パケットを暗号化

ＰＣ初心者です。
BBR-4HGというルーターを使っているのですが、パケットを暗号化することはできないようです。
マンションでの共有回線（リピーターＨＵＢ）なのでetherealで読み取られてしまいます。
パケットを暗号化できるソフトやルーターはありませんか？

No.9 回答者： hoihence 回答日時： 2005/09/20 16:06

#3です。

こういう話の流れになると思ってました。

管理組合の会合で問題点を提起したらどうでしょうか。

組合員の方々に問題意識を共有してもらう必要があると思います。

ネットワークセキュリティーの専門家さんも交えて下さい。

この回答へのお礼

おへんじありがとうございました。
ご指摘の通りできる限りのことをやってみようと思います。

お礼日時：2005/09/20 21:30

No.8 回答者： kuma-ku 回答日時： 2005/09/19 22:56

/*---

端的に言ってしまえばこの業者は法律違反をしているということですよね。
法律のことについてここでお聞きするのは場違いかもしれませんが、管理会社や回線業者に言う前に
警察やしかるべき団体（電気通信事業法の協会なんてありますか？）に申し出たほうがいいのでしょうか？
（ただ業者にいっても何か具体的な対応を引き出せないとおもいますので第３者に入ってもらったほうがいいのかと考えました。）
---*/

いいえ、いきなり警察や外部団体に訴えても、何の効果も無いと思います。

電話が漏話していて、それを警察に相談しても、
「電話会社に相談してください」と言われるだけです。

何よりもまず最初に事業者/施工者と相談してください。

この回答へのお礼

お返事ありがとうございました。
粘り強く交渉してみようと思います。

お礼日時：2005/09/20 21:28

No.7 回答者： kuma-ku 回答日時： 2005/09/19 19:46

/*---

(1)例えばショッピングサイトなどでＳＳＬ通信していてもマンション内の回線はＳＳＬを想定してないので、ログインするさいとＩＤ、ＰＷやＳＳＬ通信中の情報もキャプチャされているのでしょうか？（マンションの外（ＷＡＮ）では暗号化されているので見られても解読できませんよね？）
---*/

繰り返しになりますが、SSL などの暗号区間は、
PC とそのServer になります。
『マンション内の回線はＳＳＬを想定してない』のではなく、
SSL で暗号化されていれば、その中身(ID/Passwordなど)までは閲覧されません。
つまりは、マンション内も暗号化されています。

> (2)ＩＳＰサービス事業を行うにあたって公の規約に利用者のアクセスログを保存するですとか、セキュリティ基準などがあるのでしょうか？

通信ログの保持は
『特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(プロバイダ法)』
で定められています。

> (3)これと関連するのですが、よくわからないのですが普通ＩＳＰはリピーターＨＵＢに加えサーバーをマンション内設置してログをとるものなのでしょうか？
（リピーターＨＵＢにログ保存機能はありませんよね？）

通信ログをとるというのは、利用者のIP アドレスを知る目的です。
PPPoE/PPPoA やDHCP を通じてIP を付与した際に、
どの利用者に割り当てたかを知る為のログです。
よって、それを越える様な行為、例えば全ての通信ログを取り続けると言うことは、
法解釈としてはやや行き過ぎな感じもします。

HUB 自体にはロギング機能があるとは言い難いです。

> (4)そもそもキャプチャツールはログに引っかからないのでしょうか？

キャプチャ行為がログに残るかと言うことでしょうか？
この意味であれば、ログには残りません。
HUB はそれ自体を介する通信を全てのPort に流すので、
キャプチャ行為は流れてくる通信データを受信するだけです。


そもそも、『プロバイダ法』を想定してのHUB 設置であれば、
PPPoE/PPPoA を利用しているのであれば、ISP 内でアカウント情報を取得しているので、
マンション内でログを取るような行為は必要ありません。

もし、マンション内でDHCP を利用しているのであれば、
DHCP サーバでその情報を保存しておけば済む話です。

わざわざHUB を利用して、アクセスログを取るような行為自体、
必要があるとは考えにくいですので、
ここは純粋にNW 機器の費用を抑えるために、
安価なHUB を導入しているのではないかと考えます。


通信事業者は、利用者の通信の秘密を守る責務があります。
※これは『電気通信事業法』で定められています。
通信事業者から提供された各戸の情報コンセントを通じて、
他の利用者の通信内容を取得できる場合、
その責務を果たしていると言えるとは疑問です。

