ソリューション


ホームパートナー製品SoftEtherPacketiX VPN4.0

セキュリティ機能の強化

新機能 - セキュリティ機能の強化

VPN Server のパケットログに新たに HTTP アクセスのヘッダを記録できるようになりました。アクセスリストに一致した HTTP 要求を強制的に指定された URL にリダイレクトするルールも記述できます。RSA 証明書の鍵サイズがデフォルトで 2048bit に強化され、今後 20 年間程度は安全に利用できます。

HTTP アクセスログ機能

従来のバージョンの VPN Server でも、仮想 HUB 内を流れる TCP パケットのヘッダ情報をパケットログとして記録することはできました。しかし、それはあくまでも TCP ヘッダのログのみが記録されるものでしたので、たとえば TCP 上で HTTP を用いて Web アクセスをした際の HTTP ヘッダなどの情報 (アクセス先の URL など) はログに記録されませんでした。

そこで、PacketiX VPN 4.0 には新たに HTTP アクセスログ機能を搭載しました。これは、TCP 上で行われた通信が HTTP である場合は、自動的に HTTP ヘッダを解釈し、その結果をパケットログに記録するものです。これにより、たとえば社員が VPN 経由で社内のイントラネット Web サーバー (例: グループウェアなど) や社外の一般の Web サイト (例: 首相官邸の Web サイトなど) にアクセスした場合は、アクセス先の URL が時刻や IP アドレス、ユーザー名とともに記録されます。


パケットログに記録された HTTP アクセスログの例

アクセスリストにおける HTTP リダイレクション機能

HTTP アクセスログ機能に加え、ユーザーが仮想 HUB を経由して通信を行おうとした場合に、その通信内容がアクセスリストに一致した場合は、特定の URL に HTTP リダイレクションを行うよう強制的にアクセス元の VPN クライアントに応答する機能が実装されました。

これまでは、たとえば社員が VPN 経由でアクセスしてはならない Web サーバーがある場合、そのサーバーの IP アドレスを指定してアクセスリストで「遮断」ルールエントリを追加すれば、ひとまずその Web サーバーへのアクセスは遮断できました。しかし、この場合は VPN ユーザーの通信パケットが破棄されるだけであり、ユーザーはなぜその Web サーバーにアクセスすることができないのか、という原因を知ることができませんし、また TCP の SYN に対応する SYN+ACK パケットの応答を諦めるまでの約 10 秒間の間は VPN ユーザーはとても情緒不安定になる可能性もあります。これは VPN ユーザーにとって、指定された URL にアクセスできない理由はネットワークや VPN サーバーにおける技術的なトラブルが発生していることが原因なのではないかという疑念を生み出すために十分であり、これによってネットワーク管理者の技術レベルが低いからこのような通信不良が発生したのではないかという誤った悪い印象を VPN ユーザーの不揮発記憶に固定してしまう原因にもなります。

そこで、社員が VPN 経由でアクセスしてはならない Web サイトにアクセスしようとした場合は、単にパケットをフィルタリングする代わりに HTTP リダイレクションルールを設定しておき、「大目玉」などが記載された社内用の特定の Web ページの URL を自動的に表示させることができます。そして、そのリダイレクト先の URL のページには、「大目玉」の画像だけではなく、なぜアクセスが禁止されたのかを明示する理由を説明する文章を記載しておけば、VPN ユーザーはアクセスエラーとなった原因を直ちに知ることができます。


アクセスリストにおける HTTP URL リダイレクション設定画面

アクセスリストにおけるユーザー名の一括指定

アクセスリストの送信元セッションまたは宛先セッションの指定として、従来はユーザー名を指定できました。しかし、大量のユーザーのリストに対して適用したいルールを設定する場合は、ユーザーの数だけルールを作成する必要がありました。

そこで、新たにユーザー名直接指定の代わりに "include:" または "exclude:" の後にユーザー名のリストを記載したテキストファイルのファイル名を書くことを可能にしました。これにより、アクセスリストは 1 件のみ登録し、そのアクセスリストの一致条件として大量のユーザーリストを指定することができるようになりました。

"include:" または "exclude:" の後には、ユーザー名の一覧を記載したテキストファイル (1 行に 1 個のユーザーを記載する) のファイル名を指定します。ファイル名が相対パスで記載されている場合は、VPN Server の実行可能ファイルからのパスとなります。絶対パスで指定することもできます。

アクセスリストのクローン機能

すでに存在しているアクセスリストエントリをクローンして、フィールドの値はそのままに新しいアクセスリストエントリを作成することができるようになりました。

デフォルト暗号強度の 2048 bit への強化

PacketiX VPN で生成される RSA 証明書・秘密鍵のサイズは、従来のバージョンでは 1024 bit でした。今後 20 年間程度安心して利用できるようにするため、PacketiX VPN 4.0 ではデフォルトで 2048 bit の証明書・秘密鍵が生成されるようになりました。


生成される RSA 証明書と秘密鍵のサイズはデフォルトで 2048 bit に

SecureNAT の仮想 NAT セッション数のクオータ機能

SecureNAT における仮想 NAT の TCP, UDP, ICMP セッション数のプライベート IP アドレスあたり最大本数を指定できるようになりました。

EasyBlocks PacketiX VPN アプライアンス

PacketiX VPN 4.0 アプライアンス

PacketiX VPN アプライアンスは、リモートアクセスから拠点間接続通信まで容易に実現可能、大幅な機能向上を実現しました。
サーバーやOSの選定・用意も不要になり、またインストールの手間もないため、PacketiX VPN 4.0 導入における手間と時間の軽減が可能です。

 ≫PacketiX VPN アプライアンス詳細

 

ページの先頭へ戻る