マイネ王 403 forbidden
質問なんですけど、特殊環境下の話で、他の方の役に立つとも思えないのと、多くの人にコメントもらえることを期待して掲示板に投稿させてもらいます。
中国からのアクセスなのですが、中国のネット環境は多くの制限があるため、VPNを利用しています。
数日前から、あるVPN経由でマイネ王にアクセスすると、添付画面のエラー表示になり、閲覧、投稿できません。
別なVPNからだとこのエラー表示にはなりません。
ですが、別な方はアクセス速度が遅いのでできれば使いたくありません。
403 forbiddenというエラーを調べてみると、サーバー側の問題だというのを見つけたのですが、アクセス方法(利用VPN)を変えるとエラーが出なくなることもあり、サーバーの問題ではないと考えられます。
というか、皆さんが問題なくアクセスできていますしね。
と言うことで、このエラーになってしまうのは、VPNの問題と思うのですが、これって何が起こっているのでしょうか?
VPNサービスに問い合わせようと思っていますが、そのための予備知識としてお知恵を拝借できればと思っています。
よろしくお願いします。
113 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
そして、セキュリティ対策の詳細は、Web管理者にも明らかにされていなかったりするようです。
例えばAWSサーバーがこっそりセキュリティ対策をやっていて、AWSの客であるケイオプティコムも詳細を知らないとか。
https://aws.amazon.com/jp/waf/what-is-waf/
>> ob2@風邪と共に去りぬ🤧 さん
高負荷の判定はWebアプリではなく、Webサーバーですると思うので、別サーバーに転送ってできるんですかね?(わからないけど)高負荷なら、503 Service Unavailableが出て終わり(転送しない)な気がします。
>> さと さん
IPアドレスを伏せる必要があるのかわかりませんが、一応モザイクかけてます。日本と判定されました。
この間のマイネ王メンテナンス明けからこの症状が出ていますので、メンテナンスでセキュリティ設定を変えたのでしょうかね?
セカイVPNには、接続できない旨連絡してみました。
マイネ王側にも連絡するとしたらどこからが良さそうですかね?
>> ヨッシーセブン@北京 さん
>マイネ王側にも連絡するとしたらどこからが良さそうですかね?えっわからないですけど、マイネ王のお問い合わせ、から事務局に連絡して、事務局からマイネ王のシステムを委託している会社に調べて貰うしか無い気がします。
それは、マイネ王のWebアプリの担当が、Webサーバーの設定まで任されている可能性が高いですので、マイネ王のシステム担当に調べてもらうのが良いと思います。
サーバー設定運用とシステム開発の担当が分かれている事もあるけど、相互に調整が必要なので、恐らくケイオプティコムから同じ会社に委託している可能性が高いと思います。
>> さと さん
> 高負荷の判定はWebアプリではなく、Webサーバーですると思うので、別サーバーに転送ってできるんですかね?このくらいの規模だとWEBサーバ1台では捌けなかったり、冗長性を確保するために通常は前段にロードバランサ(負荷分散装置)を置いて、その配下に複数のWEBサーバを配置しているはずです。
そこで、配下のWEBサーバのレスポンス異常があったりすると、WEBサーバに渡す前に「ただいま混みあっています」みたいなメッセージを出すだけの別サーバ(いわゆるsorryサーバ)に振り向けます。
※メンテするときとかは、無条件に全部sorryサーバに振るようにします。(このときはメッセージを「ただいまメンテ中です」に差し替えます)
なお、WEBサーバに中継してしまった後にWEBサーバの応答がない場合は、ロードバランサが504を返します。
>> ob2@風邪と共に去りぬ🤧 さん
ロードバランサ、なるほど。AWSでも客がロードバランサを設置して負荷分散するんですかね?(AWSのイメージがいまいち掴めていないのです)
>> ob2@風邪と共に去りぬ🤧 さん
日本からもエラーになるのは、高負荷が影響している可能性もなきにしもあらずですね。ただ特定VPN経由だけ発生、という現象が2名。
これも規則性があるような気もしますが、、、
わかりません。
https://www.vpngate.net/ja/
その他特にアクセス出来ないページは今の所見つかっていません。
現象再現しました!オープンVPNカナダです。
everythink.opengw.net
23.170.32.37
(static-23-170-32-37.etinw.net)
https://www.vpngate.net/ja/
>> さと さん
> AWSでも客がロードバランサを設置して負荷分散するんですかね?(AWSのイメージがいまいち掴めていないのです)客が自前で持ち込むことは無いと思いますが、オプションのAmazon ECS サービスでロードバランサが提供されていますね。
つい先日メンテナンスがあったばかりなので、sorryコンテンツの「メンテ中」→「混みあってます」の戻し時にアクセス権付与忘れのオペレーションミスがあると同様の事象になります。
ただ、これは接続元に依存しない「はず」なので、経由するVPNによって発生するのであれば別の原因の可能性が高くなります。
ゼロでないのは、送信元によって帯域制限等をかけているケースも考えられるので、その場合には特定の送信元で発生しやすいという相関もあり得る、と。
この辺は構築・設定したところじゃないと判断できないですね。
VPNサービスみたいのだと、複数ユーザの送信元が同じIPになるでしょうから、そうすると同一IPからの接続過多で攻撃と誤判断される可能性も高くなりそうですし。
ただ、WAFではじくなら、繰り返し攻撃を防止するため、エラーを返さず無応答にするのが常道なんで、これもどうかなぁ…
面白い報告です!今度は香港のVPNで同現象が再現しました。
king.mineo.jpは403エラーになりますが(左図)
image.king.mineo.jpのサブドメインはエラーが出ずに表示されます!
