ポートに穴を開けることなく安全なリモートデスクトップ環境を構築しよう(その1)

インターネットを介したリモートデスクトップ(RDPやVNC)は便利ですが、普通にやろうとすると遠隔操作対象PC側にグローバルIP(固定IPでないときはさらにDDNSも)が必要で、ルータやファイアフォールの設定をいじって内向きにポートに穴をあける必要があります。

別にそのくらいやればいいじゃんと思いますが、いくつか問題があります。

・グローバルIPかつポートが開いているということは、サイバー攻撃の対象にされてもおかしくない

・暗号化されていない遠隔操作プロトコルを使うと、途中で盗聴されてしまう可能性がある

・ルータやファイアフォールの設定権限を持っていない場合、そもそもポートに穴を開けることができない

 

ここではこれらの課題を解決するために、中継サーバを使用して2本のSSHトンネルを張って、その中をRDPやVNCを通して遠隔操作する方法を試してみます。

・固定グローバルIPがなくDDNSを使用していなかったり、携帯電話回線などグローバルIPを持っていない回線につながっているPCの遠隔操作が可能

・普通にWebブラウジングができる環境(HTTP(S)が使える環境)であれば、追加のポートを開けることなく遠隔操作が可能

・途中のすべての経路を暗号化し、安全に遠隔操作が可能

 

具体的にはこんな感じを目指します。

中継サーバはVPSでもなんでも良いですが、必要な時に必要なだけサーバを動かせるクラウド(AWS)を使ってみます。遠隔操作しない時はサーバを止めてしまえばお金もかかりませんし 笑

 

1. AWSに中継サーバーを立てよう

早速ですが、AWSに中継サーバーを立てていきましょう。

 

-1. AWSのアカウントを作成

まずはAWSにアカウントを作成しましょう。しばらくは無料で使えます。すでにアカウントをお持ちの方は次の項目へお進みください。

 

-2.  AWS EC2のインスタンス(仮想サーバ)を作成する

EC2を選択
EC2を選択
インスタンスの作成をクリック
インスタンスの作成をクリック
一番上のAmazon Linux AMIを選択
一番上のAmazon Linux AMIを選択
無料枠のt2.microを選択して次の手順へ
無料枠のt2.microを選択して次の手順へ
次の手順へ
次の手順へ
次の手順へ
次の手順へ
仮想サーバに名前を付けるためにタグの追加をクリック
仮想サーバに名前を付けるためにタグの追加をクリック
Nameタグとして中継サーバという名前を付けて次の手順へ
Nameタグとして中継サーバという名前を付けて次の手順へ
セキュリティグループ(ファイアフォール設定)にRELAY-SGという名前をつける
セキュリティグループ(ファイアフォール設定)にRELAY-SGという名前をつける
ルールの追加で、TCP:80番、0.0.0.0/0を追加後、確認と作成をクリック
ルールの追加で、TCP:80番、0.0.0.0/0を追加後、確認と作成をクリック

※TCP:80番を解放したのは、実はHTTP通信を通すわけではありません。初期状態はTCP:22番がSSHポートですが、後でSSHポートをTCP:80番に変更します。この理由ですが、詳しくはその2で説明します。

起動をクリック
起動をクリック
新しいキーペア(aws-key)を作成してダウンロード後、インスタンスを作成
新しいキーペア(aws-key)を作成してダウンロード後、インスタンスを作成

※ダウンロードしたaws-key.pem(名前はなんでも良いです)は、その2で中継サーバにSSHログインするために必要ですので紛失しないようにご注意ください。

インスタンス(仮想サーバ)が作成されたので、作成されたインスタンスを表示します。
インスタンス(仮想サーバ)が作成されたので、作成されたインスタンスを表示します。

 

これで、AWS EC2上に仮想の中継サーバが立ち上がりました!

 

-3. Elastic IPを使用してEC2のインスタンスに固定IPを割り当てる

ちょっと疲れてきましたがもう一息です!

標準ではサーバを起動し直すたびにIPアドレスが変わって不便なので、作成されたインスタンス(仮想サーバ)に固定IPを割り当てておきましょう。Elastic IPをいうサービスを使いますが、IPアドレスだけとって放置するなど、ちゃんとインスタンスに割り当てておかないとお金がかかるので注意が必要です(インスタンスを消したらIPも消しましょう)。

Elastic IPをクリック
Elastic IPをクリック
新しいアドレスを割り当てます
新しいアドレスを割り当てます
割り当てられたIPを先ほど作成したインスタンスに関連付けします
割り当てられたIPを先ほど作成したインスタンスに関連付けします
インスタンスに中継サーバを設定し、関連付けをクリック
インスタンスに中継サーバを設定し、関連付けをクリック

これで、先ほど作成したインスタンスに固定IPが割り当てされました。

 

-4. 中継サーバ完成!

 

その2へ続きます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

リンクが含まれる投稿はサイト管理者の承認後に表示されます(スパム対策)