SonicWALL SSL‐VPN 200 2.1 リリースノート
資料提供元
SonicWALL,Inc.
ソフトウェア リリース 2007年11月28日概要
プラットフォームの互換性 2.1 リリースの制限事項 注目の機能 確認されている問題点 修正された問題点 SonicWALL SSL-VPNソフトウェアのアップデート手順 関連技術文書プラットフォームの互換性
SonicWALL SSL-VPN 2.1 は、SonicWALL SSL-VPN 200装置 をサポートしています。 SonicWALL SSL-VPN 2.1 は、 https://www.mysonicwall.com から入手できます。 (https://www.mysonicwall.com の利用には、ユーザ登録が必要です。)2.1 リリースの制限事項
一般的な制限事項
• ユーザがSSL-VPN接続時に入力するホスト名(FQDN)と、「ネットワーク > DNS」 ページの 「SSL VPN ゲートウェイ ホスト名」 は異なる必要があります。 一致する場合には、ポータルに接続できない場合がありま す。 • ポータルからのTelnet接続は、マイクロソフトTelnetサーバに未対応です。 • ポータルからのFTP接続でマイクロソフトFTPサーバを利用する場合は、FTPサーバのディレクトリの表示設 定を、UNIXにする必要があります。日本語環境で使用する際の制限事項
• 管理インターフェースからのシステム設定には、日本語 (非ASCII) は利用できません。 日本語での設定が 可能な箇所は、「ポータル レイアウト設定」 の 「ポータル サイト タイトル」、「ポータル バナー タイトル」、「ログ イン メッセージ」 と、「ホームページ設定」の「ホームページ メッセージ」、「ブックマーク テーブル タイトル」 で す。 誤って設定した場合、設定が削除できないことがあります。 その場合は、設定前にエクスポート、バックア ップした設定、または工場出荷時の設定に戻す必要があります。 • ポータル上でのブックマークの設定に、日本語 (非ASCII) は利用できません。誤って設定した場合、設定が 削除できないことがあります。 その場合は、該当するユーザを一旦削除して、再度作成する必要があります。 • ポータルから、日本語 (非ASCII)、または日本語の混在したURLのサイト、フォルダ、およびファイルには、 アクセスできません。 ポータルからのファイル共有においても、日本語フォルダ、ファイルにアクセスできない 場合があります。• 管理インターフェース、またはポータルの利用中に、ブラウザ画面が白くなったり、文字が化けたりする場合が あります。 その場合は、ブラウザのエンコードを、手動でUTF-8に合わせてください。 • エラー メッセージなど、一部英語で表記される箇所があります。
注目の機能
SonicWALL SSL-VPN 200 2.1 リリースには以下の注目の機能があります。 • LDAP複数組織単位 (OU) サポート - 複数のbaseDNを用いる複数の組織単位に対する認証を提供しま す。 これには、追加の設定なしにサブOUにネストされたLDAPアカウントの認証も含まれます。 さらに、ユー ザはDNのかわりに、共通名 (CN) またはユーザID (UID) を用いてログインできます。 • RADIUS Filter-ID グループ サポート - RADIUS Filter-ID属性を用いた既存のRADIUSグループ メンバーシップをもとにしたアクセス制御を提供します。 SonicWALL SSL-VPNグループに関連するRA DIUSグループが1つ以上ある場合に、関連したRADIUSグループのユーザのみがSonicWALLグループ へアクセスできます。 RADIUSグループに関連付けられていないSonicWALL SSL-VPNグループは、R ADIUSドメインのすべてのユーザからアクセスできます。 • GMS/ViewPoint レポーティング サポート - SonicWALL SSL-VPNが、Syslogメッセージをレポート と監視のためにViewPointサーバにルーティングすることで、GMSと今後リリース予定のViewPoint4.1を サポートするようになります。 サーバへのSyslog送信のトリガになるイベントは、リバースプロキシ、NetExten der、RDP、VNC、FTP、SSH/SSHv2、Telnet、診断のエクスポート、設定のエクスポート、再起動、そし て既定への復元を含みます。 • ViewPoint手動鍵ライセンス要求 - SonicWALL SSL-VPN 200装置は、ViewPointの機能を有効に するために鍵を購入して手動で入力する必要があります。 