仕組まれた ICMP メッセージによるサービス拒否の発生の可能性

インターネット制御メッセージプロトコル(ICMP)を使用して、伝送制御プロトコル(TCP)に対する多数のサービス拒否(DoS)攻撃を実行する方法について説明したドキュメントが公開されています。このドキュメントは、Internet Engineering Task Force（IETF；インターネット技術特別調査委員会）のインターネットドラフトプロセスによって発行され、「ICMP Attacks Against TCP」(draft-gont-tcpm-icmp-attacks-03.txt)というタイトルです。

デバイス自体で終了または開始されるセッションにのみ影響するこれらの攻撃には、次の3つのタイプがあります。

1. ICMPの「ハード」エラーメッセージを使用する攻撃
2. ICMPの「Fragmentation Needed and Don't Fragment(DF)bit set」メッセージを使用する攻撃。これは、Path Maximum Transmission Unit Discovery(PMTUD)攻撃とも呼ばれます。
3. ICMPの「ソースクエンチ(source quench)」メッセージを使用する攻撃

攻撃に成功すると、攻撃の種類によっては、接続がリセットされたり、既存の接続のスループットが低下したりする可能性があります。

複数のシスコ製品が、このインターネットドラフトに記載されている攻撃の影響を受けます。

シスコでは、これらの脆弱性に対応する無償のソフトウェアを提供しています。場合によっては、脆弱性の影響を緩和するための回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20050412-icmp で公開されています。

次の表に、このドキュメントで説明されている脆弱性がシスコ製品に与える影響を要約します。

1つの製品ファミリでは異なるモデルが異なる影響を受ける可能性があるため、詳細については「詳細」セクションを参照してください。

Internet Control Message Protocol(ICMP)は、エラー状態の報告と診断情報の提供に使用されるTransmission Control Protocol/Internet Protocol(TCP/IP)プロトコルスイートに不可欠な要素です。ICMPエラーメッセージは、エンドシステムと中間システム（ルータ）の両方で生成される可能性があります。エンドシステムと中間システムは、ICMP経由で受信したエラーメッセージに対して、報告されるエラーのタイプに応じてさまざまな方法で反応します。ICMPによって報告できるエラーのタイプは、「ソフト」エラーと「ハード」エラーの2つのカテゴリに分類されます。

RFC 1122 ("Requirements for Internet Hosts - Communications Layers" - http://www.ietf.org/rfc/rfc1122.txt )では、3つの「ハード」エラー（"protocol unreachable"、"port unreachable"、および"fragmentation needed and Don't Fragment bit set"）と5つの「ソフト」エラー（"network unreachable"、"host unreachable"、"source route failed"、"time exceeded"、および"parameter problem"）が定義されています。"Source quench"はインターネットホストで生成される別のICMPエラーメッセージで、RFC 111122222220では0はsoft」または「hard」の場合は、これを受信するホストがこのメッセージタイプを処理する方法がソフトエラーと見なす必要があります。ホストは、一定期間、ICMP「ソースクエンチ」メッセージを生成したホストにデータを送信するレートをカットバックし、その後で再び伝送レートを徐々に上げる必要があります。

「Fragmentation Needed and Don't Fragment bit set」（タイプ3、コード4）メッセージは、RFC 1191で文書化されているPath MTU Discoveryと呼ばれる重要なメカニズムで使用されていることに注意してください(「Path MTU discovery」 - http://www.ietf.org/rfc/rfc1191.txt )。PMTUDを使用すると、TCP/IPプロトコルスイートの一部のプロトコルでパスのMTUを動的に検出できるため、IPフラグメンテーションが最小限に抑えられ、帯域幅をより効率的に使用できます。このメカニズムはインターネットホストでは必須ではありませんが、これを実装するホストでは、ICMPの「Fragmentation Needed and DF bit set」メッセージを「ソフト」エラーとして処理する必要があります。IPフラグメンテーションの動作の仕組みと、フラグメンテーションの削減においてPMTUDが果たす役割を理解するための適切な参考資料として、Ciscoホワイトペーパー『IP Fragmentation and PMTUD』がhttp://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtmlから入手できます。

ICMP経由で報告できるエラーの種類（「ソフト」と「ハード」）を区別することは重要です。これは、インターネットホストがそれらに応答する方法を指定するためです。一般に、TCPなどのコネクション型プロトコルは、ICMPの「ハード」エラーメッセージに対する応答として既存の接続を中断する必要があります。また、インターネットホストは、ICMPの「ソフト」エラーメッセージの受信を誘発するエラー状態を修正する必要があります。

「TCPに対するICMP攻撃」(draft-gont-tcpm-icmp-attacks-03.txt)というタイトルのIETFインターネットドラフトが公開されました。このドラフトには、TCPプロトコルに対する多数のDenial of Service(DoS)攻撃をICMPプロトコルを使用して実行する方法が記述されています。これらの攻撃には、2台のインターネットホストが相互に通信するために使用しているIPアドレスとポート（TCPの場合）の知識が必要で、これにより接続がリセットされ、既存の接続のスループットが低下する可能性があります。

注：これらの攻撃が該当するのは、デバイス自体で終了または開始されたセッションだけで、トランジットトラフィックは該当しません。つまり、デバイスを通過するだけで、他の場所が宛先として指定されているトラフィックは該当しません。

巧妙に細工されたハードICMPエラーメッセージに基づく攻撃

「ハード」ICMPエラーメッセージを受信すると、インターネットホストはICMPエラーメッセージが適用されるホストとの接続を中断する必要があります。このホストは、必ずしもICMPメッセージを生成したシステムではありませんが、ICMPペイロードに埋め込まれたIPヘッダーとトランスポートプロトコルデータによって一意に識別されます。その理由は、「ハード」エラーが深刻なネットワークの問題を表しており、回復の可能性がないためです。巧妙に細工された「ハード」ICMPエラーメッセージにより、実際にはネットワークの問題がない場合に、インターネットホストが既存の接続を誤って中断する可能性があります。このタイプの攻撃は、「Internet Draft draft-gont-tcpm-icmp-attacks-03.txt」の「ブラインド接続リセット」攻撃に分類されます。

