IPsec(ESP)の脆弱性について
最終更新日 : 2005.05.12
アライドテレシス株式会社
2005.05.10 第2版
○問題の概要
ESPにおいて、機密性保護(暗号化)のみ使用し、完全性(Integrity)保
護を行わない場合、悪意ある攻撃者はそのIPsec通信の内容を得る事がで
きる可能性があります。
<補足>
1) この問題は、ESPの使用している鍵(AES、DES、Triple-DES)のバー
ジョン・鍵サイズに依存せず発生します。
2) 特定の実装に依存した問題ではなく、ESPの仕様上の問題です。
3) この問題は、完全性保護を行う事により回避する事が可能です。
○当社製品
(1) 該当製品
IPsecをサポートする全ての製品が該当致します。
(2) 対策
上記の通り、完全性保護を行う事により回避する事が可能です。
※ 具体的な対策方法 2005.05.10 追記
AR260Sを除く ARルータにおいては、CREATE/SET IPSEC SASPEC コマンドのHASHALG
パラメータによって、完全性保護を設定可能です。
例) CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROT=ESP ENCALG=3DESOUTER HASHALG=SHA
^^^^^^^^^^^
AR260Sは、IPsec設定の「IPSec 暗号化/認証アルゴリズム」において、認証付きの項目
を選択する事により設定可能です。
○補足:IPsec 脆弱性関連サイト
- JVN:
- http://jvn.jp/niscc/NISCC-004033/index.html
- NISCC:
- http://www.niscc.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en
- CERT/CC:
- http://www.kb.cert.org/vuls/id/302220
|