今後リリース予定のViewPoint4.1でサポートさ れる予定です。 • NetExtenderの拡張 - SonicWALL SSL-VPN 2.1リリースでは、NetExtenderに多くの拡張が実施 されました。 この拡張には、以下を含みます。 o MSIスタンドアロン インストーラにより、NetExtenderはウィンドウズ アクティブ ディレクトリを介して 配布できるようになりました。 ウィンドウズ インストーラ サービスがインストールされたウィンドウズ200 0、XP、2003、そしてビスタ プラットフォームをサポートします。 o NetExtenderスタンドアロン クライアントでのNTドメイン ログオン スクリプト サポート o NetExtenderスタンドアロン クライアントでの切断メッセージの言い換え o NetExtenderスタンドアロン クライアントでの自動再接続機能オプション o HTTPSとセキュア プロキシ サーバ転送を用いたプロキシ サーバのサポート o ロックファイルのクリンナップ、切断時のポリシー削除、そしてnetExtenderLogユーティリティの削 除を含む、多くのパフォーマンス向上 o NetExtenderクライアントによるクライアント接続後のクラスフル サブネット ルートの削除 o ホームページのCGIリロードによるNetExtender再実行の停止 o ウィンドウズ ビスタへの完全対応。 ポータルから開始する際に、“管理者として実行” オプションを選 択し、プロテクト モードが無効になっていることを確認してください。 o ネットワーク接続切断後の強化された再接続。 IPプールが使い切られていた場合、古い接続が解 除され、その接続で使用していたIPアドレスが再利用されます。 o NetExtenderがポータル セッションから開始された際、ポータル タイムアウトはNetExtenderトン ネルにトラフィックが無い状態でのみカウントダウンします。 o NetExtenderスタンドアロン クライアントに対して、ユーザ名とパスワードの記憶がサーバ レベルで 制御されます。 サーバが許可した場合、ユーザはユーザ名とパスワードを記憶させることができます。o 切断後のNetExtender自動終了、クライアント終了後の強制アンインストール、クライアント接続プ ロファイルの作成、そしてユーザ名とパスワードの記憶オプションを含む、新しい管理者設定のオプ ション • リバース プロキシの拡張 - o HTTP(S) リバース プロキシが、ウェブ ポータル管理ツールであるウィンドウズ シェアポイント サー ビス2.0をサポートしました。クライアント プログラムとの統合が必要なものを除いて、ウィンドウズ シ ェアポイント サービスのすべての機能がサポートされます。 o アウトルック ウェブアクセス (OWA) 2007 が、ライト モードで使用した場合にサポートされます。 ラ イト モードは、OWAログイン画面で、“Outlook Web Access Light を使用する” チェックボックス を選択することで有効になります。 • 変数を用いたHTTP(S)とCIFSブックマーク設定 - 現在のユーザのユーザ名を表す変数、%USERNA ME% (大文字小文字を区別) を用いて、複数のユーザが個別のユーザ名を用いてアクセスするパスを、1つ のブックマークとして作成するオプションを提供します。 例えば、管理者が “%USERNAME%のホーム“ と いう名前のブックマークに、 ”¥¥1.2.3.4¥%USERNAME%“ というリンクを付けて作成した場合、ポリ シーに従ってブックマークにアクセスするユーザ BSmith からは、”BSmithのホーム“ という名前のブックマ ークが見えて、”¥¥1.2.3.4¥BSmith“ にリンクされます。 この変数はCIFSアクセス ポリシーに対しても 有効です。 • RDP ActiveX拡張 - RDP ActiveX拡張には、RDP6サポート、機密性の高いパラメータの暗号化、HTT PSプロキシとインターネット エクスプローラのプロキシ設定の自動使用を含むプロキシ サポートが含まれます。 • SSHv2アプレット拡張 - SSHv2 アプレットの拡張には、SSHv2の動作を表示するステータス バー、信頼 するサーバへの接続をより効率的に行うために自動的にサーバ ホスト鍵を許可するオプション、認証のないS SHv2サーバに対するユーザ名要求をバイパスするオプションが含まれます。 • RADIUSドメイン認証サポート - PAP、CHAP、MSCHAP、MSCHAPV2の、RADIUSドメイン認証方 式が追加サポートされました。 • その他の拡張 - 上記の他に、以下の拡張がSSL-VPN 2.1 リリースに含まれます。 o 管理者による、ローカル ユーザのパスワード変更機能の制御 o LDAPドメインのパスワード変更サポート o アクティブ ディレクトリ ユーザに対する、装置の時計がADサーバと同期が取れていない場合の新し いエラーメッセージ o FTPでのより長いファイル名のサポート
