HOME  /ZeroTrust
 /Cludflare ZeroTrustのWARP環境下で SSH を利用する
2024年10月02日

Cludflare ZeroTrustのWARP環境下で SSH を利用する


[Split Tunnels]でローカルネットワークを設定すると、WARPクライアントから下図の様にIPアドレス指定でローカルリソースにアクセスできる様になります。

同様にサーバアクセスの[SSH]も利用できるようにになります。

SSH

SSHとは[Secure Shell]の略で、ネットワークに接続されたサーバをアクセスする通信プロトコルでサーバ管理者が利用します。

WindowsからSSH接続をするツールには色々な物がありますが、ここでは[Tera Term]を利用します。

[Tera Term]は、Linuxサーバーをコマンド操作で管理する、人気の高い無料ソフトウェアです。

 

1.PCにTera Term(SSHツール)をインストールする

2.サーバ側でSSH接続をONにする

3.サーバへのログインの仕方

4.Tera Termを使う上で最低限覚えるコマンド

1.PCにTera Term(SSHツール)をインストールする

[Tera Term]のダウンロードは下記URLから行へます。

Tera Termプロジェクト日本語トップページ

 

プログラムには「exe」版と「zip」版があり、私は「exe」版をダウンロードしてインストールしました。バージョンは4.105です。

インストールが完了すると下記アイコンが追加されます。

 

2.サーバ側でSSH接続をONにする

私の場合はSynologyのNASを利用しているので、DSMでSSH接続を許可します。

1.コントロールパネルの下記アイコンを起動します

 

2.端末画面が表示されます

■SSHサービスを有効にします。

Synologyではポート番号22を変更する事を推奨していますが、CloudflareのZero Trustを利用する場合は、ファイアウオールで総てのポート番号をブロックしても問題ないので22のままで問題ありません。

[適用]ボタンを挿入します。

以上でこのサーバはCloudflareのZero Trust環境下でもSSHでアクセスできる様になりました。

 

3.サーバへのログインの仕方

1.Tera Termを起動します。下記画面が表示されます。

■ホスト:サーバのIPアドレスを指定します。

■TCP ポート:DSMでポート番号を変更していた場合は変更します。

[OK]ボタンを挿入します。

 

2.下記のログイン画面が表示されます。

■ユーザ名:DSMのローカルユーザでシステム管理者権限を持っているユーザを指定します。

■パスフレーズ:パスワードを入力します。

[OK]ボタンで接続されます。

 

3.コンソール画面が表示されます

■画面上部に「危険なのでroot権限でコマンドを実行するな!」との警告文が表示されています。

■ヘッダの構成は下記になります

ユーザID@サーバ名

 

4.Tera Termを使う上で最低限覚えるコマンド

1.コピー&ペースト

PCでは「Ctrl+C/Ctrl+V」ですが、Tera Termでは「Alt+C/Alt+V」になります。

 

2.root権限への切り替え

sudo -i

上記コマンドは危険なコマンドですが大半はroot権限でないと作業できません。

もし操作ミスでアプリケーションを壊してしまった場合は、アプリケーションの削除/インストールで復旧して下さい。

 

3.最低限覚えるlinuxコマンド

コマンド

意味・使い方

curl [ curl ]は[ client for url ]の略で、いろんなプロトコルを使用してリクエスト送ることができるコマンドです。

①IPv4アドレスの表示

curl ipv4.icanhazip.com

②IPv6アドレスの表示

curl icanhazip.com

 メモ

curl icanhazip.comでIPv4アドレスが表示される場合は、この回線にIPv6アドレスは設定されてない事を意味しています。

ls [ ls ]は[ list segments ]の略でオプションを指定しない場合は、カレントディレクトリ内にあるファイルの一覧を表示します。
cd [ cd ]は[ change directory ]の略で、ディレクトリを移動するコマンドです。

■「cd /」は、ルートディレクトリに移動します。

ルートディレクトリに移動後、「ls」コマンドをたたいて見て下さい。これが最上位ディレクトリになります。

青色がディレクトリで、水色がファイルです。

 

■「cd ○○○」は、現在のディレクトリに存在する○○○ディレクトリへ移動します。

移動後、「ls」コマンドをたたいて見て下さい。これが○○○の下位のディレクトリ群です。

 

■「cd ../」は、現在のディレクトリの一つ上のディレクトリへ移動します

find [ find ]コマンドはファイルが何処のディレクトリに存在するか?を調べるツールです。

文法:find [検索するパス] [検索条件] [アクション]

例)find / -name “mysqldump”

上記は

検索するパス:「 /」ルートディレクトリーから

検索条件 「-name “mysqldump”」ファイル名を検索します

cat [ cat ]コマンドはファイルの中身を見たい時に利用します。

例)cat ファイル名

vi [ vi ]コマンドはファイルの中身を編集する時に利用するエディタです。

例)vi ファイル名

指定したファイルが存在しない場合は新規作成になります。

<viエディタの中で使うコマンド>

行の追加/編集/削除:「i

インサートモードはカーソル操作とキー入力及びBack Spaceキーで操作します。

データのコピー/貼り付けは「ALT+C/Alt+V」です。

インサートモードの終了はEscキーです。

行の削除:「dd

ファイルを保存して終了:「:wq

ファイルを保存しないで終了:「:q

rm [ rm ]コマンドは指定したファイルを削除するコマンドです。

例)rm ファイル名

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。