Login

로그인해주세요

장바구니

기술지원

apps바로가기

shopping_bag

IPSEC ISAKMP 프로토콜 관련 취약점 패치 권고

2005-11-29 

 
□ 개요  
o IPSEC ISAKMP 프로토콜 구현 상에 취약점이 존재함
o 해당 취약점에 대한 공격 성공 시에 서비스 거부(Denial Of Service) 등이 발생할 수 있어 주의가 필요함
 
□ 영향 
o 서비스 거부 등
 
□ 취약점 내용 
o IPSEC ISAKMP 프로토콜 구현 상의 오류로서, 영향받는 플랫폼에 원격 공격자가 악의적으로 조작된 IKE(Internet Key Exchange) 패킷을 전송하였을 때 서비스 거부가 발생하거나, 포맷 스트링, 버퍼 오버플로우 취약점이 악용될 수 있음
 해당 취약점은 PROTOS 프로젝트의 IPSec Test Suite(프로토콜 보안 점검 도구)에 의해 보고되었으며 제품별 취약점의 상세 내용은 공개되지 않음
 
□ 해당시스템
o 영향받는 플랫폼
- IETF RFC 2409(IKE) 명세를 준용하여 구현된 Firewall, 라우터, VPN 등의 네트워크 장비
 
□ 해결방법 
o 임시 해결방안
- 패킷 필터를 사용하여 신뢰할 수 있는 IP 주소로부터 수신된 ISAKMP 패킷만 허용
- IKE Phase 1에서 aggressive mode를 사용하지 않음
ISAKMP에서 나온 IKE 프로토콜은 1 단계(Phase)에서 main mode 또는 aggressive mode를 사용함. Aggressive mode는 협상단계에서 주고받는 메시지의 수가 더 적고, 안전한 채널이 연결되기 전 정보가 교환될 수 있음
 
o 해당 벤더사의 패치를 적용함
 
- Cisco Security Advisory
 http://www.cisco.com/en/US/products/products_security_advisory09186a0080572f55.shtml 
 
- Sun Solaris
 http://sunsolve.sun.com/search/document.do?assetkey=1-26-102040-1 
 
- HP-UX IKE
      ․ http://r.your.hp.com/r/c/r?1.1.HX.Dc.w2B6A.CAnDdS...DQzg.1MR_.2rQn9k 
 
- OpenSwan
 http://www.openswan.org/niscc2/ 
 
- StoneGate
 http://www.stonesoft.com/support/Security_Advisories/7244.html 
 
- Entrust
 https://www.entrust.com/trustedcare/troubleshooting/e05-009.htm 
 
- Juniper Security Update
  ․ http://www.frsirt.com/english/advisories/2005/2410 
 
- Secgo Crypto IP Products 
      ․ http://www.secgo.com/newsletter/20051114/CIP517_description.txt 
 
- Nortel VPN Router
           http://www.nta-monitor.com/news/vpn-flaws/nortel/vpn-router-dos/index.htm 
 
Check Point Firewall/VPN
           http://www.checkpoint.com/downloads/latest/hfa.html

 
 
□ 참고 사이트  
  [1] http://www.uniras.gov.uk/niscc/docs/br-20051114-01013.html?lang=en
  [2] http://www.ee.oulu.fi/research/ouspg/protos/index.html 
 
====================================================================
1. 용어 정리
 
o IPsec(Internet Protocol Security protocol) : IP 패킷에 보안을 부여하기 위한 일련의 프로토콜. 데이터 송신자의 인증을 허용하는 인증 헤더(AH)와 송신자의 인증 및 데이터 암호화를 함께 지원하는 ESP(Encapsulating Security Payload)의 보안 서비스를 제공함
 
o ISAKMP((Internet Key Exchange) :  IPSec의 키 관리 메커니즘으로서 인증방법, 암호화 알고리즘, 암호화와 인증에 사용되는 키의 유효 사용기간 등 보안 설정 사항을 협상하고 생성함. ISAKMP 프로토콜로 협상 완료 후 IPSec 연결이 이루어짐
 
o PROTOS 프로젝트 : 핀란드 Oulu 대학에서 진행하고 있으며, 프로토콜 구현상의 보안취약성을 평가할 수 있는 방법론 및 도구를 개발하는 프로젝트. SNMPv1, ISAKMP 등의 보안점검 도구가 공개되어 있음
 
2. 기타 문의사항
 
o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118



기사출저 : 인터넷침해사고대응지원센터