アカウント名:
パスワード:
システム管理者にとっては新しい悩みの種のご登場ですな。管理者権限なくても動作可能なのは企業的にはマズい。しっかり機密度に応じてネットワーク自体がゾーニング出来てればいいけど、そんな企業は大企業でもでも案外少ないからなぁ。大半のPCは利便性から特にクラウド全盛になった今となってはインターネットにリーチできるだろう。その状態でこれの登場となると、管理者権限いらないキャプチャ型のリモートデスクトップソフトと組み合わせたら、ねぇ。
squidでSSL(透過)プロキシ(クライアントには証明書を読ませる)をはめたゲートウェイサーバを噛ませていると外に出られなかったので、制限という意味では制限出来そう
#逆にどうやったら出られるか知りたい・・・もっと勉強しなきゃ・・・。
単なる困っちゃん対策ならインストールやプロセスを監視してしょっ引けばよいのでは。これを突破できるぐらいに奴になるとネットに繋がる環境を与えた時点で何でもありな気がする。
インターネットのゲートウェイ(ルータとかファイヤウォール)を、deep packet inspection (DPI) の機能を持った製品に置き換えればブロック出来ますよ。L4-7 の挙動とかペイロードを分析して、既知のアプリケーションであればポート番号に関わらずブロックしてくれます。ヤマハの RTX のように、安い製品でも DPI を搭載した製品がありますので探してみてはどうでしょう。
SoftEtherの仕様覚えてないけど、SSH tunnel over TLS みたいな感じで、CONNCT の後さらに二重にTLSセッション張ってしまえば、中身わからなくなるんじゃない?
普通、TLSって開封してみるもんなんじゃ。。よくしらんけど。
# 証明書配布はセット。
https://ja.softether.org/@api/deki/files/4/=1.2.jpg [softether.org]
このプロダクトのVPN部分のSoftEtherは4つの接続モードが提供されています。一番左のEthernet over HTTPSはDPIでもブロックできないと公式が明言しています。
"ディープ・パケット・インスペクション・ファイアウォール (パケットの内容を高レイヤで分析して遮断する種類の高度なファイアウォール) であっても、SoftEther VPN における VPN 伝送のためのパケットを検出することができません。なぜならば、SoftEther VPN は伝送プロトコルにおいて Ethernet パケットを HTTPS パケットに「偽装」して伝送することができるためです。"https://ja.softether.org/ [softether.org]
パケットを覗いた方曰く
設定しているVPN Serverに対してCONNECTで繋いだ後、POST https://127.0.0.1/ [127.0.0.1]... とかしていて、こりゃ並のTLS解くプロキシ経由では繋がらんなと笑った。FiddlerのHOSTS機能で127.0.0.1を本来のVPN Serverに向けてやれば、一応少しだけ進んだ。image/jpegとか言いながらGIF89aのシグネチャが付いた謎のPOSTするし、応答も謎のバイナリだし、めっちゃ混乱する。接続完了と言いつつDHCPでIPアドレス取ってこれないあたり、まだ何か壁があるみたいだ。
https://twitter.com/falms/status/1034822235750465537 [twitter.com]
Ethernetの場合、普通パケットと言わずにフレームと言わない?
と思ったけど、SoftEtherの公式がパケットって書いてるのか。
RTXレベルの奴じゃ制御できないと思うぞ、これ。CPU負荷的にも。Sophos UTMとかXG当たりがアプリケーションファイアウォールの下限だと思う。
疑問なんだけど、これってリモートワークのためのツールでしょ?どうして業務のためのツールが登場すると真っ先にブロックすることを考えるの?
セキュリティ上、必要ならブロックできた方が良いのは分かるどうして同僚の仕事を邪魔したいの? そういう戦略なの?
