アカウント名:
パスワード:
つーか、作者が組織内の責任ある立場においてネットワーク管理を したことがない、単なるバカガキというこった。
って、あなた作者さん? 特定の会社のために公開をするなという気はありませんが、「危険視するのは間違っています」とか言うような人に公開して欲しくは無いな。 刃物は有用なものですが、キチガイには持たせたくない。 それと一緒で、危険性を認識できない人にはこの手のものは扱って欲しくない。
一般的なVPNソフトというのは「管理者が設置して」使用するものですが、SoftEtherは「ユーザでも(管理者の監視をかいくぐって)設置できる」のですから「特別に危険」というのはあながち偏見とも言えないでしょう。 SoftEtherが「唯一特別に危険なソフト」ではないかもしれませんが。
元々がPolicy Violationを企図したものですし、レイヤ2レベルでダダ漏れさせるという事は、トラフィックに対してPolicyもへったくれも無い(通すか通さないかの二者択一しか無い)のですから、管理する側からすれば危険であるというのは間違い無い。 銃器や刃物のように、危険であっても利用価値のあるものもある訳ですから、「危険=絶対使用不可」では無いでしょうが、危険と承知の上で使うか使わないかを判断すべきですね。
言うに決まってる. Admin 権限があるなら SoftEther じゃなくてもユーザでも(管理者の監視をかいくぐって
「他にもある」=「危険ではない」ですか? みんなで渡れば怖くない?
ただ一つのものが危険性を持っていようと、同じ危険性を持つものがたくさんあろうと、その一つ一つに存在する危険性が減じられる訳ではない。
> ただ一つのものが危険性を持っていようと、同じ危険性を持つものがたくさんあろうと、その一つ一つに存在する危険性が減じられる訳ではない。
SoftEther の危険性じゃなくてユーザが設定できる VPN は危険性がある.って意味ですか? 普通,SortEther の作者に「SoftEther って危険じゃないですか?」って質問すると,従来の VPN ツ
あなたが引用した後の部分に書いてあるでしょ。 管理者が設置するVPNであれば、VPNに入る前に外に出して良いパケット/出してはいけないパケットをフィルタリングして必要最小限のパケットだけをVPNに送出する事ができるけど、レイヤ2レベルで暗号化されてしまうと管理者にとってできることは「通すか」「通さないか」という選択だけになりますね。
>管理者が VPN として使いたいときもコントロールできないってことですか?
>ルータとしてちゃんと設定すれば
管理者以外の一般ユーザが、管理者の目を盗んで設置できてしまうという点
場合によってはWinnyのように厄介者扱いされることにも なりかねないように思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
SoftEtherが危険というのは... (スコア:1, すばらしい洞察)
特別に危険というのは偏見かもしれないのですが、企業組織
などの管理者にやさしい、柔軟に様々なレベルのセキュリティ
ポリシーに適応させることのできる、別の意味での柔軟さが
求められると思います。
場合によってはWinnyのように厄介者扱いされることにも
なりかねないように思います。
「ユーザにAdministrator権限をあたえなければいいだけだ」
というのも、セキュリティはそんなに単純じゃないとか理想
論にすぎないじゃないかと現場の声が聞こえてくるのは空耳
ではないと思うのですが。
Re:SoftEtherが危険というのは... (スコア:3, すばらしい洞察)
>ポリシーに適応させることのできる、別の意味での柔軟さが
>求められると思います。
SoftEtherを使ってることがあえてわかるようなセッションの張り方してもらえないですかねぇ。技術的にそれを隠蔽することが可能ってことはみんなわかってるです。わかるんだけどさ……。
紳士協定みたいなのを汲み取ってほしーなー>作者様。
SoftEtherは優れたソフトだと思います。だから、こんなことで厄介もの(名前だけで使用禁止にされるような)扱いされて欲しくありません。これからも開発を続けて欲しいし、どんどん高機能になっていくのが楽しみです。
ネットワークユーザからもネットワーク管理者からも「扱いやすい」ソフトウェアこそ、大きく広まる有用なソフトと言えるんじゃないでしょうか。
# なんとなくAC
Re:SoftEtherが危険というのは... (スコア:1)
>紳士協定みたいなのを汲み取ってほしーなー>作者様。
発想が根本から違うと思う。
単に、新たな通信手段をユーザに提供しただけで、これが問題になるとすれば、元から大穴が空いていたということ。
ユーザ操作で可能なことは、殆ど、ウィルスやワームで可能なことであり、むしろ、アングラ化、特にウィルス化して氾濫する前に、穴を塞ぐ機会が出来たことを喜ぶべきかと。
-- Buy It When You Found It --
その穴塞いだらどうなるかわかってる? (スコア:0)
Re:その穴塞いだらどうなるかわかってる? (スコア:1)
一言で言えば、社内セキュリティですね。
要は、FWで全部防げると思っていたのが妄想に過ぎないってことで。
社内からの不正アクセスを防止していれば、SoftEtherで繋がった所で、データ漏出は防止出来る訳ですから。(機密セグメント内でSoftEtherを不用心に使うのはただのお馬鹿)
//今まで問題にならなかったのは、実は機密データなんて存在しなかったって事なのかな?
