2018年10月9日火曜日

AWS内部でVPNを構築するとの注意ポイント | ライタス株式会社

AWSの構築依頼が増えてきており、ネットワーク構築、セキュリティのコンサルティングのご依頼が特に増えております。

昨今パブリッククラウドが普及したためか、これまでオンプレミス環境で構築されていたお客様も、一部、ないしは全部の環境をクラウドに移行することを検討されるなど、さらなる普及が進むと思われます。

しかしながら、適切なセキュリティを講じていないために、法外な請求を受けたり、情報漏洩を起こしたりと、インシデントが発生することも多々あるので、構築時からセキュアな環境を構築するように心がけていきたいところです。

セキュアな環境を構築するときに、よく登場するVPNですが、今回はこれを構築するときにはまりましたので、その記録を書きたいと思います。

構成としては、AWS VPC上に、自前VPNサーバー + NAT トラバーサルです。
今回はユーザーメンテナンスを考慮し、SoftEther VPNで構築しました。

構築については、他のサイトでもよく記載されているので、そちらをご参照いただければと思います。

AWSにSoftEther VPNServerで簡単にVPN接続しよう | DevelopersIO
https://dev.classmethod.jp/cloud/aws/rk-2018-02-12-softethervpn/
AWS(EC2)でSoftEtherを使ってL2TP/IPsecなVPNを構築する (Mac) - Qiita
https://qiita.com/showwin/items/92861057a8b62611444d

SoftEther VPNは、設定がGUIでできるので、ユーザーに環境を引き渡すときも安心なのがうれしいですね。
ところが、VPNで接続して、いざ内部のサーバーにPingをしてみたところ、うまく疎通できません。(クライアントはWindows 10)

不思議なことに、tracertをすると、何回かタイムアウトしたのちに通信ができるようになります。
一度通信できるようになったら特に問題なく疎通できるのですが、VPNを再接続すると現象が再現します。
最初はMTUが適切な値ではないとか、ルーティングの設定がおかしいのかといろいろ試してみたのですが、どれもうまくいかない上に、クライアントがMacやAndroidなどの端末では、疎通できてしまいます。
いろいろと調べているところ、「送信元/送信先の変更チェック」がTrueになっているとおかしい状態になることを発見しました。


この設定は、EC2インスタンスへの通信が、本当にそのインスタンスから発せられたものであれば通信を許可し、そうでない場合は通信を拒否する機能で、デフォルトでTrueになっています。
tracertをした後、通信がうまくいくのは、この機能によりVPNサーバーの内部ネットワークであるEC2インスタンスから発せられたパケットであると、AWS基盤側に認識されたためと考えられます。
この設定をFalseにした後、しばらくの後に、問題なく通信ができるようになりました。

ルーティングもファイアウォールも問題なく設定されていても通信できないという状況になったら、基盤側の設定も疑ってみるとよいかもしれません。

2018年9月12日水曜日

いまこそBCPの再確認、見直しを | ライタス株式会社

先の台風21号ならびに、北海道胆振東部地震にご被災されました方には、心よりお見舞い申し上げますとともに、一日も早い再建をお祈り致します。

今回のような災害においては、いかに準備が大事かということを、改めて思い知らされたところではありますが、我々ITインフラを支える者としては、いかなる状況におかれても、
システムを止めない、
あるいは、止めるとしても安全に止めるということ、
あるいは、破壊されたとしても速やかに正常な状態に復旧させること
を意識して仕事をしています。

もちろん、システムだけではないですが、復旧させた後、正しく稼働をできる状況にすることも大事です。

経営に取り組んでおられる方は、自社の事業をいかに継続させるか、社員の生活をどのように守るか、腐心しているかと思いますが、
弊社では、BCP(事業継続計画)を予め策定されることをお勧めしています。
あらゆる事業が展開される中で、BCPが適切に運用できるか、役員・社員に浸透しているかを確認することは、手間であるがゆえに放置されがちです。
いざというときに、代表がケガなどで指揮が取れない場合などが発生した時に、会社を守り切れるかという現実に発生しうる問題については記載されていると思いますが、システム管理者が個人に依存している環境下で、システム管理者が行動不能になった場合まで、記載されているケースは、少ないかと思います。

