パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ウォー・ドライビング用周辺機器発売」記事へのコメント

  • by Anonymous Coward on 2003年07月17日 3時49分 (#360462)
    外部からのアクセスは、誰かご近所の方に使っていただく、という意図もあり、わざわざ完全オープンにしてあります。

    もちろん、自分のウチ用とは別にセグメントを切ってあり、ノードも別に用意してあります。もちろん、その他の対策もバッチリとってあるので、意図的に外部に解放している無線ノードから他のセグメントには行けなくなっております。

    無線LANにオマケでついているセキュリティ機能を信用するのは、まともなネットワーク技術者であれば、してはいけません。SSID/ESSIDの設定くらいではなーんにもならないのは言うに及ばず、MACアドレスでさえspoofingが可能なツールが出回っているのですから。

    だから、無線LAN使うときは、そのほかに、必ずまともな設定が可能な外部ルータを併用することをお勧めしますが。
    • by takmaki (13472) on 2003年07月17日 8時33分 (#360496)
      これ、私もこういうのちょっとやってみたかったんですが、どんなに「自分のPC群に対して」安全にしても、通りがかりの人が「あなたのホットスポット」経由で、インターネット上のホストに対して不正侵入その他の悪さをしたときに、どんな追及をされるかわからなかったのでやめました。
      そういった意味での「安全性」対策はどのようになさっているか、お聞かせ願えれば幸いです。
      親コメント
      • by vero (14010) on 2003年07月17日 10時09分 (#360545)
        オープンになっている無線LANに入り込んでそこからspamを送る、なんて話もありましたね。

        たとえばその無線LANから誰かが悪さをして損害賠償請求をされたとしましょう。

        まず「自分でやったものではない」事を証明する必要があります。オープンになっているのは当然自分も知っていますから、誰でも使える=自分も使える、ということであり、オープンだから誰が使ったのかわからないというのはかえって不利になります。さて、仮にこれが証明できたとしても、管理者としての責任を問われます。これを否定する事はまず不可能ですから、結局は負けることになります。

        まぁ、「無線LANのセキュリティは弱いから外部にルータが必要」なんて書いてある時点でよくわかってないんだと思いますが。とりあえず無線を止めて、もう少し勉強してからどうするか決めることをお勧めしたいところです。
        親コメント
        • by Anonymous Coward
          無線LANアクセスポイントとISPの間にファイアウォールを入れて、 ポート80以外を外に出さない設定にしてもだめですか?

          BBSの荒らし対策まで考えるなら、ポート80にアプリケーションGW(≒プロキシ)入れて, HTTP POSTを禁止するとか, hoge.cgiへのアクセスを遮断するとか。。。
          • by pantora (11989) on 2003年07月17日 19時49分 (#360989)
            >無線LANアクセスポイントとISPの間にファイアウォールを入れて、
            >ポート80以外を外に出さない設定にしてもだめですか?

            port80オンリーにしても無駄です。
            世の中、善意の第3者だけじゃありません。

            ネットカフェだって、まともなところは、
            身分証明を提出して会員証作るでしょ?

            そんなに提供したいのならば、
            無線LANで自前のコンテンツサーバも作れば?

            「ご近所のうわさ」掲示板とか。
            --
            PCにECC Registeredメモリの利用を推奨します。
            親コメント
          • by Anonymous Coward
            無線LANと自宅ネットワークの間なら問題ないかもしれませんが
            無線LANとISPとなると別です。

            無線LANと自宅ネットワーク間がフリーで合った場合
            自宅内に設置されたマシンのセキュリティホール対策を厳重に行わないで居た場合はセキュリティホールアタックの後、そのマシンを踏み台にして外に接続される恐れがあります

            まぁ、そのへんもしっかりやるなら別で
          • by Anonymous Coward
            > 無線LANアクセスポイントとISPの間にファイアウォールを入れて、 ポート80以外を外に出さない設定にしてもだめですか?

