X-Forwarded-For

ネットワーク管理者の方へ。ネットワーク管理下の利用者によるプロキシサーバの不正使用等により、別の利用者がウィキペディアの自動ブロックに巻き込まれた際、その被害を軽減する方法をお探しの場合は、XFF projectをご覧下さい。

「XFF」はこの項目へ転送されています。航空機については「FF (航空機)|グラマン FF」をご覧ください。

X-Forwarded-For (XFF) とは、HTTPヘッダフィールドの一つ。HTTPプロキシサーバまたは負荷分散装置（ロードバランサ）を経由してウェブサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードである。このヘッダはSquidキャッシング・プロキシサーバの開発者により初めて導入された。のちに、IETFのネットワーク作業部会 (Network Working Group) が同種のHTTPヘッダForwardedを RFC 7239 で提唱している。

ここでのキャッシング・サーバー（キャッシュ・サーバ）とは、概ね、大規模なISPの利用者がWWWへ接続する際にISPが利用を推奨または強制的に利用させるプロキシサーバのことを指し、データのキャッシングにより外部へのネットワーク帯域幅を減らす働きを持つ。いくつかの場合、これらプロキシサーバは透過的プロキシであり、利用者は利用していることに気付かないかもしれない。

XFFや別の類似の技術を利用しなければ、プロキシ経由の接続はすべてプロキシサーバの送信元IPアドレスのみを示すことになり、送信元IPアドレスが利用できなくなる。そのため、悪意あるアクセスを検知したり防ぐことはかなり困難になり、プロキシサーバを匿名サービス（英語版）に変えてしまう。XFFの利用は送信元ホストのIPアドレスを正直に報告するプロキシサーバの存在を仮定している。そのため、XFFを効果的に利用するためには、どのプロキシサーバが信頼できるかの情報が必須となる。例えば、信頼できる人物が管理するサーバが一覧化されているホワイトリストに当該プロキシサーバが載っているかを検索するなどして情報を得る必要がある。

フォーマット

このフィールドの一般的なフォーマットは次の通りである。

X-Forwarded-For: client1, proxy1, proxy2

ここで、値（変数）はコンマとスペースで分けられたIPアドレスの一覧である。コロンとスペースの次に来る、最も左のカラムにある値は最下流に位置するクライアントのIPアドレス、続いて接続要求を伝送する、おのおの連続したプロキシが、接続要求の送信元IPアドレスを追加していく。この例では、接続要求はproxy1、proxy2を通過し、最後に接続要求側のリモート・アドレスとして現れるproxy3に伝わる。

X-Forwarded-Forフィールドをでっち上げるのは簡単なので^[1]、与えられた情報は慎重に取り扱うべきである。最終IPアドレスは常に最後のプロキシに接続するIPアドレスであるが、すなわちこの情報ソースが最も信頼できることを意味する。

フォワードプロキシまたはリバースプロキシを利用するシナリオにおいてはX-Forwarded-Forデータが利用可能である。

クライアントがフォワードプロキシを利用するシナリオの場合、接続先ネットワークの管理者は、クライアント側内部のネットワークのプロキシ接続の連鎖を経由して、接続するクライアントの実体IPアドレスを追跡することが可能で、ゲートウェイ機器上でのそのIPアドレスが記録される。セキュリティ的理由で、インターネットへ接続要求を送信する前に、管理下にあるゲートウェイ機器は任意のX-Forwarded-Forを削るべきである。またX-Forwarded-Forの情報が管理下にあるネットワーク内部で全て生成される場合は、このシナリオにおいては、X-Forwarded-Forの情報を信頼できるようにすべきである。

管理下のネットワークがリバースプロキシを利用するシナリオの場合、たとえ管理下のウェブサーバがインターネットからの経路情報を持たない場合でも、- 例えばウェブサーバがOSI参照モデル第7層に位置するプロキシ機器の背後に隠れている場合でも、ウェブサーバ管理者はウェブサーバにインターネット接続するクライアントの実体IPアドレスを追跡できる。またインターネット上から欺瞞情報を受信する可能性がある場合は、このシナリオにおいては、全てのX-Forwarded-Forの情報は信頼すべきではない。X-Forwarded-Forフィールドに通知されているプロキシIPアドレスが信頼できるものか確かめるため、斯様な信頼できるIPアドレスのリストを利用するべきである。

プロキシ接続の連鎖の末端にあるIPアドレスはX-Forwarded-Forフィールドの中に含まれていないので、X-Forwarded-Forフィールドのログをただ取得することは常に十分であるとは限らない。その情報は実際にはIPヘッダに含まれている。徹底するためには、ウェブサーバは接続要求元IPアドレスとX-Forwarded-Forフィールドの情報の双方を記録すべきである。

