Japan
サイト内の現在位置を表示しています。
VPN対応高速アクセスルータ UNIVERGE IXシリーズ
「IPsec通信の設定に存在する脆弱性(NISCC#004033)」についての御報告
はじめに
2005年5月9日に英国のコンピュータ緊急事態対策チームであるNISCCより、
「IPsec 通信の際に、機密性 (Confidentiality) 保護のみで、完全性(Integrity) 保護を設定していない時に発生する脆弱性が発見されました。ESP の使用している鍵 (AES、DES、Triple-DES) のバージョン・鍵サイズに関わらず発生します。悪意のある攻撃者は IPsec 通信の内容を得ることができます。」
というレポートが発表されました。
NISCC Vulnerability Advisory IPSEC - 004033
https://jvn.jp/niscc/NISCC-004033/index.html
IPsec脆弱性問題(NISCC#004033)の予測される影響
[影響を受ける条件]
IX1000/2000/3000ルータのIPSecは、使用するセキュリティプロトコル、暗号アルゴリズム、認証アルゴリズムをコマンドで選択することが可能です。
| サポート機能 | デフォルト | |
|---|---|---|
| セキュリティプロトコル | ESP, AH, ESP/AH併用 | ESP |
| 暗号アルゴリズム | DES, 3DES, AES, Null | DES |
| 認証アルゴリズム | MD5, SHA1, なし | MD5 |
デフォルトは認証機能が有効化(MD5)されているので、この脆弱性の影響を受けませんが、設定により、
- セキュリティプロトコル ESP
- 認証アルゴリズム なし(認証機能 無効化)
が選択されていると、この脆弱性の影響を受けます。
| 機種名\ソフトウェアバージョン | すべて |
|---|---|
| IX1000/2000/3000 | 影響を受ける場合があります |
[IPsec 使用時の影響]
IPsec ESP 使用時、認証機能を使用していないと、悪意のあるユーザが暗号化されたパケットのインナーのヘッダを改ざんできる場合があります。
IX1000/2000/3000ルータが正常にIPsecを復号した後、ICMPエラーパケットを送信するようにインナーのヘッダ情報を改ざんされてしまうと、このICMPエラーパケットのペイロードには復号後のパケットが添付/送信されるため、機密情報が悪意のあるユーザに傍受される可能性があります。
脆弱性の回避処置
(1) IPSecの認証機能を有効化してください
(1-1) IPSec ESPの認証機能を有効化する。(推奨)
IPsec ESP を使用する場合は、暗号機能と同時に認証機能も使用することで、インナー情報が改ざんされても認証によって、該当パケットが廃棄され、暗号化前の情報が漏洩することがなくなります。
[設定例]
ipsec autokey-map ipsec-policy list1 peer 10.10.10.10 ipsec
ipsec autokey-proposal ipsec esp-aes esp-sha lifetime time 1800
(1-2) AHの認証機能と組み合わせて使用する。
IPsec ESP を使用する場合は、暗号機能と同時に AH 機能も使用することで、インナー情報が改ざんされても認証によって、該当パケットが廃棄され、暗号化前の情報が漏洩することがなくなります。
ただし、本脆弱性に関しては、AH は IX1000/2000/3000ルータ上で設定する必要があり、エンドエンドのホスト・端末での利用は効果がありません。
[設定例]
ipsec autokey-map ipsec-policy list1 peer 10.10.10.10 ipsec
ipsec autokey-proposal ipsec esp-aes ah-sha lifetime time 1800
(2) IPSecの設定変更が困難な場合は、不要な ICMP メッセージをフィルタして、廃棄するように設定します。
[設定例]
ip access-list icmp deny icmp src any dest any
ip access-list icmp permit ip src any dest any
!
interface <WAN I/F>
ip filter icmp 1 out
資料請求・お問い合わせ