2013年7月29日月曜日

EICARテストファイルでServerProtectのリアルタイムスキャンをテスト

スズキです。

下記でServerProtectの導入が完了したので、実際にリアルタイムスキャンが
機能しているか確認します。
Windows(EC2)にServerProtectをインストール
この手のテストには"EICARテストファイル"というものがあり、
EICARテストファイル(EICAR Standard Anti-Virus Test File)とはEICARが開発した
アンチウイルス (AV)ソフトウェアの応答をテストするためのファイルである。
とのことです。(Wikipediaより)

上記のファイルは、こちらからダウンロードできます。


ダウンロードしようとすると、下記のようになりました。


ServerProtectのコンソールからログを確認すると、上記はServerProtectが
隔離したことが原因であることがわかります。


ちなみにインストール時の設定は、Incoming(ファイルを受信/保存)に対して、
リアルタイムスキャンを行っています。


次はアラートをメールに送信する設定。。。
--------
http://www.suz-lab.com

Windows(EC2)にServerProtectをインストール

スズキです。

単なるインストールメモです。。。

ダウンロードはこちらから可能です。


ダウンロードしたファイルを展開して実行するとインストーラーが起動します。


ユーザー情報を適当(適切)に入力します。


WIndowsのAdministratorアカウントの情報を入力します。


管理コンソールにログインするためのパスワードを入力します。


とりあえず、"Control Management Agent"はインストールしません。


スタートメニューからコンソールが起動できます。


パスワードを入力すると、


コンソールが起動します。


次はリアルタイムスキャンの確認。。。
--------
http://www.suz-lab.com

2013年7月28日日曜日

SecureCloudの"RAID Array"機能を使って複数のEBSから一つの暗号化ボリュームを作成する(Windows)

スズキです。

下記でEBS単体の暗号化は確認できたので、今回は"RAID Array"の機能を使って
複数のEBSを一つのボリュームとしてマウントしてみます。
Windows(Server 2008 R2 SP1)でSecureCloud(3.5)を使ってみる
当然、マウントしたボリュームはすべてのEBSのサイズを合計したものになります。
(RAID0)

まずは下記のように複数のEBSがアタッチされたEC2を用意します。

 

WindowsにインストールされたSecureCloudのウィザードでConfigurationの
設定まで行い、下記のように"RAID Array"の設定を行います。


"RAID Array"の設定が終わったら、実際に暗号化を行います。
※暗号化には少し時間がかかります。



これで無事、複数のEBSを一つの暗号化ボリュームとして作成することができました。

Linuxも、どっかで試さないと。。。
--------
http://www.suz-lab.com

SecureCloudで暗号化(Windows)したEBSを別のEC2にマウントしてみた

スズキです。

下記でSecureCloudを使ってWindowsにアタッチしたEBSの暗号化を行ったので、
Windows(Server 2008 R2 SP1)でSecureCloud(3.5)を使ってみる
今回は、この暗号化したEBSを別のEC2(Windows)にアタッチしても中身が
みれないことを確認してみます。

まずはSecureCloudで暗号化したWindowsの状態です。

Dドライブが暗号化されたEBSで、Eドライブが普通のEBSになっています。
そして、それぞれのドライブにテキストファイルを置いておきました。


次に上記のEC2をストップして、二つのEBSもデタッチして、SecureCloudを
インストールしていない別のWindowsにアタッチして確認してみます。


上記のように、普通のEBSをアタッチしてマウントしたEドライブは、テキストファイルを
みることができましたが、暗号化されたEBSをアタッチしてマウントしたDドライブは
ファイルシステムがRAWになってしまい、中身をみることができませんでした。

次は"RAID Array"(複数のEBSを一つのボリュームにまとめる機能)を試してみます。
--------
http://www.suz-lab.com

Windows(Server 2008 R2 SP1)でSecureCloud(3.5)を使ってみる

スズキです。

下記に続いて、Windowsでも試してみました。
CentOS(6.4)でSecureCloud(3.5)を使ってみる(インストール編)
(今回はディスクの暗号化まで実施しています。)

利用したAMIはこちらです。(起動時に"IAM Role"でAPIを利用できるようにしています)


