「成熟」と「いたちごっこ」の競争かしら?
そう。あたしが目の仇にしてるといってもいい、SoftEtherのお話。
ですって?
http://www.softether.com/jp/vpn2/ より
SoftEther VPN 2.0 Beta 3 ダウンロード開始 (2005年5月17日)
これはしっかりとチェックしないといけないわ?
そうねぇ。この発想自体はとてもよろしいと思うの。以前あたしが気にしていた「明らかにすり抜けるための仕様」から一歩前進した感があるわ。
http://www.softether.com/jp/vpn2/security/ より
SoftEther VPN Protocol 2.0 Beta 2 の検出方法
TCP/IP プロトコル内のデータ ストリームから、ASCII 文字列 "SE-vpn2-PROTOCOL" (16 Bytes) を検出することによって、SoftEther VPN Protocol 2.0 Beta 2 を検出することが可能です。
snort による検出用シグネチャの例:
alert tcp $HOME_NET any -> $EXTERNAL_NET any: (msg:"SoftEther VPN 2.0 Connection"; content:"SE-VPN2-PROTOCOL"; )
ただ、ちょっと気になるのは「443PortあたりでHTTPSの通信の時ってどうなるのかしら?」
結局のところ、本当の意味での抜け道はまだまだ確保されているんじゃないかしら?
1番は「安全策のための発言」って好意的に受け取っておくわ。2番はまぁ、しかたがないわねぇ。回避方法が0とは言わないんですけれども。そんなものにコストをかけるよりも…って気がするの。
http://www.softether.com/jp/vpn2/security/ より
注意事項
1. 上記のシグネチャが常に正常に機能することを保証するものではありません。
2. 上記の方法で SoftEther VPN Protocol 2.0 Beta 2 の検出を行うことができますが、誤検出の可能性が存在します。たとえば、本文に "SE-VPN2-PROTOCOL" と書かれたコンテンツや電子メールなどが誤って検出される可能性があります。
3. 上記の情報は SoftEther VPN Protocol 2.0 Beta 2 においてのみ有効であり、それ以外のバージョンの SoftEther VPN には適用されない場合があります。
3番は…微妙だわぁ。今後の経過次第で評価が変わりそうな発言、って言っておくわね。
これについての問題点は以前 ( http://d.hatena.ne.jp/Lucrezia/20040830#p1 ) に書いたから省略するわ。
http://www.softether.com/jp/vpn2/security/ より
その他の VPN プロトコルの検出方法
SoftEther 1.0 の検出には、SoftEther Alert または SoftEther Block (両方とも無償ツール) をご利用ください。
えっと…これは「パケットフィルタがやりにくい"すり抜け版"は今後もサポートします」っていう意味かしら?
http://www.softether.com/jp/vpn2/overview/ より
SoftEther 1.0 との関係
現在、SoftEther VPN 2.0 はベータ版段階であり、開発中のものが提供されています。ソフトイーサ株式会社では、今後も SoftEther 1.0 を提供し続ける予定です。
せめて、2.0が正式になった時点で、セキュリティを考慮していない1.0は廃止にしていただきたいもんだわ?
で。結局変わってないのが以下のFAQ。やれやれだわ?
まず「周知徹底した程度ではどうにもならない」から世の中のネットワークエンジニアは困っているのよ?
http://www.softether.com/jp/qanda/ より
・ 私はネットワーク管理者ですが、ユーザーに SoftEther を使用させたくない場合はどうすればいいですか?
まずは、使用条件や禁止事項について利用者への周知徹底をお願いします。
また、ネットワーク管理のポリシー上好ましくないツールを導入させないよう、端末レベルのソフトウェア管理を強化する必要があります。例えば、パソコンなどのハードウェア、ソフトウェアの構成情報を収集するイベントリー管理ツールを導入することで、容易にクライアントの環境を把握して使用を中止させることができます。
ただ、ネットワーク管理者は SoftEther を導入することにより、既存のファイアウォールに穴を開けるなどの危険な設定を行うこと無く、安全かつ簡単に VPN (仮想ネットワーク) を導入し、離れた場所にある LAN や PC 同士を接続することが可能となります。
SoftEther は、ユーザーにとってもネットワーク管理者にとってもとても有益なソフトウェアであることをご理解ください。
まして、そういった「人の話に耳を貸さない連中」ってのは大抵が半可通なの。だからこそ「まともなリスク試算すら出来ずに」「下手を打つ」のよ?