-- Buy It When You Found It --
Re:SoftEtherが危険というのは... (スコア:0)
そこらへんのバランス感覚がないのが非難される所以なのですが、
ないからこそこういうソフトを作れたわけで……
誰かBayesian Filteringとか使ってキラー作ってくれないかな……
Re:SoftEtherが危険というのは... (スコア:2, すばらしい洞察)
SoftEther がソース公開した時点でそこを改変したツールが出回るだけですから。
# ソース公開は実施計画書に明記されていることなので、いずれ実施されるはずです。
次期バージョンの SoftEther に管理ツールをつけて、
同一セグメント上の SoftEther の存在を発見・管理できるようにする、
というアイデアを登さんはもっていらっしゃるようなのですが
それもソースをちょっと改変すればどうにでもなることなので
そういう方向性は何か違う気がしています。
結局は、本質的に Firewall だけでどうにかできる問題じゃない、
というのが動かしがたい真実なのではないのでしょうか。
今までは、たまたま顕在化していなかっただけで、
現在のネットワークの仕組みにずっと存在していた問題でしょう。
SoftEther が特別な手段を講じているわけでは決してありませんし、
第2・第3の同様のツールはすぐに出てきそうです。
対策コストを考えると頭が痛くなりますけどね……。
まずは、Admin 権限がないと実行できないような
不良アプリの撲滅からはじめないといけませんか。
Re:SoftEtherが危険というのは... (スコア:1, すばらしい洞察)
> 結局は、本質的に Firewall だけでどうにかできる問題じゃない、
> というのが動かしがたい真実なのではないのでしょうか。
> 今までは、たまたま顕在化していなかっただけで、
> 現在のネットワークの仕組みにずっと存在していた問題でしょう。
> SoftEther が特別な手段を講じているわけでは決してありませし、
> 第2・第3の同様のツールはすぐに出てきそうです。
上手くかけなくて困っていたところです。実際いくつかのVPN技術
を比較しているのですが、いずれにせよ、
従来のようなLANに対するセキュリティの問題点が
浮き彫りになったように感じられます。
SoftEtherの作者はこれを作った。それ(セキュリティ)を
考えるのはまた別の人、、てところですかね。今までも
そうやってやってきたんだし。
Windows PCを'Public Computer'として管理しないと (スコア:1)
Windowsで動く行儀の悪いソフト達の存在、それを
許してきたWindows使いと開発者の無知と怠慢が問題なのでは
ないでしょうか。
WindowsNT以降、OSとしてはUNIXのようなアクセス権・実行権
などの概念を持ったユーザモデル(こういう言い方でいいんだろうか?)
が組み込まれたにも関わらず、多くのソフトウェア開発者は
アクセス権なんぞお構いなしの旧来のユーザモデルに基づいた
ソフトウェアを作り続けました。
ユーザ=マシン管理者であった牧歌的な時代であればこれで良かったの
でしょうが、今やPCは必ずしも'Personal'なものとは言えません。
むしろ、企業などにおける、守られるべき様々な財産にアクセスできる
PCは'Public Computer'と呼ぶべきでしょう。それにインストール
されるソフトウェアもPCが'Personal'なものであった時代と同じ
ではマズイのではないでしょうか。
願わくは、今回の出来事をきっかけに、もう少し多くのマルチユーザ
環境に考慮したWindowsソフトウェアが作られるようになって欲しいものです。
今回のSoftEther騒動の肝はVPNやレイヤー2がどうこうじゃなくて、
Windows周りのこういういろいろなものの管理不備の問題なんだと
思います。それ以上のものではありません。
権限以前の話 (スコア:0)
> Windowsで動く行儀の悪いソフト達の存在、それを
Windows 3.1の頃のソフトをまだ使ってますが何か?
