IPsecの鍵交換機能を担うIKEv1/IKEv2プロトコルの実装によっては、攻撃者からの偽装された送信元アドレスを持つネゴシエーションmilan米兰体育官方网站を受信した場合、応答milan米兰体育官方网站の再送により受信したmilan米兰体育官方网站に対して大量の応答milan米兰体育官方网站を偽装されたアドレス宛てに返信する可能性があるため、分散型サービス妨害攻撃（DDoS）の踏み台として悪用される可能性がある、という脆弱性が報告されています。

・参考情報

• JVNVU#91475438
  

当社のネットワーク製品（FITELnet製品）についてはIPsec機能を搭載した全製品が本件脆弱性に該当します。

IKEv1のResponderとして動作可能な設定で運用する場合、下記のケースでは応答パケットを再送する場合があり、本件脆弱性のmilan米兰体育官方网站す。

・Main Modeのネゴシエーションmilan米兰体育官方网站を受信した場合
・Aggressive Modeのネゴシエーションパケットを受信し、その内容がIKEポリシーmilan米兰体育官方网站のいずれかと一致する場合

IKEv2のResponderとして動作可能な設定で運用する場合は、応答パケットは1回しか送信しない（再送はしない）ため、本件脆弱性のmilan米兰体育官方网站る場合がありますが限定的です。

IKEv1/IKEv2のResponderとして動作しないmilan米兰体育官方网站で運用する場合は、応答パケットは多くても1回しか送信せず（再送はしない）、パケットサイズも小さいため、本件脆弱性の影響は受けません。

IPsec機能を無効化していればmilan米兰体育官方网站。

【FITELnet-F40, F3000以外】
vpn enableが設定されていなければIPsec機能は無効となり、milan米兰体育官方网站。また、vpn enableが設定されていても、IPsecセッションを定義する設定が行われていなければmilan米兰体育官方网站。

【FITELnet-F3000】
IPsec関連の設定がされていなければ、milan米兰体育官方网站。

【FITELnet-F40】
vpn onが設定されていなければIPsec機能は無効となり、milan米兰体育官方网站。また、vpn onが設定されていても、IPsecセッションを定義する設定が行われていなければmilan米兰体育官方网站。

IPsecを接続するピアを、信頼できる相手のみとするようにACLをmilan米兰体育官方网站することで、回避することができます。

【FITELnet-F40以外】
milan米兰体育官方网站例) X.X.X.X/32を信頼するピアとして指定する場合

access-list 100 permit udp X.X.X.X 0.0.0.0 any eq 500
access-list 100 permit udp X.X.X.X 0.0.0.0 any eq 4500
access-list 100 deny udp any any eq 500
access-list 100 deny udp any any eq 4500
access-list 100 permit ip any any
!
interface <インタフェース名
ip access-group 100 in
exit

【FITELnet-F40】
milan米兰体育官方网站についてはサポートデスクへお問い合わせください。

本件脆弱性に対応したファームウェアの提供が可能となりましたら、随時お知らせいたします。