パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

街角無線LAN、いよいよ商用化」記事へのコメント

  • 私はAirH" ユーザですが、IPsec やzebedee があるのでM$ &FreeBSD でホドホドに快適な生活してます。

    >不正アクセスや盗聴の対策は大丈夫かな?

    ダメダメでしょう。グローバルIP 持ってる以上、逃げ場ナシです。
    実際32kbps の帯域幅に遠路遥々外国のオッチャンがnimda でアタックしてきます(泣

    現状のISP 各社を見てると安全性、果てはweb やメール 以外を利用する事ってあまり考えてないよおな…

    • Re:簡易VPN (スコア:2, 参考になる)

      ダメダメでしょう。グローバルIP 持ってる以上、逃げ場ナシです。
      実際32kbps の帯域幅に遠路遥々外国のオッチャンがnimda でアタックしてきます(泣


       通常、不正アクセスや盗聴と言った場合、そういう事(IPでアクセスされる)とは違うと思いますが。
       他人のIP/PASSで利用したり、他人の通信内容を傍受する事を指す
      • by f6_6m (6762) on 2001年12月26日 5時32分 (#49883)
        あらら。。
        モデレータにまで意味通じてないようだったので自己リプ失礼。

        AirH" はダイアルアップなので電話端末を特定できるから
        空気中をでむぱがすっ飛んでても平気なのはある種当然ですよね。
        # prin.ne.jp はID prin でpass もprin と公開されてる。
        # …私の場合それを知って買いました。

        確かに私も各大手ISP には期待してませんが(see 私の投稿)
        何らのセキュリティ拡張もなく、そこら辺で売ってる無線LAN カード用のスイッチが
        自宅や会社の外で利用できるといわれても、
        (自分の使ってる無線スイッチ は自由に自分で監視出来ますから)
        便利さは感じません。
        そんなモノ、ネットワーク屋としてはタダでも使えませんね(笑。
        # あなたの仰る「通常」どおりのサービスが開始され、利用するならば
        # 未知の危機に対して自己防衛に励んでください。
        # 厭味ではないです。先行者はどの世界にも必要ですから。

        問題は、その先。
        クライアントからISP のパブリックなスイッチ へのセキュリティは確保したとして
        (というより、最低限ココがなってないと話にならんと思うです…脂)
        接続できた後は自己責任ってのがISP の標準的なポリシですよね。

        逆にISP からクライアント(web から端末)に対するセキュリティを固めれば
        有線・無線を問わず、ビジネスチャンスになると思うのですがねぇ…
        残念ながら私のような下々の耳にはそんな噂さえ入らない。

        FW ナシの高速回線端末にグローバルIP 持たせる事って十分ヤバイ(ISP にとっても諸刃の剣)のに
        現状、ISP 側はそれらに防御策を考えないポリシで運営されていて、
        ソコに期待って出来んの?ということなのですが…。

        …で、「歴史は繰り返す」って続くんでしょうか(笑

        >プロバイダが通信内容覗いて弾く訳にもいかないし

        通信内容以前にフィルタリングさえしてくれないでしょ?
        単にISP がオーバヘッドを削減したい
        商業主義・価格競争に励みすぎて、安全性を無視してるだけだと思うのですが。
        親コメント
        • by nak (5484) on 2001年12月26日 9時54分 (#49902) ホームページ 日記
           うーむ、私などが口を挟む問題ではなかったか?
           まだ理解してないのなら、すまん。

           まず始めに、
          >不正アクセスや盗聴の対策は大丈夫かな?

           に対して、nimdaの話が出ていたので、それは「不正アクセス」とは言えないのでは?とコメントしただけで、街角無線LANを手放しで導入するとは言ってませんよ。
           ここで、サブジェクトにあるVPNに触れてなかったのは私のミスかも知れませんが、、、
           私なら、ほんとにVPN必要な通信内容なら、もう一枚持ってる前モデルのカード(現在停止中)に、AirH"からダイアルアップします(^^; 金かかるけど。

          >プロバイダが通信内容覗いて弾く訳にもいかないし

          通信内容以前にフィルタリングさえしてくれないでしょ?
          単にISP がオーバヘッドを削減したい
          商業主義・価格競争に励みすぎて、安全性を無視してるだけだと思うのですが。

           私は、この辺の問題はまだ早いと思っています。(ので書かなかった)
           確かに、サーバ立てる必要の無い一般ユーザに通信内容丸投げなのは安全性の無視とも言えますが、じゃあ、今のユーザに理解してもらえるのか?
           法的には勝手に制限出来ない以上、まだ早いかなと。
           ユーザの理解を得た上でフィルタリングとか追加するのは歓迎だけど、インターネットの全貌が決定した訳でもない現在、色々とTRY&ERRORになると思うし、まだそこまで(コストも含めて)の理解が出来るユーザは少ないと思います。

           個人的には、まだインターネットは贅沢品だと思いますので、本当のインフラになるには、水道や電気のような法整備が必須だと思います。
           蛇口を捻れば殺菌した水、コンセントには100V、くらいまで単純化されないと、本当のインフラにはならないのかなぁ。
          親コメント
          • by f6_6m (6762) on 2001年12月26日 15時58分 (#49991)
            >うーむ、私などが口を挟む問題ではなかったか?

