Japan
サイト内の現在位置を表示しています。
Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題
掲載番号:NV16-012
脆弱性情報識別番号:JVNVU#91475438
概要
Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。
対象製品
IX1000/IX2000/IX3000シリーズ
影響の有無
影響あり
対象となる製品のバージョン
全バージョン
対処方法
- メインモード等、接続先アドレスが固定で運用している場合は、接続先アドレス以外の UDP/500 は破棄するフィルタを設定してください。
- 再送回数(デフォルトは3回)を減らすことで、DoS 攻撃の踏み台になった場合の影響を少なくすることができます。
- IKEv2 を利用します。IKEv2 では脆弱性に関連するパケットへの再送が無いため、影響を小さくできる可能性があります。
[回避策]
コマンド:
ike retransmit-count 2 |
参考情報
Japan Vulnerability Notes JVNVU#91475438:
Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題
https://jvn.jp/vu/JVNVU91475438/
CERT/CC Vulnerability Note VU#419128:
IKE/IKEv2 protocol implementations may allow network amplification attacks
https://www.kb.cert.org/vuls/id/419128
更新情報
- 2016/06/20