RaspberryPi VPNのログ監視:VPN接続毎にLINEへ通知して不審なアクセスを検知する

スマートホーム
Photo by Markus Spiske on Unsplash
スポンサーリンク

以前構築したRaspberryPi VPNなんですが、やっぱり外部に公開する以上、多少の監視はしておかないとなと思っていまして、今回は導入編として“検知”機能を組み込んでみたいと思います。

またこちらでRaspberryPiに公開鍵認証をかけるやり方も記載していますので、こちらもどうぞ。

全体構成

大まかな構成としてはこんな感じにする予定です。SoftetherVPNのサーバログを監視して、接続ログ(接続成功、切断および認証エラー)を検知したら、LINEで通知するみたいな構成です。正直メールでも良かったんですが、LINEとの連携の方が今後面白そうだし、Apple Watchに通知が来るのも面白そうかなと思ってます。

構築手順

今回の構築手順は大きく二段階で構成されます。IFTTT側での設定作業と、RaspberryPi側でのプログラミング作業。コード自体は単なる通知なので、そんなに長くないですが、そのうち”検知”の次の段階である、”プロテクション”になるともう少しコードを考えないとダメかもしれませんね。

因みにRaspberryPiでの既にSoftEtherVPNがインストールされていることが前提になりますので、未インストールの場合は以下の記事を参考にしてください。

IFTTTでLINE通知が出来るようにする

IFTTTの登録

先ずはIFTTT自体の登録が必要ですね。既にIFTTTに登録済みの方は読み飛ばしてください。https://ifttt.comにアクセスして、右上のサインアップボタンから登録します。

IFTTTでWebhooksアプレットの作成

IFTTTアカウントが作成し終わったら、次にWebhooksというアプレットを使用します。今回の構築で初めて知ったのですが、これはWeb APIを提供してくれるAPI Gatewayのようなもので、こいつを使用することでトリガー用のURLを作成してくれます。SlacksとかMicrosoft Teamsとかとシステム連携する時なども使うこともあるそうで、既に割とメジャーなサービスだったようです。このアプレットの作成はhttps://ifttt.com/maker_webhooksから作成できます。

ここで通知先のURLを確認します。上で説明したようにこのURLが自分用のトリガーWeb APIになるようなイメージです。~~~use/以下のものをどこかにコピーしておいてください。このキーを後のステップでシェルに組み込みますので。

因みに上の画像ではマスクしてしまっていますが、実際にはdXXXXxxq-QQQQ_ZZZZZVVVVのような文字列になっています。

IFTTT~LINE連携登録

次はIFTTTと自分のLINEアカウントを連携してあげる必要があります。https://ifttt.com/lineをクリックすると以下のような画面が出てきますので、同意して連携するをクリック。

IFTTTでLINEアプレットの作成

ここまで出来たら、あとは上で作成したWebhooksとLINEアプレット作って、IFTTTのレシピを作って上げます。以下の URLでアプレットを作成します。

IFTTT
Get started with IFTTT, the easiest way to do more with your favorite apps and devices for free. Make your home more relaxing. Make your work more productive. K...

先ずはトリガーを決めて上げます。”this”部分をクリックして

Webhooksを検索して、選択します。自分で探してもいいですが、検索した方が早かったですね。

Webhooksで選択できるトリガーはこれしかないので、”Receive a web request”をクリックして適当なEvent Nameを付けておきます。シェルに組み込む時にこ“Event Name”を使いますので、アルファベットかつ空白なしにしておいてください。

次は、”that”の部分です。トリガーが発生した場合に、今度はLINEを通知するというレシピを作って上げます。

同じようにLINEを検索して、選択します。

LINEアプレットも、選択できる動作は”Send message”しかありませんので、これを選択して以下のような感じにしていきます。Message部分でどういうフォーマットでメッセージを受け取りたいかを編集することが出来ます。この場合、引数として受け取るあたいは3つまで(Value 1, Value 2, Value 3)として、各メッセージは改行して表示するようにしてあげます。

