SonicOS
SonicOS Enhanced 5.0.0.13 リリースノート
プラットフォームの互換性 ... 1 ご使用の前に... 1 拡張された機能 ... 2 確認されている問題点 ... 3 修正された問題点... 4 日本語版特有の問題点 ... 6 SonicOS Enhancedイメージのアップグレード手順 ... 7 関連技術文書... 10プラットフォームの互換性
SonicOS Enhanced 5.0.0.13 ファームウェアは、下記の SonicWALL ネットワーク セキュリティ装置 (NS A) をサポートします。 • SonicWALL NSA E7500 • SonicWALL NSA E6500 • SonicWALL NSA E5500 • SonicWALL NSA 4500 • SonicWALL NSA 3500 本リリースでは、下記のウェブ ブラウザをサポートしています。 • マイクロソフト インターネット エクスプローラ 6.0以降 • Mozilla Firefox 2.0以降 • ネットスケープ 9.0以降 • Opera ウィンドウズ9.10以降 • Safari MacOS2.0以降ご使用の前に
最新版をご利用ください SonicWALLセキュリティ装置を実運用環境に配備する前に、常に最新のファームウェアにアップグレードするこ とを推奨します。 最新のファームウェアとリリースノートは、 https://www.mysonicwall.com から入手できます。 (https://www.mysonicwall.com の利用には、ユーザ登録が必要です。) ファームウェアのアップロード手順については、本リリースノート後半の、「SonicOS Enhancedイメージのアップ グレード手順」 セクションを参照してください。 ブラウザに強力なSSLとTLS暗号化が必要です SonicWALL内部ウェブ サーバが、HTTPS管理セッションのネゴシエート時にSSLバージョン3.0と強力な暗 号化 (128ビット以上) のTLSだけをサポートするようになりました。 SSL3.0より前のバージョンと弱い暗号化 (1 28ビットより小さい共通鍵暗号化) はサポートされません。 この強化されたレベルのHTTPSセキュリティにより、 潜在的なSSLv2のロールバック脆弱性が保護されるとともに、決済用カード業界 (PCI) やその他のセキュリティ 及びリスク マネジメントの標準規約に準拠することができます。ヒント Mozilla Firefox 2.0及びマイクロソフト Internet Explorer 7.0の標準設定では、SSL3.0とTLSが有 効、SSL2.0は無効と設定されています。 SonicWALLでは、これらの新しいウェブ ブラウザのバージョンを使用 するよう推奨します。 もしこれ以前のバージョンでこれらのブラウザを使用している場合は、SSL3.0とTLSを有効、 SSL2.0を無効に設定したほうが良いでしょう。Internet Explorerの場合は、「ツール > インターネット オプショ ン」 のダイアログで 「詳細設定」 タブを選択し、設定メニューをセキュリティの項までスクロールしてください。Firef oxの場合は、「ツール > オプション」のダイアログで 「詳細」 タブを選択し、さらに「暗号化」 タブを選択します。
拡張された機能
このセクションでは、SonicOS Enhanced 5.0.0.13 リリースで拡張された機能を説明します。 • セキュリティと性能の向上 - 今回のSonicOSファームウェア リリースでは、大幅な性能の向上と、Sonic WALL特許の次世代セキュリティ エンジン “Reassembly Free Deep Packet Inspection” (RF-D PI) により実現される、強化されたセキュリティが提供されます。 この第8世代 RF-DPI セキュリティ エ ンジンは、SonicWALLのアプリケーション ファイアウォール技術のコンポーネントおよびに、動的詳細コ ンテンツ知能とリアルタイム動的脅威分析を含む、その他の重要な技術的拡張を特徴付けます。 それに 加え、「セキュリティ サービス > 概要」 ページに、新しく構成可能な設定項目が追加されました。 o 最高度セキュリティ (推奨) SonicGRID脅威の危険度すべて (高/中/低) を用いてすべて のコンテンツを走査します。 補足 この最高度セキュリティ設定を用いた際に、更なる性能を得るためには、SonicOS UT M クラスタリングを利用してください。 o 最適化 SonicGRID脅威の高と中の危険度を用いてすべてのコンテンツを走査します。 