確認されている問題点
このセクションでは、SonicWALL SSL-VPN 200 2.1 リリースで確認されている問題点を記述します。 • 46830: 概要: ドイツ語レイアウトを使用したマッキントッシュのキーボード上の特殊記号 (例 ä ö ü Ä Ö Ü ß) が、RDP5 Javaアプレットの使用中に画面に表示されません。 背景: ドイツ語レイアウトを使用した マッキントッシュのキーボードで、RDP5 Javaアプレットを使用した場合に発生します。 • 47737: 概要: 破損した設定ファイルをアップロードした際に、SSL-VPN装置が再起動を繰り返します。 背景: 設定ファイルが、firebase.confファイル内に余分な改行を持つ場合に発生します。 • 47409: 概要: 64ビット版のビスタでNetExtenderがサポートされません。 背景: 64ビット版のビスタを使 用している場合に発生します。• 39844: 概要: Javaクライアントからのルート トラフィックが、割り当てられたリバース プロキシ サーバを通 るのではなく、SSL-VPN装置に直接向かいます。 背景: リバース プロキシ サーバを用いてJavaクライア ントを使用するブックマークにアクセスした場合に発生します。 • 47448: 概要: FTPを用いて、長いファイル名のファイルをダウンロードできません。 背景: FTPを用いて、 Unixサーバからは70文字以上のファイル名を持つファイル、またはMS-DOSサーバからは90文字以 上のファイル名を持つファイルをダウンロードした場合に発生します。 • 43379: 概要: IIS 6.0とSSL-VPN装置の環境で、ダイジェスト アクセス認証に失敗します。 背景: ダイ ジェスト認証を使用するように設定されているIIS 6.0が動作するウェブ サーバへ、SSL-VPN上のリバ ース プロキシ ブックマークを用いてアクセスする際に発生します。 応急: IIS 6.0を使用するサーバに対 して、サーバが基本認証または匿名HTTP認証を使うように再設定します。 または、SSL-VPNを介した ダイジェスト認証が動作するIIS 5.0かApacheを使用します。 • 46349: 概要: NetExtenderに対するIPアドレス ベースのアクセス ポリシーで、ポートへのアクセスを制 限できません。 例えば、NetExtenderアクセス ポリシーがIPアドレス192.168.168.2へのアクセスを 許可または拒否できますが、192.168.168.2:80に対してはできません。 背景: TCP/UDPポート を用いたアクセス ポリシーの設定を試みた場合に発生します。 • 46531: 概要: PDAのブラウザからSSL-VPN装置にログインできません。 背景: PDA上のウェブ ブラウ ザからSSL-VPN装置へのログインを試行した場合に発生します。 • 40070: 概要: ファイル共有に対してWINSが動作しません。 背景: ファイル共有でDNSサーバ ルックア ップが失敗して、WINSが装置の名前解決の予備方式として問い合わせを行わない場合に発生します。
修正された問題点
このセクションでは、SonicWALL SSL-VPN 200 2.1 リリースで修正された問題点を記述します。 • 49596: 概要: WebcleanerとNetExtender LauncherのActiveXが、機密性の高い情報の取得に利 用される可能性がありました。 背景: WebcleanerとNetExtenderのActiveXコントロールが悪意を持っ て使用された場合に発生する可能性がありました。 • 41861: 概要: SSL-VPN装置がユーザ アカウントを認証しない場合があります。 背景: 階層化されたO U (サブOU) 内にユーザ アカウントが定義されていて、LDAPが認証に使用されている場合に発生しま す。 応急: それぞれのOU (サブOUを含む) に対してドメインを設定します。 • 46012: 概要: ポータルを含まない設定をロードした後に、SSL-VPN装置からポータル ホームページと ログイン メッセージファイルが削除できません。 背景: 装置上にポータル レイアウトを作成し、その後ポー タルを含まない設定をインポートした場合に発生します。 ポータルが無くなったために、LoginMessage. txt、HomeMessage.txt、そしてHomeInclude.htmlファイルが削除できなくなります。 応急: 削除し たものと同じ名前のポータル レイアウトを作成して、それを削除します。 そのポータル レイアウトが削除さ れる際に、関連するファイルは削除されます。 • 46028: 概要: CIFSアクセス ポリシーがアクセスの遮断に失敗することがあります。 背景: CIFSブックマ ークが作成され、その後、ブックマークされたファイル共有へのアクセスを拒否するCIFSアクセス ポリシ ーが作成された場合に発生します。 • 46881: 概要: 装置の再起動後に、CIFSとHTTPブックマークのパスに含まれていた空白文字が消えま す。 背景: CIFSまたはHTTPブックマークのパスに空白文字が含まれている場合に発生します。 • 41861: 概要: SSL-VPN装置がユーザ アカウントを認証しない場合があります。 背景: 階層化されたO U (サブOU) 内にユーザ アカウントが定義されていて、LDAPが認証に使用されている場合に発生しま す。 応急: それぞれのOU (サブOUを含む) に対してドメインを設定します。• 46147: 概要: ログイン メッセージとホームページ メッセージが含まれているポータル レイアウト メッセー ジのエクスポートはされますが、インポートができません。 背景: 設定のエクスポートとインポートを実行し ている際に発生します。 ポータル レイアウトのログインとホームページ メッセージは正常にエクスポートさ れますが、インポートはできません。 • 46830: 概要: ドイツ語レイアウトを使用したPCのキーボード上の特殊記号 (例 ä ö ü Ä Ö Ü ß) が、RD P5 Javaアプレットの使用中に画面に表示されません。 背景: ドイツ語レイアウトを使用したPCのキーボ ードで、RDP5 Javaアプレットを使用した場合に発生します。 • 46076: 概要: OpenSSL に潜在的な脆弱性があります。 背景: SonicWALL SSL-VPN は、OpenS SL プロジェクトのオープンソース ツールキットの一部を使用しています。 最近 OpenSSL は以下の潜 在的な脆弱性の情報を発表しました。RSA署名の偽造 (http://www.openssl.org/news/secadv_20060905.txt)。 サービス拒絶攻撃、 SSL_get_shared_ciphers のバッファ オーバーフロー、SSLv2 クライアントのクラッシュ (http://www.openssl.org/news/secadv_20060928.txt) • 47711: 概要: RDP5 Javaブックマークが、ビスタのターミナル サーバに接続できません。 背景: RDP5 Javaブックマークを用いてビスタのターミナル サーバへ接続を試みた際に発生します。 • 44038: 概要: NetExtenderクライアントで、ログインの一意性が執行されずに、同一のユーザ名とパスワ ードを用いた複数の同時NetExtenderセッションが許可されます。 背景: 複数のNetExtenderセッショ ンが、同じユーザ情報を用いて開始された場合に発生します。 • 45363: 概要: ワンタイム パスワード LDAP電子メール属性または、LDAP属性をもとにしたグループ メ ンバーシップを使用した場合にエラー メッセージが表示されます。 背景: LDAP属性を使用して、いくつ かの属性が無視された場合に発生します。 • 45788: 概要: RDP5 ActiveXブックマークのロードに失敗します。 背景: RDP5 ActiveXブックマーク 内で、引用符が使われている場合に発生します。 • 47953: 概要: ポータル リンクがリンクを追った際に実行されるXSSスクリプトを用いて変更されることがあ ります。 背景: ポータル リンクにXSSスクリプトが埋め込まれている場合に発生します。 • 42353: 概要: 1つのユーザまたはグループに対して12以上のブックマークを追加できません。 背景: ユ ーザまたはグループ レベルでブックマークを追加した場合に発生します。
SonicWALL SSL-VPNソフトウェアのアップデート手順
