アカウント名:
パスワード:
問題ない派・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから
問題ある派・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき・HGWによってはFWを無効にするとき警告が出るものもある・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから
あなたはどっち派?
クライアントIPv6アドレスはつなげたサイトから丸わかりです。IPv6ファイヤーウォールがない場合サイトからクライアントの1-65535すべてのポートを叩けますそう139や445だって叩けます
Windowsの場合139や445がデフォルトで止められるのはパブリックネットワークのみ自宅のルーター下など共有有効になっているネットワーク化では大通しですこれはWindowsのファイヤーウォールの概念がIPv4時代と同じくIPv6でもルーターが守ってくれる前提であるためで使用上修正される予定のないセキュリティホールとなっています
スマホも含めLinux系やMacはそんな設定ではないと思われますのでWindows OSの悪癖ではないでしょうか?
> 自宅のルーター下など共有有効になっているネットワーク化では大通しです
さすがに同一サブネットのみでしょ…と思っていたらどうもそうではないようで真顔になったわ
これは誤解で、素通しなのはドメインネットワークの方だけで通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
それは IPv4 の話ですね。IPv6 はそもそも、ローカルとかグローバルとかを気にせずにLAN内だろうがLAN外だろうが世界中の機器をIPアドレスだけで接続可能にする設計思想で、ローカルサブネットの識別なんてものはないので、ファイアウォールで制限しなければ外の世界からも素通しです。
知ったかぶりは「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、普通のTCP/IP通信やらWindowsネットワークで
知ったかぶりはやめてください。全部間違ってます。
RAでもらったprefixでローカルかどうか識別するぐらいしてくれていてもいいかと思ったけどDHCPv6のIA_NAだとprefixはないんだっけ?
Windowsの「パブリックネットワーク」、「プライベートネットワーク」というのは、IPv4やIPv6とは独立した、Windowsのファイアーウォールのプロファイルを切り替えるもので、単にPCを複数個、LANで繋ぐとパブリックネットワークとして、ルータ等で内側と外側を区別するとプライベートネットワークとして、Windowsによって勝手に判定され、デフォルトで、プライベートネットワークはルータの内側は仲良しで共有フォルダやリモートデスクトップ有りで、パブリックネットワークはみんな他人でそういうの無しというファイアウォールの設定となっている。(ただし、パブリックネット
下記ポートの通信をブロックする必要があります。
137 MS-Windowsネットワーク / 名前解決138 MS-Windowsネットワーク / データグラム転送139 MS-Windowsネットワーク / ストリームデータ転送
構成によってはもっとあんだろってのもあるけどWindowsの例では最低限もう一個止めておかないとですよ
445 Microsoft-DS Active Directory, Windows shares, Microsoft-DS SMB file sharing
/*つづきはうえぶで
TCPやUDPにおけるポート番号の一覧
知ったかぶりはやめようねNetBIOS(137-139)はIPv6では使われないRaw SMB(445)は使われる
> 「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、別物てどういう意味だろう?機器同士って?例えばWindowsのパソコンでどんなIPアドレスが付いてるか見たことあるんかな。
こりゃひどい。。。色々ひどいが最後のとこだけ。v6はnetbiosやNBTに非対応していません。だから137はそもそもLISTENになることがありません。netstat叩いたことない人?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
Qiitaのレスバトルまとめ (スコア:5, 参考になる)
問題ない派
・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔
・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題
・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから
問題ある派
・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい
・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき
・HGWによってはFWを無効にするとき警告が出るものもある
・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから
あなたはどっち派?
Re: (スコア:-1)
クライアントIPv6アドレスは
つなげたサイトから丸わかりです。
IPv6ファイヤーウォールがない場合
サイトからクライアントの1-65535すべてのポートを叩けます
そう139や445だって叩けます
Windowsの場合
139や445がデフォルトで止められるのはパブリックネットワークのみ
自宅のルーター下など共有有効になっているネットワーク化では大通しです
これはWindowsのファイヤーウォールの概念が
IPv4時代と同じくIPv6でもルーターが守ってくれる前提であるためで
使用上修正される予定のないセキュリティホールとなっています
スマホも含めLinux系やMacはそんな設定ではないと思われますので
Windows OSの悪癖ではないでしょうか?
Re:Qiitaのレスバトルまとめ (スコア:0)
> 自宅のルーター下など共有有効になっているネットワーク化では大通しです
さすがに同一サブネットのみでしょ…と思っていたらどうもそうではないようで真顔になったわ
Re: (スコア:0)
これは誤解で、素通しなのはドメインネットワークの方だけで
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
IPv6なら素通しなんですが (スコア:0, 参考になる)
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
それは IPv4 の話ですね。
IPv6 はそもそも、ローカルとかグローバルとかを気にせずにLAN内だろうがLAN外だろうが世界中の機器をIPアドレスだけで接続可能にする設計思想で、ローカルサブネットの識別なんてものはないので、ファイアウォールで制限しなければ外の世界からも素通しです。
知ったかぶりは「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、普通のTCP/IP通信やらWindowsネットワークで
Re:IPv6なら素通しなんですが (スコア:1)
知ったかぶりはやめてください。
全部間違ってます。
本当に? (スコア:0)
RAでもらったprefixでローカルかどうか識別するぐらいしてくれていてもいいかと思ったけど
DHCPv6のIA_NAだとprefixはないんだっけ?
Re: (スコア:0)
Windowsの「パブリックネットワーク」、「プライベートネットワーク」というのは、
IPv4やIPv6とは独立した、
Windowsのファイアーウォールのプロファイルを切り替える
もので、
単にPCを複数個、LANで繋ぐとパブリックネットワークとして、
ルータ等で内側と外側を区別するとプライベートネットワークとして、
Windowsによって勝手に判定され、
デフォルトで、プライベートネットワークはルータの内側は仲良しで共有フォルダや
リモートデスクトップ有りで、
パブリックネットワークはみんな他人でそういうの無し
というファイアウォールの設定となっている。
(ただし、パブリックネット
Re: (スコア:0)
下記ポートの通信をブロックする必要があります。
137 MS-Windowsネットワーク / 名前解決
138 MS-Windowsネットワーク / データグラム転送
139 MS-Windowsネットワーク / ストリームデータ転送
構成によってはもっとあんだろってのもあるけど
Windowsの例では最低限もう一個止めておかないとですよ
445 Microsoft-DS Active Directory, Windows shares, Microsoft-DS SMB file sharing
/*
つづきはうえぶで
TCPやUDPにおけるポート番号の一覧
Re: (スコア:0)
知ったかぶりはやめようね
NetBIOS(137-139)はIPv6では使われない
Raw SMB(445)は使われる
Re: (スコア:0)
> 「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、
別物てどういう意味だろう?
機器同士って?
例えばWindowsのパソコンでどんなIPアドレスが付いてるか見たことあるんかな。
Re: (スコア:0)
こりゃひどい。。。
色々ひどいが最後のとこだけ。v6はnetbiosやNBTに非対応していません。
だから137はそもそもLISTENになることがありません。
netstat叩いたことない人?