サイト内の現在位置を表示しています。

Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題

掲載番号:NV16-012
脆弱性情報識別番号:JVNVU#91475438

概要

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。

対象製品

IX1000/IX2000/IX3000シリーズ

影響の有無

    影響あり

対象となる製品のバージョン

    全バージョン

対処方法

    [回避策]
    • メインモード等、接続先アドレスが固定で運用している場合は、接続先アドレス以外の UDP/500 は破棄するフィルタを設定してください。

    • 再送回数(デフォルトは3回)を減らすことで、DoS 攻撃の踏み台になった場合の影響を少なくすることができます。

    コマンド:
    ike retransmit-count 2
    • IKEv2 を利用します。IKEv2 では脆弱性に関連するパケットへの再送が無いため、影響を小さくできる可能性があります。

参考情報

Japan Vulnerability Notes JVNVU#91475438:
Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題
https://jvn.jp/vu/JVNVU91475438/

CERT/CC Vulnerability Note VU#419128:
IKE/IKEv2 protocol implementations may allow network amplification attacks
https://www.kb.cert.org/vuls/id/419128

更新情報