この文書はRFC3697の日本語訳(和訳)です。 この文書の翻訳内容の正確さは保障できないため、 正確な知識や情報を求める方は原文を参照してください。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、 誤りの指摘は適切です。 この文書の配布は元のRFC同様に無制限です。
Network Working Group J. Rajahalme
Request for Comments: 3697 Nokia
Category: Standards Track A. Conta
Transwitch
B. Carpenter
IBM
S. Deering
Cisco
March 2004
IPv6 Flow Label Specification
IPv6フローラベル仕様
Status of this Memo
この文書の状態
This document specifies an Internet standards track protocol for the
Internet community, and requests discussion and suggestions for
improvements. Please refer to the current edition of the "Internet
Official Protocol Standards" (STD 1) for the standardization state
and status of this protocol. Distribution of this memo is unlimited.
この文書はインターネット共同体のためのインターネット標準化作業中のプ
ロトコルを指定して、そして改良のために議論と提案を求めます。標準化状
態とこのプロトコル状態は「インターネット公式プロトコル標準」(STD
1)の現在の版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2004). All Rights Reserved.
Abstract
概要
This document specifies the IPv6 Flow Label field and the minimum
requirements for IPv6 source nodes labeling flows, IPv6 nodes
forwarding labeled packets, and flow state establishment methods.
Even when mentioned as examples of possible uses of the flow
labeling, more detailed requirements for specific use cases are out
of scope for this document.
この文書はIPv6フローラベルフィールドとIPv6ソースノードのフロー
のラベル付けと、ラベル付きパケットのIPv6ノードの転送と、フロー状
態確立方法のの最小要求条件を指定します。フローラベルの可能な使用例を
述べらる時でも、特定の使用の場合のより詳細な要求条件はこの文書の範囲
外です。
The usage of the Flow Label field enables efficient IPv6 flow
classification based only on IPv6 main header fields in fixed
positions.
フローラベルフィールドの使用はIPv6主ヘッダの固定位置のフィールド
にだけ基づいた効率的なIPv6フロー分類を可能にします。
1. Introduction
1. はじめに
A flow is a sequence of packets sent from a particular source to a
particular unicast, anycast, or multicast destination that the source
desires to label as a flow. A flow could consist of all packets in a
specific transport connection or a media stream. However, a flow is
not necessarily 1:1 mapped to a transport connection.
フローは、特定のソースから、ソースがフローにラベル付けを望む特定のユ
ニキャストかエニキャストかマルチキャスト宛先に送られる、一連のパケッ
トです。フローは特定のトランスポート接続あるいはメディア流のすべての
パケットから成り立つことができます。しかしながら、フローはトランスポー
ト接続に必ずしも1対1で対応する必要はありません。
Traditionally, flow classifiers have been based on the 5-tuple of the
source and destination addresses, ports, and the transport protocol
type. However, some of these fields may be unavailable due to either
fragmentation or encryption, or locating them past a chain of IPv6
option headers may be inefficient. Additionally, if classifiers
depend only on IP layer headers, later introduction of alternative
transport layer protocols will be easier.
伝統的にフロー分類は、ソースと宛先のアドレスとポートとトランスポート
種別の5項組みに基づいていました。しかしながら、これらのフィールドの
いくつかは分割や暗号化のために利用できないかもしれません、あるいはI
Pv6オプションヘッダの連鎖の先のそれらの場所を突き止めることは非能
率的であるかもしれません。さらに、もし分類がIPレイヤヘッダにだけに
依存するなら、他のトランスポートレイヤプロトコルの導入はより容易であ
るでしょう。
The usage of the 3-tuple of the Flow Label and the Source and
Destination Address fields enables efficient IPv6 flow
classification, where only IPv6 main header fields in fixed positions
are used.
フローラベルとソースと宛先アドレスフィールドの3項組みの使用は効率的
なIPv6フロー分類を可能にし、そしてただ固定した位置のIPv6主ヘッ
ダーフィールドだけが使われます。
The minimum level of IPv6 flow support consists of labeling the
flows. IPv6 source nodes supporting the flow labeling MUST be able
to label known flows (e.g., TCP connections, application streams),
even if the node itself would not require any flow-specific
treatment. Doing this enables load spreading and receiver oriented
resource reservations, for example. Node requirements for flow
labeling are given in section 3.
