SonicWALL SSL VPN 200 2.0.0.3 リリースノート 資料提供元 SonicWALL,Inc. ソフトウェアリリース 2007 年 5 月 1 日 概要 プラットフォームの互換性 2.0.0.3 リリースの制限事項注目の機能確認されている問題点修正された問題点 SonicWALL SSL-VPN ソフトウェアのアップデート手順関連技術文書 プラットフォームの互換性 SonicWALL SSL-VPN 2.0.0.3 は SonicWALL SSL-VPN 200 装置をサポートしています SonicWALL SSL-VPN 2.0.0.3 は https://www.mysonicwall.com から入手できます (https://www.mysonicwall.com の利用には ユーザ登録が必要です ) 2.0.0.3 リリースの制限事項 一般的な制限事項 ユーザが SSL-VPN 接続時に入力するホスト名 (FQDN) と ネットワーク > DNS ページの SSL VPN ゲートウェイホスト名 は異なる必要があります 一致する場合には ポータルに接続できない場合があります ポータルからの Telnet 接続は マイクロソフト Telnet サーバに未対応です ポータルからの FTP 接続でマイクロソフト FTP サーバを利用する場合は FTP サーバのディレクトリの表示設定を UNIX にする必要があります 日本語環境で使用する際の制限事項 管理インターフェースからのシステム設定には 日本語 ( 非 ASCII) は利用できません 日本語での設定が可能な箇所は ポータルレイアウト設定 の ポータルサイトタイトル ポータルバナータイトル ログインメッセージ と ホームページ設定 の ホームページメッセージ ブックマークテーブルタイトル です 誤って設定した場合 設定が削除できないことがあります その場合は 設定前にエクスポート バックアップした設定 または工場出荷時の設定に戻す必要があります ポータル上でのブックマークの設定に 日本語 ( 非 ASCII) は利用できません 誤って設定した場合 設定が削除できないことがあります その場合は 該当するユーザを一旦削除して 再度作成する必要があります ポータルから 日本語 ( 非 ASCII) または日本語の混在した URL のサイト フォルダ およびファイルには アクセスできません ポータルからのファイル共有においても 日本語フォルダ ファイルにアクセスできない場合があります Page 1 of 13
管理インターフェース またはポータルの利用中に ブラウザ画面が白くなったり 文字が化けたりする場合があります その場合は ブラウザのエンコードを 手動で UTF-8 に合わせてください エラーメッセージなど 一部英語で表記される箇所があります 注目の機能 SonicWALL SSL-VPN 2.0 リリースには以下の注目の機能があります 自動ロックアウト - システム管理者は 自動ロックアウトを設定して 複数回のログイン試行失敗の後にそのアカウントを指定した期間無効にすることができます 設定可能な NetExtender PPP サーバ IP - NetExtender は 暗号化され圧縮された PPP 接続上でのすべての接続性を許可し ユーザは直接内部ネットワーク資源に接続できます リモートユーザが内部ネットワーク そしてリモート NetExtender クライアントと通信する内部ネットワークのホストに接続する際に使用される IP アドレスは 透過的です 内容に沿ったヘルプの表示 - 管理画面上にある疑問符 (?) アイコンにより SonicWALL の中央サーバにホストされたオンライン管理者ガイドの関連するセクションを直接表示します さらに リモートユーザの使いやすさの向上のために いくつかの内容に沿ったヘルプを表示するボタンを 仮想オフィスに追加しました ログイン一意性の執行 - システム管理者は ポータルベースでログインの一意性を執行できます これにより 各ユーザアカウントに対して同時に 1 つのポータルログインセッションのみを許可することができます 同じユーザからの新しいセッションにより 以前のセッションは無効になります ファイル共有のアクセスポリシー - 現在のアクセスポリシー (IP アドレス アドレス範囲 そしてネットワークオブジェクトとして設定 ) を CIFS ファイル共有にも適用できるようになりました この機能拡張により ファイル共有のアクセスポリシーを 各サーバ上のユーザ毎のアクセス権を設定するのではなく SSL-VPN 装置上で全体的に設定できるようになります ポリシーはサーバパスで設定することも可能で ブックマークを介した特定の共有へのアクセスの許可 / 拒否を設定できます グローバル管理システムの基本サポート - SSL-VPN 装置がハートビートと Syslog メッセージを 指定した SonicWALL グローバル管理システム (GMS) に送信するように設定できるようになりました 注 ) SonicWA LL GMS は SSL-VPN 装置に含まれません NetExtender スタンドアロンクライアント統合 - NetExtender クライアントは スタンドアロンで使用することができます 初回配布ではウェブポータルの仮想オフィスを通してしか起動できませんが 最初のインストール後は NetExtender は通常のウィンドウズアプリケーションのようにスタートメニューから開始できます NetExtender トンネルオール - この機能を有効にすることで 動作中の NetExtender クライアントがすべてのトラフィックを SonicWALL SSL-VPN 装置を通して送信します 接続上に これまでのようにクライアントルートページ上の設定を削除するのではなく より大きなメトリックのデフォルトルートが追加されます RADIUS タイムアウトと再試行 - システム管理者は SonicWALL 装置に対して RADIUS サーバに接続する際のタイムアウト期間と最大再試行回数の両方を設定できます この機能は RADIUS の応答が遅いことにより装置上で認証失敗する環境下で有用です RDP5 Java クライアント - マイクロソフトのターミナルサーバと SUN JRE 1.2 以上が動作するブラウザを持つクライアント機器の間の接続を確立する RDP5 Java アプレットが追加されました リバースプロキシの拡張 (HTTP と HTTPS ブックマーク ) - HTTP と HTTPS ブックマークで使用されるリバースプロキシのエンジンが ウェブページとリモートユーザの間の認証情報をネゴシエートするための ダイジェストアクセス認証をサポートしました Page 2 of 13
改良されたリバースプロキシ - リバースプロキシの機能が いくつか改良されました SSL-VPN 2.0 は BIG5 とマルチバイトの文字セットをサポートします FTP プロキシもマルチバイトの文字セットをサポートします ワンタイムパスワード (OTP) この機能は 2 要素認証から形成されています リモートユーザが通常のユーザ名とパスワードを入力した後に ユーザは電子メール経由で SSL-VPN 装置が生成した一時ワンタイムパスワードを受け取ります ( このワンタイムパスワードはモバイル装置に送信することもできます ) このワンタイムパスワードを仮想オフィスのログイン画面より入力します この機能により セキュリティが強化されます SSHv2 サポート -SSL-VPN が セキュアシェルバージョン 2 をサポートするようになりました SSHv2 は SSHv1 より優れた暗号化を提供し 更に進んだ機能があります SSHv2 のブックマークを追加する手順は これまでの SSHv1 と よく似ています SSHv2 Java アプレットにより リモートマシンと SSHv2 サーバ間のプロキシ接続が可能になります 補足 SSHv2 には JRE1.4.2 または JRE1.5 が必要です これらは サンマイクロシステムズ (http://java.sun.com) より入手可能です 強化された暗号化と認証 - SSL-VPN のすべての暗号化アルゴリズムが認証を必要とするようになりました 40 または 56 ビットの暗号化鍵を用いる 低強度の暗号化は取り除かれました SSL-VPN 2.0 は ある主の攻撃に対して既知の弱点がある SSLv2 をサポートしなくなりました SSL-VPN 2.0 は 強力な暗号化と保護された通信を提供するための SSLv3 と TLSv1 を引き続きサポートします 強化されたブックマークポリシーオプション - 管理者は ブックマーク ユーザ グループそしてグローバルレベルでのシングルサインオンを制御できるようになりました 更に リモートユーザによりブックマークが名前の変更も含めて編集可能にするかどうかを特定できるようになりました ユーザによるパスワード変更 - ローカルユーザは自身のパスワードを管理者のサポート無しで 仮想オフィスページのオプションから変更できるようになりました ローカル管理者もユーザのパスワードを変更できますが AD LDAP NT のような外部ドメインと RADIUS のユーザはパスワードの変更はできません NetExtender の強化 - SSL-VPN 2.0 では NetExtender に対して 3 つの強化があります ドメインサフィックスサポート - ネットワーク > DNS ページで設定したドメインサフィックスが Net Extender アダプタに 接続時に割り当てられるようになりました ドメイン名の最初の部分を用いてネットワーク資源にアクセスする際に NetExtender アダプタは DNS サフィックスを付け加えます 接続 / 切断時のスクリプト実行 - NetExtender は 接続時と切断時に 事前インストールされた 設定可能なバッチスクリプトを実行できるようになりました 以下のスクリーンショットはこの機能についての画面です NetExtender 接続スクリプト画面 Page 3 of 13
