SonicWall GEN6ファイアウォールでのSSL VPN IPプールの枯渇の問題
05/13/2024 3 People found this article helpful 90,118 Views
Description
SSL VPN IP プールが枯渇し、SSL VPN ユーザの接続の問題が発生します。IP プールに十分な数のアドレスが設定されていても、接続しているユーザ数が少ない状況でも問題が発生する可能性があります。この記事では、この問題の現象、原因、および修正について説明します。
この問題を確認するには、監視 | ユーザセッション > SSL-VPNセッション の 状況 に認証されていないユーザがログイン時間 0 分のログイン保留メッセージで表示されます。
注意: ユーザーは、非アクティブ時間 が N/A と表示され、ログイン時間 が 0 分で表示されます。したがって、これらは実際に認証されたユーザーではありません。
Resolution
SonicWallエンジニアリングチームは、SSL VPN IPプールの枯渇の問題を特定し、この問題の修正を含むファームウェアを用意しました。このファームウェアには「GEN6-2333」というラベルが付けられています。
このファームウェアを必要とするお客様は、こちらを参照いただき、WEBケースでリクエストを送信ください。その際以下の情報をWEB ケースに記載ください。
- UIのスクリーンショット(ログインが保留されていることを示しています)。
- サポートチケットリクエストに、SSL VPN IPプールの枯渇問題の詳細と、ホットフィックス「GEN6-2333」を記載してください。
- SonicWallのサポートが、問題を解決するために必要なHotfixの入手と適用をさらにサポートします。
ファームウェアアップグレードの手順は、こちらの情報をご参照ください。
ホットフィックスファームウェアを適用した後、次の手順に従ってSSL VPN接続をさらに保護します。
ステルスモードを有効にします。
管理 | ファイアウォール > 詳細設定 ページに移動します。
ステルス モードを有効にする をチェックします。
Navigate to Manage | Firewall Settings | Advanced Settings
Enable the Checkbox for Stealth Mode
ステルスモードの詳細は こちらを参照ください。
ユーザーアカウント/ IPロックアウトを実装します。
管理 | 装置 > 基本設定 に移動します。
管理者/ユーザのロックアウトを有効にする をチェックします。
- ローカル管理者/ユーザ IP のロックアウトを有効にする (ログイン IP アドレスでロックアウトするには、無効にします) をチェックしていない状態にします。
- ログイン失敗回数が次の回数になったらロックアウト に10と1を指定します。( 1分間に10回失敗した場合)
- ロックアウト期間 (分) (0 にすると永続的にロックアウト)に60(分)以上を設定します。
- Geo-IP は、正当なユーザーが所在する国のみを許可するように実装できます。他の国はブロックできます。このファイアウォール規則は、Geo-IP を有効にすることで実行できます。
- 管理 | ルール > アクセスルール に移動します。
- 送信元: WAN>送信先: WAN のアクセスルールで送信元: 全て/送信先:WAN Interface IP/サービス:SSL-VPN のルールを編集します。* SSL-VPNをWANで有効にした場合に自動的に作成されるルールです。
- Geo IP タブで、地域IPフィルターを有効にし、個別にチェックをします。許可する国以外を遮断する国に設定します。また、未定義コクを遮断するをチェックすることを推奨します。
- この変更により、Geo IPはSSLVPN のルールにのみ適用され、その他通信には影響しません。
多重ログインを禁止する。
管理 | ユーザ > 設定 で、多重ログインを禁止するをチェックします。
SSL VPN のデフォルト ポートを変更する
管理 | SSL-VPN > サーバ設定 で SSL VPN ポートを規定の4433 から任意のポートに変更します。また、可能であれば、同じページのユーザ ドメインも既定のLocalDomainから変更を推奨します。
注意: この変更を行った場合、正規のユーザに、変更後のドメインとポートの通知を忘れないでください。
- ボットネットフィルタを使用して、不明な接続をブロックします。
- 管理 | セキュリティサービス > ボットネットフィルタ に移動します。
- ボットネット コマンドとコントロール サーバに対する双方向の接続を遮断する を有効にします。
- 手作業で不明なSSLVPN接続/認証試行のIPをコピーしてユーザ定義のボットネットリストを作成する場合は、ユーザ定義ボットネット リストを有効にするをチェックします。
- また、ログを有効にする をチェックします。
- また、追加の予防措置として、バーチャルオフィスを使用していない場合は、管理|SSL VPN > ポータル設定 で LAN 以外のインターフェースで仮想オフィスを無効にする をチェックします。
修正プログラムのアップグレードと上記の手順を実行しても問題が解決しない場合は、サポートにお問い合わせください。
ISSUE ID:
GEN6-2333
New Jira : GEN6-4258
Related Articles
Categories
Was This Article Helpful?
YESNO