            80/tcpを利用した攻撃やワームは腐る程ありますから。
            #httpdやCGIのBOは典型だし、逆にブラウザの脆弱性を突くのもこれですね。

            > BBSの荒らし対策まで考えるなら、ポート80にアプリケーションGW(≒プロキシ)入れて, HTTP POSTを禁止すると
    • by Stahl (7211) on 2003年07月17日 9時53分 (#360531)
      自宅が大丈夫もなにも、アナタの自宅がどうなろうと誰も気にしないかと。
      気にするのはアナタの「オープンな」ノードを踏み台にしてよそに迷惑がかかることかと。

      #
      禁煙の場所でタバコを吸いながら「ご心配なく、私は健康に気を遣って吸いすぎないようにしてます」
      親コメント
    • by Anonymous Coward
      すみません、わかってないのですが……。
      すべての無線LAN接続PCに外部ルータを付けるんですか?
      無線LANで接続されたPCには侵入されてもOKとかいうことじゃないですよね?
    • by Anonymous Coward
      設定がよくわからないのですが、自分用とご近所用に二つのチャンネルで無線LANを運用しているのですか?
      そうすると、二つアクセスポイントが必要になりますよね。

      それとも同じ物理ネットワーク上で二つのサブネットを運用?
      • ぼくも良くわかっていないですが、ウチ用は有線 LAN ってことでは?
        親コメント
      • by Anonymous Coward
        別ACですが
        「ノードも別に用意」ってことから無線LANアクセスポイントが2つ(以上)あるんでしょうね.
        想像するに, 有線LANの口とは別に無線LANカード2枚挿したPCにlinuxなりFreeBSDなりをマルチホームのルータ兼ファイアウォールとして. 無線LANセグメントAを自宅用, 無線LANセグメントBを開放, 有線LANセグメントはインターネット接続とかしてるんじゃないですか?
        その上で, 無線LANセグメントBからの無線LANセグメントAへのパケットを完全遮断として, 無線LANセグメントBからインターネットへの接続には
    • 無線LANにオマケでついているセキュリティ機能を信用するのは、まともなネットワーク技術者であれば、してはいけません。SSID/ESSIDの設定くらいではなーんにもならないのは言うに及ばず、MACアドレスでさえspoofingが可能なツールが出回っているのですから。

      私の自宅では、NECのAtermWB7000Hという11B対応のブロードバンドルータ(PCカード付属)を使用しています(普及品の代表格だと思いますが)。

      で、そのオマケについている128bitのWEPやMACアドレスフィルタリングを設定して、特に脅威は感じていなかったのですが、アマすぎる感覚でしょうか?

    • by Anonymous Coward
      WEPとMACアドレスなんて解析できるし詐称できるから無駄だって来たので
      盗聴されても大丈夫なように無線ネットワークからはIPSec+VPNのトンネリングを使用して内部ネットワークに接続するようになってますだと思ったら...(いやそこまで必要かどうかは別として(笑))

      なんでルーターなんだろう
      • by Anonymous Coward
        "IPSec+VPN"ってなんの意味が、というのはさておき、IPレベルで通信を暗号化したところで無線LANへの接続は防げない罠。
        • by Anonymous Coward
          VPNトンネルの下位層としてしか無線LANのネットワークを使ってないから、無線LANには入られても、そのさらに内側のローカルネットに入れないって意味ね
          無線LANの内容を盗聴されても暗号化されてるから、接続端末ローカルネット間のデーターの秘密性は保障っと言うことは
          • by Anonymous Coward
            > VPNトンネルの下位層としてしか無線LANのネットワークを使ってないから、無線LANには入られても、そのさらに内側のローカルネットに入れないって意味ね

            "IPSec+VPN"の"+"の意味が説明できていないけど?

            > 無線LANの内容を盗聴されても暗号化されてるから、接続端末ローカルネット間のデーターの秘密性は保障っと言うことは解って突っ込んでます?

            ネットワーク情報は保護対象ではないとい
            • by Anonymous Coward
              >"IPSec+VPN"の"+"の意味が説明できていないけど?

