NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に 107
ストーリー by hylom
エンドツーエンドでセキュリティが必要に 部門より
エンドツーエンドでセキュリティが必要に 部門より
ソニーネットワークコミュニケーションズの光インターネット接続回線サービス「NURO光」で提供されているホームゲートウェイにはIPv6でのファイアウォール機能が設定されていないという話がQiitaで取り上げられている。NURO光のホームゲートウェイをデフォルトで利用している場合、利用者には複数のIPv6アドレスが提供され、家庭内で利用する各機器にグローバルIPv6アドレスが割り当てられ、さらにそれらに対し直接インターネットからのアクセスが可能になっているという。
また、NTT東西のフレッツ光でもLAN内でIPv6アドレスが割り当てられた機器に対し、フレッツのIPv6網内から直接アクセスできるという話がある(Qiitaの別記事)。こちらはフレッツ・v6オプションの仕様となっており、意図的なものとなっている。
Qiitaのレスバトルまとめ (スコア:5, 参考になる)
問題ない派
・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔
・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題
・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから
問題ある派
・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい
・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき
・HGWによってはFWを無効にするとき警告が出るものもある
・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから
あなたはどっち派?
Re:Qiitaのレスバトルまとめ (スコア:3, すばらしい洞察)
> ・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
不毛な応酬になるから議論するつもりはないが、感想としては「意味が分からない」。
Re: (スコア:0)
激しく同意w
ひょっとしてギャグで言っているのか、としか言いようがない
Re: (スコア:0)
リスクの遭遇頻度に対して、有効のすることで発生する問題がほうが影響がでかいとか?
速度が大きく下がるとか、接続できないサイトが出てくるとか。
Re: (スコア:0)
攻撃者は常にサイコロを振って、
攻撃するIPアドレスを決めるんじゃない?
意味が分からないけど、
Re:Qiitaのレスバトルまとめ (スコア:1)
10年前どころか4年前に大流行したMiraiがどうやって感染を広げたのかも知らんのかwww
https://github.com/jgamblin/Mirai-Source-Code/blob/master/mirai/bot/scanner.c [github.com]
著者のtwitter (スコア:1)
荒れている理由は、著者のtwitterでの態度のせいでしょ。
https://twitter.com/exp_noto/status/1264297501894471680 [twitter.com]
Re:Ver.Ka (スコア:0)
10年前なら問題なかった
10年後なら問題しかなかった
Re: (スコア:0, フレームのもと)
問題ない派というよりイマイチ知識が足りなくて論点もおかしい一人が騒いでるだけのように見える
Re: (スコア:0)
問題の大きさに見合わないバズり方をすると「言う程の問題じゃないだろ」と逆張りする奴が現れて当事者そっちのけでレスバが始まり収集が付かなくなるパターン
Re: (スコア:0)
アニメアイコンで偉そうにしてたら、弄ってみたくなるよな
Re: (スコア:0)
問題有る派かな
初期設定が無効にされているのと存在しないのでは安心感が違う
最近買ったエレコムの安ルーターはIPv4のFW含めて設定ミスると通信できなくなる項目はすべて排除されていた
たぶん、社内的に百害あって一利無し的な認識なんでしょう
初心者は外からアクセスされるということすら理解が及ばないのかも知れない
Re:Qiitaのレスバトルまとめ (スコア:1)
初期deny allな設定のルーターとか時々あるなぁ。
# NEC系のやつがそんな感じだった気がする。
# 今のAtermがそうなってるかは知らんけど。
Re: (スコア:0)
そんなに外部からのアクセスが心配ならNATでも置いて分離したら。
Re: (スコア:0)
それが簡単にできりゃいいけど、NAT66なんて積んでる一般ルーターって無いんじゃ?
逸般向けなら有るにはあるが。
箱物だとCiscoかjuniperとかになるぞ・・・
Re: (スコア:0)
いまどきのv6は数時間ごとにIPアドレスを自動的に変更するのがふつー。
なので、外から狙って攻撃しようとしても、次の日にはそのIPアドレスを使ってる機器はいない状態になる。
もちろん固定する場合もあるけど、固定アドレスが必要な機材は今回の議論の対象ではないだろう。
さらに外部からのセキュリティというのは本来的にホスト単体でも何とかできるようにすべきものであって、
別途FWが存在しなければセキュリティを確保できないというのはよろしくない。
FWは多数のホストをひとつひとつ設定するのはめんどうだし設定漏れやミスがあった場合に怖いので
一箇所でなんとかできるようになってると便利だよね、ぐらいの発想で使われるべきものであって、
FWがなければ最低限のセキュリティの確保すらおぼつかないような製品が存在するべきではない。
Re: (スコア:0)
グローバルなIPv4アドレスを配ってくれるプロバイダもあるのに(OP25Bとかいうのはあるらしいが)、
なぜIPv6だとFWがないと叩かれるのかわからない一般ユーザーです。
誰か教えて!
