本文へジャンプメニューへジャンプ

Fujitsu The Possibilities are Infinite

 

  1. ホーム >
  2. ネットワーク機器 >
  3. サポート >
  4. IPsecの脆弱性に関する対応について
ここから本文です

IPsecの脆弱性に関する対応について(Si-Rシリーズ/NetVehicle)

掲載日:2005年6月1日

IPsec通信に関する脆弱性が発見されました。本脆弱性は使用している鍵(AES,DES,Triple-DES)のバージョン・鍵サイズに関わらず発生し、暗号化して転送した内容が外部に漏洩する可能性があります。本脆弱の内容と対応策について通知致します。

1. 脆弱性の内容

本脆弱性は英国NISCC(注1)より、「NISCC#0004033 IPSECの脆弱性」として報告されています。

PDFhttp://www.niscc.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en(A4・8ページ)

IPsec通信時に認証機能を使用しない場合に、本脆弱性の影響を受けます。これによって暗号化して転送した内容が外部に漏洩する可能性があります。

(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略。英国における重要インフラ保護のための機関


ページの先頭へ

2. 対象製品

本脆弱性は、RFCに準拠したIPsec/ICMPを実装する製品で発生します。対象製品は下記の通りです。


機種名 該当ファームウェア版数
IPアクセスルータ Si-R870 V01以降
Si-R570 V21以降
Si-R500 V11以降
Si-R370 V21以降
Si-R330 V2以降
Si-R300 V2以降
Si-R270 V11以降
Si-R260 V10以降
Si-R220 V20以降
Si-R220B V21以降
Si-R210 V10以降
Si-R170 V1以降
Si-R150 V1以降
Si-R130 V2以降
デュアルLAN対応ルータ NetVehicle-L10 E40L42以降

(注) なお、上記以外で本脆弱性の影響を受ける可能性がある下記製品については現在調査中です。影響があることが判明した場合は別途通知致します。

[影響する可能性がある製品]

  • LR-Xシリーズ
  • CISCOルータ

ページの先頭へ

3. 本脆弱性への対策

3-1. 本脆弱性への対策

IPsec通信時に認証を有効にすることで、本脆弱性の影響を受けることはありません。

3-2. 認証を有効にする設定例

  各製品で、認証を有効にするコマンド設定例は下記の通りになります。設定の詳細については各製品のマニュアルを参照願います(http://fenics.fujitsu.com/products/manual/index.html)

  なお、本作業はお客様にて実施願います。また、弊社への作業依頼については有償にて対応させて頂きます。(作業費用については弊社営業/販売パートナーにご相談願います)

Si-R870

認証にHMAC-MD5を適用する場合のコマンド例は下記の通りです。

ipsec transform-set <transform-set-name> esp use hmac-md5 <crypto-algorithm>

(注)<transform-set-name>はtransform識別名を指定します。
(注) <crypto-algorithm>は暗号アルゴリズムを指定します。省略時は3des-cbcになります。

Si-Rシリーズ (Si-R870除)

認証にHMAC-MD5を適用する場合のコマンド例は下記の通りです。

remote <number> ap ipsec ike auth hmac-md5

(注) <number>は相手定義番号を指定します。

NetVehicle-L10

認証にHMAC-MD5を適用する場合のコマンド例は下記の通りです。

vpn <vpn_number> auth hmac-md5 <akey>

(注) <vpn_number>にはVPN定義番号を指定します。
(注) <akey>には認証アルゴリズム(HMAC-MD5)が使用する鍵を指定します。
認証鍵が32桁に満たない場合は、0でパディングします。

3-3. 認証機能の利用状況確認

  現在ご使用されている機器で、認証機能を利用しているかどうかを確認したい場合のコマンド例は下記の通りです。(Si-R/NetVehicle共通)

Si-R870

show ipsec

(注) コンフィグレーションモードにて、show ipsecコマンドを実行することにより確認可能です。
認証機能を有効としている場合、有効と設定した時に投入したコマンドが設定情報として表示されます。

認証にHMAC-MD5を設定している場合は下記の内容を表示

ipsec transform-set <transform-set-name> esp use hmac-md5 <crypto-algorithm>

(注) <transform-set-name>はtransform識別名
(注) <crypto-algorithm>は暗号アルゴリズム

Si-Rシリーズ (Si-R870除) / NetVehicle-L10

show

(注) showコマンドを実行することにより、現在の設定内容が表示されます。
認証機能を有効としている場合、有効と設定した時に投入したコマンドが設定情報として表示されます。

Si-RシリーズでHMAC-MD5を設定した場合は下記の内容を表示
remote <number> ap ipsec ike auth hmac-md5

(注) <number>は相手定義番号

お問い合わせ先

ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。

サービスビジネス本部
ネットワークプロダクト推進部
Tel:(03)6424-6263(直通)

ページの先頭へ

ここから関連メニューです
  • サポート
  • IPsecの脆弱性に関する対応について
ここからサイト内共通メニューです

Copyright FUJITSU

ページの終わりです