正しく答えを出してくれるソフトを改修しないといけませんかそうですか。
動作に支障を来したことがないソフトを、別のソフトの言い訳に対応するために改修しないといけませんかそうですか。
Re:権限以前の話 (スコア:1)
SoftEtherはWindows 3.1では動作しませんよ。
脳味噌腐乱中…
Re:権限以前の話 (スコア:1)
そういう管理形態はそもそもまずいんじゃないでしょうか?
ユーザにadmin権限を持たせるってことはそのマシンで出来うる
事はやり放題ってことですから、SoftEtherが存在しなくとも
元々あった穴なのです。例えば、そんなマシンじゃUSBメモリ
などのリムーバブルなメディアでデータ盗み放題ですよね。
ネットワーク使うまでもありません。
もちろん、ACさんの状況がわかりませんから何ともいえませんが。
今回のSoftEtherのように外部のネットワークと
つながれてしまうのが問題なのであれば、そのソフトを
インストールマシンをネットワーク的に制限の厳しいセグメント
に、例えば完全に外部のネットワークとは隔離したセグメントに
配置するとか、別の解を探してもいいのではないでしょうか。
Re:権限以前の話 (スコア:0)
Windows 3.1で使えばいいだけ。
Re:権限以前の話 (スコア:0)
Re:権限以前の話 (スコア:0)
苦肉の策で動かしてるんだろ?仕方なしに。
Re:権限以前の話 (スコア:0)
好きで現場に合わせてるわけではないという事も付け加えておく。
Re:Windows PCを'Public Computer'として管理しないと (スコア:0)
> Windowsで動く行儀の悪いソフト達の存在、それを
あまりWindowsのソフト作者を責めないでやってほしいです。
Windowsでマルチユーザー対応の問題として、INIとレジスト
リの問題が挙げられると思います。レジストリはツールが貧弱
で、運用という観点で利便性はiniの方が上なわけで当分iniは
消えないと思います。
結局のところ、UNIXの~を真似たものがレジストリのC
Re:Windows PCを'Public Computer'として管理しないと (スコア:1)
文脈上気にはしていたのですが触れませんでした。解説どうもです。
(個人的には+1 参考になる、で。)
こうしてみると、マルチユーザの設定保存に関して、
それなりに利点のあったレジストリを推奨
したものの、結果的にレジストリとINIという2種類の設定形態が
できてしまったWindowsよりも、ファイルで保存という単純な
解法で突き進んだUNIXの方が、運用面で見ると正解だったような
気がします。
WindowsがUNIXのようなファイルシステムに頼った手法を選択せずに、
レジストリを選択したのは何か歴史的な理由があるんでしょうか?
ファイルシステムにおけるユーザごとのアクセス制御の概念が
なかった(ですよね?)Windows3.1や95のころの時代にマルチ
ユーザ環境を実現するのに必要だったから?
