AWS Client VPNで使用しているTLSバージョンを確認する方法を教えてください

2021.12.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 22日目の記事です。

困っていた内容

AWS Client VPNでTLS1.0/1.1のサポートが終了するアナウンスが届きました。AWS Client VPNで使用しているTLSのバージョンを確認する方法はありますか?

どう対応すればいいの?

パケットキャプチャによる確認

AWS Client VPNが使用しているTLSのバージョンを確認する方法として、AWSのブログではパケットキャプチャによるTLSバージョンの確認方法が紹介されています。

TLS 1.2 will be required for all AWS FIPS endpoints beginning March 31, 2021 | AWS Security Blog

EXAMPLE: TLS version detection using a packet capture To capture the packets, multiple online sources, such as this article, provide guidance for setting up TCPDump on a Linux operating system. On a Windows operating system, the Wireshark tool provides packet analysis capabilities and can be used to analyze packets captured with TCPDump or it can also directly capture packets.

しかし多数のクライアント端末を調査する必要がある場合や、パケットキャプチャの操作に慣れていない方にはTCPDumpやWiresharkを用いてTLSバージョンを確認をするのは負荷の高い作業になりますよね。

OpenVPNログでの確認

AWSが提供するクライアントVPNソフトでは、クライアントVPNのOpenVPNログにTLS1.2でVPNを接続した場合には「Control Channel: TLSv1.2」が記録されますので、こちらでより簡単にTLS1.2で接続されていることを確認が可能です。

2021-12-19 16:51:29.505 +09:00 [DBG] >LOG:1639900289,,Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

OpenVPNログの保管場所

AWSが提供するクライアントVPNソフトのOpenVPNログはコンピューター上の次の場所に保存されています。

・ Windowsの保存場所

C:\Users\User\AppData\Roaming\AWSVPNClient\logs

・ MACの保存場所

/Users/username/.config/AWSVPNClient/logs

・ ログファイル名

OpenVPN ログには「ovpn_aws_vpn_client_」が日付の前に付けられています

(例:ovpn_aws_vpn_client_20211219.log)

運用観点でのワンポイント

AWS Client VPNではセキュリティの継続的な改善のため現状TLS1.2が最低限必要とされています。今後はセキュリティとパフォーマンスが大幅に改善されたTLS1.3が主流になると予想されますので、AWS Client VPNでのTLSバージョンの確認方法を押さえておくと便利です。

参考資料

TLS 1.2 will be required for all AWS FIPS endpoints beginning March 31, 2021 | AWS Security Blog

Windows のトラブルシューティング - AWS クライアント VPN

macOS のトラブルシューティング - AWS クライアント VPN