ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. UNIVERGE
  4. UNIVERGE WA シリーズ
  5. 脆弱性問題(JVNVU#91475438)について
ここから本文です。

脆弱性問題(JVNVU#91475438)について

2016年3月8日
NEC スマートネットワーク事業部 データ・セキュリティ製品事業グループ

はじめに

2016年2月29日に、JPCERT/CCより
「Internet Key Exchange(IKEv1,IKEv2)がDoS攻撃の踏み台として使用される問題」
というレポートが発表されました。
 
 JPCERT/CC
 Japan Vulnerability Notes JVNVU#91475438
   http://jvn.jp/vu/JVNVU91475438/
 

製品カテゴリ

[対象製品]
WA1020, WA1510, WA1511, WA2021, WA2610-AP, WA2611-AP

[対象ソフトウェア]
IKEv1を利用するソフトウェアバージョン Ver3.0.2 から Ver7.1.3 までの全バージョン

予測される影響

[影響を受ける条件]
1. IPsecで、IKEv1を利用している。

 IKEv1プロトコル仕様による脆弱性であり、ルータがDoS/DDoS攻撃の踏み台にされる
 可能性があります。
 なお、この脆弱性による、ルータのVPN接続の詐称、暗号通信解読、異常動作・再起動
 などの影響はありません。

対策

完全な対策はまだありません。

回避策

IKEv1をご利用の場合は、以下の方法で脆弱性の回避もしくは軽減ができる場合があります。

  1. メインモード等、接続先アドレスが固定で運用している場合は、接続先アドレス
        以外のUDP/500は破棄するフィルタを設定する。

  2. IKEv1の再送回数を減らす。 (デフォルトは5回)
       再送回数を減らすことでDoS攻撃の踏み台になった場合に、攻撃対象への影響を少なくします。
       ※IKEv1パケットすべての再送回数が減るため、不安定な回線状況では接続安定性
          が低下する可能性があります。
    <コマンド>
    ike retransmit count 2
       (interval を省略して設定すると 1秒 が自動的に設定されます。
        既に interval を設定してある場合は、count パラメータに引き続き、
        interval を指定してください。)

更新履歴

     2016年 3月8日  初版発行

ページの先頭へ戻る