RTシリーズのIPsecに関するFAQ

IPsecの脆弱性について

IPsecの脆弱性について

RFCで規定されるIPsecの仕様に以下の脆弱性があることが分かりました。

脆弱性とその概要

• NISCC Vulnerability Advisory 004033/NISCC/IPSEC
• JVN NISCC-004033

  IPsecのESPトンネルモードで、情報の完全性を確認するための認証情報を省 略した場合には、暗号化されたパケットを改ざんすることが可能になります。 この脆弱性はIPsecの仕様に存在するものであり、RFCに従う実装は必ず該当 します。

対策

ipsec sa policyコマンドで認証アルゴリズムを設定しているときには、 この脆弱性には該当しないので何も対策をする必要はありません。 そうでない場合は下記のように設定を変更します。

• SAのポリシーを変更する。

  ESPで認証情報を付加するように設定します。具体的には、 ipsec sa policyコマンドの5番目の引数として、 sha-hmacかmd5-hmacを設定することで回避できます。

  設定例:

  	ipsec sa policy 101 1 esp 3des-cbc sha-hmac
  

[ FAQ for RT-Series ]
[ FAQ for Security / IP-Filter / VPN(IPsec) / Intro / Install / Config ]