IPv6フローサポートの最小レベルはフローにラベルをはることですす。
フローラベルをサポートするIPv6ソースノードは、たとえノード自身が
フロー特定の待遇を必要としないとしても、周知のフロー(例えばTCP接
続、アプリケーションストリーム)にラベルを貼れなければなりません。こ
れをすることは、例えば、負荷分散や、受信者志向の資源予約を可能にしま
す。フローにラベルをはるためのノードの必要条件が3章で与えられます。
Specific flow state establishment methods and the related service
models are out of scope for this specification, but the generic
requirements enabling co-existence of different methods in IPv6 nodes
are set forth in section 4. The associated scaling characteristics
(such as nodes involved in state establishment, amount of state
maintained by them, and state growth function) will be specific to
particular service models.
特定のフロー状態設定方法と関連したサービスモデルはこの仕様書の範囲外
ですが、しかしIPv6ノードで異なった方法の共存を可能にする一般的な
必要条件は4章で明らかにされます。(状態設立に関係しているノードと、
それらによって持続された状態の量と、状態成長機能のような)関連したス
ケール特性は特定のサービスモデルに固有でしょう。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
"SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
document are to be interpreted as described in BCP 14, RFC 2119
[KEYWORDS].
この文書のキーワード"MUST"と"MUST NOT"と"REQUIRED"と"SHALL"と"SHALL
NOT"と"SHOULD"と"SHOULD NOT"と"RECOMMENDED"と"MAY"と"OPTIONAL"はB
CP14、RFC2119[KEYWORDS]で記述されるように解釈されます。
2. IPv6 Flow Label Specification
2. IPv6フローラベル仕様書
The 20-bit Flow Label field in the IPv6 header [IPv6] is used by a
source to label packets of a flow. A Flow Label of zero is used to
indicate packets not part of any flow. Packet classifiers use the
triplet of Flow Label, Source Address, and Destination Address fields
to identify which flow a particular packet belongs to. Packets are
processed in a flow-specific manner by the nodes that have been set
up with flow-specific state. The nature of the specific treatment
and the methods for the flow state establishment are out of scope for
this specification.
IPv6ヘッダでの20ビットのフローラベルフィールド[IPv6]はフローラ
ベルパケットのソースによって使われます。ゼロのフローラベルがフローで
ないパケットを示すために使われます。パケット分類者は、特定のパケット
がどのフローに属するか明らかにするために、フローラベルとソースアドレ
スと宛先アドレスフィールドの三項組を使います。ノードは、フロー固有に
準備された、フロー特定の方法で、パケットを処理します。特定の待遇の性
質とフロー状態設立のための方法はこの仕様書の範囲外です。
The Flow Label value set by the source MUST be delivered unchanged to
the destination node(s).
ソースによってつけられたフローラベル値は宛先ノードに変化せずに配達さ
れなくてはなりません(MUST)。
IPv6 nodes MUST NOT assume any mathematical or other properties of
the Flow Label values assigned by source nodes. Router performance
SHOULD NOT be dependent on the distribution of the Flow Label values.
Especially, the Flow Label bits alone make poor material for a hash
key.
IPv6ノードはソースノードによって割り当てられたフローラベル値の数
学的、あるいは他の特性を仮定してはなりません(MUST NOT)。ルータ性能が
フローラベル値の分布に依存するべきではありません(SHOULD NOT)。特に、
フローラベルビットだけではハッシュ鍵には程度が低い材料です。
Nodes keeping dynamic flow state MUST NOT assume packets arriving 120
seconds or more after the previous packet of a flow still belong to
the same flow, unless a flow state establishment method in use
defines a longer flow state lifetime or the flow state has been
explicitly refreshed within the lifetime duration.
