A01857
ike peer コマンドの esp-fragment-size パラメータにフラグメントサイズの指定があり、かつ、NATが設定されているとき、フラグメントパケットを暗号化せずに送信する場合がある不具合を修正しました。
- 関係する機能
- IPsec/IKE
| 該当機種 | 修正適用バージョン | 影響を受けるバージョン |
|---|---|---|
| SEIL/X1, SEIL/X2 | 5.91 | 未確認 |
| SEIL/B1 | 5.91 | 未確認 |
| SEIL/x86 Fuji | 5.91 | 未確認 |
| SEIL BPV4 | 5.91 | 未確認 |
不具合の説明
ike peer コマンドの esp-fragment-size パラメータにフラグメントサイズの指定があり、かつ、NATが設定されているとき、フラグメントパケットを暗号化せずに送信する場合があります。
不具合発生の条件
フラグメントが必要なサイズのパケットを送信するとき、次の条件にすべて一致する場合に該当します。
- トンネルモードのポリシーベースIPsecを設定している
- ike peer コマンドの esp-fragment-size パラメータにフラグメントサイズの指定がある
- パケットのヘッダ情報が、IPsecセキュリティポリシーとNAT/NAPTルールの両方にマッチする。かつ、暗号化パケットの送出経路がNAT/NAPT適用インタフェースと一致する
回避・復旧手段
IPsecセキュリティポリシーの送信先アドレス条件に一致するdiscard経路を追加することで回避できます。(セキュリティポリシーが優先されます)
変更・修正内容
ike peer コマンドの esp-fragment-size パラメータにフラグメントサイズの指定があり、かつ、NATが設定されているとき、フラグメントパケットを暗号化せずに送信する場合がある不具合を修正しました。