各位
TCP プロトコルに潜在する信頼性の問題
Potential Reliability Issue in TCP
http://www.jpcert.or.jp/at/2004/at040003.txt
I. 概要
インターネット上で広く用いられているプロトコル「Transmission ControlProtocol (TCP)」について、既知の問題に対して TCP の実装方法に関する改善策が公開されました。
この問題は、TCP の仕様により、偽造された TCP セグメントを受信した場合に発生するものであり、従来から通信信頼性を確保する上で解決すべき課題として指摘されてきたものです。今回、この影響を緩和するための新たな TCPの仕様が検討されています。詳細につきましては、IETF (IneternetEngineering Task Force) より公開されている、以下の Internet Draft を参照してください。
Transmission Control Protocol security considerations
http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-01.txt
TCP はインターネット上において中核をなすプロトコルであり、様々なベンダによって多くの製品に用いられているため、広い範囲への影響が考えられます。この問題に関する詳細については、イギリスの政府系 CSIRT であるNISCC (UNIRAS) が公開する以下の文書を参照してください。
NISCC Vulnerability Advisory 236929
http://www.uniras.gov.uk/vuls/2004/236929/index.htm
II. 対象
今回公開された改善策は Internet Engineering Task Force (IETF) によるRequests For Comments (RFC) で規定されている TCP の実装方法 (RFC 793、RFC 1323) に及びます。このため、対象となる製品などは多岐に渡ります。各ベンダが公開している情報については、以下の URL を参照してください。
NISCC Vulnerability Advisory 236929
http://www.uniras.gov.uk/vuls/2004/236929/index.htm
JPCERT/CC Vendor Status Note JVNTA04-111A
http://jvn.doi.ics.keio.ac.jp/vn/JVNTA04-111A.html
シスコ
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-ios-j.shtml
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-nonios-j.shtml
アライドテレシス株式会社
http://www.allied-telesis.co.jp/support/list/faq/faqall.html
株式会社インターネットイニシアティブ IIJ
http://www.seil.jp/ann/announce_20040421_01.txt
日立
http://www.hitachi.co.jp/Prod/comp/Secureplaza/html/hirt/20040422.html
http://www.hitachi.co.jp/Prod/comp/network/notice/TCP.html
富士通
http://software.fujitsu.com/jp/security/niscc/niscc.html#236929-TCP
YAMAHA
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/cert-ta04-111a.html
III. 影響
TCP では、偽造された TCP セグメントによって通信中のセッションが切断されたり、データの挿入が行われる可能性があります。特に長時間に及ぶ TCPセッションに影響します。
IV. 予防および対処方法
使用しているハードウェアやソフトウェアのベンダや配布元が提供する情報を参照し、対策を実施することをお勧めします。詳細については、上記「II. 対象」で紹介した文書を参照してください。
この問題によって最も影響を受けると考えられる、長時間に渡る TCP セッションを必要とするプロトコルとして、Border Gateway Protocol (BGP) があります。
BGP セッションは接続が切断された場合にはルーティングテーブルの再構築などが必要なため、可用性の面からも影響の大きさが懸念されます。そのような問題を回避する方法として、TCP MD5 Signature Option (RFC2385) や GTSM(Generalized TTL Security Mechanism, RFC3682) があります。詳細につきましては、以下の URL を参照してください。
Protection of BGP Sessions via the TCP MD5 Signature Option
http://www.ietf.org/rfc/rfc2385.txt
The Generalized TTL Security Mechanism (GTSM)
http://www.ietf.org/rfc/rfc3682.txt
上記機能はハードウェアやソフトウェアによって実装されていない場合もあります。詳細につきましては、ご使用の製品等のマニュアルをご確認ください。さらに、上記機能を有効にした場合、パフォーマンスの低下なども考えられるため、慎重にご対応ください。
この問題を回避する、より有効な方法として、IP Security (IPSEC) を使用し、トラフィック全体の暗号化を行う方法が推奨されています。
併せて、この問題を使用した攻撃を防ぐためにも、送信元 IP アドレスが詐称されているパケットをフィルタリングする事が推奨されています。送信元IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃で使われる基本的な手法のひとつです。自サイトから他のサイトに対する攻撃を防ぐためにも、このようなフィルタリングを設定することもお勧めします。詳細については以下の URL を参照してください。
Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing
http://www.ietf.org/rfc/rfc2827.txt
Global Incident Analysis Center - Special Notice -
Egress Filtering v 0.2
http://www.sans.org/y2k/egress.htm
V. お知らせ
JPCERT/CC は本件について、英国政府系 CSIRT である NISCC (UNIRAS) とのパートナーシップのもと、日本国内のベンダとのコーディネーションを行いました。NISCC (UNIRAS) の詳細につきましては以下の URL をご覧ください。
NISCC (UNIRAS)
http://www.uniras.gov.uk/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2004-04-21 初版
2004-04-22 ベンダ情報の追加、RFC3682 の追加、文書内容見直し、他
2004-04-23 ベンダ情報の追加
2004-07-16 IETF Internet-Draft の URL 変更
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2004-0003
JPCERT/CC
2004-04-21(初版)
2004-07-16(更新)
