9. Вопросы безопасности
Для защиты от DoS-атак концентраторы доступа могут использовать тег AC-Cookie. Концентраторам следует обеспечивать возможность повторной генерации уникальных значений поля TAG_VALUE на основе значения поля SOURCE_ADDR в пакете PADR. Такой подход обеспечивает гарантию того, что поле SOURCE_ADDR в пакете PADI содержит доступный адрес, и позволяет ограничить число одновременных сессий для этого адреса. Выбор алгоритма не задается спецификацией и остается за разработчиками. Примером алгоритма может служить использование HMAC [RFC2104] применительно к MAC-адресу хоста с ключом, который известен лишь концентратору доступа. Тег AC-Cookie помогает предотвратить некоторые типы DoS-атак, но он не может защитить от всех атак на службы и концентраторы доступа могут применять также другие механизмы защиты.
Многие концентраторы доступа не захотят сообщать информацию о поддерживаемых услугах непроверенным хостам. В таких случаях концентратору следует реализовать один из двух вариантов политики:
- концентратору ни в коем случае не следует отвергать запросы на основании тега Service-Name и всегда следует возвращать значение TAG_VALUE, которое было передано концентратору;
- концентратору следует принимать только запросы, в которых тег Service-Name имеет поле TAG_LENGTH=0 (любой сервис).
Рекомендуется использовать второй вариант.
10. Благодарности
Этот документ основан на результатах дискуссий в нескольких форумах, включая ADSL forum.
Часть текста документа была заимствована из RFC 1661, RFC 1662 и RFC 2364.
11. Литература
[RFC1661] | Simpson, W., Editor, «The Point-to-Point Protocol (PPP)», STD 51, RFC 1661, Июль 1994 |
[RFC2119] | Scott Bradner, «Ключевые слова для обозначения уровня требований в RFC», RFC 2119, Март 1997. |
[RFC2104] | Krawczyk, H., Bellare, M. и R. Canetti, «HMAC: Keyed-Hashing for Message Authentication», RFC 2104, Февраль 1998. |
[RFC1700] | Reynolds, J. и J. Postel, «Assigned Numbers», STD 2, RFC 1700, October 1994. See also: http://www.iana.org/numbers.html |
[RFC2279] | Yergeau, F., «UTF-8, a transformation format of ISO 10646», RFC 2279, Январь 1998. |