X-Forwarded-For

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

X-Forwarded-For (XFF) とは、HTTPヘッダフィールドの一つ。HTTPプロキシサーバまたは負荷分散装置(ロードバランサ)を経由してウェブサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードである。このヘッダはSquidキャッシング・プロキシサーバの開発者により始めて導入された。RFCの標準的なヘッダフィールドではないが、IETFのネットワーク作業部会 (Network Working Group) は2011年10月より同種のHTTPヘッダForwardedの標準化作業を開始した[1]

ここでのキャッシング・サーバー(キャッシュ・サーバ)とは、概ね、大規模なISPの利用者がWWWへ接続する際にISPが利用を推奨または強制的に利用させるプロキシサーバのことを指し、データのキャッシングにより外部へのネットワーク帯域幅を減らす働きを持つ。いくつかの場合、これらプロキシサーバは透過的プロキシであり、利用者は利用していることに気付かないかもしれない。

XFFや別の類似の技術を利用しなければ、プロキシ経由の接続はすべてプロキシサーバの送信元IPアドレスのみを示すことになり、送信元IPアドレスが利用できなくなる。そのため、悪意あるアクセスを検知したり防ぐことはかなり困難になり、プロキシサーバを匿名サービス英語版に変えてしまう。XFFの利用は送信元ホストのIPアドレスを正直に報告するプロキシサーバの存在を仮定している。そのため、XFFを効果的に利用するためには、どのプロキシサーバが信頼できるかの情報が必須となる。例えば、信頼できる人物が管理するサーバが一覧化されているホワイトリストに当該プロキシサーバが載っているかを検索するなどして情報を得る必要がある。

フォーマット[編集]

このフィールドの一般的なフォーマットは次の通りである。

X-Forwarded-For: client1, proxy1, proxy2

ここで、値(変数)はコンマとスペースで分けられたIPアドレスの一覧である。コロンとスペースの次に来る、最も左のカラムにある値は最下流に位置するクライアントのIPアドレス、続いて接続要求を伝送する、おのおの連続したプロキシが、接続要求の送信元IPアドレスを追加していく。この例では、接続要求はproxy1、proxy2を通過し、最後に接続要求側のリモート・アドレスとして現れるproxy3に伝わる。

X-Forwarded-Forフィールドをでっち上げるのは簡単なので[2]、与えられた情報は慎重に取り扱うべきである。最終IPアドレスは常に最後のプロキシに接続するIPアドレスであるが、すなわちこの情報ソースが最も信頼できることを意味する。

フォワードプロキシまたはリバースプロキシを利用するシナリオにおいてはX-Forwarded-Forデータが利用可能である。

クライアントがフォワードプロキシを利用するシナリオの場合、接続先ネットワークの管理者は、クライアント側内部のネットワークのプロキシ接続の連鎖を経由して、接続するクライアントの実体IPアドレスを追跡することが可能で、ゲートウェイ機器上でのそのIPアドレスが記録される。セキュリティ的理由で、インターネットへ接続要求を送信する前に、管理下にあるゲートウェイ機器は任意のX-Forwarded-Forを削るべきである。またX-Forwarded-Forの情報が管理下にあるネットワーク内部で全て生成される場合は、このシナリオにおいては、X-Forwarded-Forの情報を信頼できるようにすべきである。

管理下のネットワークがリバースプロキシを利用するシナリオの場合、たとえ管理下のウェブサーバがインターネットからの経路情報を持たない場合でも、- 例えばウェブサーバがOSI参照モデル第7層に位置するプロキシ機器の背後に隠れている場合でも、ウェブサーバ管理者はウェブサーバにインターネット接続するクライアントの実体IPアドレスを追跡できる。またインターネット上から欺瞞情報を受信する可能性がある場合は、このシナリオにおいては、全てのX-Forwarded-Forの情報は信頼すべきではない。X-Forwarded-Forフィールドに通知されているプロキシIPアドレスが信頼できるものか確かめるため、斯様な信頼できるIPアドレスのリストを利用するべきである。

プロキシ接続の連鎖の末端にあるIPアドレスはX-Forwarded-Forフィールドの中に含まれていないので、X-Forwarded-Forフィールドのログをただ取得することは常に十分であるとは限らない。その情報は実際にはIPヘッダに含まれている。徹底するためには、ウェブサーバは接続要求元IPアドレスとX-Forwarded-Forフィールドの情報の双方を記録すべきである。

各種製品のサポート状況[編集]

プロキシサーバとキャッシュ・エンジン[編集]

X-Forwarded-Forフィールドは多くのプロキシサーバやキャッシュ・エンジンでサポートされており、Apacheなどのウェブサーバと連携できるものも含まれる。一例を挙げると、

