日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
IOSを実行しているCisco Aironetワイヤレスアクセスポイント(AP)には脆弱性が存在します。これにより、悪意のあるユーザがIP Address Resolution Protocol(ARP)を介してアクセスポイントに巧妙に細工された攻撃を送信し、デバイスがトラフィックの通過を停止したり、ユーザ接続をドロップしたりする可能性があります。
この脆弱性が繰り返し悪用されると、持続的なDoS(サービス拒否)が発生します。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。この脆弱性に対しては、影響を緩和するための回避策があります。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
このセキュリティアドバイザリは、Cisco IOSソフトウェアが稼働するすべてのCisco Aironetワイヤレスアクセスポイントに適用されます。影響を受けるデバイスタイプには次のものがあります。
-
Cisco Aironet 1400 シリーズ ワイヤレス ブリッジ
-
Cisco Aironet 1300 シリーズ アクセス ポイント
-
Cisco Aironet 1240AGシリーズアクセスポイント
-
Cisco Aironet 1230AGシリーズアクセスポイント
-
Cisco Aironet 1200 シリーズ Access Points
-
Cisco Aironet 1130AGシリーズアクセスポイント
-
Cisco Aironet 1100 シリーズ Access Points
-
IOSを実行しているCisco Aironet 350シリーズアクセスポイント
脆弱性を含んでいないことが確認された製品
VxWorksベースのイメージ(バージョン12.05以前)を実行しているCiscoワイヤレスデバイス
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
アドレス解決プロトコル(ARP)は、物理ハードウェアアドレスをIPアドレスに動的にマッピングするために使用されます。ネットワークデバイスとワークステーションは、これらのマッピングが一定期間保存される内部テーブルを維持します。
攻撃者は、Cisco IOSワイヤレスアクセスポイントとの関連付けに成功した場合、アクセスポイントの管理インターフェイスにARPメッセージをスプーフィングできる可能性があります。攻撃者は、物理メモリが完全に使い果たされるまで、デバイスのARPテーブルにエントリを追加する可能性があります。これにより、デバイスは、電源をオフ/オンしてデバイスをリロードするまで、トラフィックを渡すことができない状態になります。
アクセスポイントをアップグレードした後(「ソフトウェアバージョンと修正」を参照)、各無線インターフェイスにコマンドL2-FILTER BLOCK-ARPを追加します。
例:
! ! interface Dot11Radio0 l2-filter block-arp ! !
この脆弱性は、Cisco Bug ToolkitにBug ID CSCsc16644(登録ユーザ専用)として文書化されています
回避策
この問題の回避策は、仮想LAN(VLAN)を使用して、ワイヤレスクライアントをアクセスポイント(AP)管理インターフェイスから切り離すことです。AP管理インターフェイスを1つのVLANに配置し、ワイヤレスクライアントをSSIDに基づいて異なるVLANに配置するワイヤレスVLANインフラストラクチャを導入できます。APの管理インターフェイスと同じVLAN上でワイヤレスクライアントを許可しないでください。ワイヤレスネットワークにVLANを導入する際には、考慮する必要がある設計上の考慮事項がいくつかあります。前提条件、設計に関する考慮事項、無線および有線ハードウェアの設定例については、次を参照してください。
Using VLANs with Cisco Aironet Wireless Equipment(Cisco Aironetワイヤレス機器でのVLANの使用)http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configuration_example09186a00801d0815.shtml
その他の情報は次から入手できます。
VLANの設定http://www.cisco.com/en/US/docs/wireless/access_point/12.3_2_JA/configuration/guide/s32vlan.html
この例では、既存のAPがVLANを使用するように再設定されています。APはVLAN 10(ネイティブVLAN)で設定され、ワイヤレスクライアントはVLAN 20および30で設定されます。
VLANを作成すると、既存のSSIDが無効になります。この例では、既存のSSIDを削除し、VLANを作成し、VLANごとに暗号化モードとキーを設定し、VLANごとにSSIDを作成しました。
!
