まぁその、LAN上に存在するマシンの存在をどうやって知るか?ですが、LAN上に、自分が特権的権限を持つマシンを1台持てば、LAN上に流通するパケットから、どんなマシンがあるか推論を始めることが出来ると思います。
特権的権限を持つというのを、言い直しますと、root権限とか、administrator権限をもつアカウントを持てばと言うふうに言い直せるかと思います。
特権的権限を持つrootなりadministratorの権限であれば、LANインタフェースをプロミスキャス・モードで動作させることができるのです。これで何が出来るかと言いますと、自分のIPアドレス宛ではない通信、自分のMACアドレス宛じゃない通信も含め、LAN上に流通するパケットを拾うことが出来ます。のでよそ宛通信も解析が出来ます。ただし、昨今、SW-HUB(スイッチングハブ)が定着しましたので、そもそも自分のLANインタフェースまで、よその通信が流れてこなくなりました。しかし、LAN上に存在するコンピュータは、大方ブロードキャストをしますから、全体に向けて投げられるブロードキャスト通信は飛んできますので、それを手がかりにすれば、活性化しているIPアドレスやMACアドレスを知るチャンスが有ります。
怖いですね、他人が自分のLAN上の何処かのマシンで、特権的権限を持つアカウントで活動をしますと、自分のLANに存在する他のマシンを推測されかねないし、自分のLANを乗っ取られたり、破壊される危険性があるということなんです。ですので、特権的権限を取得可能なユーザーアカウントや、そのパスワードが漏れると言うことはとても怖いことですね。
PCの電源をOFFにしておくか、LANケーブルを抜いたPCは、リモートからの攻撃に対して強いというか、リモートからでは、手も足も出せない。
ので、家族と同居なら、LANケーブルを普段は抜いておいて、必要なときは、電話で家族を呼び出して、差し込んでもらう。とか、すると外部からの攻撃にやられるリスクを最小限に出来ると思うのです。電源OFFにしておいて、ONにしてもらうのもいいですね、起動時間が少々かかりますが、リモートから電源OFFすれば、家族の手を煩わせずに切断できます。
また、家族と同居じゃない場合は、仮想マシンのホストサーバーを動かしておいて、リモートから管理コンソールにアクセス出来るようにしておけば、必要なときに必要なサーバーを起動させてLAN上に出現させるということも出来ると思います。この場合最大の問題は、管理コンソールを乗っ取られると、ホストサーバーを乗っ取られますので、電源OFF状態(停止状態)の仮想マシンのイメージを、抜き取られたり壊されたりしかねないと言うとても、重大なリスクを背負います。
ADSLの契約をした頃に、遊びでやったことがあるのは、たまたまブロードバンドルータがtelnetでログイン出来て各種操作をCLI(コマンドラインインタフェース)で操作出来るタイプでしたので、次のような細工をして遊びました。
2台のPCを常時起動させておき、1台はメールのPOP3サーバーをチェックするサーバー、2台目はリモートでログインして作業するサーバー。
機能1:起動させた1台目のLINUXマシンから、5分毎に、プロバイダのPOP3サーバーにアクセスして、到着メールのリストを拾い、ある特定のサブジェクト(待機サーバーへの転送機能活性化用メッセージ、非活性化用メッセージ)のメールが届いていないかをチェックさせる。
機能2:ある特定のメッセージを含むメール到着を確認した場合、ブロードバンドルータにアクセスして、待機させてある別の2台目のLINUXサーバーへの転送機能を活性化、または非活性化させる。
機能3:リモートでログインして使うために起動させておいた2台目のLINUXサーバーでの作業終了時に2台目のLINUXサーバーからログアウト後、ルータの転送機能を非活性化するめに、若干時間をおいてから、1台目のLINUXサーバにある機能2の非活性化を動かす様に、2台目のLINUXサーバから依頼をする。
自分宛のメールで、秘密の呪文をサブジェクトに書いて投げないと、常時起動させてある2台目のLINUXにはアクセスできない。1台目のLINUXはPOP3サーバーのチェックをしているだけであり、外部からアクセス出来るルートは作っておかないのでアクセスされない。
こういう仕組みを作っては見たものの、私には使い道がありませんでした。
理由は、仕事に関する資料は、持ち帰らないし、自宅に置かないし、ましてや自分のPCには入れないと、心に誓っていたからと、もうひとつは、プライベートの時間に持ち歩くノートPCは、そこそこ高性能であり、写真とか音楽とかは普段持ち歩くPCに入れていて、リモートでLINUXにログインして、何をすることもなく。UNIX系コマンドのマニュアルを読むために、man awk とかする程度だったので、そんなに使い道はありませんでした。
そういうことも有り、ADSLを導入した時代から、このブログを始める2ヶ月前まで、自宅のLAN上のPCは、普段全て電源OFFでした。
昨年、村の役が回ってきまして、回覧文書の作成やら配布やら、イベントの周知や取りまとめ等PCを使う作業を避けて通れない事態になりましたので、一切ネットに繋がないPCとして、1台新規で購入しました。参加予定者の名簿とか作るとややこしそうなので、結局そのPCはスタンドアロンで使いまして、その後もそのPCは、完全スタンドアロンです。
ところで、外部に漏れてまずい情報とか扱いましたのけ?というと、そんなでもないのです。外部に漏れてまずい情報は扱わないと、最初から判っているなら、MSのオフィス365って、便利ですよね。SKYPE通信料金も含まれているので、役員同士の電話台節約ができそうだとか、オフィス文書や、写真等をMSのサーバーに預けておけば、モバイルデバイスからアクセスできるので、自宅PCを持っていなくても、公民館に見に行かなくても、情報にアクセスできる。役員さんのチャットも出来るので、相談に一々夜集まる必要性を最小限に抑えられる。とか、便利です。
「それは、漏らしちゃダメだろう」を情報アセスメントをやって区分けするのが難しくて、取り敢えずPCにあるデータは一切ネットに出さない様に、スタンドアロンです。
個々の情報について、仮に外部流出してもOK、か、そうじゃないかを見極める力量は、パソコン技術習得とは無関係な領域にあって、結局スタンドアロンにしちゃっています。
逆に言えば、外部流出しても構わない情報で飯を食う人にとって、今のIT時代はパラダイスのはずですよね。
漏れれば漏れるほど、儲かる職業って、どう言う職業があるんでしょうね。
ちなみにproxmoxの仮想マシンマネジメント(リモートから仮想マシンを動かす停止する、作る消す)をするには、PCが必要ですが、なんとiPhoneからもProxmox操作ができます。大した情報も入れてない空っぽの仮想マシンなら、ほっとけばいいじゃないか。とも思うのですが、出先で、iPhoneから自宅の仮想マシンを起動させる、停止させる、処理負荷の度合いをチェックする等が出来ると思うと、なんかワクワクしますので、無意味に起動停止をさせてみたりして、遊べます。
改竄されたら困るけど、改竄されな仕組みで運用できるなら、通販サイトや商品広告や、一般利用者向けの製品マニュアルとか、そういうのにはよさそうだなと思います。
