プロバイダに依存しないアドレスを割り当てる、グローバルルーティングシステムのスケーラビリティと懸念を提起。これは、進行中の研究と実験のエリアです。実際には、ネットワーク管理者は、既存のルータ容量[NANOG]で継続的なルーティングテーブルの成長と制限の間で、今日のギャップを解決するために、短期的なアプローチを開発してきました。
2. Endpoints get a stable but non-globally-routable address on physical interfaces but a dynamic, globally routable address inside a tunnel: In this class of solutions, hosts use locally-scoped (and hence provider-independent) addresses for communication within the site using their physical interfaces. As a result, managed systems such as routers, DHCP servers, etc., all see stable addresses. Tunneling from the host to some infrastructure device is then used to communicate externally. Tunneling provides the host with globally routable addresses that may change, but address changes are constrained to systems that operate over or beyond the tunnel, including DNS servers and applications. These systems, however, are the ones that often can already deal with changes today using mechanisms such as DNS dynamic update. However, if endpoints and the tunnel infrastructure devices are owned by different organizations, then solutions are harder to incrementally deploy due to the incentive and coordination issues involved.
2.エンドポイントは、トンネル内の物理インターフェイス上で安定であるが、非グローバルにルーティング可能なアドレスが、動的、グローバルにルーティング可能なアドレスを取得:ソリューションのこのクラスでは、ホストは、ローカルスコープ(従って、プロバイダに依存)を使用して内の通信のためのアドレスを彼らの物理インターフェイスを使用しているサイト。その結果、など、ルータ、DHCPサーバーなどの管理対象システムは、すべての安定したアドレスを参照してください。いくつかのインフラストラクチャデバイスへのホストからのトンネリングは、その後、外部からの通信に使用されます。トンネリングは、変更される可能性があり、グローバルにルーティング可能なアドレスを持つホストを提供していますが、アドレスの変更は、DNSサーバやアプリケーションなどの上やトンネルを超えて動作するシステムに拘束されています。これらのシステムは、しかし、多くの場合、すでにDNS動的更新などのメカニズムを使用して、今日の変化に対処することができるものです。しかし、エンドポイントおよびトンネルインフラストラクチャデバイスは、異なる組織によって所有されている場合は、その解決策は漸増による関与のインセンティブと調整の問題に展開することが困難です。
3. Endpoints get a stable address that gets translated in the network: In this class of solutions, end sites use non-globally-routable addresses within the site, and translate them to globally routable addresses somewhere in the network. In general, this causes the loss of end-to-end transparency, which is the subject of [RFC4924] and the documents it surveys. If the translation is reversible, and the translation is indeed reversed by the time it reaches the other end of communication, then end-to-end transparency can be provided. However, if the two translators involved are owned by different organizations, then solutions are harder to incrementally deploy due to the incentive and coordination issues involved.
ソリューションのこのクラスでは、エンドサイトは、サイト内の非グローバルにルーティング可能なアドレスを使用して、ネットワークのどこかでルーティング可能なアドレスをグローバルにそれらを翻訳:3.エンドポイントがネットワークに翻訳さ安定したアドレスを取得します。一般に、これは[RFC4924]と、それは調査したドキュメントの対象であるエンドツーエンドの透明性の損失を引き起こします。変換が可逆的であり、そして翻訳が実際にそれが通信相手に到達した時点で反転されている場合は、エンドツーエンドの透明性を提供することができます。関与する2人の翻訳者が異なる組織によって所有されている場合は、その後、解決策は漸増による関与のインセンティブと調整の問題に展開することが困難です。
Concerning routing scalability, although there is no immediate danger, routing scalability has been a longtime concern in operational communities, and an effective and deployable solution must be found. We observe that the question at hand is not about whether some parties can run NAT, but rather, whether the Internet as a whole would be willing to rely on NAT to curtail the routing scalability problem, and whether we have investigated all the potential impacts of doing so to understand its cost on the overall architecture. If effective solutions can be deployed in time to allow assigning provider-independent IPv6 addresses to all user communities, the Internet can avoid the complexity and fragility and other unforeseen problems introduced by NAT.
