5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SoftEther によるファイアウォールの突破

1 :neko:03/12/15 12:56 ID:???
仮想ネットワーク通信ソフトウェア「SoftEther」に関するスレッド

■ 仮想ネットワーク構築・通信ソフトウェア 『SoftEther』 を発表
制限の多いネットワーク上でも自由に仮想ネットワークを構築することができる、新しい VPN システム
http://www.softether.com/jp/news/031215.aspx

コピペ:
"SoftEther" とは、"Software Ethernet" (ソフトウェア的なイーサネット) の
略語です。Ethernet は現在ほとんどの LAN で利用されている通信方式であり、
これをソフトウェア的にエミュレートすることにより仮想ネットワーク (VPN) を
構築することが可能です。現在、SoftEther ソフトウェアは
Windows 2000、Windows XP、Windows Server 2003 に対応しています。
SoftEther は、現在の制限の多い LAN やインターネット上で、完全に自由な
通信を行うために開発された仮想ネットワーク通信ソフトウェアです。
SoftEther の仮想ネットワークにより、離れた場所にあるコンピュータ同士や
ネットワーク同士を、暗号化されたカプセル化通信により接続することができます。
途中にファイアウォールやプロキシ サーバーが存在する場合も、
それらの障壁を回避して通信可能です。

2 :  :03/12/15 14:02 ID:???
>途中にファイアウォールやプロキシ サーバーが存在する場合も、
>それらの障壁を回避して通信可能です。

>>1はこれに反応してスレタイつけたのだろうが無知丸出しだな

3 :ko:03/12/15 16:41 ID:Nx4270MR
http://internet.watch.impress.co.jp/cda/news/2003/12/15/1493.html

4 :ななし:03/12/15 18:19 ID:R9tJec8P
ジョークRFCのhttp over tcp/ip が 現実になったんじゃないの?

5 :sage:03/12/15 20:36 ID:???
http over tcp/ip は当然だろう


 …と、一応突っ込んでおく。


6 :ko:03/12/15 21:00 ID:Nx4270MR
TCP/IP over HTTP
(Ethernet over HTTP)

7 :anonymous@ proxy119.docomo.ne.jp:03/12/15 21:35 ID:n5p1DeBB
自宅と会社でNFSでもNETBIOSでもファイル共有ができるな、
URLフィルタがなければの話だが

ほかにいいことあるか?

8 :?:03/12/15 21:38 ID:???
どっかのプレゼンでこういう機器を見たなあ

L3-VPNを透過してEtherのマルチキャストを簡単に流したり、
L3-VPNで遠隔にVLAN伸ばしたりできるってことで興味あったんですけど忘れてました

ただ、これを末端の端末同士でソフトでやる意味があるかは謎ですが、、、

モグリでのFirewall抜けが目的なら殆どの場合はダメでしょうね
今時のFirewallはL7でかなり厳密に見てるんで
SMTPやHTTPというか、80や25でカプセルしたら殆どのFirewallは抜けられません


9 :仕様書無しさん:03/12/15 21:57 ID:Nx4270MR
HTTPSを偽装するのでFirewallは中身をチェックできません

10 :anonymous@ N71cd-01p6-151.ppp11.odn.ad.jp:03/12/15 22:03 ID:JP8DjF4K
勝手にブリッジ作ったら、社内のネットワーク筒抜け。
産業スパイご用達でつか。

11 :?:03/12/15 22:15 ID:???
>>9
え?!
今のまともなFirewallってSSL-Handshakeが無くても447を通すんでしたっけ?
随分と意味の無いL7機能ですね


12 :11:03/12/15 22:17 ID:???
ああ、ごめんなさい
SSLでカプセルするってことは最初にHandshakeするのか
失礼しました


>>10
多分、あなたが想像してるものとは違います


13 :仕様書無しさん:03/12/15 22:36 ID:???
>>10
ブリッジ組むには内部の社員の手引きがいる罠

14 :anonymous@ N71cd-01p6-151.ppp11.odn.ad.jp:03/12/15 22:36 ID:JP8DjF4K
>>12
多分間違えていません。
外部からFirewallで守られていても、内部から外部仮想HUBに何者かが接続し、ブリッジすれば、外部からFirewall関係無しに内部LANにアクセスできると思います。

15 :anonymous@ N71cd-01p6-151.ppp11.odn.ad.jp:03/12/15 22:37 ID:JP8DjF4K
手引き or 侵入が前提ですよん。
だから、産業スパイが使うかなー。と。