PMTUD攻撃

インターネットのホストがPMTUDを実行している場合、巧妙に細工された「Fragmentation Needed and DF bit set」ICMPメッセージを使用して、接続のパスMTUを非常に低い、実用的でない値に設定できます。この値が大きいと、接続がまだ確立状態であっても、スループットが非常に低いため、上位層プロトコルがタイムアウトを開始する可能性があります。このタイプの攻撃は、インターネットドラフトdraft-gont-tcpm-icmp-attacks-03.txtで「スループットリダクション」攻撃として分類されています。

RFC 1191で説明されているPMTUDアルゴリズムに従い、実装はキャッシュされたMTU値を「エージング」する必要があります。これは、MTUが最適なサイズ（最大10分かかるプロセス）に戻ることを意味します(RFC 1191では10分が推奨されていますが、これは要件ではないため、実装に依存しています)。 ただし、攻撃者が巧妙に細工されたICMP「Fragmentation Needed and DF bit set」メッセージを脆弱なホストに送信し続けると、キャッシュされたMTUがエージングせず、継続的なサービス妨害(DoS)状態が発生することに注意してください。

前述のように、ICMPの「Fragmentation Needed and DF bit set」メッセージは、これを受信しているインターネットホストがPMTUDを実行していない場合、RFC 1122に従って「ハード」エラーと見なされます。これは、PMTUD攻撃によって接続がリセットされる可能性があることを意味します。

「トランスポート層」MTUを使用してフラグメンテーションのリスクを最小限に抑えるプロトコル(TCPや最大セグメントサイズ(MSS)変数など)の場合、接続が攻撃に成功したかどうかを判断する適切な方法は、この「トランスポート層」MTUの値を監視することです。値が不適切に低い場合は、攻撃が行われたことを示している可能性があります。Cisco IOSでこれを行う方法の例は、このドキュメントで後述します。

注：いくつかの一般的なプロトコルはTCPを使用するため、PMTUD攻撃の影響を受ける可能性があります。例としては、BGP、Hyper Text Transfer Protocol（HTTP；ハイパーテキスト転送プロトコル）（World Wide Webで使用）、Simple Mail Transfer Protocol（SMTP；シンプルメール転送プロトコル）（電子メールの転送に使用）、Secure Shell（SSH；セキュアシェル）などがあります。データリンクスイッチング(DLSw)、シリアルトンネリング(STUN)、ブロックシリアルトンネリング(BSTUN)などのIBMスイートの一部のプロトコルは、トランスポートプロトコルとしてTCPを使用するように設定できます。通常、ドメインネームシステム(DNS)はユーザデータグラムプロトコル(UDP)を使用しますが、場合によっては（大規模なゾーン転送など）、TCPも使用します。

巧妙に細工されたソースクエンチ（始点抑制要求）ICMPメッセージに基づく攻撃

前述したように、インターネットホストは、ICMPの「ソースクエンチ」メッセージを生成した別のホストにデータを送信する速度を削減する必要があります。ICMPの「ソースクエンチ」メッセージに対する実際の応答は、TCP/IPの実装および使用されているトランスポート層プロトコルによって異なりますが、一般に、ICMPの「ソースクエンチ」メッセージを受信するホストは、輻輳回避アルゴリズムをトリガーする必要があります。

TCPを使用して他のホストと通信しているホストの場合、ICMPの「ソースクエンチ」メッセージを受信すると、RFC 1122に従って推奨される手順では、再送信タイムアウトが発生した場合と同様に「スロースタート」がトリガーされます。RFC 2001(『TCP Slow Start, Congestion Avoidance, Fast Retransmit, and Fast Recovery Algorithms』:http://www.ietf.org/rfc/rfc2001.txt )では、TCPの最近の実装で使用されている「スロースタート」アルゴリズムと「輻輳回避」アルゴリズムについて説明し、実際には「スロースタート」アルゴリズムと「輻輳回避」アルゴリズムは一緒に実装されると規定されています。

送信側ホストがデータを送信するレートが低いほど、ICMPの「ソースクエンチ」メッセージを生成したホストは受信バッファを処理して空にすることができます。

巧妙に細工された「ソースクエンチ（始点抑制要求）」ICMPメッセージを使用すると、ホストがデータを送信するレートを下げることができます。時間が経つにつれて、追加のソースクエンチメッセージが受信されない限り、ウィンドウサイズは妥当な値に増加しますが、巧妙に細工された「ソースクエンチ」メッセージは通信効率を大幅に低下させる可能性があります。攻撃者が、巧妙に細工されたICMP「ソースクエンチ(source quench)」メッセージを該当デバイスに定期的に送信すると、その接続のサービスが長時間低下する可能性があります。

このタイプの攻撃は、インターネットドラフトdraft-gont-tcpm-icmp-attacks-03.txtで「スループットリダクション」攻撃として分類されています。

シスコ製品の影響

このドキュメントで説明されているICMP攻撃に対する影響は、シスコ製品によって異なります。特定の設定またはネットワークプロトコルが使用されている場合、一部の製品が影響を受ける場合があります。次に、脆弱性が存在する製品の影響と、その設定について説明します。各製品の特定のCisco Bug IDに関する情報が表示されます。

Cisco IOS

Cisco IOSは接続が「established」状態かどうかをチェックし、「non-established」状態の接続に対してのみアクションを実行するため、ICMPの「ハード」エラーメッセージを使用する攻撃に対して脆弱ではありません。

