RTシリーズのIPsecに関するFAQ
IPsecの脆弱性について
最終変更日 | 2018/Nov/06 |
文書サイズ | 2.9K |
IPsecの脆弱性について
RFCで規定されるIPsecの仕様に以下の脆弱性があることが分かりました。
IPsecのESPトンネルモードで、情報の完全性を確認するための認証情報を省 略した場合には、暗号化されたパケットを改ざんすることが可能になります。 この脆弱性はIPsecの仕様に存在するものであり、RFCに従う実装は必ず該当 します。
ipsec sa policyコマンドで認証アルゴリズムを設定しているときには、 この脆弱性には該当しないので何も対策をする必要はありません。 そうでない場合は下記のように設定を変更します。
ESPで認証情報を付加するように設定します。具体的には、 ipsec sa policyコマンドの5番目の引数として、 sha-hmacかmd5-hmacを設定することで回避できます。
設定例:
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
[ FAQ for RT-Series ]
[ FAQ for Security / IP-Filter / VPN(IPsec) / Intro / Install / Config ]