パスワードを忘れた? アカウント作成
9390 story

SoftEther VPN ユーザーモードルータは善か悪か 116

ストーリー by wakatono
いいもわるいも使用者次第? 部門より

Anonymous Coward 曰く、 "12月24日に、"SoftEther VPN User-mode Router 2.0"が公開された。 使ってみたところ、どんな PC でも仮想ネットワークと物理的なネットワークとの間でパケットを交換する NAT として動作させることができるようである。しかも、プログラム本体に仮想 TCP/IP スタックが組み込んであり、Transparent Proxy のような動作をさせるのに、管理者権限が一切不要。すべてユーザーモードで動くようだ。"

"サーバープロセスを一般ユーザー権限で動かすことは、セキュリティ上理にかなっているという意見が一般的だが、このソフトに限っても本当にそうだろうか。たとえば、社内 LAN とか、その他極端に言えば量販店の展示用 PC などのこのソフトをこっそり入れて、インターネット上にある VPN サーバーに常時接続するように設定しておけば、攻撃者はいつでもその PC を踏み台にして社内 LAN やインターネットにアクセスすることができる。 果たしてこのソフトはセキュリティの向上にとって善か悪か。"

正直、発想自体は昔からあったものだろう。しかし、それをつきつめて、しかもUI的にはユーザからの見え方を極力わかりやすくしたというのが、SoftEtherおよびその周辺のツール群だという理解をしている。今回のUser-Mode Routerも同様だ 。しかしながら、「何もしらない人」が「軽い気持ちで」インストールしたり使った場合のしっぺ返しも充分予想できるものであり、それらについてはきちんと解説もされている。しかし、それでも1年前の公開停止の時のように、過敏に反応する(公開停止を求めようとする)人もいるのではないか。このテのモノって、立場によって善悪が変わるものなので、二面性はあってしかるべきものだと個人的には思うのだが、これを読んでるみなさんはどう思うだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by fukapon (4131) on 2004年12月25日 2時18分 (#670212) ホームページ

     ないでしょ。 そんなのは使う人次第。

     とまずはお約束のつっこみ。 ここがわかっていないと、セキュリティは語れない...?

    • キチガイに刃物 (スコア:2, すばらしい洞察)

      by j3259 (7093) on 2004年12月25日 4時22分 (#670230) ホームページ 日記
      テロリストにプルトニウム、というように、刃物やプルトニウムそのものに善も悪もなくても、潜在的な危険性があるものを 無責任な使用者が悪用できる状態にすることには良し悪しがあるんじゃないでしょうか。

      使う人次第っていうのは結局管理責任を放棄してるか、使用者の倫理観(善悪の判断)に委ねているわけですよね?で、倫理の出発点ってのは文化によって葬儀の方法が違うように善悪ってのは相対的って所から始まってるわけです。火葬を当然と思う人もいれば、とんでもないと思う人もいるわけで。鳥葬というのもありますね。

      じゃあ、法で最低ラインを引くかって事になるんですけど、 日本で鳥葬やったら死体損壊罪らしいですね。 法の意識が低かったり、法を強制するのが難しかったりする国があれば、インターネット上ではシステム全体が脆弱になりますね。 ロシアとか中国経由でスパム [cnet.com]が入ってきてるのが良い例だと思います。あと、著作権に関する意識の違いとか。

      結局技術的に(規格とコードで)制限を加えるしか方法はない気がします。ただ、それをやってくと検閲にもなりかねないから難しいところ。

      親コメント
      • by Anonymous Coward on 2004年12月25日 5時49分 (#670242)
        キチガイですか?刃物ですか?
        親コメント
      • by Filler (16734) on 2004年12月25日 11時15分 (#670323) 日記
        管理責任がシステム屋にあることを自明として考える理由を教えてもらえませんか?
        会社のシステムに限って言えば、社内ネットワークの外部からSoftetherを仕込まれた場合ならばシステム屋に管理責任が発生することには異議は無いのですが、社内の人間がSoftetherを動かして問題が発生した場合は、その社員とそれを許可した上司の責任なのでは無いでしょうか?
        #コンピュータが絡めば何でもシステム屋の責任にする社員にもコンピュータが絡めば何でも
        #自分の権限にしたがるシステム部門にもうんざり。
        親コメント
    • by Anonymous Coward on 2004年12月25日 11時03分 (#670312)
       今更この流れを止めようにも手遅れなわけで。