また、IOSはICMPの「ソースクエンチ」メッセージを処理しないため、このタイプのメッセージの作成に基づく攻撃に対して脆弱ではありません。

「脆弱性のある製品」セクションで説明されているように、IOSはPMTUD攻撃に対して脆弱です。これは、攻撃者がICMPの「Fragmentation Needed and DF bit set」メッセージ（IPv6の場合は「packet too big」メッセージ）を巧妙に細工することで、パスMTUを変更できることを意味します。 次のリストに、IOSのさまざまなプロトコルにおけるPMTUDの脆弱性に関するCisco Bug IDを示します。

• PMTUDを使用するすべてのプロトコル:CSCef60659(登録ユーザ専用):ICMP到達不能に対しては、より厳密なチェックが必要です。
• Transmission Control Protocol over Internet Protocolバージョン4:CSCed78149(登録ユーザ専用):PMTUDを実行するIPバージョン4上のTCP接続は、巧妙に細工されたICMPパケットに対して脆弱です。
  接続がPMTUD攻撃の影響を受けているかどうかを確認する適切な方法は、接続のMSS値を確認することです。BGPセッションの場合、コマンドshow ip bgp neighbors | include data segmentコマンドを実行すると、次の例に示すように、MSS(max data segment)が表示されます。
  

  Router#show ip bgp neighbors | include data segment
  Datagrams (max data segment is 1460 bytes):
  Router#
  

  公式の最小MTUは68バイトですが、今日のインターネットでは576バイト未満のMSSは疑わしいと見なす必要があります。RFC 1191のセクション7には、インターネットで使用される一般的なMTU値のリストが含まれています。
  他のTCP接続の場合は、show tcp briefコマンドを使用して特定の接続の伝送制御ブロック(TCB)を決定してから、このTCBをshow tcp tcb <TCB identified with show tcp brief>コマンドで使用する必要があります。 | include data segmentコマンドを実行します。このコマンドはMSSを表示します(再度max data segmentと表示されます)。
  

  Router#show tcp brief
  TCB       Local Address           Foreign Address        (state)
  00E97148  192.168.100.1.23        192.168.100.1.11002    TIMEWAIT
  00E97A78  192.168.100.1.23        192.168.100.1.11003    ESTAB
  00E975E0  192.168.100.1.11003     192.168.100.1.23       ESTAB
  Router#show tcp tcb 0x00E975E0 | include data segment
  Datagrams (max data segment is 1474 bytes):
  Router#
  

  この手法は、TCP over IPv6にも使用できることに注意してください。
• Transmission Control Protocol over Internet Protocolバージョン6:CSCef61610(登録ユーザ専用):ICMPv6メッセージが正しく処理されず、TCPパフォーマンスの問題が発生する可能性があります。
• IPSec:CSCsa59600(登録ユーザ専用):IOS IPSec接続は、巧妙に細工されたICMPパケットに対して脆弱になる可能性があり、これによりIPSecが特定のフローに対して非常に小さいPMTU値を使用する場合があります。巧妙に細工されたICMP「Fragmentation Needed and DF bit set」メッセージによってPMTUが減少した後、追加のICMP「Fragmentation Needed and DF bit set」メッセージが受信されなければ、学習されたMTUは10分間アクティブになり、その後RFC 1191に従ってPMTUがファーストホップデータリンクMTUに復元されます。
  IPSecトンネルがPMTUD攻撃の影響を受けているかどうかを確認するには、show crypto ipsec sa | include mtuコマンドを使用します。
  

  Router#show crypto ipsec sa | include mtu
    path mtu 1500, media mtu 1500
  Router#
  

• Generic Routing Encapsulation(GRE)およびIPinIP:CSCef44699(登録ユーザ専用):GREトンネルおよびIPinIPトンネルは、巧妙に細工されたICMPパケットに対して脆弱な可能性があります。
  GREまたはIPinIPトンネルがPMTUD攻撃の影響を受けているかどうかを確認するには、show interface tunnel <number>コマンドを実行します | include Path MTUコマンドを使用します。
  

  Router#show interface tunnel 0 | include Path MTU
    Path MTU Discovery, ager 10 mins, MTU 1476, expires never
  

  これらのトンネリングプロトコルの場合、ICMPエラーメッセージには、メッセージを適切に認証するためにエラーを引き起こすGREまたはIPinIPパケットに関する十分な情報が含まれていないことに注意してください。このため、Cisco Bug ID CSCef44699(登録ユーザ専用)では、ユーザがGREトンネル経由で受けると予想される最小パスMTUを指定できる新しいコマンドが追加されています。新しいコマンドはtunnel path-mtu-discovery min-mtu <minimum MTU>で、トンネルインターフェイス設定モードで使用できます。このコマンドが使用中で、設定された最小パスMTUよりも小さいネクストホップパスMTUをアドバタイズするICMP「Fragmentation Needed and DF bit set」メッセージをデバイスが受信した場合、デバイスでは次のようなログメッセージが生成されます。 
  

  %TUN-5-IGNOREICMPMTU Tunnel1 ignoring received ICMP Type 3 Code 4,
   due to pmtud min-mtu setting

• Layer 2 Tunneling Protocol Version 2およびLayer 2 Tunneling Protocol Version 3:L2TPバージョン2の場合、Cisco Bug IDはCSCsa52807(登録ユーザ専用):PMTUDを実行するL2TPv2は、スプーフィングされたICMPパケットに対して脆弱です。L2TPバージョン3の場合、バグIDはCSCef43691(登録ユーザ専用):Layer 2 Tunneling Protocol v3(L2TPv3)を使用し、PMTUディスカバリを実行する接続は、巧妙に細工されたICMPパケットに対して脆弱である可能性があります。
  L2TPv2セッションにPMTUD攻撃の影響があるかどうかを確認するには、show vpdn session allコマンドを実行します | include Session MTUコマンドを使用します。
  

  Router#show vpdn session all | include Session MTU
    Session MTU is 68 bytes

  L2TPv3では、show l2tun session allコマンドを実行することで、PMTUD攻撃を識別できます | include PMTUコマンドを実行します。
  

