アカウント名:
パスワード:
今でも監視用マシンはユーザーのVPNにアクセスできるわけで、スーパーハッカー(w ががんばれば、自分のIP-VPNから監視用ネットワークを通じて他の人のIP-VPN内に入れるってことでいいの?
# 監視サービスが無い方がセキュアな気がするんだけど
まあ、所詮はVirtual Private Networkなので。それが微塵でも嫌という話ならば本物の専用線を使ってくださいよ、という話です。可能性だけで話せば、IP-VPN収容装置のインターフェイスにバグがあれば、別に監視網経由しなくても直接他のIP-VPNへ接続可能ですね。実際には恐ろしい設定ミスをやらかさない限りにおいては、なかなかそういうことはおきないと思います。
いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。ダークファイバだって、中継スイッチ噛ます場合は共用ですし。
問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を正しく認識していなかったことではないかと思うのですよ。
>いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。>ダークファイバだって、中継スイッチ噛ます場合は共用ですし。
純粋なL1の専用線なら、L2以上のパラメータが違うので繋がらないし、point to multipointの接続は出来ない。また、原理的にどんな脆弱性を突いた攻撃を加えても顧客側回線からタイムスロットの任意の変更はできない。また、中継スイッチを噛ますようなサービスはダークファイバとは呼ばない。
>問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を>正しく認識していなかったことではないかと思うのですよ。
IP-VPNサービスも「他ユーザーとの共用設備が増えることによって増加する脆弱性」を認識しないといけないわけだが。そんな事は構築している事業者側が絶対に無いと言い切っているわけだ。少なくとも顧客側はIP-VPNサービス、および事業者の信頼性を信じて監視サービスを契約したわけで、NTTComの手落ちは業界全体に対する信用失墜行為に等しいと思う。
なんでオフトピされてるかわかんないけど自分の認識が間違ってるんですかね。
今回の問題点は「仮想閉域ネットワークの方式」に依るものではなくて、「閉域であるはずのネットワークに(提供事業者とはいえ)外部の機器を接続している」と言うことが問題じゃないの?監視サービス契約していないユーザにも影響があったってこと??
IP-VPNサービスグレードに準じた外部の監視機器ならば、何も問題は起きなかったと思いますよ。
問題点の洞察が悪いとは言わないけど、上げた例に解釈のミスがあればそれは指摘されるべきでしょう。
>恐ろしい設定ミスをやらかさない限り
専門家任せのお金持ち組織なら気楽に構えていても問題ないでしょうけど、零細が人件費を極限まで絞るために「覚えたての坊や」にゼロから設定をやらせたりすると、どんな勘違いからどんな設定漏れをやらかすか全く予想の斜め上なので、とてもじゃないがリスクが低いとはいえなくなります。
#それって俺か!なので絶対AC
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
そうすると (スコア:0)
今でも監視用マシンはユーザーのVPNにアクセスできるわけで、
スーパーハッカー(w ががんばれば、
自分のIP-VPNから監視用ネットワークを通じて他の人のIP-VPN内に入れるってことでいいの?
# 監視サービスが無い方がセキュアな気がするんだけど
Re:そうすると (スコア:0)
まあ、所詮はVirtual Private Networkなので。それが微塵でも嫌という話ならば本物の専用線を使ってくださいよ、という話です。
可能性だけで話せば、IP-VPN収容装置のインターフェイスにバグがあれば、別に監視網経由しなくても直接他のIP-VPNへ接続可能ですね。
実際には恐ろしい設定ミスをやらかさない限りにおいては、なかなかそういうことはおきないと思います。
Re:そうすると (スコア:3, 興味深い)
いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。
ダークファイバだって、中継スイッチ噛ます場合は共用ですし。
問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を
正しく認識していなかったことではないかと思うのですよ。
認識が間違っていると思います (スコア:1, 興味深い)
>いわゆる「専用線」だって、TDMなら共用サービスなのですけどね。
>ダークファイバだって、中継スイッチ噛ます場合は共用ですし。
純粋なL1の専用線なら、L2以上のパラメータが違うので繋がらないし、point to multipointの接続は出来ない。また、原理的にどんな脆弱性を突いた攻撃を加えても顧客側回線からタイムスロットの任意の変更はできない。
また、中継スイッチを噛ますようなサービスはダークファイバとは呼ばない。
>問題の本質は、事業者も顧客も、「監視サービスを置くことによって増加する脆弱性」を
>正しく認識していなかったことではないかと思うのですよ。
IP-VPNサービスも「他ユーザーとの共用設備が増えることによって増加する脆弱性」を認識しないといけないわけだが。そんな事は構築している事業者側が絶対に無いと言い切っているわけだ。
少なくとも顧客側はIP-VPNサービス、および事業者の信頼性を信じて監視サービスを契約したわけで、NTTComの手落ちは業界全体に対する信用失墜行為に等しいと思う。
Re:認識が間違っていると思います (スコア:3, すばらしい洞察)
なんでオフトピされてるかわかんないけど
自分の認識が間違ってるんですかね。
今回の問題点は
「仮想閉域ネットワークの方式」
に依るものではなくて、
「閉域であるはずのネットワークに(提供事業者とはいえ)外部の機器を接続している」
と言うことが問題じゃないの?
監視サービス契約していないユーザにも影響があったってこと??
Re: (スコア:0)
IP-VPNサービスグレードに準じた外部の監視機器ならば、何も問題は起きなかったと思いますよ。
問題点の洞察が悪いとは言わないけど、上げた例に解釈のミスがあればそれは指摘されるべきでしょう。
Re:そうすると (スコア:2, 興味深い)
ゆえに、専用線を使っていたとしても、同様の監視サービスを使っていれば、同様の結果になったでしょう。
情報漏洩やネットワーク侵入を警戒する会社は、監視サービスのようなトロイの木馬に化けるかもしれないものを引き入れるべきではない、と。
Re: (スコア:0)
>恐ろしい設定ミスをやらかさない限り
専門家任せのお金持ち組織なら気楽に構えていても問題ないでしょうけど、
零細が人件費を極限まで絞るために「覚えたての坊や」にゼロから設定をやらせたりすると、
どんな勘違いからどんな設定漏れをやらかすか全く予想の斜め上なので、
とてもじゃないがリスクが低いとはいえなくなります。
#それって俺か!なので絶対AC