SSLを採用したSoftEther Beta3リリース 118
ストーリー by Oliver
live-or-die-with-it 部門より
live-or-die-with-it 部門より
znc 曰く、 "ここ数年では最凶クラスのVPNソフトと評判のSoftEtherですが、2004/01/14よりBeta3の配布を開始するとの事です。今回のバージョンからは暗号通信プロトコルにSSLを採用し、Keep Aliveパケットの仮想HUB側からの発信やProxy/SOCKS/SSH経由接続に対応したセション再接続機能など使い勝手が向上している様です。
企業ではSoftEther禁止令の発動やダウンロードページ・公開HUBへのアクセス禁止、SoftEtherを名指しして規制対象にしているFWソフトの登場など周辺もにぎやかになってきています。今回のバージョンはSSL対応という事で今までの規制方法では対応できない可能性がありますが、各企業・FWベンダはどう対応していくのでしょうか…"
One Point Wall SoftEther はどうなるの? (スコア:3, 興味深い)
One Point Wall SoftEther [netagent.co.jp] はどうなるんでしょうね。
パケット内容を見てブロックしているそうなので、
従来の SoftEther プロトコルの開始文字を見ていると
思われるのですが、SSL 化によって完全に https と
見分けがつかなくなるはずです。
旧版のみ対応、とかそういう但し書きがついて
発売を強行するのでしょうか……
Re:One Point Wall SoftEther はどうなるの? (スコア:1, すばらしい洞察)
ウラ面の制限事項一覧には但し書きが…。
実質、未対応という状況になる。に、一票!!
Re:One Point Wall SoftEther はどうなるの? (スコア:1)
Re:One Point Wall SoftEther はどうなるの? (スコア:1, すばらしい洞察)
やれば良い、とか
作れば良い、と言うだけの人はいいなぁ。
よく言われてます・・・。
Re:One Point Wall SoftEther はどうなるの? (スコア:0)
proxyが自身の証明書をクライアントに提示し、
proxy上でデコードしたストリームを検査すればいいのじゃないかな。
或いはリクエスト数を制限した上で、
リクエスト毎の上り転送量を制限するとか
下り転送が始まったら上り転送を打ち切るとか。
(よくしらないけどTLSとかだと効果ないかも)
Re:One Point Wall SoftEther はどうなるの? (スコア:1)
いったん張ったらコネクションを再利用すると聞いたんですが、
> 下り転送が始まったら上り転送を打ち切るとか。
これをやったら、コネクションが毎回再接続になって
通常の https サーバの管理者がぶち切れませんか?
Re:One Point Wall SoftEther はどうなるの? (スコア:1)
をぃをぃ。ユーザー側では正しい署名かどうかの判断が出来なくなりますし、
毎回不振なポップアップにも悩まされるでしょう。大体、それは完全にタチ
の悪い盗聴の一種です。
#厄介なTunneling、厄介なProxy……
Re:One Point Wall SoftEther はどうなるの? (スコア:1)
(セキュリティ確保のためにMITM型proxyを建てましょうってのも皮肉な状況だなぁ)
Re:One Point Wall SoftEther はどうなるの? (スコア:1)
proxyでhttpsを通さなければいいというのを少し緩めた対策としてありうると思います。
もちろん、秘密裏に行われるべきではないとは思いますが。
Re:One Point Wall SoftEther はどうなるの? (スコア:0)
proxyで一旦デコードしてたら、SSLなサイト(!=SoftEther以外のhttpsなサイト)に接続した場合のサーバ証明の検証がクライアントでできなくなります。
Re:One Point Wall SoftEther はどうなるの? (スコア:1, 参考になる)
Re:One Point Wall SoftEther はどうなるの? (スコア:2, 参考になる)
確かに、
http://www.netagent.co.jp/onepoint/
には、
> One Point Wall SoftEther
>SoftEtherの通信をブロックします(HTTPS/Direct/Socks)
>SoftEtherで仮想ハブに接続しようとしても接続できなくなりま
>す。バージョン0.50beta3のSSL通信にも対応しています。
とありますけどね。
Re:One Point Wall SoftEther はどうなるの? (スコア:2, 参考になる)
そうと言ってるから良いのでは?
Re:One Point Wall SoftEther はどうなるの? (スコア:1)
> そうと言ってるから良いのでは?