補足 帯域幅/CPU負荷が集中するゲートウェイの配備に対しては、この最適化セキュリティ 設定を考慮するか、SonicOS UTM クラスタリングを利用してください。 “最高度セキュリティ” 設定は、最大限の保護を提供します。 “最適化” 設定は、SonicWALL GRIDネッ トワーク内の現存する既知の脅威情報を利用して、脅威領域において活動中の脅威に対する高い保護を 提供します。 SonicWALLは、最大限利用可能な動的脅威対策を配布するために、動的更新を装置に 直接提供します。 • SonicWALL UTM クラスタリング配備シナリオ - UTMクラスタリングは、2台の装置両方を介してトラ フィックを通過させるための1連の設定がされた2台のSonicWALL NSA装置シリーズから構成されます。 1台目の装置はNATモードで設定され、GAVと着信アンチスパイウェアを引き受けます。 2台目の装置 はL2ブリッジとして設定され、IPSと発信アンチスパイウェアを実行します。 このように、2台のUTM装置 間でセキュリティ サービスを分担することで性能の向上が可能になります。装置は以下の内容で設定します。 o SonicWALL装置1 IPS:グローバル有効 GAV:グローバル無効 アンチスパイウェア:グローバル有効、送信スパイウェア通信検査有効、HTTP/POP 3/SMTP/FTP/IMAP すべて無効 o SonicWALL装置2 IPS:グローバル無効 GAV:グローバル有効 (すべてのプロトコルを個別に有効にすることも、既定のプロトコ ルだけ有効にすることも可能) アンチスパイウェア:グローバル有効、送信スパイウェア通信検査無効、HTTP/POP 3/SMTP/FTP/IMAP の一部またはすべて有効
確認されている問題点
以下は、SonicOS Enhanced 5.0.0.13で確認されている問題点です。ワイヤレス
• 65692: 概要: クライアント アンチウィルス執行が、AV要件に合致しないクライアントをリダイレクトせずに 遮断します。 背景: クライアントがWLANゾーンに存在し、AV要件に合致しない場合に発生します。 本 来このようなクライアントは、AV執行に従うようにするために、アンチウィルス ソフトウェアのアップデートに 誘導される必要があります。ネットワーク
• 51791: 概要: VLAN副インターフェースをWANインターフェースに割り当てられません。 背景: Sonic OS Enhancedの現在のバージョンで発生します。 • 66124: 概要: ユーザが作成したLANからWANへのアクセス ルールが変更できないことがあります。 背 景: 主格インターフェースがまだ割り当てられていないときに、副格インターフェース上にWAN接続を設 定した場合に発生します。 • 66100: 概要: DHCPクライアントが、VPNトンネルを介した使用可能なDHCPサーバからではなく、ロー カルのDHCPサーバからリースを取得します。 背景: VPNポリシーにより、クライアントがVPNトンネルを 介してIPアドレスを取得するように設定されているが、クライアントのローカル ネットワーク上にもDHCPサ ーバが存在する場合に発生します。 • 65335: 概要: ウィルス走査中に、FTPクライアントがタイムアウトを起こすことがあります。 背景: 転送中の ファイルがウィルスを含んでいる場合に発生します。 そのファイルはセキュリティ サービスにより遮断され ますが、FTP接続はLAN側でリセットされません。 その結果、LAN側では接続がタイムアウトするまでそ のファイルを待ち続けてしまいます。 • 65299: 概要: 「認証されていない VPN クライアントのアクセス許可」 を用いた既定の 「GroupVPN」 ポ リシーが、予期せず削除されます。 背景: 「GroupVPN」 ポリシーにより作成された、VLAN親サブネット が削除された場合に発生し、ポリシーは他のどのサブネットも使いません。 応急: 装置を再起動します。 削除された「GroupVPN」 ポリシーは、再起動後に復元されます。高可用性/ステートフル高可用性
