Top過去ログ目次掲示板

作成日:2005年05月03日 作成:おやじ
掲示板で過去に質問された内容です。

No.4605 SSL通信について教えてくださいませ。


No.4605 投稿時間:2005年05月03日(Tue) 19:42 投稿者名:kazu URL:
タイトル:SSL通信について教えてくださいませ。

肝心のところがいまいち飲み込めませんのでそこだけお教えください。

おやじさまのページより---------

■クライアント認証関係の設定

クライアント認証関係の設定は、単に通信を暗号化(httpsでのアクセス)するだけなら不要です。

と、ありますが。

自分ではキーの受けとった後から暗号化通信が始まるものとばっかり考えてました。

ということは、SSLではキーを元に暗号化した通信情報をキーを元に復元するのだと思い込んでました。
キーがなければただ単にSSLプロトコル使って平文通信してるのかなと思ってたのですが。

SSLの平文通信はないのですか?

なんか、私の思い違いだったんですよね。
最近少し暗号化とか認証とかいろんな方法があるので基本だけはよく理解しておかないとだめな問題がでてきましたので。

お休みの最中申し訳ございません。


No.4606 投稿時間:2005年05月03日(Tue) 20:37 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:SSL通信=暗号化です。

> ■クライアント認証関係の設定
>
> クライアント認証関係の設定は、単に通信を暗号化(httpsでのアクセス)するだけなら不要です。
>
> と、ありますが。
>
> 自分ではキーの受けとった後から暗号化通信が始まるものとばっかり考えてました。
>
> ということは、SSLではキーを元に暗号化した通信情報をキーを元に復元するのだと思い込んでました。
> キーがなければただ単にSSLプロトコル使って平文通信してるのかなと思ってたのですが。
>
> SSLの平文通信はないのですか?
>
> なんか、私の思い違いだったんですよね。
> 最近少し暗号化とか認証とかいろんな方法があるので基本だけはよく理解しておかないとだめな問題がでてきましたので。

下記あたりを見たらイメージとして理解できるのではないでしょうか?
SSL通信は名前のとおりで、この状態でネットワーク上は暗号化されたデータが流れますので、平文などということはありません。実際ethereal等でパケットモニタしてみれば一目瞭然です。
クライアントからのSSL通信要求に対して、サーバとの間で共通鍵を決め、それを双方で暗号化・複合化します。そのとき、サーバ証明書がベリサイン等のCAで署名されていれば、そのサーバは正しいサーバと認識できます。自己署名した証明書であったり、クライアント側で証明書がおかしくても受け入れるとすれば、サーバの信用性まではできませんが、暗号化は行われます。
で、上記はあくまでサーバ側の信憑性を問うものでしたが、クライアント認証はその逆で、誰でもサーバにつながってこられては困る場合に、予めサーバ側でクライアント毎に証明書を作成し、接続してきたときに自分が発行した証明書を提示できなければ拒否するというもので、単なるSSL通信(暗号化)だけではありません。このコンテンツを公開してから、何度か勘違いされて、設定してしまう方がいたのでもう少しわかりやすくしたものです。
自宅サーバではまず不要では? SSHの鍵認証みたいなものです。

http://www.geotrust.co.jp/ssl/index04.html

http://labo.heisei-tech.co.jp/Security/Crypt/page4-1.html


No.4607 投稿時間:2005年05月03日(Tue) 21:24 投稿者名:kazu URL:
タイトル:Re: SSL通信=暗号化です。

お忙しいところどうも申し訳ございません。

まだ、しつこく連休中はサーバーと格闘しております。
まだまだWebDAVネタでいけそうなのですが。
先ほどの質問させていただきましたのは、ふと疑問に思った点があったからです。

WEbDAVサーバーでアクセスコントロールして、ユーザーグループを作りユーザー6名で個別のフォルダーにアクセスできるようにしたいなと考えました。

SSLの認証が嫌なのでなんとかならないか、そうだ自己認証を手始めにテストしてみたらブラウザからアクセス出来ないとか、パスワードなんか関係なしに他の方法でみれるとか、もう大変です。

クライアントのブラウザIEとかもじらなどはその辺サーバー見せなくしちゃいますし、ブラウザ以外のクライアントソフトなんてBASIC認証なんか関係ないよとばかりにアクセス出来るようになってしまいました。

SSLもう少しよく理解してみないと、、、、

今の、この環境はバーチャルホスト環境でないのですがなんで見れなくなってしまうのでしょうね。
これなら、WebDAB使うサーバーは普通の自宅サーバーで使う場合には物理的に別のPCサーバー必要なのかと頭がいたいなあ。
今のところWebDAVセキュリティものすごく悪いですね。大手の会社どうしてるんだろう?

