[an error occurred while processing this directive] [an error occurred while processing this directive]Понимая актуальность затронутой в этом документе информации, мы позволили себе отступить от принятой нами (изрядко, кстати, устаревшей) практики перевода документов вручную и воспользовались услугами Internet-переводчика Translate.ru. По причине срочности пришлось отказаться и от редактирования документа, который представлен в "первозданном" виде.
Поскольку не все читатели прониклись идеей машинного перевода, мы постараемся в кратчайшие сроки сделать перевод традиционными средствами (вот ссылка - пока пустая :-))
Группа Работы Сети S. Bellovin Просьба о Комментариях: 3514 AT&T; Исследования Лабораторий Категория Информационный 1 апреля 2003 Флаг Безопасности в IPV4 Статусе Удара головой этой Записки Эта записка обеспечивает информацию для Интернетовского сообщества. Это не определяет Интернетовский стандарт любого вида. Распределение этой записки неограниченно. Copyright ( C ) The Internet Society Уведомления(внимания) Авторского права (2003). Все права зарезервированы. Резюмируйте Firewalls, фильтры пачки, системы обнаружения вторжения, и т.п. часто имейте трудность, различающую между пачками, которые имеют злонамеренное намерение и те, которые являются просто необычными. Мы определяем флаг безопасности в IPV4 ударе головой как средства различения этих двух случаев(дел). 1. Представление Firewalls [CBR03], фильтры пачки, системы обнаружения вторжения, и т.п. часто имеет трудность, различающую между пачками, которые имеют злонамеренное намерение и те, которые являются просто необычными. Проблема - то создание, такие определения(намерения) тверды(трудны). Чтобы решить эту проблему, мы определяем флаг безопасности, известный как "злая" частица, в IPV4 [RFC791] удар головой. Мягким пачкам установили эту частицу к 0; тем, которые используются для нападения, установят частицу к 1. 1.1. Терминология keywords ДОЛЖЕН, НЕ ДОЛЖНА, ТРЕБУЕМЫЙ, НЕ БУДЕТ БУДЕТ, ДОЛЖЕН, НЕ ДОЛЖЕН, РЕКОМЕНДУЕМЫЙ, МОЖЕТ, и ДОПОЛНИТЕЛЬНЫЙ, когда они появляются в этом документе, чтобы интерпретироваться как описано в [RFC2119]. 2. Синтаксис старшая частица области(поля) погашения фрагмента IP - единственная неиспользованная частица в IP ударе головой. Соответственно, выбор положения(позиции) частицы не оставлен к IANA. Bellovin Информационный [Страница 1] RFC 3514 Флаг Безопасности в IPV4 Ударе головой 1 апреля 2003 область(поле) частицы размещена следующим образом: 0 + - + | E | + - + В-настоящее-время-назначенные ценности определены следующим образом: 0x0, если частица установлена на 0, пачка не имеет никакого злого намерения. Хозяева, элементы сети, и т.д., ДОЛЖЕН предположить, что пачка безопасна, и НЕ ДОЛЖНА брать любые защитные меры. (Мы обращаем внимание, что эта часть spec уже осуществлена многим общим(обычным) рабочим столом операционные системы.) 0x1, если частица установлена на 1, пачка имеет злое намерение. Безопасные системы ДОЛЖНЫ пробовать защититься против таких пачек. Опасные системы МОГУТ хотел потерпеть крах, быть пронизано, и т.д. 3. При урегулировании(установка) Злой Частицы есть множество путей, которыми злая частица может быть установлена. Заявления(применения) Нападения могут использовать подходящий API, чтобы просить что это быть установленными. Системы, которые не имеют других механизмов, ДОЛЖНЫ обеспечить такой API; программы нападения ДОЛЖНЫ использовать это. Мультивыравняйтесь опасные операционные системы могут иметь специальные уровни для программ нападения; злая частица ДОЛЖНА быть установлена по умолчанию на пачках, исходящих от программ, бегущих на таких уровнях. Однако, система МОЖЕТ обеспечивать API, чтобы позволить этому быть очищенной для незлонамеренной деятельности пользователями, кто обычно участвуют(нанимаются) в поведении нападения. Фрагментирует это опасно, ДОЛЖЕН установили злую частицу. Если пачка со злым набором частицы фрагментирована промежуточным звеном router, и сами фрагменты - не опасны, злая частица ДОЛЖНА