[connect24h:02402] Re: 話題提供 4/7

[ohmizu yuichi <yu1ohmizu@xxxxxxx>]

おおみずです。
こんにちは。

Toshiboumi bugbird Ohtaさんが01.4.8 9:25 PMに書きました：
>太田＠タイムインターメディア　です
>
>hama wrote:
><snip>
>> 幹線におけるVPN通信を傍受する事でフォルダやファイルの内容を盗み
>> だすことは難しいかも知れませんが、デバ亀が無線LANから内部ネット
>> ワークに侵入する事ができれば、防御されていないホストへはIPレベ
>> ルで到達可能であるから、セキュリティ的に危ないと言う話ではない
>> かと思います。
>
>　だから無線 LAN 接続装置を「生」で LAN に繋ぐのは論外。
>ルータを対向させて IPsec などでトンネリングさせて、生の
>IP 接続はフィルタで叩き落さないかん…　
>
>　これが「上位レベルがちゃんと…」の意図するところだった
>りして (^^;
>
>　ネットワークの話題はスタンドアロンからシステム全体までが
>ボーダレスなんで、どのように実践するかについて合意を得るのが
>難しいですね。
>

私が考えている問題点の一つとして、無線LANのAPより先のセキュリティ
を高めることはいくらでもできると思うのですが、同一の無線LANのAPに
接続したPC同士は、その時点でお互いアクセスできてしまうということ
です。

無線LANのAPはブリッジなのでフィルタリングの機能もありますが、
それは有線LANと無線LANのフィルタリングであって、無線LAN端末同士
のフィルタリングではありません。無線LANのなかは同一のコリジョン
ドメインになってしまいます。
ですので、NetBEUIなどを使っていればお互いのフォルダが見えます。

＃思いっきり素人な質問ですが、IPSecなどのVPNって、IP以外のプロトコル
　たとえばNetBEUIなどものっかるものなのでしょうか？
　私の経験では、のらないような気がしているんですが。

ですので、IPは全てVPNにして、NetBEUIは使わないという仕様にする
という手もあるわけですが、それよりはまず、無線LANに参加する時点の
認証をしっかりやるというのが大切かなと思っています。

たとえばLucentの製品はMACアドレスをRADIUSで認証ができるようですし、
CiscoだとWindowsログインのユーザーネームとパスワードをRADIUSで
認証してダイナミックにWEPの暗号キーをふる形がとれるようですね。

------------------------------------------------------------------------
　　　　◆桜も良いけど爽やか季節♪　〜お出かけどこ行く？！
 http://www.infoseek.co.jp/Playspot?pg=playspot_top.html&svx=971122