Re: (スコア:0)
> 自宅のルーター下など共有有効になっているネットワーク化では大通しです
さすがに同一サブネットのみでしょ…と思っていたらどうもそうではないようで真顔になったわ
Re: (スコア:0)
これは誤解で、素通しなのはドメインネットワークの方だけで
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
IPv6なら素通しなんですが (スコア:0, 参考になる)
通常の家庭で使われるプライベートネットワークであれば139/445あたりの受信規則はローカルサブネットのみでした(Win10 1909)
それは IPv4 の話ですね。
IPv6 はそもそも、ローカルとかグローバルとかを気にせずにLAN内だろうがLAN外だろうが世界中の機器をIPアドレスだけで接続可能にする設計思想で、ローカルサブネットの識別なんてものはないので、ファイアウォールで制限しなければ外の世界からも素通しです。
知ったかぶりは「リンクローカル IPv6 アドレス」というプライベートIPアドレスが使われるのなんだのと言い出しますが、それは機器同士の接続に使う別物であって、普通のTCP/IP通信やらWindowsネットワークで
Re:IPv6なら素通しなんですが (スコア:1)
知ったかぶりはやめてください。
全部間違ってます。
Re: (スコア:0)
Ubuntuのデスクトップ版はそもそもデフォルトだとファイアウォールが無効のままだったと思う
割とよくあるよね (スコア:1)
技術系と関係ないサイトでルーターとセキュリティの話になった時に
A 「ルーターがあるからヘーキヘーキw」
B 「IPv6はフィルタリングしてない機器とかもあるし各PCにグローバルアドレスが割り当てられてるから平気なんて言えんよ」
A 「グローバルアドレス直接割り当てるとかどんなクソ環境だよwww」
とか言う流れになってて「えぇ…?」ってなったおもひで
Re: (スコア:0)
ただ、windowsとかは外との通信は一時アドレスでおこなって、プロバイダーから割り当てられた本当のアドレスで、通信することはあまりなかったようにも思う。
だから安全とは言わないが
Re: (スコア:0)
interfaceIDは端末が作成・決定しているが、prefixは配布された物使ってるぞ。
光回線としてNUROがインターネットと直通というのは羨ましい (スコア:1)
当方、フレッツ光のハイスピード(下り最大200Mbps)を半年前からv6オプション付けてPPPoE -> IPoE/DS-Liteに変更し、
高速なNGN網を十二分に活用して下りが300Mbps前後出るようになったので「やっぱりNGN網は最高やな」と感じつつ、
NGN網の先っぽ(transix)でNATされるために自鯖が建てられなくなったので「やっぱりNGN網はクソやな」と感じたり。
(公衆Wi-Fiを安全に使用するための個人用VPNサーバを建てたかった)
NATやパケットフィルタリング(FW)等のコントロールを回線業者(NUROやフレッツ等)が握っているのはちょっと困るな。
ISP(So-net)が貸出ルータ等でコントロールを支援するのは構わないけど。
NUROユーザなんでルータ見てきたが (スコア:0)
「ファイアウォール機能」は普通にオフになったはwww
Re:NUROユーザなんでルータ見てきたが (スコア:1)
フレッツ光のHGWだと「標準」がデフォルトですねー。
んで、この「標準」、フレッツ光網内からだとノーガードだというww
「高度」に変更すりゃいいんだが素人気付かんよ。
だからと言って悪用されたという話も聞かないし (スコア:0)
どうして今になってバズったんだ?
ゆーたらスマートフォン回線なんかもMNO3社はネットワーク側にFW入れてるはずだけど、楽天モバイルはどうなのか知らないし、IIJmioは入れてないってことで数年前に要望出したけどその後どうなったのかな
Re: (スコア:0)
気づいてないだけ定期
IPv6なんだからグローバルIP当たり前だよね (スコア:0)
宇宙の原子すべてにグローバルアドレスが割り当てられるってじっちゃが言ってた。
Re: (スコア:0)
それ何か別の話とごっちゃになってない?
