Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
IKEV1의 주요 모드에서의 잔인한 힘 공격 취약성
| 첫 번째 판은 2018 년 8 월 15 일 |
○ 개요
IPSEC의 주요 교환 기능을 담당하는 IKEV1/IKEV2 프로토콜에서, 공격자가 오프라인 사전 공격이나 약시대가 IKE 응답자 역할을 할 때 사전 공유 키를 추론하고 이니셔티의 IKE 협상을 수락 할 때 사전 공유 키를 유추 할 수있는 취약점이보고되었습니다 (HIFTIM)
다음이 모두 충족되면이 취약점을 사용한 공격이 가능합니다
이것은 IKEV1/IKEV2 프로토콜 사양 자체에 내재 된 취약점이며 사용 방법에 따라 발생하는 문제가 될 수 있습니다
과거에는 IKEV1에서 유사한 취약점이 공격적인 모드로 존재한다는 것이 확인되었습니다
・ 참조 정보
다음이 모두 충족되면이 취약점을 사용한 공격이 가능합니다
- IKEV1 또는 IKEV2의 기본 모드 사용
- 사전 공유 키 인증 사용
- 공격자가 응답자를 가장하고 INITIATHOR와 IKE 협상을 수행 할 수있는 환경
이것은 IKEV1/IKEV2 프로토콜 사양 자체에 내재 된 취약점이며 사용 방법에 따라 발생하는 문제가 될 수 있습니다
과거에는 IKEV1에서 유사한 취약점이 공격적인 모드로 존재한다는 것이 확인되었습니다
・ 참조 정보
○ 제품에 미치는 영향
네트워크 제품 (Fitelnet 제품)에 IPSec 기능이 장착 된 모든 제품 이이 취약점에 속합니다
개요에 나열된 조건에서 작동 할 수있는 설정으로 작동하는 경우이 모든 것이 영향을받습니다
개요에 나열된 조건에서 작동 할 수있는 설정으로 작동하는 경우이 모든 것이 영향을받습니다
| × : 영향 = :이 기능이 지원되지 않으므로 효과가 없습니다 |
|
○ 일하는 방법
- 사전 공격 및 무차별 공격에 저항하는 인증 방법을 사용하십시오
예를 들어, 사전 공유 키 인증을 사용할 때는 무작위 문자열과 같은보다 안전한 비밀번호를 키 또는 더 긴 문자열로 지정합니다
인증 방법으로 인증서 인증을 사용하여 피할 수도 있습니다 - 오프라인 사전 공격이나 무차별 인력 공격을 허용하지 않는 인증 방법을 사용하십시오
예를 들어, 확장 인증을 사용하십시오 (ikev1의 xauth, ikev2의 경우 eap)
모든 권리 보유, 저작권 (c) Furukawa Electric Co, Ltd 2018