Como criptografar gradualmente o arquivo de saída tshark ao longo da captura?

4

Para garantir uma captura de pacotes, qual método você usaria para tornar todos (ou quase todos) os pacotes capturados do passado totalmente inacessíveis, a menos que uma dada senha seja dada.

Meus habbits são

  • para montar uma partição ecrypt

    mount -t ecryptfs /srv /srv
    
  • para executar tshark com um buffer e salvar arquivos no sistema de arquivos criptografados /media/

    tshark -B 100k -i wlan0 -w /srv/capture-file.pcap
    

O problema com este método é que o arquivo capture-file.pcap é apenas inacessível quando o sistema ecryptfs é desmontado.

Como posso fazer uma captura sem nenhuma versão não criptografada da captura no sistema?

    
por user196279 24.11.2016 / 15:36

2 respostas

1

A ferramenta padrão de fato para criptografar dados é GnuPG (ou o programa proprietário compatível PGP .

Gere um par de chaves na máquina onde você deseja descriptografar os dados ( gpg --gen-key ). Exporte a chave pública ( gpg --export … ) e copie-a para a máquina onde você estará criptografando (é claro que você pode pular esta etapa se a criptografia e a descriptografia forem feitas na mesma máquina). Então corra

tshark … -w - | gpg -e >capture.pcap.gpg

Para descriptografar, basta executar gpg capture.pcap.gpg .

O GnuPG também pode fazer criptografia baseada em senha, com -c em vez de -e . Isso é menos seguro por dois motivos:

  • Porque as pessoas tendem a escolher senhas insuficientemente strongs, e até mesmo a melhor senha memorizável não é tão strong quanto uma chave gerada aleatoriamente.
  • Porque as informações necessárias para criptografar também são suficientes para decriptografar, enquanto o uso de um par de chaves assimétricas torna possível criptografar sem que as credenciais sejam descriptografadas.
por 25.11.2016 / 01:58
-1

Para captura criptografada

tshark -w - | openssl enc -des3 -out capture.pcap.des3

Lendo com

openssl enc -d -des3 -out capture.pcap.des3 | wireshark -i - k
    
por 24.11.2016 / 18:03