RFC: 2516
Оригинал: A Method for Transmitting PPP Over Ethernet (PPPoE)
Категория: Информационный
Дата публикации:
Авторы: , , , , ,
Перевод: Николай Малых

RFC 2516, Страница 9 из 11

9. Вопросы безопасности

Для защиты от DoS-атак концентраторы доступа могут использовать тег AC-Cookie. Концентраторам следует обеспечивать возможность повторной генерации уникальных значений поля TAG_VALUE на основе значения поля SOURCE_ADDR в пакете PADR. Такой подход обеспечивает гарантию того, что поле SOURCE_ADDR в пакете PADI содержит доступный адрес, и позволяет ограничить число одновременных сессий для этого адреса. Выбор алгоритма не задается спецификацией и остается за разработчиками. Примером алгоритма может служить использование HMAC [RFC2104] применительно к MAC-адресу хоста с ключом, который известен лишь концентратору доступа. Тег AC-Cookie помогает предотвратить некоторые типы DoS-атак, но он не может защитить от всех атак на службы и концентраторы доступа могут применять также другие механизмы защиты.

Многие концентраторы доступа не захотят сообщать информацию о поддерживаемых услугах непроверенным хостам. В таких случаях концентратору следует реализовать один из двух вариантов политики:

  • концентратору ни в коем случае не следует отвергать запросы на основании тега Service-Name и всегда следует возвращать значение TAG_VALUE, которое было передано концентратору;
  • концентратору следует принимать только запросы, в которых тег Service-Name имеет поле TAG_LENGTH=0 (любой сервис).

Рекомендуется использовать второй вариант.

10. Благодарности

Этот документ основан на результатах дискуссий в нескольких форумах, включая ADSL forum.

Часть текста документа была заимствована из RFC 1661, RFC 1662 и RFC 2364.

11. Литература

[RFC1661]Simpson, W., Editor, «The Point-to-Point Protocol (PPP)», STD 51, RFC 1661, Июль 1994
[RFC2119]Scott Bradner, «Ключевые слова для обозначения уровня требований в RFC», RFC 2119, Март 1997.
[RFC2104]Krawczyk, H., Bellare, M. и R. Canetti, «HMAC: Keyed-Hashing for Message Authentication», RFC 2104, Февраль 1998.
[RFC1700]Reynolds, J. и J. Postel, «Assigned Numbers», STD 2, RFC 1700, October 1994. See also: http://www.iana.org/numbers.html
[RFC2279]Yergeau, F., «UTF-8, a transformation format of ISO 10646», RFC 2279, Январь 1998.
2007 - 2017 © Русские переводы RFC, IETF, ISOC.