使用したフロー状態確立方法がより長いフロー状態寿命を定義したか、フロー
状態が寿命時間内に明示的に更新されない限り、動的にフロー状態を維持す
るノードは、フローの前のパケットの到着後に120秒以上経過してして到
着したパケットが同じフローに属すると想定してはなりません(MUST NOT)。
The use of the Flow Label field does not necessarily signal any
requirement on packet reordering. Especially, the zero label does
not imply that significant reordering is acceptable.
フローラベルフィールドの使用はパケット順序の要求条件を示しません。特
に、ゼロラベルは意味がある順序変更の受入れを意味しません。
If an IPv6 node is not providing flow-specific treatment, it MUST
ignore the field when receiving or forwarding a packet.
もしIPv6ノードがフロー特有の扱い供給しないなら、パケットを受信や
転送する時に、フィールドを無視しなくてはなりません(MUST)。
3. Flow Labeling Requirements
3. フローラベル要求条件
To enable Flow Label based classification, source nodes SHOULD assign
each unrelated transport connection and application data stream to a
new flow. The source node MAY also take part in flow state
establishment methods that result in assigning certain packets to
specific flows. A source node which does not assign traffic to flows
MUST set the Flow Label to zero.
フローラベルに基づく分類を可能にするため、ソースノードはそれぞれ無関
係なトランスポート接続とアプリケーションデータフローに、新しいフロー
を割り当てるべきです(SHOULD)。ソースノードは特定のフローにある特定の
パケットを割り当てるという結果をもたらすフロー確立方法に参加するかも
しれません(MAY)。トラフィックをフローに割り当てないソースノードがフ
ローラベルをゼロに設定しなくてはなりません。
To enable applications and transport protocols to define what packets
constitute a flow, the source node MUST provide means for the
applications and transport protocols to specify the Flow Label values
to be used with their flows. The use of the means to specify Flow
Label values is subject to appropriate privileges (see section 5.1).
The source node SHOULD be able to select unused Flow Label values for
flows not requesting a specific value to be used.
アプリケーションとトランスポートプロトコルがどのパケットがフローを形
成するか定義することができるようにするために、ソースノードはアプリケー
ションとトランスポートプロトコルに、使われるフローラベル値を指定する
手段を提供しなくてはなりません(MUST)。フローラベル値を指定する手段の
使用は適切な特別扱いの適用を受けます(5.1章参照)。ソースノードは特
定の値を求めていないフローで使うために使われていないフローラベル値を
選択することが可能であるべきです(SHOULD)。
A source node MUST ensure that it does not unintentionally reuse Flow
Label values it is currently using or has recently used when creating
new flows. Flow Label values previously used with a specific pair of
source and destination addresses MUST NOT be assigned to new flows
with the same address pair within 120 seconds of the termination of
the previous flow. The source node SHOULD provide the means for the
applications and transport protocols to specify quarantine periods
longer than the default 120 seconds for individual flows.
情報源ノードは、新しいフローを作るときに、現在あるいは最近使ったフロー
ラベル値を再利用していないかを、常に保証しなくてはなりません(MUST)。
前に特定ソースと宛先アドレス対で使われたフローラベル値が、前のフロー
の終了後120秒以内に、同じアドレス対で新しいフローに割り当てられて
はなりません(MUST NOT)。ソースノードはアプリケーションとトランスポー
トプロトコルが個別のフローにデフォルトの120秒より長く隔離期間を指
定する手段を提供するべきです(SHOULD)。
To avoid accidental Flow Label value reuse, the source node SHOULD
select new Flow Label values in a well-defined sequence (e.g.,
sequential or pseudo-random) and use an initial value that avoids
reuse of recently used Flow Label values each time the system
restarts. The initial value SHOULD be derived from a previous value
stored in non-volatile memory, or in the absence of such history, a
randomly generated initial value using techniques that produce good
randomness properties [RND] SHOULD be used.