バッチスクリプト例 個別ポートの指定 - NetExtender は SSL-VPN の手前のゲートウェイ上でポートアドレス変換を使用している場合に 任意のポートで接続できるようになりました サーバアドレスにポート番号を指定できます 以下の例は ポート 2048 の例です 個別ポート番号 Page 4 of 13
電子メールログ機能 - 管理者は ログ設定ページで SMTP サーバとメールのアドレスを設定してボタンを押すことで 装置のログを電子メールで送信できます 強化された設定ファイルのインポート / エクスポート - SSL-VPN 2.0 は すべての設定のプログラミングとファイルアイテムに対する設定のエクスポートとインポートを提供します 詳細については 本リリースノート後半にある 現在の設定内容のコピーをエクスポートする を参照してください 強化された RADIUS サポート - 管理者は RADIUS 認証に用いるサーバを複数設定することが可能になりました 確認されている問題点 47088: 概要 : ロシア ニューファウンドランド島 エジプト そしてヨルダンを含むいくつかのタイムゾーンで 2007 年に世界中で実行された夏時間 (DST) の新しい日程が正しく反映されません 背景 : 夏時間を導入しているいくつかのタイムゾーンを使用する場合に発生します 概要 : RDP5 Java ブックマークを起動した際に リモートデスクトップ Java クライアントをロードしています お待ちください の画面から先に進まなくなる場合があります 修正された問題点 このセクションでは SonicWALL SSL-VPN 2.0.0.3 リリースで修正された問題点を記述します Page 5 of 13
48287: 概要 : 2007 年 5 月 11 日以降に ウィンドウズが NetExtender のダウンロードと Java と ActiveX のアプレット (RDP5 SSH SSHv2 VNC ファイル共有 Citrix を含む ) を遮断します 背景 : 2007 年 5 月 11 日以降に これらのアプリケーションに対する署名済み証明書の期限が切れて発生します 41113: 概要 : FTP でのファイル作成時にファイル名が長い場合に短く切られます 既存の長いファイル名は FTP で変更できません 背景 : FTP で 31 文字以上のファイル名のファイルを作成しようとした場合 既に 31 文字以上のファイル名を持つファイルの名前を変更しようとした場合に発生します 48484: 概要 : RADIUS サーバを使用している場合に 不正なユーザ名またはパスワードで認証が成功してしまいます 背景 : RADIUS サーバが IP アドレスではなく完全修飾ドメイン名 (FQDN) で設定されている場合に発生します 46012: 概要 : ポータルを含まない設定をロードした後に SSL-VPN 装置からポータルホームページとログインメッセージファイルが削除できません 背景 : 装置上にポータルレイアウトを作成し その後ポータルを含まない設定をインポートした場合に発生します ポータルが無くなったために LoginMessage. txt HomeMessage.txt そして HomeInclude.html ファイルが削除できなくなります 応急 : 削除したものと同じ名前のポータルレイアウトを作成して それを削除します そのポータルレイアウトが削除される際に 関連するファイルは削除されます 46028: 概要 : CIFS アクセスポリシーがアクセスの遮断に失敗することがあります 背景 : CIFS ブックマークが作成され その後 ブックマークされたファイル共有へのアクセスを拒否する CIFS アクセスポリシーが作成された場合に発生します 46120: 概要 : 特殊文字を含むドメイン名が特殊文字の手前で切り取られます 背景 : ポータル > ドメインページで 特殊文字 (~`%^(){}<>) を含むドメインを追加した場合に発生します 46092: 概要 : 31 文字以上のグループ名またはドメイン名が作成されたときに SSL-VPN 装置が再起動されます 背景 : 31 文字以上のグループ名のグループが ユーザ > ローカルグループ内で作成された場合に発生します 46177: 概要 : 管理者が ユーザ名に特殊文字を含むユーザのセッションを中断できません 背景 : 管理者が ユーザ > 状況ページでログアウトボタンを選択してユーザのセッションを中断しようとした場合に発生します ユーザ名に特殊文字を含むユーザは 管理者によってログアウトさせられません 46026: 概要 : 2 つのバックスラッシュ (\\) を持たないファイル共有ブックマークが ファイル共有ウィンドウで動作しません 