Japan
サイト内の現在位置を表示しています。
UNIVERGE IXシリーズ 技術情報
IX1000/IX2000/IX3000シリーズ 「IKEv1,IKEv2がDoS攻撃の踏み台として使用される問題(JVNVU#91475438)」に関する御報告
はじめに
2016年2月29日に、JPCERT/CC より、
「Internet Key Exchange(IKEv1,IKEv2)がDoS攻撃の踏み台として使用される問題」
というレポートが発表されました。
JPCERT/CC
Japan Vulnerability Notes JVNVU#91475438
https://jvn.jp/vu/JVNVU91475438/
「IKEv1,IKEv2がDoS攻撃の踏み台として使用される問題」の予測される影響
影響を受ける条件
- IPsecで、IKEv1もしくはIKEv2を利用している。
IKEv1/IKEv2プロトコル仕様による脆弱性であり、ルータがDoS/DDoS攻撃の踏み台にされる可能性があります。
なお、この脆弱性による、IXルータのVPN接続の詐称、暗号通信解読、異常動作・再起動などの影響はありません。
製品カテゴリ
対象装置: | IX1010, IX1011, IX1020, IX1050, IX2010, IX2015, IX2003, IX2004, IX2005, IX2105, IX2025, IX2207, IX2215, IX3010, IX3015, IX3110 (ゼロコンフィグモデルを含む) |
---|---|
対象ソフトウェア: | IKEv1,IKEv2を利用する全バージョンのソフトウェア |
対策
完全な対策はまだありません。
回避策
IKEv1,IKEv2をご利用の場合は、以下の方法で脆弱性の回避もしくは軽減ができる場合があります。
- IKEで通信する相手のIPアドレスが固定の場合は、相手先アドレス以外の送信元から受信したIKEパケット(UDP/500)を破棄するフィルタを設定します。
- IKEv1の再送回数を減らす。
再送回数を減らすことでDoS攻撃の踏み台になった場合に、攻撃対象への影響を少なくします。 (※) - IKEv2を利用する。
IKEv2では脆弱性に関連するパケットへの再送が無いため、影響を小さくできる可能性があります。
- (※)
以下のコマンドにより再送回数の設定が可能です(デフォルトは3回)。
なお、IKEv1パケットすべての再送回数が減るため、不安定な回線状況では接続安定性が低下する可能性があります。
ike retransmit-count 2
改版履歴
- 2016年3月3日
-
初版発行
資料請求・お問い合わせ