16 :仕様書無しさん:03/12/16 07:37 ID:???
まあ色々変な使い方とかができて楽しそうだ

17 :anonymous@ softether-gateway.yagi3.jp:03/12/16 17:59 ID:???
あと6時間

18 :?:03/12/16 20:49 ID:???
>>12
多分ブリッジという表現を曲解してる
Etherをカプセルしてるからブリッジという表現を使っているけど、
実際にはTCPのエンド同士のPointToPointだよ

エンドの端末がカプセルの終端でどういう風に処理するかは、
(ブリッジするにしてもルーティングするにしても)
SoftEtherのセキュリティを評価する上では関係ない

これが危険だというなら、Firewall越えのL2TPでもIPsecでも全く同じことが言える
Firewall越えのカプセル自体がそもそもセキュリティ上の問題だという話なら、
Softehterのセキュリティに対する議論とは違いますよね?

ただ別のところで、認証とかが激しく弱そうなので、
セキュリティが弱そうだということは間違いないと思うけど


19 :七誌:03/12/16 22:33 ID:???
>>18
普通の企業のFWはL2TPやPPTPを防げるが
SoftEtherのパケットは通り抜けられるので
管理者の気がつかないところで裏口を作られてしまうということで危険。

> 実際にはTCPのエンド同士のPointToPointだよ
SoftEtherはHUBをエミュレートするので C/S 型だと思う

20 :anonymous@ softether-gateway.yagi3.jp:03/12/17 00:44 ID:Kp8TupPN
IPX流してる奴も居るんだなあ


21 :anonymous@ softether-gateway.yagi3.jp:03/12/17 00:50 ID:Kp8TupPN
SoftEther の実験用の HUB を経由すると全員このホスト名になるのか

これはおもろい

22 :anonymous@ softether-gateway.yagi3.jp:03/12/17 02:05 ID:???
何がおもろいのか?

23 :名無しさん:03/12/17 02:41 ID:???
いや〜これは熱い
会社からつないでみよ〜っと

24 :anonymous@ YahooBB218114096034.bbtec.net:03/12/17 08:00 ID:???
UNIX用のhubツールが出るとさらに進化しそうだ

25 :名無し:03/12/17 08:02 ID:???
デフォが節穴とは抜かったわ_| ̄|○

26 :anonymous@ softether-gateway.softether.net:03/12/17 11:46 ID:Kp8TupPN
ii!!

27 :らる:03/12/17 19:30 ID:BGvzk2Zs
このソフトはすげー。

28 :ななし:03/12/17 19:46 ID:???
なかなかやるなとは思うが・・・

>・ SoftEther のソースコードは公開されますか?
>ソースコード本体の公開予定は未定です。SoftEther プロトコルに
>関する仕様書などは近日中にすべてオープン化される予定です。

ってあたりが「?」って感じ。

この作者、若い頃から「ソフト書く=お金」って事を覚えてしまってる。
正直残念に思う。

29 :anonymous@ st0992.nas921.k-tokyo.nttpc.ne.jp:03/12/17 20:23 ID:???
ためしに W2k に入れてみたら、Softハブのユーザー追加で、NULLアクセス例外・・・

30 :anonymous@ softether-gateway.softether.net:03/12/17 20:40 ID:???
サービスを再起動すれば直る

31 :anonymous@ N71cd-01p6-151.ppp11.odn.ad.jp:03/12/17 20:48 ID:???
>>28
あなたは、開発したソフトをオープンソースですべて無料で公開してるんですか?

32 :ななし:03/12/17 21:01 ID:???
>>31

詭弁のガイドラインその16だな。

作者さんですか?

33 :ななし:03/12/17 21:07 ID:???
>>28
詭弁のガイドラインその4だな。

作者さんですか?

34 :softether-gateway.softether.net:03/12/17 21:56 ID:???
fusianasan

35 :七資産:03/12/17 23:34 ID:???
>28
未踏から金が出てるんだろ
元は税金じゃないのか?

実際まだ完成しているとは言いがたいし

36 :anonymous@ m027144.ap.plala.or.jp:03/12/18 01:02 ID:???
これ以上荒らさないで下さい
http://sports.2ch.net/test/read.cgi/fish/1070809041/l50

37 :名無しさん:03/12/18 01:42 ID:???
うほ、会社で規制かけられてる2ch見れた!
こりゃええ

38 :anonymous@ softether-gateway.softether.net:03/12/18 01:51 ID:???
うちの会社のシステム管理連中は公開当日になってその存在を知ったみたい
全てにおいてそんな感じ
仕事もグズだし、呆れてモノも言えん

39 :anonymous@ softether-gateway.softether.net:03/12/18 02:00 ID:???
で、防火壁抜けが駄目だろうとか危険じゃないとか言っていたのはどこいったんだ?

