KAMEプロジェクト - 西暦2005年IPv6への旅立ち

1 ：森 善郎 ：01/10/05 17:08

今IPv6を批判している奴等も、何時の日かIPv6に移行せざるを
得なくなるよ。

58 ：名無しさん＠お腹いっぱい。 ：01/10/15 00:12

NATを使うと src addr/port - dst addr/portで出て行ったパケットに
ついては逆向きにも穴があくが、それではまずい場合もあるので
結局パケットフィルタは必要になる。
まずい場合ってのは、たとえば、file://IP-ADDRESS/ ってリンクを
windows boxでクリックした場合とかね。

59 ：名無しさん＠お腹いっぱい。 ：01/10/15 07:25

>>58
同意。
NATだけで妙に安心してしまう勘違いが元凶だな。

60 ：名無しさん＠お腹いっぱい。 ：01/10/15 08:50

NAT があってもなくてもパケットフィルタが
必要なら、NAT がない方が幸せかな・・・。

IPSec とか使える様になるし。

61 ：名無しさん＠お腹いっぱい。 ：01/10/15 09:06

>>58
> file://IP-ADDRESS/ ってリンクを windows boxでクリック

するとどういう挙動をするんだろう。Windows マシンが
ないのでよくわからんが、外から中へ SMB の穴が空いちゃうのかな?

62 ：58 ：01/10/15 14:22

>>61
DNSで名前が引けないと、なんとsrc 137/udp - dst 137/udpで
Netbios名を引きに行くのだ。

63 ：名無しさん＠お腹いっぱい。 ：01/10/15 15:17

>>62
ありゃりゃ。bind への attack が可能になるのか…。

にしても、Nimda のおかげで firewall があっても、firewall
の内の各 client が secure でなければ穴が出来るっていう
事実が多少知られてきたのは嬉しいところ。

いや、悲しいところなのかもしれないけど。

64 ：名無しさん＠お腹いっぱい。 ：01/10/15 21:56

>>63
じゃなくて NetBIOS name service だけどね。まあいいや。

あとはなんだろ。v6 になるとプライバシーが保護できなくなるとか
煽ってたバカがどっかにいたなぁ。

65 ：名無しさん＠お腹いっぱい。 ：01/10/15 23:06

>>61
え、これってつまり、そのfile://IP-ADDRESS のIP-ADDRESSのとこのNetBIOS name serviceに
聞きに行っちゃうの？？

66 ：名無しさん＠お腹いっぱい。 ：01/10/16 00:32

>>64
>>15 だね。消えたみたいだけど。

67 ：名無しさん＠お腹いっぱい。 ：01/10/16 01:14

>>65
聞きに行く。しかもsrc port 137で。

68 ：名無しさん＠お腹いっぱい。 ：01/10/16 11:10

>>64
>>66
私が見たことあるのは、「v6 になると、どのメーカーのマシンを使っているか
企業が収集できるようになる」とかほざいてた奴ね。
ホストアダプタのベンダー判ったからって何になるんだよ！
って突っ込んでおきましたが(笑)

69 ：名無しさん＠お腹いっぱい。 ：01/10/16 11:43

>>68
インテル入ってないぞごるぁ！
とか、圧力かかったりして。

70 ：名無しさん＠お腹いっぱい。 ：01/10/16 19:04

>>67
う〜む。なんで src が 137 なんじゃ…。結果、その IP への 137 が素通し
になるじゃ、attack してくれといってるようなもんですな。

>>68
あ、そういうやつもいますな。通信技術板の
http://mentai.2ch.net/test/read.cgi/network/981004362/117
みたいな感じで。

71 ：僕が洋太郎 ：01/10/18 00:40

NAT 関係の勘違いって、packet filtering してくれる
ソフトウェアが NAT/NAPT 機能を包含している事に起因
している様な気もするんですが、どうでしょう？

72 ：ななしさん＠おなかいっぱい ：01/10/18 00:45

>>70
NetBIOS nns って、srcとdstの両方udp/137でやりとりしてるもんだと思って
たけど。違ったけ？

73 ：しろーと ：01/10/18 00:50

WinマシンでNBT(NetBIOS over TCP/IP)を無効にしたらどうなるのかな？

read.cgi ver5.26+ (01/10/21-)