Netcat で安全なチャットを作成する

はじめに

この実験では、Netcat と OpenSSL を使用して 2 つのエンドポイント間で安全な通信を確立する方法を学びます。SSL 証明書を使用して暗号化トンネルを作成し、保護されたメッセージングのためにリスナーとクライアントの両方のコンポーネントを構成する練習を行います。

実践的な演習を通じて、自己署名証明書を生成し、OpenSSL サーバーをセットアップし、Netcat を介して接続してエンドツーエンドの暗号化を検証します。この実践的な経験は、ネットワーク通信を安全にするための基本的なサイバーセキュリティツールに対する理解を深めるでしょう。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/decrypt_ssl_tls("Decrypting SSL/TLS") subgraph Lab Skills wireshark/packet_capture -.-> lab-549932{{"Netcat で安全なチャットを作成する"}} wireshark/packet_analysis -.-> lab-549932{{"Netcat で安全なチャットを作成する"}} wireshark/decrypt_ssl_tls -.-> lab-549932{{"Netcat で安全なチャットを作成する"}} end

Netcat と OpenSSL のインストール

このステップでは、2 つの重要なネットワーキングツールである Netcat と OpenSSL をインストールします。Netcat（しばしば nc と呼ばれます）は、ネットワーク通信のデジタル万能ツールのようなもので、コマンドラインから直接ネットワーク接続の読み書きができます。OpenSSL は強力なツールキットで、暗号化機能を提供します。これを使ってチャットメッセージを安全にします。

ソフトウェアをインストールする前に、パッケージリストを更新するのが良い習慣です。これにより、最新の安定版のツールを取得できます。

sudo apt update

では、Netcat をインストールしましょう。このコマンドでパッケージが自動的にダウンロードされ、インストールされます。

sudo apt install -y netcat

次に、OpenSSL をインストールします。これにより、安全な通信に必要な暗号化機能が提供されます。

sudo apt install -y openssl

インストール後、両方のツールが正しく動作していることを確認する必要があります。以下のコマンドでバージョン情報が表示されます。1 行目は Netcat のバージョン、2 行目は OpenSSL のバージョンです。

nc -h | head -n 1
openssl version

バージョン番号は異なる場合がありますが、以下のような出力が表示されるはずです。

OpenBSD netcat (Debian patchlevel 1.217-2ubuntu1)
OpenSSL 3.0.2 15 Mar 2022 (Library: OpenSSL 3.0.2 15 Mar 2022)

このようなバージョン情報が表示されたら、おめでとうございます！両方のツールが正常にインストールされ、次のステップでこれらを使って安全なチャットを作成する準備ができました。

暗号化トンネルのセットアップ

このステップでは、OpenSSL を使用して暗号化トンネルを作成し、Netcat 通信を安全にします。このトンネルは、2 つのエンドポイント間で送信されるすべてのデータを暗号化し、ネットワーク通信の機密性を確保します。暗号化は、チャットメッセージがネットワークを通過する際に、不正な第三者が読むことを防ぐために不可欠です。

まず、プロジェクトディレクトリに自己署名 SSL 証明書と秘密鍵を生成します。証明書は、チャットサーバーの身元を検証するデジタル ID カードのようなもので、秘密鍵はデータを暗号化するために使用されます。

cd ~/project
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost"

このコマンドは、2 つの重要なファイルを作成します。key.pem（秘密鍵）と cert.pem（公開証明書）です。-days 365 オプションは、証明書を 1 年間有効にし、-nodes は、この実験の簡素化のために秘密鍵をパスワードで保護しないことを意味します。

証明書ファイルが正常に作成されたことを、ファイルを一覧表示することで確認します。

ls -l key.pem cert.pem

サイズが約 3 - 4KB の両方のファイルが表示されるはずです。-l フラグは、ファイルのパーミッションやサイズなどの詳細情報を表示します。これらのファイルが存在する場合、暗号化材料を正常に作成したことになります。

暗号化通信を処理する OpenSSL サーバーを起動します。このサーバーは、チャットの安全な仲介役として機能します。

openssl s_server -quiet -key key.pem -cert cert.pem -port 12345

-quiet フラグは出力メッセージを減らし、-key と -cert は先ほど作成したファイルを指定します。ポート 12345 は、サーバーが着信接続を待機する場所です。このターミナルを開いたままにしておきましょう。これで、クライアントとの安全な通信を待機しています。次のステップでは、この安全なサーバーに接続します。

リスナーの起動

このステップでは、前のステップで作成した OpenSSL トンネルを通じて暗号化通信を受信する Netcat リスナーをセットアップします。このリスナーは、安全な通信チャネルの受信側として機能します。これは、自分だけがアクセスできる安全なメールボックスをセットアップするようなもので、すべてのメッセージは配達前に自動的にロックされます。