あるいはだんだん喩えがエスカレートしているのか
俺の聞いた頃は「そのへんの小石に割り当てても大丈夫」だったが
Re: (スコア:0)
生命、宇宙、そして万物についての究極の疑問の答え=42 [wikipedia.org]ネタじゃないかな。
>Googolplex Star Thinkerは「ダングラバッド・ベータ星の五週間の砂嵐における砂塵の軌道を一粒残らず計算できる」ほどのマシンだが、
>それを聞いたディープ・ソートは「ビッグバンの際の全原子のベクトル」を決定できる自分をそんなマシンと比較するなと冷やかに答えている。
Re: (スコア:0)
地球の砂全部に割当しても余裕がある
太陽の体積分の砂に全部に割当出来るというのは聞いたことあるけど
宇宙の原子すべてというのは聞いたことなかった
何を今さら (スコア:0)
https://srad.jp/comment/3678966 [srad.jp]
by Anonymous Coward on 2019年09月02日 21時20分 (#3678966)
おいやめろ
NUROのルーターは
HUAWEI製でしかも
IPv6は445どころか1から65535まで大通しなんだよ
しかも無効化するにはフィルタで
1ポートずつドロップさせる設定を自分でしなきゃならない
一応月額無料という名の月500円込みで
カスペルスキー使えることにはなってるがあのカスペルスキーだ
使わなくても込みなので安くもならんが使わないほうがOSとしては安定
悪いこと言わんからNURO使いにはクライアントのIPv6無効化を推奨しておけ
# クライアント側でしっかり設定できれば問題ないんだけどね
Re: (スコア:0)
ていうかDION軍時代から固定IPで悪いことできなくなったソネットユーザーにとっては、
IPv6有効にすると上位部分は変わらんが繋ぐたびにIPアドレス変わるのはすごいありがたいんだけどなー
コーヒー (スコア:0)
ファイアウォールがあっても無くても、コーヒーはこぼれちゃうの?
Re: (スコア:0)
ジャバジャバと…
Re: (スコア:0)
ティーポットにしておけば、こんな事には...
スピードテストでエクスタシーを感じる頭の悪い人向け回線 (スコア:0)
「スピードテストでエクスタシーを感じる頭の悪い人向け回線」
に関する記事として投稿しているようなので、
たぶん根幹はそこ。
Re: (スコア:0)
そうだよね
そんなレッテル貼りをするような人物と、まともに議論ができるはずがない
Twitterのプロフィールにもなかなか香ばしいことが書いてあるようだし…
Re: (スコア:0)
実際間違ってないと思う。
瞬間最大風速見てもあんまり意味ない。
端末と回線の分離 (スコア:0)
まともな人間なら、自分で用意すればこんなことにはならない訳なので
固定回線も端末(ルータ)と回線の契約分離を義務づけてくれ
Re:端末と回線の分離 (スコア:2, 興味深い)
フレッツのサイトだったか、そのIPv6網をユーザの本人確認に使う余計な仕組みが入ってましたね。
貯まったポイントを景品に変えようとすると、途中で「IPv6直結していないと見れないサイト」へのアクセスが行われて、
それが通って、「正しい契約者が正しく家の契約回線から繋いでいる」状態だと示せて始めて先へ進めるとかそういう。
NTTドコモなんかもよくやってる、ドコモ回線でなければ申し込みが不可能なウェブサイトと似たような感じで。
まともな人間故に、IPv6を通す設定に一手間かかりました。
Re: (スコア:0)
それドコモ契約してるとSPモードでもそうなんだよね
D払いとかで結構緩和されたとは思うけどさ
IPv6家庭用ルータガイドライン (スコア:0)
IPv6家庭用ルータSWG
https://www.v6pc.jp/jp/wg/coexistenceWG/v6hgw-swg.phtml [v6pc.jp]
NUROでFWありとなしのHGW (スコア:0)
例のツイッターの人はあとからNUROには提供するHGWのメーカによってFWありなしが存在すると訂正していたな
今年にNURO開通したので調べてみたらFWなしだった
元々1Fに置いてるHGWの無線LANは使わず2Fに置いた自前ルータをAPモードで無線LANも使っていたので
これを機にルータモードに戻してルータのFW確認して間に入れることにした
1Fには有線で繋ぐ機器もないしこれでいいや
瞬間最大風速()笑うも自前ルータ挟む前と同じく出ることを確認したのでヨシ!
セキュリティが強化されたw indowsファイアウォール (スコア:0)
そういえば、最近のwindwowsだと内蔵していたりしますが
IPv6はどうなっているか詳細確認したこと無いなぁ
つか、通常v6なんて意識してない
nslookupだってipv4のしか出ないし
CATVは? (スコア:0)
CATV 事業者次第 概ね問題はない印象ではある
https://qiita.com/notoken3331/items/ca228e2ac28ac7ea4879 [qiita.com]
CATVは何か対策しているということかな?同じ機種を採用しているところも多数あるようだけど。
https://www.google.com/search?&q=CATV+HG8045D+-NURO [google.com]
https://www.google.com/search?&q=CATV+HG8045Q+-NURO [google.com]
Re:CATVは? (スコア:1)
CATV会社の場合はこういう感じでipv6実装に対する共通ガイドラインが出ていて
各社それに従って実装してるのでちゃんとやってるところは問題ないんだと思う。
http://www.jlabs.or.jp/tst/wp-content/uploads/2020/03/DOC-009_3.0.pdf [jlabs.or.jp]
5.3.2 フィルタリング設定への考慮すべき事項
逆に言うと網側でwindows共有とかを落としちゃってるので
LAN的な使い方をしたいと思ってもできない感じだろうね。