sonicwall ssl‐vpn 2.0.0.0...
TRANSCRIPT
SSL‐VPN SonicWALL SSL‐VPN 2.0 Release Notes
1
SonicWALL SSL‐VPN 2.0.0.0 リリースノート
概要
プラットフォームの互換性 ご使用の前に 2.0.0.0 リリースの制限事項 新機能 確認されている問題点 修正された問題点 SonicWALL SSL-VPNソフトウェアのアップデート手順 関連技術文書
プラットフォームの互換性
SonicWALL SSL-VPN 2.0.0.0 は、SonicWALL SSL-VPN 4000 及び、SonicWALL SSL-VP
N 2000装置 をサポートしています。
補足 SSL-VPN 4000 装置は SSL-VPN 2.0 を搭載して出荷されます。
ご使用の前に
最新版を入手してご利用ください お手元のSonicWALL SSL-VPN装置のファームウェア、およびリソースCD内のドキュメントは、最新版を入手
してご利用ください。 最新のファームウェアは https://www.mysonicwall.com から、ドキュメントは http://www.sonicwall.com/japan/products/documentation.html から入手できます。 (https://www.mysonicwall.com の利用には、ユーザ登録が必要です。)
2.0.0.0 リリースの制限事項
一般的な制限事項 • ユーザがSSL-VPN接続時に入力するホスト名(FQDN)と、「ネットワーク > DNS」 ページの 「SSL VPN
ゲートウェイ ホスト名」 は異なる必要があります。 一致する場合には、ポータルに接続できない場合がありま
す。
• ポータルからのTelnet接続は、マイクロソフトTelnetサーバに未対応です。
• ポータルからのFTP接続でマイクロソフトFTPサーバを利用する場合は、FTPサーバのディレクトリの表示設
定を、UNIXにする必要があります。
2
日本語環境で使用する際の制限事項 • 管理インターフェースからのシステム設定には、日本語 (非ASCII) は利用できません。 日本語での設定が
可能な箇所は、「ポータル レイアウト設定」 の 「ポータル サイト タイトル」、「ポータル バナー タイトル」、「ログ
イン メッセージ」 と、「ホームページ設定」の「ホームページ メッセージ」、「ブックマーク テーブル タイトル」 です。 誤って設定した場合、設定が削除できないことがあります。 その場合は、設定前にエクスポート、バックア
ップした設定、または工場出荷時の設定に戻す必要があります。
• ポータル上でのブックマークの設定に、日本語 (非ASCII) は利用できません。誤って設定した場合、設定が
削除できないことがあります。 その場合は、該当するユーザを一旦削除して、再度作成する必要があります。
• ポータルから、日本語 (非ASCII)、または日本語の混在したURLのサイト、フォルダ、およびファイルには、
アクセスできません。 ポータルからのファイル共有においても、日本語フォルダ、ファイルにアクセスできない
場合があります。
• 管理インターフェース、またはポータルの利用中に、ブラウザ画面が白くなったり、文字が化けたりする場合が
あります。 その場合は、ブラウザのエンコードを、手動でUTF-8に合わせてください。
• エラー メッセージなど、一部英語で表記される箇所があります。
新機能
SonicWALL SSL-VPN 2.0 リリースでは以下の機能が新しくなりました。
• アウトルック ウェブ アクセスとその他のために改良されたリバース プロキシ - リバース プロキシの機能が、い
くつかの改良されました。 SSL-VPN 2.0は、プレミアム バージョンのアウトルック ウェブ アクセス、ロータス ドミノ ウェブ アクセス、BIG5、そしてマルチバイトの文字セットをサポートします。 FTPプロキシもマルチバイト
の文字セットをサポートします。 ウェブ ベースのアプリケーションに対する拡張されたプロキシ サポートの詳細
な情報については、SSL-VPN 2.0管理者ガイドを参照してください。
• 2要素認証のサポート – RSA Security Inc. と Vasco Data Security International 製の、最も一般的
なサードパーティ2要素認証製品により認証されるユーザのためのドメインを作成できるようになりました。 仮想オフィスとスタンドアロン NetExtenderクライアントの両方とも、2要素認証をサポートします。
• SSHv2サポート -SSL-VPNが、セキュア シェル バージョン2をサポートするようになりました。 SSHv2は、
SSHv1より優れた暗号化を提供し、更に進んだ機能があります。 SSHv2のブックマークを追加する手順は、
これまでのSSHv2と良く似ています。 SSHv2 Javaアプレットにより、リモート マシンとSSHv2サーバ間のプ