• 67372: 概要: 高可用性 (HA) ペア間のWAN負荷分散 (WLB) トラフィック フローを制御するNATポ リシーが、フェイルオーバー後に失敗します。 背景: WLBが有効な状況で、主格装置にフェイルバックし た後に発生します。 応急: WLBサービスを一旦無効にして再度有効にすることで復旧させます。 • 67296: 概要: 主格装置がHAフェイルオーバーの際にクライアントのDHCPリースを失うことがあります。 背景: 優先モードが有効なステートフルHAを使用している場合に発生します。 副格装置はクライアント のDHCPリースを正しく引き継ぎますが、主格装置が制御を取り戻すと、リースがなくなります。 • 64821: 概要: 高可用性フェイルオーバー中に、予備装置へ行った変更が主格装置に転送されません。 Sync‐Prefs コマンドが失敗します。 背景: CLIを介して副格装置に変更が行われた場合に発生します。 応急: GUIを介してすべての変更を行います。 理想的には、設定の変更に副格装置を用いずに、主格 装置がオンラインに戻るまで待ちます。 • 53215: 概要: HAペアで、主格装置の前面LCDから変更を加えた場合に、副格装置に変更が同期され ません。 背景: ウェブ管理インターフェースからではなく、主格装置のLCDからDNSサーバのIPアドレス などの設定を変更した場合に発生します。 • 52413: 概要: 装置が、監視インターフェースIPへのPingに、実MACアドレスではなく、仮想MACアドレ スを用いて応答します。 背景: 装置が高可用性ペアの1台である場合に発生します。システム
• 68027: 概要: セーフモードからの工場出荷時の設定を使った起動後に、装置が応答しなくなる場合があ ります。 背景: 装置をセーフモードで起動して、セーフモード画面からファームウェア バージョン 5.0.2. 0-17o を工場出荷時の設定で起動して、その後一度も再起動していない場合に発生し、ウィザード完了 や設定変更により、装置が応答しなくなります。 応急: ウィザードや設定の変更を実行する前に、管理イ ンターフェースから装置を再起動し、再起動後に設定を開始します。 もしもこの手順を行わずに装置が応 答しなくなった場合は、電源のOff/Onで再起動することにより問題は発生しなくなります。 • 67104: 概要: ファイアウォールがGMSサーバに対して不正確な間隔でハートビート メッセージを送信す ることがあり、これにより装置の問題が誤検出され警告が発生することがあります。 背景: トラフィックの多 い環境で発生する場合があります。 • 66828: 概要: 管理者のローカル コンピュータ上でYahooメッセンジャーとMSNが自動的にログオフされ ます。 背景: 管理者がSonicWALL管理インターフェースからログアウトした際に発生します。 この問題 は、管理者が無動作により自動的にログアウトされた場合も同様に発生します。 • 64833: 概要: SonicWALL NSAを工場出荷時の設定に戻しても、管理者パスワードが既定の状態にリ セットされません。 背景: 装置のフロント ベゼルのLCDインターフェースを用いて装置を工場出荷時の状 態に戻した場合に発生します。 • 53636: 概要: TSRのダウンロード中に、動的更新の接続に失敗したというステータスが表示されます。 背景: 診断ツールが 「マルチ コア モニタ」 に設定されている状況で、TSRのダウンロードを試行した場 合に発生します。 応急: TSRをダウンロードする前に、診断ツールで既定の 「マルチ コア モニタ」 以外 のツールを選択しておきます。 • 52286: 概要: Blind Transfer SIP 呼び出し要求が完了できません。 背景: 電話機が、SonicWALL NSA背後のLANまたはDMZ内にあるSIP プロキシ サーバに登録されている場合に発生します。修正された問題点
以下は、SonicOS Enhanced 5.0.0.13で修正された問題点です。VPN
• 66261: 概要: SonicWALLセキュリティ装置に対してHTTPまたはHTTPS管理アクセスを持つように設 定されたGVCユーザが、装置にアクセスできません。 背景: LDAP認証を用いていて、LDAPユーザ タ ブでLDAPユーザ名の複製オプションが有効になっていることにより、ユーザ グループのメンバーシップ がローカルで設定可能な場合に、GVCユーザに対して発生します。 • 64545: 概要: GVCがパスワードの期限が切れてもパスワードの変更を促しません。 期限切れになると、 そのユーザはログインできなくなります。 背景: ユーザのパスワードの期限が切れた際に発生します。ネットワーク
