• ベストアンサー

ネットワークスニファ(VIGILなど)の使用を検出できますか?

社内LANのにわか管理者をしている者です。 弊社のWEB利用状況の把握のためVIGILを利用しておりますが、全社のメール内容なども見えてしまうので使用は私独りに限定しております。 一方、こういったソフトを社員側も使おうと思えばできるわけで、こっそり誰かが立ち上げていないか心配になってきました。 他のPCにてVIGILなどのスニファが立ち上げられているというような情報を検出できる方法などありますでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
noname#14035
noname#14035
回答No.2

こんばんは。 ご要望の内容を一部実現するツールは存在します。(文末にリンクを貼り付けておきます。) しかし、本質を理解していただくためにも、少し回りくどい説明をさせてください。 同じEthernetでも、いわゆる「バカハブ」環境では、ご心配のように盗聴は非常に容易です。 NICを「プロミスキャス・モード」(通常は破棄される他人向けのパケットを含め全て受信させる状態)にする(Sniffer等のツールを使う)ことで、実現できてしまいます。 次に、一昔前までは盗聴対策として高い効果を発揮するといわれていた「スイッチング・ハブの利用」も、すでに安全とはいえなくなっているのが現状です。 Ethernetでは、各NICが宣言した「MACアドレス」と「IPアドレス」を一対一で関連付けることで通信相手の特定を行う”Arp”(Address Resolution Protocol)という仕組み(プロトコル)が使われていますね。 上記の環境では、スイッチング・ハブ(スイッチ)がLAN内のArpに関する情報リスト(Arpテーブル)を持っていて、通信を特定のポートにしか中継しないというのが「スイッチング・ハブ環境では盗聴が難しい。」とされてきた根拠です。 しかし、Arpの仕組みにはセキュリティー上の欠陥となりうる特徴があります。 それは、「新しいArpエントリ(NICからの宣言)を受信したら、それを信用しArpテーブルを書き換える。」というものです。(この機能自体はネットワークを正常に機能させるためには有用です。) これは、もしもLAN内のある盗聴ノードのNICから「IPアドレス○○(盗聴したい相手のIPアドレス)に対応するMACアドレスは□□(自分のNICのMACアドレス)だ。」という宣言がなされると、スイッチはそれを信じてパケットを中継してしまう事を意味します。 こうしてスイッチング・ハブの環境でも盗聴が可能になってしまい、これを実現するツールも出現しています。(ツール自体の情報は書き込みの主旨に反するので書きません。) ということで、「Ethernetでは盗聴があり得る。」ということを認識しておくべきだと思います。 さて、問題の「盗聴ノードの発見手法」の一つに、「プロミスキャス・モードのNICを発見する。」というものがあります。 具体的には調査対象のNICに対してArpパケットを送信してみて、その反応でそのNICのモードを判定するということです。 通常の(無罪の)クライアント上ではありえないはずのプロミスキャス・モードであれば、「あやしい!」となるわけです。 この仕組みを利用して盗聴ノードを発見するツールの情報に文末のURLからアクセスできます。(フリーで使えるものは英語版のみですが、ある程度のネットワーク知識があれば直感的にいけるでしょう。) 加えて、識者が集う他の掲示板で過去にやり取りされた関連情報(私の書き込みもあります。)のスレッドのURLも貼り付けてありますので、覗いてみると良いでしょう。 さて、長々と理屈を並べてきましたが、「盗聴ノードの発見」に力を注ぐというのは実務上あまり効果的でない場合が多いと思います。(もちろん、ある程度の監視は必須ですが。) #1のmarimo_cxさんがおっしゃるように、まずは「覗かれると困るものを暗号化などでしっかり秘匿する。」という事のほうがはるかに重要だと思います。 盗聴に関する問題では、参考スレッドにもある「無線LAN」にかかわるリスクなどもありますし、「盗聴は起こりうる。」ということを前提として管理をするべきだということです。 ネットワーク(セキュリティー)管理については、他にも注意すべきポイントは多々ありますし、もはや小手先の対策ではカバーしきれないのが現実だと思います。(「片手間に…」という体制では厳しいですね…。) 全体的な計画の中で必要な部分をアウト・ソーシングするというのが現実的な手段になってきている気がします。 自社の担当者のやるべき事は、「経済的な効果を説得材料に計画をつくり、予算をとって実行する。」となる組織も多いと思います。(それが無理なら、自社の担当者が猛勉強するしかないですしね。) ボロボロになる前に有効なネットワーク管理が実現するようお祈りしています。 それでは。 ■@IT掲示板スレッド■ Copyright(c) 2000-2004 atmarkIT ↓ <盗聴ノード発見について> http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=7664&forum=14&10 <無線LAN環境での盗聴の話> http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=4116&forum=14&19 ■Security Friday提供 盗聴ノード発見ツール■  ↓ <PromiScan 英語版フリー・ツール> http://www.securityfriday.com/ToolDownload/PromiScan/promiscan_doc.html <PromiScan ver3.0 日本語機能拡張製品版> http://www.securityfriday.com/jp/contents/promiscan.html

