Home > 3月, 2009

2009.03.19

Amazon EC2のセキュリティ

サービスを開始するに当たり、最も気になるのがセキュリティ。
日本企業の方もそこを重視することが多いのではないでしょうか。

そんなわけでAmazon EC2が発表しているセキュリティ関連を調べてみました。

2009年2月25日「クラウドコンピューティング フォーラム」

クラウド・コンピューティングに移行する上で気になるのはセキュリティだが,AWSは安全なのか。

 米アマゾン・ドット・コムは,既に9000万人分のクレジットカード番号を預かっている。そのため,これまでもセキュリティには力点を置いてきた。AWSを開始したときにも,これまでと同様に,セキュリティを強固にすることに執着した。現時点で,金融機関のユーザーもAWSのセキュリティを信用して使っているので,既に優れたセキュリティを提供できていると考える。

 データや、社内管理については大丈夫な気がします。

EC2やS3をインターネットではなく,よりセキュアなネットワークで使うことはできるか。

 ユーザーのパソコンと,EC2/S3間の通信を暗号化することは可能だ。また,米国や欧州では,サード・パーティーがVPNなどのサービスを提供している。

 インターネットではなくすることは不可能ですよね。どうやってもインターネットの通信ですから。
 その上で暗号化するHTTPSだとかVPNだとか使うしかないですよね。

2008年9月公開「Amazon Web Services:Overview of Security Processes」
これは全部英語なのでかなり適当に訳します。

Host Operating System

AWSの管理者が業務上必要な場合は、拠点サーバにSSHで接続するには個々に割り当てられた暗号キーが必要です。またアクセスはログへ記録されています。

 まぁ、ここはAmazonの社内管理なので問題ない気がします。

Guest Operating System

仮想マシンは完全にお客様の管理になります。AWSの管理者がお客様の仮想マシンにアクセスすることはできません。全部自己管理で。

 かなり適当に書いてますがそういうことです。

Firewall

Amazon EC2はすごいファイアウォールを提供しています。通信をデフォルトでは拒否しているので、お客様で通信を許可するポートを開けなければいけません。プロトコル、ポート、送信元IPで設定できます。

 基本的なファイアウォールは提供していますよー。

ちょっと適当になってきました。
気を取り直して一番重要なネットワークセキュリティです。

Distributed Denial Of Service (DDoS) Attacks

AWSはAmazon.comと同じインフラの上にあります。一般的なDDoS攻撃は限界まで通信を使用したりします。しかしAmazonの帯域幅はプロバイダが提供するインターネット帯域幅を上回る帯域幅を保持しているので大丈夫です。

 帯域幅だけで言いきっちゃうとゾンビPCを利用したDDoS攻撃はどうするんでしょう。まぁ、あんなものを防ぎきるのは不可能ですよね。

Man In the Middle (MITM) Attacks

AWSのAPIはすべてSSLで守られています。

 だらだらと説明書いてるけどSSLで守られてるから大丈夫との主張らしい。そのSSLを偽装しちゃったりするのもMITM攻撃じゃないのか。。。?

IP Spoofing

Amazon EC2のインスタンスは偽装したIPでの通信はできません。AmazonはファイアウォールでIPやMACアドレスが自分のものだけ通信を許可します。

 まぁ、そりゃ不特定多数に使わせるんだから、これくらい当然か。

Port Scanning

ポートスキャンはAmazon EC2 Acceptable Use Policy (AUP)に違反します。また、スキャンしたとしてもデフォルトではすべて通信を拒否する設定になっているので無意味です。ただお客様が設定しているセキュリティーグループによっては返すものもあります。

 やっちゃだめなんだ。。。
 利用者のみなさん、やっちゃだめですよー。

Packet sniffing by other tenants

他の仮想マシンからプロミスキャスモードを使用してのパケットの盗聴は不可能です。ハイパーバイザーが他のアドレスのパケットは転送しないからです。ARP cache poisoning攻撃なんかもEC2では機能しません。Amazon EC2では十分な保護を提供しています。

 けっこう厳重なんですねぇ。
 悔しいですが大丈夫そうです。

そんなわけで、基本的には大丈夫そうです。
あとは普通のインターネットサーバなので、各自のセキュリティ対策が重要ということですね。

Posted at 04:42 | Category: EC2 | No Comments

2009.03.11

RHELをAmazon EC2で

Amazon EC2の公開されているAMIには
RedHatからRHEL5.1と5.2が含まれている。

そんなわけで使ってみようと思った。

しかし、できない!
エラー吐かれる!

理由は登録しないと使えないのでした。
しかもお金かかります。

まず月額固定で19ドル。
また従量課金では
Smallで0.21ドル(EC2は0.1ドル)、Largeで0.53ドル(EC2は0.4ドル)。
データはインプット0.11ドル(EC2は0.1ドル)、アウトプット0.19ドル(EC2は0.17ドルで通信料によって割引)
などなど。
若干割高。

[Cloud Computing with Red Hat]
http://www.redhat.com/solutions/cloud/

こちらから登録できます。

登録画面へ進むと「Amazon Payments」のサイトに移動し
アカウント入力、支払いカード入力を行い登録完了です。

登録完了すると
RedHatのログイン画面とActivation Codeが表示されます。
画面の説明を見ると「アカウント作る必要あるのかなー」と思いますが
RHELのアップデートを行うのにアカウントを求められるので作っておきましょう。

しばらくするとAmazon EC2のRHELのAMIが起動できるようになっていました。

Posted at 07:52 | Category: EC2 | No Comments

2009.03.04

Amazon EC2のEUでもWindows開始

今日見てみると
AWS Management Consoleの画面が変わってた。

Regionの変更ができるようになった。。。?
Welcomeの表示場所がちょっと変わった。。。?