即時の危険はないが、ルーティングのスケーラビリティに関しては、ルーティング拡張性、運用コミュニティでの長年の懸念されており、効果的に展開ソリューションを見つけなければなりません。私たちは、手での質問は、いくつかの当事者がNATを実行するのではなく、全体としてのインターネットは、ルーティングのスケーラビリティの問題を削減するためにNATに頼ることをいとわないか、と私たちは、すべての潜在的な影響を検討したかどうかことができるかどうかについてではないことを確認します全体的なアーキテクチャ上のコストを理解するためにそうします。効果的なソリューションは、すべてのユーザーコミュニティにプロバイダに依存しないIPv6アドレスを割り当てることを可能にする時に展開することができれば、インターネットは複雑さと脆さとNATによって導入された他の予期せぬ問題を回避することができます。
As [RFC4924] states:
[RFC4924]の状態のように:
A network that does not filter or transform the data that it carries may be said to be "transparent" or "oblivious" to the content of packets. Networks that provide oblivious transport enable the deployment of new services without requiring changes to the core. It is this flexibility that is perhaps both the Internet's most essential characteristic as well as one of the most important contributors to its success.
フィルタリングしたり、それが運ぶデータを変換しないネットワークは、パケットの内容に「透明」または「忘れ」であると言うことができます。忘れ輸送を提供するネットワークはコアへの変更を必要とせずに、新たなサービスの展開を可能にします。それは、おそらくインターネットの最も本質的な特徴だけでなく、その成功に最も重要な貢献の一つでもあるこの柔軟性です。
We believe that providing end-to-end transparency, as defined above, is key to the success of the Internet. While some fields of traffic (e.g., Hop Limit) are defined to be mutable, transparency requires that fields not defined as such arrive un-transformed. Currently, the source and destination addresses are defined as immutable fields, and are used as such by many protocols and applications.
私たちは、上で定義したように、エンド・ツー・エンドの透明性を提供することは、インターネットの成功の鍵であると信じています。トラフィック(例えば、ホップ限界)のいくつかのフィールドが変更可能になるように定義されているが、透明性はそのようなものが非形質転換到着するフィールドが定義されていないことを要求します。現在では、送信元と送信先のアドレスは不変フィールドとして定義されており、多くのプロトコルおよびアプリケーションによってそのように使用されています。
Each of the three classes of solution can be defined in a way that preserves end-to-end transparency.
ソリューションの三つのクラスのそれぞれには、エンドツーエンドの透明性を維持する方法で定義することができます。
While we do not consider IPv6 NATs to be desirable, we understand that some deployment of them is likely unless workable solutions to avoiding renumbering, facilitating multihoming without adversely impacting routing scalability, and homogeneity are generally recognized as useful and appropriate.
我々はIPv6のNATのが望ましいと考えていませんが、我々は、リナンバリングを避け悪影響ルーティングスケーラビリティに影響を与えることなく、マルチホーミングを促進し、均一に実行可能な解決策は、一般的に有用かつ適切に認識されない限り、それらのいくつかの展開の可能性があることを理解しています。
As such, we strongly encourage the community to consider end-to-end transparency as a requirement when proposing any solution, whether it be based on tunneling or translation or some other technique. Solutions can then be compared based on other aspects such as scalability and ease of deployment.
そのため、我々は強くすべてのソリューションを提案するとき、それがトンネリングまたは翻訳またはいくつかの他の技術に基づいているかどうか、要件として、エンドツーエンドの透明性を考慮するコミュニティを奨励します。溶液は次いで、スケーラビリティと展開の容易さなどの他の側面に基づいて比較することができます。
Section 2 discusses potential privacy concerns as part of the Host Counting and Topology Hiding problems.
第2節では、問題を隠蔽ホストカウンティングとトポロジの一部として、潜在的なプライバシーの問題について説明します。
Marcelo Bagnulo Gonzalo Camarillo Stuart Cheshire Vijay Gill Russ Housley John Klensin Olaf Kolkman Gregory Lebovitz Andrew Malis Danny McPherson David Oran Jon Peterson Dave Thaler
マルセロBagnuloゴンサロ・カマリロスチュアートチェシャービジェイ・ギルラスHousleyジョン・クレンシンオラフKolkmanグレゴリーLebovitzアンドリューMalisダニー・マクファーソンデヴィッドオランジョン・ピーターソンデーブターラー
[Bellovin] Bellovin, S., "A Technique for Counting NATted Hosts", Proc. Second Internet Measurement Workshop, November 2002, <http://www.cs.columbia.edu/~smb/papers/fnat.pdf>.
[Bellovin氏] Bellovin氏、S.、 "NATtedホストをカウントするための技術"、PROC。第二に、インターネット測定ワークショップ、2002年11月、<http://www.cs.columbia.edu/~smb/papers/fnat.pdf>。
[NANOG] "Extending the Life of Layer 3 Switches in a 256k+ Route World", NANOG 44, October 2008, <http://www.nanog.org/ meetings/nanog44/presentations/Monday/ Roisman_lightning.pdf>.
