Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
IX1000/IX2000/IX3000シリーズ ISAKMP脆弱性に関する影響についての御報告
2005年11月14日に英国のコンピュータ緊急事態対策チームであるNISCCより発表されました、「Internet Security Association Key Management Protocol (ISAKMP) に影響を与える脆弱性(NISCC#273756)」に関しまして、IX1000/IX2000/IX3000シリーズルータへの影響、暫定回避策、恒久対策について下記のようにご報告させていただきます。
なお、IPSec(IKE)機能をご使用の場合は、<対処方法>の恒久対策に示すソフトウェアへのバージョンアップを推奨いたします。また、ソフトウェアリリースまでは<対処方法>の暫定回避策の実施をご検討ください。
製品カテゴリ
IX1000/IX2000/IX3000シリーズ
影響の内容
IX1000/IX2000/IX3000シリーズルータではISAKMPから派生した自動鍵交換機能=IKE機能を実装しており、この脆弱性の持つ問題の一部について影響を受けます。
具体的には以下の不正なIKEパケットによる攻撃を受けた場合に、装置が自動的にリスタートする場合があります。その影響として、リスタート開始から完了までの間の通信が停止します。なお、リスタート完了後は異常なく通常動作状態になります。
- A)1,600バイト以上のIKEパケットを受信した場合(メイン,アグレッシブの両モードとも)
- B)相手装置からNonceペイロードが存在しないIKEパケットを受信した場合(アグレッシブモードのみ)
- C)IDペイロードのlengthに不正な値が設定されたIKEパケットを受信した場合(アグレッシブモードのみ)
影響の範囲
以下に示す機種・ソフトウェアバージョンにおいて、このISAKMP脆弱性に関する攻撃を受けた場合に、影響を受けます。
機種 | 影響を受ける ソフトウェアバージョン |
対策済み ソフトウェアバージョン |
---|---|---|
IX1010/IX1011/ IX1020/IX1050 |
Ver.7.0.43以下すべて (対策済みソフトウェア バージョン除く) |
Ver.6.3.26、 Ver.7.0.46以降 |
IX2003 | Ver.7.0.43以下すべて (対策済みソフトウェア バージョン除く) |
Ver.6.3.26、 Ver.7.0.46以降 |
IX2004 | Ver.7.2.16以下すべて (対策済みソフトウェア バージョン除く) |
Ver.7.0.46、 Ver.7.2.19以降 |
IX2010/IX2010(HUB)/ IX2010(BRI)/IX2015/ IX2015(SIP) |
Ver.7.2.16以下すべて (対策済みソフトウェア バージョン除く) |
Ver.6.3.26、 Ver.7.0.46、 Ver.7.2.19以降 |
IX3010 | Ver.7.2.16以下すべて (対策済みソフトウェア バージョン除く) |
Ver.6.3.26、 Ver.7.0.46、 Ver.7.2.19以降 |
IX3110/IX2105 | Ver.8.7.22以下すべて (対策済みソフトウェア バージョン除く) |
Ver.8.7.23、 Ver.8.8.22以降 |
対処方法
1. 恒久対策
平成17年11月末にリリースしましたソフトウェア(Ver.7.3)にてISAKMPに関する攻撃を受けた場合でもIX1000/IX2000/IX3000シリーズルータがリスタートしないように恒久処置いたしました。
IX3110およびIX2105に関しては、2012年7月末にリリースしたソフトウェア(Ver.8.8)にて恒久処置いたしました。
この処置済みソフトウェアの場合、後述の暫定対処策を適用しなくても、本脆弱性の影響を受けません。
また、Ver.7.2,Ver.7.0およびVer.6.3についても本対処を盛り込んだソフトウェアをリリースいたしましたので、IX1000シリーズおよびIX2003については、Ver.7.0の対処版をご使用ください。
- ※修正されたソフトウェアについては、ご要望により無償で提供させていただきます。ただし、ソフトウェアの入れ替え(バージョンアップ)作業を依頼される場合は、有償となります。
2. 暫定回避策
IX1000/IX2000/IX3000シリーズルータでは、コンフィグ設定時に以下の処置を施すことにより、この脆弱性問題の影響を回避あるいは最小限に抑えることができます。
