アカウント名:
パスワード:
VPN切れた際に非VPNで通信できるのは不具合じゃないしねぇどうしても嫌なら通常通信はVPN接続先以外不可にするしかないよね
DNSリクエストの暗号化の問題ならモードと回線の問題じゃないかな
モード・暗号化のみ・暗号化優先・非暗号化優先・非暗号化のみ
回線・Wi-Fiのみ・Wi-Fi優先・LTE優先・LTEのみ
この組み合わせで切り替え時やローミング時に暗号化のみでないと非暗号化を試みるかつ非暗号化で通ったらそのまま非暗号化みたいな
> 不具合なのだろうか さすがです。さす儲
> キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られる
どう見ても意図的なんだから不具合じゃないんだろう。
そう、Appleにとってはね!
> どうしても嫌なら通常通信はVPN接続先以外不可にするしかないよね
それをするのがキルスイッチ なのにキルされてないんだったら不具合でしょ # Appleが「キルスイッチ」と銘打ってるかは知らんけど
ここでいうキルスイッチは> アプリ側から既存の接続を閉じることを可能にするだから各アプリ側の対応が必要なんじゃないの
で、↓の話につながるのでは。
>キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られることが最近のテストで判明した
> VPN切れた際に非VPNで通信できるのは不具合じゃないしねぇVPNが張られてるのに既存セッションは非VPNで通信を再開するのはどうなんだって話だぞ?
何言っているんだ?VPN接続中の話だぞ。
ストーリーを読んでません、もしくは読んだけどわかりませんでしたって最初に書いておくべき
そもそも接続は再確立すべきなんですかね?
セキュリティポリシーとして考えると VPN開始前から接続してるんだから、その時点ですでにパケットは外部に漏れている。 さんざん漏らした挙句にVPNを開始したところで手遅れ。騒ぐような問題はない。という考え方もあります。 この流れで考えると、そもそも VPN only で運用せよ、と言う話になるので、Appleが言うように MDM でAlways On VPNにしろって話になります。Appleの言い分は筋が通ってます。
一方で、技術的には、キルスイッチを用意したのならAppleのサービスもそこに登録しておけば、それだけで解決します。
WindowsとかLinux用のVPNクライアントだと、ユーザーが自由にカスタマイズできて 接続時に再起動するサービスとかアプリを登録したり、接続時に実行するシェルスクリプトを登録できます。それに比べると、Apple製品には自由がありませんね。
ユーザー目線で考えると、分かりづらいのは確かなのでは?「すべての信号を送信」のオプションをオンにしてVPNに接続したら、「すべての信号はVPN経由になるんだ」と解釈するのは普通かと。
VPN接続前もVPNの不意の切断後もすべての信号をVPN内で送信してくれてないなんて思ってもみなかったーひどいーってことですね
# まぁ一般人の知性がそのくらいって意味じゃ間違ってないという悲しい現実だわな
MDMでVPN常時接続を設定しても漏れるから困るというビジネス的要求に答える気がないって話でも有るんだけどね。
「すべての信号を送信(すべてではない)」の方が知性ないと思うぞ
セキュリティ云々以前にVPN先のDNSでないと返さない応答を得られないので再確立すべきでしょうね。
「iOS デバイス上ではなくルーター側で VPN 接続することを推奨」って、VPN対応のモバイルルーターって一般的なのか?モバイルしないなら好きなルーターなんでも使えばいいけどさ…iOSデバイスで拠点内の利用かつ外部とはVPN利用って、無いとは言わんけど相当レアケースでしょ。
VPN通したいならiOS搭載デバイスをモバイル運用するなってことだよ
これからはゼロトラスト!Apple独自のネットワーク(実態はMVNO)でAppleIDを用いた認証認可ゲートウェイを通す(詰まらないとは言ってない)ことで安心安全にご利用いただけます(当社比)
つーのはつくんないの?壊れたVPNを修正せずにそのままとか顧客企業にご利用くださいとか怖くて言えないよ。
iCloud+で中身CloudflareのVPNもどきを始めたばっかりなのにな
どういう問題あるの?
