-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2004-0003 JPCERT/CC 2004-04-21(初版) 2004-07-16(更新) <<< JPCERT/CC Alert 2004-04-21(1) >>> TCP プロトコルに潜在する信頼性の問題 Potential Reliability Issue in TCP http://www.jpcert.or.jp/at/2004/at040003.txt I. 概要 インターネット上で広く用いられているプロトコル「Transmission Control Protocol (TCP)」について、既知の問題に対して TCP の実装方法に関する改 善策が公開されました。 この問題は、TCP の仕様により、偽造された TCP セグメントを受信した場 合に発生するものであり、従来から通信信頼性を確保する上で解決すべき課題 として指摘されてきたものです。今回、この影響を緩和するための新たな TCP の仕様が検討されています。詳細につきましては、IETF (Ineternet Engineering Task Force) より公開されている、以下の Internet Draft を参 照してください。 Transmission Control Protocol security considerations http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-01.txt TCP はインターネット上において中核をなすプロトコルであり、様々なベン ダによって多くの製品に用いられているため、広い範囲への影響が考えられま す。この問題に関する詳細については、イギリスの政府系 CSIRT である NISCC (UNIRAS) が公開する以下の文書を参照してください。 NISCC Vulnerability Advisory 236929 http://www.uniras.gov.uk/vuls/2004/236929/index.htm II. 対象 今回公開された改善策は Internet Engineering Task Force (IETF) による Requests For Comments (RFC) で規定されている TCP の実装方法 (RFC 793、 RFC 1323) に及びます。このため、対象となる製品などは多岐に渡ります。各 ベンダが公開している情報については、以下の URL を参照してください。 NISCC Vulnerability Advisory 236929 http://www.uniras.gov.uk/vuls/2004/236929/index.htm JPCERT/CC Vendor Status Note JVNTA04-111A http://jvn.doi.ics.keio.ac.jp/vn/JVNTA04-111A.html シスコ http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-ios-j.shtml http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-nonios-j.shtml アライドテレシス株式会社 http://www.allied-telesis.co.jp/support/list/faq/faqall.html 株式会社インターネットイニシアティブ IIJ http://www.seil.jp/ann/announce_20040421_01.txt 日立 http://www.hitachi.co.jp/Prod/comp/Secureplaza/html/hirt/20040422.html http://www.hitachi.co.jp/Prod/comp/network/notice/TCP.html 富士通 http://software.fujitsu.com/jp/security/niscc/niscc.html#236929-TCP YAMAHA http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/cert-ta04-111a.html III. 影響 TCP では、偽造された TCP セグメントによって通信中のセッションが切断 されたり、データの挿入が行われる可能性があります。特に長時間に及ぶ TCP セッションに影響します。 IV. 予防および対処方法 使用しているハードウェアやソフトウェアのベンダや配布元が提供する情報 を参照し、対策を実施することをお勧めします。詳細については、上記 「II. 対象」で紹介した文書を参照してください。 この問題によって最も影響を受けると考えられる、長時間に渡る TCP セッ ションを必要とするプロトコルとして、Border Gateway Protocol (BGP) があ ります。 BGP セッションは接続が切断された場合にはルーティングテーブルの再構築 などが必要なため、可用性の面からも影響の大きさが懸念されます。そのよう な問題を回避する方法として、TCP MD5 Signature Option (RFC2385) や GTSM (Generalized TTL Security Mechanism, RFC3682) があります。詳細につきま しては、以下の URL を参照してください。 Protection of BGP Sessions via the TCP MD5 Signature Option http://www.ietf.org/rfc/rfc2385.txt The Generalized TTL Security Mechanism (GTSM) http://www.ietf.org/rfc/rfc3682.txt 上記機能はハードウェアやソフトウェアによって実装されていない場合もあ ります。詳細につきましては、ご使用の製品等のマニュアルをご確認ください。 さらに、上記機能を有効にした場合、パフォーマンスの低下なども考えられる ため、慎重にご対応ください。 この問題を回避する、より有効な方法として、IP Security (IPSEC) を使用 し、トラフィック全体の暗号化を行う方法が推奨されています。 併せて、この問題を使用した攻撃を防ぐためにも、送信元 IP アドレスが詐 称されているパケットをフィルタリングする事が推奨されています。送信元 IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃で使われ る基本的な手法のひとつです。自サイトから他のサイトに対する攻撃を防ぐた めにも、このようなフィルタリングを設定することもお勧めします。詳細につ いては以下の URL を参照してください。 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing http://www.ietf.org/rfc/rfc2827.txt Global Incident Analysis Center - Special Notice - Egress Filtering v 0.2 http://www.sans.org/y2k/egress.htm V. お知らせ JPCERT/CC は本件について、英国政府系 CSIRT である NISCC (UNIRAS) と のパートナーシップのもと、日本国内のベンダとのコーディネーションを行い ました。NISCC (UNIRAS) の詳細につきましては以下の URL をご覧ください。 NISCC (UNIRAS) http://www.uniras.gov.uk/ 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2004-04-21 初版 2004-04-22 ベンダ情報の追加、RFC3682 の追加、文書内容見直し、他 2004-04-23 ベンダ情報の追加 2004-07-16 IETF Internet-Draft の URL 変更 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQPciDYx1ay4slNTtAQHaJwP/cwfklyqe2Xc31UsLKCDlkG33nw2DdW5f lpROh0L3yqYC/hPJL2L+K4jwyKztcruifUoEQOOu+l7TZe2ateYZqTb/8mcNveaN ebYyDmYnQtkZdnhYhNZSdUJs1NcIH4fsxxlyIw+6GFnjPPjmVN4b3wj4R3FMSA92 xKwspPqphoM= =Utcs -----END PGP SIGNATURE-----