40 :う〜ん:03/12/18 04:27 ID:???
たしかHTTPSのSessionをFirewallで終端させる製品があったと思うんですが、
そんなFirewall+URL FilterでSoftEtherは防げるって事ですよね。
(HTTPSによるトンネリングの場合ですが)


41 :七資産:03/12/18 06:40 ID:???
単純なブラウジングまで防ぐのだろうか
これのせいでへんなプロテクト需要が生まれるのもなんだかなぁ

42 :名無しさん@お腹いっぱい。:03/12/18 09:45 ID:???
これは・・・・(・∀・)イイ!!

43 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 16:33 ID:???
MAC層のパケットをTCP/IPパケットにカプセルしてトンネリングする
TCP/IPでもAppleTalkでもIPXでもNetBIOSでも何でも通すVPN

と思っていいのかな?
ソフトの出来は見てないけど、ウエブ上のドキュメントはとてもよくできている。
たくさんの図を使って、興味を引きやすいドキュメント作り。
とても学生さんとは思えない。そこらのメーカの技術者の作るドキュメントより
よっぽど良くできてる。


44 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 16:36 ID:???
カプセルしたTCP/IPパケットはHTTPSとかSSHとかネイティブプロトコルとか、選択肢が
あるということかな?
Firewallをすり抜ける方法を複数用意しているということか?

45 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 16:40 ID:???
データリンク層のパケットをトンネリングするから、ブロードキャスト・ドメインを仮想的に
広げることが出来るわけだな。

46 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 16:44 ID:???
VPNを構築するとき、ルーティング設定が不要
どんなネットワーク層以上のプロトコルでもVPN接続できる

ってとこがいいのかな?

47 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 16:48 ID:???
データリンク層のパケットをTCP/IPパケットにカプセル化してVPNする

という基本構想と、

Firewallを突破する

というテクニックは直接は関係ないね。

誰もが簡単に使えるように実装されているとすると、脅威だね。

48 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 17:57 ID:???
>>45
しかし、ブロードキャストドメインを広げられると言うことは諸刃の剣でもあるな。


49 :anonymous@ softether-gateway.softether.net:03/12/18 18:01 ID:???
test

50 :anonymous@ softether-gateway.softether.net:03/12/18 18:07 ID:???
とっても簡単に社外ホストになれちゃうな。

51 :anonymous@ softether-gateway.softether.net:03/12/18 18:08 ID:???
これじゃ、ウェブ閲覧制限なんてかけても全くのムダだ。

52 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 18:38 ID:???
ttp://www.softether.com/jp/overview/paper/softetherpaper.pdf

大学1年生とは思えない論文だなぁ。
それにしても、すごいことをさらっと書いてある。笑った。

53 : :03/12/18 18:49 ID:???
パフォーマンスやセキュリティとか考えると stone の方が便利じゃないか?

Simple Repeater stone version 2.2a
http://www.gcd.org/sengoku/stone/Welcome.ja.html

54 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 18:57 ID:???
ttp://www.softether.com/jp/showcase/tsukuba.aspx

こんなのまで公開してるよ。大丈夫かなぁ。。。

55 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 19:01 ID:???
>>53
stoneはTCP/IPプロトコルをカプセル化するものだよね。
SoftEtherのほうが下位のレイヤーのプロトコルをカプセル化するわけで、
自由度は高い物と思われます。

また、SoftEtherは標準的なWindowsユーザさえ簡単に使えるように実装
されているみたいです。
パワーユーザならどちら、また別の方法でもでも同じことはできるでしょう。

セキュリティに関しては、不明です。
一応、暗号化など行っています。共通鍵暗号には対応してませんね。


56 : :03/12/18 19:40 ID:???
>>55
自由度が高すぎて危ない気がする。

レイヤ2でのトンネリングなので、ブロードキャストは垂れ流しになり、
余計なデータが飛び交ってしまう。
何も知らない人が使い出すと、ワームとか一気に広まりそうだよなあ。

SoftEather + ファイアウォール が組み合わせの基本だとしたら、
stone 使う方が安全だよね。

stone に GUI を付けたものがあればいいのかな。

57 :softether-gateway.softether.net:03/12/18 20:53 ID:???
書き込みテスト

58 :anonymous@ cf1.cis.fukuoka-u.ac.jp:03/12/18 22:18 ID:???
ほう、こいつはいいもんだ…

59 :anonymous@ cf1.cis.fukuoka-u.ac.jp:03/12/18 22:19 ID:???
あれ…?切れとる。

60 :anonymous@ softether-gateway.softether.net:03/12/18 22:22 ID:???
今一度

61 :anonymous@ softether-gateway.softether.net:03/12/18 22:48 ID:37uCjFRs
よく切れる人へ
ルーティングとリモートアクセスが開始されていませんか?
http://www.softether.com/jp/limit/

