■とはいえ

必要なポートだけを空けるってのは実は難しいです。なぜなら、自分が意識しないところで動いているサービスが通信のためにポートを使ってるかもしれないからです。ということで、ここは自分で調べるのをあきらめて先人の知恵を借りる事にします。

■結果

参考になりそうなページがいろいろ見つかりました。

BA8000の設定例

必要なポートだけ開放してそれ以外は遮断という設定を実践しています。それに加えて危険なポートを明示的に遮断しているのが特徴ですね。それぞれのポートの意味は以下のページに書いてあります。

ポートスキャン対策
OSのセキュリティ設定・不要ポートの停止｜Windows2000とApache2

これらのポートは特に狙われやすい箇所なので、何かの間違いで開放してしまわないように設定しておくんですね。へー。

これ以外のポートが狙われないとはかぎらないけど、怪しいポートが見つかり次第防いでいけばいいんじゃないかな。それにセキュリティなんてほとんど気にしなくて良い！ってどこかの誰かが言ってたし！(開きなおり)

■ip-tablesの設定

これもルータと同じ設定…にしてはいけません。自宅からサーバ管理するときはVPN経由ではなく直接サーバにアクセスするので、使用するアプリのポートは空けておく必要があります。

具体的な設定はLinux/iptablesでルータを作る – Dream-Seed -Wiki版-やiptables・設定・ファイアウォール・セキュリティを見てもらえばOK。前者は設定をシェルスクリプトを作成して一気に適用、後者はコンソールから1つずつ適用しています。単純な設定なら後者で十分ですが、作業記録を残すという意味でも前者の方がいいでしょう。

設定が終われば

/etc/rc.d/init.d/iptables save

で保存すると、/etc/sysconfig/iptablesという設定ファイルが生成されます。これを直接編集してもいいのですが、iptablesコマンド1つで消えてしまう可能性があるのでやめた方が無難だと判断します。

iptablesも匠の域に達すればNAPTからネットワーク負荷分散までいろいろ設定できるらしいんですけどね…。まぁ必要ない機能を勉強しても身につかないので今回はスルーします。

その他参考リンク

• iptables(5つのチェインの説明が図で書かれていて分かりやすい)
• Manpage of IPTABLES(man iptablesの説明文)

CentOS5.0でOpenVPNを構築してみる。

■「なぜOpenVPNはセキュアなのか」の前に

セキュアじゃないVPNソフトはあるのか？って話になります。世間ではPPTPがアンセキュアとか言われてるけど、いまいち実感がわかないんですけどね。えーっとなんか認証部分が微妙とかそういう話だっけ？(←なげやり)

お、このページによれば

• NATとの相性が悪い
• トンネルに対する認証がない（? DoS攻撃）
• 暗号化に若干の脆弱性（プロトコルの脆弱性ではなく、実装の脆弱性）

だって。NATとの相性が悪いのはIPSecも同じなので、やっぱ認証の問題が大きいんですかね。暗号化の脆弱性ってのはWindowsのPPTPの問題っぽいです→参考リンク

ここらへんは本を読んで一度は理解したんですが、技術から離れると忘れちゃいますねー。うん。詳しくロジック知りたければこの本を買うといいよ！

一冊まるまるVPNづくし、しかもイラスト多いのでかなり分かりしやすいですよ。僕も新人の頃はお世話になりました(今じゃ忘れました)

■なぜOpenVPNはセキュアなのか

OpenVPNがセキュアな理由。それはOpenVPNが公開鍵基盤(PKI)を使ったサーバ-クライアント構成だからです。これならVPNの事を知らない人でも分かると思うし、僕レベルの知識でもセキュアであることを説明できます。OpenVPN構築時のサーバ-クライアントの持ち物は以下の通りです。

• サーバ側
• CA証明書
• サーバ証明書(サーバ公開鍵付き)
• サーバ秘密鍵
• DH鍵
• クライアント側
• CA証明書
• クライアント証明書(クライアント公開鍵付き)
• クライアント秘密鍵

クライアントの証明書と秘密鍵はサーバで生成して安全な経路(フロッピーとか)でクライアントに移したものとします。通信の手順は以下の通り。PKIのルールに基づいています。