弊社では、
「BCPはとりあえず策定したけど、そのあと何もしていないが、時間がないので放置している」
「新たなシステムを維持するのに、適正な体制が取れているのか不安」
「BCPってよく聞くけど、どのように策定したらよいかわからない」
といったお悩みに、ITインフラの立場を超えてご相談に応じています。

災害が発生してしまったから、見直すというわけではありませんが、意識が高いこの時期に、今一度、社内の体制について見直してみてはいかがでしょうか。




2018年9月6日木曜日

北海道の震災につきまして、ITインフラの復旧を一部支援します | ライタス株式会社

今朝方、北海道方面で発生した地震により、多数の方が被災されているようで、心配しております。
いち早い復旧、普段とかわりない生活への復帰を祈念しております。

今回の地震では、道内総停電という、過去に類を見ない規模の停電が発生しており、石狩をはじめとした、データセンターも影響を受けています。

http://support.sakura.ad.jp/mainte/mainteentry.php?id=24776

石狩データセンターは、自家発電を使用した48時間の稼働を謳っています。
これは、その猶予時間の間に電源の復旧を見込んでいることもありますが、猶予時間の間に、他のデータセンターへ移設することも考慮してのことです。
今回の地震で発生した停電は、発災から6時間が経過した現在でも、復電の見通しが立っていないようです。
北海道に稼働中のシステムが存在する場合は、復電しなかった場合も考慮しつつ、どのように対応するべきかについて、急ぎご検討ください。

DRP(災害時復旧計画)やBCP(事業継続計画)を策定している企業であれば、その計画を実行中のことと思います。
社員、またその家族、取引先等の安否確認は、真っ先に実施する内容ですが、今後の操業・営業計画も重要なことです。慌てずひとつひとつ実施していきたいところです。

一部では、メールサーバーなどのサービスが止まっているという話も聞こえてきております。
緊急に復帰したい、復帰手段がわからないなどの場合には、なんらかお手伝いができるかもしれません。
本震災による技術的支援につきましては、弊社問い合わせ窓口、Facebookページからのメッセージ等によりご連絡いただければ、ご支援させていただきますので、ご連絡ください。(ご支援の内容は、簡易復帰までとなります。復帰できるかどうかまでは、お約束できませんのでご了承ください。)

2018年8月20日月曜日

文書管理ソリューション「DocNet」リリース | ライタス株式会社

ライタス株式会社では、臨床検査室向け文書管理ソリューション『DocNet』をリリースいたしましたので、ご報告申し上げます。

DocNetは、臨床検査室において、文書管理ソリューションが高価でなかなか導入されないという課題に対し、極力安価でご導入いただけるよう、最小限の機能で、かつ、使い慣れているExcelを通して文書管理を行えるようにしました。

DocNetをご導入いただけると、SOP関連書類の整理や、周知記録が簡単に行えるようになります。
ISO15189(2012)の取得の際に要求される、文書管理については、本製品がお役に立てるかと思います。

本件問い合わせにつきましては、弊社ホームページ問い合わせフォームよりお寄せ下さい。



2018年8月17日金曜日

GUIデザインツールPencilの紹介 | ライタス株式会社

ITシステムを設計する上で、いろいろな設計を行う必要があるかと思いますが、その中でも特にセンスを要求される設計にGUI設計があります。

GUI設計は、基本的には、デザイナーさんにお願いする
ラピッド開発が取り沙汰される中、モックアップツールもここ数年でかなり増えました。

だいぶ昔に使っていた「Pencil」という画面設計ツールがあるのですが、ここにきて久々に使う機会があったので、紹介します。

ダウンロードは以下のURLから行います。
いろんなOSに対応しているので、便利ですね。
https://pencil.evolus.vn/

インストールして、そのまま使い始めることもできますが、今回はWebのGUIを開発したかったので、
以下のステンシルを追加しました。

Bootstrap
http://nathanielw.github.io/pencil-stencils/

ステンシルは、Google Codeにアーカイブされているようで、ここから漁ることもできます。
いろんなステンシルがあるのかなと思って調べてみたのですが、そこまで多くはなかったです。
https://code.google.com/archive/p/evoluspencil/downloads


