パスワードを忘れた? アカウント作成
14199793 story
インターネット

NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に 107

ストーリー by hylom
エンドツーエンドでセキュリティが必要に 部門より

ソニーネットワークコミュニケーションズの光インターネット接続回線サービス「NURO光」で提供されているホームゲートウェイにはIPv6でのファイアウォール機能が設定されていないという話がQiitaで取り上げられている。NURO光のホームゲートウェイをデフォルトで利用している場合、利用者には複数のIPv6アドレスが提供され、家庭内で利用する各機器にグローバルIPv6アドレスが割り当てられ、さらにそれらに対し直接インターネットからのアクセスが可能になっているという。

また、NTT東西のフレッツ光でもLAN内でIPv6アドレスが割り当てられた機器に対し、フレッツのIPv6網内から直接アクセスできるという話がある(Qiitaの別記事)。こちらはフレッツ・v6オプションの仕様となっており、意図的なものとなっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年06月01日 17時16分 (#3825439)

    問題ない派
    ・何も知らない一般ユーザーにとってHGWのFWは(穴を開けるときに)そもそも邪魔
    ・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い
    ・インターネットにさらされるとやばいのは脆弱性のある機器側で対策すべき問題
    ・NUROでHGWによってFWの設定がまちまちなのはメーカーがなくても問題ないと判断したから

    問題ある派
    ・何も知らない一般ユーザーがFWなしにインターネットにさらされることはそもそもまずい
    ・FWは最低限のセキュリティ対策なのでルーターを兼ねているHGWに搭載するべき
    ・HGWによってはFWを無効にするとき警告が出るものもある
    ・NUROでHGWによってFWの設定がまちまちなのはSo-netの機器選定がまずいから

    あなたはどっち派?

    • by Anonymous Coward on 2020年06月01日 17時32分 (#3825455)

      > ・IPv6は天文学的に割当量が多いので攻撃を受ける可能性が限りなく低い

      不毛な応酬になるから議論するつもりはないが、感想としては「意味が分からない」。

      親コメント
    • by Anonymous Coward on 2020年06月02日 0時18分 (#3825708)

      荒れている理由は、著者のtwitterでの態度のせいでしょ。

      https://twitter.com/exp_noto/status/1264297501894471680 [twitter.com]

      親コメント
    • by Anonymous Coward

      10年前なら問題なかった
      10年後なら問題しかなかった

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      問題ない派というよりイマイチ知識が足りなくて論点もおかしい一人が騒いでるだけのように見える

      • by Anonymous Coward

        問題の大きさに見合わないバズり方をすると「言う程の問題じゃないだろ」と逆張りする奴が現れて当事者そっちのけでレスバが始まり収集が付かなくなるパターン

      • by Anonymous Coward

        アニメアイコンで偉そうにしてたら、弄ってみたくなるよな

    • by Anonymous Coward

      問題有る派かな
      初期設定が無効にされているのと存在しないのでは安心感が違う

      最近買ったエレコムの安ルーターはIPv4のFW含めて設定ミスると通信できなくなる項目はすべて排除されていた
      たぶん、社内的に百害あって一利無し的な認識なんでしょう
      初心者は外からアクセスされるということすら理解が及ばないのかも知れない

    • by Anonymous Coward

      そんなに外部からのアクセスが心配ならNATでも置いて分離したら。

      • by Anonymous Coward

        それが簡単にできりゃいいけど、NAT66なんて積んでる一般ルーターって無いんじゃ?
        逸般向けなら有るにはあるが。
        箱物だとCiscoかjuniperとかになるぞ・・・

    • by Anonymous Coward

      いまどきのv6は数時間ごとにIPアドレスを自動的に変更するのがふつー。
      なので、外から狙って攻撃しようとしても、次の日にはそのIPアドレスを使ってる機器はいない状態になる。
      もちろん固定する場合もあるけど、固定アドレスが必要な機材は今回の議論の対象ではないだろう。

      さらに外部からのセキュリティというのは本来的にホスト単体でも何とかできるようにすべきものであって、
      別途FWが存在しなければセキュリティを確保できないというのはよろしくない。
      FWは多数のホストをひとつひとつ設定するのはめんどうだし設定漏れやミスがあった場合に怖いので
      一箇所でなんとかできるようになってると便利だよね、ぐらいの発想で使われるべきものであって、
      FWがなければ最低限のセキュリティの確保すらおぼつかないような製品が存在するべきではない。

    • by Anonymous Coward

      グローバルなIPv4アドレスを配ってくれるプロバイダもあるのに(OP25Bとかいうのはあるらしいが)、
      なぜIPv6だとFWがないと叩かれるのかわからない一般ユーザーです。
      誰か教えて!

