IPSec(ISAKMP)実装に関する脆弱性
公開日:2005年11月18日
最終更新日:2005年11月25日
|
Security Alert:
|
NISCC#273756 |
|
概要:
|
IPsec/IKE通信で用いられるISAKMPの実装において、複数の脆弱性が確認されており、この脆弱性を攻撃されることにより、第三者からのサービス運用妨害攻撃(Denial of Service) を受ける可能性があります。 |
|
技術情報:
|
http://jvn.jp/niscc/NISCC-273756/ |
| 脆弱性の影響度: |
|
製品
|
型式
|
影響
|
対処方法 / 備考
|
|---|---|---|---|
| EXAtrax | NS-61xx |
なし
|
-
|
| BlueBrickEX | NS-3510 |
あり
|
Ver1.2.0で対策済み
古いバージョンを利用している方は下記を参照 |
| BlueBrick | NS-272x / NS-2731 |
なし
|
-
|
| RAS | NS-4200 / NS-2484 / NS-2610 |
なし
|
-
|
| CS | NS-2234 / NS-2232 |
なし
|
-
|
本脆弱性を利用した攻撃を受けると、本装置が再起動したり、IPSec通信ができなくなることがあります。本脆弱性の対策はシステムソフトウェアを修正することにより対策します。対策版がリリースされるまでの間、下記の暫定対策をお願いいたします。
メインモードを利用している場合(IPSecインターフェイスのアドレスが固定アドレス)は、不正な装置からのISAKMPパケットを受信しないようにフィルタリングすることで本脆弱性の回避をお願いいたします。
アグレッシブモード(IPSecインターフェイスのアドレスが不定アドレス)を利用している場合は、メインモードを利用するか、もしくは、利用される可能性のあるアドレス範囲をフィルタで指定し、できる限り不正な装置からのアクセスを回避してください。
---------------------------------------------------------------------
create profile filter 1
add action filter accept match * 172.16.1.2 * 500 500 udp to profile 1
add action filter accept match * 172.16.1.3 * 500 500 udp to profile 1
add action filter deny match * * * 500 500 udp to profile 1
add action filter accept match to profile 1
add profile filter 1 to interface vif1 in
---------------------------------------------------------------------
※172.16.1.2と172.16.1.3が信頼できる対向装置であることを想定しています。
