データ盗聴で何がわかるのか？

Question

インターネットストレージを用いてグループで共有ファイルを作ろうと思っています。ストレージとの通信セキュリティについて調べたら、ストレージへのログイン、ファイルのアップロード、サーバー内での保存に関してはSSLによる暗号化がされているがダウンロードは暗号化が解除されると書いてありました。これってデータをダウンロードする時はデータの盗聴ができてしまうってことですか。例えば「グループメンバーの連絡先」とかいうワードファイルをアップロードしたら、アップロード時やサーバーへの不正アクセス、サーバー管理者の覗き見などに対しては安全だが、ダウンロード時は無防備なので、その道の人ならメンバーの連絡先を具体的に知ることができてしまうのでしょうか？電子メールなどは覗けるって話を聞きますがパケット盗聴でどこまでわかるものなのでしょうか？内容まで完全に再現できるのでしょうか？
因みに用いるネットストレージはNTTのアイトラスティなのですが。

kuma-ku · Accepted Answer

おはようございます。
OKです！

ネットワークのセキュリティに関しては、
ユーザレベルでは非常に分かりにくいのが実情だと思います。
自分のネットワークの範囲は、書籍などを通じて理解できる所が多々ありますが、
では、アクセスポイントは？プロバイダは？WWW などのサービス提供者は？
と言ったところまでは、経験者レベルのお話になってしまいます。

書籍などでは一部に特化した内容しか述べておらず、
インターネットは危険だ、暗号化が必須だと述べられていますが、
確かにそれは間違いない一方で、じゃあどうやって盗聴するの？
インターネットに飛び出した通信の盗聴がで本当にできるの？
と言うレベルまで議論は至っていません。
(あくまでLAN レベルでの紹介は多々あります)

しかし、本当のセキュリティを考えるのであれば、自分の情報は自分で守ると言う事になってしまいます。

たとえ経路の暗号化をSSL やVPN で図ったとしても、
必ず非暗号化の箇所がネットワーク上には存在します。
前者のSSL であれば、サーバ内は非暗号化されたデータが格納されますし、
VPN であればVPN ゲートウェイ(VPN 装置)間は安全ですが、
その外側は非暗号化の通信が流れます。

無線LAN や公共のLAN を介さないような、インターネットに直結した通信であれば、やや安全。
逆の言い方をすれば、無線LAN や公共のLAN は利用しない。

ある程度セキュリティに気を使うのであれば、
経路の暗号化だけでOK 。

本当にデリケートになるのであれば、サーバ上のデータも暗号化。

この3つのレベルを使い分けてください。

kuma-ku · Answer

自分のPC からの通信であれば、スイッチに接続していても、Ethereal で通信データの取得は可能ですよ。

hoihence · Answer

アクセス制限はどうなってるんでしょうか。制限がかかってれば通常問題ないと思いますが。ちなみに、kuma-kuさんの回答に関連したことを書いておきますが、Etherealは同軸セグメント内だけの話です。スイッチングハブ環境下でも可能になっちゃうものもありますけどね。

kuma-ku · Answer

百聞は一見に如かず、ご自身で確認してみてください。
自分のPC にEthereal をインストールし、
その中で自分の通信がどのように取得できるのかを、
学んでみてください。

頑張ってくださいね。

□Etherealの使い方
http://www.space-peace.com/ethereal/

□セキュリティ事情
http://www.st.rim.or.jp/~shio/

kuma-ku · Answer

おはようございます
通信中のパケットデータを取得し、その中身を見ると言う行為ですが、
TEXT データであれば、パケット内のデータフィールドの中に
TEXT の内容がそのまま格納されており、丸見えです。

Word のデータに関しては、装飾したデータも含まれる為、
TEXT データのよりもやや崩れた形で見られます。

------------------
余談ですが、、、
パケットが取得されてその中身が見られた際の中身を確認する場合、
そのデータを「メモ帳」等のテキストエディタで開いてみてください。
その内容が取得データ内で確認できます。
------------------

しかし、そうしたパケットをインターネット上で取得できるのかと言うと、
その可能性は限りなく低いです。

インターネットはプロバイダ同士が接続しているネットワークなのですが、
この中に入るには、いくつかのセキュリティを越えなければならず、
部外者の立ち入りはできないようになっています。

また、ネットワーク機器はPort 単位で監視されている為、
不要なPC を接続すると、アラームを出すようになっています。

よって、通信データが盗み見られる可能性は、インターネット上では、限りなく低いのが実際のところです。

それよりも危険性が高いのは、インターネットに接続するまでの箇所です。

無線LAN や社内LAN、学校内LAN、公共LANなど、ある程度不特定多数に公開されたネットワークは、
管理も甘くなっておりパケットのキャプチャ用PC を接続される恐れもあります。

結局のところ、通信全体を考えた場合、可能性がゼロではない為、
SSL などの暗号化通信が行われるわけですが、
本当に盗聴される可能性は、ほとんど有り得ないのが実際のところです。

それでも安全性を高めたい場合は、PGP などを使用し、ファイル全体を暗号化してください。

noname#21592 · Answer

別途、暗号化、暗号化解除サーバーを立てて、別ルートで、秘密解除キーを配信しますと、ＯＫです。ＰＩＮ番号が一致しないと、デジタル化していて、だれも読めません。
そこまでは、やっていないようですね。

つまり、同時自動共通公開鍵配布システムから、個別秘密鍵配布システムにすれば、大丈夫かと思いますが、ＮＴＴが対応しているかは、知りません。

drmoreau · Answer

仕組み的には、できそうな気がします。
パケットの中身が暗号化されていない生のデータということですから、そのパケットを横取りできれば中身を見れるのではないでしょうか。
サーバーへの不正アクセスでも、そのサーバーがパケットを受け取った時点で、パケットを見ることができれば、生のデータが見られるように思えます。
パケットに載せる時点で、暗号化しないとあまり安全とは言えないのではないですか。

toshi7607 · Answer

共有ファイルスペース自体を暗号化しておけば良いんじゃないですか？　そうすれば飛んでるデータも暗号化されます。

データ盗聴で何がわかるのか？

おはようございます。

自分のPC からの通信であれば、スイッチに接続していても、Ethereal で通信データの取得は可能ですよ。

この回答への補足

アクセス制限はどうなってるんでしょうか。

百聞は一見に如かず、ご自身で確認してみてください。

この回答への補足

おはようございます

別途、暗号化、暗号化解除サーバーを立てて、別ルートで、秘密解除キーを配信しますと、ＯＫです。

仕組み的には、できそうな気がします。

共有ファイルスペース自体を暗号化しておけば良いんじゃないですか？ そうすれば飛んでるデータも暗号化されます。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

共有ファイルスペース自体を暗号化しておけば良いんじゃないですか？　そうすれば飛んでるデータも暗号化されます。