  Router#show l2tun session all | include Session MTU
    Session PMTU enabled, path MTU is 68 bytes
    Session PMTU enabled, path MTU is 68 bytes
    Session PMTU enabled, path MTU is 68 bytes

  L2TPv2の場合、ICMPエラーメッセージには、L2TPv2パケットに関する十分な情報が含まれないため、メッセージを正しく認証するためにエラーが発生する点に注意してください。このため、Cisco Bug ID CSCsa52807(登録ユーザ専用)に対する修正によって新しいコマンドが追加され、ユーザはL2TPv2トンネル間でのパスMTUの最小値と最大値を指定できるようになります。新しいコマンドはvpdn pmtu minimum <minimum MTU>およびvpdn pmtu maximum <maximum MTU>で、vpdn-groupコンフィギュレーションモードで使用できます。これらのコマンドが使用中で、最小および最大範囲外のネクストホップパスMTUをアドバタイズするICMP「Fragmentation Needed and DF bit set」メッセージをデバイスが受信した場合、デバイスでは次のログメッセージが生成されます。 
  

  %VPDN-5-IGNOREICMPMTU Ignoring received ICMP Type 3 Code 4, 
  due to pmtu min or max setting

IOS XR

IOS XRは、ICMPの「ハード」エラーメッセージに基づく攻撃やPMTUD攻撃に対して脆弱です。この脆弱性を文書化するCisco Bug IDはCSCef45332(登録ユーザ専用)です。CRS-1接続は、巧妙に細工されたICMPパケットに対して脆弱である可能性があります。IOS XRはICMP「ソースクエンチ」メッセージを処理しないため、このタイプのメッセージに基づく攻撃に対して脆弱ではありません。

Cisco IP フォン

Cisco IP Phoneの各モデルは、ICMPの「ハード」エラーメッセージ、ICMPの「ソースクエンチ」メッセージ、および/またはPMTUD攻撃に基づく攻撃に対して脆弱です。

• CSCef46728(登録ユーザ専用):7940/7960 IP Phone with SCCP firmware may be suspected to crafted ICMP "hard" error messages.
• CSCef54947(登録ユーザ専用):7970 IP Phone with SCCP firmware may be scured ICMP "hard" error messages.
• CSCef54204(登録ユーザ専用):SIPファームウェアが稼働する7940/7960 IP Phoneは、巧妙に細工されたICMP「source quench」エラーメッセージに対して脆弱な可能性があります。SIPファームウェアを搭載した7940/7960 IP Phoneは、シグナリング用のTCPをサポートしていないことに注意してください。したがって、この脆弱性の影響を受けるのは、電話機へのtelnetセッション（管理用）と、電話機からの短時間のHTTPセッション（ディレクトリサービスを提供するサーバなど）のみです。
• CSCef54206(登録ユーザ専用):7940/7960 IP Phone with SIP firmware may be vulnerable to crafted ICMP "hard" error messages.SIPファームウェアを搭載した7940/7960 IP Phoneは、シグナリング用のTCPをサポートしていないことに注意してください。したがって、この脆弱性の影響を受けるのは、電話機へのtelnetセッション（管理用）と、電話機からの短時間のHTTPセッション（ディレクトリサービスを提供するサーバなど）のみです。

Cisco PIXセキュリティアプライアンス

IPSecが設定されたPIXセキュリティアプライアンスは、RFC 1191およびRFC 2401 ("Security Architecture for the Internet Protocol" - http://www.ietf.org/rfc/rfc2401.txt .)に従ってアクティブにPMTUDに参加します。これは、ICMP「fragmentation needed and DF bit set」メッセージを受信すると、PIXセキュリティアプライアンスが特定のIPSecフローのパスMTUを動的に検出して調整できることを意味します。

このシナリオでは、パスMTUを非常に低い値に設定しようとする巧妙に細工されたICMPタイプ3コード4メッセージに対しても、PIXセキュリティアプライアンスは脆弱です。この脆弱性は、Cisco Bug ID CSCef57566(登録ユーザ専用)として文書化されています。IPSecが設定されたPIXセキュリティアプライアンスは、パスまたはセキュリティアソシエーションに対して非常に小さいPMTUを示す、巧妙に細工されたICMPパケットの影響を受けやすい場合があります。この症状は、IPSecがPMTUD用に設定されている場合に発生します。PMTUDは、PIXセキュリティアプライアンスでIPSecが設定されると、自動的にオンになります。

Catalyst 6608 および Catalyst 6624

デジタルPRIゲートウェイ、コンファレンスブリッジ、またはトランスコーダ/MTPファームウェアを実行するCisco Catalyst 6000音声E1/T1およびサービスモジュール（WS-X6608-E1およびWS-X6608-T1）のCisco 6000 FXSアナログインターフェイスモジュール(WS-X6624-FXS)は、ICMPの「ハードエラー」および「送信元quench」に基づく攻撃に対して脆弱です」メッセージが表示されます。これらの脆弱性を文書化するCisco Bug IDは、CSCsa60692(登録ユーザ専用):ICMPハードエラー処理です。

Cisco 11000および11500コンテンツサービススイッチ

Cisco 11000および11500 Content Services Switch（CSS；コンテントサービススイッチ）は、管理ポート上のICMP「source quench」メッセージに基づく攻撃に対して脆弱ですが、ネットワークポート上では脆弱ではありません。CSSはPMTUDを実行しないため、PMTUD攻撃に対して脆弱ではありません。ICMPの「ソースクエンチ」メッセージに対する脆弱性を文書化するCisco Bug IDは、CSCeh45454(登録ユーザ専用):TCPに対するICMPエラーパケット攻撃。

シスコグローバルサイトセレクタ

Cisco Global Site Selector(GSS)バージョン1.2以前は、ICMPの「ソースクエンチ」メッセージに基づく攻撃に対して脆弱です。ICMPの「ハード」エラーメッセージに基づく攻撃やPMTUD攻撃に対しては脆弱ではありません。ICMPの「ソースクエンチ」メッセージに対する脆弱性を文書化するCisco Bug IDは、CSCeh20083(登録ユーザ専用):TCPに対するICMPエラーパケット攻撃。