"SecureCloud Agent"のダウンロードはこちらから。


ダウンロードしたインストーラーを実行します。


すると少し時間がたってから、ログオフしてしまいます。


そして再びWindowsにログインすると、ちゃんとインストールされていることが
「スタート」→「すべてのプログラム」から確認することができます。

事前に暗号化するディスク(EBS)の確認をしておきます。


マネジメントコンソール(SecureCloud)で"AccountID"と"Provision passphrase"も
確認しておきます。


そして、ウィザードを実行します。


まずは、"Configuration"です。


次に、"Encription"です。暗号化用にアタッチしたEBSを選択します。


暗号化が終わったら、フォーマットしてドライブとしてマウントしておきます。


マネジメントコンソール(SecureCloud)でも確認しておきます。


これで無事、暗号化ボリュームを作成することができました。

CentOSの方も、暗号化までやらないと。。。
--------
http://www.suz-lab.com

2013年7月27日土曜日

"Vyatta on EC2"でVPC間VPN

スズキです。

前回、下記のようにEC2上のVyataから別のVPC(VGW)へVPN接続することに成功しました。
"Vyatta on EC2"から"VPC"に"VPN Connection"
今回は、下図のようにVyattaとVGWを通じて二つのVPC上のEC2が"Private IP"で
お互いに透過的にアクセスできるようにしてみます。


まずVyattaのEC2インスタンスは、例の"Source / Dest Check"を無効にしておきます。


次に、Vyatta以外のEC2(別VPCのEC2に透過的にアクセスしたいEC2)が所属する
サブネットのルーティングテーブルを、別VPC(10.0.0.0/16)のEC2宛が
Vyattaに向くように設定します。


そして、今回登場するすべてのEC2に対して、二つのVPCを包括する
ネットワークアドレスへの通信ができるように、セキュリティグループも設定しておきます。



最後にVyattaに対して、スタティックルーティングとBGPの広報する
ネットワークアドレスを設定します。
# show protocols
 bgp 65001 {
     neighbor 169.254.252.25 {
         remote-as 10124
         soft-reconfiguration {
             inbound
         }
         timers {
             holdtime 30
             keepalive 30
         }
     }
     neighbor 169.254.252.29 {
         remote-as 10124
         soft-reconfiguration {
             inbound
         }
         timers {
             holdtime 30
             keepalive 30
         }
     }
     network 10.1.0.0/16 {
     }
 }
 static {
     route 10.1.0.0/16 {
         next-hop 10.1.0.1 {
         }
     }
 }
自分のVPCのネットワークアドレス(10.1.0.0/16)をBGPで広報するには、
"10.1.0.0/16"のスタティックルーティングも指定する必要があります。
※解決にご協力いただいた皆様、ありがとうございました!

ここまで問題なく完了すると、Vyattaが接続するVPC(10.0.0.0/16)のサブネット
(10.0.0.0/24)のルーティングテーブルに上記で設定した10.1.0.0/16のルーティングが
反映されていることが確認できます。


この状態で、10.0.0.5のEC2からVyatta側のEC2(10.1.1.5)に疎通確認すると、
無事、通信できていることが確認できるはずです。
# ping 10.1.1.5
PING 10.1.1.5 (10.1.1.5) 56(84) bytes of data.
64 bytes from 10.1.1.5: icmp_seq=1 ttl=62 time=3.81 ms
64 bytes from 10.1.1.5: icmp_seq=2 ttl=62 time=3.85 ms
64 bytes from 10.1.1.5: icmp_seq=3 ttl=62 time=3.56 ms
64 bytes from 10.1.1.5: icmp_seq=4 ttl=62 time=3.60 ms
64 bytes from 10.1.1.5: icmp_seq=5 ttl=62 time=3.52 ms
# traceroute 10.1.1.5
traceroute to 10.1.1.5 (10.1.1.5), 30 hops max, 60 byte packets
 1  169.254.252.1 (169.254.252.1)  0.558 ms  0.574 ms  0.775 ms
 2  169.254.252.25 (169.254.252.25)  0.621 ms  0.831 ms  0.787 ms
 3  169.254.252.26 (169.254.252.26)  3.587 ms  3.804 ms  3.738 ms
 4  10.1.1.5 (10.1.1.5)  4.475 ms  4.135 ms  4.383 ms

次は、CloudHubパターン。。。
--------
http://www.suz-lab.com

2013年7月26日金曜日

"Vyatta on EC2"から"VPC"に"VPN Connection"