62 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 23:08 ID:???
>>56
ブリッジ接続しなければいいですね。
両端のHUBで、ブリッジ接続せずルーティングすればいい。
でも、それだと他の方法でも出来はするわけで。

でも、このソフトは穴あけの障壁を確実に低くしてしまいますね。

論文に繰り返し現れている、「くれぐれも管理者に断ってから」の文字が
虚しいというか。
一方で、それと逆のことを言ってるに等しいもんね。
多分、電通大の先生が要求したんだと思うけど。

もぐらプロジェクトにしても、これにしても、必要を感じるからこそ生まれるんだね。
政府もお金出してくれるんだもんな。

63 :anonymous@ m152193.ap.plala.or.jp:03/12/18 23:18 ID:???
そもそも会社が外との自由な通信を許可してくれるなら、
このソフト使う必要ないし。。

64 :anonymous@ 147.233.accsnet.ne.jp:03/12/18 23:34 ID:???
しかし、考えてみたら、このホムペってもらった金で外注してんだろーな。
っこのホムペの力のいれようは、もぐらプロジェクトの比じゃない。
もぐらのはふつーのホムペだもんな。

この作者は、金のかけ所をわかっているというか、事業家のセンスあるなぁ。

65 :anonymous@ softether-gateway.softether.net:03/12/19 00:56 ID:???
本人作ですよ、

66 :anonymous@ softether-gateway.softether.net:03/12/19 00:59 ID:???
開発者が運営している他のサイトをご覧になって見てください。
私も最初はそう思っていました。

67 :anonymous@ ntmygi024206.mygi.nt.adsl.ppp.infoweb.ne.jp:03/12/19 01:00 ID:eQNGK8Bp
作者の出身高校関係のウェッブとレイアウトがよう似とる。
高槻高校データベース
http://db.tak2ch.jp/
間違いなく本人やね。

68 :名無しさん@お腹いっぱい。:03/12/19 01:29 ID:???
高槻2ちゃんねるって・・・

このスレに作者がいるのはほぼ間違いないな

69 :ネットワーク屋:03/12/19 01:57 ID:???
まだ、使ってないけど、凄い感じがする。。。
作者も19歳と、日本もまだまだ捨てたモノじゃないな〜と実感
>>37
>>60
とかの書き込み見てると、唖然としてしまう。
URLフィルタとか売ったり、設定したりイロイロ仕事でやってるけど。
443でWebProxy経由で出ることが可能そうなんで
どう対処したらいいんだろう…

ユーザから、『対処しろっ!』て言われたらツライな。。。
でも、便利そうなんで私的用途では使いたいな!。

70 :anonymous@ orchid-b.coins.tsukuba.ac.jp:03/12/19 02:18 ID:ZTUxGrE3
似てるのは Microsoft ですよ。

71 :K:03/12/19 02:24 ID:???
とりあえず、ブリッジはやめときましょう。
何も知らないと、ホントに大変なことになる。

72 :anonymous@ softether-gateway.softether.net:03/12/19 02:38 ID:???
>>69
今のところいくつか特徴的なパケットが飛ぶんでそれを押さえつければ防げる。
が、それらを他のに紛れ込まされたらどうしようもない。

73 :ネットワーク屋:03/12/19 02:46 ID:???
>>72
さっそく明日(今日)インストールして
パケット採ってみる。
HTTPS+Proxyの組み合わせが特に気になる。
ProxyでVirusスキャン実施してる場合の動きとか…
443のパケットは中身見れないからスルーすると思うけど。。



74 ::03/12/19 03:11 ID:???
「きたー」って何?

75 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 08:35 ID:???
>>66
そうですか。
図の一部はVisioで書いてるみたいだけど、自分で起こしている図も有るんでは
ないかな?
絵心もないと、こういうホムペはつくれないなぁ。

いずれにせよ、恐るべき大学1年生だ。早熟だなぁ。

76 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 08:39 ID:???
この仮想HUBていうのをLinuxBoxにする商売って言うのはあるんだろうな。。。
でも、そんなもんみんなが使い始めると、インターネットが不要なブロードキャスト
で飽和して迷惑しそう。

77 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 08:44 ID:???
>>69
HTTPSで出るって言うのは、昔からある方法ですね。
それでも偽装を見破る方法はあったような。。。

78 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 08:50 ID:???
要するに、443 portを流れるプロトコルがSSLかどうかを判別するってことですね。

79 :ななし:03/12/19 08:56 ID:???
現状ではHUB側の設定に知識が必要とされると思われる。
HUBさえ有れば、ユーザの利用は超簡単。
セキュリティ上問題が生じる可能性あり。
こんなの広がると、さらに監視が強まりそうで困る。

80 :ななし:03/12/19 10:24 ID:???
名前見ると中国とかそっちの方の人みたいだけど、留学生とかではないの?