Sequino
質問者

お礼

やはりそんなツールがありましたか! それで、早速使用してみました。フリーソフトですが、使い勝手もよく、非常に感動しました。 また、情報管理への貴重なご提案も感謝いたします。 多くの企業が、時流に促されて「とりあえず」ITをそれなりに利用してはいるものの、セキュリティポリシーがどうも伴っていないという現状は実感しております。 重ね重ねご丁寧な回答、ありがとうございました。

その他の回答 (3)

  • marimo_cx
  • ベストアンサー率25% (873/3452)
回答No.4

# 私も意図的に省略してたり。(^^ゞ arpで細工した場合、防御側はそれを検出しちゃえばいいとか、まぁ考えれば色々上がある訳で。 運用する人間のマインドが問題になるわけです。 (ということで、以下使用者のリテラシー教育問題へと続く…)

noname#14035
noname#14035
回答No.3

#2のJzamraiです。 前回の書き込みの中に、不正確な表現がある事に気が付いたので、補足説明させてください。 >>上記の環境では、スイッチング・ハブ(スイッチ)がLAN内のArpに関する情報リスト(Arpテーブル)を持っていて、通信を特定のポートにしか中継しないというのが「スイッチング・ハブ環境では盗聴が難しい。」とされてきた根拠です。>> ↓ この説明では、スイッチング・ハブのみが経路(Arp)情報を持っていて、これを汚染する事により、通信のハイジャックを行うという風に感じられますが、これは正確ではありません。 正確な表現は、「スイッチング・ハブ環境でも、Ethernetにある全てのノードのNICがArpテーブル(あて先情報リスト)をキャッシュとして持ち、これを参照している事を利用して、盗聴されるノードのNICに対して偽のArpパケット(情報)を送る(ブロードキャスト)ことで盗聴が可能になる。」とでも言うべきでした。 前回説明したように、Arpプロトコルの実装では、新しい情報が宣言されればそれを信じて情報を更新しますので、偽のあて先情報を信じ込んだNICから送信されたパケットを、スイッチングハブも信じ込んで盗聴ノードに転送してしまうということです。 いずれにしても、Arp情報を書き換える(Arp汚染を行う)ことでスイッチング・ハブ環境でも盗聴が可能であるという主旨に変わりはありません。 不正確な説明で話をややこしくしてしまい、すみません。 内容は確かですが、気持ち的に今回は「自信なし」で…。 それでは。

  • marimo_cx
  • ベストアンサー率25% (873/3452)
回答No.1

安直には全部スイッチングハブにすればとりあえずはGWでしか監視は出来ないのではないでしょうか?ブロードキャスト以外のパケットは余計な所には流れないはずですので。 次に安直に思い浮かぶのは社内でもVPN使っちゃうとか。 PPTPならやって出来なくは無いかと。 ところで社内利用のメールで他人に見られて困るものなんて業務上有り得るのでしょうか?どうせインターネット上も平文で流れているのですから、そういった部分のリテラシー教育こそが重要なのではないかと考えます。 POP3のパスワードだけは他人に見られては困ると思いますので、APOPにすればパスワードだけは暗号化されます、無意味な全部の暗号化をするよりもマシンパワーの浪費はありません。 正直言うと管理者として『修行が足らん!』という印象はちょっと受けますです、hi。