1. まずクライアントがクライアント証明書をサーバに送ります。
2. サーバはクライアント証明書を確認した後、クライアント証明書に付属しているクライアント公開鍵を使って通信内容を暗号化してクライアントに返します。
3. クライアントはクライアント秘密鍵を使ってサーバからの通信を解読します。この時、OpenVPNではパスワードの入力を必要とします。仮にクライアント秘密鍵が漏れてもパスワードが分からないと使えない仕組みです。
4. クライアント→サーバに通信するときも同じ事を行います。
5. サーバ-クライアント間でセキュアな経路が確立できたのでOK。

つうかまんまPKIの説明ですけどね。僕の知識ではこれ以上踏み込めないので…。その代わりといっちゃなんですが、参考文献を挙げておきますね。

5分で絶対に分かるPKI
一番簡単と思われるPKIについての説明。本当に分かりやすい。

OpenVPN 2.0 HOWTO Japanese Translation
OpenVPN本家の説明文の日本語訳。詳しく勉強したいのならこれ。デフォルト設定以上にセキュリティを強化する方法も掲載されています。

Open Tech Press | SSL VPN と OpenVPN：多くの嘘とわずかな真実
OpenVPNがいかにセキュアかを説明した記事。

という話でした。詳しいことが分からなくても「PKIと同じだよー」ということが理解できれば、安心感が得られると思って書きました！

一応僕はサーバ屋なのでサーバの仕組みやネットワークの基礎は分かってます。が、仕事で立てるサーバはイントラ用がほとんど。DMZ(インターネットと直接繋がる危険な場所)は他社に任せてセキュアな環境の中でサーバ構築するのでセキュリティの事はあんまり意識しないんですよね(ポートもフルオープンだし)。

ということで、このエントリではセキュリティの話を中心にメモしていきます。

■超簡単なネットワーク図

internet━━【ルータ】━┳━【サーバ(Linux)】
　　　　　　　　　　　　┃
　　　　　　　　　　　　┗━【クライアント(Windows)】

こんなかんじ。取りあえずルータで不正なパケットをブロックすればOKです。

■ポートを閉じる

サーバを外部に公開する時には、不必要なポートを閉じる必要があります。ポートを開放すればするほど、攻撃に使える入口が増えるからです。1つしか扉がない家と100個扉がある家。後者なら1つくらい鍵を閉め忘れてる扉があるかもしれないですよね？ポートを閉める=扉を壁にすることです。

が、なんでもかんでもポートを閉じると目的の機能まで使えなくなってしまいます。よって

1. サーバが提供するサービスを決め、そのサービスに対応するポートを開放する
2. それ以外のポートを閉じる

この手順でポートの設定を行えばOKです。

で、サーバが"外部"に提供するサービスですが…

• HTTP
• VPN

この2つだけとします。そりゃ外部からSSHとかVNCとかFTPとか使ってサーバ管理したいですよ。けどポートを空けるとリスクが高くなるのでこれらは閉じます。その代わりにVPNを使ってサーバ⇔クライアント間でVPNセッションを確立させます。VPNセッションを確立すると全ての通信がVPN上の通信として扱われるので、VPN用のポートを開放するだけでどんな通信でも許可されることになります。

■なぜVPNを使うのか

一般的にはSSHを使ってサーバ管理、その他のアンセキュアなサービスを使うならSSHポートフォワーディングを使ってセキュアな通信にするって所ですが、この方法では使いたいサービスが増えるごとにルータのポートとSSHポートフォワーディングを設定する必要があります。めんどい。VPNをつかえば前述の通りどんなサービスもセキュアな経路を使ってやりとりされるのでOK。らくちん。

ただしVPNソフトウェアによってVPNの実装方法が違うので、なるべくセキュアなVPN通信を確立したい。そのためにOpenVPNを使います。

■基本

VNCとはGUIベースで他のPCにアクセスできるソフトウェアである。アクセスされる側にVNCサーバ、アクセスする側にVNCクライアントをインストールして使用する。通信は暗号化されないので、SSHポートフォワーディングやVPNで通信経路自体を暗号化してやるのが吉。

■サーバ側設定

手順としては

1. サーバ側にVNCServerをインストール
2. VNCServerをいろいろ設定
3. VNCクライアントをインストール

なんだけど、CentOS5.0にはデフォルトでvnc-serverがインストールされていたので1.は必要なかった。

[root@localhost ~]$ yum list installed | grep vnc
vnc-server.i386 4.1.2-9.e15 installed