ロキシ接続が可能になります。 補足 SSHv2には、JRE1.4.2 または JRE1.5が必要です。 これらは、サ
ン マイクロシステムズ (http://java.sun.com) より入手可能です。
• 強化された暗号化と認証 - SSL-VPNのすべての暗号化アルゴリズムが認証を必要とするようになりました。 40または56ビットの暗号化鍵を用いる、低強度の暗号化は取り除かれました。 SSL-VPN 2.0は、ある主の
攻撃に対して既知の弱点があるSSLv2をサポートしなくなりました。 SSL-VPN 2.0は、強力な暗号化と保護
された通信を提供するための、SSLv3とTLSv1を引き続きサポートします。
• 強化されたブックマーク ポリシー オプション - 管理者は、ブックマーク、ユーザ、グループそしてグローバル レベルでのシングル サインオンを制御できるようになりました。 更に、リモート ユーザによりブックマークが名
前の変更も含めて編集可能であるかを特定できるようになりました。
• ユーザによるパスワード変更 - ローカル ユーザは自身のパスワードを管理者のサポート無しで、仮想オフィ
ス ページのオプションから変更できるようになりました。 ローカル管理者もユーザのパスワードを変更できます
が、AD、LDAP、NTのような外部ドメインとRADIUSのユーザはパスワードの変更はできません。
• NetExtenderの強化 - SSL-VPN 2.0では、NetExtenderに対して3つの強化があります。
• ドメイン サフィックス サポート - ネットワーク > DNS ページで設定したドメイン サフィックスがNet
Extenderアダプタに、接続時に割り当てられるようになりました。 ドメイン名の最初の部分を用いて
ネットワーク資源にアクセスする際に、NetExtenderアダプタはDNSサフィックスを付け加えます。
• 接続/切断時のスクリプト実行 - NetExtenderは、接続時と切断時に、事前インストールされた、
設定可能なバッチ スクリプトを実行できるようになりました。 以下のスクリーンショットはこの機能につ
いての画面です。
NetExtender 接続スクリプト画面
バッチ スクリプト例
3
• 個別ポートの指定 - NetExtenderは、SSL-VPNの手前のゲートウェイ上でポート アドレス変換
を使用している場合に、任意のポートで接続できるようになりました。 サーバ アドレスにポート番号
を指定できます。 以下の例は、ポート2048の例です。
個別ポート番号
• 電子メール ログ機能 - 管理者は、ログ設定ページでSMTPサーバとメールのアドレスを設定してボタンを押
すことで、装置のログを電子メールで送信できます。
• Citrix Javaアプレット サポート - 「常にインターネット エクスプローラで Java を使用する」 チェックボックス
により、ユーザがインターネット エクスプローラを使用していても、クライアントにJavaアプレットを送信する機能
を提供します。 このチェック ボックスが日選択でインターネット エクスプローラをしようしている場合は、Active
Xアプレットのみが提供されます。 Citrix Javaアプレットにより、LinuxとMac OS Xクライアント システムにCi
trixのサポートを拡張します。
• 強化された設定ファイルのインポート/エクスポート - SSL-VPN 2.0は、すべての設定のプログラミングとフ
ァイル アイテムに対する設定のエクスポートとインポートを提供します。 詳細については、本リリースノート後半
にある、「現在の設定内容のコピーをエクスポートする」 を参照してください。
• 強化されたRADIUSサポート - 管理者は、RADIUS認証に用いるサーバを複数設定することが可能にな
りました。 RADIUSドメインの作成後に、テスト タブがドメインの編集ページに表示されます。 管理者は、ユ
ーザ名とパスワードを入力してテスト ボタンを選択することで、サーバが応答するかしないか、不正なRADIU
S秘密パスワード (Secret) が設定されているか、不正なユーザ名とパスワードが設定されているか、または
接続が成功したかを確認できます。
4
5
確認されている問題点
このセクションでは、SonicWALL SSL-VPN 2.0 リリースで確認されている問題点を記述します。
NetExtender
• 44998: 概要: ポート番号32767以上のポート アドレス 変換 (PAT) を介してSSL-VPNにアクセスして
いる場合、NetExtenderが起動しません。 背景: SSL-VPN装置が、SSL-VPNプライベート ポート44
3へのパブリック アクセスのために大きなポート番号を使用したPATの設定されている上位のファイアウォ
ールに接続されている場合に発生します。 応急: インターネット エクスプローラではなくファイアフォックス
