ポートを開けないVPN Tailscaleの話

Transcript

1. ポートを開けないVPN Tailscaleの話

2. もやし工房 石黒 光茂 @koike_moyashi mitsushige.ishiguro もやし工房

3. 最近のランサムウェア被害 こわい

4. 最近のランサムウェア被害 経路 VPN機器 62% リモートデス クトップ 22% その他 （メール・ USB、ソフ

   トなど） 16% ランサムウェアの感染経路6つを徹底解説 https://cyber.spool.co.jp/ransomware-infection-routes/ 2025 日本のデータ

5. よくある侵入の流れ 経路 サーバを暗号化 社内ネットワークへ 横展開 装置へ侵入 （脆弱） $

6. VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •

   外出先→自宅 などなど

7. VPNの用途 • 社外→社内 • 拠点間通信 • メンテ • 社内→クラウド •

   外出先→自宅 などなど • リモート接続は必要 • 無くそうと思っても無くせない。

8. そこで 2020年からサービス開始

9. 従来VPNの構成

10. 従来VPNの構成 VPNサーバ（機器 or ソフト）が必要

11. 従来VPNの構成 ポート開放が必要（VPN接続の入口） ＝ インターネット側に入口が必要 閉鎖ネットワーク内のVPNもあるけど...

12. Tailscaleとは WireGuardと言うVPNプロトコルベースのメッシュVPN 「メッシュVPN」については後述

13. Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要

14. Tailscaleの特徴 • P2P通信 • VPNサーバ不要 • NAT越え可能 • ポート開放不要 →

    外側のポートを開かずに使える

15. NAT どうやって通信できるの？ 社内PC 社内LAN ルータ/NAT インターネット 社外サーバ グローバルIPは一つ 「送信」した通信はいい感じに「戻って」来る インターネット側からは社内に入ってこれない

16. NAT越え どうやって通信できるの？ STEP1： 仲介サーバに接続 自分のグローバルIPとポートを伝える STEP4： 直接P2P通信

17. NAT越え どうやって通信できるの？ STEP２： それぞれの相手のグローバルIPとポートを伝える STEP4： 直接P2P通信

18. NAT越え どうやって通信できるの？ STEP３： 同時に通信開始（Hole Punch） STEP4： 直接P2P通信

19. NAT越え どうやって通信できるの？ STEP4： 直接P2P通信 STEP STEP4： P2Pで直接通信

20. NAT越え NAT traversal └ UDP Hole Punching どうやって通信できるの？ STEP1： 仲介サーバに接続

    自分のグローバルIPとポートを伝える STEP２： それぞれの相手のグローバルIPとポートを伝える STEP３： 同時に通信開始（Hole Punch） STEP4： 直接P2P通信

21. DERPリレー どうやって通信できるの？ • P2Pが使えない時に自動的に使われる • 毎回サーバを仲介する • 遅いけど（無料でも）容量制限無し • 公式のセルフホスト用プログラムもある(derper)

    • OSS版もある（headscale）

22. その結果 従来型のVPNでは難しかった（面倒くさかった） • DS-Lite（IPv6回線 + IPv4はトンネル + CGNAT*） • MAP-E（

    IPv4 over IPv6+ CGNAT ） • IPv4 <-> IPv6 間 とかでもVPN接続できる。 ※ CGNAT : Carrier-Grade NAT。ISP内の巨大NAT

23. 安全なの？？ • エンドツーエンド暗号化。中継（DERP）でも復号不可 • WireGuardプロトコル モダン暗号のみ採用、コードが非常に少ない（数千行レベル） → バグや脆弱性が入りにくい • 管理者アカウントが突破されると終わり（SSO

    + MFA必須） • 別経路でクライアントがやられて、何か広がる（従来のLANやVPNも同じ） • Tailscale社への信頼

24. このソフトをどこに入れる？ 対象のサーバ/クライアント全てに入れる（推奨）→後述 • Linux • Windows • Mac 対象のサーバ/クライアント全てに入れる Tailscale

    Tailscale Tailscale

25. 今までのVPN機器ぽい使い方 • Raspberry Piなど • Dockerコンテナ • OpenWRTルーター など １台だけに入れる

    Tailscaleサブネットルータ

26. 最近のNAS • Synology、QNAPとかは公式アプリに入ってる • 先ほどのサブネットルータにもできる 外から共有ドライブをみたいだけとかなら

27. クライアント スマートフォンの公式アプリもある Tailscale ✕ スマホでLAN内のAIエージェントに指示する的なのも良く見る

28. できること • 外部（スマホも含む）→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士

29. アクセス制御 • ユーザ ✕ 接続先 その他にグループやタグでまとめるのもある { "acls": [ {

    "action": "accept", "src": ["[email protected]"], "dst": ["server1:22"] }, { "action": "accept", "src": ["[email protected]"], "dst": ["server2:80"] } ] }

30. できること • 外部（スマホも含む）→内部サーバ、PC接続 • 拠点間接続 • 内部PC→内部サーバの接続 • 内部サーバ同士

31. ゼロトラスト 「社内ネットワークだから信用する」をやめて、 毎回ユーザーと端末を確認してから接続させる 現実的にはフルメッシュはきついので、 対サーバの通信だけtailscale使うとか.. クライアント サーバA サーバB メッシュ状のVPN

32. クラウドのサーバにTailscale入れて接続とかも便利（外部ポートは開けない）

33. 価格 • 無料プラン ： 最大３ユーザ、100台 • 有料プラン ： １アクティブユーザ $6/月

    拠点間などは１ユーザでできる（多分） 気になるお値段

34. まとめ • VPN用のポート開放不要、NAT越えが強い • 個人で使う分には無料プランで便利、スマホ対応 • 従来のVPNのメンテナンスコストと信頼度 vs Tailｓcaleの信頼度 •

    これ入れればランサムウェア被害を受けない と言うわけではない 小規模、個人では結構便利に使える