Sequino
質問者

お礼

早速ありがとうございました。スイッチングハブまでは思いついたんですが、とりあえずスニファのスニファ的なソフトなんかないかな、と期待した次第で。 修行どころか、片手間で管理者やってます…とほほ…

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • 会社パソコンでのインターネット閲覧履歴の取り方

    タイトルの件で、通常は社内のサーバ側でログを取って管理する事が多いかと思いますが、 社外へノートPCを持ち出してイーモバイルなどの無線を利用してインターネット接続するケースがある場合、管理側としてこのような端末のインターネット閲覧履歴を把握することは可能でしょうか? ※このノートPCは帰社時には社内LANへ接続されます。 ご存知の方、ご教授よろしくお願い致します。

  • ツリー型メモ帳をグループで共有

    こんにちは。弊社で販売している商品の金額や知識や注意事項などを ツリー形のメモ帳でまとめようと思いましたが、あまりにも膨大なデータの為、社員みんなで作っていけるツリー型のメモ帳を探していますがどなたか知恵を貸してください。 無料だと有り難いのと、社内データですのでWEBサーバではなく LAN内のサーバで管理できるのもがいいのですがよろしくお願いいたします 因みに「ツリー型メモ」なのでググッたのですがうまいものが見つかりませんでしたので、ココに質問と相成りました。

  • vigilの使い方について

    お世話になります。 社内ネットワークの管理をしているものです。 現在、vigilを使って社内ネットワークの監視を行っております。 情報漏洩対策として、WEBとメールの履歴を一定期間(3~6ヶ月)保存したいと思っています。 パケットの収集はできていますが、スクリーンセーバーが起動すると、 収集が中断してしまいます。 質問は下記の3つになります。 1、どうしたらスクリーンセーバーが起動しても収集しつづけられるのか? 2、自動的にデータを日次で保存することができるのか? 3、保存したデータはVigil上で閲覧できるのか? 社内環境 ・社内にXP,2000が50台ほど混在。 ・プロキシーサーバ-は無く、ルーター経由で光回線に接続。 ・Mailサーバーは、IDCに保管。 ・リピーターハブは、IN用のルーター下、IDC用ルーター下に設置。 また、vigilの解説サイトがありましたら、ご紹介いただけましたら幸いです。 以上、宜しくお願いいたします。

  • 社内でPCが監視されてるかを知りたい

    社内のPCでメールやWEBを監視されているか不安です。 一応社内LANの管理役なのですが、社員のPCの監視などはしていません。 最近LAN監視ソフトが無料で手に入れる事ができ、社員が他人のPC使用状況などを個人の興味本位で見ていたら困るので、監視しているかどうかを監視したいので、簡単なソフトはないでしょうか? 現在は監視をしている気配はないですが、パソコン詳しい者も多いので心配なのです。

  • 使用外のIPアドレスの検知

    社内ネットワークの管理を行いたいのですが、 使用外(管理外)のIPアドレスがネットワークに 加わった時に検知できるようにしたいと考えています。 例えば社内ネットワークが 192.168.0.x/24 であったとき、 192.168.0.1-20/24 固定IP 192.168.0.21-30/24 dhcpレンジ であったとします。 こうしたネットワークでも、社内のケーブルを利用して 上記の範囲外を固定IP設定してしまえば社内と通信が 出来てしまいます。 こういった、管理外のIPを検出してメールなどで通知する ようにしたいと考えています。 *管理するmac adressをすべて登録してそれ以外を制限、 ・・などとは考えていないです。 単に管理外を検出して通知するようにしたいのです。 もちろん高価な有料監視システムもあるとは思いますが、 できるだけフリーのwindowsのツールで構築が出来たらと思います。 通知方法はイベントログやsyslogではなく、メールであると 助かります。*中継するメールサーバの経路は用意します。 よろしくお願いします。