以下は、既存のSonicWALL SSL-VPNソフトウェア イメージを新しいものにアップデートする手順です。 • 最新のSonicWALL SSL-VPNソフトウェア イメージを入手する • 現在の設定内容のコピーをエクスポートする • その他の重要な情報を保管する • 新しいSonicWALL SSL-VPNソフトウェア イメージをアップロードする • セーフモードを使用してSonicWALL SSL-VPN 200をリセットする最新のSonicWALL SSL-VPNソフトウェア イメージを入手する
1. あなたのSonicWALL SSL-VPN装置用の新しいSonicWALLイメージ ファイルを入手するために、 http://www.mysonicwall.com のあなたのmySonicWALL.com アカウントへ接続してください。 備考 あなたが既にSonicWALL SSL-VPN装置を登録済みで、システム > 設定 ページの「新しいファ ームウェアが利用可能になった時に通知する」を選択している場合、あなたの装置用のアップデートが利用可 能になった時に自動的に通知を受けることができます。 2. 新しいSonicWALL SSL-VPN イメージ ファイルを、あなたの管理ステーション上のディレクトリへコピーして ください。現在の設定内容のコピーをエクスポートする
アップデートのプロセスを始める前に、あなたのSonicWALL SSL-VPN装置に設定された現在の内容のコピー を、ローカル コンピュータ上にエクスポートしてください。 「設定のエクスポート」機能により、SonicWALL SSL-V PN装置上の現在の設定内容のコピーを保存することができます。これにより、以前の特定の設定状態に戻す必 要が生じた場合にも、既存の設定をすべて守ることができます。 現在の設定内容のコピーをエクスポートして、あなたのローカル管理ステーション上にファイルとして保存するには、 以下の手順を実行してください。 1. システム > 設定 ページで、オプションで 「設定ファイルを暗号化する」 を選択できす。これを選択すると、エ クスポートされた設定ファイルは暗号化され、権限のないアクセスから守ることができますが、あなた自身も読 んだり編集したりできなくなります。 この暗号化された設定ファイルはエクスポートした、または他のSSL-VP N装置に復号化してインポートできます。 このチェックボックスを選択しない場合は、エクスポートされた設定 ファイルは平文テキストで保存されます。 既定では、ファイルは暗号化されません。 2. システム > 設定 ページで 「設定のエクスポート」 ボタンを選択し、設定ファイルをあなたのローカル コンピュ ータ上に保存します。 既定の設定ファイル名は、 sslvpnSettings.zip です。 そのファイル名を変更すること もできますが、拡張子は .zip のままにしてください。zip ファイル名に、エクスポートする設定内容がSonicWALL SSL-VPNイメージのどのバージョン上 のものであったかを記述しておいてください。 例えば、あなたがSonicWALL SSL-VPN 1.5.0.0 イメー ジでの設定内容をエクスポートする場合、[ 日付 ] [ バージョン ] [ MAC ] .zip といった形式を使って、ファイ ル名を“041606_SSL-VPN_1.5.0.0-27_000611223344.zip”というように変更します。 ([ MAC ]の部 分にはSonicWALLセキュリティ装置のシリアル番号を記述します。) そうしておくことで、SonicWALL SS L-VPNイメージのそのバージョンへロールバックすることが必要になった時に、正しいファイルを選択してイ ンポートすることができます。
新しいSonicWALL SSL-VPNソフトウェア イメージをアップロードする
備考 SonicWALL SSL-VPN装置では、イメージを以前のバージョンに戻して、新しいイメージ上で保存さ れた設定内容を古いイメージ上で使用することについてサポートしていません。 もしあなたがSonicWALL SSL-VPNイメージの以前のバージョンに戻したい場合には、アップロードされたファームウェア(工場出荷時の設定) - 更新! を選択する必要があります。 そして、そのバージョンで保存された以前の設定ファイルをインポートする か、もしくは手動で再設定を行います。 1. SonicWALL SSL-VPN イメージ ファイルを、www.mysonicwall.comからダウンロードして、あなたのローカ ル コンピュータ上のどこかに保存します。 2. システム > 設定 ページで、 ファームウェアのアップロード を選択します。 