web-dev-qa-db-ja.com

私のISPはディープパケットインスペクションを使用しています。彼らは何を観察できますか?

私のISPが ディープパケットインスペクション を実行していることがわかりました。 HTTPS接続の内容を確認できますか? HTTPSを使用して、転送されているコンテンツが表示されないようにしないのですか?

また、VPNを使用すると、ISPによる詳細なパケット検査から保護できますか?

privacyvpninternetisp
117
cppanonhelp666

完全なパケット検査とも呼ばれるディープパケットインスペクションは、単にすべてのトラフィックを分析していることを意味します接続しているIP、ポート番号、プロトコルなどの接続情報を取得するだけではありませんネットワーク接続に関する他のいくつかの詳細。

これは通常、主に上記の情報を収集するNetFlow情報の収集とは対照的に説明されています。

ディープパケットインスペクションは、プロバイダーに、インターネット接続の接続と習慣に関する多くの情報を提供します。場合によっては、SMTP電子メールなどの内容全体がキャプチャされます。

HTTPSは接続を暗号化しますが、ブラウザは主にUDPを介して送信されるDNS要求を行う必要があります。これにより、暗号化されていないリンクや暗号化されていないCookieがhttpsなしで正しく送信されないようにデータが収集されます。収集されるこれらの追加ビットは、あなたが見ているコンテンツのタイプについて非常に伝えているかもしれません。

ほとんどの人にとってより大きな懸念はデータの集約に関するものです、この情報を収集することにより、データサイエンティストはインターネットの使用状況のフィンガープリントを作成し、後で過去のアクティビティまたは他の場所からのアクティビティと関連付けることができます(仕事中に)または休暇中です)。同様に、サービスプロバイダーは、これを任意の数の組織(おそらく犯罪組織を含む)に販売することを選択できます。 多くの国で、人々は自分の通信が非公開であると見なされていることを期待しており、このデータを収集することはそのプライバシーの期待に反します。

これのもう1つの興味深い側面はこのデータが間もなく販売される米国のような場合、米国内の人々またはサーバーに送信される国際通信も販売できるようにします。同様に、これにより、地方の法執行機関、軍、税務当局、移民当局、政治家などからのすべての機関が、このタイプの情報または内部の重要な情報サブセットにアクセスするのを妨げてきた長年の法律を迂回する方法を許可する可能性がありますそれ以外の場合、このデータ。

このデータを販売できるときの少し異なる懸念は、競争力のあるインテリジェンス/企業スパイです。企業が地理的に狭い場所にある本社で多くの研究集約的な作業を行うシナリオ(医薬品または防衛請負業者を考える)でそのデータを販売すると、誰でもローカルISPからすべてのトラフィックを購入することが可能になりますこれらの研究者のほとんどが住んでいて、自宅にいるときに探しているものを分析しています。おそらく、本社のトラフィックをホストしているISPから直接です。他の国々が同様のデータを販売していない場合、外国の企業や企業がこのデータを試して購入するのに十分なほど賢明であり、技術的に非常に有利です。同様に、外国政府が米国(または他の政府)当局の家からのデータを含むISPトラフィックを購入することもできます。

企業が自宅またはモバイルデバイスで従業員の行動を監視していると想像してください。

これは、活動家や内部告発者にも恐ろしい影響を与えるでしょう。

同様に、クレジットカードまたはPIIが安全性の低いリモートサイトに平文で送信される場合、ISPのデータセットはPCIまたはPII規制の問題を抱えている可能性があります。したがって、これにより、リークされたデータの追加コピーを作成することにより、すべてのタイプのデータ漏洩の問題が拡大します。

上記の例と他に何百もの例があるので、このタイプのデータ収集の重要性がメタデータや基本的な接続情報だけではない理由が簡単にわかるはずです。 ISPがこのデータを販売しない場合でも、非常に興味深いデータセットを収集しています。

これは、セキュリティ上の問題であり、長期的なセキュリティへの潜在的な影響が数多くあります。

133
Trey Blalock

Trey Blalockの回答 は、ディープパケットインスペクション(DPI)とは何かを正確に説明しています。しかし、私はうまくいけばあなたの特定の質問に答えるために3つのことを追加したいと思います:

