Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

Site menu starts here.

Skip site menu.

End of site menu.

Displaying present location in the site.

Main content starts here.

NEC製品セキュリティ情報

Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題

掲載番号:NV16-012
脆弱性情報識別番号:JVNVU#91475438

概要

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。

対象製品

IX1000/IX2000/IX3000シリーズ

影響の有無

影響あり

対象となる製品のバージョン

全バージョン

対処方法

[回避策]

メインモード等、接続先アドレスが固定で運用している場合は、接続先アドレス以外の UDP/500 は破棄するフィルタを設定してください。

再送回数(デフォルトは3回)を減らすことで、DoS 攻撃の踏み台になった場合の影響を少なくすることができます。

コマンド：

ike retransmit-count 2

IKEv2 を利用します。IKEv2 では脆弱性に関連するパケットへの再送が無いため、影響を小さくできる可能性があります。

参考情報

Japan Vulnerability Notes JVNVU#91475438:
Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題
https://jvn.jp/vu/JVNVU91475438/

CERT/CC Vulnerability Note VU#419128:
IKE/IKEv2 protocol implementations may allow network amplification attacks
https://www.kb.cert.org/vuls/id/419128

更新情報

2016/06/20: IX1000/IX2000/IX3000シリーズを登録しました。