              あぁ書き方がまずかったかな?"+"を"と"にでも置き換えてください
              同時にVPNだけだと盗聴される恐れがあるので、無線LANに流すパケット事態を暗号化するって事ね

              >ネットワーク情報は保護対象ではないということですかね?
              このネットワーク情報が何を指すのかわかりませんが、VPNの受け口となるサーバーまたはルーターは判明しますね
              でもIPSecで使用している鍵も、VPNの認証パスもわからないのでそこから先には行けないでしょう
              電波を傍受されても、パケットのデーター部は暗号化されてるので問題はないでしょう
              無論、暗号化されたデーターを解析してまで進入すると言うのなら別ですけど?
              暗号強度にあわ
              • by Anonymous Coward
                > 同時にVPNだけだと盗聴される恐れがあるので、無線LANに流すパケット事態を暗号化するって事ね

                なんのためのIPsecなんだか、、、
                ご自分で提示された「例とか [google.co.jp]」はちゃんと確認されましたか?
                #「これ以上私に説明する気力はもう無いので自分でしらべてみてくださいな」はそのままお返しいたします。
              • by Anonymous Coward
                別ACですが
                PPTPやIPoverIPによるVPN(トンネリングVPN)とIPsecを『+』することに反対する理由を是非説明してください.
                ソースだけでもぷり~ず
              • by Anonymous Coward
                > PPTPやIPoverIPによるVPN(トンネリングVPN)とIPsecを『+』することに反対する理由を是非説明してください.

                なぜそうしたいのでしょうか?通信内容を保護した上でVPNを張りたいのであればIPsecで十分ではないですか?
                IPsecでトンネリング [google.co.jp]が出来るのは、もちろんご存知ですよね?

                あと、私は反対したつもりはないですよ。意味は何?と書いただけで。
                #IPsecと
              • by Anonymous Coward
                LANtoLAN接続でサブネットを共有してアドレスフラット化を実現するためにIPoverIPを利用し, 双方のLAN内のPC間のend-end を IPsec で暗号化してセキュリティーを高める.

                だと思ったんですけど, 今回(元ACの方の記述)のケースだと確かに当てはまりませんね.
                失礼しました
      • by Anonymous Coward

        WEPとMACアドレスなんて解析できるし詐称できるから無駄だって来たので

        と、いうことなので、心配になってちょっと調べてみたのですが、よく分からなかったので:-)、もし親切な人がいたら教えてください。

        1. 128bitWEP(たぶん私の持っているブロードバンドルータだとRC4だと思う)において、十分にランダムなWEPキーを設定し、攻撃者
        • by Anonymous Coward
          WEP解読等の関連記事はこのへん

          無線LANに十分なセキュリティをもたらす「802.1x」
          [zdnet.co.jp]

          よんでみると良いかと
          • by Anonymous Coward
            WEP解読等の関連記事はこのへん
            無線LANに十分なセキュリティをもたらす「802.1x」
            よんでみると良いかと
            これはイイ資料ですね。先の質問の答えは、(1)も(2)も十分に現実的な範囲で「簡単に」解析可能なんですね。

            しかしWEP設計した人って…シロートさんだったんでしょうか。いやはや。

        • by Anonymous Coward
          >1. 128bitWEP(たぶん私の持っているブロードバンドルータだとRC4だと思う)において、十分にランダムなWEPキーを設定し、攻撃者が無線LAN機器に物理的にアクセスできないとした場合、現実的なコストのもとでWEPって解析できるんですか?

          ビット長は確立論的に集めなければならない通信パケット量に依存しますが、40bitでは4~5時間程度で解析できます。104bitではどれくらい必要かためしたことはありませんが、40bitのWEPの解析時間を2倍にするには80bit必要だということはオライリージャパン「802.11セキュリティ」 [oreilly.co.jp]で述べられていますね。

          #いい加減アホアホちっくすぎて確認しなかっただけなんですが、
          #104bitでできたよーという人も数人知ってます。

          >2. WEPを設定した場合、使用機器のM

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...