参照ボタンにより、保存したSoni cWALL SSL-VPNイメージ ファイルの場所を探して、そのファイルを指定し、アップロード ボタンを選択します。 アップロード プロセスには1分ほどかかる場合があります。 3. アップロードが完了すると、あなたのSonicWALL SSL-VPN装置を新しいSonicWALL SSL-VPNイメー ジで再起動できる状態となります。現在の設定または工場出荷時の設定のいずれかで、再起動できます。 a. 現在の設定を用いて、アップロードしたイメージで再起動する場合には、次の記述の横に並んだ起動アイコ ンを選択します。 アップロードされたファームウェア -更新! b. 工場出荷時の設定を用いて、アップロードしたイメージで再起動する場合には、次の記述の横に並んだ起動 アイコンを選択します。 アップロードされたファームウェア(工場出荷時の設定) -更新! 備考 前項の「現在の設定内容のコピーをエクスポートする」及び「その他の重要な情報を保管する」に記 載されているように、工場出荷時の設定でSonicWALL SSL-VPN装置を再起動する前には、必ず現在の 設定内容があなたのローカルコンピュータ上に保存されていることを確認してください。 4. 「新しいファームウェアでの起動に 4 ~ 6 分かかります。 不揮発性メモリにアップロードしたファームウェアを 書き込んでいる間は、装置の電源を切らないでください。 「OK」を選択すると継続します」という警告メッセー ジのダイアログが表示されます。 OKを選択した後、不揮発性メモリにアップロードしたファームウェアが書き 込まれている間は、装置の電源を切らないでください。 5. SonicWALL SSL-VPN装置上へのイメージのアップロードに成功すると、ログイン画面が表示されます。 アップデートされたイメージの情報は、システム > 設定 ページ上に表示されています。 備考 古いファームウェア バージョンからアップデートする時、ファームウェアのロードを 2 回する必要が あるかもしれません。詳しくは、「修正された問題点」の41242をご参照ください。
セーフモードを使用してSonicWALL SSL-VPN 200をリセットする
SonicWALLセキュリティ装置の管理インターフェースへ接続できない場合、セーフモードでSonicWALLセキュ リティ装置を再起動することができます。 セーフモード機能は、「システム > 設定」 ページと同じ設定が利用可能 な簡素化された管理インターフェースを使用して、不確かな設定状態から素早く復旧することを可能にします。 SonicWALLセキュリティ装置をリセットとするには、以下の手順に従います。 1. SonicWALLセキュリティ装置のLANポートへ管理ステーションを接続し、管理ステーションのIPアドレス を 192.168.200.0/24 サブネットのIPアドレス、例えば192.168.200.20 に設定します。 Note: SonicWALLセキュリティ装置は、セーフモードで最後に設定したIPアドレスにも応答します。 これは、データセンター内など、リモートから復旧したい場合に役に立ちます。 2. 先の尖った細い (まっすぐにしたクリップや爪楊枝のような) 物を使用して、セキュリティ装置背面のリセッ ト ボタンを5 秒から10 秒間押し続けます。 リセット ボタンは、コンソール ポートや電源差込口の脇にある 小さな穴です。 リセット ボタン – SSL-VPN ヒント 電源が立ち上がっている状態で、この方法を使用してリセットできない場合には、リセット ボタ ンを押したまま装置の電源を落とし、再度電源を投入し、Testライトが点滅するまで押し続けます。 セキュリティ装置がセーフモードで再起動された場合には、「Test」 ライトが点滅します。 3. 管理インターフェースへ接続します。 管理ステーションのウェブ ブラウザを使用して、「192.168.200. 1」 へ接続します。 セーフモードの管理インターフェースが表示されます。4. 現在の設定 を使用してセキュリティ装置の再起動します。 「現在のファームウェア」 と同じ行の起動アイコ ン を選択します。 5. SonicWALLセキュリティ装置を再起動後、管理インターフェースに再度アクセスしてみます。 それでも なお管理インターフェースへアクセスできない場合には、リセット ボタンを使用して再度セーフモードで再 起動します。 セーフモードで、工場出荷時の設定を使用したファームウェアで再起動します。 「現在のフ ァームウェア (工場出荷時の設定)」 と同じ行の起動アイコン を選択します。