知らなかった……。無知でゴメンナサイ。
Re:One Point Wall SoftEther はどうなるの? (スコア:1, 参考になる)
通りすがりのACですが、
いや...普通の人は分からないんでは...(笑)。
SoftEtherが危険というのは... (スコア:1, すばらしい洞察)
特別に危険というのは偏見かもしれないのですが、企業組織
などの管理者にやさしい、柔軟に様々なレベルのセキュリティ
ポリシーに適応させることのできる、別の意味での柔軟さが
求められると思います。
場合によってはWinnyのように厄介者扱いされることにも
なりかねないように思います。
「ユーザにAdministrator権限をあたえなければいいだけだ」
というのも、セキュリティはそんなに単純じゃないとか理想
論にすぎないじゃないかと現場の声が聞こえてくるのは空耳
ではないと思うのですが。
Re:SoftEtherが危険というのは... (スコア:3, すばらしい洞察)
>ポリシーに適応させることのできる、別の意味での柔軟さが
>求められると思います。
SoftEtherを使ってることがあえてわかるようなセッションの張り方してもらえないですかねぇ。技術的にそれを隠蔽することが可能ってことはみんなわかってるです。わかるんだけどさ……。
紳士協定みたいなのを汲み取ってほしーなー>作者様。
SoftEtherは優れたソフトだと思います。だから、こんなことで厄介もの(名前だけで使用禁止にされるような)扱いされて欲しくありません。これからも開発を続けて欲しいし、どんどん高機能になっていくのが楽しみです。
ネットワークユーザからもネットワーク管理者からも「扱いやすい」ソフトウェアこそ、大きく広まる有用なソフトと言えるんじゃないでしょうか。
# なんとなくAC
Re:SoftEtherが危険というのは... (スコア:1)
>紳士協定みたいなのを汲み取ってほしーなー>作者様。
発想が根本から違うと思う。
単に、新たな通信手段をユーザに提供しただけで、これが問題になるとすれば、元から大穴が空いていたということ。
ユーザ操作で可能なことは、殆ど、ウィルスやワームで可能なことであり、むしろ、アングラ化、特にウィルス化して氾濫する前に、穴を塞ぐ機会が出来たことを喜ぶべきかと。
-- Buy It When You Found It --
Re:その穴塞いだらどうなるかわかってる? (スコア:1)
一言で言えば、社内セキュリティですね。
要は、FWで全部防げると思っていたのが妄想に過ぎないってことで。
社内からの不正アクセスを防止していれば、SoftEtherで繋がった所で、データ漏出は防止出来る訳ですから。(機密セグメント内でSoftEtherを不用心に使うのはただのお馬鹿)
//今まで問題にならなかったのは、実は機密データなんて存在しなかったって事なのかな?
-- Buy It When You Found It --
Re:SoftEtherが危険というのは... (スコア:0)
そこらへんのバランス感覚がないのが非難される所以なのですが、
ないからこそこういうソフトを作れたわけで……
誰かBayesian Filteringとか使ってキラー作ってくれないかな……
Re:SoftEtherが危険というのは... (スコア:2, すばらしい洞察)
SoftEther がソース公開した時点でそこを改変したツールが出回るだけですから。
# ソース公開は実施計画書に明記されていることなので、いずれ実施されるはずです。
次期バージョンの SoftEther に管理ツールをつけて、
同一セグメント上の SoftEther の存在を発見・管理できるようにする、
というアイデアを登さんはもっていらっしゃるようなのですが
それもソースをちょっと改変すればどうにでもなることなので
そういう方向性は何か違う気がしています。
結局は、本質的に Firewall だけでどうにかできる問題じゃない、
というのが動かしがたい真実なのではないのでしょうか。
今までは、たまたま顕在化していなかっただけで、
現在のネットワークの仕組みにずっと存在していた問題でしょう。
SoftEther が特別な手段を講じているわけでは決してありませんし、
第2・第3の同様のツールはすぐに出てきそうです。
対策コストを考えると頭が痛くなりますけどね……。
まずは、Admin 権限がないと実行できないような
不良アプリの撲滅からはじめないといけませんか。
Re:SoftEtherが危険というのは... (スコア:1, すばらしい洞察)
> 結局は、本質的に Firewall だけでどうにかできる問題じゃない、
> というのが動かしがたい真実なのではないのでしょうか。
> 今までは、たまたま顕在化していなかっただけで、
> 現在のネットワークの仕組みにずっと存在していた問題でしょう。
> SoftEther が特別な手段を講じているわけでは決してありませし、
> 第2・第3の同様のツールはすぐに出てきそうです。
上手くかけなくて困っていたところです。実際いくつかのVPN技術
を比較しているのですが、いずれにせよ、
従来のようなLANに対するセキュリティの問題点が
浮き彫りになったように感じられます。
SoftEtherの作者はこれを作った。それ(セキュリティ)を
考えるのはまた別の人、、てところですかね。今までも
そうやってやってきたんだし。
Windows PCを'Public Computer'として管理しないと (スコア:1)
Windowsで動く行儀の悪いソフト達の存在、それを
許してきたWindows使いと開発者の無知と怠慢が問題なのでは
ないでしょうか。
WindowsNT以降、OSとしてはUNIXのようなアクセス権・実行権
などの概念を持ったユーザモデル(こういう言い方でいいんだろうか?)