  1. SSLインターセプトと呼ばれる、データの暗号化を行う(= /// =)暗号化するDPIの手法がありますが、エンタープライズの状況ではより一般的であり、ISP(または他のインターセプター)がマシンに証明書をインストールする機能。そのため、ISPがそれを行う何らかの方法(技術者など)を持たない限り、これはおそらくおかしくなります。
  2. HTTPSwouldにより、ISPはデータを読み取ることができなくなります。もちろん、これはHTTPSを使用するサービスにのみ当てはまります(残念ながら、すべてのサービスがではありません)。また、接続が暗号化されているかどうかに関係なく、ISPがメタデータを読み取ることができることを考慮する必要があります。
  3. VPNは、ISPによって(VPNプロバイダーではなく)実行されるDPIからユーザーを保護します。これは、VPNが暗号化されたトンネルを使用して「出口ノード」に接続するという事実のおかげです。これにより、すべてのトラフィックが暗号化され、すべてのメタデータに、コンピューターを出てVPNサーバーに向かうパケットが表示されます(したがって、アクセスしている実際のサーバーは公開されません)。
61
MiaoHatola

Treyが述べたように、DPIはネットワークトラフィックのコンテンツ全体を見ることができます。それのすべて。プレーンテキストの場合は、あなたが行ったすべてが表示されます。

ミャオの答えに追加するには:

HTTPSを使用している場合でも、DPIが認識できるもの:

  • DNS情報(例: https://catvideos.com/tigers -表示されます https://catvideos.com
  • IPアドレス接続。したがって、あなたが猫の動画でそのサイトにHTTPSでアクセスしても、あなたはその猫の動画サイトに接続して500 GBのデータをダウンロードしたことがわかります。彼らはどのデータを知っているわけではありませんが、DNS名、IPアドレス、およびそのサイトとすべてのサイトへのデータ量を知っています。
  • 広告。多くの/ほとんどの広告ネットワークはHTTPSを使用しないため、データは常に暗号化されるわけではありません。これにより、ブラウザから「混合暗号化」または同様の警告が発生する可能性があります。
  • その他のデータ:ログインにHTTPSを使用している多くのサイトでは、他のすべての暗号化を破棄します。
  • グラフィック:多くのサイトでは、ロゴやさまざまなグラフィックやビデオファイルなどを暗号化しません。ログインと検索は暗号化される場合がありますが、結果は暗号化されません。
  • uDP、メール、SNMP、ftp、telnetなどのHTTPS以外のトラフィック、一部のソフトウェアの更新ではHTTPSを使用しない場合があります。

VPNがあっても、データは100%表示されます。ただし、VPNプロバイダーへの接続以外では、暗号化されたデータのみが表示されます。彼らはあなたがVPNco.comから800GBをダウンロードしたことを知っていますが、内部のデータについては何も知りません。下位レベルが暗号化しているため、プロトコルで暗号化されていないものでも暗号化されます。これで、VPNco.comにデータが表示されます。

ISPとデータのプライバシーに関する米国の法律が(潜在的に)変化し、ネットの中立性が(潜在的に)失われることと相まって、ISPはデータを100%表示できるだけでなく、データを変更したり、サイトを遅くしたり、ブロックしたりする可能性があります。彼らは望んでおり、あなたのデータのいずれか/すべてをサードパーティ(Treyが述べているように)に販売できる可能性があります。

(上記の#1のミャオ州のように)MITMについては取り上げません。ISPについて述べたので、あなたはホームシステムとDSLまたはケーブルモデムについて話していると思います。

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

38
MikeP

ディープパケットインスペクションを使用すると、ISPはほとんどのVPNプロトコル(VPNパケットで暗号化されたデータではなく、VPNトラフィックがあることだけ)を検出してブロックできます。一部の企業はこれを実行して、すべてのトラフィックを確実に復号化できるようにします(MITM攻撃と偽造された証明書を使用して、SSLにもDPIを設定します)。他のすべてを防ぐことによって、「安全でない」通信チャネルを使用することを強制するという考えです。これらの「安全でない」チャネルは、データ漏えい防止を行うことができるため、会社の観点から見ると、より安全である可能性があることに注意してください。

このような場合、HTTPトンネリングなどの非標準のVPN技術がオプションになる可能性があります。

利用規約により、DPIを回避する手段が許可されない場合があることに注意してください。

編集:一部のISPは、トラフィックシェーピングにDPIを使用しています。送信されたすべてのデータをログに記録するのではなく、(たとえば)BitTorrentトラフィックをチェックして、優先順位を低くするか、帯域幅を制限します。今、彼らはあなたのパスワードを盗んでいるのではなく、あなたが支払っている帯域幅だけを盗んでいます...

1
Klaws

ISPを信頼していない場合、最優先事項はパケット検査ではなく、信頼できる2番目の通信チャネルを確立することです。このため、そのようなことの回避に関する情報を交換できます。

すべての情報交換のための唯一のチャネルとしてISPのみに依存している限り、技術的に間違ったログイン情報をVPNに送信する可能性があります。たとえそうでなくても、暗号化ハンドシェイクを引き継ぐことができます。真ん中。

彼らには、そうするために賄賂を渡されたり、何らかの理由で法律によって義務付けられたりする雇用者がいる可能性があります。

0
mathreadler