仙石浩明の日記

2006年5月9日

盗まれたノートPC を外部から操作する方法 (VPN-Warp 応用編 2)

VPN-Warp の応用例の第一回目は、 ノートPC に VPN-Warp の relayagent をインストールしておくことによって、 そのノートPC が万一盗まれたり紛失したりしたときに、 外部から操作できるようにしておく方法の紹介です。

VPN-Warp の使い方の基本的なところを説明した、
VPN-Warp 入門編 6 回シリーズも合わせてご参照下さい:

• 入門編 (1) VPN-Warp の特長: ふつうの SSL VPN と比べて
• 入門編 (2) VPN-Warp の特長: ssh のポートフォワードと比べて
• 入門編 (3) stone & relayagent の設定方法
• 入門編 (4) stone の代わりに OpenSSL の s_client を使ってみる
• 入門編 (5) stone の代わりに普通の WWW ブラウザを使ってみる
• 入門編 (6) WWW ブラウザを使う場合の注意点
• 応用編 (1) VPN-Warp 試用ライセンス提供開始のお知らせ

relayagent をノートPC にインストールしておくと、 常にリレーサーバに対して https アクセスを試みます。 もちろん、ネットワークにつながっていなければアクセスは失敗するわけですが、 きょうび PC をネットワークにつながずに使うというのは、 かなりレアケースと言えるのではないでしょうか。 何をするにも WWW へのアクセスは必須ですからね～。

で、WWW へアクセスすることができる環境 (正確に言うと https へアクセスできる環境) でありさえすれば、 たとえファイアウォールの中であろうと、 relayagent はリレーサーバに接続することができます。

そして、relayagent がリレーサーバに接続しさえすれば、 そのノートPC がどこにあろうと、リモートから操作することができます。 例えば Windows 標準のリモート デスクトップや、 VNCなどの リモート コントロール ソフトウェアを使って、 例えば重要ファイルを (漏洩する前に) 消すなり、 ハードディスクごと消去してしまうなりできるでしょう。 あるいは、 そのノートPC を拾った人へのメッセージをデスクトップに表示しておくことにより、 もしかしたら返してもらえるかもしれません。

というわけで、早速設定方法です。 まず relayagent の設定ファイルは次のようになります。

-c "C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem"
-k "C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem"
-n
relay.klab.org:443 localhost:3389

「-c」オプション、「-k」オプションで、 それぞれ公開鍵と秘密鍵 (この場合は同じファイル名ですね) を指定し、 「-n」オプションは、 relayagent をポートフォワーダとして使うための設定ですね (入門編 (3) を参照してください)。 フォワード先は、「localhost:3389」つまり リモート デスクトップ サーバのポートです。 VNC を利用する場合は、3389番ポートの代わりに 5900番ポートなどを指定することになるでしょう。

設定ファイルである「C:\Program Files\KLab Security\VPNワープ relayエージェント\relayagent.cfg」を 直接編集してもいいのですが、 Windows 版 relayagent では、 「コントロールパネル」の「プログラムの追加と削除」から 「VPNワープ relayエージェント」の「変更」を行なうことで GUI で設定変更することもできます。 この場合、設定ウィザードが表示されますから、

対象サーバ:      localhost
対象ポート:      3389
relay サーバ:    relay.klab.org

HTTP 以外のプロトコルを中継する

公開鍵:  C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem
秘密鍵:  C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem

を、それぞれ指定することにより、設定ファイルの変更が行なわれます。 あとは、「コンピュータの管理」の「サービス」で 「Relay Agent Service」を「開始」するか、 あるいは Windows を再起動するだけです。 これで、ノートPC 側の設定は全て完了です。

次に、このノートPC を外部からコントロールする側の PC (ここではデスクトップPC と呼ぶことにしましょう) の設定です。 設定といっても、stone を以下の設定で実行するだけです:

-q cert=user.pem
-q key=user.pem
relay.klab.org:443/ssl,http localhost:3388 "GET / HTTP/1.1"

SSL証明書 user.pem は、relayagent の設定で使ったものと同じものを使います。

これで、デスクトップPC の 3388番ポートが、 ノートPC の 3389番ポートへ、フォワードされます。 しかも、ノートPC がどこにあろうと、間にファイアウォールがあろうと、 ノートPC から WWW へアクセスできる限り、ポートフォワードが常に行なわれます。

したがって、あとはデスクトップPC 上で「リモート デスクトップ接続」を 実行して「localhost:3388」へ接続すれば、 ノートPC を自在に操作できるというわけです。 今回紹介した例では「リモート デスクトップ」を使いましたが、 「VNC」やその他のリモート コントロール ソフトウェアでも全く同様に 使うことができます。 また、SSL 証明書は前述したようなファイル(user.pem) で置いておくのではなく、 Windows の証明書ストアや、USBトークン、ICカードなどの、 よりセキュアな場所に置いて利用することもできます。

Filed under: システム構築・運用 — hiroaki_sengoku @ 09:54

Comments (0)

No Comments »

No comments yet.

RSS feed for comments on this post.

