この文書はRFC3639の日本語訳(和訳)です。 この文書の翻訳内容の正確さは保障できないため、 正確な知識や情報を求める方は原文を参照してください。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、 誤りの指摘は適切です。 この文書の配布は元のRFC同様に無制限です。
Network Working Group M. St. Johns, Ed. Request for Comments: 3639 G. Huston, Ed. Category: Informational IAB October 2003 Considerations on the use of a Service Identifier in Packet Headers パケットヘッダでのサービス識別子の使用上の考察 Status of this Memo この文書の状態 This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. このメモはインターネット共同体のための情報を供給します。これはインター ネット標準を指定しません。このメモの配布は無制限です。 Copyright Notice 著作権表示 Copyright (C) The Internet Society (2003). All Rights Reserved. Abstract 概要 This memo describes some considerations relating to the use of IP protocol number fields and payload protocol (e.g., TCP) port fields to identify particular services that may be associated with that port number or protocol number. この文書は、ポート番号やプロトコル番号と結び付くかもしれない特定のサー ビスを識別するための、IPプロトコル番号フィールドとペイロードプロト コル(例えば、TCP)ポートフィールドの使用に関連する考察を記述しま す。 1. Introduction 1. はじめに This memo describes some considerations relating to the use of IP protocol number fields and payload protocol (e.g., TCP) port or service fields to identify particular services that may be associated with that port number or protocol number. It is a general statement regarding appropriate processing and use of service identifiers by intermediate systems. この文書は、ポート番号やプロトコル番号と結び付くかもしれない特定のサー ビスを識別するための、IPプロトコル番号フィールドとペイロードプロト コル(例えば、TCP)ポートあるいはサービスフィールドの使用に関連す る考察を記述します。これは中間システムによる適切な処理とサービス識別 子の使用に関係する一般的な記述です。 This memo points out that various measures by intermediate systems that are intended to filter or prevent the transmission of traffic based on the service identification within the traffic flow will have a limited effect. This will also have a major side-effect of forcing the affected services to be redesigned using various forms of encapsulation or dynamic port negotiation in order to remove the fixed service identification from the IP packet headers. The IAB does not believe this serves the general interests of the Internet community related to the design of simple and reliable Internet applications. This memo suggests some thought be given to control mechanisms that do not rely on intermediary systems taking actions based on an assumed relationship between the service identifier in the packet and the actual service of which the packet is a part. このメモはトラフィック流の中でサービス識別子に基づくトラフィック伝送 のフィルタや排除を意図する、中間システムによる様々な方法が、限定され た効果を持つことを指摘します。これは同じく影響を受けたサービスが、固 定したサービス識別子をIPパケットヘッダから取り除くためにカプセル化 や動的ポート交渉の種々な方法を使うように、デザインを変更することの主 な副作用を指摘します。IABはこれが、単純で信頼性が高いインターネッ トアプリケーションのデザインと関係するインターネット共同体の一般的な 利害関係をサポートすると信じません。この文書はパケットのサービス識別 子と実際のサービスの間の仮定された関係に基づく中間システム動作に依存 しない制御メカニズムが与えられることを示唆します。 2. Service Identifiers 2. サービス識別子 Although not necessarily by design, certain conventions have evolved with respect to the IP protocol suite relative to the identification of services within an IP traffic flow: IPプロトコル群でのIPトラフィック流の中サービス識別に関連するある 特定の慣習が、必ずしも計画的にではなく、進展しました: o Within the IP protocol suite, end point identifiers (e.g., TCP/UDP/SCTP port numbers, IP protocol numbers) are designed to identify services to end points. In particular, TCP, UDP or SCTP (Stream Control Transmission Protocol) port numbers are intended to identify the source service location and the destination service entity to the destination end point. o IPプロトコル群の中で、終端点識別子(例えば、TCP/UDP/SC TPポート番号やIPプロトコル番号)が終端サービスを識別するよう意 図されます。特に、TCPやUDPやSCTP(ストリームコントロール 送信プロトコル)ポート番号が宛先終端点のソースサービスの場所と宛先 サービスエンティティーを識別するように意図されます。 o The IP [2] datagram header contains the source and destination address of the datagram as well as an indication of the upper- level protocol (ULP) carried within the datagram. If the ULP is either TCP [3], UDP [1], or SCTP [8] the payload will contain both source and destination port numbers which allows differentiation between services (e.g., TELNET, HTTP) and between multiple instances of the same service between the pair of hosts described by the source and destination address. o IP[2]データグラムヘッダは、データグラムのソースと宛先アドレスと、 上位レベルプロトコルの表示(ULP)をデータグラムの中に含んでいま す。