パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTT東とIPAなどが「シン・テレワークシステム」を開発、無償提供」記事へのコメント

  • by Anonymous Coward

    システム管理者にとっては新しい悩みの種のご登場ですな。管理者権限なくても動作可能なのは企業的にはマズい。
    しっかり機密度に応じてネットワーク自体がゾーニング出来てればいいけど、そんな企業は大企業でもでも案外少ないからなぁ。
    大半のPCは利便性から特にクラウド全盛になった今となってはインターネットにリーチできるだろう。
    その状態でこれの登場となると、管理者権限いらないキャプチャ型のリモートデスクトップソフトと組み合わせたら、ねぇ。

    • by Anonymous Coward on 2020年04月22日 15時36分 (#3802285)

      インターネットのゲートウェイ(ルータとかファイヤウォール)を、deep packet inspection (DPI) の機能を持った製品に置き換えればブロック出来ますよ。
      L4-7 の挙動とかペイロードを分析して、既知のアプリケーションであればポート番号に関わらずブロックしてくれます。
      ヤマハの RTX のように、安い製品でも DPI を搭載した製品がありますので探してみてはどうでしょう。

      親コメント
      • by nim (10479) on 2020年04月22日 16時25分 (#3802339)

        SoftEtherの仕様覚えてないけど、SSH tunnel over TLS みたいな感じで、
        CONNCT の後さらに二重にTLSセッション張ってしまえば、中身わからなくなるんじゃない?

        親コメント
        • by Anonymous Coward

          普通、TLSって開封してみるもんなんじゃ。。よくしらんけど。

          # 証明書配布はセット。

      • by Anonymous Coward on 2020年04月22日 16時44分 (#3802354)

        https://ja.softether.org/@api/deki/files/4/=1.2.jpg [softether.org]

        このプロダクトのVPN部分のSoftEtherは4つの接続モードが提供されています。
        一番左のEthernet over HTTPSはDPIでもブロックできないと公式が明言しています。

        "ディープ・パケット・インスペクション・ファイアウォール (パケットの内容を高レイヤで分析して遮断する種類の高度なファイアウォール) であっても、SoftEther VPN における VPN 伝送のためのパケットを検出することができません。なぜならば、SoftEther VPN は伝送プロトコルにおいて Ethernet パケットを HTTPS パケットに「偽装」して伝送することができるためです。"
        https://ja.softether.org/ [softether.org]

        親コメント
        • by Anonymous Coward on 2020年04月22日 20時08分 (#3802476)

          パケットを覗いた方曰く

          設定しているVPN Serverに対してCONNECTで繋いだ後、POST https://127.0.0.1/ [127.0.0.1]... とかしていて、こりゃ並のTLS解くプロキシ経由では繋がらんなと笑った。
          FiddlerのHOSTS機能で127.0.0.1を本来のVPN Serverに向けてやれば、一応少しだけ進んだ。image/jpegとか言いながらGIF89aのシグネチャが付いた謎のPOSTするし、応答も謎のバイナリだし、めっちゃ混乱する。
          接続完了と言いつつDHCPでIPアドレス取ってこれないあたり、まだ何か壁があるみたいだ。

          https://twitter.com/falms/status/1034822235750465537 [twitter.com]

          親コメント
        • by Anonymous Coward

          Ethernetの場合、普通パケットと言わずにフレームと言わない?

          と思ったけど、SoftEtherの公式がパケットって書いてるのか。

      • by Anonymous Coward

        RTXレベルの奴じゃ制御できないと思うぞ、これ。CPU負荷的にも。
        Sophos UTMとかXG当たりがアプリケーションファイアウォールの下限だと思う。

      • by Anonymous Coward

        疑問なんだけど、これってリモートワークのためのツールでしょ?
        どうして業務のためのツールが登場すると真っ先にブロックすることを考えるの?

        セキュリティ上、必要ならブロックできた方が良いのは分かる
        どうして同僚の仕事を邪魔したいの? そういう戦略なの?

        • by Anonymous Coward

          おもろい奴だな。どう見ても業務以外で悪用可能だろ。

        • by Anonymous Coward

          まともな会社ならリモートワークするにしても情シス部門がコントロールするから。

        • by Anonymous Coward

          リモートワークの許可が出てればブロックなんてする必要はないし、
          君んとこが会社に無断で外部からLANに入るようなことをしても何も言われない会社なら、この話は理解できないと思う。

          • by Anonymous Coward

            リモートワークの許可出していても、ユーザーの裁量のみで勝手に外部の環境と接続できるようにするソフトはブロックしたいぞ。
            リモートワークするんだったら、もうちょっと手綱を管理者側で取りたい。

            #ソフトイーサってなんか昔から微妙にオフィスユースで欲しいものとずれたもの出してくるんだよなぁ。

犯人はmoriwaka -- Anonymous Coward

処理中...