パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に」記事へのコメント

  • by Anonymous Coward

    問題ない派
    ・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔
    ・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
    ・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題
    ・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから

    問題ある派
    ・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい
    ・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき
    ・HGWによってはFWを無効にするとき警告が出るものもある
    ・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから

    あなたはどっち派?

    • by Anonymous Coward

      クライアントIPv6アドレスは
      つなげたサイトから丸わかりです。
      IPv6ファイヤーウォールがない場合
      サイトからクライアントの1-65535すべてのポートを叩けます
      そう139や445だって叩けます

      Windowsの場合
      139や445がデフォルトで止められるのはパブリックネットワークのみ
      自宅のルーター下など共有有効になっているネットワーク化では大通しです
      これはWindowsのファイヤーウォールの概念が
      IPv4時代と同じくIPv6でもルーターが守ってくれる前提であるためで
      使用上修正される予定のないセキュリティホールとなっています

      スマホも含めLinux系やMacはそんな設定ではないと思われますので
      Windows OSの悪癖ではないでしょうか?

      • by Anonymous Coward

        > 自宅のルーター下など共有有効になっているネットワーク化では大通しです

        さすがに同一サブネットのみでしょ…と思っていたらどうもそうではないようで真顔になったわ

        • by Anonymous Coward

          これは誤解で、素通しなのはドメインネットワークの方だけで
          通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)

          • by Anonymous Coward on 2020年06月01日 19時46分 (#3825570)

            通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)

            それは IPv4 の話ですね。
            IPv6 はそもそも、ローカルとかグローバルとかを気にせずにLAN内だろうがLAN外だろうが世界中の機器をIPアドレスだけで接続可能にする設計思想で、ローカルサブネットの識別なんてものはないので、ファイアウォールで制限しなければ外の世界からも素通しです。

            知ったかぶりは「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、普通のTCP/IP通信やらWindowsネットワークで使うようなものではありません。

            IPv6を安全に使うには、Windowsネットワークの共有設定等を無効にする(というかできればサービスごと無効にした方が良いけど)か、ファイアウォールで、ローカルとグローバルの境界において、下記ポートの通信をブロックする必要があります。

            137 MS-Windowsネットワーク / 名前解決
            138 MS-Windowsネットワーク / データグラム転送
            139 MS-Windowsネットワーク / ストリームデータ転送

            親コメント
            • by Anonymous Coward on 2020年06月02日 1時07分 (#3825725)

              知ったかぶりはやめてください。
              全部間違ってます。

              親コメント
            • by Anonymous Coward

              RAでもらったprefixでローカルかどうか識別するぐらいしてくれていてもいいかと思ったけど
              DHCPv6のIA_NAだとprefixはないんだっけ?

            • by Anonymous Coward

              Windowsの「パブリックネットワーク」、「プライベートネットワーク」というのは、
              IPv4やIPv6とは独立した、
              Windowsのファイアーウォールのプロファイルを切り替える
              もので、
              単にPCを複数個、LANで繋ぐとパブリックネットワークとして、
              ルータ等で内側と外側を区別するとプライベートネットワークとして、
              Windowsによって勝手に判定され、
              デフォルトで、プライベートネットワークはルータの内側は仲良しで共有フォルダや
              リモートデスクトップ有りで、
              パブリックネットワークはみんな他人でそういうの無し
              というファイアウォールの設定となっている。
              (ただし、パブリックネット

            • by Anonymous Coward

              下記ポートの通信をブロックする必要があります。

              137 MS-Windowsネットワーク / 名前解決
              138 MS-Windowsネットワーク / データグラム転送
              139 MS-Windowsネットワーク / ストリームデータ転送

              構成によってはもっとあんだろってのもあるけど
              Windowsの例では最低限もう一個止めておかないとですよ

              445 Microsoft-DS Active Directory, Windows shares, Microsoft-DS SMB file sharing

              /*
              つづきはうえぶで

                TCPやUDPにおけるポート番号の一覧

            • by Anonymous Coward

              知ったかぶりはやめようね
              NetBIOS(137-139)はIPv6では使われない
              Raw SMB(445)は使われる

            • by Anonymous Coward

              > 「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、
              別物てどういう意味だろう?
              機器同士って?
              例えばWindowsのパソコンでどんなIPアドレスが付いてるか見たことあるんかな。

            • by Anonymous Coward

              こりゃひどい。。。
              色々ひどいが最後のとこだけ。v6はnetbiosやNBTに非対応していません。
              だから137はそもそもLISTENになることがありません。
              netstat叩いたことない人?

開いた括弧は必ず閉じる -- あるプログラマー

処理中...