この回答へのお礼

詳しく解説してくださり誠にありがとうございました。よく理解することができました。

＞通信事業者は、利用者の通信の秘密を守る責務があります。
※これは『電気通信事業法』で定められています。

端的に言ってしまえばこの業者は法律違反をしているということですよね。
法律のことについてここでお聞きするのは場違いかもしれませんが、管理会社や回線業者に言う前に
警察やしかるべき団体（電気通信事業法の協会なんてありますか？）に申し出たほうがいいのでしょうか？
（ただ業者にいっても何か具体的な対応を引き出せないとおもいますので第３者に入ってもらったほうがいいのかと考えました。）

お礼日時：2005/09/19 22:06

No.6 回答者： qaaq 回答日時： 2005/09/19 14:11

>以前はそうだったのかもしれませんが最近は

>http://www.ntt-west.co.jp/solution/sol/manshon/i …にあるように
>住戸間のセキュリティを確保するのが普及してきているように思えるのですが・・

これは、回線提供側(マンション側設備)で可能な方法ですね。
「マンション内に対して私が通信している全パケットを他の住民に見られないように」
気持は判りますが個人で暗号ソフトをいれても、相手側が対応していないと無意味です。

あなたに出来ることは、ほとんどありません。
・ファイヤウォールソフト等でPCを保護する。
・個人情報等の送信は、SSL等の確認を行う。

マンション側がシェアードHUBなら対プロバイダの全ての通信は丸見栄になりますね。
出来る事と言えば、SW-HUBやポートVLAN機能による個々の通信を遮断出来る機器を導入
してもらう様に、回線提供側(マンション側)にお願いする位でしょう。
# 実は、これらも突破する方法があるので完全ではないです。
# 特に同一サブネット内からの攻撃は非常に多彩かつ強力です。

この回答へのお礼

お返事ありがとうございます。
よく理解することができました。

＞# 実は、これらも突破する方法があるので完全で
＞はないです。
＞# 特に同一サブネット内からの攻撃は非常に多彩
＞かつ強力です。

恐ろしいことですね。
回線を共有している限り危険がつきまとうということでしょうか。
上記のような攻撃をするにはハッカー並みの知識を持った人しかできませんか？
それともキャプチャツールなどのツールだけで素人も見える（攻撃できる）ものなのでしょうか？

＞個人情報等の送信は、SSL等の確認を行う。
ちょっと余談になっていまうかもしれませんが、gooでこの文を書いているときはブラウザの右下に鍵マークがでていないのですがＳＳＬ通信されているのでしょうか？

費用はかかりますが電話加入権を取得して、電話線を引きＡＤＳＬで通信するという方法も考えられますか？

お礼日時：2005/09/19 21:49

No.5 回答者： qaaq 回答日時： 2005/09/18 20:41

どのパケットを他人がキャプチャできる事に脅威を感じているのかな？

PC--(1)--RT[BBR-4HG]---(2)---HUB(マンション共用)--(3)-->INTERNET

この構成の(1)の部分は、外部からは見えませんが、
(2)(3)は、共有回線（リピーターＨＵＢ）なので、マンション内の人に
みえますね。

これの何が問題なのでしょうか？
通常、マンション内はこんな構成になっているはずです。

また、暗号化する手段は幾らでもありますが、相手が対応していないと通信そのものが成立しません。

暗号化は、相手先と意識を合わせて導入すべきモノで、片方だけ入れても意味を持ちません。

どこに対する、どういう通信を、暗号化したいのか、を明確にしないとよい回答は得られないと思いますよ。

この回答へのお礼

お返事ありがとうございました。
//*
これの何が問題なのでしょうか？
通常、マンション内はこんな構成になっているはずです。
*/
以前はそうだったのかもしれませんが最近は
http://www.ntt-west.co.jp/solution/sol/manshon/i …
にあるように住戸間のセキュリティを確保するのが普及してきているように思えるのですが・・

//*
どこに対する、どういう通信を、暗号化したいのか
*/
上の質問と重なるかもしれませんが、要するにマンション内に対して私が通信している全パケットを他の住民に見られないようにしてほしいと思っています。

以上よろしくお願いいたします。

お礼日時：2005/09/19 11:46

No.4 回答者： kuma-ku 回答日時： 2005/09/18 18:22

/*---

WINDOWSにあるIPsecという機能を使えば暗号化ができるhttp://pcweb.mycom.co.jp/special/2002/ipsec/007. …
とあるのですが、(1)これも通信先（マンション内のＨＵＢ）が対応していなければ暗号化されないということでしょうか？
ちなみにＨＵＢはリピーターＨＵＢです。
---*/