などがある。

X-Forwarded-Forフィールドを記録する方法はApache HTTP Serverをはじめとする多くのウェブサーバでサポートされている。Microsoft IIS 6.0と7.0では"Winfrasoft X-Forwarded-For for IIS"というサードパーティーISAPIフィルターがこの機能を実現している。IIS 7.0はまた、"HTTP Module"というサードパーティー製フィルターを利用できる[17]

ロードバランサ[編集]

  • "Zeus Traffic Manager"と"Zeus Load Balancer"はX-Forwarded-Forフィールドをサポートしている。
  • Radwareのロードバランサはone-armed英語版[注釈 1]とmulti-armed設定用のX-Forwarded-Forをサポートしている。
  • シトリックス・システムズの"NetScaler"はクライアントのIPアドレスをクライアントの接続要求に挿入するため、X-Forwarded-Forをはじめとするユーザー定義フィールドをサポートしている[18]
  • "Cisco Ace Load Balancing Modules"は、送信元ネットワークアドレス変換("source NAT"、SNAT)を実行するためロードバランサを設定する時や、ロードバランサのone-armed設定を有効にした場合、このフィールドを挿入可能であり、通常それで十分であるが、一方、クライアントの送信元IPアドレスのために実体サーバが利用できる仕組みをこの製品は提供する。製品マニュアルには"x-forward"と記述されているが、これはX-Forwarded-Forの代わりであると推定される[19]
  • CAI Networksのロードバランサはone-armed single network設定向けのX-Forwarded-Forをサポートしている。
  • F5ネットワークスのロードバランサはone-armedとmulti-armed設定向けのX-Forwarded-Forをサポートしている[20]
  • jetNEXUSのロードバランサはone-armedとmulti-armed設定向けのX-Forwarded-Forをサポートしている。
  • KEMP Technologies英語版 "LoadMaster"はone-armedとmulti-armed設定双方で非透過的負荷分散処理向けにX-Forwarded-Forをサポートしている[21]
  • Coyote Point Systems英語版 "Equalizer"はone-armedとmulti-armed設定双方で負荷分散処理向けにX-Forwarded-Forフィールドをサポートしている[22]
  • HAProxyはone-armedとmulti-armed設定双方で非透過的または透過的負荷分散処理向けにX-Forwarded-Forをサポートしている。
  • OpenBSD "relays"はこのフィールドを挿入もしくは改変できる[23]
  • Amazon's Elastic Load Balancing serviceはIPv4、IPv6双方でこのフィールドをサポートしている[24]
  • "LBL LoadBalancer"はone-armedとmulti-armed設定向けにX-Forwarded-Forをサポートしている。

ウェブサーバ・ログのためのX-Forwarded-For[編集]

多くのウェブサーバはログファイルにX-Forwarded-Forフィールドに含まれるIPアドレスを記録するよう設定できる。Apache HTTP Serverでは、これは標準機能として実装されており、単に設定を変更することでログに記録するようになる[11][25][注釈 2][注釈 3]。しかしながら、Microsoft IISはサードパーティー・アプリケーションが必要である[注釈 4]。IIS7向けには、IIS.netウェブサイトから、同様にIISのログにX-Forwarded-Forの値を書き込むフリーなIISモジュールを取得可能である[26]

脚注[編集]

[ヘルプ]

注釈[編集]

  1. ^ VLAN間でのルーティングに利用されるルーターの設定。
  2. ^ 具体的には、X-Forwarded-Forは、(非標準であるとはいえ)HTTPヘッダフィールドであるから、設定ファイル(/etc/apache2/apache2.confなど)のLogFormatディレクティブにて
    LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b"
    
    

    などと記述してから、httpdデーモンを再起動すれば、以降のログの各行最左端にX-Forwarded-Forフィールドの中身が記録される。またApacheはHTTPヘッダフィールドを環境変数として利用可能であるからSetEnvIfディレクティブを利用し、X-Forwarded-Forと送信元IPアドレスを使った簡易なアクセス制御も可能である。

  3. ^ IHSも同様。"負荷分散装置やProxyが付与する"X-Forwarded-For"ヘッダー情報をIHSアクセス・ログに記録する方法 (NTWK-09-036)"
  4. ^ Winfrasoft X-Forwarded-For for IISはIISにX-Forwarded-For IPサポートを追加するIISのサードパーティー・プラグインである。これを利用すると、IISのW3C Extended Log Fileにおける"c-ip"(client-ip)ログ・フィールドにXFFの情報を追加することができる。

出典[編集]

関連項目[編集]

外部リンク[編集]