が組み込まれたにも関わらず、多くのソフトウェア開発者は
アクセス権なんぞお構いなしの旧来のユーザモデルに基づいた
ソフトウェアを作り続けました。
ユーザ=マシン管理者であった牧歌的な時代であればこれで良かったの
でしょうが、今やPCは必ずしも'Personal'なものとは言えません。
むしろ、企業などにおける、守られるべき様々な財産にアクセスできる
PCは'Public Computer'と呼ぶべきでしょう。それにインストール
されるソフトウェアもPCが'Personal'なものであった時代と同じ
ではマズイのではないでしょうか。
願わくは、今回の出来事をきっかけに、もう少し多くのマルチユーザ
環境に考慮したWindowsソフトウェアが作られるようになって欲しいものです。
今回のSoftEther騒動の肝はVPNやレイヤー2がどうこうじゃなくて、
Windows周りのこういういろいろなものの管理不備の問題なんだと
思います。それ以上のものではありません。
Re:権限以前の話 (スコア:1)
SoftEtherはWindows 3.1では動作しませんよ。
脳味噌腐乱中…
Re:権限以前の話 (スコア:1)
そういう管理形態はそもそもまずいんじゃないでしょうか?
ユーザにadmin権限を持たせるってことはそのマシンで出来うる
事はやり放題ってことですから、SoftEtherが存在しなくとも
元々あった穴なのです。例えば、そんなマシンじゃUSBメモリ
などのリムーバブルなメディアでデータ盗み放題ですよね。
ネットワーク使うまでもありません。
もちろん、ACさんの状況がわかりませんから何ともいえませんが。
今回のSoftEtherのように外部のネットワークと
つながれてしまうのが問題なのであれば、そのソフトを
インストールマシンをネットワーク的に制限の厳しいセグメント
に、例えば完全に外部のネットワークとは隔離したセグメントに
配置するとか、別の解を探してもいいのではないでしょうか。
Re:Windows PCを'Public Computer'として管理しないと (スコア:1)
文脈上気にはしていたのですが触れませんでした。解説どうもです。
(個人的には+1 参考になる、で。)
こうしてみると、マルチユーザの設定保存に関して、
それなりに利点のあったレジストリを推奨
したものの、結果的にレジストリとINIという2種類の設定形態が
できてしまったWindowsよりも、ファイルで保存という単純な
解法で突き進んだUNIXの方が、運用面で見ると正解だったような
気がします。
WindowsがUNIXのようなファイルシステムに頼った手法を選択せずに、
レジストリを選択したのは何か歴史的な理由があるんでしょうか?
ファイルシステムにおけるユーザごとのアクセス制御の概念が
なかった(ですよね?)Windows3.1や95のころの時代にマルチ
ユーザ環境を実現するのに必要だったから?