быть очищена во фрагментах, и НУЖНО повернуть обратно на в повторно собранной пачке. Промежуточные системы иногда используются, чтобы стирать связи нападения. Пачкам к таким системам, которые предназначены, чтобы быть переданными к цели, ДОЛЖЕН установили злую частицу. Некоторое ручное ремесло заявлений(применений) их собственные пачки. Если эти пачки - часть нападения, заявление(применение) ДОЛЖНО установить злую частицу отдельно. В сетях, защищенных firewalls, аксиоматически, что все нападавшие находятся на внешней стороне firewall. Поэтому, хозяева внутри firewall НЕ ДОЛЖНЫ установить злую частицу на любых пачках. Bellovin Информационный [Страница 2] RFC 3514 Флаг Безопасности в IPV4 Ударе головой 1 апреля 2003 поскольку НАТ [RFC3022] коробки изменяет пачки, они ДОЛЖЕН установить злую частицу на таких пачках." Прозрачный " http и полномочия электронной почты ДОЛЖЕН установить злую частицу на их пачках ответа невинному хозяину клиента. Приблизительно хозяева просматривают других хозяев в моде, которая может приводить в готовность системы обнаружения вторжения. Если просмотр - часть мягкой научно- исследовательской работы, злая частица НЕ ДОЛЖНА быть установлена. Если просмотр в se невинен, но окончательное намерение злое, и участок предназначения имеет такую систему обнаружения вторжения, злая частица ДОЛЖНА быть установлена. 4. Обработка Злых Устройств Частицы типа firewalls ДОЛЖНА понизить(пропустить) все прибывающие пачки, которым установили злую частицу. Пачки со злом откусывали, НЕ ДОЛЖЕН быть понижен. Пониженные пачки ДОЛЖНЫ быть отмечены в соответствующей MIB переменной. Системы обнаружения Вторжения (IDSs) имеют более твердую(трудную) проблему. Из-за их известной склонности к ложным негативам и ложным положительным сторонам, IDSs ДОЛЖЕН применить вероятностный фактор исправления при оценке злой частицы. Если злая частица установлена, с подходящим случайным генератором номера(числа) [RFC1750] нужно консультируетесь бы, чтобы определить, была ли попытка зарегистрирована. Точно так же, если частица выключена, с другим случайным генератором номера(числа) нужно консультируетесь бы, чтобы определить, было ли это зарегистрировано несмотря на урегулирование(установку). Вероятности неплатежа для этих испытаний зависят от типа IDS. Таким образом, IDS на основе подписи имел бы низкую ложную положительную ценность, но высокую ложную отрицательную ценность. Подходящий административный интерфейс НУЖНО обеспечить, чтобы разрешить операторам повторно устанавливать эти ценности. Routers, которые не предназначены как как устройства, безопасности НЕ ДОЛЖНЫ исследовать эту частицу. Это позволит им передавать пачки в более высоких скоростях. Как выделено ранее, обработка хозяина злых пачек использует - иждивенца системы; однако, все хозяева ДОЛЖНЫ реагировать соответственно согласно их характеру(природе). 5. Связанным С работой, хотя этот документ только определяет IPV4 злую частицу, есть дополнительные механизмы для других форм зла. Мы делаем набросок некоторых из тех здесь. Для IPV6 [RFC2460], зло передано двумя выборами. Первый, выбор перелета-перелетом, используется для пачек, которые повреждают сеть, типа DDOS пачек. Второй, непрерывный выбор, является для пачек, намеревался повредить хозяев предназначения. В любом случае, Bellovin Информационный [Страница 3] RFC 3514 Флаг Безопасности в IPV4 Ударе головой 1 апреля 2003 выбор содержит 128-битовый индикатор силы, который говорит, как зло, которым пачка является, и 128-битовый кодекс типа, который описывает специфический тип предназначенного нападения. Некоторые слои связи, особенно те основанный на оптическом переключении, могут обходить routers (и следовательно firewalls) полностью. Соответственно, некоторая схема слоя связи ДОЛЖНА использоваться, чтобы обозначить зло. Это может вовлекать злые лямбды, злую поляризацию, и т.