ネットワーク内にどのくらいのデバイスがあるか見てみよう!(実用編)
2015/11/04
カフェでくつろいでネットしたいな〜って思う方は沢山いると思います。そんなくつろぎをゲットする前にカフェのWiFiが安全なのか簡単にチェックできますよ!
今回は実用してみます。
ターミナルを開いたら
以下コマンド
sudo arp-scan -l --interface eth0
ネットワークインターフェイスを記します。もしWiFiを使っている場合は例としてeth0ではなくwlan0になります。
どのネットワークインターフェイスを使うかifconfigで確認できます。
コマンドの出力結果
インターフェイス名が表示された後, 左からネットワーク内のIPアドレス,MACアドレス,メーカー名が表示されます。メーカー名はMACアドレスから情報を得ています。
私のUbuntu12.04LTS環境ではメーカー名がUnknownとなってしまいました。
画像ではMACアドレスを伏せています。
Arch Linuxの場合
Archでやってみるとメーカー名も出ました。Rasberry Pi Foundationはラズベリーパイです。Appleが2つ表示されていますがAppleTVとiPad, CADMUS Computer systtemsはVirtualBox上の仮想マシンです。
Ubuntu12.04LTSにてメーカー名が出ない理由はarp-scanのバージョンの違いによるものです。Archではバージョン1.9,Ubuntu12.04LTSでは1.8.1を使用しました。
ちょっとセキュリティーの話し
カフェやあらゆる場所のWiFiにつなげた時、そのネットワークがisolation(隔離)を施しているかarp-scanコマンドを使うことで確認できます。
isolation機能を使っていない場合arp-scanコマンドの結果に複数のデバイスIPアドレスが表示されます。この状態で平文(Non HTTPS)の通信はMITM(Man in the Middle Attack)の危険性にさらされます。
また他のデバイスが検出可能ということは悪意のあるものがユーザーに対してNmap Scanやその他各種攻撃が可能となります。
ファイヤウォール設定を施すことで最低限セキュアになりますがMITMに対してファイヤウォールはなんの役目も果たしません。
多くの商用セキュリティーソフトもウィルス・スパイウェアからの保護はされるもののMITMを検知するものは別途用意する必要があるためウィルス対策が施されていると言って安心できないのも事実です。
uptown espressoでの一枚
Amazonで働く私の恩師の話を紹介。
シアトルはとても沢山のカフェがあります。どのカフェもWiFiがありユーザー登録なしで利用できる(2011年当時)場所ばかりです。そんなカフェのWiFiにつなぐ際,ある人物はノートパソコンがWiFiに接続された時MACアドレス,ホストネームをランダムに変えるスクリプトを用いていた。という話がありました。この話しが示すものは可能性としてその人物が攻撃者である。または最大限の注意を払っている防衛者である。じつはこの手法を実行しているということはどちらでもある可能性があります。
以上arp-scanコマンドの紹介でした。