Network Working Group S. Bellovin Request for Comments: 3514 AT&T Labs Research Category: Informational 1 April 2003 The Security Flag in the IPv4 Header IPv4ヘッダ中のセキュリティフラグ Status of this Memo This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. この文書の状態 この文書ではインターネット共同体に対して情報を提供する。何らインターネッ ト標準を規定するものではない。この文書の配布に制限はない。 Copyright Notice Copyright (C) The Internet Society (2003). All Rights Reserved. Abstract Firewalls, packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have malicious intent and those that are merely unusual. We define a security flag in the IPv4 header as a means of distinguishing the two cases. 要約 ファイアウォール、パケットフィルタ、IDSのようなものにとって、悪意ある 試みのパケットと、ほとんど異常でないパケットを区別するのは難しい。我々 は、この2つの場合を区別する意味を持つIPv4ヘッダのセキュリティフラグを 定義する。 1. Introduction Firewalls [CBR03], packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have malicious intent and those that are merely unusual. The problem is that making such determinations is hard. To solve this problem, we define a security flag, known as the "evil" bit, in the IPv4 [RFC791] header. Benign packets have this bit set to 0; those that are used for an attack will have the bit set to 1. 1. 導入 ファイアウォール、パケットフィルタ、IDSのようなものにとって、悪意のあ る試みのパケットと、ほとんど異常でないパケットの区別をするのは困難であ る。この問題は、その決定をすることが困難なことに起因する。この問題を解 決するため、IPv4 [RFC 791] ヘッダに「evil bit」として知られるセキュリ ティフラグを定義する。悪意から出たわけではないパケットはこのビットを0 にセットする; 攻撃に使われるものでは1にセットされるだろう。 1.1. Terminology The keywords MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL, when they appear in this document, are to be interpreted as described in [RFC2119]. 1.1 用語 文書中、MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY, OPTIONALがあれば、[RFC2119]にあるように解釈する。 2. Syntax The high-order bit of the IP fragment offset field is the only unused bit in the IP header. Accordingly, the selection of the bit position is not left to IANA. 2. 構文 IPヘッダで、IPフラグメントオフセットフィールドの高位のビットだけが使わ れていない。よって、ビット位置の選択はIANAに残されていない。 Bellovin Informational [Page 1] RFC 3514 The Security Flag in the IPv4 Header 1 April 2003 The bit field is laid out as follows: 0 +-+ |E| +-+ そのビットフィールドは以下のようにおかれる: Currently-assigned values are defined as follows: 現在割り当てられている値は以下に定義する通りである。 0x0 If the bit is set to 0, the packet has no evil intent. Hosts, network elements, etc., SHOULD assume that the packet is harmless, and SHOULD NOT take any defensive measures. (We note that this part of the spec is already implemented by many common desktop operating systems.) 0x0 もしビットが0にセットされているなら、パケットに悪意はない。ホスト、ネッ トワークの要素等はこのパケットが無害であると仮定すべき(SHOULD)であり、 防御的な手段を講じるべきではない(SHOULD NOT)(スペックのこの部分は既 に多くの一般的なデスクトップOSで実装されていることに注目した)。 0x1 If the bit is set to 1, the packet has evil intent. Secure systems SHOULD try to defend themselves against such packets. Insecure systems MAY chose to crash, be penetrated, etc. 0x1 もしそのビットが1ならば、パケットに悪意がある。セキュアなシステムはそ のようなパケットに対して自身を防御するようつとめるべきである(SHOULD)。 インセキュアなシステムはクラッシュするか、侵入される等を選択してもよい (MAY)。 3. Setting the Evil Bit There are a number of ways in which the evil bit may be set. Attack applications may use a suitable API to request that it be set. Systems that do not have other mechanisms MUST provide such an API; attack programs MUST use it. 3. evil bitのセット evil bitをセットするのにたくさんの方法がある。攻撃用アプリケーションは それをセットすることを要求するのにふさわしいAPIを使うかもしれない。 それ以外のメカニズムを持たないシステムはそのようなAPIを提供しなければ ならない(MUST); 攻撃プログラムはそれを利用しなければならない(MUST)。 Multi-level insecure operating systems may have special levels for attack programs; the evil bit MUST be set by default on packets emanating from programs running at such levels. However, the system MAY provide an API to allow it to be cleared for non-malicious activity by users who normally engage in attack behavior. 複数のレベルのインセキュアなOSは攻撃プログラムにとって特別なレベルを持 つかもしれない。そういったレベルで動作するプログラムから発せられるパケッ トにはデフォルトでevil bitがセットされなければならない(MUST)。しかしな がら、普段攻撃をするユーザによる、悪意のない行動については、それをクリ アすることを許すAPIを提供してもよい(MAY)。 Fragments that by themselves are dangerous MUST have the evil bit set. If a packet with the evil bit set is fragmented by an intermediate router and the fragments themselves are not dangerous, the evil bit MUST be cleared in the fragments, and MUST be turned back on in the reassembled packet. それ自身危険なフラグメントはevil bitがセットされていなければならない (MUST)。