アカウント名:
パスワード:
>公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。
まさにこの指摘の通りで複合機内部の情報どころかNASやらファイルサーバーやらの情報が抜かれてる可能性の方が高いのでは?FWがないとかそれ以前にそこらの安ルーターでNATかませばポート解放しない限り内部へのアクセスなんてどかにバックドアでもしかけないと難しいのに…。それとも今はNATかましてても簡単に外から内側に入れてしまうのですかね?
いや、この記事を理解するためには、旧帝大のIPアドレス事情を考える必要がある。
つまり、こういう研究室ではIPv4は基本的に余ってるから、普通、研究室ごとに数個のグローバルIPが割り当てられており、下手するとPC1台につき1つずつグローバルアドレスが振ってある。逆に、コピー機は各研究室に一台ずつあるわけじゃなくて、廊下や専用の部屋に置いてあって、各教室が共同で使うものだから、ほぼ確実に1台ごとにグローバルなIPアドレスが振ってあると思う。
隣の研究室のホームページですらグローバル越しにアクセスするんだから、コピー機様をローカルネットワークの中に置けるわけがないんだな。
そのうち便器にもIPを振ったりするんですかね
// これ [srad.jp]を連想した(:>^
> 下手するとPC1台につき1つずつグローバルアドレスが振ってある。
学部あたりグローバル数個とかにして、残りは返してもらおうよ。
v4のアドレスの空きもできるし学校側もコピー機大公開とか気にしなくてよくなるからWin-Winじゃん。
ちょうどいい機会だと思う。
この期に及んで「IPv4アドレス取り上げろ」とか冗談でしょ…「空きもできるし」とか言うけどそれで何日もつと思って?
例え1秒で消費されてしまうとしても、誰かの役には立つだろう。間抜けに与えておいても害悪でしかない。
サーバやfirewallでは、IPアドレスを元に、内部からのアクセスを許可しているものが多いわけです。IPアドレスを返還するには、それらを全て修正することになります。税金で。また、外部の組織へも周知する必要があるでしょう。内部、外部にかかわらず、設定の変更を怠った機関が狙われるかも知れません。
そのやるべき事をやってなかったから漏れたんだろ。どうせこれから再構築しなきゃならん。税金で。
いや、DHCPとかは、IPv4が足りなくなってきてから当たり前になったわけで、それまでは、「ああそんなものもあるけどそれが?」状態だった。工学系でない学部なら猶更そうだった。
IPアドレスってのはもともとマシンごとに振るために設計されているし、大抵のOSだってそう。設定画面やツールはその傾向が顕著で、DHCPで簡単に繋げるようになったのはごく最近のこと。
だから、IPアドレスを返すだの返さないだのは、筋違いな話で、IPv6を全マシンに振ればいいだけの話でしょ。既に固定IPのやつは放っとけよ。
IPv6が実用になるとかホントに思ってるんですか?
空きが出ると、またまたまた嘘つき呼ばわりされるから困るんですね。わかります。
うちも旧帝大だけどその状況は5~10年前くらいに改善しました。グローバルIPアドレスは基本的には全部召し上げられました。必要性と安全対策を説明できれば、申請書を出せば、いくつかは割り当ててもらうことができます。一方で、人手不足だからメールサーバを用意することはできないので各研究室で勝手にしろとか言うんだよな。情報系ならともかく。
大学だし、NATかましてない可能性も...
