を選択するか、「ユーザの追加」ボタンを選択して新しいユーザを作成します。「ユーザの編集」ウィンドウが表示されます。SSL_VPN
この章では、Dell SonicWALL セキュリティ装置における SSL VPN 機能の設定方法を説明します。Dell SonicWALL の SSN VPN 機能は、NetExtender クライアントを使用してネットワークへのリモート アクセスを保護します。
NetExtender は、ウィンドウズ、Mac、Linux ユーザ用の SSL VPN クライアントであり、透過的にダウンロードされ、会社のネットワーク上で任意のアプリケーションを安全に実行できるようにします。接続にはポイント ツー ポイント プロトコル (PPP) が使用されます。NetExtender によって、リモート クライアントはローカル ネットワーク上のリソースにシームレスにアクセスできます。ユーザは、次の2 通りの方法で NetExtender にアクセスできます。
• Dell SonicWALL セキュリティ装置によって提供される仮想オフィス ウェブ ポータルにログインして NetExtender ボタンを選択する。
• スタンドアロンの NetExtender クライアントを起動する。
NetExtender スタンドアロン クライアントは、NetExtender の初回起動時にインストールされます。そのため、ウィンドウズ システムでは「スタート」メニューから、MacOS システムではアプリケーション フォルダまたはドックからの直接アクセスが可能です。 また Linux システムでも、パス名によって、あるいはショートカット バーから直接アクセスできます。
この章は、次のセクションから構成されています。
– Dell SonicWALL SSL VPN ポータルへのアクセス
このセクションでは、SonicOS Enhanced 用の SSL VPN NetExtender 機能の概要を説明します。このセクションは次のサブセクションから構成されています。
• 利点
Dell SonicWALL の SSL VPN NetExtender は、Windows、Mac、Linux ユーザがリモート ネットワーク向けの透過的なソフトウェア アプリケーションであり、その機能を使うことでユーザはリモート ネットワークにセキュアな方法で接続できます。NetExtender により、リモート ユーザはリモート ネットワーク上の任意のアプリケーションを安全に実行できます。ファイルのアップロード/ダウンロード、ネットワーク ドライブのマウント、リソースへのアクセスといった作業がローカル ネットワークにいる感覚で行えます。NetExtender の接続では、ポイント ツー ポイント プロトコル (PPP) 接続を使用します。
NetExtender により、リモート ユーザは保護された内部ネットワークへのフル アクセスが可能になります。その際の操作方法は従来の IPSec VPN クライアントとほとんど同じですが、NetExtender の場合はクライアントを手動でインストールする必要がありません。ウィンドウズ用の NetExtender クライアントは、インターネット エクスプローラの使用時には ActiveX コントロールによって、Firefox の使用時には XPCOM プラグインによって、リモート ユーザの PC に自動的にインストールされます。MacOS システムの場合は、サポート対象のブラウザが Java コントロールを使用して、仮想オフィス ポータルから NetExtender を自動的にインストールしてくれます。Linux システムでも、NetExtender クライアントをインストールして使用することができます。
インストール後、NetExtender が自動的に起動し、SSL-VPN を利用した安全なポイント ツー ポイント アクセスによって内部ネットワーク上の許可されたホストおよびサブネットにアクセスするための仮想アダプタに接続します。
以下のセクションでは、NetExtender の概念について詳しく説明します。
• 強制トンネル方式
• 接続スクリプト
• プロキシの設定
• Dell SonicWALL Mobile Connect
NetExtender は、包括的なリモート アクセスを提供する軽量なアプリケーションです。 ブラウザによってインストールされるため、ユーザが手動でダウンロードしてインストールする必要はありません。NetExtender の初回起動時に、NetExtender スタンドアロン クライアントがユーザの PC またはMac に自動的にインストールされます。インストーラでは、ユーザのログイン情報に基づいてプロファイルが作成されます。その後、インストーラのウィンドウが閉じ、NetExtender が自動的に起動します。すでに以前のバージョンの NetExtender がインストールされていた場合は、古いバージョンのアンインストールが行われたうえで新しいバージョンがインストールされます。
NetExtender スタンドアロン クライアントのインストール後、ウィンドウズの場合は「スタート > プログラム」メニューを使用して NetExtender を起動し、ウィンドウズの起動時に NetExtender が起動されるように設定できます。Mac の場合は、システムのアプリケーション フォルダから NetExtender を起動できます。 また、アイコンをドックにドラッグしてすばやくアクセスすることもできます。Linux システムでは、インストーラによってデスクトップ ショートカットが /usr/share/NetExtender に作成されます。このショートカットは、Gnome や KDE といった環境のショートカット バーにドラッグできます。
