F-Secure PSB Server Protectionのポータル画面からAmazon WorkSpacesをネットワーク隔離してみた

2020.07.15

はじめに

こんにちは。大阪オフィスの林です。

F-Secure Protection Service for Business (以下 F-Secure PSB)とAmazon WorkSpacesを使って「ネットワーク隔離」という機能を試してみました!

ネットワーク隔離とは?

そのままの意味なのですが、例えばウイルス等が原因で異常な振る舞いを行っているデバイスをF-Secure PSBのポータル画面からの操作でネットワーク隔離してくれるといった機能になります。

今回やること

  • F-Secure PSBのポータル画面からAmazon WorkSpacesをネットワークから隔離する

準備

「F-Secure PSB とは?」だったりAmazon WorkSpacesへの初期セットアップに関しては下記のブログを参照頂ければと思います。

検証した環境

  • Amazon WorkSpaces
    • Standard with Windows 10 (PCoIP) Japanese (日本語)
    • IPアドレス:172.31.42.252
  • EC2(接続確認用)
    • Amazon Linux 2(ami-06ad9296e6cf1e3cf)
    • IPアドレス:172.31.46.180
  • F-Secure
    • F-Secure PSB Server Protection Premium v20.3

やってみた

ネットワーク隔離前の正常性を確認しておくためEC2からAmazon WorkSpacesに対して接続確認してみます。

[ec2-user@ip-172-31-46-180 ~]$ ping 172.31.42.252
PING 172.31.42.252 (172.31.42.252) 56(84) bytes of data.
64 bytes from 172.31.42.252: icmp_seq=1 ttl=128 time=0.343 ms
64 bytes from 172.31.42.252: icmp_seq=2 ttl=128 time=0.605 ms
64 bytes from 172.31.42.252: icmp_seq=3 ttl=128 time=0.489 ms
64 bytes from 172.31.42.252: icmp_seq=4 ttl=128 time=0.602 ms

--- 172.31.42.252 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3057ms
rtt min/avg/max/mdev = 0.343/0.509/0.605/0.110 ms

念のため、Amazon WorkSpaces側からもEC2に対して接続確認してみます。

D:\Users\test1>ping 172.31.46.180 -t

172.31.46.180 に ping を送信しています 32 バイトのデータ:
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255

双方向で問題無く通信が出来たので続いての手順に進みます。F-Secure PSBのポータルへのログインと、Amazon WorkSpacesのセットアップが完了している状態から進めていきます。ポータル画面の左メニューから「デバイス」を選択し、対象のデバイスにチェックを入れます。

画面下部にメニューが表示されるので「ネットワークの隔離」を選択します。

選択肢から「ネットワークから隔離する」を選択します。

操作が完了した旨のメッセージが表示されました。

ほぼ同時にAmazon WorkSpacesのコンソールで「Disconnect」というメッセージが表示され、セッションが切断されました。

F-Secure PSBのポータルを確認するとデバイスのステータスが「隔離」に変わっています。

EC2からAmazon WorkSpacesに対して接続確認したところ、ICMPの応答が無くなりました。

[ec2-user@ip-172-31-46-180 ~]$ ping 172.31.42.252
PING 172.31.42.252 (172.31.42.252) 56(84) bytes of data.

--- 172.31.42.252 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6143ms

ネットワーク隔離中のAmazon WorkSpacesの状態を見てみますが、Amazon WorkSpacesのダッシュボードからは状態が変わっているようには見えませんでした。

紐づいているパブリックIP、ネットワークインターフェースの状態も確認してみましたが特に状態に変化は見受けられませんでした。※直接GIPに対してリモートデスクトップもしてみましたが接続出来ませんでした。

それではネットワークの隔離から解放していきます。隔離の操作と同様にデバイスを選択して表示されたメニューから「ネットワークの隔離」-「ネットワークの隔離から解放する」を選択します。

操作が完了した旨のメッセージが表示されました。

Amazon WorkSpacesのコンソールがアクティブに復旧し「コンピュータのネットワーク隔離が解除されました」というメッセージが表示されていることを確認し「閉じる」で閉じます。

EC2からAmazon WorkSpacesに対して接続確認してみます。

[ec2-user@ip-172-31-46-180 ~]$ ping 172.31.42.252
PING 172.31.42.252 (172.31.42.252) 56(84) bytes of data.
64 bytes from 172.31.42.252: icmp_seq=1 ttl=128 time=0.557 ms
64 bytes from 172.31.42.252: icmp_seq=2 ttl=128 time=0.577 ms
64 bytes from 172.31.42.252: icmp_seq=3 ttl=128 time=0.299 ms
64 bytes from 172.31.42.252: icmp_seq=4 ttl=128 time=0.669 ms

--- 172.31.42.252 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3056ms
rtt min/avg/max/mdev = 0.299/0.525/0.669/0.139 ms

Amazon WorkSpaces側からもEC2に対して接続確認してみます。

D:\Users\test1>ping 172.31.46.180 -t

172.31.46.180 に ping を送信しています 32 バイトのデータ:
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255
172.31.46.180 からの応答: バイト数 =32 時間 <1ms TTL=255

問題無く通信が復旧しています。ここまででネットワークの隔離から復旧までの一連の操作をご紹介させて頂きました。

まとめ

オンプレ等の物理マシンとは異なり、Amazon WorkSpacesの場合ネットワーク隔離したからと言ってその後の調査がローカルで出来るかというとそうではないので最終手段としてのオペレーションになるのかなと触ってて感じました。また次回は別の機能の検証ブログを書いていきたいと思います!

以上、大阪オフィスの林がお送りしました!