側盗聴攻撃ツールと盗聴防御について調べてみましょう。
スニッフィングツール
OS名説明
WindowsベースのEthereal UNIX用EtherealをWindowsに移植したもので、オープンソース
Windump TcpdumpをWindows用に移植すること。
NAI Sniffer盗聴だけでなく、様々な統計機能などを提供する(商用)
EtherPeek盗聴だけでなく、様々な統計機能などを提供する(商用)
AiroPeek EtherPeekを製造したWildPackets社の製品で、ワイヤレスネットワーク上の盗聴ツール(商用)
Cain&Abel盗聴機能に加え、パスワードクラッキングなど、様々な機能を含む統合ツール。スイッチング環境での盗聴や様々なプロトコルのデコード機能を持っている。(商用)
UNIXベースのtcpdump Command-lineツールハッキングではなくトラブルシューティングの目的で最もよく使用されるツール
Ethereal GUIベースのUNIX用のGUIスニッフィングツールとして非常に優れた機能を持っている
snoop Sun Solarisシステムなどに組み込まれたスニッフィングツール
Sniffit接続されたセッションの内容の情報などを簡単に見ることがあります
AiroPeek EtherPeekを製造したWildPackets社の製品で、ワイヤレスネットワーク上の盗聴ツール(商用)
dsniffソンドクジュン(Dug Song)
が開発したスイッチング環境でのハッキングツールです。盗聴ツールのみ含まれているのではなくSSHやSSLのMan-in-the-Middle-Attackツールが含まれている。各種プロトコルのユーザーID、パスワード情報を簡単に収集しズームします。
LinSniff各種プロトコルのユーザID、パスワードの情報を簡単に収集しますがdsniffより少ないプロトコルをサポートします。しかし、より軽量です。
esniff Phrack Magazineに紹介されたツール
ettercapスイッチング環境での盗聴ツール
snmpsniff SNMP専用盗聴ツール
盗聴に弱いプロトコル
前述したように、いったんパケットを悪意のあるユーザーが傍受して、見ることは困難ではない。このような試みを検出する方法も知られていますが、一応こういう試みそのものを完全に封鎖することは不可能だと見ることができる。
しかし、このように得られたパケットは、すべての有用なわけではなく、暗号化されていないか、暗号化されても、あまりにも簡単な方法とされて簡単に復号化こなすことができるようなプロトコルで使用されるパケットは、攻撃者によって使用することができる。そのようなプロトコルをスニッフィングの影響を受けるプロトコルとすることができますが盗聴に弱いプロトコルをいくつか挙げる。
(1)Telnet、Rlogin
Telnet、RloginのユーザーID、パスワードを含むすべての通信の内容は暗号化されていないすべての通信内容を簡単に見ることができる。
(2)HTTP
HTTPのユーザ認証に利用するBasic Authenticationの方法は、非常に基本的な方法でencodeされるため、簡単にユーザーID、パスワード情報を得ることができる。
(3)SNMP
SNMPプロトコルは、簡易ネットワーク管理プロトコル(Simple Network Management Protocol)という名前のようにセキュリティをほとんど考慮しなかった。 SNMPプロトコルは、SNMPv1、SNMPv2、SNMPv3に分かれて後ろに行くほど、セキュリティは強化されてまだ最もよく使用されるのは、SNMPv1プロトコルである。 SNMPのパスワードのような役割をしているコミュニティ名を含むすべての通信内容が暗号化されません。
(4)その他
NNTP、POP、FTP、IMAP、SMTPなど
盗聴の防御
スイッチのブロードキャストドメイン、MACアドレスの手動設定をすることで、パケットを傍受しようと減らすことはできますが、前述したように、他のユーザーがパケットを傍受しようと源泉封鎖することは不可能である。したがって、パケットを傍受も、それの内容を持ってどのような行動すらできないように暗号化技術を利用することが最も一般的で重要な盗聴の防御法と呼ばれることがあります。
(1)SSLの適用
HTTP、IMAP、POP、SMTP、TelnetなどはSSLを適用してHTTPS、IMAPS、POPS、SMTPS、Telnetsなどすることができる。 SSLはもちろん、HTTPで最も多く活用され、これを適用して、ユーザー名、パスワード、および電子商取引決済情報などのWebサーフィンの内容を暗号化することができる。
(2)PGP、S / MIME
SMTP上送ったメールは基本的に暗号化されていないため、盗聴して、その内容を簡単に抽出することができる。 PGP、S / MIMEなどを利用してメールの暗号化機能を提供することができる。
(3)SSH
暗号化通信を実現してTelnet、FTP、RCP、Rloginなど置き換えることができる。
(4)プライベートネットワークまたは仮想プライベートネットワーク(VPN)
盗聴が心配されるネットワーク上に専用線(leased line)
に直接接続することで、中間に盗聴されることを防ぐことがプライベートネットワークである。しかし、これは距離が遠くなるほど、インターネットを利用することに比べてコストが非常に高くなるしかない。インターネット回線を利用してプライベートネットワークの効果を与えることができるのがVPNです。 VPN装置間の暗号化によって盗聴を防ぐことができる。
結論
盗聴は様々な形でネットワーク上で行われ、次の2つの手順で見ることができる。
- パケットを傍受
- 横取りしたパケットのデコードを使用して、重要な情報を獲得
パケットを傍受しようとは遮断する、非常に困難であり、デコードを使用して重要な情報を取り出すことを防ぐために、SSL、SSH、VPN、PGPなどの様々な手法が使用することができる。
0 件のコメント:
コメントを投稿