81 : :03/12/19 10:27 ID:???
>>80
高校も日本なのに?

82 :anonymous@ softether-gateway.softether.net:03/12/19 10:37 ID:???
>>47
ちょっと評価が甘かったので、再評価してみます。

VPNをするときに、

カプセル化されるパケット
カプセル化するパケット

に選択の自由がある。SoftEtherでは

カプセル化されるパケット⇒データリンク層(第2層)のパケット
カプセル化するパケット⇒トランスポート層(第4層)のパケット

を選択している。


83 :anonymous@ softether-gateway.softether.net:03/12/19 10:39 ID:???
カプセル化されるパケット⇒データリンク層(第2層)のパケット

メリット:ネットワーク的には最高度の透過性を得られる
デメリット:ブロードキャストパケットがVPNを通ることによる資源の浪費


カプセル化するパケット⇒トランスポート層(第4層)のパケット

メリット:ファイアーウォールを突破できる
デメリット:スループット?


84 :anonymous@ softether-gateway.softether.net:03/12/19 10:42 ID:???
その他のポイント:

パケットの暗号化⇒安全性に関しては不明
ファイアーウォール突破:Socks、http proxy、SSH port forwarding対応など
ユーザフレンドリィな実装


85 :anonymous@ softether-gateway.softether.net:03/12/19 10:43 ID:???
他に特筆すべきことはあるかな?


86 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 10:46 ID:???
>>55
>一応、暗号化など行っています。共通鍵暗号には対応してませんね。
共通鍵暗号⇒公開鍵暗号

87 :kimoi:03/12/19 10:47 ID:???
ワークグループ内にズラズラPCが出てきてキモイです。超キライです。

88 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 10:52 ID:???
>>62
よく考えたら、ルーティングはできないような気がする。
ブリッジ接続しか方法がないのかも。

89 :anonymous@ softether-gateway.softether.net:03/12/19 11:06 ID:RfMCG1Pp
>>88
普通のLANカードに見えるからルーティング可能

90 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 11:19 ID:???
>>89
やっぱそうだね。

91 :anonymous@ softether-gateway.softether.net:03/12/19 11:48 ID:RfMCG1Pp
http://tmp2.2ch.net/test/read.cgi/download/1071460423/l50
ここのほうが面白い

92 :anonymous@ 147.233.accsnet.ne.jp:03/12/19 12:35 ID:???
>>91
あーあ、盛り上がっちゃってるよ。やばいな、これ。

93 :ねこ:03/12/19 13:23 ID:ytbK6N5r
でも、案外まともな盛り上がり方。

94 : :03/12/19 18:51 ID:???
学校とかじゃ使えないねこれ。
学生個人のアカウントにドライバインスコする権限なんてあるわけ無いじゃん。

95 :anonymous@ cf1.cis.fukuoka-u.ac.jp:03/12/19 21:46 ID:???
>>94
研究室レベルなら普通にインスコできますが何か?

96 :anonymous@ YahooBB219209096077.bbtec.net:03/12/19 22:00 ID:???
>>94
最近は無線LANの学校増えたといっても基本的には
制限ユーザアカウント発行型がほとんどだからなぁ。

>>95
実害が出たところで研究室のPCもアカウント発行型とかにされたらたまらんなぁ。。。

97 :anonymous@ cf1.cis.fukuoka-u.ac.jp:03/12/19 22:14 ID:???
つーかウチの学生用PCはNT4だし。例えAdmin権限あってもインスコできね。

98 :anonymous@ softether-gateway.softether.net:03/12/19 23:05 ID:RfMCG1Pp
こいつはすごいや。
金かけずに、拠点間つなげるね。


99 :ねこ:03/12/20 00:13 ID:NkFjVB7d
福岡大でもぜひNT4で動くのを作ってくださいな。

100 :ななし:03/12/20 00:32 ID:???
2chってワークグループがある…
VPCが動いてるみたいだけど、誰よw
ダウソ板の連中か?

210 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)