もしULPがTCP[3]かUDP[1]かSCTP[8]であるなら、ペイ ロードはソースポートと宛先ポート番号を含み、これはサービス間の区別 (例えば、TELNETとHTTP)と、ソースアドレスと宛先アドレス で示される一対のホストの同じサービスの複数の接続の区別を許します。 o By convention, for at least TCP and UDP, certain port numbers are used as rendezvous points and are considered "well known" on the source or destination side of the communication. Such rendezvous points are maintained in an IANA registry currently located at [11]. Specific registries for protocol and port numbers are at [12] and [13]. o 習慣によって、少なくともTCPとUDPで、ある特定のポート番号が接 続点として用いられ、そして通信のソースあるいは宛先側で「既知」と考 えられています。このような接続点は現在[11]で示される場所のIANA 登記所で維持されます。プロトコルとポート番号のための特定の登記所が [12]と[13]にあります。 o Notwithstanding the "well knownness" of any given port, port numbers are only guaranteed to be meaningful to the end systems. An intermediate system should generally not impute specific meaning to any given port number, unless specifically indicated by an end system (e.g., via the Resource Reservation Protocol (RSVP) [4]) or agreed to by convention among the end systems and one or more specific intermediate systems (e.g., firewall traversal for the IP Security Protocol (IPSEC) [5]). o 与えられた「既知」ポートにもかかわらず、ポート番号はエンドシステム で意味を持つことを保証されるだけです。中間システムはある、(例えば、 資源予約プロトコル(RSVP)[4]によって)エンドシステムが特別 に指定しない限り、あるいは、(例えば、IPセキュリティプロトコル (IPSEC)のファイアウォール通過[5]で)エンドシステムと1つ以 上の中間システム間での約束による同意がない限り、ポート番号に一般に 特別な意味を持たせるべきではありません。 o Some services make use of protocol interactions to dynamically allocate service identifiers (i.e., port numbers) to specific communications. One specific example of this is the Session Initiation Protocol (SIP) [9]. The implication of this is that intermediate systems cannot relate the service identifiers to the actual service unless they participate in the protocols which allocate the service identifiers, or are explicitly notified of the outcome of the allocation. o あるサービスが動的に特定の通信にサービス識別子(すなわち、ポート番 号)を割り当てるためにプロトコル作用を利用します。この1つの事例は セッション開始プロトコル(SIP)[9]です。これは暗に、中間システ ムがサービス識別子を割り当てるプロトコルに参加するか、あるいは明示 的に割当結果を通知されないなら、実際のサービスとサービス識別子を関 連づけることができないということ、を意味します。 o Various products and service-related mechanisms deployed today take advantage of the fact that some service identifiers are relatively stable (and well known) to do various things (e.g., firewall filtering, QOS marking). o 今日存在する種々な製品とサービス関連のメカニズムが種々なことをする ために(例えば、ファイアウォールフィルタや、QoSマーク付け)、あ るサービス識別子が比較的安定した(そして既知である)という事実を利 用します。 o Certain network operations, such as various forms of packet encapsulation (e.g., tunneling) and encryption, can occlude this port number (or service identifier) while an IP packet is in transit within the network. For example, both the IPSEC Encapsulating Security Payload (ESP) [6] and Generic Routing Encapsulation (GRE) [7] both provide means for tunneling an IP datagram within another IP datagram. The service information becomes obscured and, in some instances, encrypted. o パケットカプセル化(例えば、トンネル)と暗号化の種々な形式のような、 ある特定のネットワークオペレーションは、IPパケットをネットワーク で転送中に、このポート番号(あるいはサービス識別子)を見えなくでき ます。例えば、IPSEC暗号化セキュリティペイロード(ESP)[6] と一般的なルーティングカプセル化(GRE)[7]の両方が、他のIPデー タグラム内にIPデータグラムをトンネルする手段を用意します。サービ ス情報が不明瞭にされ、そして、いくつかの場合には暗号化されます。 o Cooperating end systems may elect to use arbitrarily selected port numbers for any service. The port numbers used in such cases may be statically defined, through coordinated configuration of the cooperating end systems through use of a common application or operating system, or by dynamic selection as an outcome of a rendezvous protocol. o 協調しているエンドシステムはサービスに独断で選択されたポート番号を 使うかもしれません。このような場合に使われたポート番号は、共通アプ リケーションあるいはオペレーティング・システムでの協調エンドシステ ムの設定を通しての使用を通して静的に定義されるかもしれず、あるいは ランデブープロトコルの結果としての動的選択によるかもしれません。 