スズキです。

すでに、"@j3tm0t0"さんの
Amazon EC2(Vyatta)からAmazon VPCに接続してみた
や、"@matetsu"さんの
Vyatta on EC2からVPC にVPN接続をする
といった記事がありますが、改めて現在の最新の環境(Vyatta Core 6.6 R1)で
試してみました。

今回は下記のような、あるVPCのVyattaが、もう一つのVPCに"VPN Connection"を張り、
その中のEC2と疎通(ping)できることを確認してみました。


当然、前提として上記のVPC(Subnet / Routing Table / ...)は事前に用意しておきます。

Vyattaは"@j3tm0t0"さんのAMI(ami-07f47b06)を利用させていただきました。


そしてVyattaに関連づけたEIPのIPアドレスで接続側のVPC(10.0.0.0/16)に
"Customer Gateway"を作成します。(今回はBGPの方です)


"Customer Gateway"を作成したら、"VPN Gateway"( Virtual Private Gateway)と
関連付けて"VPN Connection"を作成し、Vyattaの設定ファイルをダウンロードします。


ダウンロードしたファイルより、接続環境(IPsec / BGP)を確認することができます。

▼ 共通の情報
Vyatta Provate IP Address   : 10.1.0.4 
Customer Gateway ASN     : 65001 
Virtual Private Gateway ASN : 10124
Advertise Network           : 10.1.0.0/24

▼ Tunnel1の情報
Virtual Private Gateway     : 27.0.1.16
Customer Gateway            : 169.254.252.26/30
Virtual Private Gateway     : 169.254.252.25/30
Neighbor IP Address         : 169.254.252.25
Pre-Shared Key              : XXXXXXXX

▼ Tunnel2の情報
Virtual Private Gateway     : 27.0.1.144
Customer Gateway            : 169.254.252.30/30
Virtual Private Gateway     : 169.254.252.29/30
Neighbor IP Address         : 169.254.252.29
Pre-Shared Key              : YYYYYYYY

VyattaのVPN設定を行う前に、VPC(10.0.0.0/16)とVPN接続の通信ができるように、
セキュリティグループを事前に設定しておきます。

Inbound、Outbound、ともにUDPの500とEPS(50)を二つ"VPN Gateway"
( Virtual Private Gateway)のIPアドレス(27.0.1.16、27.0.1.144)に対して
許可しておきます。



準備が終わったら、いよいよVyattaでVPNの設定を行います。

▼ 共通の設定
set protocols bgp 65001 network 10.1.0.0/24

set vpn ipsec ipsec-interfaces interface 'eth0'

set vpn ipsec ike-group AWS lifetime '28800'
set vpn ipsec ike-group AWS proposal 1 dh-group '2'
set vpn ipsec ike-group AWS proposal 1 encryption 'aes128'
set vpn ipsec ike-group AWS proposal 1 hash 'sha1'
set vpn ipsec ike-group AWS dead-peer-detection action 'restart'
set vpn ipsec ike-group AWS dead-peer-detection interval '15'
set vpn ipsec ike-group AWS dead-peer-detection timeout '30'

set vpn ipsec esp-group AWS compression 'disable'
set vpn ipsec esp-group AWS lifetime '3600'
set vpn ipsec esp-group AWS mode 'tunnel'
set vpn ipsec esp-group AWS pfs 'enable'
set vpn ipsec esp-group AWS proposal 1 encryption 'aes128'
set vpn ipsec esp-group AWS proposal 1 hash 'sha1'

▼ Tunnel1の設定
set interfaces vti vti0 address '169.254.252.26/30'
set interfaces vti vti0 description 'VPC tunnel 1'
set interfaces vti vti0 mtu '1436'

set vpn ipsec site-to-site peer 27.0.1.16 authentication mode 'pre-shared-secret'
set vpn ipsec site-to-site peer 27.0.1.16 authentication pre-shared-secret 'XXXXXXXX'
set vpn ipsec site-to-site peer 27.0.1.16 description 'VPC tunnel 1'
set vpn ipsec site-to-site peer 27.0.1.16 ike-group 'AWS'
set vpn ipsec site-to-site peer 27.0.1.16 local-address '10.1.0.4'
set vpn ipsec site-to-site peer 27.0.1.16 vti bind 'vti0'
set vpn ipsec site-to-site peer 27.0.1.16 vti esp-group 'AWS'

set protocols bgp 65001 neighbor 169.254.252.25 remote-as '10124'
set protocols bgp 65001 neighbor 169.254.252.25 soft-reconfiguration 'inbound'
set protocols bgp 65001 neighbor 169.254.252.25 timers holdtime '30'
set protocols bgp 65001 neighbor 169.254.252.25 timers keepalive '30'