JPCERT/CC Alert 2004-04-21(1)
TCP プロトコルに潜在する信頼性の問題
Potential Reliability Issue in TCP
http://www.jpcert.or.jp/at/2004/at040003.txt
I. 概要
インターネット上で広く用いられているプロトコル「Transmission ControlProtocol (TCP)」について、既知の問題に対して TCP の実装方法に関する改善策が公開されました。
この問題は、TCP の仕様により、偽造された TCP セグメントを受信した場合に発生するものであり、従来から通信信頼性を確保する上で解決すべき課題として指摘されてきたものです。今回、この影響を緩和するための新たな TCPの仕様が検討されています。詳細につきましては、IETF (IneternetEngineering Task Force) より公開されている、以下の Internet Draft を参照してください。
Transmission Control Protocol security considerations
http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-01.txt
TCP はインターネット上において中核をなすプロトコルであり、様々なベンダによって多くの製品に用いられているため、広い範囲への影響が考えられます。この問題に関する詳細については、イギリスの政府系 CSIRT であるNISCC (UNIRAS) が公開する以下の文書を参照してください。
NISCC Vulnerability Advisory 236929
http://www.uniras.gov.uk/vuls/2004/236929/index.htm
II. 対象
今回公開された改善策は Internet Engineering Task Force (IETF) によるRequests For Comments (RFC) で規定されている TCP の実装方法 (RFC 793、RFC 1323) に及びます。このため、対象となる製品などは多岐に渡ります。各ベンダが公開している情報については、以下の URL を参照してください。
NISCC Vulnerability Advisory 236929
http://www.uniras.gov.uk/vuls/2004/236929/index.htm
JPCERT/CC Vendor Status Note JVNTA04-111A
http://jvn.doi.ics.keio.ac.jp/vn/JVNTA04-111A.html
シスコ
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-ios-j.shtml
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040420-tcp-nonios-j.shtml
アライドテレシス株式会社
http://www.allied-telesis.co.jp/support/list/faq/faqall.html
株式会社インターネットイニシアティブ IIJ
http://www.seil.jp/ann/announce_20040421_01.txt
日立
http://www.hitachi.co.jp/Prod/comp/Secureplaza/html/hirt/20040422.html
http://www.hitachi.co.jp/Prod/comp/network/notice/TCP.html
富士通
http://software.fujitsu.com/jp/security/niscc/niscc.html#236929-TCP
YAMAHA
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/cert-ta04-111a.html
III. 影響
TCP では、偽造された TCP セグメントによって通信中のセッションが切断されたり、データの挿入が行われる可能性があります。特に長時間に及ぶ TCPセッションに影響します。
IV. 予防および対処方法
使用しているハードウェアやソフトウェアのベンダや配布元が提供する情報を参照し、対策を実施することをお勧めします。詳細については、上記「II. 対象」で紹介した文書を参照してください。
この問題によって最も影響を受けると考えられる、長時間に渡る TCP セッションを必要とするプロトコルとして、Border Gateway Protocol (BGP) があります。
BGP セッションは接続が切断された場合にはルーティングテーブルの再構築などが必要なため、可用性の面からも影響の大きさが懸念されます。そのような問題を回避する方法として、TCP MD5 Signature Option (RFC2385) や GTSM(Generalized TTL Security Mechanism, RFC3682) があります。詳細につきましては、以下の URL を参照してください。
Protection of BGP Sessions via the TCP MD5 Signature Option
http://www.ietf.org/rfc/rfc2385.txt
The Generalized TTL Security Mechanism (GTSM)
http://www.ietf.org/rfc/rfc3682.txt
上記機能はハードウェアやソフトウェアによって実装されていない場合もあります。詳細につきましては、ご使用の製品等のマニュアルをご確認ください。さらに、上記機能を有効にした場合、パフォーマンスの低下なども考えられるため、慎重にご対応ください。
この問題を回避する、より有効な方法として、IP Security (IPSEC) を使用し、トラフィック全体の暗号化を行う方法が推奨されています。
併せて、この問題を使用した攻撃を防ぐためにも、送信元 IP アドレスが詐称されているパケットをフィルタリングする事が推奨されています。送信元IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃で使われる基本的な手法のひとつです。自サイトから他のサイトに対する攻撃を防ぐためにも、このようなフィルタリングを設定することもお勧めします。詳細については以下の URL を参照してください。
Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing
http://www.ietf.org/rfc/rfc2827.txt
Global Incident Analysis Center - Special Notice -
Egress Filtering v 0.2
http://www.sans.org/y2k/egress.htm
V. お知らせ
JPCERT/CC は本件について、英国政府系 CSIRT である NISCC (UNIRAS) とのパートナーシップのもと、日本国内のベンダとのコーディネーションを行いました。NISCC (UNIRAS) の詳細につきましては以下の URL をご覧ください。
NISCC (UNIRAS)
http://www.uniras.gov.uk/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2004-04-21 初版
2004-04-22 ベンダ情報の追加、RFC3682 の追加、文書内容見直し、他
2004-04-23 ベンダ情報の追加
2004-07-16 IETF Internet-Draft の URL 変更
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/