この辺、常識だったらすいません。
Re:SoftEtherが危険というのは... (スコア:1)
> SoftEther がソース公開した時点でそこを改変したツールが出回るだけですから。
ソースを改変できるくらいの技術があれば他に方法はいくらでもあるので、SoftEtherについて議論することこそ意味ないと思います。それほどの技術を持たない人に限定した議論では、紳士協定も意味を持つことがあるかもしれないと考えましたが、それも
> 第2・第3の同様のツールはすぐに出てきそうです。
という事態になるまでの時間稼ぎでしょうね。初心者にも解りやすいソフトが出てきた時点で後戻りできないことは決まっていたのでしょう。
初心者をいかに思いとどまらせるかという観点で考えれば、
「SoftEtherをネットワーク管理者の許可を得ずに使うことは犯罪です。」(使用許諾違反)
くらい強い文言は公式サイトの良く見える場所にあっても言いと思います。
Re:SoftEtherが危険というのは... (スコア:0)
守らなかった際には何らかの法的手段が取れるよって話ですから。
Re:SoftEtherが危険というのは... (スコア:0)
>不良アプリの撲滅からはじめないといけませんか。
とは言っても、事実SysフォルダにDllをぶち込まなきゃ
動かない有用なソフトも多々ありそうなわけで、
難しいところがあると思います。
有用なオンラインソフトが使えないならば、業務に
支障(というか遅延やら負担)が出るのは必死。
ならば、いっそWin環境と比べてまだ、気
Re:SoftEtherが危険というのは... (スコア:0)
実行ファイルと同じディレクトリでも使えたような覚えがあるんですが
Re:SoftEtherが危険というのは... (スコア:0)
>同一セグメント上の SoftEther の存在を発見・管理できるようにする、
>というアイデアを登さんはもっていらっしゃるようなのですが
そして、その管理ツールは有償であるというビジネスモデル。
しかし、たとえマッチポンプと非難されようと
Re:SoftEtherが危険というのは... (スコア:0)
いち早く、SSL化/HTTP proxy対応してたけど。
Re:SoftEtherが危険というのは... (スコア:0)
#言葉狩りのマイナスモデなら謹んで遠慮しておく。
Re:SoftEtherが危険というのは... (スコア:0)
つーか、作者が組織内の責任ある立場においてネットワーク管理を
したことがない、単なるバカガキというこった。
いずれこのようなソフトは出回ることは判っていても、影響力を
考えた場合は対応策思いつくまで踏み止まるだろうよ、良識ある
管理経験者なら。
管理者しかソフトを作っていけないのか? (スコア:0)
ソフトを作られたことに文句行ってる暇があるなら、抜け穴塞げ。それがネットワーク管理者の仕事だろ?
Re:管理者しかソフトを作っていけないのか? (スコア:1, 興味深い)
私は SoftEther を特定の会社のために公開したり、公開を中止したりすることは絶対にありません。
Re:管理者しかソフトを作っていけないのか? (スコア:1, 興味深い)
って、あなた作者さん?
特定の会社のために公開をするなという気はありませんが、「危険視するのは間違っています」とか言うような人に公開して欲しくは無いな。
刃物は有用なものですが、キチガイには持たせたくない。
それと一緒で、危険性を認識できない人にはこの手のものは扱って欲しくない。
Re:管理者しかソフトを作っていけないのか? (スコア:0)
大概のソフトはそうだけど、公開されてるではないか。
Re:管理者しかソフトを作っていけないのか? (スコア:0)
「直接コネクトできない所を繋ぐ」というのはVPNの一つの側面でしかありません。
VPNには「安全にデータを送る」というセキュリティを守る側面もあります。
危険性の認識のできない人に、どうしてセキュリティを要求されるツールが作れるでしょう
Re:管理者しかソフトを作っていけないのか? (スコア:0)
どうしてセキュリティを要求されるツールの批評ができるのでしょうか?
Re:管理者しかソフトを作っていけないのか? (スコア:0)
> 危険性の認識のできない人に、どうしてセキュリティを要求されるツールが作れるでしょうか?
現在のネットワークを肯定することでしか理解できないんですね。
私は、ネットワークの「本質的な危険性は」それではなく
現在のセキュリティの仕方そのものに在ると思ってます。
Re:管理者しかソフトを作っていけないのか? (スコア:0)
セキュリティ管理にコストが必要なことは皆さんご承知のこと。
それに対して、メリットが少ない(or ない)くせに
管理コストだけ飛躍的に高まるようなゴミは
Re:管理者しかソフトを作っていけないのか? (スコア:0)
それができないなら諦めましょう。
Re:SoftEtherが危険というのは... (スコア:2, すばらしい洞察)
一般的なVPNソフトというのは「管理者が設置して」使用するものですが、SoftEtherは「ユーザでも(管理者の監視をかいくぐって)設置できる」のですから「特別に危険」というのはあながち偏見とも言えないでしょう。
SoftEtherが「唯一特別に危険なソフト」ではないかもしれませんが。
元々がPolicy Violationを企図したものですし、レイヤ2レベルでダダ漏れさせるという事は、トラフィックに対してPolicyもへったくれも無い(通すか通さないかの二者択一しか無い)のですから、管理する側からすれば危険であるというのは間違い無い。
銃器や刃物のように、危険であっても利用価値のあるものもある訳ですから、「危険=絶対使用不可」では無いでしょうが、危険と承知の上で使うか使わないかを判断すべきですね。
Re:SoftEtherが危険というのは... (スコア:1)
やっぱり「危険視するのは間違っています」と言うんだろうか?