Cisco MDS 9000 Series Multilayer Switches

Cisco MDS 9000シリーズマルチレイヤスイッチは、PMTUDおよび「ソースクエンチ（始点抑制要求）」攻撃に対して脆弱です。この脆弱性を文書化しているCisco Bug IDは、CSCeh04183(登録ユーザ専用):TCPに対するICMP攻撃です。

Cisco ONS製品

該当するCisco ONS製品は、PMTUD攻撃に対してのみ脆弱です。

VPN 5000 コンセントレータ

VPN 5000コンセントレータは、PMTUD攻撃に対して脆弱です。ICMPの「ソースクエンチ(source quench)」メッセージは、メッセージカウントを保持するためにのみ処理されますが、輻輳を回避するためのものではありません。したがって、このデバイスは、このタイプのメッセージに基づく攻撃に対して脆弱ではありません。PMTUDの脆弱性を文書化しているCisco Bug IDは、CSCeh59823(登録ユーザ専用)です。ICMP 3/4メッセージがIPSecセッションに影響を与える可能性があります。

Cisco MGX-8250およびMGX-8850

Cisco MGX1(PXM1)およびMGX2(PXM45s、PXM1E)は、管理側でのICMP「ソースクエンチ」攻撃、PMTUD攻撃、およびICMP「ハード」エラー攻撃に対して脆弱です。これは、管理TCP接続(telnet、SSH)に影響し、サービスを切り替えないことに注意してください。これらの脆弱性を追跡するCisco Bug IDは、Cisco MGX1のCSCeh65337(登録ユーザ専用)とCisco MGX2のCSCeh63449(登録ユーザ専用)です。

Cisco コンテント スイッチング モジュール

Cisco Content Switching Module(CSM)は、デバイスへのTCPベースの管理接続に対するICMP「ソースクエンチ」攻撃に対して脆弱です。デバイスを通過するトラフィックに影響はありません。

Microsoft Windowsのバージョンを含むシスコ製品

CiscoカスタマイズバージョンのMicrosoft Windowsを使用する音声およびIP通信製品と、Microsoft Windowsのバージョンも含むACS Solution Engineは、PMTUD攻撃およびICMPの「ハード」エラーメッセージに基づく攻撃に対して脆弱です。Microsoft Windowsにおけるこれらの脆弱性の詳細については、Microsoft Security Bulletin MS05-019を参照してください。

音声およびIPコミュニケーション製品におけるこれらの脆弱性を追跡するCisco Bug IDはありません。ACS Solution Engineの場合、これらの脆弱性の追跡に使用されるCisco Bug IDはCSCeh62307(登録ユーザ専用)です。

回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。

PMTUDの無効化による影響

次に示すように、巧妙に細工されたICMP「fragmentation needed and DF bit set」メッセージ（またはICMPv6「message too big」メッセージ）に基づく攻撃の影響を緩和する最も一般的な回避策の1つは、コンフィギュレーションコマンドで可能な場合にPMTUDを無効にすることです。

一般に、PMTUDを無効にしても悪影響はないことに注意してください。PMTUDを無効にすると、デバイスはDFビットをクリアした状態でデータグラムを送信します。大きなパケットが小さなMTUのルータに到達すると、そのルータはパケットを複数の小さなパケットにフラグメント化します。フラグメント化された小さなデータは宛先に到達し、元の大きなパケットに再構成されます。

もう1つの考慮事項として、PMTUDがTCPに対して無効になっている場合、TCPはパスMTUの変更に基づいてMSSを調整せず、実際に使用されるMSSの値がパスMTUよりも大きい場合に不必要なセグメンテーションが発生する可能性があります。使用されるMSS値は、（コンフィギュレーションコマンドを使用して）手動で設定された値か、何も明示的に設定されていない場合はデフォルトの536バイト（宛先がリモートの場合）、または発信インターフェイスのMTUから40バイト（IPヘッダーサイズは20バイト、TCPヘッダーサイズは20バイト）を引いた値（宛先がローカルの場合）になります。不必要なセグメンテーションを回避するために、MSSを手動で、データパス内の最小のMTUを通過するのに十分な小さな値に設定することをお勧めします。

注：Cisco IOSの特定のケースでは、実装の詳細が原因でPMTUDが無効になっている場合、MSS値を手動で(コマンドip tcp mss <MSS value>を使用して)設定することはできません。PMTUDが無効にされた場合に使用される実際のMSSは、宛先がリモートの場合は536バイトになります。または、宛先がローカルの場合は、インターフェイスのMTUから40バイト（イーサネットの場合は1460バイトなど）を引いた値になります。

最後に、一般に、PMTUDを無効にしても既存の接続には影響しません。つまり、新しいPMTUD設定を有効にするには、既存の接続を手動で終了して再確立する必要があります。

音声アプリケーション、PIXセキュリティアプライアンス、およびPMTUD

音声アプリケーション（Cisco CallManagerなど）を実行しているデバイスでPMTUDを無効にすると、音声トラフィックがCisco PIXセキュリティアプライアンスを通過する際に、PIXセキュリティアプライアンスでSCCP(fixup protocol skinny)、SIP(fixup protocol sip)、H.323(fixup protocol h323)などの音声プロトコルのフィックスアップが行われる場合に、望ましくない場合があります

注：Cisco CallManagerのデフォルトのインストールでは、PMTUDが無効になっています。

この問題は、セグメント化またはフラグメント化されたProtocol Data Unit（PDU；プロトコルデータユニット）を持つ音声シグナリングトラフィックを、PIXセキュリティアプライアンス/FWSMソフトウェアが常に完全に検査できるわけではないために発生します。PMTUDがディセーブルになっていると、十分に大きなPDUが複数のTCPセグメントまたはIPフラグメントに分割される場合があり、これが原因で、セカンダリ接続およびメディアトラフィック用のピンホールが適切に開かない可能性があります。

