第だい86回かい SORACOM公式こうしきブログ

ソラコム公式こうしきブログ

【Ask SORACOM Vol.12】SORACOM Napter の TLS オプションとは？

• 
• シェア
• ツイートする
  一覧いちらん
• 

こんにちは、CRE (Customer Reliability Engineer) の加納かのう(ニックネーム: Kanu)です。

ソラコムの CRE チームは「SORACOM を利用りようする上じょうでのお客様きゃくさまの不安ふあんをゼロにすること」をミッションに、お客様きゃくさまサポートやドキュメントの拡充かくじゅうに努つとめています。また、多おおくのお客様きゃくさまのナレッジとできるよう、いただいたお問とい合あわせを基もとにした SORACOM サービスの活用かつよう方法ほうほうや利用りよう時じの注意ちゅうい点てん、更新こうしんしたドキュメントなどについて不定期ふていきに紹介しょうかいしています。SORACOM サービスのご利用りようにあたって気き付つきになれば幸さいわいです。

今回こんかいは、オンデマンドリモートアクセス「SORACOM Napter」の TLS オプションについてご紹介しょうかいします。

SORACOM Napter とは

お客様きゃくさまより、インターネット側がわからIoTデバイスへSSH等とうによるリモートアクセスを目的もくてきに「SORACOM の IoT SIM に、固定こていのグローバル IP アドレスを付与ふよできますか？」というご質問しつもんをいただきます。
FAQ にも掲載けいさいされているとおり、SORACOM では不正ふせいアクセスリスクの軽減けいげんなどセキュリティ確保かくほの観点かんてんから、 IoT SIMへの固定こていグローバル IPアドレスを割わり当あてる仕組しくみはありません。

一方いっぽうで、デバイスの保守ほしゅやデバッグなどで IoT デバイスに遠隔えんかく地ちからアクセスしたいというケースは多おおいと思おもいます。そんな時ときのために、SORACOM では必要ひつようなときにのみ IoT SIM にグローバル IP アドレスとポートのペアを動的どうてきに割わり当あてる SORACOM Napter というサービスをご用意よういしています。

SORACOM Napter の TLS オプションとは

SORACOM Napter には IoT デバイスへのリモートアクセス時じのセキュリティを高たかめるための機能きのうがいくつかあります。その内うちの一ひとつが今回こんかいご紹介しょうかいする「TLS オプション」です。専門せんもん的てきには「TLS 終端しゅうたん」と呼よばれる機能きのうとなります。

このオプションを利用りようすることで、下図したずの右みぎ部ぶのように、インターネット区間くかんを TLS で暗号あんごう化かできます。そして図ずの左側ひだりがわ、IoT デバイス〜 SORACOM プラットフォームまでの区間くかんは、SORACOM Air for セルラーが提供ていきょうする閉域網もうを経由けいゆしているため、TLS オプションを利用りよういただくことで IoT デバイス側がわが TLS に対応たいおうしていない場合ばあいでも、通信つうしん経路けいろ全体ぜんたいが保護ほごされた状態じょうたいになります。

例たとえば、下図したずのように HTTP で待まち受うけているデバイスに対たいして PC インターネット経由けいゆでも安心あんしんして通信つうしんできる仕組しくみが構築こうちくできます。

TLSオプションのON/OFF方法ほうほう

TLS オプションの設定せっていはとても簡単かんたんです。オンデマンドリモートアクセス作成さくせい時じに TLS オプションにチェックを入いれるだけで、SORACOM NapterがTLSを受うけ付つけられるようになります(TLS終端しゅうたんがONとなる)。

SORACOM Napter の TLS オプション利用りよう時じの注意ちゅうい点てん

SORACOM Napter を利用りよういただいているお客様きゃくさまから「SORACOM Napter 経由けいゆでデバイスに接続せつぞくできない」というお問とい合あわせをいただくことがあります。その原因げんいんの一ひとつとして、TLS オプションが不要ふようなプロトコルの使用しよう時じに、TLS オプションを ON としている場合ばあいが挙あげられます。