偶然のフローラベル値の再利用を避けるために、ソースノードは明確な順序
で新しいフローラベル値を選び(例えば連続にか、疑似ランダムに)、シス
テム再起動時に最近使用したフローラベルの再利用を避ける初期値を選ぶべ
きです(SHOULD)。初期値は不発揮性メモリに記憶した前の値から得らるか、
あるいはこのような履歴がない場合、良い乱雑特性を引き起こすテクニック
[RND]を使って(SHOULD)ランダムに生成された初期値が使われるべきです
(SHOULD)。
4. Flow State Establishment Requirements
4. フロー状態設立要求条件
To enable flow-specific treatment, flow state needs to be established
on all or a subset of the IPv6 nodes on the path from the source to
the destination(s). The methods for the state establishment, as well
as the models for flow-specific treatment will be defined in separate
specifications.
フロー特定の扱いを可能にするために、フロー状態がソースから宛先までの
パス上のIPv6ノードのすべてか一部で設立される必要があります。フロー
特定の扱いのためのモデルと状態設立の方法は別の仕様書で定義されるで
しょう。
To enable co-existence of different methods in IPv6 nodes, the
methods MUST meet the following basic requirements:
IPv6ノードで異なった手段の共存を可能にするために、手段は次の基本
的な必要条件を満たさなくてはなりません:
(1) The method MUST provide the means for flow state clean-up from
the IPv6 nodes providing the flow-specific treatment. Signaling
based methods where the source node is involved are free to
specify flow state lifetimes longer than the default 120
seconds.
(1) 手段は、フロー特定の扱い供給するIPv6ノードのフロー状態をクリ
アする手順を提供しなくてはなりません(MUST)。ソースノードが関与す
る信号に基づく方法は、デフォルトの120秒より長いフロー状態を寿
命を指定することが自由です。
(2) Flow state establishment methods MUST be able to recover from
the case where the requested flow state cannot be supported.
(2) フロー状態設立手段は求められたフロー状態をサポートができない事例
から復旧できなければなりません(MUST)。
5. Security Considerations
5. セキュリティの考慮
This section considers security issues raised by the use of the Flow
Label, primarily the potential for denial-of-service attacks, and the
related potential for theft of service by unauthorized traffic
(Section 5.1). Section 5.2 addresses the use of the Flow Label in
the presence of IPsec including its interaction with IPsec tunnel
mode and other tunneling protocols. We also note that inspection of
unencrypted Flow Labels may allow some forms of traffic analysis by
revealing some structure of the underlying communications. Even if
the flow label were encrypted, its presence as a constant value in a
fixed position might assist traffic analysis and cryptoanalysis.
この章はフローラベルの使用によるセキュリティ問題、主にサービス否認攻
撃の可能性と、関連する権限外のトラフィックによるサービス盗難の可能性
を考えます(5.1章)。5.2章がIPsecトンネルモードと他のトンネ
ルプロトコルの相互作用を含めて、IPsecでのフローラベルの使用を扱
います。我々は同じく暗号化されていないフローラベルの検査が基礎の通信
の構造を明らかにすることによってある種のトラフィック分析を許すかもし
れないことを指摘します。たとえフローラベルが暗号化されたとしても、そ
の固定位置での不変の値としての存在ははトラフィック分析と暗号分析を援
助するかもしれません。
5.1. Theft and Denial of Service
5.1. 盗みとサービス否定
Since the mapping of network traffic to flow-specific treatment is
triggered by the IP addresses and Flow Label value of the IPv6
header, an adversary may be able to obtain better service by
modifying the IPv6 header or by injecting packets with false
addresses and/or labels. Taken to its limits, such theft-of-service
becomes a denial-of-service attack when the modified or injected
traffic depletes the resources available to forward it and other
traffic streams. A curiosity is that if a DoS attack were undertaken
against a given Flow Label (or set of Flow Labels), then traffic
containing an affected Flow Label might well experience worse-than-
best-effort network performance.
