各位
JPCERT-AT-2004-0003
JPCERT/CC
2004-04-21(初版)
2004-07-16(更新)
<<< JPCERT/CC Alert 2004-04-21(1) >>>
TCP プロトコルに潜在する信頼性の問題
Potential Reliability Issue in TCP
http://www.jpcert.or.jp/at/2004/at040003.txt
I. 概要
インターネット上で広く用いられているプロトコル「Transmission Control
Protocol (TCP)」について、既知の問題に対して TCP の実装方法に関する改
善策が公開されました。
この問題は、TCP の仕様により、偽造された TCP セグメントを受信した場
合に発生するものであり、従来から通信信頼性を確保する上で解決すべき課題
として指摘されてきたものです。今回、この影響を緩和するための新たな TCP
の仕様が検討されています。詳細につきましては、IETF (Ineternet
Engineering Task Force) より公開されている、以下の Internet Draft を参
照してください。
Transmission Control Protocol security considerations
http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-01.txt
TCP はインターネット上において中核をなすプロトコルであり、様々なベン
ダによって多くの製品に用いられているため、広い範囲への影響が考えられま
す。この問題に関する詳細については、イギリスの政府系 CSIRT である
NISCC (UNIRAS) が公開する以下の文書を参照してください。
NISCC Vulnerability Advisory 236929
http://www.uniras.gov.uk/vuls/2004/236929/index.htm
II. 対象
今回公開された改善策は Internet Engineering Task Force (IETF) による
Requests For Comments (RFC) で規定されている TCP の実装方法 (RFC 793、
RFC 1323) に及びます。このため、対象となる製品などは多岐に渡ります。各
ベンダが公開している情報については、以下の URL を参照してください。
NISCC Vulnerability Advisory 236929
http://www.uniras.gov.uk/vuls/2004/236929/index.htm
JPCERT/CC Vendor Status Note JVNTA04-111A
http://jvn.doi.ics.keio.ac.jp/vn/JVNTA04-111A.html
シスコ
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-ios-j.shtml
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-nonios-j.shtml
アライドテレシス株式会社
http://www.allied-telesis.co.jp/support/list/faq/faqall.html
株式会社インターネットイニシアティブ IIJ
http://www.seil.jp/ann/announce_20040421_01.txt
日立
http://www.hitachi.co.jp/Prod/comp/Secureplaza/html/hirt/20040422.html
http://www.hitachi.co.jp/Prod/comp/network/notice/TCP.html
富士通
http://software.fujitsu.com/jp/security/niscc/niscc.html#236929-TCP
YAMAHA
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/cert-ta04-111a.html
III. 影響
TCP では、偽造された TCP セグメントによって通信中のセッションが切断
されたり、データの挿入が行われる可能性があります。特に長時間に及ぶ TCP
セッションに影響します。
IV. 予防および対処方法
使用しているハードウェアやソフトウェアのベンダや配布元が提供する情報
を参照し、対策を実施することをお勧めします。詳細については、上記
「II. 対象」で紹介した文書を参照してください。
この問題によって最も影響を受けると考えられる、長時間に渡る TCP セッ
ションを必要とするプロトコルとして、Border Gateway Protocol (BGP) があ
ります。
BGP セッションは接続が切断された場合にはルーティングテーブルの再構築
などが必要なため、可用性の面からも影響の大きさが懸念されます。そのよう
な問題を回避する方法として、TCP MD5 Signature Option (RFC2385) や GTSM
(Generalized TTL Security Mechanism, RFC3682) があります。詳細につきま
しては、以下の URL を参照してください。
Protection of BGP Sessions via the TCP MD5 Signature Option
http://www.ietf.org/rfc/rfc2385.txt
The Generalized TTL Security Mechanism (GTSM)
http://www.ietf.org/rfc/rfc3682.txt
上記機能はハードウェアやソフトウェアによって実装されていない場合もあ
ります。詳細につきましては、ご使用の製品等のマニュアルをご確認ください。
さらに、上記機能を有効にした場合、パフォーマンスの低下なども考えられる
ため、慎重にご対応ください。
この問題を回避する、より有効な方法として、IP Security (IPSEC) を使用
し、トラフィック全体の暗号化を行う方法が推奨されています。
併せて、この問題を使用した攻撃を防ぐためにも、送信元 IP アドレスが詐
称されているパケットをフィルタリングする事が推奨されています。送信元
IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃で使われ
る基本的な手法のひとつです。自サイトから他のサイトに対する攻撃を防ぐた
めにも、このようなフィルタリングを設定することもお勧めします。詳細につ
いては以下の URL を参照してください。
Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing
http://www.ietf.org/rfc/rfc2827.txt
Global Incident Analysis Center - Special Notice -
Egress Filtering v 0.2
http://www.sans.org/y2k/egress.htm
V. お知らせ
JPCERT/CC は本件について、英国政府系 CSIRT である NISCC (UNIRAS) と
のパートナーシップのもと、日本国内のベンダとのコーディネーションを行い
ました。NISCC (UNIRAS) の詳細につきましては以下の URL をご覧ください。
NISCC (UNIRAS)
http://www.uniras.gov.uk/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2004-04-21 初版
2004-04-22 ベンダ情報の追加、RFC3682 の追加、文書内容見直し、他
2004-04-23 ベンダ情報の追加
2004-07-16 IETF Internet-Draft の URL 変更
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