ConoHaはやめた方がいいかも(2021/11/10) [仮想化]
ConoHa事変の続きになります。
最初に、ここに書いてあることは事実となります。悪意を持ってConoHaを貶めようとか、営業妨害をしようとしているものではありません。また、ここに記載する私の考えとしては、事実から判断される主観的な意見になります。
----------------------------------------------------
結論から言うと、ConoHa事変が再発しました。前回同様に、IPアドレスはクラスCプライベートレンジに書き換えて表現させてもらいます。(実際はグローバルIPアドレス)
まず、このログを見て何か思うでしょうか。192.168.10.1はこのネットワークのゲートウェイとなります。
はい、前回にも書いたように、典型的なスプーフィングの挙動ですね。zzzのノードが、ゲートウェイのMACアドレスを乗っ取り、LAN上の通信が自身を経由するようにarp偽装(スプーフィング)しています。
これが本来のネットワークの姿
実際に起こっていること(若干正確でないけど)
図を見て分かるとおり、悪意あるVPS zzzが盗聴できる状態となっており、このネットワークに属する全てのVPSは危険な状態にあります。(私はスタティックarp設定で事象を回避)
前回、詰めが甘いと書きましたが、それはzzzの通信透過状況が不完全であり、通信障害が起こって気付かれてしまうというところからの発言でした。ただ、今回調べてみるとノードによってはzzzを介してping疎通できるノードもいるようで、実はちゃんと(?)偽装できてしまっているのかもしれません。より深刻ですが。。。
とりあえず2021年11月7日にヘルプデスクに事象報告していますが、11月10日午前0時半現在、回答もありませんし、事象も対策されていません。
そういった点で、運営の職務怠慢(監視項目の不足)、もしくは、ことの重大さに気付いていない技術力の低さ・セキュリティ意識の低さから、ConoHaはやめた方がいいのでは?と書かせていただいています。
まあ他のVPSサービスも、明らかになっていないだけで同様の事象は起こっているのかもしれません。私が見えているのが、実際に契約して目の前にあるConoHa VPSというだけで。また、ConoHaの中でもたまたま運が悪いセグメントに割当たってしまったのかもしれません。
もし仮想サーバやVPSを契約されている人がいらっしゃるなら、自分の環境を一度確認された方が良いかもしれません。
最初に、ここに書いてあることは事実となります。悪意を持ってConoHaを貶めようとか、営業妨害をしようとしているものではありません。また、ここに記載する私の考えとしては、事実から判断される主観的な意見になります。
----------------------------------------------------
結論から言うと、ConoHa事変が再発しました。前回同様に、IPアドレスはクラスCプライベートレンジに書き換えて表現させてもらいます。(実際はグローバルIPアドレス)
まず、このログを見て何か思うでしょうか。192.168.10.1はこのネットワークのゲートウェイとなります。
openbsd # dmesg arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 arp info overwritten for 192.168.10.1 by zz:zz:zz:zz:zz:zz on vio0 arp info overwritten for 192.168.10.1 by aa:aa:aa:aa:aa:aa on vio0 openbsd # arp -an Host Ethernet Address Netif Expire Flags 192.168.10.1 zz:zz:zz:zz:zz:zz vio0 19m3s 192.168.10.bbb bb:bb:bb:bb:bb:bb vio0 permanent l ← 自分自身 192.168.10.zzz zz:zz:zz:zz:zz:zz vio0 20m0s
はい、前回にも書いたように、典型的なスプーフィングの挙動ですね。zzzのノードが、ゲートウェイのMACアドレスを乗っ取り、LAN上の通信が自身を経由するようにarp偽装(スプーフィング)しています。
これが本来のネットワークの姿
実際に起こっていること(若干正確でないけど)
図を見て分かるとおり、悪意あるVPS zzzが盗聴できる状態となっており、このネットワークに属する全てのVPSは危険な状態にあります。(私はスタティックarp設定で事象を回避)
前回、詰めが甘いと書きましたが、それはzzzの通信透過状況が不完全であり、通信障害が起こって気付かれてしまうというところからの発言でした。ただ、今回調べてみるとノードによってはzzzを介してping疎通できるノードもいるようで、実はちゃんと(?)偽装できてしまっているのかもしれません。より深刻ですが。。。
とりあえず2021年11月7日にヘルプデスクに事象報告していますが、11月10日午前0時半現在、回答もありませんし、事象も対策されていません。
そういった点で、運営の職務怠慢(監視項目の不足)、もしくは、ことの重大さに気付いていない技術力の低さ・セキュリティ意識の低さから、ConoHaはやめた方がいいのでは?と書かせていただいています。
まあ他のVPSサービスも、明らかになっていないだけで同様の事象は起こっているのかもしれません。私が見えているのが、実際に契約して目の前にあるConoHa VPSというだけで。また、ConoHaの中でもたまたま運が悪いセグメントに割当たってしまったのかもしれません。
もし仮想サーバやVPSを契約されている人がいらっしゃるなら、自分の環境を一度確認された方が良いかもしれません。
タグ:conoha
2021-11-10 00:12
nice!(0)
コメント(1)
情報ありがとうございます。
私だけではなかったのですね。。
発生タイミングもほとんど一致です。
サポートは待たせた挙句、知らぬ存ぜぬでした。
他社への乗り換え検討中です。
by GK (2021-11-14 01:54)