OpsRamp 認証情報の作成と利用方法

2021年OpsRampアドベントカレンダー12月1日分の投稿です。

概要

大量のサーバを運用していると毎日のようにアラートメールや電話を受け取ります。その都度、対象サーバにSSHやRDPでログインしてログやアプリケーションのステータスを確認するのですが、対象サーバのIPアドレスや認証情報を確認するのが面倒（台帳ファイルのありかを調べるのに時間がかかる）です。そこで私の場合はSSHでログインする場合はTeraTermのマクロでログインを自動化してみたり、RDPの場合はRDCManなどで自動化しています。しかし、これらの設定は社内の運用端末に設定しているので、社外から接続するためには一度VPNで社内へ接続する必要があり、それだけで時間がかかります。

OpsRampの場合、監視エージェントをインストールしているサーバに対してOpsRampポータルからブラウザ経由でSSH・RDP接続することができます。また、事前に認証情報を登録して対象サーバに割り当てておくと、接続時に認証情報を入力する手間が省けます。なお、SSH・RDP接続するために、インターネットからTCP/22・TCP/3389を許可する必要はありません。監視エージェントがOpsRamp（SaaS）に対してOutBound方向にTCP/443で通信しているので、このセッションを利用しています。最近はリモートワークが定着してきてVPN関連の脆弱性が攻撃されるケースが増えてますが、これなら安心です。
※Wiresharkでパケットキャプチャして確認してみます。

先日投稿した"OpsRamp リモート接続（RDP、SSH）と監査ログ"の記事ではリモート接続時に認証情報（ID/PW）を手入力していたのですが、本投稿では事前に登録した認証情報を使えるようにしたいと思います。

パスワードポリシー

認証情報を作成する前に、パスワードの長さや使用文字に関するポリシーを設定しておきましょう。

パスワードポリシーの設定箇所

"クライアントの詳細" （もしくは"クライアント"で対象クライアントを選択） > "パスワードポリシーを設定する" をクリックします。

デフォルトはPCI-DSS準拠が選択されているので、"編集"をクリックして変更しましょう。

PCI-DSS準拠のポリシー

| 項目 | デフォルト |
| :-- | :-- | :-- |
| パスワードの長さ | 7文字以上 |
| パスワードには、少なくとも1文字以上の特殊記号、
英字小文字、英字大文字を含まなければならない | 有効 |
| 初回ログイン時にパスワードを変更する | 有効 |
| パスワードの有効期間 | 90日 |
| 過去4世代のパスワードに変更することを禁止する | 有効 |
| ロックアウト回数 | 6回 |

認証情報の作成

"Setup" > "Accounts" > "認証情報" をクリックします

画面右上の"追加"をクリックします

今回はWindows Server 2022向け認証情報なので"種類"で"Windows"を選択します。他にも必須項目を入力して"次"をクリックします。

認証情報を割り当てるデバイス（サーバ）を選択する画面が表示されます。ここでは事前に作成しておいたデバイスグループを選択します。デバイスを個別に選択することもできますが、同じ認証情報を利用するサーバが大量に存在する場合はデバイスグループを作成しておくと、都度割り当てる必要がなくて便利です。

認証情報が作成されました。今回はサーバが少ないので1台だけ検知されていることが分かります。

リモート接続

認証情報を利用したリモート接続

接続するサーバの選択画面で"Browser Console"をクリックします

"認証情報を使用する"を選択 > 先ほど作成した認証情報をプルダウンで選択 > "Launch"をクリックします

下記ウインドウが表示されるので少し待ちましょう

"OK"をクリックします

Wiresharkでキャプチャを仕掛けていたWindows Serverへリモート接続できました。

パケットキャプチャ（TCP/3389の利用が無い事の確認）

WiresharkでキャプチャしたパケットをRDPでフィルタリングしてみると何も表示されませんでした。

※監視エージェントが127.0.0.1:3389の通信をしているので、loopbackインタフェースでキャプチャするとRDPが検知されるんでしょうね。以前投稿した"リモート接続（RDP、SSH）と監査ログ（動画再生）"の記事に記載しましたが、ローカルのFirewallでRDPを許可してなくてもリモート接続することができます。

おわり。