ISAKMP実装に関する德赢ac米兰vwinについて

○概要

IPsec通信で利用されるISAKMPプロトコルの実装において、德赢ac米兰vwinが確認されております。この脆弱性を攻撃することにより、様々な問題が発生することが指摘されています。

• JVN
  ISAKMP プロトコルの実装に複数の脆弱性
  
  
• NISCC
  NISCC Vulnerability Advisory 273756/NISCC/ISAKMP
  
  

○当社製品に対する影響

当社製品では、IPsec通信機能を実装する全ての装置で影響が確認されており、ISAKMPプロトコルの動作を妨害するサービス運用妨害（denial-of-service、DoS）攻撃となります。

○回避方法

正当なPeerのアドレスが固定アドレスである場合、パケットフィルタリングによって、不正なPeerからのISAKMPパケットを受信しないようにすることで回避可能です。
また、設定によってvpn動作をenableしていない場合には、影響しません。


具体的には、次のようにすることで、不正なPeerからのISAKMPパケットを受信しないようにすることができます。

・FITELnet-F80/F100/F120/F1000の場合

＊対向の正当なPeerのアドレスを10.1.1.1としています。

access-list 150 permit udp host 10.1.1.1 eq isakmp any eq isakmp

access-list 150 deny udp any any eq isakmp

interface pppoe 1

 ip access-group 150 in interface

・FITELnet-E30/F40、MUCHO-EVおよびEV/PKの場合

＊対向の正当なPeerのアドレスを10.1.1.1としています。
また、IPsec対象とする通信を、自局のLAN側ネットワーク192.168.2.0/24と、対向のLAN側ネットワーク192.168.1.0/24 間の通信としています。

iprouting filtering=on

ipfiltering -f add dst=0.0.0.0,0.0.0.0 dstport=500,500 src=10.1.1.1,255.255.255.255\

 srcport=500,500 prot=udp full

ipfiltering -f add dst=192.168.2.0,255.255.255.0 src=192.168.1.0,255.255.255.0 full

ipfiltering -f add dst=0.0.0.0,0.0.0.0 src=0.0.0.0,0.0.0.0 recvif=lan sendif=lan

○德赢ac米兰vwinファームウェア

以下德赢ac米兰vwinで、本脆弱性の影響を回避できます。
德赢ac米兰vwin済みファームウェアの場合、本脆弱性回避の目的で、上記回避策を適用する必要はありません。

• MUCHO-EV ：米兰ac体育 MUCHO-EV firmにて德赢ac米兰vwinしています
  
• MUCHO-EV/PK ：德赢ac米兰官方合作伙伴 Rightsにて德赢ac米兰vwinしています
  
• FITELnet-F40 ：V03.15德赢ac米兰vwinにて德赢ac米兰vwinしています
  
• FITELnet-F80 ：V01.00(01)德赢ac米兰vwinにて德赢ac米兰vwinしています
  
• FITELnet-F100 ：ac米兰中文官方网站変更を実施いたしましたにて德赢ac米兰vwinしています
  
• FITELnet-F100 ：V02.03(00)德赢ac米兰vwinにて德赢ac米兰vwinしています
  
• FITELnet-F120 ：V02.01(00)德赢ac米兰vwinにて德赢ac米兰vwinしています
  
• FITELnet-F1000 ：V01.12(01)德赢ac米兰vwinにて德赢ac米兰vwinしています
  
• FITELnet-F1000 ：V02.03(00)德赢ac米兰vwinにて德赢ac米兰vwinしています
  
• FITELnet-F3000 ： お問い合わせください