このセクションでは、Dell SonicWALL ネットワーク セキュリティ装置における SSL VPN 機能の設定方法を説明します。SonicWALL の SSN VPN 機能は、NetExtender クライアントを使用してネットワークへのリモート アクセスを保護します。
NetExtender は、ウィンドウズ、Mac、Linux ユーザ用の SSL VPN クライアントであり、透過的にダウンロードされ、会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。接続にはポイント ツー ポイント プロトコル (PPP) が使用されます。NetExtender によって、リモート クライアントはローカル ネットワーク上のリソースにシームレスにアクセスできます。ユーザは、次の 2 通りの方法で NetExtender にアクセスできます。
NetExtender スタンドアロン クライアントは、NetExtender の初回起動時にインストールされます。そのため、ウィンドウズ システムでは「スタート」メニューから、MacOS システムではアプリケーション フォルダまたはドックからの直接アクセスが可能です。 また Linux システムでも、パス名によって、あるいはショートカット バーから直接アクセスできます。
このセクションでは、SonicOS 用の SSL VPN NetExtender 機能の概要を説明します。
SonicWALL の SSL VPN NetExtender は、ウィンドウズ、Mac、Linux ユーザがリモート ネットワーク向けの透過的なソフトウェア アプリケーションであり、その機能を使うことでユーザはリモート ネットワークにセキュアな方法で接続できます。NetExtender により、リモート ユーザはリモート ネットワーク上の任意のアプリケーションを安全に実行できます。ファイルのアップロード/ダウンロード、ネットワーク ドライブのマウント、リソースへのアクセスといった作業がローカル ネットワークにいる感覚で行えます。NetExtender の接続では、ポイントツーポイント プロトコル (PPP) 接続を使用します。
NetExtender により、リモート ユーザは保護された内部ネットワークへのフル アクセスが可能になります。その際の操作方法は従来の IPSec VPN クライアントとほとんど同じですが、NetExtender の場合はクライアントを手動でインストールする必要がありません。ウィンドウズ用の NetExtender クライアントは、インターネット エクスプローラの使用時には ActiveX コントロールによって、Firefox の使用時には XPCOM プラグインによって、リモート ユーザの PC に自動的にインストールされます。MacOS システムの場合は、サポート対象のブラウザが Java コントロールを使用して、仮想オフィス ポータルから NetExtender を自動的にインストールしてくれます。Linux システムでも、NetExtender クライアントをインストールして使用することができます。
インストール後、NetExtender が自動的に起動し、SSL-VPN を利用した安全なポイント ツー ポイント アクセスによって内部ネットワーク上の許可されたホストおよびサブネットにアクセスするための仮想アダプタに接続します。
以下のセクションでは、NetExtender の概念について詳しく説明します。
NetExtender は、包括的なリモート アクセスを提供する軽量なアプリケーションです。ブラウザによってインストールされるため、ユーザが手動でダウンロードしてインストールする必要はありません。NetExtender の初回起動時に、NetExtender スタンドアロン クライアントがユーザの PC または Mac に自動的にインストールされます。インストーラでは、ユーザのログイン情報に基づいてプロファイルが作成されます。その後、インストーラのウィンドウが閉じ、NetExtender が自動的に起動します。すでに以前のバージョンの NetExtender がインストールされていた場合は、古いバージョンのアンインストールが行われたうえで新しいバージョンがインストールされます。
NetExtender スタンドアロン クライアントのインストール後、ウィンドウズの場合は「スタート > プログラム」メニューを使用して NetExtender を起動し、ウィンドウズの起動時に NetExtender が起動されるように設定できます。Mac の場合は、システムのアプリケーション フォルダから NetExtender を起動できます。 また、アイコンをドックにドラッグしてすばやくアクセスすることもできます。Linux システムでは、インストーラによってデスクトップ ショートカットが /usr/share/NetExtender に作成されます。このショートカットは、Gnome や KDE といった環境のショートカット バーにドラッグできます。
NetExtender クライアント ルートは、SSL VPN ユーザによる各種ネットワーク リソースへのアクセスを許可または拒否するために使用されます。アドレス オブジェクトを使用することで、ネットワーク リソースへのアクセスを動的かつ容易に設定できます。
強制トンネル方式では、リモート ユーザとやり取りされるすべてのトラフィックが (リモート ユーザのローカル ネットワークへのトラフィックを含め) SSL VPN NetExtender トンネルを経由します。これは、次のルートをリモート クライアントのルート テーブルに追加することで実現されます。
NetExtender は、接続中のすべてのネットワーク接続のローカル ネットワーク ルートも追加します。これらのルートには既存のルートよりも高いメトリックが設定されているため、ローカル ネットワークへのトラフィックは強制的に SSL VPN トンネル経由に切り替えられます。例えば、リモート ユーザが10.0.*.*ネットワークの IP アドレス 10.0.67.64 を使用している場合、ルート 10.0.0.0/255.255.0.0 が追加され、トラフィックが SSL VPN トンネルを経由するようになります。
SonicWALL SSL VPN には、NetExtender の接続が確立されたときと切断されたときにバッチ ファイル スクリプトを実行する機能があります。これらのスクリプトを使って、ネットワーク ドライブやプリンタのマッピングおよび切断、アプリケーションの起動、ファイルやウェブ サイトの表示などを行うことができます。NetExtender の接続スクリプトでは任意の有効なバッチ ファイル コマンドを使用できます。
SonicWALL SSL VPN は、プロキシ設定を使用した NetExtender セッションをサポートしています。現在サポートされているのは、HTTPS プロキシのみです。NetExtender をウェブ ポータルから起動する場合、プロキシ アクセスを行うようにブラウザが既に設定されているときは、NetExtenderが自動的にそのプロキシ設定を継承します。プロキシ設定は、NetExtender クライアントでの手動設定も可能です。NetExtender は、Web Proxy Auto Discovery (WPAD) プロトコルに対応したプロキシ サーバ用のプロキシ設定を自動的に検出できます。
NetExtender には、次の 3 つのプロキシ設定オプションが用意されています。
|
•
|
設定を自動検出する - この設定を使用するには、プロキシ サーバが Web Proxy Auto Discovery Protocol (WPAD) プロトコルをサポートしていて、プロキシ設定スクリプトをクライアントに自動送信できる必要があります。
|
|
•
|
自動設定スクリプトを使用する - プロキシ設定スクリプトの場所がわかっている場合は、このオプションを選択してスクリプトの URL を指定することができます。
|
|
•
|
プロキシ サーバを使用する - このオプションを選択すると、プロキシ サーバの IP アドレスとポートを指定できます。また、「 プロキシのバイパス」フィールドに IP アドレスまたはドメインを入力すれば、それらのアドレスに直接接続してプロキシ サーバをバイパスすることができます。必要に応じて、プロキシ サーバ用のユーザ名とパスワードも入力できます。プロキシ サーバがユーザ名とパスワードを要求しているのにそれらを指定していない場合は、最初の接続時に NetExtender のポップアップ ウィンドウが表示され、その入力を求められます。
|
プロキシ設定を使用して接続する場合、NetExtender は、SonicWALL のサーバに直接接続せず、プロキシ サーバへの HTTPS 接続を確立します。その後、プロキシ サーバによってトラフィックが SSL VPN サーバに転送されます。すべてのトラフィックは、NetExtender とネゴシエートされた証明書を使って SSL によって暗号化されます。 これについては、プロキシ サーバ側は関知していません。プロキシを使用してもしなくても、接続のプロセスに違いはありません。