で。「使わせたくない」ってところでまで「使ってくれ」って勧誘をするのってどういう神経なのかしら?
この辺も「自分が便利だと思うんだから人も便利に違いない」、言い換えると「自分がいいと思うんだから他人もいいはず」という、自他分離が出来ていない限りなくお子様な発想が見え見えなのよねぇ。
ここでも微妙に論旨のすり替えがあって。いかにも「僕は悪くないんだ」的方向に持っていってるわ。
http://www.softether.com/jp/qanda/ より
・ SoftEtherを使うと、NAT、Proxyなどのファイアウォールを全て通り抜けることができるのか?
パスワード認証の機能を持つNATやProxyをそのまま通り抜けることはできず、SoftEtherを使っていても、通常の通信と同様、最初に認証を行うことが必要となります。
また、「httpの通信だけに限れば安全だ」という考えに基づいてパスワード認証などを行わず、また、通信内容に対する確認・フィルタリング機能を持たない Proxy が運用されている場合も有り得ますが、本来「http通信」はどんなものでも運べる可能性を持っていものであり、httpであれば安全という考えは誤りりです。SoftEtherの有無にかかわらず、管理者は常にhttpで実際にどのような通信が運ばれているのかについて注意を払う必要があります。
「じゃぁどんなのが大人の態度なんだよ?」ですって? 仕方がないわねぇ。筆おろしがまだどころか、その言葉の意味さえわからないようなあんたにもわかるように例を挙げてあげるわ。
「本来「http通信」はどんなものでも運べる可能性を持っていものであり、httpであれば安全という考えは誤りりです。しかし、我々はそのような"可能性に基づいたぎりぎりの判断"をしないように、このように安全性が高く、必要に応じて"容易にネットワーク管理者が制御できる"仕組みを組み込みました」。
穴があるからこじ開ける、じゃ、どんな女も裸足で逃げ出すわ?
据え膳を前にしても「冷静さを失わずに」余裕を持って対応し、場合によってはあえて「食わない」くらいの判断が出来てこその大人よ?
最後に、こんなコンテンツを発見したわ。
うふ。…どんな活用方法なのかしら?
http://www.softether.com/jp/showcase/ より
SoftEther の活用方法の紹介
http://www.softether.com/jp/showcase/ より
会社内のコンピュータと自宅のコンピュータの間で自由に通信できるようにする
http://www.softether.com/jp/showcase/case1.aspx
http://www.softether.com/jp/showcase/ より
自宅内 LAN に会社内のコンピュータを接続する
http://www.softether.com/jp/showcase/case2.aspx
http://www.softether.com/jp/showcase/ より
会社内のコンピュータを自由にインターネットにアクセスできるようにする
http://www.softether.com/jp/showcase/case3.aspx
結局どれも「管理の厳しい社内の目をかいくぐって外界とつなげる」ものねぇ。まぁ、SoftEther自体が元々そういうソフトですから、そういう意味では当然なんでしょけれども。
http://www.softether.com/jp/showcase/ より
出張先や自宅から会社内の LAN に自由にアクセスできるようにする
http://www.softether.com/jp/showcase/case4.aspx
そうはいっても…「何のために管理を厳しくしている」と思ってるのかしら?
ついでに言うと「自宅のPCがクラックされて、自宅のPC経由で会社のPCとかネットワークがクラックされたらどうするのかしら?」
もちろん回答はわかっているわ。「それはクラックされるようなユーザが悪く、またそんなパケットを許可するネットワーク管理者が悪い」。そうねぇ。間違いじゃないと思うの。でも、そんなブツを平気で配布しているのはどこのどなた様なのかしら?
2.0を見ている限り、本当に微妙なの。ほんの少しだけ「きちんとしたモノに成熟する可能性」が見えてはきているのよね?
でも、根底にあるのは相変わらず「配慮の足りないガキの発想」だわ?
さてさて。どっちが先に「より素晴らしい成果」をあげるのかしら?
