SonicOS
Standard 3.1.0.7 リリースノート
資料提供元
SonicWALL,Inc.
ソフトウェア リリース 2005年8月11日概要
プラットフォームの互換性 注目の機能 拡張された機能 確認されている問題点 修正された問題点 関連技術文書プラットフォームの互換性
SonicOS Standard 3.1.0.7 は、SonicWALL TZ 50をサポートしています。注目の機能
SonicOS
Standard 3.1 注目の機能
• アンチスパイウェア - ActiveXベース コンポーネントのインストール (最も一般的なスパイウェアの配布 方式) の着信接続を分析します。 また、ゲートウェイを経由して着信したセットアップ実行可能ファイルと キャビネット ファイルを調査し、LANへ流れているスパイウェア セットアップ ファイルの接続をリセットしま す。 SonicWALLアンチスパイウェアを有効化する前に、LANワークステーションにスパイウェアがインス トールされてしまった場合、サービスは、スパイウェアに感染したクライアントで生成された発信トラフィック を調査し、これらの接続をリセットします。 SonicWALLアンチスパイウェア サービスは、以下の保護を提 供します。 ° 自動的にインストールされたActiveXコンポーネントを介したスパイウェアの配布を遮断します。 悪意のあるスパイウェア プログラムの最も一般的な伝達方法です。 ° ネットワークを経由して伝染するスパイウェアの脅威を走査およびログに記録します。 また、新し いスパイウェアを検出または遮断した場合、管理者に警告を送信します。 ° バックグラウンドでインターネット上のサーバと通信する、既存のスパイウェア プログラムを停止し ます。 機密情報の漏洩を防止します。 ° 管理者によるスパイウェア プログラムのインストール許可または禁止を選択可能にすることにより、 ネットワークに連結されたアプリケーションのきめ細かな制御を提供します。 ° SMTP、IMAP、ウェブ メールを経由して送信された感染している電子メールを走査し、そして 遮断することにより、電子メールに添付されたスパイウェアの脅威を防ぎます。 ° ホストから既存のスパイウェア アプリケーションを削除するような、別のアンチスパイウェア プログ ラムとも一緒に動作することができます。拡張された機能
• 新しいSonicOSの設定 “Tivo Services” サービス グループを追加しました。 サービス グループに含ま れるサービスは、 TCP 2190の“Tivo TCP Beacon”,UDP 2190の“Tivo UDP Beacon”,TCP 8080 から8089の“Tivo TCP Data”,TCP 8101から8102と、8200の“Tivo TCP Desktop” です。確認されている問題点
ネットワーク
• 37449: 概要: WPAは、WEP設定の後に有効にした場合、動作しません。 背景: 認証タイプをWEPか らWPAに変更した後、ワイヤレス クライアントは、SonicWALLセキュリティ装置に参加できなくなります。 応急: 工場出荷時の設定から直接WPAを設定してください。 • 34022: 概要: WAN側からSonicWALLセキュリティ装置を管理する場合、HTTPSでしか管理できませ ん。 背景: WANからのHTTP管理を許可するネットワーク アクセス ルールを設定できますが、管理者は、 SonicWALLセキュリティ装置へログインできません。セキュリティ
サービス
• 34617: 概要: マイクロソフト アウトルック エクスプレスのIMAP実装のみサポートしています。 背景: 「セ キュリティ サービス > ゲートウェイ アンチウィルス」 上のIMAP (Internet Message Access Protoco l) 走査オプションを選択した場合にこの問題は発生します。 • 34503: 概要: ゲートウェイ アンチウィルスが、VPNトンネルを経由して転送されたウィルスの検出に失敗 します。 背景: ゲートウェイ アンチウィルスを有効にしたSonicOS Standard 3.0が動作している場合に 発生します。 既定では、ゲートウェイ アンチウィルスは、VPNトンネルを経由したウィルスを検出しません。 応急: NATとファイアウォール ルールを有効にします。 • 34460: 概要: 侵入防御サービスが、IM、P2P、マルチメディア トラフィックを低危険度の攻撃として分類 します。 背景: すべての低危険度の攻撃を防御する設定にした場合、インスタント メッセンジャー (IM) プロトコルや、アップル iChatなどの、「正しい」 タイプのトラフィックが遮断されます。 