NetExtender クライアント ルートは、SSL VPN ユーザによる各種ネットワーク リソースへのアクセスを許可または拒否するために使用されます。アドレス オブジェクトを使用することで、ネットワーク リソースへのアクセスを動的かつ容易に設定できます。
強制トンネル方式では、リモート ユーザとやり取りされるすべてのトラフィックが (リモート ユーザのローカル ネットワークへのトラフィックを含め) SSL VPN NetExtender トンネルを経由します。これは、次のルートをリモート クライアントのルート テーブルに追加することで実現されます。
|
NetExtender は、接続中のすべてのネットワーク接続のローカル ネットワーク ルートも追加します。これらのルートには既存のルートよりも高いメトリックが設定されているため、ローカル ネットワークへのトラフィックは強制的に SSL VPN トンネル経由に切り替えられます。例えば、リモート ユーザが10.0.*.*ネットワークの IP アドレス 10.0.67.64 を使用している場合、ルート 10.0.0.0/255.255.0.0 が追加され、トラフィックが SSL VPN トンネルを経由するようになります。
強制トンネル方式の設定は、「SSL VPN > クライアント ルート」ページで行います。
Dell SonicWALL SSL VPN には、NetExtender の接続が確立されたときと切断されたときにバッチ ファイル スクリプトを実行する機能があります。これらのスクリプトを使って、ネットワーク ドライブやプリンタのマッピングおよび切断、アプリケーションの起動、ファイルやウェブ サイトの表示などを行うことができます。NetExtender の接続スクリプトでは任意の有効なバッチ ファイル コマンドを使用できます。
Dell SonicWALL SSL VPN は、プロキシ設定を使用した NetExtender セッションをサポートしています。現在サポートされているのは、HTTPS プロキシのみです。NetExtender をウェブ ポータルから起動する場合、プロキシ アクセスを行うようにブラウザが既に設定されているときは、NetExtenderが自動的にそのプロキシ設定を継承します。プロキシ設定は、NetExtender クライアントでの手動設定も可能です。NetExtender は、Web Proxy Auto Discovery (WPAD) プロトコルに対応したプロキシ サーバ用のプロキシ設定を自動的に検出できます。
NetExtender には、次の 3 つのプロキシ設定オプションが用意されています。
• 設定を自動検出する - この設定を使用するには、プロキシ サーバが Web Proxy Auto Discovery Protocol (WPAD) プロトコルをサポートしていて、プロキシ設定スクリプトをクライアントに自動送信できる必要があります。
• 自動設定スクリプトを使用する - プロキシ設定スクリプトの場所がわかっている場合は、このオプションを選択してスクリプトの URL を指定することができます。
• プロキシ サーバを使用する - このオプションを選択すると、プロキシ サーバの IP アドレスとポートを指定できます。また、「プロキシのバイパス」フィールドに IP アドレスまたはドメインを入力すれば、それらのアドレスに直接接続してプロキシ サーバをバイパスすることができます。必要に応じて、プロキシ サーバ用のユーザ名とパスワードも入力できます。プロキシ サーバがユーザ名とパスワードを要求しているのにそれらを指定していない場合は、最初の接続時に NetExtender のポップアップ ウィンドウが表示され、その入力を求められます。
プロキシ設定を使用して接続する場合、NetExtender は、Dell SonicWALL セキュリティ装置のサーバに直接接続せず、プロキシ サーバへの HTTPS 接続を確立します。その後、プロキシ サーバによってトラフィックが SSL VPN サーバに転送されます。すべてのトラフィックは、NetExtender とネゴシエートされた証明書を使って SSL によって暗号化されます。 これについては、プロキシ サーバ側は関知していません。プロキシを使用してもしなくても、接続のプロセスに違いはありません。
Dell SonicWALL Mobile Connect は、Dell SonicWALL セキュリティ装置によって保護されたプライベート ネットワークへの安全なモバイル接続を可能にする iPhone、iPad、および iPod Touch 用アプリです。iPhone および iPad 用の Dell SonicWALL Mobile Connect アプリでは、iPhone および iPad を使用して、慎重な扱いを要するネットワーク リソースに安全にモバイル接続できます。Dell SonicWALL Mobile Connect は、Dell SonicWALL セキュリティ装置によって保護されたプライベート ネットワークへの SSL VPN (Secure Socket Layer 仮想プライベート ネットワーク) 接続を確立します。プライベート ネットワークとの間でやり取りされるトラフィックは、すべて SSL VPN トンネル経由で安全に転送されます。
Dell SonicWALL Mobile Connect を使用するプロセスは次のとおりです。
1. Dell SonicWALL Mobile Connect を App Store からインストールします。
2. 接続情報 (サーバ名、ユーザ名、パスワードなど) を入力します。