! Set encryption ciphers and broadcast key rotation
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 10 mode ciphers tkip
! Encryption ciphers are set under the physical radio interface
!
encryption vlan 20 mode ciphers tkip
!
encryption vlan 30 mode ciphers tkip
!
broadcast-key change 43000
!
broadcast-key vlan 10 change 43000
! Broadcast key rotation is set under the physical radio interface
!
broadcast-key vlan 20 change 43000
!
broadcast-key vlan 30 change 43000
!
!
!
! Set the SSID's and their vlans and authentication method
!
ssid ap-devices-only
! each SSID must have a vlan and authentication settings
vlan 10
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
ssid red20
vlan 20
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
ssid red30
vlan 30
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!--------------------------
! Consider not configuring an SSID for the native VLAN
! which in this example is VLAN 10. Not configuring an
! SSID for the native VLAN will prevent all wireless
! clients from estabishing management connections to
! the AP
!-------------------------
!
interface Dot11Radio0.10
encapsulation dot1Q 10 native
! AP's are placed in this VLAN
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 spanning-disabled
! If the virtual interfaces are configured via the HTTP GUI
! the bridge-group settings will be configured automatically
!
interface Dot11Radio0.20
encapsulation dot1Q 20
! Clients are placed in this VLAN
no ip route-cache
no cdp enable
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
bridge-group 20 spanning-disabled
!
interface Dot11Radio0.30
encapsulation dot1Q 30
! Clients are placed in this VLAN
no ip route-cache
no cdp enable
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
bridge-group 30 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no cdp enable
!
!
! Set the Wired virtual interfaces
!
interface FastEthernet0.10
encapsulation dot1Q 10 native
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
! If the virtual interfaces are configured via the HTTP GUI
! the bridge-group settings will be configured automatically
!
interface FastEthernet0.20
encapsulation dot1Q 20
no ip route-cache
no cdp enable
bridge-group 20
no bridge-group 20 source-learning
bridge-group 20 spanning-disabled
!
interface FastEthernet0.30
encapsulation dot1Q 30
no ip route-cache
no cdp enable
bridge-group 30
no bridge-group 30 source-learning
bridge-group 30 spanning-disabled
!
!
! The AP's BVI1 IP address must be from the native VLAN's subnet
!
interface BVI1
ip address 192.168.1.40 255.255.255.0
no ip route-cache
ワイヤレスネットワークセキュリティのベストプラクティス
上記の回避策と例に加えて、次の参考資料で説明されているワイヤレスネットワークセキュリティのベストプラクティスを導入することを推奨します。
SAFE:Wireless LAN Security in Depth(ワイヤレスLANセキュリティの詳細) – バージョン2
大企業向けワイヤレスLANセキュリティソリューション
http://www.cisco.com/en/US/netsol/ns340/ns394/ns348/ns386/networking_solutions_package.html
CiscoワイヤレスLANセキュリティの概要
緩和策
この問題のリスクは、EAP-FAST、PEAP、EAP-TLSなどのEAPベースの認証プロトコルを使用してすべてのワイヤレスクライアントを認証するように要求することで軽減できます。ただし、この緩和策では脆弱性を完全に排除できないため、認証されたユーザはこの脆弱性を不正利用する可能性があります。
修正済みソフトウェア
この問題は、https://sec.cloudapps.cisco.com/support/downloads/pub/Redirect.x?mdfid=278875243でダウンロード可能なIOSバージョン12.3-7-JA2で修正されています。
この脆弱性を解決するには、ソフトウェアのアップグレードに加えて、設定の変更も必要です。この設定変更の詳細については、「詳細」セクションを参照してください。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
不正利用事例と公式発表
Cisco PSIRTでは、このアドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
この問題は、Bucknell UniversityのEric Smith氏によって報告されました。
URL
改訂履歴
|
リビジョン 1.0 |
2006年1月12日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。