ネットワークトラフィックをフロー特有の扱いへ対応させることは、IPv
6ヘッダのIPアドレスとフローラベル値によって引き起こされるので、敵
がIPv6ヘッダを修正することによって、あるいは偽アドレスそして/ま
たはラベルをパケットに設定することによって、もっと良いサービスを得る
ことが可能であるかもしれません。その制限を得るこのようなサービスの盗
みは、修正されたあるいは注入されたトラフィックがそれを転送するために
アクセス可能な資源と他のトラフィックストリームを使い果たす時、サービ
スの否認攻撃になります。もし所定のフローラベルに対して着手されたサー
ビス妨害攻撃で影響を受けたフローラベルを含んでいるトラフィックが、ベ
ストエフォーより悪いネットワーク性能になるかは、興味があります。
Note that since the treatment of IP headers by nodes is typically
unverified, there is no guarantee that flow labels sent by a node are
set according to the recommendations in this document. Therefore,
any assumptions made by the network about header fields such as flow
labels should be limited to the extent that the upstream nodes are
explicitly trusted.
ノードのIPヘッダの扱いは一般に検証されていないので、ノードの送るフ
ローラベルがこの文書の推薦に従って設定される保証がないことに注意して
ください。それ故に、フローラベルのようなヘッダーフィールドについての
ネットワークの仮定は、上流ノードが明示的に信頼できる場合に限定される
べきです。
Since flows are identified by the 3-tuple of the Flow Label and the
Source and Destination Address, the risk of theft or denial of
service introduced by the Flow Label is closely related to the risk
of theft or denial of service by address spoofing. An adversary who
is in a position to forge an address is also likely to be able to
forge a label, and vice versa.
フローがフローラベルとソースと宛先アドレスの3項組みによって識別され
るので、盗みの危険やフローラベルによって導入されたサービスの否認が、
アドレスなりすましによる盗みやサービス否認の危険と密接に関係がありま
す。アドレスを偽造する立場にある敵が同じくラベルを偽造することが可能
である可能性が高く、そして逆もまた同様です。
There are two issues with different properties: Spoofing of the Flow
Label only, and spoofing of the whole 3-tuple, including Source and
Destination Address.
異なった特性の2つの問題があります:フローラベルのみのだましと、ソー
スと宛先アドレスを含む3項組みのだましです。前者は正しいソースアドレ
スを使うあるいは伝達しているノードの中でできます。
The former can be done inside a node which is using or transmitting
the correct source address. The ability to spoof a Flow Label
typically implies being in a position to also forge an address, but
in many cases, spoofing an address may not be interesting to the
spoofer, especially if the spoofer's goal is theft of service, rather
than denial of service.
一般にフローラベルをだます能力は同じくアドレスを偽造する立場にあるこ
とを暗示します、しかし多くの場合アドレスを偽って送ることは、特にもし
偽造者の目標がサービスの否定でなくサービスの盗みであるなら、偽造者に
面白くないかもしれません。
The latter can be done by a host which is not subject to ingress
filtering [INGR] or by an intermediate router. Due to its
properties, such is typically useful only for denial of service. In
the absence of ingress filtering, almost any third party could
instigate such an attack.
後者は侵入フィルタ[INGR]の適用を受けていないホストか中間ルータによっ
てできます。その特性のために、典型的にサービス否定にだけが役立ちます。
侵入フィルタがない場合、ほとんどどんな第三者でもこのような攻撃を起こ
すことができます。
In the presence of ingress filtering, forging a non-zero Flow Label
on packets that originated with a zero label, or modifying or
clearing a label, could only occur if an intermediate system such as
a router was compromised, or through some other form of man-in-the-
middle attack. However, the risk is limited to traffic receiving
better or worse quality of service than intended. For example, if
Flow Labels are altered or cleared at random, flow classification
will no longer happen as intended, and the altered packets will
receive default treatment. If a complete 3-tuple is forged, the
altered packets will be classified into the forged flow and will
receive the corresponding quality of service; this will create a
denial of service attack subtly different from one where only the
addresses are forged. Because it is limited to a single flow
definition, e.g., to a limited amount of bandwidth, such an attack
will be more specific and at a finer granularity than a normal
address-spoofing attack.
