SonicWall GEN6ファイアウォールでのSSL VPN IPプールの枯渇の問題

Description

SSL VPN IP プールが枯渇し、SSL VPN ユーザの接続の問題が発生します。IP プールに十分な数のアドレスが設定されていても、接続しているユーザ数が少ない状況でも問題が発生する可能性があります。この記事では、この問題の現象、原因、および修正について説明します。

この問題を確認するには、監視 | ユーザセッション > SSL-VPNセッション の 状況 に認証されていないユーザがログイン時間 0 分のログイン保留メッセージで表示されます。

注意: ユーザーは、非アクティブ時間N/A と表示され、ログイン時間 が 0 分で表示されます。したがって、これらは実際に認証されたユーザーではありません。 


Resolution

SonicWallエンジニアリングチームは、SSL VPN IPプールの枯渇の問題を特定し、この問題の修正を含むファームウェアを用意しました。このファームウェアには「GEN6-2333」というラベルが付けられています。

このファームウェアを必要とするお客様は、こちらを参照いただき、WEBケースでリクエストを送信ください。その際以下の情報をWEB ケースに記載ください。

  1. UIのスクリーンショット(ログインが保留されていることを示しています)。
  2. サポートチケットリクエストに、SSL VPN IPプールの枯渇問題の詳細と、ホットフィックス「GEN6-2333」を記載してください。
  3. SonicWallのサポートが、問題を解決するために必要なHotfixの入手と適用をさらにサポートします。

ファームウェアアップグレードの手順は、こちらの情報をご参照ください。

ホットフィックスファームウェアを適用した後、次の手順に従ってSSL VPN接続をさらに保護します。

  1. ステルスモードを有効にします。
    管理 | ファイアウォール > 詳細設定 ページに移動します。
    ステルス モードを有効にする をチェックします。
    Navigate to Manage | Firewall Settings | Advanced Settings
    Enable the Checkbox for Stealth Mode
    ステルスモードの詳細は こちらを参照ください。
    Image


  2. ユーザーアカウント/ IPロックアウトを実装します。
    管理装置 > 基本設定 に移動します。
    管理者/ユーザのロックアウトを有効にする をチェックします。
    - ローカル管理者/ユーザ IP のロックアウトを有効にする (ログイン IP アドレスでロックアウトするには、無効にします) をチェックしていない状態にします。
    - ログイン失敗回数が次の回数になったらロックアウト に10と1を指定します。( 1分間に10回失敗した場合)
     ロックアウト期間 (分) (0 にすると永続的にロックアウト)に60(分)以上を設定します。
    Image
     
  3. Geo-IP は、正当なユーザーが所在する国のみを許可するように実装できます。他の国はブロックできます。このファイアウォール規則は、Geo-IP を有効にすることで実行できます。
    - 管理 | ルール > アクセスルール に移動します。
    - 送信元: WAN>送信先: WAN のアクセスルールで送信元: 全て/送信先:WAN Interface IP/サービス:SSL-VPN のルールを編集します。* SSL-VPNをWANで有効にした場合に自動的に作成されるルールです。
    - Geo IP タブで、地域IPフィルターを有効にし、個別にチェックをします。許可する国以外を遮断する国に設定します。また、未定義コクを遮断するをチェックすることを推奨します。
    - この変更により、Geo IPはSSLVPN のルールにのみ適用され、その他通信には影響しません。
    Image
    Image
  4. 多重ログインを禁止する。
    管理 | ユーザ > 設定 で、多重ログインを禁止するをチェックします。

    Image
  5. SSL VPN のデフォルト ポートを変更する

    管理 | SSL-VPN > サーバ設定 で SSL VPN ポートを規定の4433 から任意のポートに変更します。また、可能であれば、同じページのユーザ ドメインも既定のLocalDomainから変更を推奨します。 


    Image
     注意: この変更を行った場合、正規のユーザに、変更後のドメインとポートの通知を忘れないでください。
  6. ボットネットフィルタを使用して、不明な接続をブロックします。
     - 管理 | セキュリティサービス > ボットネットフィルタ に移動します。
     - ボットネット コマンドとコントロール サーバに対する双方向の接続を遮断する を有効にします。
    - 手作業で不明なSSLVPN接続/認証試行のIPをコピーしてユーザ定義のボットネットリストを作成する場合は、ユーザ定義ボットネット リストを有効にするをチェックします。
     - また、ログを有効にする をチェックします。
     Image

  7. また、追加の予防措置として、バーチャルオフィスを使用していない場合は、管理|SSL VPN > ポータル設定LAN 以外のインターフェースで仮想オフィスを無効にするチェックします。
    Image

修正プログラムのアップグレードと上記の手順を実行しても問題が解決しない場合は、サポートにお問い合わせください。

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
NSa Series
SSLVPN
Firewalls
TZ Series
SSLVPN
not finding your answers?
Ask the Community