Kismetパケットスニッファ入門：Beginner's Guide（1/3 ページ）

ネットワークセキュリティの専門家をこれから目指そうというあなたにワイヤレスネットワーク検出／スニッファ／侵入検知システムである「Kismet」をお勧めしよう。これを使えば、あなたにもシステムの中に潜む悪意を見つけることができるかもしれない。

[Joe-Barr，Open Tech Press]

　ネットワークセキュリティの専門家にとって欠かせないオープンソースツールの数は増え続けているが、Kismetもその1つだ。Kismetは「ワイヤレスネットワーク検出/スニッファ／侵入検知システム」で、Windows、Mac OS X、BSDなどPOSIX互換のどのプラットフォームでも利用可能だが、RFMON（モニタモード）対応ドライバの数が最も多く存在することからLinuxでの利用が推奨されている。

　モニタモードを利用すれば、現在自分が（APを使用している場合には）使用中のAP（アクセスポイント）だけでなくKismetが監視可能なあらゆるパケットの調査が可能になるため、Kismetをフル活用するためにはモニタモードの利用が不可欠だ。またモニタモードでは形跡をまったく残さずにパケットを受動的に傍受／収集できるが、そのことは警察やスパイや悪意あるハッカーにとってとほぼ同じくらいにKismetにとっても重要だ。

　つまりKismetをフルに使ってみたいなら最初のステップは手元のワイヤレスNIC（ネットワークインタフェースカード）用のモニタモード対応ドライバを手に入れることだ。そのためにはまずはKismetのリンクページで手元のNICのブランド／モデルで利用可能なドライバについての情報を確認しよう。

設定モデル

　Kismetはクライアント／サーバ型のアプリケーションとして設計されているが、スタンドアロンアプリケーションや複数のクライアントをサポートするサーバ、さらには、それぞれが特定のワイヤレスハードウェアを監視して捕捉したパケットをサーバに転送する、ネットワーク上のKismet（ドローン）を統括するサーバとして実行することもできる。スタンドアロンアプリケーションとして実行する場合、単純に組み込みのクライアントを使用してもよいが、サードパーティー製のKismet用クライアントも幾つか存在するので、試してみたいなら前記のリンクページで確認してみるとよいだろう。

　Kismetのドローンは、ネットワーク上で情報収集する際のいわば拠点だ。必要最低限の機能だけしかなく、GUIを持たないものも多い。ドローンごとに用意されている設定ファイルには、監視すべき情報源（つまりワイヤレスカード）の定義や捕捉したパケットの転送先であるKismetサーバのアドレスなどが含まれている。一方サーバは、統括しているすべてのドローンから受け取ったデータを一つのファイル内に記録したり、ワイヤレスネットワークの侵入警告を発する一元的な場所として機能したりする。ドローン／サーバは、複数のAPを持つLAN用のワイヤレスIDS（侵入検知システム）として Kismetを利用する場合に最適な構成だ。

　設定ファイルはすべてのドローンとサーバについて用意する必要があり、Kismetを希望通りに機能させるために必要な作業の多くはこれらの設定ファイルで行われる。具体的には設定ファイルはkismet.conf、kismet_ui.conf、kismet_drone.confの3つのファイルだ。KismetのWebサイトに、設定ファイルやそのほか調整が必要になるかもしれない項目についての詳しい文書が用意されている。

　今回はKismetをスタンドアロン構成で、BackTrack 3ディストリビューションのβ版から使ってみた。なおモニタモード対応のNICとしてはNETGEAR RangeMaxワイヤレスPCカードを1枚使用した。このようなシンプルな構成であっても、細かな設定には悩まされることもあった。特にオンライン文書の（Kismetの文書では「捕捉情報源」という表現になっている）ワイヤレスカードの定義についての節は注意深く読んでおくとよいかもしれない。この定義が適切でない場合、Kismetはまったく動かないか正しく機能しない。

　Backtrack 3のレビューでも指摘した通り、手元のノートPCではKismetの起動前に、ifconfigを使って内蔵ワイヤレスカード（NETGEAR RangeMaxと同じくAtherosチップセットベース）を無効にしてから、wlanconfigを使ってNETGEARカードをモニタモードにする必要があった。