            そんな事無いです。
            誰もが最初から「龍を倒せる勇者」ではないですし
            ココ/.J は雑談サイトって銘打ってるんだから
            正しい利用法だと思いますよ。

            専用線接続(この場合AirH" も含まれます)がVPN として機能する
            というのは理解できるようですね。

            >私は、この辺の問題はまだ早いと思っています。(ので書かなかった)

            ISP にダイアルアップした際、
            M$ ネットワークで接続できる共有マシンは見えませんよね。
            # 自宅LAN へのダイアルアップならば
            # FW の手前のマシンまでは見えるかと思います。

            i-mode はメールの添付ファイルを削除しちゃいますよね。

            こういったことはISP の都合で強制されたサービスで
            われわれはそれを甘受しているわけです。

            そこまでできるなら、既知のウイルス・ワームなどが来ない
            セキュアなネットワークを提供して欲しいとか
            内容以前にsrc dest が異常・詐称されているパケットぐらい
            フィルタリングして欲しいと思いませんか?
            # 一般ユーザはそういったパケットが飛んできている現実に気づいてないと思うし。

            AirH" の場合は移動VPN として成り立つ素地があるのに
            ワームのせいでDoS アタックの日々。
            外向けサービスはポート変更してますけどね。
            …って私は32kbps の移動オールインワンサーバなのですよ(爆。
            親コメント
            • by nak (5484) on 2001年12月26日 17時24分 (#50011) ホームページ 日記
               なんだか質問ばかりになってますが、、、

              専用線接続(この場合AirH" も含まれます)がVPN として機能する
              というのは理解できるようですね。


               ええと私は、インターネットを使用して仮想的に専用線接続(閉じたネットワーク)を提供するのがVPN [e-words.ne.jp]だと理解しているのですが。
               つまり、専用線接続であればVPNは必要無い、と言う理解なのですが、上記の「VPN として機能する」ってのはどう言う意味なのでしょうか?

              ISP にダイアルアップした際、
              M$ ネットワークで接続できる共有マシンは見えませんよね。


               普通にダイアルアップした場合でも、設定が適当なマシン相手なら、IP打つだけで、共有やプリンタが見えますが、この事とは別の話でしょうか?
               現に、nimdaの攻撃元のIPを、ダイアルアップしたWIN2Kから見に行くと、共有フォルダやらプリンタ、タスクが操作できる場合が多いです。
              (adminのパスワードが未設定だったりする事が条件ですが、nimdaの感染をそのままにしているようなマシンなら、たいていが未設定)

              そこまでできるなら、既知のウイルス・ワームなどが来ない
              セキュアなネットワークを提供して欲しいとか
              内容以前にsrc dest が異常・詐称されているパケットぐらい
              フィルタリングして欲しいと思いませんか?


               欲しいです、欲しいですが、無理な気がします。

               メールのウイルスチェックとか、部分的には出来る(やってる?)でしょうが、すべて既知の物に限られますし、ISPが把握していないサービス、独自に開発されたソフトウェアの動作を勝手に弾かれてしまうのは辛いです。

               また、ワームによるサーバへの攻撃と、Webからのウイルス感染についても、両方対応して欲しいところですが、後者への対応はISPで可能なのでしょうか?
              #それこそ検閲的な作業になるような気がします。

               ただ、単純な詐称など明らかな物が弾けるのであればそれは欲しいかもしれません。(この辺、いまいちイメージが判っていませんが)
              親コメント
              • by f6_6m (6762) on 2001年12月28日 2時43分 (#50388)
                ええと私は、インターネットを使用して仮想的に専用線接続(閉  つまり、専用線接続であればVPNは必要無い、と言う理解なのですが、上記の「VPN として機能する」ってのはどう言う意味なのでしょうか?

                失礼しました。この場合は単にプライベートネットワークですね。
                「接続先に到達するまでの間が安全であろう」という意味でVPN と言いましたが間違いですね。
                無用に混乱させた挙句に、返事遅くてホントに申し訳ないっす。

                 普通にダイアルアップした場合でも、設定が適当なマシン相手なら、IP打つだけで、共有やプリンタが見えますが、この事とは別の話でしょうか?

                私の家や会社では、そういった(「悲劇の相手」から見て攻撃となる)パケットは遮断しているので残念ながら再現できないです(笑。
                そしてその事を常識として持っているので…後は想像してください(爆

                メールのウイルスチェックとか、部分的には出来る(やってる?)でしょうが、すべて既知の物に限られますし、

                そうなりますね。何か不思議ですか?
                例えば、今、私が即興でアセンブラ使ってワーム書いたとして…
                誰も未然には対処できないですよね?…どんなワームかも分からないし。
                でも、無いよりあったほうが幸せかと。

                ISPが把握していないサービス、独自に開発されたソフトウェアの動作を勝手に弾かれてしまうのは辛いです。

                コレは未知のモノですから…メールのウイルスチェックとは…。
                未定義port の話なら別の話だと思います。

                また、ワームによるサーバへの攻撃と、Webからのウイルス感染についても<SNIP>

                前者は正直今の価格競争渦中のISP では厳しいでしょうね。
                技術的にも簡単ではないでしょう。

                後者は受動的攻撃法ってヤツでしょうか?
                いづれにせよ(実装や仕様に不備があるものも含めて)
                本質を狙った攻撃って基本的に防御できませんよ。
                多くは拡張仕様の穴(というか本質)を突いてくるので
                はじめから食らわない人ってのは居るでしょうけど。

                ただ、単純な詐称など明らかな物が弾けるのであればそれは欲しいかもしれません。(この辺、いまいちイメージが判っていませんが)

                いわゆるnat というのをご存知でしょうか?
                アレの場合、無害ですが実際のsrcIP を詐称してますよね。
                ココで私のいう「明らかに」はループバックや、ブロードキャスト、
                自分自身のグローバルIP がsrcIP となっているパケットのことです。
                ポートスキャンツールではこういう迷惑なのを実装してるのが簡単に手に入るので
                結構厄介なのですよ。

                # 私の説明に不備・不足・間違いがあれば再度ご指摘ください。
                # 日々之勉強也。
                親コメント

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...