アカウント名:
パスワード:
その昔、某大学で構築したケースでは・・
・無線LANは暗号化しない・プライベートIPがつくが、どこにもルーティングされない・無線の向うにCISCOあたりのVPNコンセントレータを置く・端末がVPN張ると仮想IFにグローバルが付いて、ドコへでも出られる。・VPNのID次第でもらえるアドレスのセグメントが異なる仕掛けもあったような。
こんな仕組みで、無線LAN自体の暗号化をまったく信用していない仕様でした。こんなメンドウな仕組みはそうそう作れないってんなら、あとはなんでもSSL通すしか無いですかね。
無線LAN上でVPNとか使うんじゃダメなの?アクセスポイントに対して内部ネットワークとの間に防壁を用意すればどうでしょうか?
>アクセスポイントに対して内部ネットワークとの間に防壁を用意すればどうでしょうか?
うちではルーター2段でDMZを構築してあるので無線ルーターはそこに繋いであります。つまり社内システムはアクセスできないけど外部へのネット接続は出来る環境にしてます。
無線LANを使いたいのはiPod touchだったりデモ用途だったりするので社内にアクセス出来なくても特に問題ありません。まあ用途次第ですね。
もちろんだからと言って無線LAN設定は色々と見直しつつ運用してます。今回の問題も踏まえてまた見直さねば。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
無線LANは危険だと昔から… (スコア:0)
物理的な接点を持たずにアクセスできる無線ならいつ破られてもおかしくない。
なんてことを大昔から言ってたし、他にもそう言う人はいたのだが…
クリティカルな場所で導入してるケースって未だにあるの?
#家ではセグメント分けてDSだけ使ってるけどさ…
Re:無線LANは危険だと昔から… (スコア:3, 参考になる)
その昔、某大学で構築したケースでは・・
・無線LANは暗号化しない
・プライベートIPがつくが、どこにもルーティングされない
・無線の向うにCISCOあたりのVPNコンセントレータを置く
・端末がVPN張ると仮想IFにグローバルが付いて、ドコへでも出られる。
・VPNのID次第でもらえるアドレスのセグメントが異なる仕掛けもあったような。
こんな仕組みで、無線LAN自体の暗号化をまったく信用していない仕様でした。
こんなメンドウな仕組みはそうそう作れないってんなら、あとはなんでもSSL通すしか無いですかね。
**たこさん**・・・
Re:無線LANは危険だと昔から… (スコア:1, 興味深い)
無線LAN上でVPNとか使うんじゃダメなの?
アクセスポイントに対して内部ネットワークとの間に防壁を用意すればどうでしょうか?
Re: (スコア:0)
SonicWallがまさしくそのコンセプトをWiFiSecという名で実装しています。
Re: (スコア:0)
>アクセスポイントに対して内部ネットワークとの間に防壁を用意すればどうでしょうか?
うちではルーター2段でDMZを構築してあるので無線ルーターはそこに
繋いであります。つまり社内システムはアクセスできないけど外部への
ネット接続は出来る環境にしてます。
無線LANを使いたいのはiPod touchだったりデモ用途だったりするので
社内にアクセス出来なくても特に問題ありません。まあ用途次第ですね。
もちろんだからと言って無線LAN設定は色々と見直しつつ運用してます。
今回の問題も踏まえてまた見直さねば。
Re: (スコア:0)
散々文句言われてますが、ウチは未だに禁止です。
鍵をかけたハブを屋外に晒すような物なので、
わかってください…と説得してます。
理屈では盗聴でデータだけ集めて、遠い未来に解読する手もありますし…。
#セキュリティショーで見かけた、LANシートってのには少し惹かれました。
Re:無線LANは危険だと昔から… (スコア:1, すばらしい洞察)
Re: (スコア:0)
携帯電話は移動体通信ですからピンポイントで傍受し続けるのに無理があるでしょう。
Re: (スコア:0)
ぶっちゃけて言ってしまえば、そちらは管轄外です。
(あくまでネットワーク管理者なので)
社内では構内PHSを使ってますね。その辺どうなってるんだろ。
ただ、こちらはこちらで電波が弱すぎると
苦情が出まくってる有様なので、盗聴するのも一苦労な気がします。
あと、音声とLAN内のデータでは、重要度がかなり違うと思います。
(もちろん会社によるでしょうが)