IKEv1, IKEv2がDoS攻撃の踏み台として
使用される問題について
[脆弱性情報]
弊社FutureNet NXRシリーズ,NXR-G100シリーズ,WXR-250,VXR-x86,XRシリーズ(※)では、JVNVU#91475438で報告されている「Internet Key Exchange (IKEv1, IKEv2)がDoS攻撃の踏み台として使用される問題」が存在します。
※XRシリーズはIKEv1のみ対応
1 IKEv1
1-1 概要
IKEv1を利用している場合、攻撃対象となる可能性があります。
ただしメインモードで不特定多数の接続を受け付ける設定(any設定)を行っている場合以外は無作為な攻撃を受けにくくなっています。また攻撃に対する応答については再送回数を制限しており、影響を受けにくくなっています。なおフィルタ設定などにより不特定多数からのUDP500番ポートおよびUDP4500番ポート宛のパケットを破棄する設定を推奨致します。
1-2 IKEv1対策
この脆弱性はIKEv1の仕様によるものであり現在のところ対策方法は分かっておりません。
なおIPsec機能を無効にしている場合は影響を受けません。
2 IKEv2
2-1 概要
IKEv2を利用している場合、攻撃対象となる可能性があります。
ただしNXRシリーズ,NXR-G100シリーズ,WXR-250,VXR-x86ではIKEv2の同時ネゴシエーション数を制限しており、また攻撃に対する応答についても再送回数を制限していますので、影響を受けにくくなっています。なおフィルタ設定などにより不特定多数からのUDP500番ポートおよびUDP4500番ポート宛のパケットを破棄する設定を推奨致します。
2-2 IKEv2対策
この脆弱性はIKEv2の仕様によるものであり現在のところ対策方法は分かっておりません。
なおIPsec機能を無効にしている場合は影響を受けません。
[参考情報]
https://jvn.jp/vu/JVNVU91475438/index.html
[更新履歴]
2016/03/03 新規登録