シスコシステムズ社製品のIPsec IKEメッセージの処理に関する脆弱性への対応について
掲載日:2006年2月24日
シスコシステムズ社よりシスコ製品の「IPSec IKE (Internet Key Exchange) メッセージの処理に関する脆弱性」の存在が報告されています。脆弱性の概要と弊社の対応方針をご連絡致します。
I. 概要
ある特定バージョンのCISCO機器においてIPSec IKE (Internet Key Exchange) メッセージの処理の脆弱性が存在します。
詳細は、シスコシステムズ社下記URLを参照下さい。
(英文[正式版])
Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite
(和文)
Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite Revision 1.0
1.事象
脆弱性は University of Oulu Secure Programming Group(OUSPG) により発見され、IPSec 用の "PROTOS" テストツールを使用して繰り返しサービス妨害 (DoS: Denial of Service) 攻撃を行えることが判明しました。
脆弱性の利用に成功した場合、機器の再起動が発生します。
2.該当製品
「特定バージョンのIOSで動作している全てのシスコルータやスイッチ」が該当し、富士通取扱シスコ製品に関しては、下記の製品が対象となります。
- Cisco800 1700 1800 2600XM 2691 2800 3600 3700 3800 7200 7300 7500
- シスコ PIX Firewall
- シスコ Firewall Services Module (FWSM)
- シスコ VPN 3000 Series Concentrators
但し、上記の製品であっても、対象外の製品のIOS Versionがあります。
詳細は、シスコシステムズ社下記URLを参照下さい。
(英文[正式版])
Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite
(和文)
Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite Revision 1.0
3.恒久対策
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことが出来ます。脆弱性対処済みバージョン情報は、シスコシステムズ社 下記URL のSoftware Versions and Fixesを参照下さい。
(英文[正式版])
Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite
(和文)
Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite Revision 1.0
4.回避策
IPSecを使用しているが接続の確立にIKEの必要ないお客様には、IPSec 接続情報を手動で入れることが可能であり、IKEを停止することにより脆弱性を回避できます。
IKEを停止できない環境の場合は、下記の回避策が考えられます。
(1)Restricting IKE Messages
IPSec 機器に IKE パケットを送信できる機器を制限することにより脆弱性の影響を緩和することが可能です。
ソースアドレスを詐称したIKEパケットの可能性もありますので、アクセスコントロールリスト (ACL) および anti-spoofing メカニズムの組み合わせが最も効果的となります。
(2)Anti-spoofing
送信元アドレス詐称に起因する問題を緩和するには Unicast Reverse Path Forwarding (Unicast RPF) 機能が有効です。その機能はシスコルータおよびファイアーウォール製品で使用可能です。
詳細については以下を参照してください。
Configuring Unicast Reverse Path Forwarding
Unicast Reverse Path Forwarding (uRPF)を設定にすることにより、全ての詐称パケットが最初の機器で廃棄されます。uRPF を設定にするためには以下コマンドを使用します。
router(config)# ip cef
router(config)# interface <interface #>
router(config-if)# ip verify unicast reverse-path
(3)Infrastructure Access Control Lists
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックはネットワークの境界で遮断することは可能です。 Infrastructure ACLは、特定の脆弱性に対する回避策であると同時に、 長期に渡る最善のネットワークセキュリティと考えることが出来ます。 ホワイトペーパーの "Protecting Your Core: Infrastructure Protection Access Control Lists" は、 アクセスリストによって基幹機器を守るためのガイドラインと、 推奨される導入方法が記載されています。
Protecting Your Core: Infrastructure Protection Access Control Lists
II. 弊社の対応
1.対応方法
富士通取扱シスコ製品に関しては、脆弱性対応済みIOSソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。
<ソフトウェアインストール作業の代行について>
弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。
2.注意事項
2.1 回避策の適用について
回避策を講じる場合、その設定作業などはお客様の作業になります。
2.2 恒久対策の適用について
リリースされた脆弱性対処済みIOSを適用する場合には、下記の点に注意願います。
(1) お客様のシステムに対応した脆弱性対処済みIOSの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。
(2) IOSを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。FLASH/DRAM必要容量に関しては、シスコシステムズ社ホームページのRelease Notesを参照して下さい。