Leave a comment

• 京都大学大学院工学研究科情報工学専攻修了。株式会社日立製作所で遺伝的アルゴリズムおよびネットワーク基盤技術の研究に従事。 1997年に情報処理学会山下記念研究賞受賞。 1998年、電気学会先端システム技術の産業応用調査専門委員会委員。 2000年、KLab株式会社取締役CTOに就任。 2011年、同 退任。 1995年以来、TCP/IPパケットリピータ「stone」や、Palm上の時刻表ツール「Time Table Viewer」などを開発・発表する。また、堅牢で安定したサイト gcd.org を運営し、会員にサービスを提供。 そこで得たサーバー構築ノウハウを日経Linuxで、2000年4月から 2年間連載
• Categories
  • Android (29)
  • Hawaii (10)
  • IPv6 (9)
  • La Fonera (12)
  • SIM (19)
  • stone 開発日記 (29)
  • その他 (24)
  • システム構築・運用 (83)
  • ハードウェアの認識と制御 (30)
  • プログラミングと開発環境 (43)
  • 元CTO の日記 (30)
  • 技術と経営 (35)
  • 技術者の成長 (43)
  • 自己啓発 (30)
  • 香港 (12)
• Blog内検索
• Archives Archives Select Month March 2024  (1) July 2023  (1) June 2023  (1) May 2022  (1) March 2022  (1) August 2021  (1) July 2021  (1) September 2020  (2) December 2019  (1) November 2019  (2) September 2019  (1) August 2019  (1) April 2018  (1) March 2018  (1) August 2017  (1) July 2017  (1) April 2017  (1) August 2016  (1) November 2015  (1) October 2015  (1) October 2014  (2) August 2014  (1) January 2014  (1) December 2013  (2) November 2013  (2) March 2013  (2) February 2013  (1) December 2012  (1) September 2012  (1) July 2012  (1) May 2012  (1) March 2012  (1) February 2012  (2) January 2012  (2) November 2011  (1) October 2011  (1) August 2011  (1) July 2011  (2) June 2011  (2) May 2011  (3) April 2011  (1) March 2011  (2) February 2011  (2) January 2011  (3) December 2010  (3) November 2010  (2) October 2010  (1) September 2010  (2) August 2010  (1) July 2010  (3) June 2010  (1) May 2010  (2) April 2010  (2) March 2010  (2) February 2010  (2) January 2010  (2) December 2009  (4) November 2009  (1) October 2009  (3) September 2009  (3) August 2009  (1) June 2009  (1) May 2009  (1) April 2009  (1) March 2009  (1) February 2009  (1) January 2009  (2) December 2008  (4) November 2008  (1) October 2008  (1) August 2008  (1) July 2008  (4) June 2008  (2) May 2008  (1) April 2008  (4) March 2008  (2) January 2008  (7) December 2007  (7) November 2007  (2) October 2007  (3) September 2007  (5) August 2007  (6) July 2007  (2) June 2007  (3) May 2007  (3) April 2007  (2) March 2007  (3) February 2007  (2) January 2007  (6) December 2006  (8) November 2006  (7) October 2006  (4) September 2006  (2) August 2006  (8) July 2006  (12) June 2006  (13) May 2006  (34) April 2006  (53) March 2006  (24)
• 人気記事
  • Z80 コンピュータを作ってみた (27年前のお話)
  • Android 端末 IS01 のカーネルを入れ替えてみた 〜 さよならデッカード LSM
  • 生涯 「こだわらないエンジニア」 宣言
  • お金と自由 ～ なぜ貯められないのか？
  • なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • 自分戦略 〜 なぜ成功できないのか？
  • 成功しない方法
  • 「ソフトウェア開発」は「モノ作り」ではない
  • 技術力が高い人こそ、ビジネスモデルの良し悪しにもっと敏感になるべき
  • 技術者の成長に役立つ会社とは？(1)
  • 技術者を目指す学生さんたちへ
  • コミュニケーション能力の育成を第一とする教育が格差社会を救う
  • NFS と AUFS (Another Unionfs) を使って、ディスクレス (diskless) サーバ群からなる低コスト・高可用な大規模負荷分散システムを構築する
  • 新規一括 0円の Galaxy Nexus (SC-04D) を買ってみた ～ 国際版 Galaxy Nexus と全く同じにする
  • Perl の非同期I/Oモジュール POE を使って VPN-Warp relayagent を書いてみました
  • chroot されたディレクトリから脱出してみる
  • 故障した HDD WD10EACS を RMA (Return Merchandise Authorization, 返却承認) 手続きで交換してみた
  • ベンチャーが学校教育に求めること
  • IT企業には技術者と経営者の両方と話せるバイリンガルが必要
  • ソフトウェア産業の究極の振興策
  • 断片的な知識と体系的な知識
  • プログラマ 35歳 定年説
  • プログラマを目指すのに適した時代、適していない時代
• Recent Posts
  • 突然死した Pixel4 から nanaco 残高を救い出した話