おもろい奴だな。どう見ても業務以外で悪用可能だろ。
まともな会社ならリモートワークするにしても情シス部門がコントロールするから。
リモートワークの許可が出てればブロックなんてする必要はないし、君んとこが会社に無断で外部からLANに入るようなことをしても何も言われない会社なら、この話は理解できないと思う。
リモートワークの許可出していても、ユーザーの裁量のみで勝手に外部の環境と接続できるようにするソフトはブロックしたいぞ。リモートワークするんだったら、もうちょっと手綱を管理者側で取りたい。
#ソフトイーサってなんか昔から微妙にオフィスユースで欲しいものとずれたもの出してくるんだよなぁ。
トンネルのリダイレクタになっているIPアドレス・FQDNを調べていってBlacklistにいれていくしかないか。誰か既に調査した人いないですかね
リモートワークを禁止すれば?
別段リモートワークを禁止にすればいいってもんじゃなくてだな...このソフトは一般権限で動くのが問題なんだよね。リモートワークじゃなくても使えるから。
リモート操作される側のPCの、HTTPS通信量を調べてみればどうでしょうか。通常のHTTPS通信であれば、少量のリクエストに対して多くのリプライがあるはずですが、リモートデスクトップ化されている場合、このパターンが逆になり、出ていく量がGETリクエストを送っているとは思えない量になっているのでは。長時間HTTPS接続を張りっぱなしにしているのも目安になると思います。
NTTがやっていた MagicConnect [magicconnect.net]というツールが、クライアントと遠隔PCの両方からクラウドに接続させて両者をクラウド上で橋渡しする仕組みとか、リモートデスクトップにはMicrosoftのRDPをそのまま使うとか、ポートには443を使うところとか、なんかよく似ているというか、これを焼き直したものなんじゃないかという気がします。
MagicConnectはHOME版では動かないことからRDPをそのまま使っていたようです。このツールもQ&AにはRDPのポート3389を127.0.0.1に対しては開けておけと書いているので、HOME版でもRDPが使えるようRDPWrapper [github.com]のようなことをして
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
新しい悩みの種... (スコア:3, 参考になる)
システム管理者にとっては新しい悩みの種のご登場ですな。管理者権限なくても動作可能なのは企業的にはマズい。
しっかり機密度に応じてネットワーク自体がゾーニング出来てればいいけど、そんな企業は大企業でもでも案外少ないからなぁ。
大半のPCは利便性から特にクラウド全盛になった今となってはインターネットにリーチできるだろう。
その状態でこれの登場となると、管理者権限いらないキャプチャ型のリモートデスクトップソフトと組み合わせたら、ねぇ。
Re:新しい悩みの種... (スコア:2)
squidでSSL(透過)プロキシ(クライアントには証明書を読ませる)をはめたゲートウェイサーバを噛ませていると外に出られなかったので、制限という意味では制限出来そう
#逆にどうやったら出られるか知りたい・・・もっと勉強しなきゃ・・・。
Re: (スコア:0)
単なる困っちゃん対策ならインストールやプロセスを監視してしょっ引けばよいのでは。
これを突破できるぐらいに奴になるとネットに繋がる環境を与えた時点で何でもありな気がする。
Re: (スコア:0)
インターネットのゲートウェイ(ルータとかファイヤウォール)を、deep packet inspection (DPI) の機能を持った製品に置き換えればブロック出来ますよ。
L4-7 の挙動とかペイロードを分析して、既知のアプリケーションであればポート番号に関わらずブロックしてくれます。
ヤマハの RTX のように、安い製品でも DPI を搭載した製品がありますので探してみてはどうでしょう。
Re:新しい悩みの種... (スコア:2)
SoftEtherの仕様覚えてないけど、SSH tunnel over TLS みたいな感じで、
CONNCT の後さらに二重にTLSセッション張ってしまえば、中身わからなくなるんじゃない?