もしevil bitがセットされたパケットが途中のルータによりフラグメ ントされており、かつフラグメント自身が危険でないならば、フラグメント中 のevil bitはクリアされなければならず、それは再構成されたパケットにつけ られねばならない(MUST)。 Intermediate systems are sometimes used to launder attack connections. Packets to such systems that are intended to be relayed to a target SHOULD have the evil bit set. 時として、途中のシステムがロンダリング攻撃の接続に使われることがある。 そのようなシステムがターゲットへリレーする試みをするようなパケットには、 evil bitがセットされるべきである(SHOULD)。 Some applications hand-craft their own packets. If these packets are part of an attack, the application MUST set the evil bit by itself. いくつかのアプリケーションは自身のパケットを自分で作る。もしこれらのパ ケットが攻撃の一部であるなら、アプリケーションは自分でevil bitをセット しなければならない。 In networks protected by firewalls, it is axiomatic that all attackers are on the outside of the firewall. Therefore, hosts inside the firewall MUST NOT set the evil bit on any packets. ファイアウォールで守られたネットワークの中では、すべての攻撃者はファイ アウォールの外から来ることは自明である。それゆえ、ファイアウォールの中 にあるホストはいかなるパケットにもevil bitを立ててはならない(MUST NOT)。 Bellovin Informational [Page 2] RFC 3514 The Security Flag in the IPv4 Header 1 April 2003 Because NAT [RFC3022] boxes modify packets, they SHOULD set the evil bit on such packets. "Transparent" http and email proxies SHOULD set the evil bit on their reply packets to the innocent client host. NAT [RFC3022]ボックスはパケットを変更するため、それはそのようなパケッ トにevil bitを立てるべきである(SHOULD)。「透明な」(Transparent)httpや emailのプロクシは、無知なクライアントホストへのリレーパケットにevil bitを立てるべきである(SHOULD)。 Some hosts scan other hosts in a fashion that can alert intrusion detection systems. If the scanning is part of a benign research project, the evil bit MUST NOT be set. If the scanning per se is innocent, but the ultimate intent is evil and the destination site has such an intrusion detection system, the evil bit SHOULD be set. いくつかのホストはIDSに警告させるかもしれない方法で別ホストをスキャン する。もしスキャンが良い研究プロジェクトの一部であるならば、evil bitを 立ててはならない(MUST NOT)。もしスキャンが邪心なく行われたが最終的には 悪意があり、かつ目的サイトがIDSのようなものを持っているならば、evil bitは立てられるべきである(SHOULD). 4. Processing of the Evil Bit Devices such as firewalls MUST drop all inbound packets that have the evil bit set. Packets with the evil bit off MUST NOT be dropped. Dropped packets SHOULD be noted in the appropriate MIB variable. 4. evil bitの処理 ファイアウォールのようなデバイスは、evil bitが立った侵入パケットをすべ てたたき落とさなければならない(MUST)。evil bitがオフのすべてのパケット はたたき落としてはならない(MUST NOT)。たたき落とされたパケットはしかる べきMIBにより知らされる。 Intrusion detection systems (IDSs) have a harder problem. Because of their known propensity for false negatives and false positives, IDSs MUST apply a probabilistic correction factor when evaluating the evil bit. If the evil bit is set, a suitable random number generator [RFC1750] must be consulted to determine if the attempt should be logged. Similarly, if the bit is off, another random number generator must be consulted to determine if it should be logged despite the setting. IDSはより困難な問題をかかえている。偽のネガティブと偽のポジティブの傾 向が知られているため、IDSがevil bitを評価するときには確率的な修正を適 用しなければならない(MUST)。もしevil bitがセットされているなら、その試 みをログに残すべきかどうかは適切な乱数生成器[RFC1750]に決定を委ねなけ ればならない。もしそのビットがオフなら、その試みをログに残すべきかどう かを別の乱数生成器による決定に従う。 The default probabilities for these tests depends on the type of IDS. Thus, a signature-based IDS would have a low false positive value but a high false negative value. A suitable administrative interface MUST be provided to permit operators to reset these values. これらのテストに対するデフォルトの確率はIDSのタイプに依存する。従って、 シグネイチャによるIDSは偽のポジティブな結果は少ないが偽のネガティブな 結果は多いだろう。これらの値をリセットすることをオペレータに許可する適 切な管理インターフェイスが提供されなければならない(MUST)。 Routers that are not intended as as security devices SHOULD NOT examine this bit. This will allow them to pass packets at higher speeds. セキュリティデバイスとみなされないルータはこのビットを見るべきでない (SHOULD NOT)。これにより、パケット通過速度をより高くすることができる。 As outlined earlier, host processing of evil packets is operating- system dependent; however, all hosts MUST react appropriately according to their nature. 前にアウトラインを書いたように、ホストによる悪意あるパケットの処理はOS に依存する;しかしながら、すべてのホストは、自然なふるまいで適切に処理 しなければならない(MUST)。 