これは、仕様です。 応急: これらの 「正しい」 トラフィック タイプの検出と防御を停止するには、IM、P2P、マルチメディア種別 の検出、防御、または両方を無効にします。 • 35597: 概要: 電子メール フィルタは、添付されたスマート タグを含むマイクロソフト オフィス 2003ファイ ルを取り違えて処理してしまいます。 背景: スマート タグを含むマイクロソフト オフィス 2003の出力ファイ ル (.ppt、.doc、.xls) は、.comファイル タイプの添付ファイルとして処理されます。 .comファイル タ イプ フィルタを有効にしている場合、マイクロソフト オフィス 2003ファイルが遮断されます。 応急: 「セキ ュリティ サービス > 電子メール フィルタ」 ページで、.comファイル タイプ フィルタを無効にします。ユーザ
• 34310: 概要: ルール内で設定した規約の承諾をバイパスすることのできるURLは、ウェブ プロキシ サー バを利用している場合に動作しません。 背景: ルール内で設定した規約の承諾をバイパスすることのできるURLは、既定のHTTPポート番号80へのトラフィックでのみ動作します。 応急: SonicWALLセキュリ ティ装置で、外部プロキシ サーバを利用する設定と、規約の承諾を執行し、ネットワーク アクセス ルール 内で、この規約の承諾をバイパスするいくつかのURLを設定した場合、プロキシ サーバを既定のポート 番号80で設定する必要があります。 • 35458: 概要: ユーザ ログイン状況ウィンドウが、無動作時タイムアウトの残り時間について、不正な警告 メッセージを表示します。 背景: 「ユーザ > 設定」 ページの 「無動作時タイムアウト」 に大きな値を設定 すると、「ユーザ > 状況」 ページの 「現在のユーザ」 テーブルに表示される 「残り無動作時間」 の表示 が、常に0 (ゼロ)になる場合があります。
VPN
• 36185: 概要: SonicWALLセキュリティ装置は、静的ルートをGVCへ提供しません。 背景: シングル ア ーム モード配備: SonicWALLセキュリティ装置を、エッジ ルーティング装置やアグリゲーション スイッチ から下流に配備することを可能にします。 • 35100: 概要: セントラル ゲートウェイのLANから管理を試みた場合、リモート ゲートウェイは、ログ メッセ ージに、「Incompatible IPSec Security Association (互換性のないIPSec セキュリティ アソシエー ション (SA))」 を記録します。 背景: リモート ゲートウェイのログ メッセージには、セントラル ゲートウェイ のLAN上のホストの送信元IPアドレスと送信先 (リレーIPアドレス) が含まれます。 • 34987: 概要: ホスト名を使用して他のSonicWALLセキュリティ装置とVPNトンネルを確立中に、動的D NSを使用して動的IPクライアント用のDYNレコードを更新した場合、VPNコネクションは切断され、再確 立できなくなります。 背景: 動的IPから静的IPへVPNを介してすべてのトラフィックを通した場合に、この 問題は発生します。 • 34465: 概要: 静的デバイスがリモート サイトへトラフィックを送信した際に、セントラル ゲートウェイは、ロ グ メッセージ 「IPSec packet from or to an illegal host (不正なホストから、または、不正なホストへ のIPSecパケット)」 を記録します。 背景: リレーIPテーブルがリモート ゲートウェイに送られた際に、メッ セージが表示されます。修正された問題点
システム/GUI
• 36451: 概要: SonicOS管理ログインのユーザ名フィールドに入力した、スクリプトまたはHTMLの記述 が、「ログ > 表示」 ページに表示されます。 背景: SonicOS管理ログインページのユーザ名フィールド にスクリプトまたはHTMLの記述を入力した場合に発生し、アクセスは拒否されます。 その後、正しく管 理者としてログインして、「ログ > 表示」 ページを確認すると、スクリプトやHTMLの記述が表示されます。 • 35799: 概要: 規約承諾画面の内容が、正しく保存されず、間違って表示されます。 背景: テキストを入 力し、保存し、再び訪問してテキストを表示した後に発生します (テキストが切り詰められて現れます)。 • 35225: 概要: HTMLのタグで使用される括弧 (<>) や、二重引用符 (”) のような特殊文字をIKE事 前共有鍵のフィールドで使用した場合に問題が発生します。 背景: この問題は、HTMLに関連する特殊 文字列でのみ発生します。 二重引用符以降の文字列は消去されます。 二重引用符の後にHTMLの閉 じ括弧 (>) が出現した場合、閉じ括弧以降のコンテンツは、フォーム コンテナ上で加工されていないH TMLコードとして表示されます。ネットワーク