背景 : ファイル共有ウィンドウで追加された 2 つのバックスラッシュ (\\) を持たないファイル共有ブックマークにアクセスした場合に発生します 45973: 概要 : ActiveX と Java アプレットがユーザ名とパスワードを含む HTML 引数を持ち これを RDP 5 ActiveX または Java ブックマークソースコード内で見ることが可能です 背景 : ActiveX と Java ブックマークで発生します 46328: 概要 : 一旦追加して削除したドメインと同じ名前のドメインの追加に失敗します その際の状況メッセージは しばらくお待ちください... です 背景 : 一旦追加して削除したドメインと同じ名前のドメインを追加した際に発生します 応急 : そのようなドメインを追加する前に SSL-VPN 装置を再起動してください 46337: 概要 : 既定の NTP サーバで 不正な時刻が表示されます 次のタイムゾーンで発生します : ブラジリア アデレード シドニー メルボルン タスマニア背景 : 夏時間を使用する NTP タイムゾーンを参照した場合に発生します 46333: 概要 : ActiveX を使用したターミナルサービスの接続が失敗し クライアント接続にエラーが発生しました エラーメッセージが表示されます 背景 : マイクロソフトアップデートのオプションである KB925876 リモートデスクトップ接続 6.0 クライアントがインストールされている場合に発生します 46043: 概要 : <iframe> HTML タグを SSL-VPN ログインページに埋め込むことができます 背景 : <iframe> HTML タグを SSL-VPN ログインページに埋め込んだ場合に発生します 46076: 概要 : OpenSSL に潜在的な脆弱性があります 背景 : SonicWALL SSL-VPN は OpenS SL プロジェクトのオープンソースツールキットの一部を使用しています 最近 OpenSSL は以下の潜在的な脆弱性の情報を発表しました RSA 署名の偽造 Page 6 of 13
(http://www.openssl.org/news/secadv_20060905.txt) サービス拒絶攻撃 SSL_get_shared_ciphers のバッファオーバーフロー SSLv2 クライアントのクラッシュ (http://www.openssl.org/news/secadv_20060928.txt) 46736: 概要 : コンソールへの管理アクセスで CGI ハンドラに対して正常ではない引数を渡すことにより ローカルシステムコマンドを発行することができます ただし 外部から利用される脆弱性は報告されていません 背景 : コンソールへの管理アクセスを使用して 正常ではない引数を CGI ハンドラに渡した場合に発生する可能性があります 外部から利用される脆弱性は報告されていません 46682: 概要 : 2007 年より施行される 北アメリカの夏時間の変更を反映するアップデートが必要です 背景 : 新しい夏時間の時期 (3 月の第 2 日曜と 11 月の第 1 日曜 ) を反映するために 北アメリカのそれぞれのタイムゾーンに対して夏時間の設定がアップデートされました 46685: 概要 : ワンタイムパスワード (OTP) 使用時の SMTP サーバの未設定 またはその他の SMTP サーバとの通信エラーから来るエラーメッセージがログに表示されません 背景 : OTP に必要な SMTP サーバが設定されてない場合に発生します または SMTP サーバとの一般的な通信問題 例えば電子メールサーバのドメイン名が異なるような場合に発生します どちらの場合でも エラーメッセージが画面上に表示されますが エラーメッセージ全体がログに表示されません 46900: 概要 : diagoutlook.html ファイルと他の診断ページのファイルが https://<sslvpnlp> /cgi-bin/diag ページに表示されません 背景 : https://<sslvpnlp>/cgi-bin/diag ページを見る際に diagoutlook.html を含む診断ページのファイルが正しく表示されません Page 7 of 13
