パスワードを忘れた? アカウント作成

NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に」記事へのコメント

  • by Anonymous Coward on 2020年06月01日 17時16分 (#3825439)

    問題ない派
    ・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔
    ・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
    ・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題
    ・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから

    問題ある派
    ・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい
    ・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき
    ・HGWによってはFWを無効にするとき警告が出るものもある
    ・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから

    あなたはどっち派?

    ここに返信
    • by Anonymous Coward on 2020年06月01日 17時32分 (#3825455)

      > ・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い

      不毛な応酬になるから議論するつもりはないが、感想としては「意味が分からない」。

      • by Anonymous Coward

        激しく同意w
        ひょっとしてギャグで言っているのか、としか言いようがない

      • by Anonymous Coward

        リスクの遭遇頻度に対して、有効のすることで発生する問題がほうが影響がでかいとか?
        速度が大きく下がるとか、接続できないサイトが出てくるとか。

      • by Anonymous Coward

        攻撃者は常にサイコロを振って、
        攻撃するIPアドレスを決めるんじゃない?
        意味が分からないけど、

        • by Anonymous Coward
          これが正解
          ただし10年前イメージな

          #攻撃者(この頃は遊びでやってた牧歌的時代)は適当なIPアドレス範囲をポートスキャンの応答から
          防御の甘そうなところを特定して遊んでたから割り当てが増えれば確率は低くなるって話
          • by Anonymous Coward on 2020年06月01日 20時56分 (#3825606)

            10年前どころか4年前に大流行したMiraiがどうやって感染を広げたのかも知らんのかwww

            iph->daddr = get_random_ip();

            https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c [github.com]

            • by Anonymous Coward
              えっと、
              大元コメのIPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
              ことに対して攻撃者は常にサイコロを振って、(ランダムで選ばれる)からそういう理解でいいんじゃないかな
              ってことなんですが、そんなに変な回答でした?

              10年前イメージとか余計なこと言ったのは申し訳ありませんでした。
              • by Anonymous Coward

                ツリーにぶら下がってる全員に言ってるんだよ

              • by Anonymous Coward

                IPv6(件の話)とIPv4(Miraiがスキャンするのはこっち)じゃなぁ・・・
                それに、スパムメールのようにリンクを踏ませるといった方法もあるし、
                サイコロを振るのに拘る必要があるのか?

              • by Anonymous Coward

                念のために言っておくと、
                IPv4に対し、IPv6で使用可能なアドレス数は10進数で29桁ぐらい多いです。
                そのため、Miraiの取った方法はIPv4では現実的に可能ですが、
                IPv6では現実的ではありません(Miraiの時と比べてスキャンの速度を10^29倍増やせれば別ですが)。

          • by Anonymous Coward

            なにこの恥ずかしい人。

        • by Anonymous Coward

          Webブラウジングはv4だからv6特定出来ないって理屈なのかも。
          まぁv6アクセス発生させれば良いだけなんだが。

    • by Anonymous Coward on 2020年06月02日 0時18分 (#3825708)

      荒れている理由は、著者のtwitterでの態度のせいでしょ。

      https://twitter.com/exp_noto/status/1264297501894471680 [twitter.com]

    • by Anonymous Coward

      10年前なら問題なかった
      10年後なら問題しかなかった

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      問題ない派というよりイマイチ知識が足りなくて論点もおかしい一人が騒いでるだけのように見える

      • by Anonymous Coward

        問題の大きさに見合わないバズり方をすると「言う程の問題じゃないだろ」と逆張りする奴が現れて当事者そっちのけでレスバが始まり収集が付かなくなるパターン

      • by Anonymous Coward

        アニメアイコンで偉そうにしてたら、弄ってみたくなるよな

    • by Anonymous Coward

      問題有る派かな
      初期設定が無効にされているのと存在しないのでは安心感が違う

      最近買ったエレコムの安ルーターはIPv4のFW含めて設定ミスると通信できなくなる項目はすべて排除されていた
      たぶん、社内的に百害あって一利無し的な認識なんでしょう
      初心者は外からアクセスされるということすら理解が及ばないのかも知れない

    • by Anonymous Coward

      そんなに外部からのアクセスが心配ならNATでも置いて分離したら。

      • by Anonymous Coward

        それが簡単にできりゃいいけど、NAT66なんて積んでる一般ルーターって無いんじゃ?
        逸般向けなら有るにはあるが。
        箱物だとCiscoかjuniperとかになるぞ・・・

      • by Anonymous Coward

        NATは大袈裟すぎで、SPI(Stateful Packet Inspection)さえあれば良いとか。。
        ntt.comの記事でした。

      • by Anonymous Coward

        (皮肉で書き込んでんだよ...)

