[connect24h:1830] Re:Re:Re:ad2001とInternetWeek2001

[kobayasi@xxxxxxxxxxxxxxxxxxxx]

こばやしです

はまもとさん:
 >受動的攻撃で内部からリバースtelnetとかを掛けられないためにも、HTTPはProxy
 >を通して、メールは自社のメールサーバだけに通信できるようにするとか、内から外に
 >出て行くパケットに関しても当然フィルタリングするとか、ログをとるとか、コンテン
 >ツフィルタリング（WEB、メール）でログをとるとかが、東京などでは普通になってきて
 >いるのではないでしょうか。

でも、HTTP tunnel(with SSL)とかされるとなんでもありになってしまうんですよね。
少し前の記事で AOL での IP tunnel 型のダイアルアップの話が出てましたけど、
PPP over HTTP tunnel なんていうサービスを用意するプロバイダが現われたら
いったいどうしたらいいんでしょう。(^^;

 >> # 最近の傾向をみると、むしろ受動的攻撃のほうがお手軽に行なわれている気すら
 >> # します。
 >
 >受動的攻撃対策で、内から外に対しても簡単にセッションをはれないようにする必要
 >はあると思います。

こういった対策をゲートウェイ部分だけでしようとすると、どうしても粗くなって
しまうような気がします。結局、そのセッションをどのようなプロセスがどのよう
な意図で張ろうとしているかを完全に把握できるのは、端点のホストだけですから。
その意味でパーソナルファイアウォールのような方向性は(現行製品の完成度はとも
かくとして)正しいように思われます。ゲートウェイ部分のファイアウォールと、端
点のホスト上のパーソナルファイアウォール的なものが連携して動くというイメージ
でしょうか。

正岡＠KUTさん:
> | IPv6 に対応しているような最近のルータであれば何らかのファイアウォールとし
> | ての機能を持っているんじゃないでしょうか。
>
>CISCO はまだです。
>記憶が確かなら Phase3 で対応のはずで、今の Phase2 では基本的な
>パケットフィルタリング機能だけです。

う〜む、CISCO がまだというのはつらいですね〜
-- 
KOBAYASHI Yoshiaki


--[PR]------------------------------------------------------------------
┏━┓┏━┓┏━┓┏━┓年 を迎える皆さんへ！！
┏━┛┃□┃┃□┃┏━┛￣￣￣￣￣￣￣￣￣￣￣￣
┗━┛┗━┛┗━┛┗━┛名 にどど〜んと豪華賞品プレゼント！！
今すぐ〜〜〜〜〜〜〜〜〜￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
応募⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=aC5RA
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp