ネットワーク機器トップヘッダー
ネットワーク機器トップ > IPsec通信の設定に存在する脆弱性の問題について


IPsec通信の設定に存在する脆弱性の問題について


2005年5月12日 初版
2007年2月15日 NISCC のリンクを修正
2008年5月14日 NISCC のリンクを修正

○概要

IPsecのESPにおいて、暗号化されていても、認証アルゴリズムに null 認証(認証しない)を設定した場合に、ICMPエラーメッセージを利用することにより、平文データの傍受が可能になる場合があるというものです。
この問題はIPsecのESPプロトコルの仕様上の問題で、使用している鍵 (AES、DES、Triple-DES) のバージョン・鍵サイズに関わらず発生します。

・参考情報

○当社製品に対する影響

ESPの null 認証をサポートする装置で、この脆弱性の影響を受けます。
当社製品におけるESPの null 認証のサポート状況は次の通りです。

○:サポート、−:未サポート
製品名 ESPの null 認証
FITELnet-F1000
FITELnet-F100
FITELnet-F40
FITELnet-E30(*1)
MUCHO-EV/PK
MUCHO-EV

*1:FITELnet-F40もしくはF100とグループ化した場合に限り、IPsecをサポートします。



○回避方法

ESPの認証にHMAC-MD5もしくはHMAC-SHAを設定することで、本脆弱性を回避することができます。


・設定例

FITELnet-F40、E30、MUCHO-EV/PK、EVで共通です。

vpnpolicy set id=1 auth=hmac-md5





このページに関するお問い合わせは こちら まで

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2005