何の変化なんだろうと思って確認してみると
Amazon EC2のEUでもWindowsのAMIが使えるようになったらしい。

で、それにあわせて
AWS Management ConsoleもRegion変更ができるようになったんだと。

ヨーロッパのみなさんおめでとう!

そんなことより早く日本に来いよ!

Amazon EC2 Expands Windows and EU Region Offerings
http://aws.amazon.com/about-aws/whats-new/2009/03/03/amazon-ec2-running-windows-in-eu-region/

Posted at 07:46 | Category: EC2 | No Comments

Windows Server 2008の新VPNプロトコル「SSTP」

PPTPに懲りず、Microsoftが新しいVPNプロトコルを実装している。
その名も「Secure Sockets Tunneling Protocol(SSTP)」だ。

これはカテゴリ的には「SSL VPN」と言うものらしい。
Microsoftは「SSL VPNではない新しいものだ」と主張してるという噂もあるけど。

現在SSL VPNでもっとも有名なのはOpenVPN
アプリをインストールするだけでホスト間のVPNを構築でき、OSの対応も多種多様。
インストールの手間をいとわない、もしくはインストールしないと使えないという作業でセキュリティレベルを上げるならお勧めだ。
複雑なIPsecと競い合ってる一品。

さて、話は戻って
そんなSSL VPNに入ってきたMicrosoftのSSTPだが
特徴をあげてみよう。

1.通信ポートが簡単
SSTPでは通信にHTTPS(TCPポート443)のみを使用しているのが最も大きな特徴だ。
これまでのPPTPはTCPポート1723とIPプロトコル番号47のGREを使用している。
TCPポート1723はWebやメールしか見れないなんていうセキュリティの厳しい大企業以外はいいとしても
TCPでもUDPでもないGREのパケットは環境によっては使えないこともあった。
またL2TP/IPsecでも同様にUDPポート1701、500が必要。
さらにIPプロトコル番号50のESPを使用し、NATを介する場合はUDPポート4500が必要と何かと複雑だった。
IPsecパススルーとかないとだめだしね。

そんなわけで
どんなネットワークでも使えるであろうHTTPSのポートのみを使用してVPNが構築できるのはすごい。

2.利用が簡単
「Windows Vista SP1」で何気にSSTPが追加されている。
そのためWindowsユーザはこれまでのVPN接続の設定と同様の手順でSSTPが利用できる。

3.証明書が必要
これはデメリットになるのだが
SSTPサーバを構築するためにはSSL用のサーバ証明書が必要となるらしい。
サーバ証明書なんて取るだけでお金がかかるため、趣味では使いにくいかもしれない。

4.ホスト間のみ
これもデメリットだと思うのだが
現状対応しているのが「Windows Server 2008」と「Windows Vista SP1」のみ。
L2TP/IPsecのようにルータで手軽にネットワーク同士をVPN構築できたりしないので面倒と言えば面倒。
Windows Server大好きな人はそれをルータにしてくれても構わないが
個人的趣向で言えばWindowsでそんなことはやりたくない。

そんなわけで
Windows Server 2008をまだ実際に触ったことないので
構築手順もなにも書けないのですが
サーバ証明書がどうにかだませるなら試してみたいなとは思う一品。

詳しくはWEBで ->
http://www.techworld.jp/channels/software/102099/(削除されていました)

(さらに…)

Posted at 02:06 | Category: VPN, Windows | No Comments

なぜPPTPよりもL2TP/IPsecなのか

よく言われる話ですがPPTPはセキュリティレベルが低い。
漠然と「危険」とは思っていましたが、なぜかは知りませんでした。

そんなわけで調べたことのまとめ。

1.認証の問題
PPTPにはMS-CHAPを認証に使用します。
MS-CHAP v1は暗号強度がMD4の40bit、RASの偽装を確認できない、送受信が同じ暗号鍵という問題がありました。
そこでMS-CHAP v2に改良されました。
RASの偽装などはできなくなりましたが、チャレンジレスポンスにMD4とDESが使われることはv1と変わりません。
このMD4は既に脆弱性が見つかっており、DESに関しても解読されることが確認されています。
またMS-CHAPではユーザ名とパスワードのみで認証が行われるため、そこが解読されるとアウトです。

2.暗号化の問題
PPTPでは暗号化にはMPPEが使用されています。
このMPPEは暗号鍵が128bitの固定なので攻撃が簡単になります。
またこのMPPEの暗号鍵は先に述べた安全でないMS-CHAPで交換が行われるためここにも問題があります。

これらの理由からPPTPは安全でないと言われているようです。
Windowsクライアントから簡単に接続できるVPN環境を構築するなら
L2TP/IPsecを使用しろってことですね。

ネットワークなんて誰が盗聴してるかわからないですから。。。

Posted at 01:04 | Category: VPN | No Comments