因みにRecipent部分をプルダウンすると、既存LINEグループや個人を指定することも出来ます

これでIFTTTのレシピは完成となります。次の画面でFinishをクリックしてIFTTT側の操作はおしまいとなります。

RaspberryPiでSwatchを用いてログを監視し、LINE通知シェルを呼び出す

ここからはRaspberryPi側での処理になりますので、RaspberryPiにSSH接続して以下の作業を実施してください。勿論コンソールからのターミナルでもいいですが。

Swatchのインストール

先ずはSwatchのインスールになります。”スウォッチ”と聞くと、時計のブランドのように聞こえてしまうんですが、こちらは”Simple Log Watcher”の意味らしいですね。”L”はどこに行ったんだとかいうツッコミは置いておいて。インストール自体は、debian系ですので、いつものapt-getコマンド実施します。インストールフォルダは特に指定しなくても勝手にどこかにインストールしておいてくれます。

またここで構成ファイル用のフォルダは別で作成してます。

Swatchがインストール完了したあとは、制御コマンドシェルを作成します。ここでVPNサーバログ、つまりSoftEtherVPNのserver_logを監視するように記述します。こいつを後ほどデーモンサービス化します。

因みにSwatchの基本的なコマンドレファレンスは、”swatch -c ‘コンフィグファイル’ -t ‘ログファイル'”になります。

Swatchのコンフィグファイルの作成

次にSwatchが何をログから読み取るのかを設定します。ここでは”watchfor”コマンドを使っています。watchforコマンドの使い方は、

watchfor /正規表現/
アクション1
アクション2
・・・・

の書き方になります。シェルなどを実行させたい場合はexecコマンド書いた上で記述します。因みにpipeコマンドでログ自体をシェルに渡すことでもう少しスマートな感じに通知することも出来そうなんですが、今回はとりあえずシンプルに作っています。

セッションが開始・終了・認証失敗した場合に、それぞれHomeVPN_Connected/HomeVPN_Disconnected/HomeVPN_Auth_Failedの通知が行くように設定しています。個人的にはここに接続IPアドレスとかを書きたいところ何ですが、pipeコマンドの使い方がまだよくわかっておらず、またいつかここは改修したいですね。

LINE通知シェルを作成する

ここでLINE通知シェルを作成します。前述のコンフィグファイルでは既に指定しちゃいましたが、内容としては以下のような感じに作成しました。気をつけなければならないのは、“EVENTNAME”“YOUR_KEY”ですね。

“EVENTNAME”部分は、Webhooksアプレットで指定したEvent Nameを使用します。今回の場合は、”raspberry_pi”を記入。そして”YOUR_KEY”部分は、WebhooksのAPIキーであるdXXXXxxq-QQQQ_ZZZZZVVVVのような文字列ですね。

Json形式でPostする形になっており、Value 1/Value 2/Value 3に、3つの引数を割り当てています。ただし今回は引数を実質的には1つしか使用していません。

このシェルが作成できたら、試しに上記コマンドだけ実行してあげると自分のスマホにLINE Notifyが行っているはずです。もし行っていないようであれば、”EVENTNAME”、”YOUR_KEY”の記載が間違えている可能性があるので、確認してみてください。

incronのインストール

次にincronのインストールを実施します。こいつは何かというと、ファイルが作成、更新、削除したタイミングをトリガーとして、コマンドを実行してくれるもの何ですが、こいつが何故必要かというと、今回作成しているvpnswatch自体は、実行された日付のログファイルを監視するように起動されています。なので、そのままの状態であると、毎回手動でvpnswatchを再起動をかけて上げないとなりません。

正直crontabでもいいのかなとも思ったんですが、incronの方がスマートかつ、今後他にも使えそうな気がしたので、こちらを使うようにしています。インストール自体は、apt-getコマンドでおしまいです。

そしてincronの起動ルールを設定します。コマンドの使い方はcrontabと同じような感じで使えますが、ちょっと困るのがnanoベースの編集なんですよね。正直nanoの使い方はあまり知らないので、少し苦手です。ともかく以下のルールを作成します。「server_logのフォルダに新しいファイルが作成されたら、vpnswatchを再起動する」と。