なお、目安として、IPsecの設定状態と暫定策の効果をまとめると次のようになります。
IPsec設定状態 | 暫定策の効果(※) |
---|---|
IKE機能を使用していない | <脆弱性なしのため対処不要> |
メインモード | ○ |
アグレッシブモード (センタ側固定IPアドレス, 拠点側動的IPアドレスの場合) |
・拠点側:△ ・センタ側:▲ |
- ※後述の暫定策を"完全に"実施できた場合の効果
- ○:影響の回避が可能
- △:影響を受ける可能性を最小限に抑えることが可能
- ▲:暫定策を完全に実施できれば影響を受ける可能性を最小限に抑えることが可能だが、後述のように完全な実施は実質的に困難と思われるため、回避にはバージョンアップが必要。
回避策
- IKE機能を使用しない
自動鍵交換(IKE)機能を使用せず、手動鍵を用いることにより、本脆弱性問題の影響を回避することが可能となる。 - IKE機能を使用する場合は、以下の処置を行う
後述の暫定対処策により、メインモードでは本脆弱性問題の影響を回避することが可能であり、アグレッシブモードでは影響を受ける可能性を最小限に抑えることが可能。
- (ア)メインモード使用時は以下の処置を実施する
- これにより、前記A)項の攻撃用のIKEパケットを廃棄できる(※)ため、本件脆弱性問題の影響を回避することが可能となる。
※送信元アドレスとして通信相手先アドレスを詐称したものでも廃棄可能。
- これにより、前記A)項の攻撃用のIKEパケットを廃棄できる(※)ため、本件脆弱性問題の影響を回避することが可能となる。
- (イ)アグレッシブモード使用時は以下の処置を実施する。
- アグレッシブモード使用時でもセンタ側,拠点側とも固定IPアドレスを使用している場合には、メインモードの使用に変更して前述の暫定対処策を実施することで本件脆弱性問題の影響を回避することも可能。
- (ア)メインモード使用時は以下の処置を実施する
- 拠点側
「特定の相手先=通信相手からのIKEのプロトコル(UDP)・ポート番号(500)(※src,dstとも)を受信許可し、他のUDPパケットは必要なもの以外のすべてを受信不許可としたトラフィックフィルタを設定する」
これにより、不特定の相手からの攻撃用のIKEパケットを廃棄できるため、本脆弱性問題の影響を受ける可能性を最小限に抑えること(※)が可能となる。
※送信元として通信相手先アドレスを詐称した前記B),C)項の攻撃用のIKEパケットを受信した場合はそのパケットを廃棄できない[前記A)項のパケットは廃棄可能]ために影響を受けることになる。(この詐称の可能性が非常に低いとすれば、ほぼ回避可能と考えることができる) - センタ側
次の処置のうち、可能なものはすべて実施する。すべて実施すれば、拠点側と同様、本脆弱性問題の影響を受ける可能性を最小限に抑えることが可能となる。
「IKEのプロトコル(UDP)・ポート番号(500)(※src,dstとも)を受信許可し、他のUDPパケットは必要なもの以外のすべてを受信不許可としたトラフィックフィルタを設定する。」
これにより、前記A)項の攻撃用の不正なIKEパケットを廃棄できるため、その攻撃用IKEパケットによる影響は回避可能となる。
ただし、前記B),C)項の攻撃用IKEパケットはこのフィルタ設定では廃棄できないため、それらの攻撃については次項の処置を実施する必要がある。
なお、センタ側からインターネット側に対してIPSec以外の通信がある場合、それらも透過させる必要があるため、このフィルタ設定には注意が必要。
「特定の相手先=通信相手からのアクセスのみを受信許可指定したトラフィックフィルタを設定する。」
これにより不特定の相手からの攻撃用の不正なIKEパケットを廃棄できるため、本脆弱性問題の影響を受ける可能性を最小限に抑えること(※)が可能となる。
※送信元として通信相手先アドレスを詐称した前記B),C)項の攻撃用のIKEパケットを受信した場合、廃棄できないために影響を受けることになるが、詐称の可能性は低いものと思われる。[前記A)項の攻撃用IKEパケットは前項のフィルタで廃棄可能]
なお、通信相手が動的IPアドレスの場合や不特定の相手と通信する場合には、このフィルタは設定できないので注意が必要。
これらのフィルタを設定できない場合は、センタ側を恒久対策済みのソフトウェアへバージョンアップすることにより、本件脆弱性問題の影響を回避することが可能となる。
資料請求・お問い合わせ