D00585
PPACインタフェースのRADIUS認証機能にMessage-Authenticator属性の扱いに関する設定を追加しました。
- 関係する機能
- PPPアクセスコンセントレータ
| 該当機種 | 変更適用バージョン |
|---|---|
| SEIL/X4, CA10 | 3.21 |
| SEIL/x86 Ayame | 3.21 |
回避・復旧手段
信頼できるネットワーク上でRADIUSサーバとの通信を行うことで、中間者攻撃によって認証応答が偽造される可能性を回避できます。
変更・修正内容
以下のコンフィグパラメータを追加しました。
- interface.pppac[].authentication.[].radius.request.message-authenticator: { disable | enable }
- RADIUSリクエストにMessage-Authenticator属性を付与するかどうかを制御するコンフィグ
- interface.pppac[].authentication.[].radius.response.message-authenticator: { required | optional }
- RADIUSレスポンスにMessage-Authenticator属性を必須とするかどうかを制御するコンフィグ
Message-Authenticatorを検証することで、中間者攻撃によって認証応答が偽造される危険性を予防できます。
ただし、RADIUS通信先がMessage-Authenticatorに対応している必要があります。