逆にtightvncをrpmでインストールしようとすると、「パッケージの競合」と言われインストールできなかった。

性能差が気になる所だけど、取りあえずデフォルトのvnc-serverを使い各Webページのマニュアルどおりに設定して終了。

■クライアント側設定

クライアント側は実行ファイルだけで使用でき、特別な設定をしなくても大丈夫。低速回線で使うなら圧縮設定をいじるのがいいかもしれない。

クライアント側ソフトはTightVNCとUltraVNCを試しどちらも問題なく使用できた。ここも性能差が気になる所。イメージ的には「TightVNC=圧縮率に定評がある UltraVNC=Windowsクライアントでよく使われてる」って感じだが実際どうなんだろう？

■Windowsと比べて

WindowsXPの場合はデフォルトで「リモートデスクトップ」機能が組み込まれているので、サーバ側は「システムのプロパティ→リモート」タブでリモートデスクトップ機能を有効にし、クライアント側は「ファイル名を指定して実行」より「mstsc」を起動して接続すればOK。ただしローカル、リモート含めて1セッションしか張れないので1台の端末を複数人で使用するのは不可能。そういう意味ではWindows端末でもVNCを導入するメリットはある。

■総評

結局、思ったより簡単に設定できすぎてあまりVNCの事を理解してません。特にアカウント管理と性能面。
まぁこういうのは使っていくうちに分かることもあるので、当面はTightVNCを使って慣れようと思います。

Fedora Core 5でVNCサーバを動かすには － ＠IT
ゼロ円でできるXサーバ WindowsでLinuxをリモート操作・前編（1/3）
【特選フリーソフト】低速回線でも使用できる遠隔操作ソフト　TightVNC（上）：ITpro
【特選フリーソフト】低速回線でも使用できる遠隔操作ソフト　TightVNC（中）：ITpro
【特選フリーソフト】低速回線でも使用できる遠隔操作ソフト　TightVNC（下）：ITpro
VNC – Linux Wiki

<

ul class=”footnote”>

■SSHじゃない理由。

だってSSHってコマンドベースだからVNC(GUI)使えないじゃないですか？そりゃlinuxいじるならCUIでやるのが普通ですが、諸所の事情でフルアクセスしたい時もあるわけです。

(追記)SSH port forwading使ってVNCの経路をセキュアにする手もあるらしい…。

■ということでVPN

いろいろ調べた結果、OpenVPNというのがメジャーらしいのでそれを使ってみることにしました。参考にしたのはこのサイト。

VPNサーバー構築(OpenVPN) – CentOSで自宅サーバー構築

基本的にはこのサイトだけ見ればOKです。が、ちょっと追記。

• （３）OpenVPN設定※クライアント側作業

client.ovpnにOpenVPNサーバの名前を指定するとなっていますが、ここはpingが通る名前(つまりIPアドレスかDNSで解決できる名前)を書いてください。「（１）CA証明書・秘密鍵作成 」でvarsの中に書いた名前ではないので注意。

• （４）証明書廃止リスト作成
• （６）VPNインタフェース用ファイアウォール自動設定
• （７）VPNインタフェース用ファイアウォール自動設定解除
• （８）OpenVPNログローテート設定

ここらへんは設定しなくても大丈夫。その他各種セキュリティ関係の設定もスキップしても取りあえず繋がります。最初に全部設定するのは大変なのでスキルに合わせてハードルを下げましょう。

また次のサイトも参考にするといいかも。

OpenVPNで構築するリモートアクセス環境

最初のサイトはコマンドメインで何をやっているか分かりづらいけど、2つ目のサイトは操作の意味もちゃんとフォローしています。ただし最初のサイトと作業の順番が違うので注意。やってることは同じなんですけど。

■実際の作業結果

上記サイトの通りにやったつもりでも、自分のミスで詰まる場合もあるわけで。

1.サーバで生成した証明書をクライアントにコピーする部分

サーバでクライアント用の証明書と鍵を生成してそれをクライアントPCにコピーするのですが、コピーするファイルを間違えてしまいました(汗 ただOpenVPNクライアントが「client1.keyねぇぞボケェェェ！」という分かりやすいログ出してくれたんで助かりました。