Re: (スコア:0)
普通、TLSって開封してみるもんなんじゃ。。よくしらんけど。
# 証明書配布はセット。
Re:新しい悩みの種... (スコア:2, 興味深い)
https://ja.softether.org/@api/deki/files/4/=1.2.jpg [softether.org]
このプロダクトのVPN部分のSoftEtherは4つの接続モードが提供されています。
一番左のEthernet over HTTPSはDPIでもブロックできないと公式が明言しています。
"ディープ・パケット・インスペクション・ファイアウォール (パケットの内容を高レイヤで分析して遮断する種類の高度なファイアウォール) であっても、SoftEther VPN における VPN 伝送のためのパケットを検出することができません。なぜならば、SoftEther VPN は伝送プロトコルにおいて Ethernet パケットを HTTPS パケットに「偽装」して伝送することができるためです。"
https://ja.softether.org/ [softether.org]
Re:新しい悩みの種... (スコア:2, 興味深い)
パケットを覗いた方曰く
設定しているVPN Serverに対してCONNECTで繋いだ後、POST https://127.0.0.1/ [127.0.0.1]... とかしていて、こりゃ並のTLS解くプロキシ経由では繋がらんなと笑った。
FiddlerのHOSTS機能で127.0.0.1を本来のVPN Serverに向けてやれば、一応少しだけ進んだ。image/jpegとか言いながらGIF89aのシグネチャが付いた謎のPOSTするし、応答も謎のバイナリだし、めっちゃ混乱する。
接続完了と言いつつDHCPでIPアドレス取ってこれないあたり、まだ何か壁があるみたいだ。
https://twitter.com/falms/status/1034822235750465537 [twitter.com]
Re: (スコア:0)
Ethernetの場合、普通パケットと言わずにフレームと言わない?
と思ったけど、SoftEtherの公式がパケットって書いてるのか。
Re: (スコア:0)
RTXレベルの奴じゃ制御できないと思うぞ、これ。CPU負荷的にも。
Sophos UTMとかXG当たりがアプリケーションファイアウォールの下限だと思う。
Re: (スコア:0)
疑問なんだけど、これってリモートワークのためのツールでしょ?
どうして業務のためのツールが登場すると真っ先にブロックすることを考えるの?
セキュリティ上、必要ならブロックできた方が良いのは分かる
どうして同僚の仕事を邪魔したいの? そういう戦略なの?
Re: (スコア:0)
おもろい奴だな。どう見ても業務以外で悪用可能だろ。
Re: (スコア:0)
まともな会社ならリモートワークするにしても情シス部門がコントロールするから。
Re: (スコア:0)
リモートワークの許可が出てればブロックなんてする必要はないし、
君んとこが会社に無断で外部からLANに入るようなことをしても何も言われない会社なら、この話は理解できないと思う。
Re: (スコア:0)
リモートワークの許可出していても、ユーザーの裁量のみで勝手に外部の環境と接続できるようにするソフトはブロックしたいぞ。
リモートワークするんだったら、もうちょっと手綱を管理者側で取りたい。
#ソフトイーサってなんか昔から微妙にオフィスユースで欲しいものとずれたもの出してくるんだよなぁ。
Re: (スコア:0)
トンネルのリダイレクタになっているIPアドレス・FQDNを調べていってBlacklistにいれていくしかないか。
誰か既に調査した人いないですかね
Re: (スコア:0)
リモートワークを禁止すれば?
Re:新しい悩みの種... (スコア:1)
別段リモートワークを禁止にすればいいってもんじゃなくてだな...
このソフトは一般権限で動くのが問題なんだよね。リモートワークじゃなくても使えるから。
Re: (スコア:0)
リモート操作される側のPCの、HTTPS通信量を調べてみればどうでしょうか。通常のHTTPS通信であれば、少量のリクエストに対して多くのリプライがあるはずですが、リモートデスクトップ化されている場合、このパターンが逆になり、出ていく量がGETリクエストを送っているとは思えない量になっているのでは。長時間HTTPS接続を張りっぱなしにしているのも目安になると思います。
新しい…の? (スコア:0)
NTTがやっていた MagicConnect [magicconnect.net]というツールが、クライアントと遠隔PCの両方からクラウドに接続させて両者をクラウド上で橋渡しする仕組みとか、リモートデスクトップにはMicrosoftのRDPをそのまま使うとか、ポートには443を使うところとか、なんかよく似ているというか、これを焼き直したものなんじゃないかという気がします。
MagicConnectはHOME版では動かないことからRDPをそのまま使っていたようです。このツールもQ&AにはRDPのポート3389を127.0.0.1に対しては開けておけと書いているので、HOME版でもRDPが使えるようRDPWrapper [github.com]のようなことをして