« 改行コードについて | トップページ | Set Flow Path-MTUは何のために利用するのですか »

ログに現れる「received a packet with a bad SPI」のエラー

NetScreenでVPNを設定している場合、しばしば
「received a packet with a bad SPI.」という旨のログが発生する事がある。
これは、NetScreeが不正なSPI番号のIPSecパケットを検出したことを示す。

原因

  ・IPSecSAの再生成の際のタイミングの不一致
  ・NAT越えによるSPIの不一致
  ・クラッカーからのアタックの可能性(も否定できない)

対策

  送信元IPを確認してVPN対向先かどうかを確認する。
  VPNの対向先でない場合、攻撃の可能性がある。

  VPNの対向先である場合は、以下のいづれかの方法で
  エラーの発生を回避する事ができる。(私の推奨は3番の方法)

 1.次のコマンドで応急的な処置としてSAをクリアする。

  > clear ike all

  2.ソフトライフタイムを短くする

    > set ike soft-lifetime-buffer <number>
    ※<number> is time to init IKE before hard lifetime (seconds)

     但し、ScreenOS 4.0以上のバージョンでは、
  デフォルト値が10秒とあらかじめ低い値に設定されているため
  変更する必要はほとんど無い。
   
 3.commit bitをセットする

  一番良い方法はcommitビットをセットすることです。
  その結果、Netscreenは新しいSPIの生成が完了した事を確認してから
  パケットを送ります。

  ※commit bitの詳細はRFC2408
  http://www.ietf.org/rfc/rfc2408.txt?number=2408

     >set ike initiator-set-commit
     >set ike responder-set-commit

|

« 改行コードについて | トップページ | Set Flow Path-MTUは何のために利用するのですか »

「NetScreen」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/153537/4445385

この記事へのトラックバック一覧です: ログに現れる「received a packet with a bad SPI」のエラー:

« 改行コードについて | トップページ | Set Flow Path-MTUは何のために利用するのですか »