パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SoftEther VPN ユーザーモードルータは善か悪か」記事へのコメント

  • >正直、発想自体は昔からあったものだろう。

    セキュリティーに対する考えで「発想自体は昔からあったものだろう」じゃ駄目なんじゃ?
    どんなデータや信号でも、何かの入れ物に詰めたり暗号化すれば管理者には分かりにくくなるのが現状だから。
    メールのやりとりを監視しようとしたらwebメール使われて管理し難くなるとかと同類の問題なんじゃ?

    ユーザーのやることに制限を加えた
    • >LANの入り口のFWで80番とかだけ開けとけば良いのでは?

      ポート番号はサービスを規定するものではない。
      ただの「入り口番号」に過ぎないよ。
      つまり、お互いに合意さえすれば80でSMTPを使うことも可能。
      (RFCがうんぬんってのはまた別の話)
      • >ポート番号はサービスを規定するものではない。
        >ただの「入り口番号」に過ぎないよ。

        「規定するもの」とは言ってませんけど....
        webサーバーを80番で立てて外からはそのサーバーの80番にだけにアクセス出来る様にするとか、そう言った話だよ。で、ユーザーは外からしかアクセス出来ないようにするとかそう言った話。
        違う番号で立てるか否かの話じゃないです。

        サーバー内にユーザー権限を与えてソフトのインストールとか実行とかの権限を与える危険性の認識が出来ていないから「善か悪か」と言う発想が出てくるような気がする。
        元々危険な状況で、単に『
        • > webサーバーを80番で立てて外からはそのサーバーの80番にだけにアクセス出来る様にするとか、そう言った話だよ。
          > で、ユーザーは外からしかアクセス出来ないようにするとかそう言った話。

          内とか外とか、アクセスって何のことを言ってるのかさっぱりよくわからんのだけど…?
          • >内とか外とか、アクセスって何のことを言ってるのかさっぱりよくわからんのだけど…?

            FWで守られたLANの中が「内」、それ以外が「外」。
            • 最近のトレンドは、エッジで防御するのではなく、内・外を区別せずに大事なものは守るというものだそうですよ。
              社内システムはウェブベース、社内からも社外からも同じようにアクセスで、どちら向きにもしっかり守られている、と。

              あと、こういった問題で、ポリシー策定の際に特定プロダクトや特定の技術(SSL上にL2仮想ネットワークを構築する技術、とか)を名指しでコントロール使用とするのはやはり限界がありますね。

              社内規定やポリシー策定の際には、もっと一般的な表現(暗号化することにより、管理者に内容をわからなくするような通信の禁止、ただし以下を除く……とか)にしとかないと。
              親コメント

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...