各種製品のサポート状況

プロキシサーバとキャッシュ・エンジン

X-Forwarded-Forフィールドは多くのプロキシサーバやキャッシュ・エンジンでサポートされており、Apacheなどのウェブサーバと連携できるものも含まれる。一例を挙げると、

• Squid^[2][3]
• Apache mod_proxy^[4]
  • IHSも同様^[5]。
• Pound（英語版）^[6]
• HAProxy（英語）^[7]
• Varnish Cache^[8]
• IronPort（英語版） Web Security Appliance^[9]
• CAI Networks WebMux（英語版）
• アレイ・ネットワークス
• Radware's Appdirector and Web Server Director（英語版）
• F5 Big-IP^[10]
• Blue Coat ProxySG^[11]
• Cisco キャッシュエンジン^[12]
• McAfee Web ゲートウェイ
• Phion Airlock
• Finjan製 Vital Security
• NetApp NetCache（英語版）（Blue Coat Systems（英語版）に売却済み）^[13]
• jetNEXUS
• Crescendo Networks製 Maestro
• Microsoft ISA Server 2004/2006 に ISA サーバ向け Winfrasoft X-Forwarded-For を積んだもの（英語）^[14]
• Winfrasoft X-Forwarded-For Microsoft と Forefront TMG 2010 （ 2012年11月末をもって販売終了）- フリー・ウェブフィルターの TMG あるいは XFF-Filter.dll 向け^[15]

などがある。

X-Forwarded-Forフィールドを記録する方法はApache HTTP Serverをはじめとする多くのウェブサーバでサポートされている。Microsoft IIS 6.0と7.0では"Winfrasoft X-Forwarded-For for IIS"というサードパーティーのISAPIフィルターがこの機能を実現している。IIS 7.0はまた、"HTTP Module"というサードパーティー製フィルターを利用できる^[16]。

ロードバランサ

• "Zeus Traffic Manager"と"Zeus Load Balancer"はX-Forwarded-Forフィールドをサポートしている。
• Radwareのロードバランサはone-armed（英語版）^{[注釈 1]}とmulti-armed設定用のX-Forwarded-Forをサポートしている。
• シトリックス・システムズの"NetScaler"はクライアントのIPアドレスをクライアントの接続要求に挿入するため、X-Forwarded-Forをはじめとするユーザー定義フィールドをサポートしている^[17]。
• "Cisco Ace Load Balancing Modules"は、送信元ネットワークアドレス変換（"source NAT"、SNAT）を実行するためロードバランサを設定する時や、ロードバランサのone-armed設定を有効にした場合、このフィールドを挿入可能であり、通常それで十分であるが、一方、クライアントの送信元IPアドレスのために実体サーバが利用できる仕組みをこの製品は提供する。製品マニュアルには"x-forward"と記述されているが、これはX-Forwarded-Forの代わりであると推定される^[18]。
• CAI Networksのロードバランサはone-armed single network設定向けのX-Forwarded-Forをサポートしている。
• F5ネットワークスのロードバランサはone-armedとmulti-armed設定向けのX-Forwarded-Forをサポートしている^[19]。
• jetNEXUSのロードバランサはone-armedとmulti-armed設定向けのX-Forwarded-Forをサポートしている。
• KEMP Technologies（英語版） "LoadMaster"はone-armedとmulti-armed設定双方で非透過的負荷分散処理向けにX-Forwarded-Forをサポートしている^[20]。
• Coyote Point Systems（英語版） "Equalizer"はone-armedとmulti-armed設定双方で負荷分散処理向けにX-Forwarded-Forフィールドをサポートしている^[21]。
• HAProxyはone-armedとmulti-armed設定双方で非透過的または透過的負荷分散処理向けにX-Forwarded-Forをサポートしている。
• OpenBSD "relays"はこのフィールドを挿入もしくは改変できる^[22]。
• Amazon's Elastic Load Balancing serviceはIPv4、IPv6双方でこのフィールドをサポートしている^[23]。
• "LBL LoadBalancer"はone-armedとmulti-armed設定向けにX-Forwarded-Forをサポートしている。

ウェブサーバ・ログのためのX-Forwarded-For

多くのウェブサーバはログファイルにX-Forwarded-Forフィールドに含まれるIPアドレスを記録するよう設定できる。Apache HTTP Serverでは、これは標準機能として実装されており、単に設定を変更することでログに記録するようになる^{[10][24][注釈 2][注釈 3]}。しかしながら、Microsoft IISはサードパーティー・アプリケーションが必要である^{[注釈 4]}。IIS7向けには、IIS.netウェブサイトから、同様にIISのログにX-Forwarded-Forの値を書き込むフリーなIISモジュールを取得可能である^[25]。