       結果、社員に好き勝手やられてしまうWindowsから逃げ出す企業が増え……たら笑えるな
      親コメント
    • by Anonymous Coward
      え~、でも親記事にもあるけど、量販店とかでネットワーク構築するときなんか、危険が増しそうな気はしますよぅ。
      ぶっちゃけ「何をしでかすかわからない」不特定多数を相手にしなくては行けないときには、何らかの形で「使い方を規制する」ことが必要だと思うです。
  • by Anonymous Coward on 2004年12月25日 2時49分 (#670217)
    ユーザーモードで動作するからといって、Admin権限無しで導入・運用可能にする理由にはならないと思う。

    >Administrators 権限を持っていれば、システム サービスとして登録することもできます

    通常の用途ではこの方法で必要十分だと思います。
  • by Anonymous Coward on 2004年12月25日 3時40分 (#670223)
    今年の新入生の大半がWinnyやWinMXでファイルを共有することは悪いことだけど、ばれなければ大丈夫だから、みんなでCDをコピーして共有していると言う。さらに、捕まることは無いと信じている。
    やって良いこと、やってはいけないことの区別が付かないユーザが増加している状況の一端なのだが、SoftEtherについても同じことが言えないだろうか?
    とりあえず、うちのネットワークは監視設定しておきますか・・・使わなくても良いものにマシンパワーとマンパワーを奪われていく気がする。
    • そういう新入生を、しっかりし教育して
      送り出すのが貴方の大学の役目です。
      大学の役割を忘れないでください。
      大学生は人間としては半人前です。
      未完成品だから大学に来るのです。
      そうでなければ社会に巣立っていますから。
      親コメント
      • by Anonymous Coward on 2004年12月25日 6時10分 (#670244)
        そんなの大学に入る前に教育されてるべきだろうに。

        「捕まらなければ万引きしていい」と同じだよ。

        それ以前の、小中学校で教育されているべきレベル。

        そんな程度のことまで大学にさせようとするんじゃないよ。
        親コメント
        • こういう基本は2~3歳に家庭や地域社会でしつけがなされるもの。
          親や大人のやることみて子供がこうなっているんじゃないの?
          大学どころか小中学校にやらせることでもない。
          (もちろん学校の先生が手本になれない状態というのはだめだけど)
          親コメント
        • 今はこれだけ知的財産がどうとかいわれてるから、今の小中学生はそういう教育をされるだろうけど、今の大学生が小中学生のころには、知的財産権に関する教育ってほとんどなかったと思う。

          将来的には、#670244 のいうとおりだけど、実際問題、あと数年は大学でも教育しないといけないのでは。

          # そういう点では、大学生だけでなく社会人向けの講習も必要か…
          親コメント
        • 大学として品質を保証したものを世に送り出して
          欲しいということですよ。
          その程度のことを天下の大学にさせるなと言うのなら、
          そんな輩は試験で落としてください。
          親コメント
  • やれやれだぜ (スコア:1, フレームのもと)

    by Anonymous Coward on 2004年12月25日 5時17分 (#670238)
    おまえらみたいな
    「ちょっとコンピュータに詳しいだけで偉くなった気になってるやつ」
    が見てて哀れになるんだが。
    人それぞれに得意分野があんだろ?おまえらは万能なのか?
    「素人がSoftEtherなんか使ってんじゃねーよ」と
    「素人が野球でバット使ってんじゃねーよ」は同レベルなんだよ。
    まぁおまえら自称エンジニアはそれを認めたくないんだろうがな。
    おまえらが一般人に嫌われる理由をよく考えろ。
    もしくは嫌われているという事実に気づけ。
    なお、これに対する返答は一切不要。
    そう書いても必死に反論するのは目に見えてるんだがな。
    • by yasudas (5610) on 2004年12月25日 5時25分 (#670239) 日記
      >「素人が野球でバット使ってんじゃねーよ」は同レベルなんだよ。

