最近、SHA-1の脆弱性についてセキュリティ関連のニュースでも取り上げらていることが多いですが、ネットワーク機器でも使用するハッシュアルゴリズムについては、検討が必要です。
例えば、SHA-1ではなくSHA-2を利用するなど。IP-secを利用する場合は、IKEv1ではなくIKEv2を利用する。 そして、暗号化方式においては、特に意味がなければ古い暗号化方式は使用しないほうがいいですが、昔入れた機器で古い暗号化方式が利用されている場合は、より強い暗号化方式への設定変更が推奨です。 YAMAHAルータ(RTX1210)で暗号化方式に3DESは脆弱性があるため使用しないほうが推奨です。
RTシリーズのセキュリティに関するFAQ 「OpenSSL の複数の脆弱性」について
概要
以下において、OpenSSLに新たな
脆弱性のあることが報告されました。
そして、以下から古い暗号化方式について書かれています。
CVE-2016-2183 (JVNDB-2016-004511)
この
脆弱性は暗号方式の仕様に基づく
脆弱性であり、対策方法は
脆弱性のある暗号方式を使わないことです。
この
脆弱性が発現した場合には、平文のデータを取得される可能性があります。
NVR510 全てのリビジョン
NVR700W
RTX1210
RTX5000
RTX3500
FWX120
RTX810
NVR500
RTX1200
SRT100
RTX3000
RT107e
【対策・回避策】
本
脆弱性対策は、これらの各機能を使用しないか、
脆弱性のある暗号方式以外を選択してください。
なお、既存システムとの互換性確保の為、
脆弱性のある暗号方式を選択できないファームを提供することはいたしません。
ここにある通り、3DESなどの古い暗号化方式は使用しないほうがいいですね。特にインターネット経由で
VPNアクセスできる環境にある場合は注意が必要です。