また、Google Codeには入っていなかったのですが、UI/UXデザインに使えそうなステンシルがあったので、参考までにリンクを置いておきます。
https://www.userfocus.co.uk/resources/getstencil.html

ステンシルの追加方法は、左上のメニューアイコンから、図のように選択して、
Load Developer Stencils Directory... を選択します。

続いてダウンロードしてきたステンシルのフォルダから、Definition.xmlを選択します。

これで登録完了です。

上手く使うには、まだまだありそうですが、ちょっと触ってみたいと思います。


2018年8月16日木曜日

メールが相手先から拒否される場合の対処 | ライタス株式会社

メールに関しては、最近はクラウドサービスを利用するケースが多くなってきました。
弊社でもOffice365を推奨していますが、状況に応じてメールサーバーをPostfixやSendmail+Dovcotといった構成で組むケースや、変則的なメールルーティングを設計することもあります。

今回は、Postfix+Dovcotで少人数のアカウントしか作成しないメールサーバーで、とあるドメイン宛のメールを送信したところ、エラーが出てメールが戻ってきてしまいました。
こういう時は、内容をよく読むに限ります。

5.7.1 Client host rejected: cannot find your hostname, [XX.XX.XX.XX] (in reply to RCPT TO command)

相手方に拒否されたようで、その理由としては、ホスト名が見つからなかったという記載です。
相手方のメールサーバーでは、IPアドレスが本当に相手方からメールが発信されたのかを確認するために、IPアドレスの逆引きをチェックしたようですが、確認できなかったようです。
逆引きゾーンの設定は、IPアドレスを保有しているベンダーが設定する必要があるので、その都度対応が異なります。

今回は、さくらのクラウドを使用していたので、コンソールから設定できました。

https://manual.sakura.ad.jp/cloud/server/reverse-hostname.html

パブリッククラウドでは、逆引きの設定を許していないケースもあるので、特にメールサーバーなどの、通信を発信するサーバーを構築する場合は、逆引きIPの設定が必要になるケースがあるので、注意したいところです。




2018年8月7日火曜日

権威DNSをホスティングできるサービス | ライタス株式会社

[ご注意]
DNSというキーワードを知っている方向けの記事になっています。
ご了承ください。

DNSサービスというと、レジストラが提供するDNSをそのまま利用するケースもあると思いますが、外部のDNSを使う方法もあります。
近年では、Bindの脆弱性も多いことから、UnboundやNSDといったパッケージへの移行も検討に入っている方もいるかもしれません。
ドメインの用途や更新頻度にもよりますが、クラウド型の権威DNSを使う手もあります。
クラウド型のメリットは、何よりもメンテナンスフリーであることでしょう。
トラブルが起きにくい仕組みが組まれていることが多く、自前で運用しなければならない理由がない限り、問題になることは少ないかと思います。

有名なところで、よく使われるのが、AWSのRoute53でしょう。
主にAWSのサービスと連携させて使うケースが多いですが、単独で利用することも可能です。
また、近年有名になったのは、Cloudflareでしょうか。
こちらは、本来はCDNのサービスですが、CDNを展開するためにDNSの設定を必要とするので、結果としてDNSの機能も持ちます。
Wordpressの高速化というタイトルで記事を書かれることが多いですが、確かにWebの表示速度は速くなるケースが多いです。
無料のプランを利用することもできるので、CDNの機能を確認するに便利です。

国産の権威DNSの選択肢もあります。
Dozensというサービスは、なにより国産DNSという点で安心感があります。
無料プランもありますが、有料でも他所のDNSに比べて安価です。
世界4か国に分散しているとのことなので、トラブルも起きにくい環境を作っています。
弊社でも利用させていただいておりますが、今のところトラブルは発生していません。

以下URLから申し込みすると、無料プランでは本来12レコードですが+3レコードになります。
よろしければ、お使いください。

https://dozens.jp/i/YhiZtb