      手でゴムまりを打つ三角ベースが懐かしいな。

      >おまえらが一般人に嫌われる理由をよく考えろ。

      今回の場合は、木製バットが金属バットにかわった様な問題だな。

      # わかりやすくするには、金属粉砕バットだな、この場合
      親コメント
    • Re:やれやれだぜ (スコア:1, 参考になる)

      by Anonymous Coward on 2004年12月25日 5時45分 (#670241)
      部分的には賛同するけど、釣られないぞいいつつつられてみます。

      結局この手の議論をSlashdotでするのは不毛じゃないのかなぁ。
      ここのターゲットは管理者よりな人ばっかりなわけだし、
      管理者としては、この手の技術は広めたくないわけだし、
      どうしても、規制とか制限な方向へ話題はいく傾向にあると思うかな。
      かといって議論する価値が全くないとは言わないけど、結局出てくる答えは、過去の議論で議論しつくした答えになってる気がする。

      SoftEtherに限らずSSHとかでも十分Socks串とかで使える方法はあるわけで、
      簡単になることはいいんじゃないかなと素直に思ってしまう今日この頃。

      登氏を援護するわけじゃないけども、
      Block系とかAlert系のソフトを自ら公開するVPNソフトは聞いたことがないし、
      このあたりは気を遣ってる様子は受け取れるので、制作サイドの努力は評価すべきだと思いますよ。

      かといって、社内でHTTPSなどの上にSSHでセッション飛ばしてSoftEtherやられると困るわけだけど…(苦笑

      # 逃げ道は意外と多いと思う今日この頃…
      親コメント
      • Re:やれやれだぜ (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2004年12月25日 12時50分 (#670364)
        >> ここのターゲットは管理者よりな人ばっかりなわけだし、
        >> 管理者としては、この手の技術は広めたくないわけだし、
        >> どうしても、規制とか制限な方向へ話題はいく傾向にあると思うかな。

        御意。スラドの典型的な反応としては、P2P規制については「P2P自体が悪いわけじゃない!」と言うくせに、SoftEtherについては「管理者が管理できないので邪悪だ」と言う感じですよね。このソフトの存在が悪なんだとしたら、47氏なんて真っ黒の有罪だと思いますけど。;-p

        個人的には「ウザいなぁ」とは思うけど、他の方も書いているように、こういう流れは止められないものだと思います。思えば数年前、P2Pとか掲示板情報とかで数百MBの中身を転送してる若者を見て(法律上の問題はさておき)それだけのデータをInternet経由で平然と転送するという感覚にビックリして、ジェネレーションギャップを痛感しました。今回の件も、「管理者の管理下に無い仮想ネットワーク=悪」と決め付けてるタイプの人は、(CCCDを導入してた企業や、プロ野球のオーナー連中と同じで)感性が世間の流れについていけていないという可能性を自問するべきじゃないでしょうかね?
        親コメント
        • by ken-1 (4041) on 2004年12月25日 15時36分 (#670438)
          > 御意。スラドの典型的な反応としては、P2P規制については「P2P自体が悪いわけじゃない!」と言うくせに、SoftEtherについては「管理者が管理できないので邪悪だ」と言う感じですよね。このソフトの存在が悪なんだとしたら、47氏なんて真っ黒の有罪だと思いますけど。;-p

