KAGOYA VPSのセキュリティグループについて問い合わせてみた

おはようございます、Azusaです。

現在、当サイトはKAGOYA CLOUD VPSにて運用しています。

そして、先日ちょっと気になることがあってセキュリティグループについてサポートに問い合わせてみたので、今後利用される方の参考になればと思い、結果も合わせて書いていこうと思います。

事の発端

まず、何故サポートに問い合わせることになったかといいますと、基本的にVPSは外部から接続して利用するため、SSH接続等のメンテナンスに使われるポートは開放しておかないと接続できません。

ポートノッキング等の開放ポートを隠蔽する手段もありますが、どちらにしても外部からの接続を、内部から設定を変更せずに受け付ける手段が必要なのは変わりませんね。

VPSの場合、サーバで動いているOSによるファイアウォールの他に、VPSのプロバイダから提供されるコントロールパネルにて、ソースとポート等で制御するファイアウォール(セキュリティグループと呼んでいるところが多い印象です)が使えることがほとんどです。

以前利用していたAWS EC2においても同様の設定項目が用意されており、制御可能でした。

そして基本的にWebアクセス以外を遮断するため、当サイトのサーバにもセキュリティグループにて80番(http)・443番(https)のみを許可する設定で運用し、メンテナンス時のみSSHに使っているポートを適宜開放し、メンテナンスが終わると設定を削除してポートを閉じるということを行っていました。

その上で、先日セキュリティグループの設定にSSHのポートを追加せずに接続しようとしてしまったのですが、なんと普通に接続できてしまったのです。

何か設定にバグが有ったかと考えたりして、設定をし直したりするも変化無しで接続できてしまう…。

マニュアルを読んでもこの問題を解消する項目にはヒットせず、流石に怖かったので即日でサポートにヘルプを求めました。

KAGOYAのテスト環境では正常…？

さて、このような状態でフォームを送ったところ、KAGOYAさんのカスタマーの方から詳細な状況を送ってくれと言われたので、セキュリティグループの設定や、サーバの状態をメールにて返信しました。

その上で頂いたメールには、「テスト環境では正常にブロックされた。」とのことで、その上で再度試すもこちらからの接続は変わりなく繋がる状態だったので、「当サイトのサーバに接続して確認してみてくれないか？」と依頼。

しかし、またしても届いたメールには「記載されたウェブサイト宛の通信も正常にブロックされました。」と書いてあり、確認コマンドの出力も合わせて記述されていました。

もしかしてIPv6？

その出力を見てピンときたのが、”IPv4しかブロックされていない？”ということでした。

さっそくドメイン指定ではなくIPv4アドレス直打ちでSSH接続するとブロックされ、IPv6アドレスだと繋がることが判明。

サポートへメールで「IPv6だけ繋がるみたいです。もしかしてIPv6はセキュリティグループの適用外ですか？」と返信。

その結果、「IPv6は非対応なので、OS側のファイアウォール等で対応お願いします。」と来たので、サポートへのお礼を言ってやり取り終了。

セキュリティグループはIPv6非対応

以前AWS EC2を使っていたときはIPv6アドレスも設定できていたので、完全に盲点でした…。

KAGOYA CLOUD VPSのセキュリティグループはIPv4専用みたいなので、IPv6アドレスを設定している方でセキュリティグループのみでアクセス制限をしている方は見直したほうがいいかもしれません。

想定外のポートが開放されているとセキュリティリスクにつながるので、ちょっと今回の出来事には冷や汗をかいてしまいましたが、サポートの方も丁寧ですごく印象も良かったのでKAGOYAさんには今後もお世話になろうかなと思います。

欲を言えば、マニュアルのセキュリティグループの設定のところに”IPv6は適用外”とか書いてほしいですが…。

もっというとIPv6に対応してくれたら満点なんですけどね笑

その後

上記返答を頂いてすぐに、メンテナンス用のポート等はIPv4のみ受付に設定を変更して、現在は安心して眠れるようになりました笑

サポートに投げるのってなんか申し訳なくて、自分でなんとかしようとしてしまうのですが、今回は投げたおかげで迅速に解決できましたし、本当にサポートの方々には感謝です！

すごく対応が良かったので、もしVPSを借りようと検討されている方は、手頃な価格からあるのでKAGOYAさんを検討に入れてみてはいかがでしょうか？

ではでは～♪