Intermediate system imposed service-based controls may block legitimate uses by subscribers. For example, some service providers are blocking port 25 (i.e., notionally SMTP) traffic for the stated purpose of trying to prevent SPAM, but which can also block legitimate email to the end user. 中間システムが課したサービスベース管理は、利用者の正しい使用を妨害す るかもしれません。例えば、あるサービスプロバイダがスパムを妨げる目的 でポート25(通常はSMTP)トラフィックを阻止します、しかしこれは エンドユーザの正当な電子メールを阻止します。 Attempts by intermediate systems to impose service-based controls on communications against the perceived interests of the end parties to the communication are often circumvented [10]. Services may be tunneled within other services, proxied by a collaborating external host (e.g., an anonymous redirector), or simply run over an alternate port (e.g., port 8080 vs port 80 for HTTP). Another means of circumvention is alteration of the service behavior to use a dynamic port negotiation phase, in order to avoid use of a constant port address. 通信の終端者の関係者により、通信サービスベースの管理を課す中間システ ムによる試みはしばしば迂回されます[10]。サービスが他のサービス上にト ンネルされたり、協同外部ホスト(例えば匿名リダイレクタ)でプロキシさ れたり、代替ポート(例えば、HTTPでポート8080の対ポート80) 上で動作するかもしれませんん。もう1つの迂回の手段が静的ポートアドレ スの使用を避けるために、動的ポート交渉フェーズを使うためのサービス動 作の変更です。 For the purposes of this memo, a "party to a communication" is either the sender, receiver, or an authorized agent of the sender or receiver in the path. この文書では、「通信者」は送信者か受信者か、パス上の送信者か受信者の認 証エージェントです。 If intermediate systems take actions on behalf of one or more parties to the communication or affecting the communication, a good rule of thumb is they should only take actions that are beneficial to or approved by one or more of the parties, within the operational parameters of the service-specific protocol, or otherwise unlikely to lead to widespread evasion by the user community. もし中間システムが通信者のためあるいは通信に影響を与える行動を行うな ら、経験から得られる事は、サービス固有プロトコルの運用パラメータでい ずれかの通信者に利益があるか理解がされる行動を取る事か、そうでなけれ ばユーザ共同体による広範囲の回避を導くきそうにない行動をする事です。 3. Ramifications 3. 成り行き The IAB observes that having stable and globally meaningful service identifiers visible at points other than the end systems can be useful for the purposes of determining network behavior and network loading on a macro level. The IAB also observes that application protocols that include dynamic port negotiation for both ends of a connection tend to add to the complexity of the applications. IABはエンドシステム以外の場所でグローバルに安定して認識できる意味 のあるサービス識別子を持つことは、マクロレベルのネットワーク行動とネッ トワーク負荷を決定する目的で役立ち得ると述べます。IABは同じく、両 方の接続終端での動的ポート交渉を含むアプリケーションプロトコルは、ア プリケーションの複雑さを加える傾向があると述べます。 Dynamic port negotiation for a protocol may also limit or prohibit its use in situations where the service provider (e.g., ISP or employer) has instituted some form of service filtering through port blocking mechanisms. サービスプロバイダ(例えばISPや雇用者)がポートブロックメカニズム を通してある形式のサービスフィルタリングを設定した状況で、プロトコル のための動的ポート交渉はその使用を制限されるか禁止されるかもしれませ ん。 From this perspective of network and application utility, it is preferable that no action or activity be undertaken by any agency, carrier, service provider, or organization which would cause end- users and protocol designers to generally obscure service identification information from the IP packet header. このネットワークとアプリケーションユーティリティの見地から、エンドユー ザとプロトコル設計者がIPパケットヘッダからサービス識別子情報を隠す ことになるような、政府機関やキャリアやサービスプロバイダや組織による 行動あるいは活動が着手されないことは望ましいです。 Nothing in this statement should be construed as opposing encapsulation, application security, end-to-end encryption, or other processes beneficial or specifically desired by the end-users. この主張は、カプセル化や、アプリケーションセキュリティや、エンドエン ド暗号化や、あるいは特にエンドユーザが望む他の処理に反対していると解 釈されるべきではありません。 4. Security Considerations 4. セキュリティの考察 This document is a general statement regarding appropriate processing and use of service identifiers by intermediate systems. If enough agencies, carriers, service providers, and organizations ignore the concerns voiced here, the utility of port and protocol numbers, general network analysis, end-user beneficial filtering (e.g., preventing DDOS attacks), and other common uses of these service identifiers might be adversely affected. この文書は中間システムによるサービス識別子の適切な処理と使用に関係す る一般的な主張です。