2年前のコメントhttp://it.srad.jp/comments.pl?sid=521300&cid=1896738 [srad.jp]http://it.srad.jp/comments.pl?sid=521300&cid=1896737 [srad.jp]
こういう問題起きるたびに「グローバルIP」が風評被害を受けてるように見えて悲しくなるね。ファイアウォールで適切に防御されていればグローバルもローカルもセキュリティ面では同等。
裏を返すと、ファイアウォールで適切に防御しないとグローバルIPでの運用はローカルよりも危険。
それはあんたが使っててもいいよ。
ただ、127.0.0.1は俺のだから。
便乗だけど、0.0.0.0は、死守する
この先IPv4アドレスの枯渇でラージスケールNATが採用されて、ISPからもローカルIPアドレスしか振り出されなくなるから、もっと安全になるね!こうですかわかりません><
NATを構築するというだけで自動的にある程度のファイアウォールが強制されるというだけじゃないかな。ソフトウェアでやるにしてもハードウェア挟むにしても、ファイアウォール入れるだけならNATなんかより技術的に楽なはず。大体の家庭やオフィスはグローバルIPを直に使ってないから簡単にできるようなUIなり機器なりがそこまで出来てないだけで、IPv6が普及する頃には当たり前になるだろ。
NATの内側へ直接外からセッションを張るのは無理です。ルータにポートフォワードが設定されてるとか、ルータをジャックしてるとかでないと。内側にトロイを飼ってるとNATだけってのは防護なんて無いも同然になるので、NAT+ポートフィルタ+IPアドレス別通信許可位はしておきたいですね。安物ルータでもこのくらいはできるはず。
そうでもない。NAT Traversal と総称される技術がある。
つまり……、
「ファイルサーバにパスワード設定が必要だとは知らなかった」「NASがネットに繋がっているんですか?」「メーカーは危険性について説明してくれなかった」
……言ってそう。
firewallがあっても、内部の人間からはアクセス出来るわけで、規模がそれなりに大きい所であれば見せるべきでは無い人にも情報が漏れてしまいます。
なのでちゃんとしたパスワード等の設定が大事なのですが、実際にフィールドに来る複合機のエンジニアもその辺りの認識が薄いようで積極的に設定するよう薦めません。(パスワード忘れましたと、呼ばれるのが面倒なのかもしれませんが、、、、)
また、複合機側も利便性のために印刷ジョブを認証の無いwebで確認できるようにしてあったりするのですが、例えジョブタイトル(印刷の場合多くはファイル名)や印刷者アカウントだけでも他に知られては困る場合もあります。機種によっては処理中ジョブだけではなく履歴一覧が参照できたりも。。。。。
ものによってはWeb経由をパスワード保護したところで、SNMP経由でジョブリストがだだもれ。さらにSNMPのコミュニティ名をpublic以外にすると、ドライバインストーラが動かなくなるおまけ付きです。どうしろっていうの。
いや、このタレコミは間違ってると思うよ。
ファイアーウォールがあれば大丈夫ではなくて、ファイアーウォールで設定=ブロックしていたら問題ないとメーカーが言ってるだけなんだよね。実際にはファイアーウォールはあったはず。
ファイアーウォールを抜けて入れる場所に、複合機納入業者が誰でもアクセスできる状態で設置したって言うのが正しいんじゃないか。
そりゃ「誰でもアクセス出来る状態な場所に設置する」なんて事がそもそも想定されてないからね。特にFWの外側に置くなんて完全に想定外でしょ。だから、要件に書いておけばよかったのさ。「FWの外側からでもアクセス出来て、セキュリティーも確保出来るもの」って。
問題があったのは大手4社のうち2社だからね。パスワードとかそんなご大層な設定じゃなくても、サブネットマスクで学部に割り当てられているIP以外を弾けば済む話だろう。
報道を見る限り、4社中の4社がやらかしてるようだけど…。
いや、FWの内側だが通常は開いているサービスで外から見れたってことでしょう。複合機メーカーは大学の特殊な事情を考慮してなかったんでしょう。
今時はNATが普通ですから。
大学側も、まさかサーバー機能をもった複合機を認証無しで勝手に設置されるとは想定外だったのでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
もっとも大事なところが… (スコア:1)
>公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。
まさにこの指摘の通りで複合機内部の情報どころかNASやらファイルサーバーやらの情報が抜かれてる可能性の方が高いのでは?
FWがないとかそれ以前にそこらの安ルーターでNATかませばポート解放しない限り内部へのアクセスなんて
どかにバックドアでもしかけないと難しいのに…。
それとも今はNATかましてても簡単に外から内側に入れてしまうのですかね?