• 66562: 概要: 大きなPingパケットがサイト間VPNまたはGVCトンネルを介して、ホストに対してまたは異 なるLANに対して送信された際に、装置が再起動されることがあります。 背景: WANインターフェースI Pの割り当て設定がPPPoEで、Pingパケットが断片化要件に合致する大きさの場合に発生します。 • 66457: 概要: WANインターフェース上のFTPを用いてファイルのアップロード/ダウンロードができま せん。 背景: WANインターフェースのIP割り当て設定がPPPoE、PPTP、L2TPの場合に、SonicWA LL背後のLANから、WAN側のFTPサーバにFTPを使った場合に発生します。 FTPサーバでの認証 には成功しますが、受信接続に対するFTPデータ チャネルが失敗します。 • 53004: 概要: HAペアの主格装置のプリファレンスを更新した後に、副格装置がそのプリファレンスを主 格装置から同期しません。 主格装置のファームウェアの更新後に、副格装置が自動的に新しいファーム ウェアをロードしません。 背景: プリファレンスの問題として、これは新しいファームウェアとプリファレンス が主格装置にロードされる間に副格装置の電源が切れていて、その後副格装置の電源を入れた場合に 発生します。 副格装置は 「高可用性>詳細」 ページで 「設定の同期」 を選択しても、プリファレンスをロ ードしません。 ファームウェアの更新の問題としては、これは主格装置のユーザ インターフェースの 「シ ステム>設定」 ページからファームウェアのアップロードを用いてファームウェアをロードする間に、副格 装置の電源が入った状態の場合に発生します。 ファームウェアは、「高可用性>詳細」 ページの 「同期 ファームウェア」 を選択した場合にのみ、副格装置に同期されます。ユーザ
• 65664: 概要: 特定の状況下で、ユーザの認証中にSonicWALLが再起動する場合があります。 背景: LDAPとシングルサインオンが有効になっていて、LANからWANに対するユーザ レベルの認証ルール が設定されている状況で、ユーザがウィンドウズ サーバ2003が動作するドメインに参加していないコンピ ュータから、SonicWALLを通してウェブ サイトへのアクセスを試行した際に発生します。 • 65627: 概要: LDAPグループ メンバーのテストに長い時間がかかり、UIにアクセスできなくなったり、装 置が停止したりする可能性があります。 背景: LDAPサーバが大量 (30以上) の無効なIPアドレスに対 して紹介を試行した際に発生します。 • 64943: 概要: 管理者がLDAPを設定している間にSonicWALLセキュリティ装置が停止することがあり ます。 背景: LDAP設定を適用して、主格ドメイン フィールドが空白のままになっている場合に発生しま す。 • 64253: 概要: ドメインの無いユーザからのHTTPトラフィックは遮断され、インターネットに達することがで きません。 背景: CFSとシングル サインオンが両方とも実行中の場合に発生します。ファームウェア
• 65257: 概要: コマンドライン インターフェース上で、show VPN policyコマンドを実行すると、SonicW ALLセキュリティ装置が停止することがあります。 背景: 装置に多量 (800以上) のVPNトンネルがある 場合に発生します。• 65092: 概要: GVCユーザがパスワードの変更を促されて、5分以上変更しなかった場合に、SonicWA LLセキュリティ装置が再起動します。 背景: ローカルまたはRADIUS認証が設定されたSonicWALL NSA上で発生します。 • 64616: 概要: 特定の状況下でSonicWALLが再起動または停止して、電源の再投入で復旧させる必要 が発生する場合があります。 背景: 異なるログイン種別 (ウェブ、VPNクライアント、SSO) が同時に試行 された場合に発生します。 • 64778: 概要: TSRファイルが部分的にダウンロードされ、完全ではない状態になってしまう場合がありま す。 背景: 管理者がインテーネット ブラウザを用いてHTTPSを介してログインしている間に、TSRをダウ ンロードした場合に発生します。 応急: TSRをダウンロードする前に、HTTPSではなくHTTPでログイン します。
日本語版特有の問題点