考えられている通り、リピータHUB の上位で暗号化を外すVPN Sever が必要です。

/*---
（(2)スイッチングＨＵＢを自分のＰＣにかませても
マンション内のリピーターＨＵＢをパケットが通るので暗号化できませんか？）
---*/

各戸の出口にスイッチングHUB を入れたとしても、
スイッチングHUB とリピータHUB の間を流れるのは、
Internet にアクセスする為のRaw Packet ですので、
全く持って意味がありません。


盗聴された事実ではなく、今回のようなケースは、
盗聴も可能なネットワークが構築されていると言うことです。
言い換えれば、欠陥ネットワークとも言えます。

盗聴が発覚後に動くようなふざけた管理者には、
「フザケルナ」で交渉を頑張ってください。

この回答へのお礼

お返事ありがとうございました。
ＮＯ２で
//*
SSL やSMIME などの暗号化通信は、ルータが行うものではなく、通信先(Server)と通信元(PC)が対応している必要があるため、未対応の区間で利用することはできません。
*/
とありますが、(1)例えばショッピングサイトなどでＳＳＬ通信していてもマンション内の回線はＳＳＬを想定してないので、ログインするさいとＩＤ、ＰＷやＳＳＬ通信中の情報もキャプチャされているのでしょうか？（マンションの外（ＷＡＮ）では暗号化されているので見られても解読できませんよね？）

(2)ＩＳＰサービス事業を行うにあたって公の規約に利用者のアクセスログを保存するですとか、セキュリティ基準などがあるのでしょうか？
（「フザケルナ」といった場合の勝算や根拠、補償）
(3)これと関連するのですが、よくわからないのですが普通ＩＳＰはリピーターＨＵＢに加えサーバーをマンション内設置してログをとるものなのでしょうか？
（リピーターＨＵＢにログ保存機能はありませんよね？）
(4)そもそもキャプチャツールはログに引っかからないのでしょうか？

以上長文かつとんちんかんな質問もあるかもしれませんが、何卒よろしくお願いいたします。

お礼日時：2005/09/19 11:37

No.3 回答者： hoihence 回答日時： 2005/09/18 12:28

こんにちは。

つまりは、パケットキャプチャなんて考慮に入れてないネットワーク構築に問題があると思います。なぜ、もっと社会的に問題視されないのか不思議ですよね。

確かに「暗号化」というのがすぐ思い浮かぶと思いますが、他の方法もあることはありますが、「両刃の剣」なんで教えられません。要は、パケットをキャプチャされるのを逆手に取るんですけどね。

ネットワークセキュリティーの専門家さんとかに話を持っていかないと難しいと思いますね。

No.2 回答者： kuma-ku 回答日時： 2005/09/17 21:02

こんばんは

残念ながら、通常のInternet アクセスへの通信(WEB/Mailなど)は、
ルータなどを使用して暗号化できる手段はありません。

SSL やSMIME などの暗号化通信は、ルータが行うものではなく、
通信先(Server)と通信元(PC)が対応している必要があるため、
未対応の区間で利用することはできません。

よって、今回のようなケースでは、
各戸で何らかの装置やソフトを使って対応できるレベルではない為、
HUB そのものをリプレイスする方向で管理組合などに交渉する方が良いかと思います。

例えば、以下のような機能をもった機器が候補の一つです。
http://www.allied-telesis.co.jp/solution/vlan/

この回答への補足

お返事ありがとうございます。
WINDOWSにあるIPsecという機能を使えば暗号化ができるhttp://pcweb.mycom.co.jp/special/2002/ipsec/007. …
とあるのですが、(1)これも通信先（マンション内のＨＵＢ）が対応していなければ暗号化されないということでしょうか？
ちなみにＨＵＢはリピーターＨＵＢです。

（(2)スイッチングＨＵＢを自分のＰＣにかませても
マンション内のリピーターＨＵＢをパケットが通るので暗号化できませんか？）

盗聴された証拠がないため管理者に交渉するのは難しそうです。

補足日時：2005/09/17 22:11

No.1 回答者： xcrOSgS2wY 回答日時： 2005/09/17 14:19

暗号化はパケットの送り出し側・受け取り側の両方が同じ方式に対応していないと使えません。

想定しているパケットの受け取り側はどんな設備を持っていて、どういう暗号化に対応しているのですか。補足願います。