3. ネットワークへの接続を開始します。
4. Dell SonicWALL Mobile Connect が Dell SonicWALL セキュリティ装置への SSL VPN トンネルを確立します。
5. これで、プライベート ネットワーク上のリソースにアクセスできるようになりました。プライベート ネットワークとの間でやり取りされるトラフィックは、すべて SSL VPN トンネル経由で安全に転送されます。
管理者の視点からは、Dell SonicWALL Mobile Connect は仮想的に NetExtender と同じように機能します。2 つの管理者設定が必要です。
• NetExtender のユーザを設定する - ユーザが Dell SonicWALL Mobile Connect に接続できるようにするには、ユーザ アカウントを SSLVPN サービス グループに割り当てる必要があります。詳細については、SSL VPN アクセスのためのユーザの設定を参照してください。
ユーザによる SSL VPN サービスへのアクセスを可能にするには、そのユーザをSSLVPN サービス グループに割り当てる必要があります。SSLVPN サービス グループに属していないユーザが仮想オフィスからログインを試みても、アクセスは拒否されます。
リリース 5.9 の各 Dell SonicWALL ネットワーク セキュリティ装置モデルでサポートされる SSL VPN 同時ユーザの最大数を次の表に示します。
|
以降のセクションでは、SSL VPN アクセスに対応したユーザ アカウントの設定方法について説明します。
• RADIUS ユーザ向けの SSL VPN アクセスの設定
ローカル ユーザ データベース内のユーザに対して SSL VPN アクセス用の設定を行うには、そのユーザをSSLVPN サービスというユーザ グループに追加する必要があります。この設定を行うには、以下の手順に従います。
1. 「ユーザ > ローカル ユーザ」ページを開きます。
2. 編集するユーザに対する設定アイコン を選択するか、「ユーザの追加」ボタンを選択して新しいユーザを作成します。「ユーザの編集」ウィンドウが表示されます。
3. 「グループ」タブを選択します。
4. 「ユーザ グループ」列の「SSLVPN サービス」を選択し、右矢印を選択してこれを「所属するグループ」列に移動します。
5. 「VPN アクセス」タブを選択します。「VPN アクセス」タブでは、VPN ユーザ (GVC、NetExtender、仮想オフィス ブックマークすべて) がどのネットワーク リソースにアクセスできるかを設定します。「アクセス不可」リストから 1 つ以上のネットワーク アドレス オブジェクトを選択して、右矢印 (->) ボタンを選択してこれらを「アクセス許可」リストに移動します。ネットワーク アドレス オブジェクトまたはグループへのユーザ アクセスを削除するには、「アクセス許可」リストからネットワークを選択して、左矢印 (<-) ボタンを選択します。
Note 「VPN アクセス」タブは、GVC、NetExtender および SSL VPN 仮想オフィス ブックマークを使ってネットワーク リソースにアクセスするリモート クライアントの能力に影響します。GVC、NetExtender、または、仮想オフィスのユーザがネットワーク リソースへアクセスすることを許可するには、ネットワーク アドレス オブジェクトかグループを、「VPN アクセス」 タブの "許可" リストに追加する必要があります。
6. 「OK」を選択します。
Note ワンタイム パスワードは、標準的なユーザ名とパスワードの資格情報に加えて、システムが生成したランダムなパスワードを利用する、2 要素認証スキーマで、SSL VPN 接続を利用してログインを試みるユーザ向けの機能です。
RADIUS ユーザに対して SSL VPN アクセス用の設定を行うには、そのユーザをSSLVPN サービス ユーザ グループに追加する必要があります。この設定を行うには、以下の手順に従います。
1. 「ユーザ > 設定」ページを開きます。
2. 「ログインのための認証方法」プルダウン メニューで、「RADIUS」または「RADIUS + ローカル ユーザ」を選択します。
3. 「ログインの認証方法」の「設定」ボタンを選択します。「RADIUS の設定」ウィンドウが表示されます。
4. 「RADIUS ユーザ」タブを選択します。
5. 「すべての RADIUS ユーザが初期状態で所属するグループ」プルダウン メニューで「SSLVPN サービス」を選択します。
Note 「ユーザの編集」ウィンドウの「VPN アクセス」タブは、仮想オフィス ブックマークとNetExtender アクセス両方に対するアクセスの、他のきめ細かな制御を提供します。
6. 「OK」を選択します。
LDAP ユーザに対して SSL VPN アクセス用の設定を行うには、そのユーザをSSLVPN サービス ユーザ グループに追加する必要があります。この設定を行うには、以下の手順に従います。
1. 「ユーザ > 設定」ページを開きます。
2. 「ログインの認証方法」を、「LDAP」または「LDAP+ローカル ユーザ」のどちらかに設定します。
3. 「設定」ボタンを選択して、「LDAP 設定」ウィンドウを開きます。
4. 「LDAP ユーザ」タブを選択します。
5. 「既定の LDAP ユーザ グループ」プルダウン メニューで、「SSLVPN サービス」を選択します。
Note 「ユーザの編集」ウィンドウの「VPN アクセス」タブは、仮想オフィス ブックマークとNetExtender アクセス両方に対するアクセスの、他のきめ細かな制御を提供します。
6. 「OK」を選択します。