侵入フィルタがある場合、ゼロラベルでソースを発したパケットでゼロ以外
のフローラベルを作るか、ラベルを変えるかクリアするのは、ルータのよう
な中間システムが危険にされたり、あるいは何か他の中間者攻撃の形式を通
してだけ起こすことができます。しかしながら、危険はトラフィックが意図
的なものより良いか悪いサービスの品質を受け取ることに限定されます。例
えば、もしフローラベルが変えられ、あるいはランダムにクリアされるなら、
フロー分類が意図されるように起きず、そして変えられたパケットはデフォ
ルトの扱いを受けるでしょう。もし完全な3項組みが作り出されるなら、変
えられたパケットは作り出されたフローの中に分類され、そしてサービスの
対応する品質を受けるでしょう;これはただアドレスだけが偽造されたのと
遠まわしに異なるサービス妨害攻撃を作るでしょう。これがひとつのフロー
定義に、つまり限定された量のバンド幅に、限定されているから、このよう
な攻撃はより特定で、そして標準的なアドレスなりすまし攻撃より明確な粒
度になるでしょう。
Since flows are identified by the complete 3-tuple, ingress filtering
[INGR] will, as noted above, mitigate part of the risk. If the
source address of a packet is validated by ingress filtering, there
can be a degree of trust that the packet has not transited a
compromised router, to the extent that ISP infrastructure may be
trusted. However, this gives no assurance that another form of man-
in-the-middle attack has not occurred.
フローが完全な3項組みによって識別されるので、侵入フィルタ[INGR]が上
記の通り危険の一部を和らげるでしょう。もしパケットのソースアドレスが
侵入フィルタによって有効にされるなら、そのISPの基礎構造が信頼でき
る限りにおいて、危険なルータをパケットが横断しなかったという信頼があ
り得ます。しかしながら、これは他の中間者攻撃の形式が起こらなかったと
いう保証を与えません。
Only applications with an appropriate privilege in a sending host
will be entitled to set a non-zero Flow Label. Mechanisms for this
are operating system dependent. Related policy and authorization
mechanisms may also be required; for example, in a multi-user host,
only some users may be entitled to set the Flow Label. Such
authorization issues are outside the scope of this specification.
ただ送信しているホストでの適切な特権を持っているアプリケーションだけ
が非ゼロのフローラベルを設定する権利を与えられるでしょう。このメカニ
ズムはオペレーティング・システムに依存します。関連したポリシと認可機
構が必要とされるかもしれません;例えば、マルチユーザのホストで、ただ
あるユーザだけがフローラベルを設定する権利を与えられるかもしれません。
このような認可問題はこの仕様書の範囲の外です。
5.2. IPsec and Tunneling Interactions
5.2. IPsecトンネルとの相互作用
The IPsec protocol, as defined in [IPSec, AH, ESP], does not include
the IPv6 header's Flow Label in any of its cryptographic calculations
(in the case of tunnel mode, it is the outer IPv6 header's Flow Label
that is not included). Hence modification of the Flow Label by a
network node has no effect on IPsec end-to-end security, because it
cannot cause any IPsec integrity check to fail. As a consequence,
IPsec does not provide any defense against an adversary's
modification of the Flow Label (i.e., a man-in-the-middle attack).
[IPSec, AH, ESP]で定義されたIPsecプロトコルは、その暗号計算でI
Pv6ヘッダのフローラベルを含めません(トンネルモードの場合、含まれ
ないのは外のIPv6ヘッダのフローラベルです)。それ故、ネットワーク
ノードによるフローラベルの修正はIPsecの完全性検査の失敗をもたら
さず、IPsecのエンドエンドセキュリティに対する効果を持ちません。
結果として、IPsecは敵のフローラベルの修正(すなわち、中間者攻撃)
に対して防衛を供給しません。
IPsec tunnel mode provides security for the encapsulated IP header's
Flow Label. A tunnel mode IPsec packet contains two IP headers: an
outer header supplied by the tunnel ingress node and an encapsulated
inner header supplied by the original source of the packet. When an
IPsec tunnel is passing through nodes performing flow classification,
the intermediate network nodes operate on the Flow Label in the outer
header. At the tunnel egress node, IPsec processing includes
removing the outer header and forwarding the packet (if required)
using the inner header. The IPsec protocol requires that the inner
header's Flow Label not be changed by this decapsulation processing
to ensure that modifications to label cannot be used to launch theft-
or denial-of-service attacks across an IPsec tunnel endpoint. This
document makes no change to that requirement; indeed it forbids
changes to the Flow Label.