因みにこのコマンドが私の環境では、”root”で認証拒否されてしまいました。その場合は、以下のコマンドでincronをrootで使えるように指定して上げましょう。

これでできるようになっているはずです。

その後、incronに今回記載したルールを読み込みさせて上げてからサービスの自動起動化を設定しておしまいです。

ログ監視のサービス化

最後にvpnswatchのサービスデーモン化を作成します。

因みにサービスのデーモン化で使用している今回のinitの設定は、/usr/lib/systemd/system/と/etc/systemd/system/のディレクトリ下に存在しているのですが、基本的に同名の設定ファイルがある場合には、/etc/systemd/system/のファイルが優先となります。使い方としては/usr/lib/systemd/system/には、システム標準の設定を配置しておき、システム管理者が設定変更する場合は、/etc/systemd/systemにファイルをコピーした上で修正をするのが、正しいやり方のようです。

今回は参照した手順では、/usr/lib/systemd/system/を使用していたのでそのままにしています。

これで全ての手順は完了となります。

起動確認

PCもしくは、スマホからRaspberryPiのVPNを接続して、数秒後にLINEに以下のような通知が来ていれば成功です。

因みにApple watchではこんな感じで通知が来るようになりますので、これでVPN接続されたらすぐに自分の腕がブルっとするので、怪しい接続を直後に検知することができます。

これで全ての作業が完了になります。途中watchforの記述を変えてあげることで、監視ログを変えたり、動作を変更することができるので、色々と試してみると面白いかもしれません。また個人的にはpipeを使って、IPアドレスまでの検知や、不審なIPをブロックするなどと行ったこともいつかしたいなと思います。

ではこの辺で。

スポンサーリンク
スポンサーリンク
スマートホーム Raspberry Pi(ラズパイ)
この記事を書いた人
Taka

スマートホーム x IT x 子育て。大手SIer勤務→ITアーキテクトの経験から面白そうな情報を発信していきます。独学でプログラミング勉強してWEBアプリ作ったり、Pythonいじったりしています。日曜プログラマ&エンジニアさんへタメになる情報をお届けします。

\フォローする/
\この記事が役に立ったらシェアしよう/

オススメキャンペーン

学生なら入らないと損!
タダ同然で使い放題サービス多数のPrime Studentが無料で6ヶ月も見れる!
大学生・院生・専門学生・高専生なら誰でもOK!

Prime Studentなら本や日用品の購入が10%〜15%OFFになる特典や他にも通常のPrime特典が多数あるのに、通常のPrime金額の半額で全部利用できちゃう

お急ぎ便・時間指定使い放題、Prime Videoで映画やテレビ番組も見放題、Prime Musicで音楽も聴けちゃうし、動画・音楽・写真の保存などの特典が多数利用可能

今すぐチェックする
デジモノ
Subscribe
更新通知を受け取る »
guest
4 Comments
新しい順
古い順 いいねが多い順
Inline Feedbacks
View all comments
shin

TKさん

早速のご教示、ありがとうございました。
無事LINEにメッセージが飛んできました。
お礼かたがたご報告まで。

shin

初めまして、shin と申します。
ひかり電話を外で受けるため、RaspberryPiにSoftEtherVPNを導入し運用しております。
ログ監視の必要性を感じこのサイトにたどり着きました。
記事中、ログ監視のサービス化の件で[最後にvpnswatchのサービスデーモン化を作成します。]とあり
/usr/lib/systemd/system/にvpnswatch.serviceを作成していますが、ディレクトリ /usr/lib/systemd/system/ はありませんとはじかれます。 /usr/lib/systemd/の下に /system ディレクトリを作成しなければいけないのですか。/lib/systemd/の下には /systemディレクトリは存在します。/etc/systemd の下にも /systemディレクトリが存在します。これらの間違えじゃないですよね。Linuxは始めたばかりで分からに事だらけです。
どうかご教示いただければ幸いです。よろしくお願いいたします。

タイトルとURLをコピーしました