TLS オプションは、あくまでも「SORACOM Napter が TLS 通信つうしんを受うけ取とり(終端しゅうたんして)、中継ちゅうけいする」という宣言せんげんです。
よって、TLS 以外いがいの方法ほうほうで暗号あんごう化かされているプロトコルを Napter で中継ちゅうけいさせたい場合ばあいは、むしろ Napter には何なにもさせない＝ TLS オプションは OFF にすることが求もとめられます。

このように TLS オプションを有効ゆうこうにする際さいは、対象たいしょうのプロトコルの暗号あんごう化かが TLS によるものか否ひかを確認かくにんしてください。TLS オプションを OFF にする例れいとしては、SSHやRDP(Remote Desktop Protocol) が挙あげられます。これらはすでに他たの方法ほうほうで暗号あんごう化か済ずみであるため、TLSオプションは不要ふようです。

【テック向むけ:1】 TLS 未み対応たいおうのプロトコル利用りよう時じに SORACOM Napter の TLS オプションを有効ゆうこうにすると接続せつぞくに失敗しっぱいするのは何故なぜ？

ちなみに、SSH などの TLS を使つかっていないプロトコルに対たいして TLS オプションを利用りようすると、具体ぐたい的てきにどのような理由りゆうで接続せつぞくに失敗しっぱいするのでしょうか。ざっくりと申もうし上あげますと、TLS オプションを有効ゆうこうにすると SORACOM Napter 側がわは TLS のハンドシェイク(初期しょき化か)を期待きたいします。一方いっぽうで、一般いっぱん的てきな SSH クライアントは TCP のリクエストを送信そうしんするため、それぞれが期待きたいと異ことなる処理しょりとなるため失敗しっぱいします。

もう少すこし細こまかく解説かいせつします。以下いかは、HTTPS(HTTP+TLS) と SSH での挙動きょどうの違ちがいをパケットキャプチャで見みています。(時とき系列けいれつは上うえから下したへ流ながれています)

以下いかは HTTPS(HTTP+TLS)の例れいです。
クライアント側がわ (192.168.0.3) から TLS オプションが ON となっている Napter へ、HTTPS における TLS のハンドシェイク開始かいし (Client Hello) を送信そうしんし(赤あか枠わく部分ぶぶん)、Napter 側がわも対応たいおうして応答おうとう (Server Hello) を送信そうしんしています。これは期待きたい通どおりの動うごきとなります。

以下いかは SSH の例れいです。
クライアント側がわ (192.168.0.3) から TLS オプションが ON となっている Napter へ、Client Hello ではなく普通ふつうのパケット (SSHの初期しょき化かパケット) を送信そうしんしています(赤あか枠わく部分ぶぶん)。すると、Napter としては「期待きたいした通信つうしん (Client Hello) ではないので、通信つうしん終了しゅうりょう」という意味いみの “FIN” パケットをクライアントに送おくり返かえしています。これは接続せつぞく失敗しっぱいの挙動きょどうとなります。

【テック向むけ:2】 TLS 非ひ対応たいおうのプロトコルに対たいして、TLS オプションを利用りようしたい場合ばあいはどうする？

SSH や RDP はプロトコル自体じたいが暗号あんごう化かされているので TLS オプションを OFF にすれば通信つうしん可能かのうです。では、例たとえば産業さんぎょうの現場げんばで使つかわれる Modbus/TCP といった、暗号あんごう化か能力のうりょくが無ないプロトコルによるリモートアクセスは、利用りようを控ひかえるべきなのでしょうか？

