○概要
IPsecの鍵交換機能を担うIKEv1/IKEv2プロトコルにおいて、攻撃者がIKEのResponderとして動作し、Initiator(犠牲者)からのIKEネゴシエーションを受け付ける場合に、オフライン上での辞書攻撃や総当たり攻撃(brute force)を行うことで、pre-shared keyを推測することができる脆弱性が報告されています。
この脆弱性による攻撃は、以下の全てを満たした場合に可能となります。
- IKEv1のMainモード、もしくはIKEv2を使用すること
- Pre-shared key認証を使用すること
- 攻撃者がResponderになりすまして、InitiatorとIKEネゴシエーションを行うことが可能な環境であること
これはIKEv1/IKEv2プロトコルの仕様そのものに内在する脆弱性であり、利用方法によっては発生する問題となります。
なお、IKEv1のAggressiveモードでも同様の脆弱性が存在することは過去に確認されております。
・参考情報
○当社製品に対する影響
当社のネットワーク製品(FITELnet製品)についてはIPsec機能を搭載した全製品が本件脆弱性に該当します。
概要に記載した条件で、動作可能な設定で運用する場合は、全て影響を受けます。
×:影響あり
=:当該機能をサポートしていないため影響なし
|
製品名 |
影響の有無 |
FITELnet F60/F60W |
× |
FITELnet-F80 |
× |
FITELnet-F100 |
× |
FITELnet-F140 |
× |
FITELnet F200 |
× |
FITELnet F200Plus |
× |
FITELnet-F2000 |
× |
FITELnet F2200 |
× |
FITELnet-F3000 |
× |
FITELnet FX5000 |
× |
FITELnet FX1 |
× |
FITELnet vFX |
× |
|
○回避方法
- 辞書攻撃や総当たり攻撃に強い認証方法を使用してください。
例えば、Pre-shared key認証を利用する場合は、keyとしてランダムな文字列にしたり、文字列を長くするなど、より安全なパスワードを指定してください。
また、認証方式として、証明書認証を使用することで回避可能です。
- オフラインでの辞書攻撃や総当たり攻撃ができない認証方法を併用してください。
例えば、拡張認証(IKEv1であればXauth, IKEv2であればEAP)を併用してください。