IPsecの脆弱性に関する対応について(Si-Rシリーズ / NetVehicle)
掲載日:2005年6月1日
IPsec通信に関する脆弱性が発見されました。本脆弱性は使用している鍵(AES,DES,Triple-DES)のバージョン・鍵サイズに関わらず発生し、暗号化して転送した内容が外部に漏洩する可能性があります。本脆弱の内容と対応策について通知致します。
1. 脆弱性の内容
本脆弱性は英国NISCC(注1)より、「NISCC#0004033 IPSECの脆弱性」として報告されています。
http://www.cpni.gov.uk/docs/re-20050509-00385.pdf?lang=en(A4・8ページ)
IPsec通信時に認証機能を使用しない場合に、本脆弱性の影響を受けます。これによって暗号化して転送した内容が外部に漏洩する可能性があります。
(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略。英国における重要インフラ保護のための機関
2. 対象製品
本脆弱性は、RFCに準拠したIPsec/ICMPを実装する製品で発生します。対象製品は下記の通りです。
| 機種名 | 該当ファームウェア版数 |
|---|---|
| IPアクセスルータ | Si-R870 V01以降
Si-R570 V21以降 Si-R500 V11以降 Si-R370 V21以降 Si-R330 V2以降 Si-R300 V2以降 Si-R270 V11以降 Si-R260 V10以降 Si-R220 V20以降 Si-R220B V21以降 Si-R210 V10以降 Si-R170 V1以降 Si-R150 V1以降 Si-R130 V2以降 |
| デュアルLAN対応ルータ | NetVehicle-L10 E40L42以降 |
(注) なお、上記以外で本脆弱性の影響を受ける可能性がある下記製品については現在調査中です。影響があることが判明した場合は別途通知致します。
[影響する可能性がある製品]
- LR-Xシリーズ
- CISCOルータ
3. 本脆弱性への対策
3-1. 本脆弱性への対策
IPsec通信時に認証を有効にすることで、本脆弱性の影響を受けることはありません。
3-2. 認証を有効にする設定例
各製品で、認証を有効にするコマンド設定例は下記の通りになります。設定の詳細については各製品のマニュアルを参照願います(http://www.fujitsu.com/jp/products/network/manual/index.html)
なお、本作業はお客様にて実施願います。また、弊社への作業依頼については有償にて対応させて頂きます。(作業費用については弊社営業/販売パートナーにご相談願います)
Si-R870
認証にHMAC-MD5を適用する場合のコマンド例は下記の通りです。
ipsec transform-set
(注)
(注)
Si-Rシリーズ (Si-R870除)
認証にHMAC-MD5を適用する場合のコマンド例は下記の通りです。
remote
(注)
NetVehicle-L10
認証にHMAC-MD5を適用する場合のコマンド例は下記の通りです。
vpn
(注)
(注)
認証鍵が32桁に満たない場合は、0でパディングします。
3-3. 認証機能の利用状況確認
現在ご使用されている機器で、認証機能を利用しているかどうかを確認したい場合のコマンド例は下記の通りです。(Si-R/NetVehicle共通)
Si-R870
show ipsec
(注) コンフィグレーションモードにて、show ipsecコマンドを実行することにより確認可能です。
認証機能を有効としている場合、有効と設定した時に投入したコマンドが設定情報として表示されます。
認証にHMAC-MD5を設定している場合は下記の内容を表示
ipsec transform-set
(注)
(注)
Si-Rシリーズ (Si-R870除) / NetVehicle-L10
show
(注) showコマンドを実行することにより、現在の設定内容が表示されます。
認証機能を有効としている場合、有効と設定した時に投入したコマンドが設定情報として表示されます。
Si-RシリーズでHMAC-MD5を設定した場合は下記の内容を表示
remote
(注)
お問い合わせ先
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部
ネットワークプロダクト推進部
Tel: (03)6424-6263(直通)