  • by Anonymous Coward on 2020年06月01日 17時47分 (#3825465)

    技術系と関係ないサイトでルーターとセキュリティの話になった時に
    A 「ルーターがあるからヘーキヘーキw」
    B 「IPv6はフィルタリングしてない機器とかもあるし各PCにグローバルアドレスが割り当てられてるから平気なんて言えんよ」
    A 「グローバルアドレス直接割り当てるとかどんなクソ環境だよwww」
    とか言う流れになってて「えぇ…?」ってなったおもひで

    • by Anonymous Coward

      ただ、windowsとかは外との通信は一時アドレスでおこなって、プロバイダーから割り当てられた本当のアドレスで、通信することはあまりなかったようにも思う。
      だから安全とは言わないが

      • by Anonymous Coward

        interfaceIDは端末が作成・決定しているが、prefixは配布された物使ってるぞ。

  • 当方、フレッツ光のハイスピード(下り最大200Mbps)を半年前からv6オプション付けてPPPoE -> IPoE/DS-Liteに変更し、
    高速なNGN網を十二分に活用して下りが300Mbps前後出るようになったので「やっぱりNGN網は最高やな」と感じつつ、
    NGN網の先っぽ(transix)でNATされるために自鯖が建てられなくなったので「やっぱりNGN網はクソやな」と感じたり。
    (公衆Wi-Fiを安全に使用するための個人用VPNサーバを建てたかった)

    NATやパケットフィルタリング(FW)等のコントロールを回線業者(NUROやフレッツ等)が握っているのはちょっと困るな。
    ISP(So-net)が貸出ルータ等でコントロールを支援するのは構わないけど。

  • by Anonymous Coward on 2020年06月01日 17時16分 (#3825440)

    「ファイアウォール機能」は普通にオフになったはwww

  • by Anonymous Coward on 2020年06月01日 17時17分 (#3825441)

    どうして今になってバズったんだ?

    ゆーたらスマートフォン回線なんかもMNO3社はネットワーク側にFW入れてるはずだけど、楽天モバイルはどうなのか知らないし、IIJmioは入れてないってことで数年前に要望出したけどその後どうなったのかな

    • by Anonymous Coward

      気づいてないだけ定期

  • by Anonymous Coward on 2020年06月01日 17時20分 (#3825446)

    宇宙の原子すべてにグローバルアドレスが割り当てられるってじっちゃが言ってた。

    • by Anonymous Coward

      それ何か別の話とごっちゃになってない?
      あるいはだんだん喩えがエスカレートしているのか
      俺の聞いた頃は「そのへんの小石に割り当てても大丈夫」だったが

      • by Anonymous Coward

        生命、宇宙、そして万物についての究極の疑問の答え=42 [wikipedia.org]ネタじゃないかな。

        >Googolplex Star Thinkerは「ダングラバッド・ベータ星の五週間の砂嵐における砂塵の軌道を一粒残らず計算できる」ほどのマシンだが、
        >それを聞いたディープ・ソートは「ビッグバンの際の全原子のベクトル」を決定できる自分をそんなマシンと比較するなと冷やかに答えている。

    • by Anonymous Coward

      地球の砂全部に割当しても余裕がある
      太陽の体積分の砂に全部に割当出来るというのは聞いたことあるけど
      宇宙の原子すべてというのは聞いたことなかった

  • by Anonymous Coward on 2020年06月01日 17時40分 (#3825457)

    https://srad.jp/comment/3678966 [srad.jp]

    by Anonymous Coward on 2019年09月02日 21時20分 (#3678966)
    おいやめろ

    NUROのルーターは
    HUAWEI製でしかも
    IPv6は445どころか1から65535まで大通しなんだよ
    しかも無効化するにはフィルタで
    1ポートずつドロップさせる設定を自分でしなきゃならない

