패킷 캡처를 보호하기 위해 주어진 암호를 제공하지 않는 한 과거 캡처된 모든 패킷(또는 거의 모든 패킷)을 완전히 액세스할 수 없도록 만드는 방법은 무엇입니까?
내 습관은
마운트
ecrypt파티션mount -t ecryptfs /srv /srvtshark버퍼로 실행하고 암호화된 파일 시스템에 파일을 저장합니다./media/tshark -B 100k -i wlan0 -w /srv/capture-file.pcap
이 접근 방식의 문제점은 시스템을 제거한 후에만 파일에 capture-file.pcap액세스할 수 없다는 것 입니다.ecryptfs
내 시스템에 암호화되지 않은 버전의 캡처가 전혀 없는 상태에서 어떻게 캡처할 수 있습니까?
답변1
데이터 암호화를 위한 사실상의 표준 도구는 다음과 같습니다.GnuPG(또는 호환되는 독점 프로그램특발성 전립선 경화증.
데이터를 해독하려는 컴퓨터에서 키 쌍( )을 생성합니다 gpg --gen-key. 공개 키( gpg --export …)를 내보내고 암호화하려는 컴퓨터에 복사합니다. (물론 동일한 컴퓨터에서 암호화와 복호화가 수행되는 경우 이 단계를 건너뛸 수 있습니다.) 그런 다음 실행
tshark … -w - | gpg -e >capture.pcap.gpg
암호를 해독하려면 를 실행하세요 gpg capture.pcap.gpg.
대신 GnuPG는 비밀번호 기반 암호화를 수행할 수도 있습니다 -c. -e이는 다음 두 가지 이유로 덜 안전합니다.
- 사람들은 충분히 강력하지 않은 비밀번호를 선택하는 경향이 있기 때문에 기억하기 가장 좋은 비밀번호라도 무작위로 생성된 키만큼 강력하지 않습니다.
- 암호화에 필요한 정보는 암호 해독에도 충분하므로 비대칭 키 쌍을 사용하면 암호 해독 자격 증명 없이 암호화가 가능합니다.
답변2
암호화된 캡처를 위해
tshark -w - | openssl enc -des3 -out capture.pcap.des3
함께 읽기
openssl enc -d -des3 -out capture.pcap.des3 | wireshark -i - k