表示できたURL
https://img.king.mineo.jp/system/content_comment_images/images/000/000/691/842/fullsize_image.jpg?1611761998
おかしすぎる!!(笑)これは設定ミスでしょうねー
>> さと さん
上のコメントの香港のVPNはこちらHong Kong
v-dot-pn-hkg1.opengw.net
45.125.0.246
https://www.vpngate.net/ja/
他のコメントでオープンVPNと書いていたのは間違いで、VPN Gateでした。失礼しました。
>> さと さん
表示できたサブドメインはimage.king.mineo.jp
じゃなくて
img.king.mineo.jp
でした。
>> さと さん
私が使っているVPNでも、同じ画像は表示できました。これで設定ミスと考えられるというのはどういう理屈なのでしょうか?
このあたりは全く知見がなく分かりません…
マイネ王のWebサーバーへ接続が不可能なのであれば、マイネ王の全てのページの全てのURLが接続不可能となるはずです。
こっちのページはOKであっちのページはNGという事は、何かマイネ王のサーバー上で許可不許可の設定がされていて、ドメインとサブドメインとで許可不許可の内容が異なるのだと思われます。
また、特定のIPアドレス(またはドメイン)が不許可になっている事から、セキュリティ目的の設定であると推測します。
セキュリティ設定をするならば、マイネ王全体を不許可に設定しないといけないのに、マイネ王上の一部のサーバーは不許可で、画像サーバーは許可という状態は、セキュリティ上の欠陥があります。防護壁に穴が開いているという事です。
なので、恐らくセキュリティ設定のミスなのだろうと思っています。
AWS側の設定か、マイネ王管理者側の設定、もしくはVPN側の設定か詳しいことは私にも分かりませんが、誰かが何かしらの設定等をしてる可能性が高いと思われます。
それがミスなのか意図的なのかは分かりませんが。
私も時間があれば検証したいところなのですが、申し訳ないです。
ヨッシーセブンさんと重複するかも知れませんが。
↓とか
https://blog.zelkova.cc/2019/04/trouble-in-aws-waf.html
>> ob2@風邪と共に去りぬ🤧 さん
これを見ると、AWSが勝手にやっている感じですね。画像が403エラーにならないのは、設定ミスではなく、プログラムの書き方の問題なのか…??
でも特定VPNだけNGというのが、やっぱりちょっと、この問題とは違うと思われる所ですね。
ノートンとセキュアVPN(国内に指定)を使っているのですが(いずれかのVPNを使うかはノートンが決めている様子)、オフにしたら読み込めるようになり、仕方がないので現在はオフ状態で使用しています。
>> さと さん
DNSでking.mineo.jpとimg.king.mineo.jpをそれぞれ引いてみると、↓のように別サーバ扱いですね。>nslookup king.mineo.jp
権限のない回答:
名前: king-mineo-new-1977369985.ap-northeast-1.elb.amazonaws.com
Aliases: king.mineo.jp
>nslookup img.king.mineo.jp
権限のない回答:
名前: img-king-mineo-new-1085789524.ap-northeast-1.elb.amazonaws.com
Aliases: img.king.mineo.jp
別々のロードバランサに対する別名として定義されていますので、画像がエラーにならないのはサーバ定義のミスではなさそうです。
また、他の方の書き込みを見ても、特定のVPN経由でエラー、というよりVPN経由だとかなりの確率でNGになってるような気もします。
間にプロキシサーバが入ってWAFが誤検知するようなクッキーを付与しているとか、VPN出口のIPに集約された結果、WAFでDoS攻撃と誤検知(同一IPから秒間XXX回以上、みたいな定義なので共用のサービス経由だと複数人分が合算した値になる)しているとか、いくつか考えられますね。
ちなみにVPNオンでも、アプリのタイムラインは見れてしまいます。
セキュリティ強化にしては…だな、と思っていました笑
>> 退会済みメンバー さん
ノートンのVPNもダメなのですね。アプリのタイムラインのURLはどうなっているんだろうー気になります。
>> ob2@風邪と共に去りぬ🤧 さん
IPアドレスが違うので、別の筐体のサーバーだと思いますが、セキュリティの設定だとすると(違うかもしれませんが)、両方のサーバーを防御しないとおかしいです。WAFってクッキーみたいなアプリレベルのもの見るんですかね?よく知らないですが。
>> 退会済みメンバー さん
私も接続できないVPNを使ってmineoアプリのタイムライン確認してみましたが、出ますね。最新情報に更新されます。新着をクリックしてみたら「403 Forbidden」になりますけどね。
>> さと さん
あるべき論で言うとおっしゃる通りですが、WAFの定義自体も別々になっているかと思われます。画像側のサーバ向けの設定が正しく、本文側が誤っているというよりは、別のサーバなのでたまたま挙動が違っているだけな気がします。(画像側はリクエスト数が少ない、かつブラウザ側でキャッシュが効く内容なのでアクセス傾向も違います)
WAFはWEBに特化したファイアウォールで、httpリクエストの中身まで確認します。httpsでも暗号を復号してチェックしますよ。
セキュリティの穴を探すのはいいのですが
さらさないほうがよいかと思います。
(運営に連絡するだけにとどめたほうがよいかと)
攻撃者からみたら感覚的にわかっていることとは思いますが..
