ISAKMPプロトコルの脆弱性に関する対応について(ネットワーク製品)
掲載日:2006年1月19日
1.概要
弊社ネットワーク製品の一部において、ISAKMP(注1)に複数の脆弱性が発見されました。本脆弱性はISAKMP / IKEを有効にしている通信にて発生し、悪意のある攻撃者はサービス妨害(Denial-of-Service, DOS)攻撃が可能となります。本脆弱の内容と対応策について通知致します。
(注1) ISAKMP:Internet Security Association Key Management Protocol,IPsec通信における暗号化方式などの管理に用いられるプロトコル
2.内容
2-1.脆弱性の内容
本脆弱性は英国NISCC(注1)より、「NISCC-273756 ISAKMP プロトコルの実装に複数の脆弱性」として報告されています。
http://jvn.jp/niscc/NISCC-273756/index.html
この脆弱性によって、装置が悪意のある攻撃者からDOS攻撃をうける可能性があります。
(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略。英国における重要インフラ保護のための機関。
2-2.影響を受ける製品 / 条件
2-2-1.影響を受ける製品
下記製品が本脆弱性の影響を受ける可能性があります。
| ルータ | Si-Rシリーズ | Si-R570 / 500 / 370 / 330 / 300 / 270 / 260B / 260 / 220B / 220 / 210 / 180 / 170 / 150 / 130 / 30 |
|---|---|---|
| セキュリティ | NetShelterシリーズ | NetShelter/FW
(ファーム版数:E11L10~E11L26、E12L10~E12L30) NetShelter/FW-P (ファーム版数:E10L10~E10L28、E11L10~E11L40) NetShelter/FW-L (ファーム版数:E10L10~E10L30) NetShelter/FW-M (ファーム版数:E10L10~E10L30) NetShelter/FW-G (ファーム版数:E10L10~E10L30) |
2-2-2.影響を受ける条件
2-2-1項の製品において、本脆弱性を受ける可能性があります。具体的には下記条件の時に影響を受ける可能性があります。
(1) IPsec機能を利用しているとき
上記以外では本脆弱性の影響を受けません。
2-3.本脆弱性による影響
2-3-1.影響 / 復旧方法
本脆弱性による攻撃を受けた場合、通信が数十秒中断される可能性があります。その後自動復旧します。
2-3-2.本脆弱性の影響を受ける可能性
外部の悪意のある第三者がIPsec通信を行っている装置のIPアドレスを特定することは困難であり、本脆弱性の影響を受ける可能性は非常に小さいと考えられます。
3.本脆弱性への対策
本脆弱性への対応については、下記回避策を適用して頂くか、修正ソフトを適用して頂くようお願いいたします。
3-1.回避策
3-1-1.Si-Rシリーズ
信頼できるパケットのみ透過させるようにフィルターを設定することで、運用に対する影響を軽減することが出来ます。
フィルタリングの操作方法については、下記URLに登録している取扱説明書にて確認願います。
http://www.fujitsu.com/jp/products/network/manual/index.html
3-1-2.NetShelter/FWシリーズ
以下の方法によって本脆弱性による影響を軽減することが可能です。
(1) IKE設定における鍵交換モードをMainモードに設定し、かつフィルタリングルールによって接続先ネットワークを信頼できる範囲(接続する必要のある範囲)に限定する。なお、万一サービスが停止した場合の早期復旧を図るために、あわせてIKEセッション監視機能および起動時接続機能を使用することを推奨します。
具体的な設定方法は、各機種取扱説明書(FW-L、FW-Mはユーザーズガイド)の『第4章 NetShelterの運用>VPN通信環境を設定する』に記載されています。
(2) VPN通信方式でIPsec(マニュアル)方式を選択し、相手暗号ゲートウェイ毎に認証鍵/暗号鍵を設定する。なお、本方式では固定の認証鍵/暗号鍵を使用するため、セキュリティの観点から定期的に鍵を変更してください。
3-2.対策ソフトについて
3-2-1.対策ソフトの提供
下記製品については、対策ソフトを提供致します。
<Si-Rシリーズ>
[対象製品]
Si-R570 / 500 / 370 / 330 / 260B / 260 / 220B / 220 / 180 / 170
(注)上記以外のSi-Rシリーズについても、順次対策ソフトを提供致します。
[提供ソフト]
V21.06版ファームウェア
V30.02版ファームウェア
<NetShelterシリーズ>
[対象製品]
NetShelter/FWシリーズ全機種
[提供ファームウェア]
NetShelter/FW
(ファーム版数:E11L27、E12L31)
NetShelter/FW-P
(ファーム版数:E10L29、E11L41)
NetShelter/FW-L
(ファーム版数:E10L31)
NetShelter/FW-M
(ファーム版数:E10L31)
NetShelter/FW-G
(ファーム版数:E10L31)
3-2-2.対処ソフトの入手方法
<Si-Rシリーズ>
脆弱性対処済みソフトウェアは下記URLよりダウンロード可能です。
富士通公開ホームページ/products/download/index.html にて提供
<NetShlterシリーズ>
ご購入いただいた販売会社、または弊社担当営業へお問い合わせください。
インストールはお客様ご自身での作業となります。
なお、弊社技術員によるインストールサービスも有償にて提供しております。ご購入いただいた販売会社、または、弊社担当営業にお申し付け下さい。
お問い合わせ先
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部
ネットワークビジネス推進統括部 ネットワークサービス推進部
Tel: (03)6424-6247(直通)