Re:SoftEtherが危険というのは... (スコア:0)
> やっぱり「危険視するのは間違っています」と言うんだろうか?
言うに決まってる.
Admin 権限があるなら SoftEther じゃなくてもユーザでも(管理者の監視をかいくぐって
Re:SoftEtherが危険というのは... (スコア:0)
「他にもある」=「危険ではない」ですか?
みんなで渡れば怖くない?
ただ一つのものが危険性を持っていようと、同じ危険性を持つものがたくさんあろうと、その一つ一つに存在する危険性が減じられる訳ではない。
Re:SoftEtherが危険というのは... (スコア:0)
> ただ一つのものが危険性を持っていようと、同じ危険性を持つものがたくさんあろうと、その一つ一つに存在する危険性が減じられる訳ではない。
SoftEther の危険性じゃなくてユーザが設定できる VPN は危険性がある.って意味ですか?
普通,SortEther の作者に「SoftEther って危険じゃないですか?」って質問すると,従来の VPN ツ
Re:SoftEtherが危険というのは... (スコア:0)
??どういう意味ですか?
管理者が VPN として使いたいときもコントロールできないってことですか?
SoftEther 自体は仮想 LAN カードとして振舞うだけなので
ダダ漏れするのはブリッジ接続しているのが問題なのでは?
ルータとしてちゃんと設定すれば、普通に使えると思いますが……
ユーザが勝手にブリッ
Re:SoftEtherが危険というのは... (スコア:0)
あなたが引用した後の部分に書いてあるでしょ。
管理者が設置するVPNであれば、VPNに入る前に外に出して良いパケット/出してはいけないパケットをフィルタリングして必要最小限のパケットだけをVPNに送出する事ができるけど、レイヤ2レベルで暗号化されてしまうと管理者にとってできることは「通すか」「通さないか」という選択だけになりますね。
>管理者が VPN として使いたいときもコントロールできないってことですか?
>ルータとしてちゃんと設定すれば
管理者以外の一般ユーザが、管理者の目を盗んで設置できてしまうという点
Re:SoftEtherが危険というのは... (スコア:0)
会社ごとにポリシーが違うといいつつ、次の一行でPCに一切手を加えてはならないという環境を社畜と断定してしまうのはいかがなものかと。
Re:SoftEtherが危険というのは... (スコア:0)
>会社ごとにポリシーが違うといいつつ、次の一行でPCに一切手を加えてはならないという環境を社畜と断定してしまうのはいかがなものかと。
うーーーん、どこがまずいのか私にわからない。
どう
Re:SoftEtherが危険というのは... (スコア:0)
その文脈でわざわざ出さなければならない言葉ではないでしょ。
言葉が足りないのではなくて言葉が余計なんだよ。
Re:SoftEtherが危険というのは... (スコア:0)
このあたりの論理からして、危険性を否定できないようですが、
どうしてそのような周囲の意見を汲んで、安全なしくみを作らずに
危険性の強引な否定ばかりするのでしょうか?
>元々がPolicy Violationを企図したもので
Re:SoftEtherが危険というのは... (スコア:0)
具体的なアイデアがあったらぜひ知りたいです。
そもそも、現状の Firewall に全部任せよう的な管理方式に
穴があるので、本質的にどうしようもない気がするんですが。
たぶん、管理ツール云々とい
Re:SoftEtherが危険というのは... (スコア:0)
>具体的なアイデアがあったらぜひ知りたいです。
ポリシーのコントロールができることでしょう。
IPsecとかのVPNの実装をみれば、具体的によくわかると思います。
>たぶん、管理ツール云々という作者さんの構想が
>彼なりの「安全なしくみ」へのアプローチだとは思うのですが……
うん、「管理ツール」みた
Re:SoftEtherが危険というのは... (スコア:0)
>そういう彼の努力は評価無しですか?
それは毒を撒いたことに対する義務です。
この世界で生きていくのならば。
># マッチポンプという根拠無き誹謗中傷はおいておくとして
根拠が無いわけでもないし、誹謗中傷なんて行為は存在しない。
Re:SoftEtherが危険というのは... (スコア:0)