394 Views
December 01, 14
スライド概要
2014/11/27 FileMaker カンファレンス 2014 講演資料
Claris FileMaker 認定デベロッパ、kintone認定 アプリデザインスペシャリスト(2020年2月)、kintone認定 カスタマイズスペシャリスト(2020年3月)。
iPad & iPhoneからのリモートアクセスを より安全にするネットワーク構築術 2014/11/27 FileMaker カンファレンス 2014 発表資料 松尾篤(株式会社エミック)
自己紹介 • 松尾 篤(まつお ✓ 株式会社エミック あつし) 代表取締役 • FileMaker Server対応Webフレームワーク「INTER-Mediator」コミッター • ブログ「FAMLog」 http://www.famlog.jp/ • 「カスタムWeb勉強会」を隔月で開催 • 執筆書籍「FileMaker Server カスタムWebテクニック」(BNN新社) ✓ FileMaker 8 / 9 / 10 / 11 / 12 / 13 Certified Developer
株式会社エミック • FileMaker製品対応ホスティングサービスを 1998年から提供 ✓ 今年で16年、「FMPress」としてサービスをリニューアル ✓ データベースからモバイル対応Webアプリを生成する 「FMPress Publisher」を搭載 • https://www.emic.co.jp/ FMPress
FMPress Publisher FileMaker Proで作る Webアプリとして使う Web書籍 カタログ 自動生成
ポイント • VPNを利用すると外出先から社内ネット ワークに安全に接続できる • SSLでクライアント・サーバー間の経路 を暗号化できる
今回の話題 1. VPNとSSLの違いとは 2. iOSでVPNを利用するには 3. FileMaker GoでSSLを利用するには
1. VPNとSSLの違いとは
例えばこのようなとき • iPadやiPhoneで外出先から社内サーバー にあるデータを見たい • 利便性だけでなく安全性も考慮したい
暗号化通信 盗聴 ❌❌ 改竄 成りすまし
通信を暗号化する方法 • • SSL(Secure Sockets Layer) VPN(Virtual Private Network)
VPNとSSLの違い SSL FileMaker Network HTTP DNS VPN
SSLはサービスごとに対応が必要 SSL インターネット FileMaker Proや FileMaker Goでの接続 FileMaker Server SSL Webサイト閲覧、 WebDirectクライアント カスタムWebクライアント Web Server
Virtual Private Network • 離れた場所から社内ネットワークに安全 に接続できる • トンネリング 通信パケットの暗号化 • 0101010101010101010101010101010101010101010101
Secure Sockets Layer • データを暗号化してやり取りする手順の 決まり(プロトコル) • クライアント・サーバー間のすべての経 路を暗号化
FileMaker Serverは SSLに対応 • 最新の規格はTLS 1.2(TLS: Transport Layer Security) • FileMaker Pro/GoとFileMaker Server間の通信(TCP 5003番ポート の通信)をSSL/TLSで暗号化
VPNは専用の機器や ソフトウェアを利用 • Windows ServerやOS X Server等に • VPNサーバー機能を搭載したルーター 搭載されているVPNサーバー etc.
今回紹介する内容 • FileMaker GoとFileMaker Server間 の通信(TCP 5003番ポートの通信) を暗号化する方法に限定
2. iOSでVPNを 利用するには
iOS (VPNクライアント) VPN VPNサーバー
iOSは標準でVPNに対応 • VPNサーバーが導入されていればiPadや iPhoneでの設定はとても簡単 • VPN接続完了後にFileMaker Goを起動 し社内のFileMaker Serverに接続すれ ばOK
iOSは標準でVPNに対応
容易なVPN設定
容易なVPN設定
設定後は接続も簡単
iOS 8の新機能 • Apple ConfiguratorもしくはOS X • IKEv2およびVPN常時接続をサポート Serverのプロファイルマネージャを使 用して設定
VPN VPNサーバー
サーバー側で必要な機器 • インターネットにつながっているルーター • VPNサーバーを内蔵したルーター にVPNサーバー機能がない場合は?