以下は、SonicOS Enhanced 5.0.0.13で確認されている日本語版特有の問題点です。 • 53439: 概要: LDAPサーバからのユーザ グループのインポートに失敗します。 背景: LDAP設定ウィン ドウで、「ユーザ グループのインポート」 を選択し、ユーザ グループの一覧からグループを選んで保存す る際に発生します。 • 概要: ローカル ユーザがGVC接続を試行する際に、パスワード変更画面が文字化けすることがあります。 背景: “ユーザはパスワードを変更する必要があります”が設定されたローカル ユーザが日本語版GVC を使用して接続を試行した際に発生します。 この問題は、今後の日本語版GVCリリースで修正される予 定です。 応急: この問題が修正された日本語版GVCのリリースまでは、英語版のGVCをご利用ください。 • 概要: 本リリースのファームウェアは、工場出荷時の設定で起動してから一度も英語表示の管理画面に切 替えていない5.0.0.x ファームウェアからのみ、設定を引き継いだアップグレード、およびエクスポート した設定ファイルのインポートに対応しています。 それ以外の状況での設定の引き継ぎとインポートには まだ対応していません。 背景: 今後のパッチ リリースで対応する予定です。 • 概要: LDAPの設定において、「ドメイン検索の継続参照を許可する」 を無効にできません。 背景: 「ユ ーザ > 設定」 ページの 「ログインの認証方法」 から ”LDAP” を選択して、「設定」 ボタンにより表示され る 「LDAP設定」 画面の 「紹介」 タブで、「ドメイン検索の継続参照を許可する」 を非選択にして設定を 適用しても、再度この画面を表示した際にこのオプションが選択された状態になっています。 • 概要: 同じ役割を持つオブジェクトが、日本語と英語で重複して存在することがあります。 背景: GUI言 語を日本語と英語の間で切り替えた場合に発生します。 例えば、「ネットワーク > アドレス オブジェクト」 ページに ”WANリモート アクセス(日本語)” と ”WAN RemoteAccess Networks(英語)” が同時に存 在してしまいます。 • 概要: 管理画面やメッセージに、英語で表示される箇所があります。SonicOS Enhancedイメージのアップグレード手順
以下の手順は、既存のSonicOS Enhancedイメージを新しいバージョンへアップグレードする方法について説明 しています。 最新版SonicOS Enhancedイメージの取得 ... 7 設定情報のバックアップ コピーの保存 ... 7 SonicOS Enhanced 4.0 からSonicOS Enhanced 5.0 への設定のインポート... 7 現在の設定を使用したSonicOS Enhancedイメージのアップグレード ... 8 工場出荷時の設定を使用したSonicOS Enhancedイメージのアップグレード ... 8 セーフモードを使用したファームウェアのアップグレード... 9最新版SonicOS
Enhancedイメージの取得
1. mySonicWALLアカウントを用いて http://www.mysonicwall.com に接続します。 2. 新しいSonicOS Enhancedイメージ ファイルを管理ステーションへコピーします。 LANインタフェースまたはWANインターフェースへの管理アクセスを設定している場合、SonicWALLセキュリテ ィ装置上のSonicOS Enhancedイメージをリモートで更新することができます。設定情報のバックアップ
コピーの保存
アップグレード処理を開始する前に、SonicWALLセキュリティ装置の設定情報のシステム バックアップを作成し ます。 バックアップ機能は、SonicWALLセキュリティ装置上の現在の設定情報のコピーを保存し、以前の設定状 態へ戻るために必要となるすべての既存の設定情報を保護します。 SonicWALLセキュリティ装置の現在の設定状態を保存するためにバックアップ機能を使用することに加えて、設 定情報ファイルを管理ステーションのローカル ハードディスクへエクスポートすることができます。 このファイルは、 設定情報の外部バックアップとして利用でき、SonicWALLセキュリティ装置へインポートすることができます。 設定情報のバックアップの保存、および、ファイルを管理ステーションへエクスポートするには、以下の手順に従い ます。 1. 「システム > 設定」 ページの 「バックアップの作成」 ボタンを選択します。 システム バックアップ エントリ が 「ファームウェアの管理」 テーブルに表示されます。 2. 設定情報ファイルをローカル マシンに保存するには、「設定のエクスポート」 ボタンを選択します。 ポップ アップ ウィンドウに、セーブされたファイル名が表示されます。SonicOS
Enhanced
4.0
からSonicOS
Enhanced
5.0
への設定のインポート
