ネットワーク機器トップヘッダー
ネットワーク機器トップ > ISAKMPに関する脆弱性の問題について


ISAKMP実装に関する脆弱性の問題について


2005年11月14日 初版
2006年05月19日 更新
2007年02月15日 NISCC のリンクを修正
2008年05月14日 NISCC のリンクを修正

○概要

IPsec通信で利用されるISAKMPプロトコルの実装において、脆弱性の問題が確認されております。この脆弱性を攻撃することにより、様々な問題が発生することが指摘されています。

・参考情報

○当社製品に対する影響

当社製品では、IPsec通信機能を実装する全ての装置で影響が確認されており、ISAKMPプロトコルの動作を妨害するサービス運用妨害(denial-of-service、DoS)攻撃となります。


○回避方法

正当なPeerのアドレスが固定アドレスである場合、パケットフィルタリングによって、不正なPeerからのISAKMPパケットを受信しないようにすることで回避可能です。
また、設定によってvpn動作をenableしていない場合には、影響しません。


具体的には、次のようにすることで、不正なPeerからのISAKMPパケットを受信しないようにすることができます。

・FITELnet-F80/F100/F120/F1000の場合

*対向の正当なPeerのアドレスを10.1.1.1としています。


access-list 150 permit udp host 10.1.1.1 eq isakmp any eq isakmp

access-list 150 deny udp any any eq isakmp



interface pppoe 1

 ip access-group 150 in interface


・FITELnet-E30/F40、MUCHO-EVおよびEV/PKの場合

*対向の正当なPeerのアドレスを10.1.1.1としています。
また、IPsec対象とする通信を、自局のLAN側ネットワーク192.168.2.0/24と、対向のLAN側ネットワーク192.168.1.0/24 間の通信としています。

iprouting filtering=on

ipfiltering -f add dst=0.0.0.0,0.0.0.0 dstport=500,500 src=10.1.1.1,255.255.255.255\

 srcport=500,500 prot=udp full

ipfiltering -f add dst=192.168.2.0,255.255.255.0 src=192.168.1.0,255.255.255.0 full

ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 recvif=lan sendif=lan



○対策ファームウェア

以下のファームウェアで、本脆弱性の影響を回避できます。
対策済みファームウェアの場合、本脆弱性回避の目的で、上記回避策を適用する必要はありません。



このページに関するお問い合わせは こちら まで

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2006