(AWSを使っている)マイネ王は少し固くなったな
(独自サーバーの)mineoはガバガバ
みたいな..
ちなみに、どちらかといえば、mineo(契約者のサイト)の方を
固くしてほしいとは思いました。
>さらさないほうがよいかと思います。
>(運営に連絡するだけにとどめたほうがよいかと)
このあたり、一般的な話だと思っていましたが
セキュリティ技術者としては飯の種になるのでオープンにしないだけかもです
問題は接続できなくて困ってる善良なユーザーさんが多数居られる事です。解決の糸口を見つけるために、現象の規則性を探してあげているだけですよ。マイネ王のために。
今までの流れがわかりませんが・・・
>問題は接続できなくて困ってる善良なユーザーさんが多数居られる事です。
https://king.mineo.jp/reports/98410
で解決法があげられてます。
私は長文が苦手なので、全部は読んでませんが。。。
早く解決できるといいですね。
>> akoyo@🪷。.*ෆ🪷₊✼୭ さん
これはまた別の現象で別の問題ですよ。>> さと さん
そうなんですね。失礼しました。改善することを期待しています。
接続できないと報告したカナダのVPNGateですが、
・IPSec/L2TP接続では、403エラー現象が起こりました。
・OpenVPN接続では、正常に表示されます
VPNのプロトコルによって挙動が異なるようです。
事務局に報告しますね。
さらに報告があります。マイネ王に繋がらないカナダのVPNGate、L2TP接続の方ですが、Google検索をすると上記のようなエラーが出ました。
ロボットではありませんをチェックしたらエラーは無くなったので詳細を調べられませんでした。
Googleが検出する位ですから、実際にこのVPN経由すると何か通信が変なのかも?
→AWSの仕様を見る限り、WAFで弾かれている可能性が高い
・VPN接続でimg.king.mineo.jpへのアクセスは可能
→king.mineo.jpとは一応別サーバである
・端末側のVPNソフト(=VPNのサービス元)を変えると通信できたりできなかったりする。
・国内のVPNサービスでも発生する
→VPNサービスのロケーションは関係なさそう
→VPNサービス個々の違いが問題っぽい
・mineoユーザが使うとは思えない海外のVPNサービスでも発生する。
→通信量から来る、(D)DoSとの誤検知でもなさそう
ということで、NGなVPNに共通の誤検知される何かがありそうです。
例えば、VPNの出口付近にプロキシが配置されていて、
・リクエストヘッダに何か付加している
・httpsの暗号強度が足りてない(合致する暗号スイートが無い)
とか…
いずれにしても、AWSでWAFのログを見てもらえば判りそうな気がします。
L2TPとOpenVPNとで、全くIPアドレスもドメインも異なりますね。
・L2TP カナダ バンクーバー etinw.net →403エラー
・OpenVPN カナダ トロント bell.ca →正常
やはりプロトコルではなく、IPアドレスかドメインで判断しているのかなー(わかりません)
マイネ王事務局からの回答を待つことにします。
掲示板の検索機能をよく使うのですが、これはGoogleの検索結果をそのまま出しているそうです(以前問い合わせにて確認済み)。
で、どうもここ数日、新しく投稿された掲示板が検索にヒットしない気がするのです。
絶対ではなく、最近の掲示板でも検索されるものもありますが、以前よりも検索されにくくなりました。これはGoogleで直接検索しても同じです。
機械避けのルーチンが入ったような印象があるのですが…正確にはわかりません。
使えるVPNを探して利用してくださいとのことなのですが、使えるVPNって何かありましたかね?
自宅ルーターのVPN機能なら使えるのですが、遅いのと使えなくなる(理由は不明です)ことがしばしばあるので、複数のVPN接続手段を持っておきたいところです。
※接続先数限定&月間2GBまでタダのVPN
【悲報】さくらインターネット・石狩データセンターのWindows Serverのリモートデスクトップから、マイネ王にアクセス不可にゃー!国内鯖でもアクセスできにゃいってw
ちなみにVPNは使ってないにゃー!リモートホストはさくらのVPSと同じw>> あんちゃん@二階堂大和さん最高 さん
私が最初に書いているセカイVPNも国内のサーバーです。皆で声を上げて見直してもらいましょう!