SonicWALL SSL-VPN ソフトウェアのアップデート手順 以下は 既存のSonicWALL SSL-VPNソフトウェアイメージを新しいものにアップデートする手順です 最新のSonicWALL SSL-VPNソフトウェアイメージを入手する 現在の設定内容のコピーをエクスポートする その他の重要な情報を保管する 新しいSonicWALL SSL-VPNソフトウェアイメージをアップロードする セーフモードを使用してSonicWALL SSL-VPN 200をリセットする 最新の SonicWALL SSL-VPN ソフトウェアイメージを入手する 1. あなたの SonicWALL SSL-VPN 装置用の新しい SonicWALL イメージファイルを入手するために http://www.mysonicwall.com のあなたの mysonicwall.com アカウントへ接続してください 備考あなたが既に SonicWALL SSL-VPN 装置を登録済みで システム > 設定ページの 新しいファームウェアが利用可能になった時に通知する を選択している場合 あなたの装置用のアップデートが利用可能になった時に自動的に通知を受けることができます 2. 新しい SonicWALL SSL-VPN イメージファイルを あなたの管理ステーション上のディレクトリへコピーしてください 現在の設定内容のコピーをエクスポートする アップデートのプロセスを始める前に あなたの SonicWALL SSL-VPN 装置に設定された現在の内容のコピーを ローカルコンピュータ上にエクスポートしてください 設定のエクスポート 機能により SonicWALL SSL-V PN 装置上の現在の設定内容のコピーを保存することができます これにより 以前の特定の設定状態に戻す必要が生じた場合にも 既存の設定をすべて守ることができます 現在の設定内容のコピーをエクスポートして あなたのローカル管理ステーション上にファイルとして保存するには 以下の手順を実行してください 1. システム > 設定ページで オプションで 設定ファイルを暗号化する を選択できす これを選択すると エクスポートされた設定ファイルは暗号化され 権限のないアクセスから守ることができますが あなた自身も読んだり編集したりできなくなります この暗号化された設定ファイルはエクスポートした または他の SSL-VP N 装置に復号化してインポートできます このチェックボックスを選択しない場合は エクスポートされた設定ファイルは平文テキストで保存されます 既定では ファイルは暗号化されません 2. システム > 設定ページで 設定のエクスポート ボタンを選択し 設定ファイルをあなたのローカルコンピュータ上に保存します 既定の設定ファイル名は sslvpnsettings.zip です そのファイル名を変更することもできますが 拡張子は.zip のままにしてください Page 8 of 13
zip ファイル名に エクスポートする設定内容が SonicWALL SSL-VPN イメージのどのバージョン上のものであったかを記述しておいてください 例えば あなたが SonicWALL SSL-VPN 1.5.0.0 イメージでの設定内容をエクスポートする場合 [ 日付 ] [ バージョン ] [ MAC ].zip といった形式を使って ファイル名を 041606_SSL-VPN_1.5.0.0-27_000611223344.zip というように変更します ([ MAC ] の部分には SonicWALL セキュリティ装置のシリアル番号を記述します ) そうしておくことで SonicWALL SS L-VPN イメージのそのバージョンへロールバックすることが必要になった時に 正しいファイルを選択してインポートすることができます 新しい SonicWALL SSL-VPN ソフトウェアイメージをアップロードする 備考 SonicWALL SSL-VPN 装置では イメージを以前のバージョンに戻して 新しいイメージ上で保存された設定内容を古いイメージ上で使用することについてサポートしていません もしあなたがSonicWALL SSL- VPNイメージの以前のバージョンに戻したい場合には アップロードされたファームウェア ( 工場出荷時の設定 ) - 更新! を選択する必要があります そして そのバージョンで保存された以前の設定ファイルをインポートするか もしくは手動で再設定を行います 1. SonicWALL SSL-VPN イメージファイルを www.mysonicwall.comからダウンロードして あなたのローカルコンピュータ上のどこかに保存します 2. システム > 設定ページで ファームウェアのアップロードを選択します 参照ボタンにより 保存した Soni cwall SSL-VPN イメージファイルの場所を探して そのファイルを指定し アップロードボタンを選択しま Page 9 of 13