• 34539: 概要: 動的DNSレコードは、IPアドレスが変更された際に、変更の乱用を防ぐために動的DNS プロバイダのみによって更新されます。 背景: ファイアウォール上で予備MXフィールドを変更しても、レ コードの更新が強制されません。 • 34467: 概要: 動的DNS更新を伝達するために数分かかる場合があります。 背景: 動的DNSのオフライ ン設定で、「IPアドレスを手動で指定する」 オプションを選択した場合にこの問題が発生します。 • 36503: 概要: PPTPクライアントは、SonicWALLセキュリティ装置の背後に位置するLANインターフェ ース上のPPTPサーバへの接続を確立できません。 背景: これは、SonicWALLがトラスペアレント モー ドで設定されている場合にのみ発生する問題です。 • 36318: 概要: 正しいPPPoE終了シグナルが、SonicWALLセキュリティ装置のPPPoEアクティブ検出 回復の遅延 (20秒以下) の原因となります。 背景: サービス プロバイダが送信したPPPoE終了シグナ ルを定期的に受信しているSonicWALLセキュリティ装置上で発生します。 • 36059: 概要: ネットワーク無動作タイマーがオラクル サーバで正しく動作しません。 背景: SonicWALL セキュリティ装置は、アクセス ルールで指定した時間とは異なる無動作時間でTCP接続をリセットします。 • 32289: サーバがデータを送付するより前に、クライアントがデータを送付した場合の処理の問題を修正し ました。 以前は、クライアントがTCPポート21に接続し、最初データを送付した場合、SonicWALLセキ ュリティ装置は、すべてのクライアント データを遮断していました。 さらに、SonicWALLセキュリティ装置 は、「Out-of-order command packet dropped」 ログ イベント メッセージを記録し、FTPサービス デ ータを破棄していました。 • 32627: CFSをLAN上で執行してる場合に、TCP接続が中断される問題を修正しました。 以前は、ユー ザがSonicOS管理インターフェースからログアウトした際に、進行中のFTPやHTTPダウンロードが停止 しました。 • 33808: ユーザ レベル認証を有効にしている場合、ユーザ名/パスワードを60秒以内に入力する必要 があります。 60秒後にログイン認証画面はタイムアウトします。 • 35400: 概要: SonicWALLセキュリティ装置上のFTPスループット性能が低い。 背景: SonicWALLセ キュリティ装置が、イーサネット リンク速度と通信モード (全二重か半二重) を間違ってネゴシエーションし てしまう場合があります。 • 35220: 概要: PPPoEを使用するISPを利用している場合、SonicWALLセキュリティ装置の背後に位置 するメール サーバに電子メールが配信されません。 背景: 不正なTCP MSSがSMTPセッションで使用 されています。 • 35754: 概要: 無動作タイマーを有効にしている場合、LANからWANへのトラフィックがあるにも関わら ず、PPPoEクライアントが切断されます。 背景: PPPoEの 「PPPoE」 タブで 「無動作時に切断」 を有効 にした場合、「トラフィック タイムアウトのためPPPoEを切断してます。」 メッセージが表示され、LANから WANへのトラフィックが停止させられます。 • 35727: 概要: DHCPクライアントが同じIDのDHCP要求を複数送信した場合に、SonicWALLセキュリ ティ装置は動作を中断します。 背景: SonicWALL DHCPサーバが配布する予定の最初のIPアドレス が、ネットワーク上の静的IPで設定されたホストにより既に使用されていた場合、SonicWALLセキュリテ ィ装置が新しいIPアドレスを返答するまで、DHCPクライアントは、IDを増加させずに以前と同じIDを使 用して、2回目のDHCP要求を送信します。 この場合、SonicWALLセキュリティ装置は動作を中断して しまいます。 • 33081: 概要: PPPoEネゴシエーションが、ISPとの接続に成功するまでにかかる時間が、不定期間遅延 します。 背景: PPPoEが、最終的にサーバからの応答を受信するまで、サーバ応答のないネゴシエーシ ョンの試行を続けます。• 35759: 概要: WLANインターフェース上のDHCPクライアントが、不定期間経過後に、IPリースの更新 に失敗します。 背景: SonicWALLセキュリティ装置はDHCP要求への返答を止めます。 SonicWALL セキュリティ装置の電源の再投入により、一時的に問題を回避できます。
