エンジニアは性善説ではなく性悪説で考える!?
2004年5月21日 お仕事まったく、物騒な物を作って無責任にリリースしちゃったよ、この学生…。
最近、softetherなるものに頭を悩まされています。
これが何かと言うと、お手軽にVPN環境構築するための、ミドルウェア
って感じのものです。
通常はVPNを構築する際はそれなりの知識を持ったSEがネットワーク
設計をして、それなりの機器を用意して構築するのですが、それが全く
必要なくなります。
詳しくは下記のページを参照してください。
ttp://www.softether.com/jp/
これの何が問題かってーと、仮想HUBと呼ばれるネットワークと接続
した瞬間に、そのPCが以前から接続していたネットワークと仮想HUB
と呼ばれるネットワークとが、繋がってしまうんです。
しかも、仮想HUBに対しての通信は頻繁に通信に仕様するポートを使用
するので、企業内のネットワークをFireWall、NAT、PROXYで外部との
不要な通信を規制してもすり抜けてしまい、企業情報の漏洩に繋がって
しまう恐れがあります。
ネットワーク管理者、企業内セキュリティを担当する人間にとっては頭
の痛い問題です。
仕組みはすばらしいです。
良く考えられたものだと思います。
それは認めます。
だが、性善説のみで考えていませんか?
ノーベルがダイナマイトを発明したが、彼の思惑とは違う使われ方で多く
の命が地球上から消えました。
この開発者は同じ事を繰り返そうとしているように見えてなりません。
無責任にリリースしてほしくはなかったですねー。
っで、考えれるだけの企業内ネットワーク管理者が可能な対抗策を書い
てみます。
1、FierWall、NAT、PROXYサーバのログ
おそらく、通常ではありえない数のアクセスが特定ポートを使用して
行われるはずです。
怪しそうなアクセスログは逐次チェックする必要があります。
2、エンドユーザ使用端末のインベントリ収集
最近の端末管理システムは各端末にどんなプロダクトがインストール
されているかを一元的に管理できます。
それを定期的にチェックし、softetherを使用している端末をネット
ワークから切断させるようにする。
3、特定サービス(プロセス)が立ち上がるので、ツールを使用しチェックする
仮想HUBと仮想NICを実現するためのサービス(プロセス)が必ず立ち
上がると予測されるので、それらが立ち上がっている端末がないかを
ツールを使用し、定期的にチェックする。
ちなみに、開発者が提唱する端末のローカルAdministratorパスワード
を管理する方法については、管理工数が膨大になり非現実的な方法なの
で、間に受けない方がいいかもしれません。
(だった、3万台の端末を管理とかは大企業ではあり得る話ですから、
その辺を考慮すると…、無理ですよねー。)
他に、こんな方法もあるよっという方は御教授ください。
よろしくお願いします。
最近、softetherなるものに頭を悩まされています。
これが何かと言うと、お手軽にVPN環境構築するための、ミドルウェア
って感じのものです。
通常はVPNを構築する際はそれなりの知識を持ったSEがネットワーク
設計をして、それなりの機器を用意して構築するのですが、それが全く
必要なくなります。
詳しくは下記のページを参照してください。
ttp://www.softether.com/jp/
これの何が問題かってーと、仮想HUBと呼ばれるネットワークと接続
した瞬間に、そのPCが以前から接続していたネットワークと仮想HUB
と呼ばれるネットワークとが、繋がってしまうんです。
しかも、仮想HUBに対しての通信は頻繁に通信に仕様するポートを使用
するので、企業内のネットワークをFireWall、NAT、PROXYで外部との
不要な通信を規制してもすり抜けてしまい、企業情報の漏洩に繋がって
しまう恐れがあります。
ネットワーク管理者、企業内セキュリティを担当する人間にとっては頭
の痛い問題です。
仕組みはすばらしいです。
良く考えられたものだと思います。
それは認めます。
だが、性善説のみで考えていませんか?
ノーベルがダイナマイトを発明したが、彼の思惑とは違う使われ方で多く
の命が地球上から消えました。
この開発者は同じ事を繰り返そうとしているように見えてなりません。
無責任にリリースしてほしくはなかったですねー。
っで、考えれるだけの企業内ネットワーク管理者が可能な対抗策を書い
てみます。
1、FierWall、NAT、PROXYサーバのログ
おそらく、通常ではありえない数のアクセスが特定ポートを使用して
行われるはずです。
怪しそうなアクセスログは逐次チェックする必要があります。
2、エンドユーザ使用端末のインベントリ収集
最近の端末管理システムは各端末にどんなプロダクトがインストール
されているかを一元的に管理できます。
それを定期的にチェックし、softetherを使用している端末をネット
ワークから切断させるようにする。
3、特定サービス(プロセス)が立ち上がるので、ツールを使用しチェックする
仮想HUBと仮想NICを実現するためのサービス(プロセス)が必ず立ち
上がると予測されるので、それらが立ち上がっている端末がないかを
ツールを使用し、定期的にチェックする。
ちなみに、開発者が提唱する端末のローカルAdministratorパスワード
を管理する方法については、管理工数が膨大になり非現実的な方法なの
で、間に受けない方がいいかもしれません。
(だった、3万台の端末を管理とかは大企業ではあり得る話ですから、
その辺を考慮すると…、無理ですよねー。)
他に、こんな方法もあるよっという方は御教授ください。
よろしくお願いします。
コメント