を使用して、ポータルにアクセスしてNetExtenderを起動します。 または、事前にスタンドアロン NetEx
tenderをインストールしておき、ポータルからではなく、直接NetExtenderで接続します。
ネットワーク
• 44977: 概要: DNSサーバが設定されていなく、URLに名前でアクセスするブックマークを使用した場合、
SSL-VPN装置はDNSが利用できないというメッセージではなく、ポリシー拒否のメッセージが表示され
ます。 背景: アクセス ポリシーもDNSサーバも設定されていい場合に発生します。
ユーザ
• 46862: 概要: グループの設定が正しく変更されたにも関わらず、エラーメッセージが表示される場合があ
ります。 背景: ユーザを追加または削除した後に、グループの設定を変更した場合に発生することがあり
ます。
Javaクライアント
• 44992: 概要: JRE1.4.2の環境で、Citrix Javaアプレットが動作しません。 背景: Sun JRE1.4.2をイン
ストールした後にCitrixアプレットを起動した場合に発生します。 アプレットは例外エラーになります。 応急: Citrixアプレットを起動する前にJRE1.5をインストールします。
リバース プロキシ
• 44903: 概要: Mac OS Xのサファリ ブラウザ上でCitrix Javaアプレットの起動に失敗します。 背景: Mac OS X 10.4.7上のサファリ2.0.4ブラウザからCitrixサーバへログインするブックマークを使用した場
合に発生し、マイクロソフトのアプレットの起動を試みます。 インターネット エクスプローラが、正しく起動
できる唯一のマイクロソフトのアプリケーションです。 • 44900: 概要: 1つのアプリケーションを閉じて、別のアプリケーションを開こうとした際に、Citrix Javaアプ
レット サーバが接続を落とします。 背景: アプリケーションを開いて閉じた後に、別のアプリケーションを
開こうとした際に発生します。 ”Connection failed.”メッセージが表示されます。 応急: アプリケーション ウィンドウを閉じてから再度開き直すことで、この問題を回避できます。
6
修正された問題点
このセクションでは、SonicWALL SSL-VPN 2.0 リリースで修正された問題点を記述します。
ファイル共有
• 43789: 概要: FTPブックマークを用いて複数の大きなファイルをアップロードした際に、ファイルが破損
する可能性があります。 背景: 40メガバイト以上のファイルを3つ以上同時に転送しようとした場合に発生
します。
Java クライアント
• 44590: 概要: Citrixサーバ上のアプリケーションにアクセスした後に、同じセッション内で別のアプリケー
ションにアクセスを試みるとウィンドウが固まります。 背景: Citrixサーバにログインしてアプリケーションを
起動し、そして閉じてから、そのアプリケーションまたは別のアプリケーションをクリックして起動した場合に
発生します。
ポータル
• 42298: 概要: PATがアップストリームのファイアウォールに設定されていると、殆どのSSL-VPNブックマ
ーク(FTP、Telnet、RDP、SSH、NetExtenderなど)は失敗します。 背景: PATがアップストリームの
ファイアウォールに設定されている時、発生します。 • 44684: 概要: 「ポータル > ドメイン」 ページで、ドメインからのログイン名の削除が動作しません。 背景:
ドメインからログイン名とパスワードを削除して「OK」を選択した場合に発生します。 単に失敗する場合と、
ユーザ インターフェースが連続して再表示される場合があります。 • 44502: 概要: IPアドレスではなく、ホスト名で設定されたブックマークにアクセスできません。 背景: DNS
サーバを設定する前にブックマークを作成した場合に、後でDNSサーバを設定したとしても発生します。 • 44638: 概要: ログイン名にカンマが含まれる場合にLDAPを介したログインに問題があります。 背景: ”
Walsh,Kari” のようなアクティブ ディレクトリ ログイン名を作成して、そのログイン名でLDAPドメインにロ
グインを試みた際に発生し、”Walsh¥,Kariと入力することでカンマをエスケープする必要がありました。 SSL-VPN 2.0はこの状況に対応したので、今後カンマをエスケープする必要はありません。
リバース プロキシ
• 43952: 概要: ブックマークを介して、HTTPまたはHTTPS上で上位のファイアウォール管理インターフ
ェースにプロキシできません。 背景: SonicWALLのファイアウォールにブックマークからアクセスを試み
た場合に発生します。 インターネット エクスプローラは、ブラウザ ウィンドウがSonicWALLにログインし
たものと一致しないというエラー メッセージを表示し、OKを選択するとログイン ページが表示されます。
システム