したがって、音声アプリケーションを実行しているデバイスでPMTUDを無効にする場合は、アクセスルールをプロビジョニングして、必要なセカンダリシグナリングとメディアトラフィックを許可し、それぞれのプロトコルのフィックスアップを無効にするように注意してください。

ローカルセキュリティポリシーによっては、ポートを事前に開く必要があるため、PMTUDを無効にする回避策は適用できません。

ICMP到達不能メッセージのフィルタリングによる影響

特にIPSecの場合や、PMTUDを無効にできない製品に対して推奨されるもう1つの回避策は、ICMPの「fragmentation needed and DF bit set」メッセージをフィルタリングして除外することです。ICMPの「Fragmentation Needed and DF bit set」メッセージをブロックする推奨事項は、ネットワーク内の他の場所に宛てられたメッセージではなく、保護されるデバイスに宛てられたメッセージに適用されることに注意してください。ICMP到達不能メッセージを無差別にブロックすると、RFC 2923で説明されている「ブラックホール」が発生する可能性があります(「TCP Problems with Path MTU Discovery」 - http://www.ietf.org/rfc/rfc2923.txt )。

また、ICMPの「Fragmentation Needed and DF bit set」メッセージがエンドホストによる受信をブロックされている場合、エンドホストはDFビットをクリアしたパケットを送信する必要があります。これは、PMTUDを無効にすることで実現できます。これを実現する方法がない場合は、サポートされている場所で「crypto ipsec df-bit clear」などの特別なメカニズムを使用します（IPSecの場合）。

ICMP到達不能パケットがブロックされ、パケットがDFビットが設定された状態で送信された場合、中継ルータが特定のPMTUに対して大きすぎるパケットをフラグメント化する必要があるという状況にエンドホストが対応できなくなります。この状況では、送信元（エンドホスト）でパケットをフラグメント化するか、DFビットをクリアした状態でパケットを再送信する必要があります。

Cisco IOSの回避策

Transmission Control Protocol Over IPバージョン4

PMTUDが明示的に有効にされている場合、PMTUD攻撃を防ぐ回避策として考えられるのは、グローバルコンフィギュレーションコマンドno ip tcp path-mtu-discoveryを使用してPMTUDを無効にすることです。このコマンドを実行すると、すべての新しい TCP接続に対してPMTUDが無効になります。IOSデバイスでPMTDを設定しても、ルータとの間ですでに確立されている既存のTCPセッションには影響しません。

PMTUDがディセーブルの場合、使用されるMSSは、ip tcp mssコマンドで設定された値、またはデフォルトの536バイト（リモート接続先）または1460バイト（ローカル接続先）であることに注意してください。

Transmission Control Protocol Over IPバージョン6

PMTUDは、TCP over IPv6を使用している場合はデフォルトで有効になっており、無効にすることはできません。このため、考えられる回避策は、ACLを使用してICMPv6「packet too big」メッセージをブロックすることです。

ICMPv6の「packet too big」メッセージをフィルタリングすると、レイヤ3(IPv6)PMTUDもシャットダウンされることに注意してください。したがって、エンドホストのMTUが可能な限り小さいIPv6 MTU（1280バイト）に設定されていることを確認する必要があります。そうしないと、デバイスは「packet too big」メッセージを受け取っていないため、中継システムが大きすぎるためにパケットをドロップしたことを認識できません。

ICMPv6「packet too big」メッセージは、IPv6ではICMPv4「fragmentation needed and DF bit set」メッセージと同等です。したがって、「ICMP到達不能メッセージのフィルタリングによる影響」セクションで説明した同じ考慮事項が、ICMPv6の「パケットが大きすぎます」メッセージのフィルタリングにも適用されます。

IPSec

IPSecの場合、推奨される回避策はPMTUDを「無効」にすることです。IPSecでPMTUDを無効にするコマンドは1つもありませんが、他のメカニズムを使用して無効にできます。特に、次の2つのことを行う必要があります。

1. Access Control List（ACL；アクセスコントロールリスト）またはControl Plane Policing（CoPP；コントロールプレーンポリシング）機能を使用して、ルータ自体を宛先とするICMPの「Fragmentation Needed and DF bit set」（タイプ3、コード4）メッセージをフィルタリングして排除します。
   次の例は、インターフェイスACLを使用してデバイスのIPアドレスにアドレス指定されるICMP「Fragmentation Needed and DF bit set」（タイプ3、コード4）メッセージをブロックする方法を示しています(タイプ3、コード4のメッセージは、packet-too-bigキーワードを使用してどのように指定されるかに注意してください)。
   

   access-list 111 deny icmp any host <fa0/0's IP address> packet-too-big
   access-list 111 deny icmp any host <fa0/1's IP address> packet-too-big
   access-list 111 deny icmp any host <fa0/2's IP address> packet-too-big
   access-list 111 permit ip any any
   !
   interface fastEthernet 0/0
     ip access-group 111 in
   !
   interface fastEthernet 0/1
     ip access-group 111 in
   !
   interface fastEthernet 0/2
     ip access-group 111 in
   

   注：この回避策を有効にするには、ルータのすべてのIPアドレスをACLに含め、ACLをすべてのインターフェイスに適用する必要があります。

   このタイプのフィルタリングは、ネットワーキングのベストプラクティスであるインフラストラクチャACLの一部として実装できます。iACLについての詳細は、http://www.cisco.com/warp/public/707/iacl.htmlの「Protecting Your Core: Infrastructure Protection Access Control Lists」を参照してください。
   次の例は、コントロールプレーンポリシング(CoPP)を使用して同じことを実行する方法を示しています。
   

   access-list 140 permit icmp any host <interface0 IP address> packet-too-big
   access-list 140 permit icmp any host <interface1 IP address> packet-too-big
   [...]
   access-list 140 permit icmp any host <interfaceN IP address> packet-too-big
   access-list 140 deny   ip   any any
   !
   class-map match-all icmp-class
     match access-group 140
   !
   policy-map control-plane-policy
     ! Drop all traffic that matches the class "icmp-class"
     class icmp-class
            drop
   !
   control-plane
    service-policy input control-plane-policy
   