もし多数の政府機関やキャリアやサービスプロバイダ や組織がここで言った懸念を無視するなら、ポート番号とプロトコル番号の ユーティリティや一般的なネットワーク分析やエンドユーザに有利なフィル タ(例えば、分散サービス妨害攻撃の排除)やこれらのサービス識別子の他の 共通の使用に、不利に影響を及ぼすかもしれません。 5. References 5. 参考文献 [1] Postel, J., "User Datagram Protocol", STD 6, RFC 768, August 1980. [2] Postel, J., "Internet Protocol", STD 5, RFC 791, September 1981. [3] Postel, J., "Transmission Control Protocol", STD 7, RFC 793, September 1981. [4] Braden, B., Ed., Zhang, L., Berson, S., Herzog, S. and S. Jamin, "Resource ReSerVation Protocol (RSVP) -- Version 1 Functional Specification", RFC 2205, September 1997. [5] Kent, S. and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998. [6] Kent, S. and R. Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998. [7] Farinacci, D., Li, T., Hanks, S., Meyer, D. and P. Traina, "Generic Routing Encapsulation (GRE)", RFC 2784, March 2000. [8] Stewart, R., Xie, Q., Morneault, K., Sharp, C., Schwarzbauer, H., Taylor, T., Rytina, I., Kalla, M., Zhang, L. and V. Paxson, "Stream Control Transmission Protocol", RFC 2960, October 2000. [9] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M. and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002. [10] New York Times, "STUDENTS EVADE UNIVERSITY TACTICS TO PROTECT MEDIA FILES", 27th November 2002. [11] IANA, "IANA Protocol Numbers and Assignment Services", May 2003, <http://www.iana.org/numbers.htm>. [12] IANA, "IANA Protocol Number Registry", May 2003, <http:// www.iana.org/assignments/protocol-numbers>. [13] IANA, "IANA Port Number Registry", May 2003, <http:// www.iana.org/assignments/port-numbers>. Intellectual Property Statement 知的所有権宣言 The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards-related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat. この文書に記述された実装や技術に関して主張される知的財産や他の権利の 正当性や範囲について、この様な権利の元でライセンスが利用可能か利用不 可能かの範囲について、IETFは何の立場もとりません;この様な権利を 認識する調査をしたとは述べません。IETF標準手続きと標準関連文書で の権利に関しての手順の情報はBCP11を見てください。出版に利用する 権利の利用可能性とライセンスの保証の利用可能性か、あるいはこの仕様書 の実装者や利用者のこの様な所有権の一般的ライセンスや許可を得る試みの 結果はIETF事務局で得られます。 The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director. IETFは興味を持った誰からでもこの標準を実行するのに必要な技術をカ バーする著作権や特許や特許出願や他の所有権の注意を持ってくるように求 めます。どうかIETF専務に情報を伝えてください。 Appendix A. IAB Members 付録A IABメンバ Internet Architecture Board Members at the time this document was completed were: この文書が完成された時点でのインターネットアーキテクチャ委員会のメン バが以下でした: Bernard Aboba Harald Alvestrand Rob Austein Leslie Daigle, Chair Patrik Faltstrom Sally Floyd Jun-ichiro Itojun Hagino Mark Handley Geoff Huston Charlie Kaufman James Kempf Eric Rescorla Michael St Johns Editors' Addresses 著者のアドレス Mike St Johns Internet Architecture Board EMail: mstjohns@mindspring.com Geoff Huston Internet Architecture Board EMail: gih@telstra.net Full Copyright Statement 著作権表示全文 Copyright (C) The Internet Society (2003). All Rights Reserved. 著作権(C)インターネット学会(2003)。すべての権利は保留される。 This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English. 上記著作権表示とこの段落が全ての複写や派生的な仕事につけられていれば、 この文書と翻訳は複写や他者への提供ができ、そしてコメントや説明や実装 を支援する派生的な仕事のためにこの文書の全部か一部を制約なく複写や出 版や配布できます。しかし、この文書自身は、英語以外の言葉への翻訳やイ ンターネット標準を開発する目的で必要な場合以外は、インターネット学会 や他のインターネット組織は著作権表示や参照を削除されるような変更がで きません、インターネット標準を開発する場合はインターネット標準化プロ セスで定義された著作権の手順に従われます。 The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assignees. 上に与えられた限定された許可は永久で、インターネット学会やその後継者 や譲渡者によって無効にされません。 This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. この文書とここに含む情報は無保証で供給され、そしてインターネット学会 とインターネット技術標準化タスクフォースは、特別にも暗黙にも、この情 報の利用が権利を侵害しないことや商業利用や特別の目的への利用に適当で ある事の保障を含め、すべての保証を拒否します。 Acknowledgement 謝辞 Funding for the RFC Editor function is currently provided by the Internet Society. RFCエディタ機能のための資金供給が現在インターネット学会によって 供給されます。