      • by Anonymous Coward

        そもそもipv6はnatをなくしてend-to-endのIP到達性を実現するという
        根源的な原理主義に基づくものだからipv6 natは歓迎されないし推奨もされない。

        • by Anonymous Coward

          その原理主義からするとファイアーウォールはアプリケーション機器側にって事に。
          まあIoTなんか考えると当然なのかもしれないが。

    • by Anonymous Coward

      いまどきのv6は数時間ごとにIPアドレスを自動的に変更するのがふつー。
      なので、外から狙って攻撃しようとしても、次の日にはそのIPアドレスを使ってる機器はいない状態になる。
      もちろん固定する場合もあるけど、固定アドレスが必要な機材は今回の議論の対象ではないだろう。

      さらに外部からのセキュリティというのは本来的にホスト単体でも何とかできるようにすべきものであって、
      別途FWが存在しなければセキュリティを確保できないというのはよろしくない。
      FWは多数のホストをひとつひとつ設定するのはめんどうだし設定漏れやミスがあった場合に怖いので
      一箇所でなんとかできるようになってると便利だよね、ぐらいの発想で使われるべきものであって、
      FWがなければ最低限のセキュリティの確保すらおぼつかないような製品が存在するべきではない。

      • by Anonymous Coward

        >FWがなければ最低限のセキュリティの確保すらおぼつかないような製品が存在するべきではない。
        まあ理想を言えばそうだが、現実的にそうではないのが圧倒的多数なんだからしょうがない。
        ファイアウォールで内側を守るということがスタンダードな思想なんだから。
        しかも、家庭向けのファイアウォールが全く不要なレベルの堅牢な機器を作ることが簡単かどうかを考えてみればいい。
        開発コストも保守コストもどちらも上がりすぎて、どこの電子機器メーカーも不可能だよ。

        でもって、数時間ごとにIPアドレスを変えるから大丈夫なんて免罪符にならない。
        脆弱性を突けば数秒から数十秒でクラックは完了してしまう。

    • by Anonymous Coward

      グローバルなIPv4アドレスを配ってくれるプロバイダもあるのに(OP25Bとかいうのはあるらしいが)、
      なぜIPv6だとFWがないと叩かれるのかわからない一般ユーザーです。
      誰か教えて!

      • by Anonymous Coward

        通常、IPv4のグローバルアドレスは、ルータに配られる。
        ルータより内側(家庭内)はプライベートIPで、外部からは直接アクセスできない。

        今回のIPv6の場合、ルータどころかその内側(プライベートな家庭内の各機器)まで、グローバルIPが割り当てられる。(まぁこれはv6の通常の動作らしいが。)
        そして、ルータにFWが無いならば、当然ながらインターネットからその各機器までアクセスできる。

        まぁ要するに、IPv4の場合、グローバルIPといってもルータまでしか来てないのよ。だからルータがFWになる。(ならざるを得ない。)
        IPv6だとルータの内側まで到達できちゃうので、ルータで明示的にFWを起動させないと、素通しだよー、って話。

        • by Anonymous Coward

          そのIPv4の場合のルーターは、自分で設置したものですよね。
          プロバイダーの提供するのはグローバルIPアドレス1つだから。
          その先は関知しない。

          ...もしかして、そういうプロバイダーが古すぎるってこと?

          • by Anonymous Coward

            プロバイダーからレンタルされて、それ以外認めないパターンが有る。

        • by Anonymous Coward

          うちのIPv6はルーターに配られてますしIPも1個しか貰えないので各機器に割り当てできないし、
          そもそも共用IPなので上流で多くのポートが塞がれてて危険なポートを開けようにも開けたところで通じないのでお手上げですよ。

    • by Anonymous Coward

      IPv6とはユビキタスなので問題ない派。

      あと、フレッツ(ひかり電話契約なし)は「自前でルータを用意するプラン」とか言ってるけど、/64のプレフィックス1個分しかくれないんだからルーター経由にしない運用をしろってことだと思われる。

    • by Anonymous Coward

      pcのファイアウォールが誤不動作することもあるわけで、
      最低限のファイアウォールはルータで設定しておかないと
      いけないと思うな。
      きめ細かい設定はできないので、netbiosとか定番ものがメインかな

    • by Anonymous Coward

      自宅はIPv4のみの環境だけど、ルーターのロク見ると怪しいアクセスを弾いたログが毎分、とまでは行かなくとも数分おきに記録されてるからなあ。
      ファイアウォールなしは怖い

    • by Anonymous Coward

      Kaspersky最強派
      ・カスペのFWがあれば十分

      まあ、俺ならWindows Defender派なのでカスペ入れないけど。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...