SonicOS Enhanced 4.0 以降で動作している SonicWALL PRO装置のほとんどの機種から、SonicOS En hanced 5.0 で動作している SonicWALL NSA装置に設定をインポートできます。 以下の機種からのインポー トがサポートされます。 • SonicWALL PRO 2040 • SonicWALL PRO 3060 • SonicWALL PRO 4060 • SonicWALL PRO 4100 • SonicWALL PRO 5060 備考 SonicOS Standard で動作している装置からの設定のインポートはサポートされません。SonicOS Enhanced 4.0 以降で動作している装置から設定をインポートするには、以下の手順に従います。 1. 対象の (設定をインポートする) SonicWALLセキュリティ装置が正しく登録され、ライセンスされているか を確認します。 2. 既存の (設定をエクスポートする) 装置で高可用性 (HA) が有効の場合は、HAを無効にします。 3. 既存の装置がSonicWALL PRO 4100の場合は、「ネットワーク > インターフェース」 画面に移動して、 次のインターフェースのゾーンを “未定義” に設定します。 o システムがSonicWALL NSA E7500、E6500、E5500の場合は、X8 と X9。 o システムがSonicWALL NSA 4500、3500の場合は、X6、X7、X8 と X9。 これは、SonicWALL PRO 4100装置が10インターフェース持つのに対して、NSA E-Class装置が 8インターフェース、NSA 4500/3500装置が6インターフェースしか持たないために必要な手順です。 影響のあるインターフェースに関連する設定は、アップグレード後に維持されません。 4. 既存の装置から、設定ファイルをエクスポートします。 5. 対象の装置に、設定ファイルをインポートします。 6. もし既存の環境でHAが有効だった場合は、以下を実行します。 • 新しいHAペアの指定のHAポート間をケーブルで接続します。 • 管理インターフェースで、HAを有効にして、予備SonicWALLの 「シリアル番号」 フィールドに新しい 予備装置のシリアル番号を入力します。 SonicOS Enhanced 4.0 以前のバージョンで動作するSonicWALL装置から設定をインポートする場合には、 SonicWALL Customer Support Technical Assistance Center (TAC) に連絡してください。 SonicWAL L TACは、設定ファイルをSonicWALL Enhanced 4.0 バージョンに変換する支援を行います。
現在の設定を使用したSonicOS
Enhancedイメージのアップグレード
SonicWALL装置に新しいファームウェアをアップロードして、現在の設定を使用して起動するには、以下の手順 に従います。 1. mySonicWALLよりSonicOS Enhancedイメージ ファイルをダウンロードし、ローカル コンピュータ上 に保存します。 2. 「システム > 設定」 ページより、「ファームウェアのアップロード」 を選択します。 3. ローカルに保存しておいたSonicOS Enhancedイメージ ファイルを選択し、「アップロード」 ボタンを選 択します。 4. 「システム > 設定」 ページから、「アップロード されたファームウェア」 エントリの起動アイコンを選択しま す。 5. 確認のダイアログ ボックスが表示されます。 「OK」 を選択して継続します。 SonicWALLは再起動して ログイン画面が表示されます。 6. ユーザ名とパスワードを入力します。 新しいSonicOS Enhancedイメージのバージョンは、「システム > 設定」 ページで確認できます。工場出荷時の設定を使用したSonicOS
Enhancedイメージのアップグレード
1. mySonicWALLよりSonicOS Enhancedイメージ ファイルをダウンロードし、ローカル コンピュータ上 に保存します。 2. 「システム > 設定」 ページより 「バックアップの作成」 を選択します。 3. 「ファームウェアのアップロード」 を選択します。4. ローカルに保存しておいたSonicOS Enhancedイメージ ファイルを選択し、「アップロード」 ボタンを選 択します。 5. 「システム > 設定」 ページから、「アップロード されたファームウェア (工場出荷時の設定) 」 エントリの 起動アイコンを選択します。 6. 確認のダイアログ ボックスが表示されます。 「OK」 を選択して継続します。 SonicWALLは再起動して ログイン画面が表示されます。 7. 既定のユーザ名とパスワード (admin/password) を入力して、SonicWALL管理インターフェースに アクセスします。
