ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

YAMAHA製品NW機器のセキュリティに関する脆弱性情報などのまとめページ

ネットワーク機器において、セキュリティ対策は重要で特にインターネットに接続する部分については、しっかりとチェックしておく必要があります。


例えば、ルータであれば外部からの通信を基本的には遮断する必要があります。他にも不要なサービスや機能を停止するなどの工夫も必要になってきます。


そして、YAMAHAのネットワーク機器における脆弱性などを確認するには、以下の公式ページが参考になります。
ヤマハルーターシリーズのFAQ / Security  


例えば、現状、中小規模で導入することが多いのがRTX1210やNVR500などではないでしょうか。 そのルータのファームが古い場合、脆弱性が放置された状態になり、サイバー攻撃の被害にあう可能性があります。


例えば、以下の脆弱性について、製品固有ではなく、IKE および IKEv2 の仕様に基づく脆弱性になりますが、ファームのバージョンアップなどの対策は出ていません。

「IKE/IKEv2プロトコルがDOS攻撃に悪用される脆弱性」について


の為、サイトで説明されている対策をするのが望ましいと思います。以下はサイトの抜粋。


JVNVU#91475438
脆弱性と概要】
この脆弱性は、IKE および IKEv2 の仕様に基づく脆弱性です。
ヤマハルーターおよびファイアウォールの IKE および IKEv2 もこの脆弱性の影響を受け、DOS攻撃の踏み台に悪用される可能性があります。
この脆弱性による情報漏洩のおそれはありません。
対象となる機種およびファームウェア
RTX1210 全てのリビジョン
RTX5000
RTX3500
FWX120
RTX810
RTX1200
SRT100
RTX3000
RTX1100
RT107e
NVR700W  

【対策】
この脆弱性はIKE および IKEv2 の仕様に基づく脆弱性であり、完全な対策方法はまだ分かっておりません。

【回避策】
IPsecL2TP/IPsec、L2TPv3/IPsec を使用しない場合は、IKE および IKEv2 を使用しないため、この脆弱性の影響を受けません。

これらの機能を使用している場合は、以下の方法で回避または影響を低減できる場合があります。  
なお、工場出荷状態では IPsecL2TP/IPsec、L2TPv3/IPsec は無効になっております。

接続先のIPアドレスが分かっている場合は、ip filter コマンドで、接続先以外から および 接続先以外への UDP/500 のパケットを破棄する。  

      ip interface secure filter in  .... 200050 200051 200059
      ip interface secure filter out .... 200060 200061 200069
      ip filter 200050 pass (接続先1のIPアドレス) * udp 500 *
      ip filter 200051 pass (接続先2のIPアドレス) * udp 500 *
      ip filter 200059 reject * * udp 500 *
      ip filter 200060 pass * (接続先1のIPアドレス) udp * 500
      ip filter 200061 pass * (接続先2のIPアドレス) udp * 500
      ip filter 200069 reject * * udp * 500  

ipsec ike retry コマンドにより IKE および IKEv2 の再送回数を少なくする。

IKE および IKEv2 の再送回数を少なくする事によって、踏み台にされた場合でもターゲットへの影響を少なくします。  

この設定を行った場合は、不安定なネットワーク回線では IPsecL2TP/IPsec、L2TPv3/IPsec の接続維持性が低下します。

      ipsec ike retry 1 5 

特にインターネットを経由してVPN接続などをしている場合には、注意が必要ですね。ほかにも脆弱性情報が出ているので、古いバージョンでは問題が発生する可能性があるので、最新へバージョンアップしましょう。