IPSEC의 주요 교환 기능을 담당하는 IKEV1/IKEV2 프로토콜의 일부 구현은 공격자로부터 스푸핑 된 소스 주소를 갖춘 협상 패킷이 수신 될 때, 응답 패킷이 스푸핑 된 주소로 많은 응답 패킷을 재개 할 수 있는데, 이는 응답 패킷을 스프링으로 재개 할 수 있다는 취약점을보고했다 공격 (DDOS)

・ 참조 정보

• JVNVU#91475438
  

네트워크 제품 (Fitelnet 제품)에 IPSec 기능이 장착 된 모든 제품 이이 취약점에 속합니다

IKEV1의 응답자 역할을 할 수있는 설정과 함께 작동하는 경우 다음 경우 응답 패킷이 분개 될 수 있으며 문제의 취약성이 적용됩니다

・ 메인 모드 협상 패킷이 수신 된 경우
・ 공격적인 모드 협상 패킷이 수신되고 그 내용이 IKE 정책 설정과 일치하는 경우

IKEV2 응답자 역할을 할 수있는 설정으로 작동하는 경우 응답 패킷은 한 번만 전송되고 분개되지 않으므로이 취약점은 영향을받을 수 있지만 제한된 수의 사례입니다

IKEV1/IKEV2의 응답자로 작동하지 않는 설정으로 작동하는 경우 응답 패킷은 최대 한 번만 전송되며 패킷 크기는 작기 때문에이 취약점은 영향을받지 않습니다

iPSEC 함수가 비활성화되면 영향을받지 않습니다

[스포츠 토토-f40, f3000]
VPN 활성화가 설정되지 않으면 IPSEC 함수가 비활성화되어 영향을받지 않습니다 또한 VPN ENABLE이 설정 되더라도 IPSEC 세션이 정의되지 않으면 영향을받지 않습니다

4IPSEC의 주요 교환 기능을 담당하는 IKEV1/IKEV2 프로토콜의 일부 구현은 공격자로부터 스푸핑 된 소스 주소를 갖춘 협상 패킷이 수신 될 때, 응답 패킷이 스푸핑 된 주소로 많은 응답 패킷을 재개 할 수 있는데, 이는 응답 패킷을 스프링으로 재개 할 수 있다는 취약점을보고했다 공격 (DDOS)
IPSEC 관련 설정이 없으면 영향을받지 않습니다

4JVNVU#91475438
VPN ON이 설정되지 않으면 IPSEC 함수가 비활성화되어 영향을받지 않습니다 또한 VPN ON이 설정 되더라도 IPSEC 세션이 정의되지 않으면 영향을받지 않습니다

IPSec을 연결하는 피어가 신뢰할 수 있도록 ACL을 구성하여이를 피할 수 있습니다

[Fitelnet-F40 이외]
예제 설정) Xxxx/32를 신뢰할 수있는 피어로 지정할 때

Access-List 100 허가 UDP xxxx 0000 모든 EQ 500
Access-List 100 허가 UDP xxxx 0000 모든 EQ 4500
Access-List 100 EQ 500
5IPSEC의 주요 교환 기능을 담당하는 IKEV1/IKEV2 프로토콜의 일부 구현은 공격자로부터 스푸핑 된 소스 주소를 갖춘 협상 패킷이 수신 될 때, 응답 패킷이 스푸핑 된 주소로 많은 응답 패킷을 재개 할 수 있는데, 이는 응답 패킷을 스프링으로 재개 할 수 있다는 취약점을보고했다 공격 (DDOS)
Access-List 100 허용 IP
5JVNVU#91475438
인터페이스 <인터페이스 이름>
IP 액세스 그룹 100 in
출구

4JVNVU#91475438
설정은 지원 데스크에 문의하십시오

이 취약점에 응답하는 펌웨어를 제공 할 수있을 때 때때로 귀하에게 알려 드리겠습니다