答こたえは NO です。暗号あんごう化か能力のうりょくの無ないプロトコルでも、技術ぎじゅつの組くみ合あわせで暗号あんごう化かが可能かのうな場合ばあいがあります。

まず SSH の利用りようが挙あげられます。SSH はリモートアクセスに使つかうプロトコルですが、暗号あんごう化かされた通信つうしん部分ぶぶんを「ポートフォワーディング」という機能きのうで、他たのアプリケーションに使つかわせることができます。例たとえばパソコンの画面がめん転送てんそうをしてリモート制御せいぎょを実現じつげんする VNC では、サーバーとクライアントの組くみ合あわせによっては暗号あんごう化かされないことがわかっています。そこで、SSH のポートフォワーディングで、どのような条件じょうけんでも暗号あんごう化かできるわけです。このポートフォワーディングによる方法ほうほうは、SORACOMのユーザードキュメントに記載きさいしていますのでご覧らんください。

また、ほかにも手てはあります。TLS 非ひ対応たいおうプロトコルを、TLS 化かするソフトウェアの利用りようです。ここでは、オープンソースの TLS 化かソフトウェア「stunnel」をご紹介しょうかいします。

stunnel と SORACOM Napter の組くみ合あわせ方かた

ここでは、IoT デバイス側がわを Raspberry Pi とし、その上うえで VNC を立たち上あげて、リモートアクセスする想定そうていです。リモートアクセス元もととしては macOS としていますが、stunnel は Windows 等とうでも動うごきますので、同様どうようの設定せっていで TLS による暗号あんごう化か通信つうしんが可能かのうです。

1. Raspberry Pi で  VNC Server を有効ゆうこう化かする

SORACOMユーザードキュメントの 「ステップ 1: デバイスの設定せっていを行おこなう」を参照さんしょうに、設定せっていしてください。

2. SORACOM Napter の利用りようを開始かいしする

SIM 管理かんり画面がめんから対象たいしょうの SIM にチェックを入いれて、「操作そうさ」からオンデマンドリモートアクセスをクリックします。オンデマンドリモートアクセスのダイアログが表示ひょうじされるので、以下いかのように設定せっていします。

• デバイス側がわポート：デバイスの VNC Server が待まち受うけているポート番号ばんごう (5900) を指定していします。
• アクセス可能かのう時間じかん：リモートアクセスする時とき間あいだを任意にんいに指定していします。指定していした時間じかんを経過けいかするとリモートアクセスはできなくなります。最大さいだいで 8 時じ間あいだとなります。
• アクセス元もと IP アドレスレンジ：リモートアクセスを許可きょかするリモート側がわの IP アドレスレンジを指定していします。(ブランクとした場合ばあい、ユーザーコンソールにアクセスした時ときのソースグローバル IP アドレスがデフォルトで設定せっていされます。)
• TLS オプション：チェックを入いれてオプションを有効ゆうこうにします。

上記じょうきを入力にゅうりょく後ご、OK をクリックすると IoT デバイスへアクセスする際さいのグローバル IP アドレスとポート番号ばんごうのペアが表示ひょうじされます。

3. アクセス元もとの PC で stunnel を設定せっていする

今回こんかいは macOS を利用りようした手順てじゅんをご紹介しょうかいします。先まず、以下いかのコマンドを実行じっこうして stunnel をインストールします。

brew install stunnel

/usr/local/etc/stunnel/stunnel.conf を編集へんしゅうして以下いかを設定せっていします。 AAA.AAA.AAA.AAA と BBBBB には前ぜんステップで SORACOM Napter から払はらい出だされたグローバル IP アドレスとポート番号ばんごうを指定していします。CCCC には PC(macOS) 上じょうで接続せつぞくを待まち受うけるするポート番号ばんごうを指定していします。

[ssh_over_ssl] client = yes accept = CCCC connect = AAA.AAA.AAA.AAA:BBBBB

stunnel を起動きどうします。

stunnel /usr/local/etc/stunnel/stunnel.conf

4. VNC 接続せつぞくする

VNC クライアントソフトウェアを使つかい localhost:CCCC へ接続せつぞくし、Username/Password を入力にゅうりょくすると Raspberry Pi に VNC 接続せつぞくできます。ここでは PC 側がわのポート番号ばんごう (CCCC ) を 5999 番ばんとしています。

