はじめに
ワイヤレスセキュリティテストにおいて、ネットワークのスキャンは基本的な最初のステップです。デフォルトでは、ほとんどのスキャンツールは「チャンネルホッピング」を実行します。これは、可能な限り多くのネットワークを発見するために、利用可能なすべての Wi-Fi チャンネル(1〜14)間を高速に切り替えることです。これは包括的ですが、ターゲットネットワークがどのチャンネルにあるか既に知っている場合は非効率的になる可能性があります。
この実験(Lab)では、スキャンの効率を向上させるテクニックを学びます。標準的な Linux ワイヤレスツールを使用して、Wi-Fi アダプターを単一の特定のチャンネルにロックします。その後、Fluxion セキュリティツールを起動し、このロックが設定したチャンネルにのみスキャンを集中させる様子を観察します。これにより、偵察がより迅速かつ的確になります。
'iwconfig wlan0mon channel <番号>' を使用してチャンネルを設定する
このステップでは、まずワイヤレスインターフェースを「モニターモード」にします。これはパッシブスキャンに必要です。次に、iwconfig コマンドを使用して、このインターフェースを特定のチャンネルにロックします。この例ではチャンネル 6 を使用します。
まず、wlan0 インターフェースでモニターモードを有効にします。airmon-ng ツールは、この目的のために通常 wlan0mon という名前の新しい仮想インターフェースを作成します。
ターミナルで以下のコマンドを実行してください。
sudo airmon-ng start wlan0
モニターモードが有効になったことを確認する出力が表示されるはずです。
次に、wlan0mon インターフェースのチャンネルを設定します。iwconfig コマンドは、ワイヤレスネットワークインターフェースを設定するために使用されます。
このコマンドを実行して、インターフェースをチャンネル 6 にロックします。
sudo iwconfig wlan0mon channel 6
コマンドが成功した場合、出力は何も表示されません。チャンネルが正しく設定されたことを確認するには、再度 iwconfig を実行します。今回はインターフェース名のみを指定します。
iwconfig wlan0mon
出力の Frequency または Channel の行を探してください。チャンネル 6 が表示されているはずです。
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.437 GHz Tx-Power=20 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
2.437 GHz は Wi-Fi チャンネル 6 に対応しています。インターフェースは現在ロックされており、他のチャンネルにホップしません。
Fluxion の起動
このステップでは、Wi-Fi セキュリティ監査で広く使われているツールである Fluxion を起動します。インターフェースレベルでチャンネルを設定済みなので、後ほど Fluxion の動作がこの設定によってどのように影響を受けるかを確認します。
まず、セットアップスクリプトによって作成された fluxion ディレクトリに移動します。すべての操作はこのディレクトリ内で行う必要があります。
cd ~/project/fluxion
次に、ネットワークカードへの低レベルアクセスが必要なため、sudo 権限で Fluxion スクリプトを実行します。
sudo ./fluxion.sh
起動時に、Fluxion から言語の選択を求められる場合があります。求められた場合は、英語の「1」を入力して Enter キーを押してください。その後、メインメニューが表示されます。
ネットワークスキャンの開始
このステップでは、Fluxion からネットワークスキャンを開始します。この実験の重要な部分は、Fluxion にすべてのチャンネルをスキャンするように指示し、その後、以前のiwconfigコマンドがこの指示をどのように上書きするかを観察することです。
Fluxion のメインメニューから、オプションのリストが表示されます。ワイヤレスネットワークのスキャンを開始します。
- Scan for a target network オプションを選択します。通常はオプション
1です。1を入力して Enter キーを押します。 - 次に、Fluxion はどのチャンネルをスキャンするかを尋ねます。
All Channels、2.4GHz Channels、5GHz Channelsのようなオプションが表示されます。 - All Channels オプションを選択します。これも通常はオプション
1です。1を入力して Enter キーを押します。
Fluxion は、airodump-ng を使用してスキャン結果を表示する新しいウィンドウを起動するか、現在のターミナルを使用します。
Fluxion がプリセットされたチャンネルのみをスキャンしていることを確認する
このステップでは、この実験の重要な観察を行います。Fluxion にすべてのチャンネルをスキャンするように指示したにもかかわらず、基盤となるインターフェースがロックされているため、スキャンは単一のチャンネルに固定されます。
Fluxion が開いた airodump-ng ウィンドウを見てください。画面の右上隅に、ワイヤレスインターフェースの現在の状態に関する情報が表示されます。CH の値に注意してください。
CH 6 ][ Elapsed: 3 s ][ 2023-10-27 10:30
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
...
チャンネル CH 6 が固定されていることに気づくでしょう。CH 1、CH 2、CH 3 などに切り替わることはありません。これは、ステップ 1 の iwconfig コマンドがハードウェアをチャンネル 6 に正常にロックし、Fluxion がそれを上書きできないことを確認します。スキャンは現在、この単一のチャンネルに完全に集中しています。
チャンネルが変更されていないことを確認するために、約 15〜20 秒間これを観察した後、airodump-ng ウィンドウで Ctrl+C を押してスキャンを停止します。これにより、Fluxion メニューに戻ります。
特定チャンネルへの集中攻撃が有効な状況を理解する
最終ステップでは、この技術の実用的な応用について議論し、環境をクリーンアップします。
特定のチャンネルを強制することは、標的型ペネトレーションテストシナリオにおいて非常に役立ちます。
- 効率性: 事前の偵察で、標的のアクセスポイント(AP)が特定のチャンネル(例:チャンネル 11)で動作していることがすでに判明している場合、インターフェースをそのチャンネルにロックできます。これにより、標的が存在しない他の 10 以上のチャンネルをスキャンする時間を無駄にすることなく、すぐにその AP の監視または攻撃を開始できます。
- 信頼性: WPA/WPA2ハンドシェイクをキャプチャしようとする場合、4つの特定のパケットをキャプチャする必要があります。カードが常にチャンネルをホップしていると、これらのパケットのいずれかを逃す可能性があります。標的のチャンネルに留まることで、キャプチャの成功確率を大幅に向上させます。
- ステルス性: 主要な要因ではありませんが、絶え間ないチャンネルホッピングは、単一のチャンネルに留まるよりも多くの無線「ノイズ」を生成します。監視が厳格な環境では、フットプリントを削減することが有利になる場合があります。
実験を終了するために、Fluxion を終了し、モニターモードを無効にしましょう。Fluxion のメインメニューで、exit または 99 と入力して Enter キーを押し、終了します。
通常のコマンドプロンプトに戻ったら、以下のコマンドを実行してモニターモードを停止し、ワイヤレスカードを通常の状態に戻します。
sudo airmon-ng stop wlan0mon
これにより、wlan0mon インターフェースが削除されます。
まとめ
この実験では、ワイヤレスセキュリティ評価に焦点を当てるための貴重な技術を学びました。高レベルのツールである Fluxion のスキャン動作を、より低レベルでネットワークインターフェースを設定することによって制御する方法を実証しました。
具体的には、以下のことを学びました。
airmon-ngを使用して、モニターモードでネットワークインターフェースを作成する方法。iwconfigコマンドを使用して、そのインターフェースを単一の特定の Wi-Fi チャンネルにロックする方法。- このロックがスキャンツールにプリセットされたチャンネルのみで動作することを強制し、効率を高める様子を観察する方法。
- ハンドシェイクをより確実にキャプチャするなど、標的型攻撃におけるこの手法の戦略的な利点を理解する方法。
このスキルは、基本的な自動スキャンを超えて、より正確で効果的なワイヤレス監査を実行したいペネトレーションテスターにとって不可欠です。