    一応月額無料という名の月500円込みで
    カスペルスキー使えることにはなってるがあのカスペルスキーだ
    使わなくても込みなので安くもならんが使わないほうがOSとしては安定

    悪いこと言わんからNURO使いにはクライアントのIPv6無効化を推奨しておけ

    # クライアント側でしっかり設定できれば問題ないんだけどね

    • by Anonymous Coward

      ていうかDION軍時代から固定IPで悪いことできなくなったソネットユーザーにとっては、
      IPv6有効にすると上位部分は変わらんが繋ぐたびにIPアドレス変わるのはすごいありがたいんだけどなー

  • by Anonymous Coward on 2020年06月01日 17時56分 (#3825475)

    ファイアウォールがあっても無くても、コーヒーはこぼれちゃうの?

    • by Anonymous Coward

      ジャバジャバと…

      • by Anonymous Coward

        ティーポットにしておけば、こんな事には...

  • 「スピードテストでエクスタシーを感じる頭の悪い人向け回線」
    に関する記事として投稿しているようなので、
    たぶん根幹はそこ。

    • by Anonymous Coward

      そうだよね
      そんなレッテル貼りをするような人物と、まともに議論ができるはずがない
      Twitterのプロフィールにもなかなか香ばしいことが書いてあるようだし…

    • by Anonymous Coward

      実際間違ってないと思う。
      瞬間最大風速見てもあんまり意味ない。

  • by Anonymous Coward on 2020年06月01日 18時43分 (#3825525)

    まともな人間なら、自分で用意すればこんなことにはならない訳なので
    固定回線も端末(ルータ)と回線の契約分離を義務づけてくれ

    • by Anonymous Coward on 2020年06月01日 19時41分 (#3825567)

      フレッツのサイトだったか、そのIPv6網をユーザの本人確認に使う余計な仕組みが入ってましたね。

      貯まったポイントを景品に変えようとすると、途中で「IPv6直結していないと見れないサイト」へのアクセスが行われて、
      それが通って、「正しい契約者が正しく家の契約回線から繋いでいる」状態だと示せて始めて先へ進めるとかそういう。

      NTTドコモなんかもよくやってる、ドコモ回線でなければ申し込みが不可能なウェブサイトと似たような感じで。

      まともな人間故に、IPv6を通す設定に一手間かかりました。

      親コメント
      • by Anonymous Coward

        それドコモ契約してるとSPモードでもそうなんだよね
        D払いとかで結構緩和されたとは思うけどさ

  • by Anonymous Coward on 2020年06月01日 18時46分 (#3825526)
  • by Anonymous Coward on 2020年06月01日 19時02分 (#3825539)

    例のツイッターの人はあとからNUROには提供するHGWのメーカによってFWありなしが存在すると訂正していたな

    今年にNURO開通したので調べてみたらFWなしだった
    元々1Fに置いてるHGWの無線LANは使わず2Fに置いた自前ルータをAPモードで無線LANも使っていたので
    これを機にルータモードに戻してルータのFW確認して間に入れることにした
    1Fには有線で繋ぐ機器もないしこれでいいや
    瞬間最大風速()笑うも自前ルータ挟む前と同じく出ることを確認したのでヨシ!

  • by Anonymous Coward on 2020年06月01日 19時25分 (#3825553)

    そういえば、最近のwindwowsだと内蔵していたりしますが
    IPv6はどうなっているか詳細確認したこと無いなぁ
    つか、通常v6なんて意識してない
    nslookupだってipv4のしか出ないし

  • by Anonymous Coward on 2020年06月01日 19時31分 (#3825557)

    CATV 事業者次第 概ね問題はない印象ではある

    https://qiita.com/notoken3331/items/ca228e2ac28ac7ea4879 [qiita.com]

    CATVは何か対策しているということかな?同じ機種を採用しているところも多数あるようだけど。
    https://www.google.com/search?&q=CATV+HG8045D+-NURO [google.com]
    https://www.google.com/search?&q=CATV+HG8045Q+-NURO [google.com]

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...