パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

名古屋港のシステム停止、VPNの脆弱性を突かれたか」記事へのコメント

  • by Anonymous Coward

    ランサムにやられた系のニュースの99割がFortiGateの脆弱性突かれてんだけど何なの
    知らないところでVPN鯖市場を独占でもしてんの?

    • by Anonymous Coward on 2023年07月28日 15時33分 (#4502235)

      しかもやられたニュースの大半が「パッチを当てていなかった」だよね。
      いい加減これでやられる方がどうかと思ってくるわ。

      # 弊社もFortiClient VPNとか使ってるからたぶんこれ。

      親コメント
      • by Anonymous Coward

        ファームの自動更新機能無いのかな?
        デフォルトONで出荷すればいいのに。

        • by Anonymous Coward on 2023年07月28日 15時58分 (#4502261)

          そんな自動障害発生装置のついた機器なんか怖くて使えない。

          親コメント
          • by Anonymous Coward

            更新時刻をずらして多重化すればいいじゃん。

            • by Anonymous Coward on 2023年07月28日 19時15分 (#4502371)

              Fortigate製品を知らない人なんですが、適当に検索した感じたと製品のHigh Availability構成を記事にしてくれてる人がいて、
              https://www.secuavail.com/kb/practical-post/fortigate-high-availability/ [secuavail.com]

              HA構成はWeb情報では同機種同OSバージョンでないといけないとよく書かれるが、公式ドキュメントにはそんなこと別に書かれていない
              みたいなことが書いてあって、OSバージョン多重化のために製品のHA構成を利用していいのかどうか迷うな。

              親コメント
              • by Anonymous Coward

                そりゃ同一機種同一バージョンにするのは「暗黙の了解なので、書かんでもわかるやろ」ってやつ。
                なお、基本的にハードウェアアプライアンスのHA構成は同一機種/異バージョンは"ある程度"考慮されている。(x.y.zのyまでは一緒であればOKとか、xやyが変わる時もzが特定のバージョン以上であればOK 等、じゃないとローリングアップデートができない)
                件のサイトは異機種/同一バージョンなのでサイトにも書いてあるが、ハードウェア構成の違いから予期しない不具合が発生しやすいので、実質使えない。(異機種/異バージョンなんか言わずもがな)
                どうしてもやりたければバーチャルアプライアンスにして、その下のハイパーバイザレイヤで異機種HAにするのが一般的かと。それでもハイパーバイザのバージョンは合わせる必要があるけど。

              • by Anonymous Coward

                オープンなプロトコルで構成すれば、そんな必要ないだろ

              • by Anonymous Coward on 2023年07月29日 11時51分 (#4502630)

                オープンなプロトコル、クローズドな実装なのがネットワーク機器業界でして。
                オープンなプロトコルでも、メーカーの解釈の違いや元からある機能の流用とかするから、
                異メーカーや異機種、異バージョンだと単なる博打になる。で、商売だとそんな博打打てないのよ。

                親コメント
              • by Anonymous Coward

                自分が遭遇した具体例だと、IPSec VPNのトンネルとか、鍵交換の時間とかのパラメータ違い(しかも調整不可)みたいなので、直後は繋がるのに数時間後に切れるみたいな不具合とかね。
                ファームのバージョンアップで互換性が無くなったりするとかも稀に起きる。

                結局ベンダとか機種の世代とか色々揃える羽目に。

          • by Anonymous Coward

            ランサムウェアを食らうのと天秤にかけて、そっちを選ぶのか?
            経営判断がおかし過ぎる。

          • by Anonymous Coward

            Windowsディスってんの?
            # 同感。

            • by Anonymous Coward

              どっちかというとディスってるのはchromeじゃない。
              攻撃防げない奴は「怖くて使えない」なんて言う資格ないけどね。社会の迷惑でしかない。
              自動更新するか機器そのものを使わないの二択だよ。

              • by Anonymous Coward

                なら、そもそも顧客にサービスを提供しない一択だな。廃業廃業!

        • by Anonymous Coward

          ver7.2からできます(まあつい最近のファームバージョンってことです)。
          デフォルト無効だし、お察しくださいませ。
          https://docs.fortinet.com/document/fortigate/7.2.0/new-features/369092... [fortinet.com]

      • by Anonymous Coward

        パッチを当ててないにしても、そんな容易に突破可能な脆弱性があるんだろうか・・
        NVDとかを調べてもそんなに致命的なものは無さそうだし、いったいなぜ・・・

        • by Anonymous Coward

          All-in-oneの機器で、機能がてんこ盛り。
          ゆえに、少しでも更新を怠ると、セキュリティーホールもてんこ盛り。

          • by Anonymous Coward on 2023年07月29日 8時38分 (#4502569)

            マジこれ。
            UTMとしてのIPS以外にルータ機能、普通のFW機能、VPN機能(IPSec/SSL/拠点間トンネル可)、SD-WAN、無線APコントローラー(場合によっては無線LAN AP自体内蔵)、二要素認証トークン管理機能、spamフィルタetc...と色々てんこ盛り。
            中小拠点ならこれ1台で全部済むから便利だけど、その分気を付けないとヤバイし、古くても表面化しにくい。。

            確か、下位の40F位は中身はAtom(今はArmの何かかもしれない)+SSDなPCにLinux入れて、
            パケット処理用にASICかFPGAを組み合わせたような構成だったような。

            親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...