   注：CoPPは、IOSリリーストレイン12.0S、12.2S、および12.3Tで使用できます。CoPP機能の設定と使用方法の詳細については、次のURLを参照してください。http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html

2. DFビットが設定されている場合でも、IPSecが埋め込みパケットをフラグメント化することを許可します。これを行うには、crypto ipsec df-bit clearコマンド(IOS 12.2(2)T以降で使用可能)を使用するか、Policy-Based Routing（PBR；ポリシーベースルーティング）(IOS 12.1(6)以降で使用可能)を使用してDFビットをクリアします。
   次に、PBRを使用してDFビットをクリアする方法の例を示します。
   

   route-map clear-df permit 10
     match ip address 101
   
     
   !--- The following command is used to change the !--- Don't Fragment (DF) bit value in the IP header; !--- it must be used in route-map configuration mode.
   
     set ip df 0
   
   access-list 101 permit tcp 10.1.3.0 0.0.0.255 any
   
   interface ethernet0
     ...
   
     
   !--- The following command is used to identify a !--- route map to use for policy routing on an !--- interface; if must be used in interface !--- configuration mode.
   
     ip policy route-map clear-df
   

   この例では、ルートマップは暗号化されていないトラフィックがルータに入るインターフェイスに適用され、10.1.3.0/24はIPSecトンネルを介してトラフィックを送信しているアドレススペースです。

総称ルーティングカプセル化とIPinIP

この場合の唯一の回避策は、トンネルインターフェイスでPMTUDが有効になっている場合、これを無効にすることです。これは、特定のトンネルインターフェイス設定モードで、コマンドno tunnel path-mtu-discoveryを使用して実行されます。

tunnel path-mtu-discoveryコマンドが設定されていない場合、GRE IPヘッダーのDFビットは常にクリアされます。これにより、カプセル化されたデータIPヘッダーにDFビットが設定されていても、GRE IPパケットのフラグメント化が許可されます。通常、このビットはパケットのフラグメント化を許可しません。

IPSecでGREを使用している場合は、コマンドcrypto ipsec df-bit clearの代わりにno tunnel path-mtu-discoveryコマンドを使用して、送信パケットでDFビットがクリアされるようにする必要があります。また、アクセスコントロールリスト(ACL)または前述したControl Plane Policing(CoPP)機能を使用して、ルータ自体を宛先とするICMPの「Fragmentation Needed and DF bit set」メッセージ（タイプ3、コード4）もしないようにする必要があります。

Cisco Bug ID CSCef44699(登録ユーザ専用)で修正されたイメージがある場合は、特定のトンネルインターフェイス設定モードで新しいコマンドtunnel path-mtu-discovery min-mtu <minimum MTU>を使用することにより、PMTUDプロセスを介して学習されたMTUに低い制限を設定できます。

Layer 2 Tunneling Protocol Version 2およびLayer 2 Tunneling Protocol Version 3

レイヤ2トンネリングプロトコル(L2TP)セッション（バージョン2と3の両方）をPMTUD攻撃から保護する唯一の回避策は、PMTUDが有効になっている場合にPMTUDを無効にすることです。L2TPv2の場合は、次に示すように、vpdn-groupコンフィギュレーションモードでno ip pmtuコマンドを使用して設定します。

router(config)#vpdn enable
router(config)#vpdn-group 1
router(config-vpdn)#no ip pmtu

L2TPv3の場合は、次に示すように、pseudowire-class設定モードでno ip pmtuコマンドとno ip dfbit setコマンドを使用します。

pseudowire-class [pseudowire class name]
  encapsulation l2tpv3
  no ip pmtu
  no ip dfbit set
  [...]

L2TPv2の場合、Cisco Bug ID CSCsa52807(登録ユーザ専用)で修正されたイメージがある場合は、vpdn-groupコンフィギュレーションモードで新しいコマンドdsvpdn pmtu minimum <minimum MTU> およびvpdn pmtu maximum <maximum MTU> を使用することにより、PMTUDプロセスを通じて学習されるMTUに上限およびを設定できます。

IOS XRの回避策

Cisco CRS-1が他のピアとのTCPセッションを確立している場合は、設定上の回避策がないため、SMUを適用するか、脆弱性のないバージョンのIOS XRにアップグレードすることを推奨します。

Cisco IP Phoneの回避策

Cisco IP Phoneに対するICMPの「ハード」エラーおよび「ソースクエンチ」攻撃に対する回避策はありません。ただし、これらの攻撃は、VLANテクノロジーを使用して音声とデータをセグメント化することで軽減できます。一般に、ホワイトペーパー『SAFE: IP Telephony Security in Depth』(http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_papers_list.html)に記載されているIPテレフォニーの推奨ベストプラクティスに従うことで軽減できます。

Cisco PIXセキュリティアプライアンスの回避策

「脆弱性が存在する製品」セクションで説明したように、PIXセキュリティアプライアンスは、IPSecが設定され、有効になっている場合にのみ影響を受けます。該当する場合は回避策がなく（PIXセキュリティアプライアンスではPMTUDを無効にできないため）、脆弱性のないバージョンのPIXセキュリティアプライアンスソフトウェアにアップグレードすることを推奨いたします。

PMTUD攻撃を防御することはできませんが、clear ipsec saコマンドを使用すれば、管理者はセキュリティアソシエーション(SA)をリセットして、トンネルのパスMTUを元の値に戻すことができます。