2.クライアント→サーバへのアクセス部分。

全部設定してさぁ接続→案の定失敗しました。こういうのって絶対一発で成功しないんだよなぁ。こんなエラー。

Fri Jun 15 00:12:47 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jun 15 00:12:47 2007 TLS Error: TLS handshake failed

メジャーなエラーメッセージらしく検索するとたくさん情報が出てきました

Re： [Openvpn-users] TLS key nego failed to occur within 60 secs
IT Department – HY-VPN troubleshooting on Windows

どうやらサーバ側に認証蹴られちゃったみたいですね。まんまやん！

このメッセージだけでは原因が分からなかったためもう一度設定を見直し→ルータ側でUDPパケットの転送を行っていなかったことが判明。いやTCPは転送かけてたんですけど…。UDPパケット転送設定を行うと接続に成功。ちなみに成功時はこんなログが出ます。

Fri Jun 15 00:15:02 2007 Local Options hash (VER=V4): 'xxx'
Fri Jun 15 00:15:02 2007 Expected Remote Options hash (VER=V4): 'xxx'
Fri Jun 15 00:15:02 2007 UDPv4 link local: [undef]
Fri Jun 15 00:15:02 2007 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Fri Jun 15 00:15:04 2007 TLS: Initial packet from xxx.xxx.xxx.xxx, sid=xxxxxx xxxxxx
Fri Jun 15 00:15:06 2007 VERIFY OK: depth=1, /C=JP/ST=Tokyo/L=xxxxxx/O=xxxxxx/CN=OpenVPN-CA/emailAddress=xxxxxx@test.jp
Fri Jun 15 00:15:06 2007 VERIFY OK: nsCertType=SERVER
Fri Jun 15 00:15:06 2007 VERIFY OK: depth=0, /C=JP/ST=Tokyo/L=xxxxxx/O=xxxxxx/CN=OpenVPN-CA/emailAddress=xxxxxx@test.jp
Fri Jun 15 00:15:08 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 15 00:15:08 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 15 00:15:08 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 15 00:15:08 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 15 00:15:08 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Jun 15 00:15:08 2007 [server] Peer Connection Initiated with xxx.xxx.xxx.xxx:1194
Fri Jun 15 00:15:09 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Jun 15 00:15:10 2007 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Jun 15 00:15:10 2007 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jun 15 00:15:10 2007 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jun 15 00:15:10 2007 OPTIONS IMPORT: route options modified
Fri Jun 15 00:15:10 2007 TAP-WIN32 device [ローカル エリア接続 4] opened: .\Global\{%SID%}.tap
Fri Jun 15 00:15:10 2007 TAP-Win32 Driver Version 8.4
Fri Jun 15 00:15:10 2007 TAP-Win32 MTU=1500
Fri Jun 15 00:15:10 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {%SID%} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Jun 15 00:15:10 2007 Successful ARP Flush on interface [65541] {%SID%}


%SID% : ローカルエリア接続4のSID

xxx.xxx.xxx.xxx :グローバルIP

■余談。

うちの環境はCentOS5.0/WindowsXPPro。所要時間は2時間半くらい。参考Webサイトの手順を忠実に守れば誰でも設定できるけど、横道にそれた時はPKI・ネットワークの知識がモノをいいます。その点今回は詰まってもすぐ原因を見つけて解決できたのが良かったなぁと(自慢か)。真面目に設定すると穴空けやらめんどいので、ネットワークに苦手意識のある人はクロスケーブルでクラ/サバ繋いでテストするのがいいかもしれない。

あと新しい事に取り組むときは心に余裕を持つ事が大切ですねぇ。いらいらしてトライ＆エラーモードになると正しい方法が目に入らなくなるし、はまったら取りあえずコンビニ行くなり風呂入るなりで気分転換してと。

■補助的なサイト達

参考にはしてないけど、今回検索してて使えそうな情報が掲載されていたページをリストアップ。

• OpenVPN 2.0 HOWTO Japanese Translation
• HOWTO – OpenVPN 日本語情報サイト 《プラムシステムズ株式会社》
• OpenVPN FAQ

<

ul class=”footnote”>