д. DDoS пачки нападения обозначены специальным пунктом(точкой) кодекса diffserv. Прикладной/злой тип ПАНТОМИМЫ определен для Ткани(сети) - или несущегося электронной почтой вреда. Другие типы ПАНТОМИМЫ могут быть вложены внутри злых секций; это разрешает легкий encoding документов обработки текстов с макро вирусами, и т.д. 6. IANA Соображения(рассмотрения) Этот документ определяет поведение элементов безопасности для 0x0 и ценностей 0x1 этой частицы. Поведение за другие ценности частицы может быть определено только в соответствии с IETF согласием [RFC2434]. 7. Соображения(рассмотрения) Безопасности Правильное функционирование механизмов безопасности зависят критически от злой частицы, устанавливаемой должным образом. Если дефектные компоненты не устанавливают злую частицу на 1 когда соответствующее, firewalls не будет мочь делать их рабочие места должным образом. Точно так же, если частица установлена на 1, когда это не должно быть, опровержение условия(состояния) обслуживания(службы) может происходить. 8. Ссылается [НА CBR03] W.R. Cheswick, S.M. Bellovin, и годы нашей эры. Rubin, " Firewalls и Интернетовская Безопасность: Отражая Коварного Хакера ", Второе Издание, Addison-Уэсли, 2003. [RFC791] Постэль-, J., " Интернетовский Протокол ", STD 5, RFC 791, сентябрь 1981. [RFC1750] Eastlake, D., 3-ий, Crocker, S. и J. Schiller, " Рекомендации Хаотичности для Безопасности ", RFC 1750, декабрь 1994. [RFC2119] Bradner, S., " Ключевые слова для использования в RFCS, чтобы Указать Уровни Требования ", BCP 14, RFC 2119, март 1997. [RFC2434] Narten, T. и H. Alvestrand, " Руководящие принципы чтобы Писать IANA Секцию Соображений(рассмотрений) в RFCS ", BCP 26, RFC 2434, октябрь 1998. Bellovin Информационный [Страница 4] RFC 3514 Флаг Безопасности в IPV4 Ударе головой 1 апреля 2003 [RFC2460] Deering, S. и R. Hinden, " Интернетовский Протокол, Спецификация Версии 6 (IPv6) ", RFC 2460, декабрь 1998. [RFC3022] Srisuresh, P. и K. Egevang, " Традиционный IP Переводчик Адреса Сети (Традиционный НАТ) ", RFC 3022, январь 2001. 9. Адрес Автора Стивен М Белловин AT& Исследование Лабораторий Шаннонская Лаборатория 180 Авеню Парка Florham Парк, NJ 07932 Телефонный: +1 973-360-8656 ЭЛЕКТРОННЫХ ПОЧТ: Bellovin@acm.org Bellovin Информационный [Страница 5] RFC 3514 Флаг Безопасности в IPV4 Ударе головой 1 апреля 2003 10. Полный Copyright ( C ) The Internet Society Утверждения(заявления) Авторского права (2003). Все права зарезервированы. Этот документ и переводы этого могут быть скопированы и снабжен(доставлен) к другим, и производным работам, которые комментируют или иначе объясняют это или помогают в его выполнении, может быть подготовлен, скопирован, издан и распределен, полностью или частично, без ограничения любого вида, при условии, что вышеупомянутое уведомление (внимание) авторского права и этот параграф включены во все такие копии и производные работы. Однако, этот сам документ не может быть изменен любым способом, типа, удаляя уведомление(внимание) авторского права или ссылки(рекомендации) на Интернетовское Общество или другие Интернетовские организации, кроме как необходимо с целью развития Интернетовских стандартов, когда процедуры для авторских прав, определенных в Интернетовском процессе Стандартов должны сопроводиться, или как требуется перевести это в языки другие чем Английский язык. Ограниченные разрешения, предоставленные выше бесконечные и не будут отменяться Интернетовским Обществом или его преемниками или назначают. Этот документ и информация, содержимая здесь обеспечивается на " КАК - " основание и ИНТЕРНЕТОВСКОЕ ОБЩЕСТВО, И ИНТЕРНЕТ, ПРОЕКТИРУЮЩИЙ ЦЕЛЕВУЮ ГРУППУ ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ГАРАНТИЙ, ЭКСПРЕССА ИЛИ ПОДРАЗУМЕВАЕМЫЙ, ВКЛЮЧАЯ, НО НЕ ограниченный ЛЮБОЙ ГАРАНТИЕЙ, ЧТО ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ ЗДЕСЬ НЕ БУДЕТ НАРУШАТЬ ЛЮБЫЕ ПРАВА ИЛИ ЛЮБЫЕ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ВЫСОКОГО СПРОСА ИЛИ ПРИГОДНОСТИ(СООТВЕТСТВИЯ) ДЛЯ СПЕЦИФИЧЕСКОЙ ЦЕЛИ. Финансирование (консолидирование) Подтверждения для RFC Редактора функция в настоящее время обеспечивается Интернетовским Обществом. Bellovin Информационный [Страница 6]