-
Products
-
SonicPlatform
SonicPlatform is the cybersecurity platform purpose-built for MSPs, making managing complex security environments among multiple tenants easy and streamlined.
Discover More
-
-
Solutions
-
Federal
Protect Federal Agencies and Networks with scalable, purpose-built cybersecurity solutions
Learn MoreFederalProtect Federal Agencies and Networks with scalable, purpose-built cybersecurity solutions
Learn More - Industries
- Use Cases
-
-
Partners
-
Partner Portal
Access to deal registration, MDF, sales and marketing tools, training and more
Learn MorePartner PortalAccess to deal registration, MDF, sales and marketing tools, training and more
Learn More - SonicWall Partners
- Partner Resources
-
-
Support
-
Support Portal
Find answers to your questions by searching across our knowledge base, community, technical documentation and video tutorials
Learn MoreSupport PortalFind answers to your questions by searching across our knowledge base, community, technical documentation and video tutorials
Learn More - Support
- Resources
- Capture Labs
-
- Company
- Contact Us
SonicWall GEN6ファイアウォールでのSSL VPN IPプールの枯渇の問題
05/13/2024 
3 People found this article helpful
89,742 Views
Description
SSL VPN IP プールが枯渇し、SSL VPN ユーザの接続の問題が発生します。IP プールに十分な数のアドレスが設定されていても、接続しているユーザ数が少ない状況でも問題が発生する可能性があります。この記事では、この問題の現象、原因、および修正について説明します。
この問題を確認するには、監視 | ユーザセッション > SSL-VPNセッション の 状況 に認証されていないユーザがログイン時間 0 分のログイン保留メッセージで表示されます。
注意: ユーザーは、非アクティブ時間 が N/A と表示され、ログイン時間 が 0 分で表示されます。したがって、これらは実際に認証されたユーザーではありません。
Resolution
SonicWallエンジニアリングチームは、SSL VPN IPプールの枯渇の問題を特定し、この問題の修正を含むファームウェアを用意しました。このファームウェアには「GEN6-2333」というラベルが付けられています。
このファームウェアを必要とするお客様は、こちらを参照いただき、WEBケースでリクエストを送信ください。その際以下の情報をWEB ケースに記載ください。
- UIのスクリーンショット(ログインが保留されていることを示しています)。
- サポートチケットリクエストに、SSL VPN IPプールの枯渇問題の詳細と、ホットフィックス「GEN6-2333」を記載してください。
- SonicWallのサポートが、問題を解決するために必要なHotfixの入手と適用をさらにサポートします。
ファームウェアアップグレードの手順は、こちらの情報をご参照ください。
ホットフィックスファームウェアを適用した後、次の手順に従ってSSL VPN接続をさらに保護します。
ステルスモードを有効にします。
管理 | ファイアウォール > 詳細設定 ページに移動します。
ステルス モードを有効にする をチェックします。
Navigate to Manage | Firewall Settings | Advanced Settings
Enable the Checkbox for Stealth Mode
ステルスモードの詳細は こちらを参照ください。
ユーザーアカウント/ IPロックアウトを実装します。
管理 | 装置 > 基本設定 に移動します。
管理者/ユーザのロックアウトを有効にする をチェックします。
- ローカル管理者/ユーザ IP のロックアウトを有効にする (ログイン IP アドレスでロックアウトするには、無効にします) をチェックしていない状態にします。
- ログイン失敗回数が次の回数になったらロックアウト に10と1を指定します。( 1分間に10回失敗した場合)
- ロックアウト期間 (分) (0 にすると永続的にロックアウト)に60(分)以上を設定します。
- Geo-IP は、正当なユーザーが所在する国のみを許可するように実装できます。他の国はブロックできます。このファイアウォール規則は、Geo-IP を有効にすることで実行できます。
- 管理 | ルール > アクセスルール に移動します。
- 送信元: WAN>送信先: WAN のアクセスルールで送信元: 全て/送信先:WAN Interface IP/サービス:SSL-VPN のルールを編集します。* SSL-VPNをWANで有効にした場合に自動的に作成されるルールです。
- Geo IP タブで、地域IPフィルターを有効にし、個別にチェックをします。許可する国以外を遮断する国に設定します。また、未定義コクを遮断するをチェックすることを推奨します。
- この変更により、Geo IPはSSLVPN のルールにのみ適用され、その他通信には影響しません。
多重ログインを禁止する。
管理 | ユーザ > 設定 で、多重ログインを禁止するをチェックします。
SSL VPN のデフォルト ポートを変更する
管理 | SSL-VPN > サーバ設定 で SSL VPN ポートを規定の4433 から任意のポートに変更します。また、可能であれば、同じページのユーザ ドメインも既定のLocalDomainから変更を推奨します。
注意: この変更を行った場合、正規のユーザに、変更後のドメインとポートの通知を忘れないでください。- ボットネットフィルタを使用して、不明な接続をブロックします。
- 管理 | セキュリティサービス > ボットネットフィルタ に移動します。
- ボットネット コマンドとコントロール サーバに対する双方向の接続を遮断する を有効にします。
- 手作業で不明なSSLVPN接続/認証試行のIPをコピーしてユーザ定義のボットネットリストを作成する場合は、ユーザ定義ボットネット リストを有効にするをチェックします。
- また、ログを有効にする をチェックします。
- また、追加の予防措置として、バーチャルオフィスを使用していない場合は、管理|SSL VPN > ポータル設定 で LAN 以外のインターフェースで仮想オフィスを無効にする をチェックします。
修正プログラムのアップグレードと上記の手順を実行しても問題が解決しない場合は、サポートにお問い合わせください。
ISSUE ID:
GEN6-2333
New Jira : GEN6-4258
Related Articles
- 第7世代ファイアウォール:ログのストレージへの記録の機能の制約
- NetExtender / GVCはARMプロセッサと互換性がありますか?
- SonicWALL配下にあるWebサーバのHTTPとHTTPSのポートをオープンする方法
Categories
- Firewalls > TZ Series > SSLVPN
- Firewalls > NSa Series > SSLVPN
- Firewalls > NSa Series
YES
NO