5. Related Work Although this document only defines the IPv4 evil bit, there are complementary mechanisms for other forms of evil. We sketch some of those here. 5. 関連する仕事 この文書はIPv4のevil bitについてのみ定義しているが、別の形態の悪に対し て補完的なメカニズムが存在する。そのいくつかをここに示す。 For IPv6 [RFC2460], evilness is conveyed by two options. The first, a hop-by-hop option, is used for packets that damage the network, such as DDoS packets. The second, an end-to-end option, is for packets intended to damage destination hosts. In either case, the Bellovin Informational [Page 3] RFC 3514 The Security Flag in the IPv4 Header 1 April 2003 option contains a 128-bit strength indicator, which says how evil the packet is, and a 128-bit type code that describes the particular type of attack intended. IPv6[RFC2460]については、悪意は2つのオプションによって伝達される。 最初のものはhop-by-hopオプションであり、ネットワークに打撃を与えるDDoS のようなパケットに使われる。2つ目はend-to-endオプションであり、相手ホ ストに打撃を与えるようなパケットのためにある。いずれの場合も、そのオプ ションはどのような悪いパケットなのかを述べる128bit長の表示と、予定した 攻撃の特定の型を示す128bit長を含む。 Some link layers, notably those based on optical switching, may bypass routers (and hence firewalls) entirely. Accordingly, some link-layer scheme MUST be used to denote evil. This may involve evil lambdas, evil polarizations, etc. いくつかのリンクレイヤ、とりわけ光学スイッチを基礎とするものでは、完全 にルータ(や、それゆえファイアウォール)を迂回するかもしれない。その結果、 いくつかのリンクレイヤのスキームは悪であるとの印が付けられなければなら ない(MUST)。これは悪い波長や悪い偏光等を含むだろう。 DDoS attack packets are denoted by a special diffserv code point. DDoS攻撃のパケットは特別なコードポイントで表示される(?) An application/evil MIME type is defined for Web- or email-carried mischief. Other MIME types can be embedded inside of evil sections; this permit easy encoding of word processing documents with macro viruses, etc. webやe-mailで運ばれる危害のため、application/evilのMIMEタイプが定義さ れる。別のMIMEタイプを悪のセクションの内側に組みこむことは可能である; これにより、マクロウィルス等を含むワープロ文書のエンコードが容易になる。 6. IANA Considerations This document defines the behavior of security elements for the 0x0 and 0x1 values of this bit. Behavior for other values of the bit may be defined only by IETF consensus [RFC2434]. 6. IANAの考察 この文書はこのビットの0x0と0x1の値のためのセキュリティ要素のふるまいに ついて定義してある。そのビットがそれ以外の値である場合のふるまいはIETF のコンセンサス [RFC2434]によってのみ定義されるかもしれない。 7. Security Considerations Correct functioning of security mechanisms depend critically on the evil bit being set properly. If faulty components do not set the evil bit to 1 when appropriate, firewalls will not be able to do their jobs properly. Similarly, if the bit is set to 1 when it shouldn't be, a denial of service condition may occur. 7. セキュリティに関する考察 セキュリティ機構が正しく機能するかどうかは、evil bitが適切にセットされ るかどうかに決定的に依存する。もし、そうするのが適切な場合に誤ったコン ポーネントがevil bitを1にセットしないならば、ファイアウォールはきちん とその仕事を出来ないだろう。同様にして、もしそうすべきでないのにそのビッ トを1にしたなら、サービス拒否の状況が起きるかもしれない。 8. References [CBR03] W.R. Cheswick, S.M. Bellovin, and A.D. Rubin, "Firewalls and Internet Security: Repelling the Wily Hacker", Second Edition, Addison-Wesley, 2003. [RFC791] Postel, J., "Internet Protocol", STD 5, RFC 791, September 1981. [RFC1750] Eastlake, D., 3rd, Crocker, S. and J. Schiller, "Randomness Recommendations for Security", RFC 1750, December 1994. [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997. [RFC2434] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998. Bellovin Informational [Page 4] RFC 3514 The Security Flag in the IPv4 Header 1 April 2003 [RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", RFC 2460, December 1998. [RFC3022] Srisuresh, P. and K. Egevang, "Traditional IP Network Address Translator (Traditional NAT)", RFC 3022, January 2001. 9. Author's Address Steven M. Bellovin AT&T Labs Research Shannon Laboratory 180 Park Avenue Florham Park, NJ 07932 Phone: +1 973-360-8656 EMail: bellovin@acm.org Bellovin Informational [Page 5] RFC 3514 The Security Flag in the IPv4 Header 1 April 2003 10. Full Copyright Statement Copyright (C) The Internet Society (2003). All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English. The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns. This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Acknowledgement Funding for the RFC Editor function is currently provided by the Internet Society. Bellovin Informational [Page 6]