  • 社内メールの提案

    はじめまして、80人規模の会社に入社して1年です。 大半の社員が出向していますが社内メールがなく、情報共有が できていません。そこで、社内メール(グループウェア)の構築と 業務把握を提案しようと考えております。提案書作成と説明に 悩んでおります。 弊社が提供する予定の自社開発アプリ(グループウェア)が あるようなので、それを利用することも可能かと思っています。

  • 会社パソコン Drop Box

    先日、社内パソコン管理者から直接Drop Boxの使用を中止するように言われました。 社内のパソコンはサーバーを通してインターネットに繋がっています。 個人に直接指示されたと言うことは管理者側が個人のパソコンの状況を把握している様です。 私はその他にGoogle Drive Yahoo Boxを利用していますがそちらの方は指摘されませんでした。 会社側はどこまで管理出来ているのでしょうか。 又、管理を逃れる術はあるのでしょうか。

  • メーリングリストの上手な管理方法

    社内の情報をMLで管理しています。 具体的な方法としては転送用のアドレスを設定して、 各社員のメールを全てチームリーダー以上の者に送受信しています。 しかし、あるチームリーダーに、MLで見ているであろうことを尋ねても 把握していないことが多々あります。 メールの量が多すぎて見ていられないのだとか。 他の者ができているのになぜできていないのかとは思うのですが いい管理方法はありませんでしょうか?

  • アクセスポイントが検出されません。

    VAIO typeF[FZシリーズ] VGN-FZ61Bを使っているものです。 OSはWindows Vista Home Premium SP1です。 普段は有線でネットに接続しているのですが、無線を使う場面もあり 内蔵の無線LANスイッチをONにすると、いつもなら接続されるはずなのですが接続されず ネットワークと共有センター⇒ネットワークの接続と管理 の画面から無線ネットワークデバイスを右クリックし、接続/切断 をクリックし 接続を試みようと思ったのですが 『追加のネットワークを検出できません。』 と表示されてしまいました。 下に、追加のネットワークを検出できない理由を診断します。とあったので診断してみると 『1つまたはそれ以上のネットワーク アダプタに問題がある可能性があります。』 と表示されました。 このパソコンでは内蔵無線LANの他に、PCI GW-US54Mini2をPSPと接続用に使用しているので、PSPを無線通信できる状態にしてもう一度試したところ、こちらも検出されませんでした。 なので54Mini2の専用ユーティリティで検出できるか確認したところ、無線LANルーターおよびPSPのどちらも検出されました。 なのでルーター等の無線デバイス、本体内蔵のWLANには問題はないと思うのですが・・・どこが問題で検出されないのかわかりません。 また、デュアルブートでWindows7のRC版を別のドライブにインストールしてあるのですが、そちらでは正しく検出し、内蔵無線LANで接続できたので、Vista側の設定だけが問題ありだと考えられます。 かなり長くなってしまいましたが、本日はもうずっといろいろ試しているのですが直る気配がなく本当に困っています。 以前ファイル整理のためにいろいろとアプリケーションを削除してしまったのがそれが原因でしょうか?検出するために必要なドライバ、アプリケーション等あるのでしょうか? 本体側の設定がおかしいことは、自分では確実だと思うのですが 少しでもおわかりになる方おられましたらご教授くださいませ。 宜しくお願い致します。

  • 会社のPC WEBメールの私的利用。

    社員です。今まで当社は簡易ルーターで私的利用などはノーチェックでしたが、この度富士ゼロックスのbeatという機械を導入することになりました。これにより管理者が社員のネット利用状況等を把握することも出来るようになるようです。 http://www.net-beat.com/c-filter.html 当社は休み時間だけは私的利用を許されているので、その時間に限りwebメールを私用に使うことがありました。今後webメール(yahooメールです)を利用すると管理者にどういう形で把握されてしまうのでしょうか? 私が何時から何時までyahooに接続していた。とだけしか解らないのでしょうか?それともyahooのwebメールをしていることが解ったり、さらには通信相手やそのメールの内容まで解ってしまうことがあるのでしょうか?私には全然わかりません。 ご回答の程、よろしくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する