通信つうしん経路けいろとしては以下いかのようになります。

+------------ クライアントPC(macOS) ------------+---- SORACOM プラットフォーム ---+------ Raspberry Pi ----+  |                                               |                                 |                        | | VNCクライアント --(非ひ暗号あんごう化か)--> stunnel --(TLS通信つうしん)--> SORACOM Napter --(LTEによる暗号あんごう化か)--> VNCサーバー | 

今回こんかいは VNC を利用りようしましたが、TCP 上じょうのアプリケーションであれば可能かのうな場合ばあいがあります。SORACOM Napter は、オンラインで即時そくじご利用りよういただくことができ、また、無料むりょう枠わくもございます。ぜひお試ためしください。

最後さいごに

いかがでしたでしょうか。後半こうはんがやや長ながくなってしまいましたが、SORACOM Napter の TLS オプションの活用かつよう方法ほうほうや注意ちゅうい点てんについてご紹介しょうかいいたしました。手軽てがる且かつセキュアにデバイスへリモートアクセスする手段しゅだんとして SORACOM Napter を是非ぜひご検討けんとうください。

また、Ask SORACOM の過去かこ記事きじはこちらをご覧らんください。

それでは、次回じかいもお楽たのしみに！

― ソラコム加納かのう (Kanu)

投稿とうこう 【Ask SORACOM Vol.12】SORACOM Napter の TLS オプションとは？ は SORACOM公式こうしきブログ に最初さいしょに表示ひょうじされました。

この連載れんさいの記事きじ

• 第だい466回かい

  デジタル

  カメラとAIで楽器がっき演奏えんそうシーンを簡単かんたんに残のこす、IoTプロトタイピングの裏側うらがわ
• 第だい465回かい

  デジタル

  数すう千せんを超こえるIoT機器ききを管理かんり！生成せいせいAIで設備せつび運用うんようを効率こうりつ化かするhacomonoの挑戦ちょうせん
• 第だい464回かい

  デジタル

  SORACOMのビジネスパートナープログラムに、新あらたに5社しゃの認定にんてい済ずみパートナーが参画さんかく、SORACOM Harvest Data で日時にちじデータをタイムスタンプとして利用りよう可能かのうに takuyaのほぼ週刊しゅうかんソラコム 08/31-09/13
• 第だい463回かい

  デジタル

  SORACOM Lagoon 3 の Alert rule の考かんがえ方かたをマスターして、最適さいてきな通知つうちを作成さくせい
• 第だい462回かい

  デジタル

  LTE USB ドングル UD-USC1 を SORACOM サービスと組くみ合あわせて利用りようする
• 第だい461回かい

  デジタル

  EV充電じゅうでんインフラを保護ほごする5つの方法ほうほう
• 第だい460回かい

  デジタル

  IoT プロジェクトの課題かだいを解決かいけつする、SORACOM サービスの活用かつよう事例じれい
• 第だい459回かい

  デジタル

  ATOM Cam 2 専用せんよう LAN アダプターを販売はんばい開始かいし、ソラカメのクラウド録画ろくがマルチストリーミング再生さいせい機能きのうをリリース takuyaのほぼ週刊しゅうかんソラコム 08/17-08/30
• 第だい458回かい

  デジタル

  IoTで接続せつぞくされた充電じゅうでんステーションがEVの普及ふきゅうを促進そくしんする
• 第だい457回かい

  デジタル

  SORACOM Napterがさらに便利べんりに！リモートアクセスの安全あんぜん性せいと利便りべん性せいを両立りょうりつしたWebターミナルのご紹介しょうかい

この記事きじの編集へんしゅう者しゃは以下いかの記事きじもオススメしています

• デジタル

  ソラコム、IoTスマートホーム製品せいひんを開発かいはつ・製造せいぞう販売はんばいを行おこなうアトムテックと資本しほん業務ぎょうむ提携ていけいの契約けいやくを締結ていけつ