アカウント名:
パスワード:
いくらリモートアクセスVPNの需要が増加したっていっても、どんだけ最大100対地のVPN接続とかいっても今時PPTPやL2TPなんか使ってリモートワークやらせてる会社なんてあんの?セキュリティ的にいっても、速度的にいっても、MacからWindowsに至るクライアントの豊富さ的にいっても、OpenVPN一択だろ?
俺はまたASUSのルータみたいにルータ自体がOpenVPNプロトコル対応したんかなと思ったよ。まさか単なるコストダウン品で、いまだに前モデルと同じくPPTP/L2TPサポートのみで「最大100対地のVPN接続」謳ってるとはね…
なに考えてんの? >>>YAMAHAあんたら、そこはセキュリティ的にいってもPPTP/L2TPを排斥する立場じゃないの?中小相手にクソみたいな前時代的商品売りつけるのはそろそろ止めなよ。
なぜにOpenVPN押し? ちょっとググってみたけど、OpenVPNがIPsecより優れているという根拠が、オープンソースだというぐらいしか見当たらない。PPTPはRC4がすでに死んでいるからダメだけど、L2TP/IPsecをディするのはなぜ?
# 本気で分かってないので教えてほしい…
正しく設定すれば、L2TP/IPSecに公開された脆弱性はないと思いますよ(L2TPは暗号とか担当しないただの土管なので、問題があるとすればIPSec)
IPSecは設定ミスると(SSLを有効にするとか)弱いですが、そこは実装レベルの話なので、ヤマハのルーターがどうなってるか次第じゃないですか?
ご存知かもしれないですけど、NSAが市販ソフトのIPSecの実装にバックドアを仕込む活動をしてたとスノーデンが暴露したり、それ以前にもOpenBSDの実装にFBIがバックドアを仕込んだという趣旨のメールが送られてきたり、実装レベルでの疑惑はあります。この辺は英語WIkipedia(https://en.wikipedia.org/wiki/IPsec#Alleged_NSA_interference)に書いてあります。
他にも66%のIPSecは短時間で解読可能という報告が2015年にでてますが(https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf)これは鍵交換に使ってるアルゴリズムの問題(Logjam)が原因なので、結局は実装・設定次第です。報告の例では、鍵交換に割り込んで弱いアルゴリズムを強制することで、交換した情報を盗んだり書き換えたりに成功しています。ちなみにLogjamは、HTTPSやSSHにも通用します。流石に最近のデフォルトではこのアルゴリズムは無効になってますが。
結局、実装を確認できないクローズソースは信頼できないから、ダメってだけなんじゃないですか?だったら、どこの誰がコンパイルしたかわからない、更新され続けるかも不明な、ルータに内蔵されたOpenVPNを信用するのもどうなんだって気はします。それに、L2TP/IPSecだってオープンソースのVPNサーバーとクライアント使って、慎重に設定すれば問題は無い。(と言いつつ、サーバー・クライアントがオープンソースでも、IPSecの処理はOSが担当するのが普通なので、そこで何かあるとまずい。さすがに規格から外れる問題になりそうだから無いと思いたいけど。)
ちなみにOpenVPNはサードパーティのクライアントを入れないといけないので、会社によってはそっちの方が問題になったりしそう。
個人的にはIKEv2使ってます。公開鍵を用意するのがめんどくさいですけど、WindowsもmacOSもデフォルトでサポートしてるので。
# 深夜に書くと、長くなるからダメだね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
YAMAHAも終わりかな (スコア:-1)
いくらリモートアクセスVPNの需要が増加したっていっても、どんだけ最大100対地のVPN接続とかいっても
今時PPTPやL2TPなんか使ってリモートワークやらせてる会社なんてあんの?
セキュリティ的にいっても、速度的にいっても、MacからWindowsに至るクライアントの豊富さ的にいっても、OpenVPN一択だろ?
俺はまたASUSのルータみたいにルータ自体がOpenVPNプロトコル対応したんかなと思ったよ。
まさか単なるコストダウン品で、いまだに前モデルと同じくPPTP/L2TPサポートのみで「最大100対地のVPN接続」謳ってるとはね…
なに考えてんの? >>>YAMAHA
あんたら、そこはセキュリティ的にいってもPPTP/L2TPを排斥する立場じゃないの?
中小相手にクソみたいな前時代的商品売りつけるのはそろそろ止めなよ。
Re: (スコア:0)
なぜにOpenVPN押し? ちょっとググってみたけど、OpenVPNがIPsecより優れているという根拠が、オープンソースだというぐらいしか見当たらない。PPTPはRC4がすでに死んでいるからダメだけど、L2TP/IPsecをディするのはなぜ?
# 本気で分かってないので教えてほしい…
Re:YAMAHAも終わりかな (スコア:1)
正しく設定すれば、L2TP/IPSecに公開された脆弱性はないと思いますよ(L2TPは暗号とか担当しないただの土管なので、問題があるとすればIPSec)
IPSecは設定ミスると(SSLを有効にするとか)弱いですが、そこは実装レベルの話なので、ヤマハのルーターがどうなってるか次第じゃないですか?
ご存知かもしれないですけど、
NSAが市販ソフトのIPSecの実装にバックドアを仕込む活動をしてたとスノーデンが暴露したり、それ以前にもOpenBSDの実装にFBIがバックドアを仕込んだという趣旨のメールが送られてきたり、実装レベルでの疑惑はあります。
この辺は英語WIkipedia(https://en.wikipedia.org/wiki/IPsec#Alleged_NSA_interference)に書いてあります。
他にも66%のIPSecは短時間で解読可能という報告が2015年にでてますが(https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf)これは鍵交換に使ってるアルゴリズムの問題(Logjam)が原因なので、結局は実装・設定次第です。報告の例では、鍵交換に割り込んで弱いアルゴリズムを強制することで、交換した情報を盗んだり書き換えたりに成功しています。
ちなみにLogjamは、HTTPSやSSHにも通用します。流石に最近のデフォルトではこのアルゴリズムは無効になってますが。
結局、実装を確認できないクローズソースは信頼できないから、ダメってだけなんじゃないですか?
だったら、どこの誰がコンパイルしたかわからない、更新され続けるかも不明な、ルータに内蔵されたOpenVPNを信用するのもどうなんだって気はします。
それに、L2TP/IPSecだってオープンソースのVPNサーバーとクライアント使って、慎重に設定すれば問題は無い。
(と言いつつ、サーバー・クライアントがオープンソースでも、IPSecの処理はOSが担当するのが普通なので、そこで何かあるとまずい。さすがに規格から外れる問題になりそうだから無いと思いたいけど。)
ちなみにOpenVPNはサードパーティのクライアントを入れないといけないので、会社によってはそっちの方が問題になったりしそう。
個人的にはIKEv2使ってます。公開鍵を用意するのがめんどくさいですけど、WindowsもmacOSもデフォルトでサポートしてるので。
# 深夜に書くと、長くなるからダメだね