まず、ステップ 2 の OpenSSL サーバーが 1 つのターミナルでまだ実行されていることを確認してください。このサーバーは、チャット参加者間の暗号化/復号化の仲介役として機能します。実行されていない場合は、再起動してください。

cd ~/project
openssl s_server -quiet -key key.pem -cert cert.pem -port 12345

-quiet フラグは出力のノイズを減らし、-key と -cert は暗号化資格情報を指定します。ポート 12345 は、安全なトンネルが動作する場所です。

新しいターミナルウィンドウ（またはタブ）で、プロジェクトディレクトリに移動します。この分離により、安全なチャットシステムのさまざまなコンポーネントを管理しやすくなります。

cd ~/project

暗号化トンネルに接続する Netcat リスナーを起動します。Netcat は実際のメッセージ送信を処理し、OpenSSL は暗号化を管理します。

nc localhost 12345

ここで、localhost は自分自身のマシンに接続することを意味し、12345 は OpenSSL サーバーが使用するポートと一致します。

ターミナルは一時停止したように見えるでしょう。これは正常な動作で、Netcat が着信接続を待機しているためです。このターミナルを開いたままにしておきましょう。次のステップで安全な通信に使用します。この「一時停止」は、Netcat がアクティブにリスニングしていることを意味し、電話が着信を待っているようなものです。

注意：Netcat と OpenSSL の間の接続は現在確立されており、すべての通信は送信前に OpenSSL によって自動的に暗号化されます。これは、入力したテキストは最初に OpenSSL によってスクランブルされ、ネットワークを通じて送信され、受信者によって解読されることを意味します。これにより、潜在的な盗聴者には読めないようになります。

接続とチャット

このステップでは、作成した暗号化トンネルを使用して、2 つのターミナル間で安全なチャットセッションを確立します。これにより、信頼できないネットワーク上でメッセージを安全に送信する方法を実証します。暗号化により、通信が傍受された場合でも、メッセージを読むことはできません。

3 つのターミナルウィンドウを開いていることを確認してください。
- ターミナル 1: OpenSSL サーバーを実行中（ステップ 2 から） - これが暗号化/復号化を処理します。
- ターミナル 2: Netcat リスナーを実行中（ステップ 3 から） - これが復号化されたメッセージを受信して表示します。
- ターミナル 3: メッセージを送信するために使用します - 入力インターフェイスです。
ターミナル 3 で、クライアントとして暗号化トンネルに接続します。このコマンドは、OpenSSL にポート 12345 の安全なトンネルに接続するよう指示します。

cd ~/project
openssl s_client -quiet -connect localhost:12345

ターミナル 3 でテストメッセージを入力し、Enter キーを押します。このメッセージは送信前に自動的に暗号化されます。

Hello secure world!

ターミナル 2（リスナー）に切り替えると、暗号化されたメッセージが平文で表示されているはずです。これは、メッセージが相手側で正常に復号化されたことを示しています。
次に、ターミナル 2 で返信を入力し、Enter キーを押します。メッセージは送信前に暗号化されます。

This is a secure reply!

返信はターミナル 3 に表示されるはずです。これで、両側が暗号化されたメッセージを送受信できる双方向の安全なチャットチャネルができました。
チャットを終了するには、すべてのターミナルで作業が終了したら Ctrl+C を押します。これにより、すべての接続が適切に閉じられ、暗号化プロセスが停止します。

暗号化の検証

この最後のステップでは、生のネットワークトラフィックを調べることで、SSL/TLS 暗号化が正しく機能していることを検証します。この実践的なデモンストレーションにより、暗号化がどのようにしてデータを不正な第三者から保護するかを具体的に確認できます。OpenSSL と Netcat を使用すると、すべての通信は送信中に読めない暗号文に変換されます。

まず、ネットワークトラフィックを調査するツールが必要です。強力なコマンドラインパケットアナライザーである tcpdump をインストールします。

sudo apt install -y tcpdump

新しいターミナルウィンドウを開き、トラフィックを監視します。特に、自分のマシン上のローカルネットワークトラフィックを処理するループバックインターフェイス (lo) を監視します。-X フラグは 16 進数と ASCII 出力の両方を表示し、-n は DNS 解決を行わずに出力を明確にします。

sudo tcpdump -i lo -X -n port 12345

別のターミナルで、以前と同じように暗号化チャットセッションを再起動します。このコマンドは、ポート 12345 で実行されているチャットサーバーへの SSL 接続を確立します。

cd ~/project
openssl s_client -quiet -connect localhost:12345

この暗号化チャネルを通じてテストメッセージを送信します。好きな内容を入力してください。ここでは次の簡単な例を使用します。

This message should be encrypted

tcpdump のウィンドウを見てください。読めるメッセージではなく、16 進数値とランダムな ASCII 文字からなるスクランブルされたデータが表示されます。これが暗号化後のメッセージで、適切な復号化キーがなければまったく読めません。
違いを理解するために、これを暗号化されていないトラフィックと比較してみましょう。
- まず、すべてのターミナルウィンドウで Ctrl+C を押して、すべての実行中のプロセスを停止します。
- 暗号化なしで通常の Netcat サーバーを起動します：nc -l 12345
- 別のターミナルからそれに接続します：nc localhost 12345
- まったく同じテストメッセージを送信します。
- tcpdump の出力に、平文のメッセージがはっきりと表示されるのを確認します。

この比較により、暗号化が重要である理由が明確に示されます。暗号化がなければ、ネットワークを監視している誰でもメッセージを直接読むことができます。

まとめ

この実験では、Netcat と OpenSSL を使用して安全なチャットチャネルを作成する方法を学びました。このプロセスには、必要なツールのインストール、SSL 証明書の生成、および OpenSSL トンネルを通じた暗号化通信の確立が含まれていました。

サーバーとクライアントの構成を設定する練習をし、同時に暗号化の有効性を検証しました。Netcat のネットワーキング機能と OpenSSL のセキュリティ機能を組み合わせることで、データ送信を潜在的な盗聴から保護する方法を実証しました。