取りあえず大事な経穴、押えれましたので有難うございます。


No.4608 投稿時間:2005年05月04日(Wed) 00:34 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:個々の機能を使いこなせば大丈夫です。

> お忙しいところどうも申し訳ございません。
> 
> まだ、しつこく連休中はサーバーと格闘しております。
> まだまだWebDAVネタでいけそうなのですが。
> 先ほどの質問させていただきましたのは、ふと疑問に思った点があったからです。
> 
> WEbDAVサーバーでアクセスコントロールして、ユーザーグループを作りユーザー6名で個別のフォルダーにアクセスできるようにしたいなと考えました。
> 
> SSLの認証が嫌なのでなんとかならないか、そうだ自己認証を手始めにテストしてみたらブラウザからアクセス出来ないとか、パスワードなんか関係なしに他の方法でみれるとか、もう大変です。
> 
> クライアントのブラウザIEとかもじらなどはその辺サーバー見せなくしちゃいますし、ブラウザ以外のクライアントソフトなんてBASIC認証なんか関係ないよとばかりにアクセス出来るようになってしまいました。
> 
> SSLもう少しよく理解してみないと、、、、
> 
> 今の、この環境はバーチャルホスト環境でないのですがなんで見れなくなってしまうのでしょうね。
> これなら、WebDAB使うサーバーは普通の自宅サーバーで使う場合には物理的に別のPCサーバー必要なのかと頭がいたいなあ。
> 今のところWebDAVセキュリティものすごく悪いですね。大手の会社どうしてるんだろう?

業務ではDAVなんて使いません。チャント設定できていないからだけでセキュリティが悪い
ことはありません。
個々の機能を使いこなせていないからだけで、基本的にSSL+BASICで相当セキュアにできます。+クライアント認証ならほぼ完璧です。

下記のようにユーザ毎に、Locationでディレクトリを指定し、Requireでそのディレクトリ
を使用するユーザを指定すれば、そのユーザしか認証できません。SSLRequireSSLにすれば、
httpsでしかアクセスできないのでBASIC認証でもパスワードを見ることはできません。
更にクライアント認証にすれば、クライアント証明書を持たない端末はSSLでアクセスできないので、
このディレクトリには絶対アクセスできません。ここまでやれば、ほぼ完璧では?

<Location /doc1>
        DAV On
        SSLRequireSSL

        AuthType        Basic
        AuthName       "DAV専用です。"
        AuthUserFile    "/usr/local/apache2/conf/.htpasswd"
        Require user oyaji
</Location>
<Location /doc2>
        DAV On
        SSLRequireSSL

        AuthType        Basic
        AuthName       "DAV専用です。"
        AuthUserFile    "/usr/local/apache2/conf/.htpasswd"
        Require user oyaji2
</Location>

   :
   :


No.4609 投稿時間:2005年05月04日(Wed) 13:39 投稿者名:kazu URL:
タイトル:今度の課題は、クライアント認証

もう少しよく研究してみます。

おやじさまの雛型はだいたい自分のものと同じです。

少し解らないのが、Require user oyajiのディレクティブです。

あとの勉強課題が
>クライアント認証にすれば、クライアント証明書を持たない端末はSSLでアクセスできない
これはSSL通信を十分理解しなくてはいけませんね。

おやじさまは、いつも質問事項があれば御自分で検証なさるんですね。
只、玉躰はお大事にしてくださいませ。
人の身体は簡単に部品交換できませんから、よく睡眠とってくださいませ。


No.4610 投稿時間:2005年05月04日(Wed) 15:16 投稿者名:おやじ URL:http://http://www.aconus.com/~oyaji/
タイトル:ありがとうございます。

> 少し解らないのが、Require user oyajiのディレクティブです。

 これは、user の後に空白区切りでここで認証するユーザを指定します。従って、上記はoyaji以外は認証できませんので、ここのディレクトリはおやじ専用ということです。
 パスワードファイルは共用でかまいません。個別でもいいですが管理対象が多くなると面倒なので、おやじは一個で済ませてます。

> あとの勉強課題が
> >クライアント認証にすれば、クライアント証明書を持たない端末はSSLでアクセスできない
> これはSSL通信を十分理解しなくてはいけませんね。
>
> おやじさまは、いつも質問事項があれば御自分で検証なさるんですね。

この件は自分の知識内なので何もしてませんが、未経験で興味があるものは、自分の知識として確実に残すために実際にやってみます。
 CentOSのコンテンツが中途半端なのが気にかかりつつ、現在は、SwatchのRPM作成と起動スクリプトで格闘中で、SuSEは完了してRedHat系をこれからというところ。
 Swatchで不正アクセスを検出して、iptableでアクセスロックしてしまおうとしてます。というか、既にFTPに関しては実機稼動しており、2回認証に失敗するとその端末からは2度とFTPアクセスできないようにしてあります。一括ロックしてしまおうかとも思ったのですが、取り敢えずは対象ポートだけロックしてますので、web等は大丈夫です。動的IPを考えると、タイマでの自動ロック解除は入れたほうがいいと思ってますが、それは簡単なので他にやりたいことがあるので取り敢えずは手動解除で手抜きしてます。

> 只、玉躰はお大事にしてくださいませ。
> 人の身体は簡単に部品交換できませんから、よく睡眠とってくださいませ。

ここ、うん10年、普通は5時間ぐらいしか寝ません(眠たくない)ので大丈夫です。10時間も寝る娘を見ているとある意味うらやましいですが、どうしてそんなに寝られるのかと思います。



掲示板▲頁先頭