公衆無線LANでMITM攻撃を受けてID・パスワードをぶっこぬかれたり、監視国家においてDNS要求から危険思想犯の疑いを掛けられ人生終了するおそれがある
今時平文で認証してるシステムなんてほとんどないし、VPNの出口で盗聴されてたら同じ事なんだよね。海外のVPNサービスより国内ISPの方がまだ信用できる。https://it.srad.jp/story/17/10/18/0452208/ [it.srad.jp]
本気で監視から逃げるならRailsでも使った方がいい。
Tailsのタイポかな? というかノーログVPNでも実際はログを取ってるものがあるというのとVPN全てが信頼できないというのは等価ではないと思うんですが
こういう胡散臭い業者がゴロゴロいる業界という例を示しただけです。信頼できるサービスを選べる自信があるなら好きにすればいいですが普通の人が信頼できるサービスを選ぶのは難しいでしょう。
国内の大手業者ならまあ大丈夫でしょうが、プライバシー保護が目的なら普通にISPへ接続するのとほとんど(IPが変わるぐらい)変わらないし、盗聴防止でもモダンなアプリなら通信は暗号化されてるので公衆Wi-Fiでもリスクはありません。
TailScaleちゃうの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
不具合なのだろうか (スコア:1)
VPN切れた際に非VPNで通信できるのは不具合じゃないしねぇ
どうしても嫌なら通常通信はVPN接続先以外不可にするしかないよね
DNSリクエストの暗号化の問題ならモードと回線の問題じゃないかな
モード
・暗号化のみ
・暗号化優先
・非暗号化優先
・非暗号化のみ
回線
・Wi-Fiのみ
・Wi-Fi優先
・LTE優先
・LTEのみ
この組み合わせで切り替え時やローミング時に
暗号化のみでないと非暗号化を試みるかつ非暗号化で通ったらそのまま非暗号化みたいな
Re:不具合なのだろうか (スコア:1)
> 不具合なのだろうか
さすがです。さす儲
Re: (スコア:0)
> キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られる
どう見ても意図的なんだから不具合じゃないんだろう。
そう、Appleにとってはね!
Re: (スコア:0)
> どうしても嫌なら通常通信はVPN接続先以外不可にするしかないよね
それをするのがキルスイッチ
なのにキルされてないんだったら不具合でしょ
# Appleが「キルスイッチ」と銘打ってるかは知らんけど
Re: (スコア:0)
ここでいうキルスイッチは
> アプリ側から既存の接続を閉じることを可能にする
だから各アプリ側の対応が必要なんじゃないの
Re: (スコア:0)
で、↓の話につながるのでは。
>キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られることが最近のテストで判明した
Re: (スコア:0)
> VPN切れた際に非VPNで通信できるのは不具合じゃないしねぇ
VPNが張られてるのに既存セッションは非VPNで通信を再開するのはどうなんだって話だぞ?
Re: (スコア:0)
何言っているんだ?
VPN接続中の話だぞ。
Re: (スコア:0)
ストーリーを読んでません、もしくは読んだけどわかりませんでした
って最初に書いておくべき
接続は再確立すべきなのか? (スコア:0)
そもそも接続は再確立すべきなんですかね?
セキュリティポリシーとして考えると VPN開始前から接続してるんだから、その時点ですでにパケットは外部に漏れている。 さんざん漏らした挙句にVPNを開始したところで手遅れ。騒ぐような問題はない。という考え方もあります。 この流れで考えると、そもそも VPN only で運用せよ、と言う話になるので、Appleが言うように MDM でAlways On VPNにしろって話になります。Appleの言い分は筋が通ってます。
一方で、技術的には、キルスイッチを用意したのならAppleのサービスもそこに登録しておけば、それだけで解決します。
WindowsとかLinux用のVPNクライアントだと、ユーザーが自由にカスタマイズできて 接続時に再起動するサービスとかアプリを登録したり、接続時に実行するシェルスクリプトを登録できます。それに比べると、Apple製品には自由がありませんね。
Re:接続は再確立すべきなのか? (スコア:1)
ユーザー目線で考えると、分かりづらいのは確かなのでは?