IPsecトンネルモードがカプセル化されるIPヘッダのフローラベルに
セキュリティを提供します。トンネルモードIPsecパケットが2つのI
Pヘッダを含みます:トンネル進入ノードによって供給された外のヘッダと、
元のパケットのソースの供給するカプセル化される奥のヘッダです。IPs
ecトンネルフローがフロー分類を行っているノードを通過する時、中間ネッ
トワークノードは外のヘッダのフローラベルで運用します。トンネルの出口
ノードで、IPsec処理は、外のヘッダを取り去り(もし必要なら)奥ヘッ
ダを使ってパケットを転送する処理を含みます。IPsecプロトコルは、
IPsec終端点までのラベルの修正がサービスの盗みやサービスの否認攻
撃に使えないことを保証するため、奥のヘッダのフローラベルがIPsec
のトンネル終端処理で変えられてないことを要求します。この文書はその要
求条件に対する変更をしません;本当にこれはフローラベルに対する変更を
禁じます。
When IPsec tunnel egress decapsulation processing includes a
sufficiently strong cryptographic integrity check of the encapsulated
packet (where sufficiency is determined by local security policy),
the tunnel egress node can safely assume that the Flow Label in the
inner header has the same value as it had at the tunnel ingress node.
IPsecトンネル出口カプセル解除処理がカプセル化パケットへの十分に
強い暗号の完全性検査を含む時(十分さはローカルセキュリティポリシーに
よって決定される)、トンネル出口ノードは安全に奥のヘッダのフローラベ
ルがトンネル入口ノードで持っていたのと同じ値を持っていると想定するこ
とができます。
This analysis and its implications apply to any tunneling protocol
that performs integrity checks. Of course, any Flow Label set in an
encapsulating IPv6 header is subject to the risks described in the
previous section.
この分析とその意味は完全性検査を実行するどんなトンネルプロトコルにも
当てはまります。もちろん、カプセル化IPv6ヘッダのフローラベル設定
は前の章で記述された危険を受けやすいです。
5.3. Security Filtering Interactions
5.3. セキュリティフィルタ相互作用
The Flow Label does nothing to eliminate the need for packet
filtering based on headers past the IP header, if such filtering is
deemed necessary for security reasons on nodes such as firewalls or
filtering routers.
もしファイアウォールやルータフィルタのようなノードでセキュリティ上の
理由でフィルタが必要なら、フローラベルはIPヘッダの置くのヘッダに基
づくパケットのフィルタリングの必要をなくしません。
6. Acknowledgements
6. 謝辞
The discussion on the topic in the IPv6 WG mailing list has been
instrumental for the definition of this specification. The authors
want to thank Ran Atkinson, Steve Blake, Jim Bound, Francis Dupont,
Robert Elz, Tony Hain, Robert Hancock, Bob Hinden, Christian Huitema,
Frank Kastenholz, Thomas Narten, Charles Perkins, Pekka Savola,
Hesham Soliman, Michael Thomas, Margaret Wasserman, and Alex Zinin
for their contributions.
IPv6 WGメーリングリストでのトピックの論議はこの仕様書の定義のに
有用でした。著者はRan AtkinsonとSteve BlakeとJim BoundとFrancis Dupont
とRobert ElzとTony HainとRobert HancockとBob HindenとChristian Huitema
とFrank KastenholzとThomas NartenとCharles PerkinsとPekka Savolaと
Hesham SolimanとMichael ThomasとMargaret WassermanとAlex Zininの貢献
に対して感謝します。
7. References
7. 参考文献
7.1. Normative References
7.1. 参照する参考文献
[IPv6] Deering, S. and R. Hinden, "Internet Protocol Version 6
Specification", RFC 2460, December 1998.