  • exFAT な Ubuntu ブータブル USBメモリ (exFAT Bootable USB Flash Drive) の作り方
  • Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • WSL2 (Windows Subsystem for Linux 2) で物理ディスク上の独自 OS を動かしてみた
  • 所得税を分割して、複数の高還元率クレジットカードを何回も使って納付してみた
  • M5Stack ATOM Lite を USBシリアル変換アダプタにしてみた 〜 Raspberry Pi Pico の UART コンソールを使う 〜
  • PayPay STEP の新基準をクリアしてみた 〜住民税と健康保険料の支払で1.5%還元〜
  • IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • サーバの MAC アドレスを偽装 (MAC spoofing) してエッジ・スイッチの MAC アドレスと同一にしてみた 〜 プロバイダの接続台数制限を回避する
  • 学習リモコンの赤外線波形データを変換してみた 〜 Nature Remo で取得した波形データを PC-OP-RS1 用に変換
  • IFTTT に登録できないのでお蔵入りになってた Eco Plugs RC-028W & CT-065W が、UDP パケットを送るだけでコントロールできた！
  • IoT な人感センサをトリガーとした照明の点灯/消灯を IFTTT を使って行っていたけど反応が遅いので IFTTT をショートカットしてみた
  • UEFI ブートでキーボードが無いと GRUB がハングするバグを修正してみた
  • Windows 10 上の VMware Workstation Player のゲストOS でタグVLAN を使ってみる
  • NETGEAR のスマートスイッチ GS108E/GS116E のポートごとの通信量を取得して Cacti でグラフ化してみた 〜 通信量を見ることができない Wi-Fi中継機への対処法 〜
  • 配当金領収証の上限は 100万円、複数枚でも簡易書留で送付できるらしい 〜 祝 KLab(株) 初配当 (特別配当 9円) 〜
  • ZenFone3 で撮影した写真ファイル内の、位置情報が壊れている Exif データを修復するコードを書いてみた
  • カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • カナダで fido と WIND と Virgin のプリペイド SIM カードを買ってみた
  • 自分戦略 〜 なぜ成功できないのか？
  • 米国 BYOD プリペイド SIM の GoSmart を使ってみた 〜 $35 で 30日間 かけ放題、4G データ 2.5GB 〜
  • シンガポール SingTel 3G プリペイド SIM を 4G へアップグレードしてみた
  • お金と自由 〜 なぜ貯められないのか？
  • ALS Ice Bucket Challenge
  • 台灣大哥大のプリペイド SIM のデータパッケージ型 (計量型 NT$180 1GB 30日) プランを日本から Web で購入してみた
  • nexus5 の充電をワイヤレス (Qi 給電) にしたので、バックアップもワイヤレスにしてみた 〜 ssh サーバを nexus5 上で動かす 〜
  • Nexus5 を買って、香港で LTE を使ってみた (中國移動香港 4G/3G 數據及話音 プリペイド SIM カード)
  • nexus5 に ストラップを付けてみた ～テグスを使って～
  • Z80 コンピュータを作ってみた (27年前のお話)
• Recent Comments
  • ICYMI Python on Microcontrollers Newsletter: CircuitPython 8.2.0-beta.1, Focus on RISC-V and More! #CircuitPython #Python #micropython #ICYMI @Raspberry_Pi « Adafruit Industries – Makers, hackers, artists, designers and engineers! on Wio Node (ESP8266) に MicroPython をインストールして、Wi-Fi 照度＆人感センサを作ってみた
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • SnowCamp on IFTTT のアプレットが 3個に制限されてしまったので、IFTTT を使わずに スマート家電リモコン RS-WFIREX4 をコントロールしてみた 〜 RS-WFIREX4 の通信プロトコルの解析
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • T on 自分戦略 〜 なぜ成功できないのか？
  • hiroaki_sengoku on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • 松本真治 on 新卒の内定者とかけて、がらがらの道路ととく。その心は？
  • KDK研究所 on Z80 コンピュータを作ってみた (27年前のお話)
  • hiroaki_sengoku on 個人でも気軽に買える安価なスマートスイッチ GS108E (IEEE 802.1Q タグVLAN 機能付) を使ってみた 〜 UCOM光 マンション全戸一括タイプの戸内配線上にプライベートネットワークを構築
  • fire on Android 端末上で透過型プロキシを動かしてみる 〜 VPN のように使えて、しかも省電力
  • hiroaki_sengoku on 自分戦略 〜 なぜ成功できないのか？
  • なな on 自分戦略 〜 なぜ成功できないのか？
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • hiroaki_sengoku on stone に Server Name Indication (TLS 拡張) 機能を実装
  • うさこさん on stone に Server Name Indication (TLS 拡張) 機能を実装
  • 浜田 on HP ProLiant ML115 で、IPMI ハードウェア・ウォッチドッグ・タイマー ipmi_watchdog を使ってみる
  • 朱酒 on カナダで Project Fi を使ってみた 〜 現地でプリペイドSIMを買うより安いし、同時に複数のスマホで使える
  • yas on ZenFone3 Deluxe を Nougat 7.0 にしたらデータ通信できなくなった 〜 アンロックして Android 6 に戻す 〜
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • phmpk on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • ゆっち on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？
  • hiroaki_sengoku on なぜ、「購入 VS 賃貸」 という比較がナンセンスなのか？