Re:もっとも大事なところが… (スコア:2, 興味深い)
いや、この記事を理解するためには、旧帝大のIPアドレス事情を考える必要がある。
つまり、こういう研究室ではIPv4は基本的に余ってるから、普通、研究室ごとに数個のグローバルIPが割り当てられており、下手するとPC1台につき1つずつグローバルアドレスが振ってある。逆に、コピー機は各研究室に一台ずつあるわけじゃなくて、廊下や専用の部屋に置いてあって、各教室が共同で使うものだから、ほぼ確実に1台ごとにグローバルなIPアドレスが振ってあると思う。
隣の研究室のホームページですらグローバル越しにアクセスするんだから、コピー機様をローカルネットワークの中に置けるわけがないんだな。
Re:もっとも大事なところが… (スコア:1)
そのうち便器にもIPを振ったりするんですかね
// これ [srad.jp]を連想した(:>^
Re: (スコア:0)
> 下手するとPC1台につき1つずつグローバルアドレスが振ってある。
学部あたりグローバル数個とかにして、残りは返してもらおうよ。
v4のアドレスの空きもできるし
学校側もコピー機大公開とか気にしなくてよくなるから
Win-Winじゃん。
ちょうどいい機会だと思う。
Re: (スコア:0)
この期に及んで「IPv4アドレス取り上げろ」とか冗談でしょ…
「空きもできるし」とか言うけどそれで何日もつと思って?
Re: (スコア:0)
例え1秒で消費されてしまうとしても、誰かの役には立つだろう。
間抜けに与えておいても害悪でしかない。
Re: (スコア:0)
サーバやfirewallでは、IPアドレスを元に、内部からのアクセスを許可しているものが多いわけです。
IPアドレスを返還するには、それらを全て修正することになります。税金で。
また、外部の組織へも周知する必要があるでしょう。
内部、外部にかかわらず、設定の変更を怠った機関が狙われるかも知れません。
Re: (スコア:0)
そのやるべき事をやってなかったから漏れたんだろ。
どうせこれから再構築しなきゃならん。税金で。
Re: (スコア:0)
Re: (スコア:0)
いや、DHCPとかは、IPv4が足りなくなってきてから当たり前になったわけで、それまでは、「ああそんなものもあるけどそれが?」状態だった。工学系でない学部なら猶更そうだった。
IPアドレスってのはもともとマシンごとに振るために設計されているし、大抵のOSだってそう。設定画面やツールはその傾向が顕著で、DHCPで簡単に繋げるようになったのはごく最近のこと。
だから、IPアドレスを返すだの返さないだのは、筋違いな話で、IPv6を全マシンに振ればいいだけの話でしょ。既に固定IPのやつは放っとけよ。
Re: (スコア:0)
IPv6が実用になるとかホントに思ってるんですか?
Re: (スコア:0)
空きが出ると、またまたまた嘘つき呼ばわりされるから困るんですね。
わかります。
Re: (スコア:0)
うちも旧帝大だけどその状況は5~10年前くらいに改善しました。
グローバルIPアドレスは基本的には全部召し上げられました。
必要性と安全対策を説明できれば、申請書を出せば、いくつかは割り当ててもらうことができます。
一方で、人手不足だからメールサーバを用意することはできないので各研究室で勝手にしろとか言うんだよな。
情報系ならともかく。
Re: (スコア:0)
大学だし、NATかましてない可能性も...
2年前のコメント
http://it.srad.jp/comments.pl?sid=521300&cid=1896738 [srad.jp]
http://it.srad.jp/comments.pl?sid=521300&cid=1896737 [srad.jp]
Re: (スコア:0)
こういう問題起きるたびに「グローバルIP」が風評被害を受けてるように見えて悲しくなるね。
ファイアウォールで適切に防御されていればグローバルもローカルもセキュリティ面では同等。
Re: (スコア:0)
裏を返すと、ファイアウォールで適切に防御しないと
グローバルIPでの運用はローカルよりも危険。
Re: (スコア:0)
ローカルなアドレスをそのままグローバルに使っちゃって、「192.168.0.1 と 192.168.0.2 は、わたしが使っている IP アドレスですので勝手に使わないでください。」という問題に発展するんですね。
怖い怖い
Re:もっとも大事なところが… (スコア:1)
それはあんたが使っててもいいよ。
ただ、127.0.0.1は俺のだから。
Re: (スコア:0)
便乗だけど、0.0.0.0は、死守する
Re: (スコア:0)
この先IPv4アドレスの枯渇でラージスケールNATが採用されて、ISPからもローカルIPアドレスしか振り出されなくなるから、もっと安全になるね!