ファイアウォール
• 30085: 「ファイアウォール > 詳細設定」 コンソール ディスプレイ ページで、「発信/着信FTPデータ コ ネクションで既定の20番ポートの使用を強制する」 オプションが利用可能になりました。ログ
• 36051: 概要: 「ログ > レポート」 ページの、データ収集機能が有効な場合、SonicWALLセキュリティ 装置が不定期に動作を中止することがあります。 背景: SonicWALL管理インターフェースの 「ログ > レポート」 ページの、データ収集機能が有効な場合、LAN上のホストにより参照された多種のサイトのデ ータを収集している間に、SonicWALLセキュリティ装置は、不定期に動作を中止することがあります。 • 35330: 概要: ログが、ローカル時間ではなく、UTC (協定世界時) で表示されます。 背景: 「システム > 時間」 ページで、「ログに UTC (協定世界時) を使用する」 を選択していなくても、ログが、UTC (協 定世界時) で表示されます。 • 34605: 概要: 「Unknown protocol dropped」 ログ メッセージを制御できません。 背景: SonicOS St andardでは、ログ エントリが種別分けされていません。 • 34762: 概要: ログの設定に関係なく、破棄されたすべてのトラフィックがログに記録されます。 背景: アク セス ルールにより破棄されるよう設定されたトラフィックが破棄された際に、「Packet dropped (パケット 破棄)」 メッセージがログに記録されますが、「ファイウォール > サービス」 で 「ログを取得する」 を無効 にした際にもログに記録されます。VPN
• 36585: 概要: ESP Nullを使用した手動キーSAは、追加できず、以前のファームウェア バージョンから のアップグレードで削除されます。 背景: アップグレードの間に、「なし」 以外の何かを指定した手動キー VPNの 「フェーズ2 認証方式」 がある場合、SAは、アップグレード後に削除されます。 • 32863: シングル アーム モードで設定されたSonicWALLセキュリティ装置が、IPSecネゴシエーション 中に、ネットワーク マスクの代わりホスト マスクを使用していた問題を解決しました。 • 32925: 概要: SonicWALLセキュリティ装置が、HTTPSを介してSonicWALL GMSに管理されてい る間、主格から副格IPSecゲートウェイへのフェイルオーバーが動作しません。 背景: GMS管理を無効 にすると、SonicWALLセキュリティ装置が副格IPSecゲートウェイとネゴシエートして主格IPSecゲートウ ェイにフェイルオーバーできますが、主格IPSecゲートウェイが副格IPSecゲートウェイにフェイルオーバ ーしません。 • 35997: 概要: SonicWALLセキュリティ装置は、帯域幅管理とWAN GroupVPNを有効にした場合に、 誤作動します。 背景: WANインターフェースで帯域幅管理を有効にし、その後、WAN GroupVPNを 有効にします。 • 35756: 概要: SonicWALLセキュリティ装置は、IKEのアグレッシブ モードを使用している場合、LAN ゲートウェイの背後に位置するローカル ネットワークのVPNプロポーザルを不正に表示します。 背景: L ANルータの背後に位置するネットワークにルートするために、SonicWALLセキュリティ装置上にルート を追加し、別のSonicWALLセキュリティ装置へのアグレッシブ モードVPNを作成し、LANルータの背 後に位置するネットワークからトンネルを開始します。• 36287: 概要: サイト間VPNを、Zultys VoIP電話とSonicWALLセキュリティ装置間でセットアップした 場合、古いフェーズ2 SAに属するESPパケットが、SonicWALLセキュリティ装置により破棄されます。 背景: SonicWALLセキュリティ装置は、Zultys VoIP電話が新しいフェーズ2 SAのESPパケットを送 付してくることを期待していますが、Zultys VoIP電話は、古いフェーズ2 SAを使用して、ライフタイムの 期限が切れて無効になるまで、パケットを送付し続けてしまうために、この問題は発生します。