[KEYWORDS] Bradner, S., "Key words for use in RFCs to indicate
requirement levels", BCP 14, RFC 2119, March 1997.
[RND] Eastlake, D., Crocker, S. and J. Schiller, "Randomness
Recommendations for Security", RFC 1750, December 1994.
7.2. Informative References
7.2. 有益な参考文献
[AH] Kent, S. and R. Atkinson, "IP Authentication Header", RFC
2402, November 1998.
[ESP] Kent, S. and R. Atkinson, "IP Encapsulating Security
Payload (ESP)", RFC 2406, November 1998.
[INGR] Ferguson, P. and D. Senie, "Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP
Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[IPSec] Kent, S. and R. Atkinson, "Security Architecture for the
Internet Protocol", RFC 2401, November 1998.
Authors' Addresses
著者のアドレス
Jarno Rajahalme
Nokia Research Center
P.O. Box 407
FIN-00045 NOKIA GROUP,
Finland
EMail: jarno.rajahalme@nokia.com
Alex Conta
Transwitch Corporation
3 Enterprise Drive
Shelton, CT 06484
USA
EMail: aconta@txc.com
Brian E. Carpenter
IBM Zurich Research Laboratory
Saeumerstrasse 4 / Postfach
8803 Rueschlikon
Switzerland
EMail: brc@zurich.ibm.com
Steve Deering
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, CA 95134-1706
USA
Full Copyright Statement
著作権表示全文
Copyright (C) The Internet Society (2004). This document is subject
to the rights, licenses and restrictions contained in BCP 78 and
except as set forth therein, the authors retain all their rights.
著作権(C)インターネット学会(2004)。この文書はBCP78に含
まれる権利と許可と制限の適用を受け、そしてこの中に明らかにされる以外
は著者がすべての権利を維持します。
This document and the information contained herein are provided on an
"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE
REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE
INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF
THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED
WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれる情報はあるがままに供給されます、貢献者と貢献
者が代表するか貢献者を後援する組織(もしあれば)とインターネット学会
とインターネット技術標準化タスクフォースは、明確にも暗黙にも、この情
報の使用が権利の侵害しないことや商業利用や特別の目的への利用に適当で
ある事の保障を含め、全ての保証を拒否します。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any
Intellectual Property Rights or other rights that might be claimed
to pertain to the implementation or use of the technology
described in this document or the extent to which any license
under such rights might or might not be available; nor does it
represent that it has made any independent effort to identify any
such rights. Information on the procedures with respect to
rights in RFC documents can be found in BCP 78 and BCP 79.
この文書に記述された実装や技術に関して主張される知的財産権や他の権利の
正当性や範囲について、この様な権利の元でライセンスが利用可能か利用不
可能かの範囲について、IETFは何の立場もとりません;この様な権利を
認識する独立の調査をしたとは述べません。RFC文書の権利に関する手続
きの情報はBCP78とBCP79を見てください。
Copies of IPR disclosures made to the IETF Secretariat and any
assurances of licenses to be made available, or the result of an
attempt made to obtain a general license or permission for the use
of such proprietary rights by implementers or users of this
specification can be obtained from the IETF on-line IPR repository
at http://www.ietf.org/ipr.
IETF事務局に公開されたIPRの写しと、利用可能な許可証と、仕様書
の実装者や利用者によってされた一般的な許可書や許可を得るためにされた
試みの結果は、http://www.ietf.org/iprにあるIETFオンラインIPR
貯蔵庫で得られます。
The IETF invites any interested party to bring to its attention
any copyrights, patents or patent applications, or other
proprietary rights that may cover technology that may be required
to implement this standard. Please address the information to the
IETF at ietf-ipr@ietf.org.
IETFは興味を持った誰からでもこの標準を実行するのに必要な技術をカ
バーする著作権や特許や特許出願や他の所有権の注意を持ってくるように求
めます。どうかietf-ipr@ietf.orgのIETFに情報を伝えてください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the
Internet Society.
RFCエディタ機能のための資金供給が現在インターネット学会によって
供給されます。