▼ Tunnel2の設定
set interfaces vti vti1 address '169.254.252.30/30'
set interfaces vti vti1 description 'VPC tunnel 2'
set interfaces vti vti1 mtu '1436'

set vpn ipsec site-to-site peer 27.0.1.144 authentication mode 'pre-shared-secret'
set vpn ipsec site-to-site peer 27.0.1.144 authentication pre-shared-secret 'YYYYYYYY'
set vpn ipsec site-to-site peer 27.0.1.144 description 'VPC tunnel 2'
set vpn ipsec site-to-site peer 27.0.1.144 ike-group 'AWS'
set vpn ipsec site-to-site peer 27.0.1.144 local-address '10.1.0.4'
set vpn ipsec site-to-site peer 27.0.1.144 vti bind 'vti1'
set vpn ipsec site-to-site peer 27.0.1.144 vti esp-group 'AWS'

set protocols bgp 65001 neighbor 169.254.252.29 remote-as '10124'
set protocols bgp 65001 neighbor 169.254.252.29 soft-reconfiguration 'inbound'
set protocols bgp 65001 neighbor 169.254.252.29 timers holdtime '30'
set protocols bgp 65001 neighbor 169.254.252.29 timers keepalive '30'

※ダウンロードした設定ファイルの"local-address"(Tunnel1/2)は
"Customer Gateway"、VyattaのEIPの"IP Address"になっていますが、
Vyattaの"Private IP Address"に書きかえる必要があります。

※ダウンロードした設定ファイルには重複した設定があり、実行すると
重複エラーになったので、その部分は削除しています。

問題なければ、AWSコンソールのステータスがUPになるはずです。


今回はBGPを利用しているので、VPN接続するサブネットの"Route Table"で、
"Route Propagation"の設定を行なっておきます。


するとVPN接続が成功した場合、勝手にVyatta側の経路情報が登録されます。


最後にVyattaからの接続確認です。
※ソースのIPを指定する必要があります。(-I 10.1.0.4)
$ sudo ping -I 10.1.0.4 10.0.0.5
PING 10.0.0.5 (10.0.0.5) from 10.1.0.4 : 56(84) bytes of data.
64 bytes from 10.0.0.5: icmp_req=1 ttl=62 time=1.12 ms
64 bytes from 10.0.0.5: icmp_req=2 ttl=62 time=1.10 ms
64 bytes from 10.0.0.5: icmp_req=3 ttl=62 time=0.996 ms
64 bytes from 10.0.0.5: icmp_req=4 ttl=62 time=1.22 ms
64 bytes from 10.0.0.5: icmp_req=5 ttl=62 time=1.17 ms

接続先(10.0.0.5)の通信状況も確認しておきます。
# tcpdump icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
00:30:26.888702 IP 10.1.0.4 > 10.0.0.5: ICMP echo request, id 3041, seq 1, length 64
00:30:26.888745 IP 10.0.0.5 > 10.1.0.4: ICMP echo reply, id 3041, seq 1, length 64
00:30:27.890103 IP 10.1.0.4 > 10.0.0.5: ICMP echo request, id 3041, seq 2, length 64
00:30:27.890136 IP 10.0.0.5 > 10.1.0.4: ICMP echo reply, id 3041, seq 2, length 64
00:30:28.891578 IP 10.1.0.4 > 10.0.0.5: ICMP echo request, id 3041, seq 3, length 64
00:30:28.891610 IP 10.0.0.5 > 10.1.0.4: ICMP echo reply, id 3041, seq 3, length 64
00:30:29.893131 IP 10.1.0.4 > 10.0.0.5: ICMP echo request, id 3041, seq 4, length 64
00:30:29.893165 IP 10.0.0.5 > 10.1.0.4: ICMP echo reply, id 3041, seq 4, length 64
00:30:30.894488 IP 10.1.0.4 > 10.0.0.5: ICMP echo request, id 3041, seq 5, length 64
00:30:30.894522 IP 10.0.0.5 > 10.1.0.4: ICMP echo reply, id 3041, seq 5, length 64

ということで、無事、接続できました。

冗長構成が組めれば、NATインスタンスはVyattaでいいかも。
--------
http://www.suz-lab.com