Cisco VPN 5000コンセントレータの回避策

設定ディレクティブPreTunnelFragmentationを「no」に設定することで、PMTUDを完全に無効にできます。

「yes」に設定してPreTunnelFragmentationをオンのままにしても、VPN 5000には着信パケットに対して非常に厳密なアクセスルールが設定されていることは注目に値します。攻撃が外部（インターフェイスEthernet 1）から発信される場合、パケットは常にドロップされ、IPSec接続には影響しません。トンネルを通過するパケットや内部インターフェイス（イーサネット0）から発信されるパケットは、PMTUD攻撃に対して脆弱です。一部のお客様は、イーサネット0のみが接続され、トンネルを終端する「シングルアームモード」でデバイスを実行します。このシナリオの対象となるお客様には脆弱性が存在します。

他のオペレーティングシステムの回避策

シスコでは、Microsoft Windowsや異なるバージョンのUNIXなど、他のオペレーティングシステム上で動作する製品を用意しています。これらの製品は通常、中間システムとしてではなく、エンドホストとして動作します。したがって、オペレーティングシステムに脆弱性がある場合は、このドキュメントで説明されている脆弱性の影響を受ける可能性があります。このセクションで説明する回避策、特にPMTUDを無効にする回避策は、これらのオペレーティングシステムに対しても有効な回避策です。

Microsoft Windowsおよび複数のバージョンのUnixでパスMTUを無効にする方法については、http://cisco.com/en/US/tech/tk870/tk877/tk880/technologies_tech_note09186a008011a218.shtmlにあるドキュメント『Adjusting IP MTU, TCP MSS, and PMTUD on Windows and Sun Systems』を参照してください。

ICMPソースクエンチ（始点抑制要求）攻撃からの保護

ICMPの「ソースクエンチ（始点抑制要求）」メッセージは、ネットワークの輻輳を処理するための初期の試みでしたが、現在の標準では、このシナリオを処理するための効果的な方法ではないことが認識されています。このため、最近のほとんどのTCP/IP実装では、このようなメッセージの受信は無視され、送信は行われません。この状況では、脆弱なデバイスとネットワークのエッジの両方でICMPの「ソースクエンチ（始点抑制要求）」メッセージをフィルタリングして排除することは比較的安全です。

スプーフィングされたパケットからの保護

ネットワークのベストプラクティスと見なされますが、ユニキャストリバースパス転送(uRPF)、IPソース検証、DHCPリースクエリ、ダイナミックACL（AAA付き）、ミニACL（AAA付き）などの機能は、スプーフィングされたIP送信元アドレスによって引き起こされる問題の緩和に役立ちますが、これらのICMPパケットがスプーフィングされていない場合は、ICMPメッセージに基づく攻撃のを緩和しても効果的ではありません。この理由は、攻撃者がこの脆弱性を不正利用するために、必ずしもパケットの送信元アドレスをスプーフィングする必要がないためです。ただし、攻撃者がパケットをスプーフィングする場合は、ネットワークのエッジにアンチスプーフィングメカニズムを実装すると、攻撃を緩和するのに役立ちます。

アンチスプーフィングの詳細については、http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#sec_ipおよびRFC 2827(「Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing」 – http://www.ietf.org/rfc/rfc2827.txt )を参照してください。

IOSのuRPF機能は、スプーフィングされたIP送信元アドレスが原因で発生する問題の緩和に役立ちます。uRPFを有効にするには、次のコマンドを使用します。

router(config)# ip cef
router(config)# interface  

router(config-if)# ip verify unicast reverse-path

uRPFの動作の詳細、およびさまざまなシナリオでの設定方法については、機能ガイド『ユニキャストリバースパス転送のLooseモード』および『ftp://ftp-eng.cisco.com/cons/isp/security/URPF-ISP.pdf』を参照してください。これは、非対称ルーティングを使用している場合に特に重要です。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

IOSベースの製品

Cisco IOS ソフトウェアの表（下掲）の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（「第 1 修正済みリリース」）とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリース ラベル以上）にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。

http://www.cisco.com/web/about/security/intelligence/ios-ref.html

ソフトウェアの可用性の違い、およびCisco IOSが脆弱な機能シナリオにおける違いにより、最初の修正済みリリースの表は、各テクノロジーに影響するさまざまな脆弱性に基づいて分割されています。次の4つの異なるグループがあります。

1. TCPv4:CSCed78149(登録ユーザ専用)およびCSCef60659(登録ユーザ専用)を表します。1つ目のCisco Bug IDでは、PMTUD攻撃に対するTCPの脆弱性が追跡されます。2つ目のCisco Bug IDでは、PMTUDを使用するすべてのプロトコルに影響する脆弱性が追跡されます。ただし、TCP over IPv6はこの脆弱性の影響を受けず、例外となります。
2. トンネル：CSCef60659(登録ユーザ専用)、CSCef43691（登録ユーザ専用）、CSCsa61864(登録ユーザ専用)、CSCsa59600（登録ユーザ専用）、およびCSCef44699（登録ユーザ専用）を表します。これらは、該当するほとんどのトンネリングプロトコル(GRE、L2TPv3、IPSec)の脆弱性を追跡するCisco Bug IDです。
3. TCPv6:CSCef61610( 登録ユーザ専用)を表しています。これは、IPv6での実行時にPMTUD攻撃に対するTCPの脆弱性を追跡するCisco Bug IDです。
4. L2TPv2:CSCsa52807(登録ユーザ専用)を表しています。これは、PMTUD攻撃に対するL2TPv2の脆弱性を追跡するCisco Bug IDです。

IOSベース以外の製品

IOSベース以外の製品表（下記）の各行には、修正を含む最初のリリース（「最初の修正リリース」）と提供予定日が記載されています。上記のリリースよりも古いリリース（First Fixed Releaseよりも古いリリース）を実行している製品には、脆弱性が存在することが確認されています。製品は、少なくとも指定されたリリース以降のリリース（「First Fixed Release」ラベル以上）にアップグレードする必要があります。

サードパーティ製のオペレーティングシステムをベースとするすべてのシスコ製品について、およびシスコからOSが提供されていない場合は、該当するパッチについて各ベンダーにお問い合わせください。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。