Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

IX1000/IX2000/IX3000シリーズ 「IKEv1,IKEv2がDoS攻撃の踏み台として使用される問題(JVNVU#91475438)」に関する御報告

はじめに

2016年2月29日に、JPCERT/CC より、

「Internet Key Exchange(IKEv1,IKEv2)がDoS攻撃の踏み台として使用される問題」

というレポートが発表されました。

JPCERT/CC
Japan Vulnerability Notes JVNVU#91475438
https://jvn.jp/vu/JVNVU91475438/

「IKEv1,IKEv2がDoS攻撃の踏み台として使用される問題」の予測される影響

影響を受ける条件

  1. IPsecで、IKEv1もしくはIKEv2を利用している。
    IKEv1/IKEv2プロトコル仕様による脆弱性であり、ルータがDoS/DDoS攻撃の踏み台にされる可能性があります。
    なお、この脆弱性による、IXルータのVPN接続の詐称、暗号通信解読、異常動作・再起動などの影響はありません。

製品カテゴリ

対象装置: IX1010, IX1011, IX1020, IX1050,
IX2010, IX2015, IX2003, IX2004, IX2005, IX2105, IX2025, IX2207, IX2215,
IX3010, IX3015, IX3110
(ゼロコンフィグモデルを含む)
対象ソフトウェア: IKEv1,IKEv2を利用する全バージョンのソフトウェア

対策

完全な対策はまだありません。

回避策

IKEv1,IKEv2をご利用の場合は、以下の方法で脆弱性の回避もしくは軽減ができる場合があります。

  1. IKEで通信する相手のIPアドレスが固定の場合は、相手先アドレス以外の送信元から受信したIKEパケット(UDP/500)を破棄するフィルタを設定します。
  2. IKEv1の再送回数を減らす。
    再送回数を減らすことでDoS攻撃の踏み台になった場合に、攻撃対象への影響を少なくします。 (※)
  3. IKEv2を利用する。
    IKEv2では脆弱性に関連するパケットへの再送が無いため、影響を小さくできる可能性があります。

  • (※)

    以下のコマンドにより再送回数の設定が可能です(デフォルトは3回)。
    なお、IKEv1パケットすべての再送回数が減るため、不安定な回線状況では接続安定性が低下する可能性があります。

ike retransmit-count 2

改版履歴

2016年3月3日
初版発行

資料請求・お問い合わせ

Escキーで閉じる 閉じる