AWS Client VPNで使用しているTLSバージョンを確認する方法を教えてください
この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 22日目の記事です。
困っていた内容
AWS Client VPNでTLS1.0/1.1のサポートが終了するアナウンスが届きました。AWS Client VPNで使用しているTLSのバージョンを確認する方法はありますか?
どう対応すればいいの?
パケットキャプチャによる確認
AWS Client VPNが使用しているTLSのバージョンを確認する方法として、AWSのブログではパケットキャプチャによるTLSバージョンの確認方法が紹介されています。
TLS 1.2 will be required for all AWS FIPS endpoints beginning March 31, 2021 | AWS Security Blog
EXAMPLE: TLS version detection using a packet capture To capture the packets, multiple online sources, such as this article, provide guidance for setting up TCPDump on a Linux operating system. On a Windows operating system, the Wireshark tool provides packet analysis capabilities and can be used to analyze packets captured with TCPDump or it can also directly capture packets.
しかし多数のクライアント端末を調査する必要がある場合や、パケットキャプチャの操作に慣れていない方にはTCPDumpやWiresharkを用いてTLSバージョンを確認をするのは負荷の高い作業になりますよね。
OpenVPNログでの確認
AWSが提供するクライアントVPNソフトでは、クライアントVPNのOpenVPNログにTLS1.2でVPNを接続した場合には「Control Channel: TLSv1.2」が記録されますので、こちらでより簡単にTLS1.2で接続されていることを確認が可能です。
2021-12-19 16:51:29.505 +09:00 [DBG] >LOG:1639900289,,Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
OpenVPNログの保管場所
AWSが提供するクライアントVPNソフトのOpenVPNログはコンピューター上の次の場所に保存されています。
・ Windowsの保存場所
C:\Users\User\AppData\Roaming\AWSVPNClient\logs
・ MACの保存場所
/Users/username/.config/AWSVPNClient/logs
・ ログファイル名
OpenVPN ログには「ovpn_aws_vpn_client_」が日付の前に付けられています
(例:ovpn_aws_vpn_client_20211219.log)
運用観点でのワンポイント
AWS Client VPNではセキュリティの継続的な改善のため現状TLS1.2が最低限必要とされています。今後はセキュリティとパフォーマンスが大幅に改善されたTLS1.3が主流になると予想されますので、AWS Client VPNでのTLSバージョンの確認方法を押さえておくと便利です。
参考資料
TLS 1.2 will be required for all AWS FIPS endpoints beginning March 31, 2021 | AWS Security Blog