通信するためのネットワーク設定 - はまるポイント -
(1) VPNサーバーをインター ネット接続ルーター上で稼働 インターネット経由で接続 インターネットと繋がっているルーター 上でVPNサーバーを稼働(VPNサーバー を内蔵しているルーターが必要) VPN サーバー
(2) VPNサーバーを LAN内で稼働 インターネット経由で接続 VPN サーバー ルーターはVPNで利用するポートをVPN サーバーに転送(VPNパススルーに対応 したルーターが必要) VPN用の ポートを転送
グローバルIPアドレスの 有無を確認 • 社内にあるルーターが直接インターネッ トにつながっているか • グローバルIPアドレスが固定であるのか 動的であるのか
VPNサーバー機能の 有無を確認 • インターネットにつながっているルーター がVPNサーバー機能を搭載しているか • 搭載していない場合にはVPNパスス ルー機能の有無を確認
VPNパススルー機能の確認 • インターネットにつながっているルーター がVPNパススルー機能に対応しているか • VPNで使うポートの解放および転送が できるか • 表記はメーカーによって違うことも
L2TP over IPSecで開 ける必要があるポート • UDP 1701番ポート • • UDP 4500番ポート ESP(IPプロトコル番号50) • UDP 500番ポート
ポイント • VPNサーバー機能の有無 • • ルーターのVPNパススルー機能 VPNで使うポートの解放と転送 • グローバルIPアドレスの有無
3. FileMaker GoでSSL を利用するには
どのバージョンが必要? • FileMaker Goはバージョン13 (FileMaker Proも同様) • FileMaker Serverは12もしくは13
SSL
FileMaker Goからの接続 • FileMaker GoからFileMaker Server に接続する際にはSSLサーバー証明書 のコモンネーム(サーバー名)を使用 • プログレッシブダウンロード用の通信 は暗号化されない
SSL
SSL対応手順概要 • fmsadmin certificateコマンドで証明 • 認証局からSSLサーバー証明書を購入 書を読み込み、[保護された接続が必 要]設定を有効化 • データベースサーバーを再起動
fmsadminコマンド (FileMaker Server 13 ヘルプより)
SSL導入にあたって • SSL暗号化通信を実現するには認証局 から証明書を購入する必要がある • FileMaker製品でサポートされている SSLサーバー証明書の販売元と種類は 限られている
サポートされる証明書の販売元および商品名 シマンテック・ウェブサイトセキュリティ シマンテック セキュア・サーバID コモドジャパン 企業認証タイプ SSL ジオトラスト トゥルービジネスID ジオトラスト クイックSSL プレミアム Thawte SSL123 GoDaddy Standard SSL 種類 署名ハッシュ アルゴリズム 実在認証型 SHA-1 SHA-2 実在認証型 SHA-1 SHA-2 実在認証型 SHA-2 ドメイン認証型 ドメイン認証型 ドメイン認証型 SHA-1 SHA-2 SHA-1 SHA-2 SHA-1 SHA-2
SHA-1からSHA-2へ • 署名ハッシュアルゴリズムがSHA-1で あるSSLサーバー証明書が発行される のは来年まで • 今後新規に発行する証明書はSHA-2版 の選択を推奨
証明書購入時の注意点 • SHA-2版SSLサーバー証明書に対応し ているFileMaker製品は最新バージョン のみ • ワイルドカードSSLサーバー証明書に は非対応(例:*.example.jp) • EV SSL証明書にも非対応
SHA-2対応に 必要なバージョン • FileMaker Pro 13.0v4(FileMaker • FileMaker Go 13.0.7 Pro Advancedも同様) • FileMaker Server 13.0v5
詳しくは • FileMaker 製品でサポートされる SSL サーバー証明書の販売元と種類の一覧 (FileMaker ナレッジベース) http://filemaker-jp.custhelp.com/app/ answers/detail/a̲id/12130
まとめ
VPNとSSLの違い SSL FileMaker Network HTTP DNS VPN
まとめ • VPNを利用すると外出先から社内ネット ワークに安全に接続できる • SSLでクライアント・サーバー間の経路 を暗号化できる • SSLを使う場合は今後SHA-2へ要移行