          従来のP2Pの場合は、特定のプロトコルと特定のソフトウェア内に
          隔離された環境の話だったので、管理者にとっては比較的容認し
          やすかったんだと思う。
          # むろん、今後特定の○○に依存しないソフトウェアが出るかも
          # しれないし、キンタマみたいな例もあるけど。

          逆に、SoftEtherに対して懐疑的な態度をとることを批判する人は、
          spamメイルなんかについても、野放しにすべきだと考えているん
          だろうか。

          あと、気になったのはここ。

          > 「管理者の管理下に無い仮想ネットワーク=悪」と決め付けてる

          実際のところ、「管理者の管理下に無い仮想ネットワーク」に
          ついて語っている人はいなくて、「システムを管理者の管理下に
          置けなくするようなソフトウェアを野放図に世に放つことに
          対する社会的責任」を問うている人がほとんどではないだろうか。

          やってはいけないわけではないことをするのは、自由主義の社会
          では原則的には自由なんだろうけど、それによって社会が受ける
          利益と損失について、SoftEtherの開発者はどの程度深く考えて
          いるの? というのがいまひとつ見えてこないので、無責任ぽく
          映ってしまうんだと思う。

          > こういう流れは止められない

          これは同意。
          技術的なことはよく知らないけど、SoftEtherを使うとパケットを
          1つづつチェックするほかに使用を抑制する手段がなさげなので、
          パンドラの箱っぽい気もするけど、あけちゃったものはしょうが
          ない。
          親コメント
    • by nobnobnob (24077) on 2004年12月25日 10時00分 (#670293) 日記
      一般人だと思っているのか?

      ここのサイトを知っているというだけでもう一般人ではないと思うが。
      親コメント
    • ×「素人が野球でバット使ってんじゃねーよ」
      ○「素人が大型トラック運転してんじゃねーよ」
      親コメント
  • by saitoh (10803) on 2004年12月25日 12時04分 (#670342)
    UNIX/Linux系のOSだと、この手の処理はroot権限がないとできないように思う。Windowsの権限管理モデルってどうなってるの?識者の解説を求む。
    • Re:なぜできる? (スコア:2, 参考になる)

      by Oiwa (6627) on 2004年12月25日 13時46分 (#670392) ホームページ
      うーん、これって技術的には slirp [sourceforge.net] と同じじゃないかなぁ。

      要するに、IP パケットレベルで NAT変換→パケット送出するには管理者権限がいるけど、TCP レベルまで解釈して通常の通信 API (connect, read, write, close, ...) に*翻訳*すれば通常のユーザ権限だけで中継できるという話ではないかと。

      # そういえば1995年頃は某所で slirp をよく使っていたなぁ...

      QEMU [bellard.org]なんかでも同じ技術を [bellard.free.fr] 使っている [dion.ne.jp]ようです。

      # この関係で後輩から突然 slirp とかいう名前を9年ぶりに聞いてびっくりしました。
      親コメント
  • by G7 (3009) on 2004年12月25日 13時14分 (#670381)
    >サーバープロセスを一般ユーザー権限で動かすことは、セキュリティ上理にかなっているという意見が一般的だが、このソフトに限っても本当にそうだろうか。

    その「一般的」な話がターゲットとしてるのは、
    計算機(とその中のユーザ)が何らかの攻撃に対しての被害者になるケース
    …ですよね?

    一方今回懸念されるのは、ユーザが加害者になるケースなわけで。

    つまり、見る方向が完全に逆だから、
    「理にかなってる」かどうかも逆転してるんでわ。

    #素人なのでG7
  • by Anonymous Coward on 2004年12月26日 7時44分 (#670699)
    SoftEtherをウイルスとして判断するパターン定義ファイルが
    希望する顧客に配布されるようになってしまいそうな気もするな
  • by Anonymous Coward on 2004年12月25日 3時12分 (#670220)
    鉄人28号とはまたレトロなネタだなぁ
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...