この辺、常識だったらすいません。
Re:SoftEtherが危険というのは... (スコア:1)
> SoftEther がソース公開した時点でそこを改変したツールが出回るだけですから。
ソースを改変できるくらいの技術があれば他に方法はいくらでもあるので、SoftEtherについて議論することこそ意味ないと思います。それほどの技術を持たない人に限定した議論では、紳士協定も意味を持つことがあるかもしれないと考えましたが、それも
> 第2・第3の同様のツールはすぐに出てきそうです。
という事態になるまでの時間稼ぎでしょうね。初心者にも解りやすいソフトが出てきた時点で後戻りできないことは決まっていたのでしょう。
初心者をいかに思いとどまらせるかという観点で考えれば、
「SoftEtherをネットワーク管理者の許可を得ずに使うことは犯罪です。」(使用許諾違反)
くらい強い文言は公式サイトの良く見える場所にあっても言いと思います。
Re:SoftEtherが危険というのは... (スコア:0)
>不良アプリの撲滅からはじめないといけませんか。
とは言っても、事実SysフォルダにDllをぶち込まなきゃ
動かない有用なソフトも多々ありそうなわけで、
難しいところがあると思います。
有用なオンラインソフトが使えないならば、業務に
支障(というか遅延やら負担)が出るのは必死。
ならば、いっそWin環境と比べてまだ、気
Re:SoftEtherが危険というのは... (スコア:0)
いち早く、SSL化/HTTP proxy対応してたけど。
Re:SoftEtherが危険というのは... (スコア:0)
#言葉狩りのマイナスモデなら謹んで遠慮しておく。
Re:SoftEtherが危険というのは... (スコア:0)
つーか、作者が組織内の責任ある立場においてネットワーク管理を
したことがない、単なるバカガキというこった。
いずれこのようなソフトは出回ることは判っていても、影響力を
考えた場合は対応策思いつくまで踏み止まるだろうよ、良識ある
管理経験者なら。
Re:管理者しかソフトを作っていけないのか? (スコア:1, 興味深い)
私は SoftEther を特定の会社のために公開したり、公開を中止したりすることは絶対にありません。
Re:管理者しかソフトを作っていけないのか? (スコア:1, 興味深い)
って、あなた作者さん?
特定の会社のために公開をするなという気はありませんが、「危険視するのは間違っています」とか言うような人に公開して欲しくは無いな。
刃物は有用なものですが、キチガイには持たせたくない。
それと一緒で、危険性を認識できない人にはこの手のものは扱って欲しくない。
Re:SoftEtherが危険というのは... (スコア:2, すばらしい洞察)
一般的なVPNソフトというのは「管理者が設置して」使用するものですが、SoftEtherは「ユーザでも(管理者の監視をかいくぐって)設置できる」のですから「特別に危険」というのはあながち偏見とも言えないでしょう。
SoftEtherが「唯一特別に危険なソフト」ではないかもしれませんが。
元々がPolicy Violationを企図したものですし、レイヤ2レベルでダダ漏れさせるという事は、トラフィックに対してPolicyもへったくれも無い(通すか通さないかの二者択一しか無い)のですから、管理する側からすれば危険であるというのは間違い無い。
銃器や刃物のように、危険であっても利用価値のあるものもある訳ですから、「危険=絶対使用不可」では無いでしょうが、危険と承知の上で使うか使わないかを判断すべきですね。
Re:SoftEtherが危険というのは... (スコア:1)
やっぱり「危険視するのは間違っています」と言うんだろうか?
Re:SoftEtherが危険というのは... (スコア:0)
??どういう意味ですか?
管理者が VPN として使いたいときもコントロールできないってことですか?
SoftEther 自体は仮想 LAN カードとして振舞うだけなので
ダダ漏れするのはブリッジ接続しているのが問題なのでは?
ルータとしてちゃんと設定すれば、普通に使えると思いますが……
ユーザが勝手にブリッ
Re:SoftEtherが危険というのは... (スコア:0)
社内通達 (スコア:1, おもしろおかしい)
便利になるどころかどんどん制限が多くなっていくのだろうなぁ
Re:社内通達 (スコア:1, すばらしい洞察)
別に仕事場だったらいいんじゃない?
家庭で禁止されるならいやだけど。
口先ばかりの通達を何度も繰り返されるなら、きちんとシステム的に塞いだ方が良いと思う。
#一部の通達を守れていないのでAC
SoftBEUI登場! (スコア:1)
SSL対策が仮に出来たとして (スコア:0)
#ネタなのでAC
Re:SSL対策が仮に出来たとして (スコア:1)
IPSec だとフィルタリングで簡単にはじけますよね。
そもそもそれ以前に、テキトーなルータだとどう設定しても IPSec が通らないという事実の方がよっぽど罠っぽい……
Re:SSL対策が仮に出来たとして (スコア:0)
SSLは「塞ぐとクライアントに影響が大きい」という意味で困ったちゃんな訳で・・・
Re:SSL対策が仮に出来たとして (スコア:0)
サイトアドレスの登録をどこかの一般サイトに依存するか、
もしくはファイヤーウォール系のメーカーに依存するか、
自前で登録するか、などのような。
まあ会社ならSSL通信が必要なサイトは事前申請という運用で可能かな?