す アップロードプロセスには 1 分ほどかかる場合があります 3. アップロードが完了すると あなたの SonicWALL SSL-VPN 装置を新しい SonicWALL SSL-VPN イメージで再起動できる状態となります 現在の設定または工場出荷時の設定のいずれかで 再起動できます a. 現在の設定を用いて アップロードしたイメージで再起動する場合には 次の記述の横に並んだ起動アイコンを選択します アップロードされたファームウェア - 更新! b. 工場出荷時の設定を用いて アップロードしたイメージで再起動する場合には 次の記述の横に並んだ起動アイコンを選択します アップロードされたファームウェア ( 工場出荷時の設定 ) - 更新! 備考前項の 現在の設定内容のコピーをエクスポートする 及び その他の重要な情報を保管する に記載されているように 工場出荷時の設定で SonicWALL SSL-VPN 装置を再起動する前には 必ず現在の設定内容があなたのローカルコンピュータ上に保存されていることを確認してください 4. 新しいファームウェアでの起動に 4 ~ 6 分かかります 不揮発性メモリにアップロードしたファームウェアを書き込んでいる間は 装置の電源を切らないでください OK を選択すると継続します という警告メッセージのダイアログが表示されます OK を選択した後 不揮発性メモリにアップロードしたファームウェアが書き込まれている間は 装置の電源を切らないでください 5. SonicWALL SSL-VPN 装置上へのイメージのアップロードに成功すると ログイン画面が表示されます アップデートされたイメージの情報は システム > 設定ページ上に表示されています 備考古いファームウェアバージョンからアップデートする時 ファームウェアのロードを 2 回する必要があるかもしれません 詳しくは 修正された問題点 の 41242 をご参照ください Page 10 of 13
セーフモードを使用して SonicWALL SSL-VPN 200 をリセットする SonicWALL セキュリティ装置の管理インターフェースへ接続できない場合 セーフモードで SonicWALL セキュリティ装置を再起動することができます セーフモード機能は システム > 設定 ページと同じ設定が利用可能な簡素化された管理インターフェースを使用して 不確かな設定状態から素早く復旧することを可能にします SonicWALL セキュリティ装置をリセットとするには 以下の手順に従います 1. SonicWALL セキュリティ装置の LAN ポートへ管理ステーションを接続し 管理ステーションの IP アドレスを 192.168.200.0/24 サブネットの IP アドレス 例えば 192.168.200.20 に設定します Note: SonicWALL セキュリティ装置は セーフモードで最後に設定した IP アドレスにも応答します これは データセンター内など リモートから復旧したい場合に役に立ちます 2. 先の尖った細い ( まっすぐにしたクリップや爪楊枝のような ) 物を使用して セキュリティ装置背面のリセットボタンを 5 秒から 10 秒間押し続けます リセットボタンは コンソールポートや電源差込口の脇にある小さな穴です リセットボタン SSL-VPN ヒント電源が立ち上がっている状態で この方法を使用してリセットできない場合には リセットボタンを押したまま装置の電源を落とし 再度電源を投入し Test ライトが点滅するまで押し続けます セキュリティ装置がセーフモードで再起動された場合には Test ライトが点滅します 3. 管理インターフェースへ接続します 管理ステーションのウェブブラウザを使用して 192.168.200. 1 へ接続します セーフモードの管理インターフェースが表示されます Page 11 of 13
4. 現在の設定を使用してセキュリティ装置の再起動します 現在のファームウェア と同じ行の起動アイコンを選択します 5. SonicWALLセキュリティ装置を再起動後 管理インターフェースに再度アクセスしてみます それでもなお管理インターフェースへアクセスできない場合には リセットボタンを使用して再度セーフモードで再起動します セーフモードで 工場出荷時の設定を使用したファームウェアで再起動します 現在のファームウェア ( 工場出荷時の設定 ) と同じ行の起動アイコンを選択します Page 12 of 13
関連技術文書 SonicWALL SSL-VPN に関連する以下の日本語による技術文書は ウェブサイト http://www.sonicwall.com/japan/support_document.html より入手することができます SonicWALL SSL-VPN 管理者ガイド SonicWALL SSL-VPN ユーザガイド 各プラットフォームの導入ガイドまた 以下の英語による技術文書は ウェブサイト http://www.sonicwall.com/support/documentation.html より入手することができます SonicOS SSL-VPN NetExtender Feature Module Guide SonicOS SSL-VPN One-Time Passwords (OTP) Feature Module Guide SonicWALL Secure Wireless Integrated Solutions Guide Advanced Deployment Technotes ドキュメント作成日 2007 年 5 月 1 日最終更新日 2007 年 5 月 1 日 Rev A Page 13 of 13