アカウント名:
パスワード:
問題ない派・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから
問題ある派・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき・HGWによってはFWを無効にするとき警告が出るものもある・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから
あなたはどっち派?
クライアントIPv6アドレスはつなげたサイトから丸わかりです。IPv6ファイヤーウォールがない場合サイトからクライアントの1-65535すべてのポートを叩けますそう139や445だって叩けます
Windowsの場合139や445がデフォルトで止められるのはパブリックネットワークのみ自宅のルーター下など共有有効になっているネットワーク化では大通しですこれはWindowsのファイヤーウォールの概念がIPv4時代と同じくIPv6でもルーターが守ってくれる前提であるためで使用上修正される予定のないセキュリティホールとなっています
スマホも含めLinux系やMacはそんな設定ではないと思われますのでWindows OSの悪癖ではないでしょうか?
> 自宅のルーター下など共有有効になっているネットワーク化では大通しです
さすがに同一サブネットのみでしょ…と思っていたらどうもそうではないようで真顔になったわ
これは誤解で、素通しなのはドメインネットワークの方だけで通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
それは IPv4 の話ですね。IPv6 はそもそも、ローカルとかグローバルとかを気にせずにLAN内だろうがLAN外だろうが世界中の機器をIPアドレスだけで接続可能にする設計思想で、ローカルサブネットの識別なんてものはないので、ファイアウォールで制限しなければ外の世界からも素通しです。
知ったかぶりは「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、普通のTCP/IP通信やらWindowsネットワークで
Windowsの「パブリックネットワーク」、「プライベートネットワーク」というのは、IPv4やIPv6とは独立した、Windowsのファイアーウォールのプロファイルを切り替えるもので、単にPCを複数個、LANで繋ぐとパブリックネットワークとして、ルータ等で内側と外側を区別するとプライベートネットワークとして、Windowsによって勝手に判定され、デフォルトで、プライベートネットワークはルータの内側は仲良しで共有フォルダやリモートデスクトップ有りで、パブリックネットワークはみんな他人でそういうの無しというファイアウォールの設定となっている。(ただし、パブリックネットワークのプロファイルをいじれば(意味ないが)有りにも出来る。)
だから、IPv6だから違くて、IPv4は対象というのは変だと思う。もちろん、プロファイルをいじればお仕舞いのWindowsのFWの他に、物(ぶつ)のルータのFWでブロックするのは良いでしょうけれど、Windowsネットワークの共有設定等の有効/無効は、あまりいじらず、「プライベートネットワーク」(か「ドメインネットワーク」)と判定される様にネットワーク機器を配置すべきでは???
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
Qiitaのレスバトルまとめ (スコア:5, 参考になる)
問題ない派
・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔
・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題
・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから
問題ある派
・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい
・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき
・HGWによってはFWを無効にするとき警告が出るものもある
・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから
あなたはどっち派?
Re: (スコア:-1)
クライアントIPv6アドレスは
つなげたサイトから丸わかりです。
IPv6ファイヤーウォールがない場合
サイトからクライアントの1-65535すべてのポートを叩けます
そう139や445だって叩けます
Windowsの場合
139や445がデフォルトで止められるのはパブリックネットワークのみ
自宅のルーター下など共有有効になっているネットワーク化では大通しです
これはWindowsのファイヤーウォールの概念が
IPv4時代と同じくIPv6でもルーターが守ってくれる前提であるためで
使用上修正される予定のないセキュリティホールとなっています
スマホも含めLinux系やMacはそんな設定ではないと思われますので
Windows OSの悪癖ではないでしょうか?
Re: (スコア:0)
> 自宅のルーター下など共有有効になっているネットワーク化では大通しです
さすがに同一サブネットのみでしょ…と思っていたらどうもそうではないようで真顔になったわ
Re: (スコア:0)
これは誤解で、素通しなのはドメインネットワークの方だけで
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
IPv6なら素通しなんですが (スコア:0, 参考になる)
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
それは IPv4 の話ですね。
IPv6 はそもそも、ローカルとかグローバルとかを気にせずにLAN内だろうがLAN外だろうが世界中の機器をIPアドレスだけで接続可能にする設計思想で、ローカルサブネットの識別なんてものはないので、ファイアウォールで制限しなければ外の世界からも素通しです。
知ったかぶりは「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、普通のTCP/IP通信やらWindowsネットワークで
Re:IPv6なら素通しなんですが (スコア:0)
Windowsの「パブリックネットワーク」、「プライベートネットワーク」というのは、
IPv4やIPv6とは独立した、
Windowsのファイアーウォールのプロファイルを切り替える
もので、
単にPCを複数個、LANで繋ぐとパブリックネットワークとして、
ルータ等で内側と外側を区別するとプライベートネットワークとして、
Windowsによって勝手に判定され、
デフォルトで、プライベートネットワークはルータの内側は仲良しで共有フォルダや
リモートデスクトップ有りで、
パブリックネットワークはみんな他人でそういうの無し
というファイアウォールの設定となっている。
(ただし、パブリックネットワークのプロファイルをいじれば(意味ないが)有りにも出来る。)
だから、IPv6だから違くて、IPv4は対象というのは変だと思う。
もちろん、プロファイルをいじればお仕舞いのWindowsのFWの他に、
物(ぶつ)のルータのFWでブロックするのは良いでしょうけれど、
Windowsネットワークの共有設定等の有効/無効は、あまりいじらず、
「プライベートネットワーク」(か「ドメインネットワーク」)と判定される様に
ネットワーク機器を配置すべきでは???