[NANOG]、NANOG 44、2008年10月、<http://www.nanog.org/会議/ nanog44 /プレゼンテーション/月曜日/ Roisman_lightning.pdf>を "256K +ルートの世界では、レイヤの3つのスイッチを寿命を延ばします"。
[RFC2993] Hain, T., "Architectural Implications of NAT", RFC 2993, November 2000.
[RFC2993]ハイン、T.、 "NATの建築的意味"、RFC 2993、2000年11月。
[RFC3261] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002.
[RFC3261]ローゼンバーグ、J.、Schulzrinneと、H.、カマリロ、G.、ジョンストン、A.、ピーターソン、J.、スパークス、R.、ハンドレー、M.、およびE.学生、 "SIP:セッション開始プロトコル" 、RFC 3261、2002年6月。
[RFC4380] Huitema, C., "Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)", RFC 4380, February 2006.
[RFC4380]のHuitema、C.、 "のTeredo:ネットワークアドレス変換を通じてUDP経由トンネリングのIPv6器(NAT)"、RFC 4380、2006年2月。
[RFC4864] Van de Velde, G., Hain, T., Droms, R., Carpenter, B., and E. Klein, "Local Network Protection for IPv6", RFC 4864, May 2007.
[RFC4864]ヴァン・デ・ヴェルデ、G.、ハイン、T.、Droms、R.、大工、B.、およびE.クライン、 "IPv6のローカルネットワークの保護"、RFC 4864、2007年5月。
[RFC4924] Aboba, B. and E. Davies, "Reflections on Internet Transparency", RFC 4924, July 2007.
[RFC4924] Aboba、B.およびE.デイヴィス、 "インターネット上の透明反射"、RFC 4924、2007年7月。
[RFC4948] Andersson, L., Davies, E., and L. Zhang, "Report from the IAB workshop on Unwanted Traffic March 9-10, 2006", RFC 4948, August 2007.
[RFC4948]アンデション、L.、デイヴィス、E.、およびL.チャン、 "不要なトラフィック月9-10、2006年IABワークショップからの報告書"、RFC 4948、2007年8月。
[RFC4960] Stewart, R., "Stream Control Transmission Protocol", RFC 4960, September 2007.
[RFC4960]スチュワート、R.、 "ストリーム制御伝送プロトコル"、RFC 4960、2007年9月。
[RFC5389] Rosenberg, J., Mahy, R., Matthews, P., and D. Wing, "Session Traversal Utilities for NAT (STUN)", RFC 5389, October 2008.
[RFC5389]ローゼンバーグ、J.、マーイ、R.、マシューズ、P.、およびD.翼、 "NAT(STUN)のセッショントラバーサルユーティリティ"、RFC 5389、2008年10月。
[RFC5887] Carpenter, B., Atkinson, R., and H. Flinck, "Renumbering Still Needs Work", RFC 5887, May 2010.
[RFC5887]大工、B.、アトキンソン、R.、およびH.フリンクは、RFC 5887、2010年5月、 "リナンバリングはまだ作業が必要"。
Authors' Addresses
著者のアドレス
Dave Thaler Microsoft Corporation One Microsoft Way Redmond, WA 98052 USA
デーブターラーマイクロソフト社1マイクロソフト道、レッドモンド、ワシントン98052 USA
Phone: +1 425 703 8835 EMail: dthaler@microsoft.com
電話:+1 425 703 8835 Eメール:dthaler@microsoft.com
Lixia Zhang UCLA Computer Science Department 3713 Boelter Hall Los Angeles, CA 90095 USA
L I張UCLAコンピュータサイエンス学部3713 BOE老人ホールロサンゼルス、CA 90095 USA
Phone: +1 310 825 2695 EMail: lixia@cs.ucla.edu
電話:+1 310 825 2695 Eメール:lixia@cs.ucla.edu
Gregory Lebovitz Juniper Networks, Inc. 1194 North Mathilda Ave. Sunnyvale, CA 94089 USA
グレゴリーLebovitzジュニパーネットワークス株式会社1194北マチルダアベニュー。サニーベール、CA 94089 USA
EMail: gregory.ietf@gmail.com
メールアドレス:gregory.ietf@gmail.com
Internet Architecture Board
インターネットアーキテクチャ委員会
EMail: iab@iab.org
メールアドレス:iab@iab.org