こうですかわかりません><
Re: (スコア:0)
NATを構築するというだけで自動的にある程度のファイアウォールが強制されるというだけじゃないかな。
ソフトウェアでやるにしてもハードウェア挟むにしても、ファイアウォール入れるだけならNATなんかより技術的に楽なはず。
大体の家庭やオフィスはグローバルIPを直に使ってないから簡単にできるようなUIなり機器なりがそこまで出来てないだけで、IPv6が普及する頃には当たり前になるだろ。
Re: (スコア:0)
NATの内側へ直接外からセッションを張るのは無理です。
ルータにポートフォワードが設定されてるとか、ルータをジャックしてるとかでないと。
内側にトロイを飼ってるとNATだけってのは防護なんて無いも同然になるので、
NAT+ポートフィルタ+IPアドレス別通信許可位はしておきたいですね。
安物ルータでもこのくらいはできるはず。
Re: (スコア:0)
そうでもない。NAT Traversal と総称される技術がある。
Re: (スコア:0)
つまり……、
「ファイルサーバにパスワード設定が必要だとは知らなかった」
「NASがネットに繋がっているんですか?」
「メーカーは危険性について説明してくれなかった」
……言ってそう。
Re: (スコア:0)
firewallがあっても、内部の人間からはアクセス出来るわけで、規模がそれなりに大きい所であれば
見せるべきでは無い人にも情報が漏れてしまいます。
なのでちゃんとしたパスワード等の設定が大事なのですが、実際にフィールドに来る複合機の
エンジニアもその辺りの認識が薄いようで積極的に設定するよう薦めません。
(パスワード忘れましたと、呼ばれるのが面倒なのかもしれませんが、、、、)
また、複合機側も利便性のために印刷ジョブを認証の無いwebで確認できるようにしてあったりするのですが、
例えジョブタイトル(印刷の場合多くはファイル名)や印刷者アカウントだけでも他に知られては困る場合もあります。
機種によっては処理中ジョブだけではなく履歴一覧が参照できたりも。。。。。
Re: (スコア:0)
ものによってはWeb経由をパスワード保護したところで、SNMP経由でジョブリストがだだもれ。さらにSNMPのコミュニティ名をpublic以外にすると、ドライバインストーラが動かなくなるおまけ付きです。どうしろっていうの。
Re: (スコア:0)
いや、このタレコミは間違ってると思うよ。
ファイアーウォールがあれば大丈夫ではなくて、ファイアーウォールで設定=ブロックしていたら問題ないとメーカーが言ってるだけなんだよね。
実際にはファイアーウォールはあったはず。
ファイアーウォールを抜けて入れる場所に、複合機納入業者が誰でもアクセスできる状態で設置したって言うのが正しいんじゃないか。
Re: (スコア:0)
そりゃ「誰でもアクセス出来る状態な場所に設置する」なんて事がそもそも想定されてないからね。
特にFWの外側に置くなんて完全に想定外でしょ。
だから、要件に書いておけばよかったのさ。
「FWの外側からでもアクセス出来て、セキュリティーも確保出来るもの」って。
Re: (スコア:0)
問題があったのは大手4社のうち2社だからね。パスワードとかそんなご大層な設定じゃなくても、サブネットマスクで学部に割り当てられているIP以外を弾けば済む話だろう。
Re: (スコア:0)
報道を見る限り、4社中の4社がやらかしてるようだけど…。
Re: (スコア:0)
いや、FWの内側だが通常は開いているサービスで外から見れたってことでしょう。
複合機メーカーは大学の特殊な事情を考慮してなかったんでしょう。
今時はNATが普通ですから。
大学側も、まさかサーバー機能をもった複合機を認証無しで勝手に設置されるとは想定外だったのでは?