古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
IKEv1/IKEv2 を利用した分散型サービス妨害攻撃(DDoS)の脆弱性

2016年03月01日 初版

○概要

IPsecの鍵交換機能を担うIKEv1/IKEv2プロトコルの実装によっては、攻撃者からの偽装された送信元アドレスを持つネゴシエーションパケットを受信した場合、応答パケットの再送により受信したパケットに対して大量の応答パケットを偽装されたアドレス宛てに返信する可能性があるため、分散型サービス妨害攻撃(DDoS)の踏み台として悪用される可能性がある、という脆弱性が報告されています。

・参考情報

○当社製品に対する影響

当社のネットワーク製品(FITELnet製品)についてはIPsec機能を搭載した全製品が本件脆弱性に該当します。

IKEv1のResponderとして動作可能な設定で運用する場合、下記のケースでは応答パケットを再送する場合があり、本件脆弱性の影響を受けます。

・Main Modeのネゴシエーションパケットを受信した場合
・Aggressive Modeのネゴシエーションパケットを受信し、その内容がIKEポリシー設定のいずれかと一致する場合

IKEv2のResponderとして動作可能な設定で運用する場合は、応答パケットは1回しか送信しない(再送はしない)ため、本件脆弱性の影響を受ける場合がありますが限定的です。

IKEv1/IKEv2のResponderとして動作しない設定で運用する場合は、応答パケットは多くても1回しか送信せず(再送はしない)、パケットサイズも小さいため、本件脆弱性の影響は受けません。

×:影響あり
=:当該機能をサポートしていないため影響なし
製品名 影響の有無
FITELnet-F40 ×
FITELnet F60/F60W ×
FITELnet-F80 ×
FITELnet-F100 ×
FITELnet-F140 ×
FITELnet F200 ×
FITELnet F200Plus ×
FITELnet-F1000 ×
FITELnet-F2000 ×
FITELnet F2200 ×
FITELnet-F3000 ×

○回避方法

  • IPsec機能を無効化していれば影響を受けません。

    • 【FITELnet-F40, F3000以外】
    vpn enableが設定されていなければIPsec機能は無効となり、影響を受けません。また、vpn enableが設定されていても、IPsecセッションを定義する設定が行われていなければ影響を受けません。

    【FITELnet-F3000】
    IPsec関連の設定がされていなければ、影響を受けません。

    【FITELnet-F40】
    vpn onが設定されていなければIPsec機能は無効となり、影響を受けません。また、vpn onが設定されていても、IPsecセッションを定義する設定が行われていなければ影響を受けません。

  • IPsecを接続するピアを、信頼できる相手のみとするようにACLを設定することで、回避することができます。

    • 【FITELnet-F40以外】
    設定例) X.X.X.X/32を信頼するピアとして指定する場合

    access-list 100 permit udp X.X.X.X 0.0.0.0 any eq 500
    access-list 100 permit udp X.X.X.X 0.0.0.0 any eq 4500
    access-list 100 deny udp any any eq 500
    access-list 100 deny udp any any eq 4500
    access-list 100 permit ip any any
    !
    interface <インタフェース名>
     ip access-group 100 in
    exit

    【FITELnet-F40】
    設定についてはサポートデスクへお問い合わせください。

    ○対策ファームウェア

    本件脆弱性に対応したファームウェアの提供が可能となりましたら、随時お知らせいたします。

    ページトップへ

    All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2016