「すべての信号を送信」のオプションをオンにしてVPNに接続したら、「すべての信号はVPN経由になるんだ」と解釈するのは普通かと。
Re: (スコア:0)
ユーザー目線で考えると、分かりづらいのは確かなのでは?
「すべての信号を送信」のオプションをオンにしてVPNに接続したら、「すべての信号はVPN経由になるんだ」と解釈するのは普通かと。
VPN接続前もVPNの不意の切断後もすべての信号をVPN内で送信してくれてないなんて思ってもみなかったーひどいー
ってことですね
# まぁ一般人の知性がそのくらいって意味じゃ間違ってないという悲しい現実だわな
Re: (スコア:0)
MDMでVPN常時接続を設定しても漏れるから困るというビジネス的要求に答える気がないって話でも有るんだけどね。
Re: (スコア:0)
「すべての信号を送信(すべてではない)」の方が知性ないと思うぞ
Re: (スコア:0)
セキュリティ云々以前にVPN先のDNSでないと返さない応答を得られないので再確立すべきでしょうね。
実現可能な解決策か? (スコア:0)
「iOS デバイス上ではなくルーター側で VPN 接続することを推奨」って、VPN対応のモバイルルーターって一般的なのか?
モバイルしないなら好きなルーターなんでも使えばいいけどさ…
iOSデバイスで拠点内の利用かつ外部とはVPN利用って、無いとは言わんけど相当レアケースでしょ。
Re: (スコア:0)
VPN通したいならiOS搭載デバイスをモバイル運用するなってことだよ
apple「VPNはオワコン」 (スコア:0)
これからはゼロトラスト!
Apple独自のネットワーク(実態はMVNO)でAppleIDを用いた認証認可ゲートウェイを通す(詰まらないとは言ってない)ことで
安心安全にご利用いただけます(当社比)
つーのはつくんないの?
壊れたVPNを修正せずにそのままとか顧客企業にご利用くださいとか怖くて言えないよ。
Re: (スコア:0)
iCloud+で中身CloudflareのVPNもどきを始めたばっかりなのにな
実用上 (スコア:0)
どういう問題あるの?
Re: (スコア:0)
公衆無線LANでMITM攻撃を受けてID・パスワードをぶっこぬかれたり、監視国家においてDNS要求から危険思想犯の疑いを掛けられ人生終了するおそれがある
Re: (スコア:0)
今時平文で認証してるシステムなんてほとんどないし、VPNの出口で盗聴されてたら同じ事なんだよね。
海外のVPNサービスより国内ISPの方がまだ信用できる。
https://it.srad.jp/story/17/10/18/0452208/ [it.srad.jp]
本気で監視から逃げるならRailsでも使った方がいい。
Re: (スコア:0)
Tailsのタイポかな? というかノーログVPNでも実際はログを取ってるものがあるというのとVPN全てが信頼できないというのは等価ではないと思うんですが
Re: (スコア:0)
こういう胡散臭い業者がゴロゴロいる業界という例を示しただけです。
信頼できるサービスを選べる自信があるなら好きにすればいいですが
普通の人が信頼できるサービスを選ぶのは難しいでしょう。
国内の大手業者ならまあ大丈夫でしょうが、プライバシー保護が目的なら
普通にISPへ接続するのとほとんど(IPが変わるぐらい)変わらないし、
盗聴防止でもモダンなアプリなら通信は暗号化されてるので公衆Wi-Fiでもリスクはありません。
Re: (スコア:0)
TailScaleちゃうの?