• 44726: 概要: ネットワーク タイム プロトコル (NTP) サービスが指定された周期でSSL-VPN装置の時
計を更新しません。 装置が長時間稼動した後に、時間の不一致によりアクティブ ディレクトリ ログインが
失敗する可能性があります。 背景: 装置がNTPサーバを用いてシステム時刻を更新するように設定され
ている場合に発生します。
7
• 44569: 概要: SSL証明書と鍵の確認が正しく動作しません。 鍵/証明書の不一致により、ウェブ サー
バの開始が妨げられることがあります。 背景: 一致しない鍵と証明書をインポートして、秘密鍵の正しいパ
スワードを入力して証明書を有効にした場合に発生します。
ユーザ インターフェース
• 43735: 概要: 不完全なネットワーク オブジェクトがアクセス ポリシーに追加できます。 背景: IPアドレス
やネットワーク範囲の無いネットワーク オブジェクトをポリシーに追加した場合に発生します。 不完全なネ
ットワーク オブジェクトを持つポリシーは正しく機能しません。
SonicWALL SSL-VPNソフトウェアのアップデート手順
以下は、既存のSonicWALL SSL-VPNソフトウェア イメージを新しいものにアップデートする手順です。
• 最新のSonicWALL SSL-VPNソフトウェア イメージを入手する
• 現在の設定内容のコピーをエクスポートする
• その他の重要な情報を保管する
• 新しいSonicWALL SSL-VPNソフトウェア イメージをアップロードする
最新のSonicWALL SSL-VPNソフトウェア イメージを入手する 1. あなたのSonicWALL SSL-VPN装置用の新しいSonicWALLイメージ ファイルを入手するために、
http://www.mysonicwall.com のあなたのmySonicWALL.com アカウントへ接続してください。
備考 あなたが既にSonicWALL SSL-VPN装置を登録済みで、システム > 設定 ページの「新しいファームウェアが利用可能になった時に通知する」を選択している場合、あなたの装置用のアップデートが利用可能になった時に自動的に通知を受けることができます。
2. 新しいSonicWALL SSL-VPN イメージ ファイルを、あなたの管理ステーション上のディレクトリへコピーして
ください。
現在の設定内容のコピーをエクスポートする アップデートのプロセスを始める前に、あなたのSonicWALL SSL-VPN装置に設定された現在の内容のコピー
を、ローカル コンピュータ上にエクスポートしてください。 「設定のエクスポート」機能により、SonicWALL SSL-VPN装置上の現在の設定内容のコピーを保存することができます。これにより、以前の特定の設定状態に戻す必
要が生じた場合にも、既存の設定をすべて守ることができます。
設定のエクスポートにより、下記のディレクトリ構造を持つ圧縮 (ZIP) ファイルが生成されます。
以下の情報がエクスポートされます。
• ca フォルダには、認証局から提供されたすべてのCA証明書が含まれます。
• cert フォルダには、システム > 証明書 ページの証明書署名リクエスト (CSR) により生成された鍵と証明の
ペアが含まれます。
• uiaddon フォルダには、ポータル ログイン メッセージと、ポータル ホームページ メッセージが含まれます。
8
• firebase.conf ファイルには、ネットワーク、DNS、そしてログ設定を含む設定情報が含まれます。
• mainlogo.gif ファイルは、ポータル > 個別ロゴ ページで設定されているロゴです。
• smm.conf ファイルは、ユーザ、グループ、ドメイン、そしてポータルを含む設定情報が含まれます。
現在の設定内容のコピーをエクスポートして、あなたのローカル管理ステーション上にファイルとして保存するには、
以下の手順を実行してください。
1. システム > 設定 ページで、オプションで 「設定ファイルを暗号化する」 を選択できす。これを選択すると、エ
クスポートされた設定ファイルは暗号化され、権限のないアクセスから守ることができますが、あなた自身も読
んだり編集したりできなくなります。 この暗号化された設定ファイルはエクスポートした、または他のSSL-VP
N装置に復号化してインポートできます。 このチェックボックスを選択しない場合は、エクスポートされた設定
ファイルは平文テキストで保存されます。 既定では、ファイルは暗号化されません。
2. システム > 設定 ページで 「設定のエクスポート」 ボタンを選択し、設定ファイルをあなたのローカル コンピュ
ータ上に保存します。 既定の設定ファイル名は、 sslvpnSettings.zip です。 そのファイル名を変更すること
もできますが、拡張子は .zip のままにしてください。
zip ファイル名に、エクスポートする設定内容がSonicWALL SSL-VPNイメージのどのバージョン上