面倒なのは最初だけかもしれませんし。
Re:SSL対策が仮に出来たとして (スコア:0)
接続先が正しいサイト証明書を持っているかどうかでとりあえず
フィルタリングできないでしょうかね。
コネクションが張れるまでやたら重くなりそうですけど。
発行者を基にフィルタリングするようにするとか……
そういう FW 製品って存在するのでしょうか。
Re:危険視するということは (スコア:1, 興味深い)
ちなみに銀行系ウェブサイトとかを閲覧した限りでは、ブラウザへの影響は確認できませんでした。
当該パッチ(参照には要パスワード)
http://www.delegate.org/mail-lists/delegate/12200
パスワードはこちらにあります。
http://www.delegate.org/delegate/goiken/
Re:危険視するということは (スコア:1, 参考になる)
こういうものは「できる事」はちょっと試してみればすぐにわかります。
ですが、それによって発生する「危険の可能性」というのは、慎重に検討し、幅広い知識を持った人でないと完全には理解できません。
特に情報漏洩系の問題というのは、その危険が実際に発生してしまっても、本人が全く気付かないという事も往々にしてあります。
そのような「危険の可能性」の認識を、全ての人(管理者以外の中の人)に求めるのは無理です。
実際、意図せぬ情報漏洩のほとんどは、会社へのロイヤリティの高い、「仕事人間」が引き起こしているという調査結果がありました。(URL失念。ごめんなさい)
積極的に仕事をしようとしたばかりに、自宅へ仕事を持ち帰ろうとして移動中にPCごと紛失したとか、盗難に合ったとか、自宅の管理されていないPCがウィルスに感染して情報をバラ撒いてしまったとか。
そのような人が、このソフトに触れて「あぁ、これで自宅でも会社と同じネットワーク環境が得られる」と「できる事」を認識してしまうかもしれません。「危険の可能性」を理解せずに。
いくらインストーラで「危ないよ」と書いてあっても、そんな「脅し文句」がインストーラに書かれているのは日常茶飯事なので気にも止めないかもしれません。
相手の人間性を信用できるかどうかと、ネットワーク管理能力を信用できるかというのは、全く別の問題です。
それを混同して一部の能力を否定したからと言って人間性まで否定したと受取ってはいけません。
Re:危険視するということは (スコア:1)
疑ってかかります。
「なにもしてないけど壊れた」の文句でしょっちゅう泣かされるので。
SoftEtherは自分のところでも研究対象になっていて、
VPN接続のコスト削減に使えないかと思っています。
(今は専用線でiDCへ接続しています)
問題はIDとPassの管理で、strings管理にしてしまうと
漏洩の危険性があります。
そこで、USBキーを介在する事で解消できないかと思っていますが、
なかなかそうもいかないわけで。
今は私だけが利用できる実験用の裏口になっています(苦笑)
本当は、ハードウエアVPNを購入できない様なローコストのお客さんに
薦められるくらいになればいいんですけどね(笑)
昔、BackOrifice2000(Cult of Dead COW)ってソフトがありましたが、
リモート操作ソフトとしてはかなり凄いモノでした。
単体で考えず、いろんなモノを組み合わせて良い環境
(ローコスト・ハイパフォーマンス・高セキュリティ)を
つくっていけるようになりたいですね。
パーソナルファイアウォールで元から絶つ! (スコア:1)
自宅のパーソナルファイアウォールは、
ネットと通信しようとするマイナーなソフトを
ことごとくブロックしてアラートを上げてくれますよ。
もちろんSoftEtherでも上りました。
企業向けでもアクセスルールを配布できるタイプも出てます。
私が知ってるソフトは、もう少し熟成させる必要が
ありそうですが。
まぁ、クライアントに入れて回る手間は無視できませんが。
ちなみに弊社では、企業向けを新規クライアント全部に
入れて配布してます。
そこは企業向けですから (スコア:1)
、 独自にユーザー管理してます。
サーバーから配布されるアクセスルールはロックされており、
一般ユーザーは一切変更することができません。
ご参考まで [symantec.co.jp]
でも管理の手間隙はかかりそうです。