D00590
IPsec Phase2のライフタイムに長い期間が設定され、かつ、期間内の送受信パケット数が多い場合、鍵が更新されるまで通信できなくなる可能性がある不具合を修正しました。
- 関係する機能
- IPsec/IKE
| 該当機種 | 修正適用バージョン | 影響を受けるバージョン |
|---|---|---|
| SEIL/X4, CA10 | 3.30 | 未確認 |
| SEIL/x86 Ayame | 3.30 | 未確認 |
不具合の説明
一つのIPsec Phase2のセッション内で送信可能なパケット数の上限は4294967296個までです(ESPプロトコル上のシーケンス番号の制約)。 本来は上限に達する前に鍵情報を更新する必要がありますが、ライフタイムに達するまで更新していませんでした。 このためライフタイムの設定によってセッションの有効期間が長く、かつ、多数のパケットを送信し続けたことでシーケンス番号の上限に達すると、鍵が更新されるまで暗号通信ができなくなります。
目安としてSEIL/X4で12時間を超えるPhase2 lifetimeを設定し、最大限の送信レートで暗号パケットを送信し続けた場合に場合にシーケンス番号の上限に達する可能性があります。
回避・復旧手段
IPsec phase2のlifetimeを適切に設定することで回避できます。
Phase2 lifetimeがデフォルト値(8時間)の場合は最大限の送信レートで暗号パケットを送信し続けた場合に場合でもシーケンス番号の上限に達する事はありません。
変更・修正内容
始動側(initiator)として動作する場合に、ESPのシーケンス番号が上限近くに達したとき鍵の更新を行うように変更しました。
受動側(responder)として動作する場合はこの修正の対象外です。