のものであったかを記述しておいてください。 例えば、あなたがSonicWALL SSL-VPN 1.0.0.9 イメー
ジでの設定内容をエクスポートする場合、[ 日付 ] [ バージョン ] [ MAC ] .zip といった形式を使って、ファイ
ル名を“041606_SSL-VPN_1.0.0.9-27_000611223344.zip”というように変更します。 ([ MAC ]の部
分にはSonicWALLセキュリティ装置のシリアル番号を記述します。) そうしておくことで、SonicWALL SS
L-VPNイメージのそのバージョンへロールバックすることが必要になった時に、正しいファイルを選択してイ
ンポートすることができます。
新しいSonicWALL SSL-VPNソフトウェア イメージをアップロードする
備考 SonicWALL SSL-VPN装置では、イメージを以前のバージョンに戻して、新しいイメージ上で保存された設定内容を古いイメージ上で使用することについてサポートしていません。 もしあなたがSonicWALL SSL-VPNイメージの以前のバージョンに戻したい場合には、アップロードされたファームウェア(工場出荷時の設定) -
更新! を選択する必要があります。 そして、そのバージョンで保存された以前の設定ファイルをインポートするか、もしくは手動で再設定を行います。
9
1. SonicWALL SSL-VPN イメージ ファイルを、www.mysonicwall.comからダウンロードして、あなたのローカ
ル コンピュータ上のどこかに保存します。
2. システム > 設定 ページで、 ファームウェアのアップロード を選択します。 参照ボタンにより、保存したSoni
cWALL SSL-VPNイメージ ファイルの場所を探して、そのファイルを指定し、アップロード ボタンを選択しま
す。 アップロード プロセスには1分ほどかかる場合があります。
3. アップロードが完了すると、あなたのSonicWALL SSL-VPN装置を新しいSonicWALL SSL-VPNイメー
ジで再起動できる状態となります。現在の設定または工場出荷時の設定のいずれかで、再起動できます。
a. 現在の設定を用いて、アップロードしたイメージで再起動する場合には、次の記述の横に並んだ起動アイコ
ンを選択します。
アップロードされたファームウェア -更新!
b. 工場出荷時の設定を用いて、アップロードしたイメージで再起動する場合には、次の記述の横に並んだ起動
アイコンを選択します。
アップロードされたファームウェア(工場出荷時の設定) -更新!
備考 前項の「現在の設定内容のコピーをエクスポートする」及び「その他の重要な情報を保管する」に記載されているように、工場出荷時の設定でSonicWALL SSL-VPN装置を再起動する前には、必ず現在の設定内容があなたのローカルコンピュータ上に保存されていることを確認してください。
4. 「新しいファームウェアでの起動に 4 ~ 6 分かかります。 不揮発性メモリにアップロードしたファームウェアを
書き込んでいる間は、装置の電源を切らないでください。 「OK」を選択すると継続します」という警告メッセー
ジのダイアログが表示されます。 OKを選択した後、不揮発性メモリにアップロードしたファームウェアが書き
込まれている間は、装置の電源を切らないでください。
10
5. SonicWALL SSL-VPN装置上へのイメージのアップロードに成功すると、ログイン画面が表示されます。 アップデートされたイメージの情報は、システム > 設定 ページ上に表示されています。
備考 古いファームウェア バージョンからアップデートする時、ファームウェアのロードを 2 回する必要があるかもしれません。詳しくは、「修正された問題点」の41242をご参照ください。
11
関連技術文書
SonicWALL SSL-VPNに関連する以下の日本語による技術文書は、ウェブ サイト
〈http://www.sonicwall.com/japan/support_document.html〉 より入手することができます。
• SonicWALL SSL-VPN 管理者ガイド
• SonicWALL SSL-VPN ユーザ ガイド
• 各プラットフォームの導入ガイド
また、以下の英語による技術文書は、ウェブ サイト 〈http://www.sonicwall.com/support/documentation.html〉 より
入手することができます。
• SonicOS SSL-VPN NetExtender Feature Module Guide
• SonicOS SSL-VPN One-Time Passwords (OTP) Feature Module Guide
• SonicWALL Secure Wireless Integrated Solutions Guide
• Advanced Deployment Technotes
ドキュメント作成日 2007年2月1日 最終更新日 2007年2月1日 P/N 232-000942-00 Rev A
12