3.5 仮想 HUB のセキュリティ

    目次
    1. 1. 3.5.1 仮想 HUB 毎の管理権限委譲
      1. 1.1. VPN Server 全体の管理者と仮想 HUB の管理者
      2. 1.2. 仮想 HUB の管理者の権限
    2. 2. 3.5.2 仮想 HUB の匿名列挙に関する設定
    3. 3. 3.5.3 使用する外部認証サーバーの設定
    4. 4. 3.5.4 ユーザーおよびグループ
      1. 4.1. ユーザーとグループ
      2. 4.2. ユーザー一覧
      3. 4.3. ユーザーの作成
      4. 4.4. ユーザーの認証方法
      5. 4.5. 証明書作成ツール
      6. 4.6. ユーザー情報の表示
      7. 4.7. グループ一覧
      8. 4.8. グループの作成と編集
      9. 4.9. ユーザーをグループに追加する方法
      10. 4.10. グループ情報の表示
    5. 5. 3.5.5 信頼する証明機関の証明書
    6. 6. 3.5.6 無効な証明書の一覧
      1. 6.1. 無効な証明書リストの役割
      2. 6.2. 無効な証明書一覧への追加、削除および編集
      3. 6.3. 無効な証明書データの登録
    7. 7. 3.5.7 署名済み証明書認証の CN およびシリアル番号の設定
    8. 8. 3.5.8 Radius 認証または NT ドメインおよび Active Directory 認証時の別名設定
    9. 9. 3.5.9 セキュリティポリシー
      1. 9.1. セキュリティポリシーとは
      2. 9.2. セキュリティポリシーの適用順序
      3. 9.3. デフォルトのセキュリティポリシー
      4. 9.4. ユーザーまたはグループへのセキュリティポリシーの設定
      5. 9.5. セキュリティポリシーにおけるポリシー項目一覧
    10. 10. 3.5.10 アクセスリストによるパケットフィルタリング
      1. 10.1. アクセスリストによるパケットフィルタリング
      2. 10.2. アクセスリストの項目で定義できる内容
      3. 10.3. どのアクセスリスト項目にも一致しなかった場合
      4. 10.4. アクセスリストの追加、削除および編集
    11. 11. 3.5.11 IP アクセス制御リストによる接続元の限定
      1. 11.1. IP アクセス制御リストについて
      2. 11.2. IP アクセス制御リストのルール項目
      3. 11.3. IP アクセス制御リストの設定例
      4. 11.4. IP アクセス制御リストの追加、削除および編集
    12. 12. 3.5.12 仮想 HUB 管理オプション
      1. 12.1. 仮想 HUB 管理オプションについて
      2. 12.2. 仮想 HUB 管理オプションの値

    ここでは、仮想 HUB の持つセキュリティ機能について解説し、それらの機能の設定方法および注意事項について解説します。

    3.5.1 仮想 HUB 毎の管理権限委譲

    VPN Server 全体の管理者と仮想 HUB の管理者

    SoftEther VPN Server 全体の管理者は、仮想 HUB に対してパスワードを設定して、その仮想 HUB 用のパスワードを仮想 HUB の管理担当者に渡すことによって、仮想 HUB 単体の管理権限を委譲することができます。

    仮想 HUB 単体の管理者は、管理権限を委譲された「仮想 HUB 名」と「パスワード」を用いて VPN Server に接続する必要があります。また、管理可能な項目は、自らの仮想 HUB に関する設定に限られ、他の仮想 HUB に関する情報は取得も設定もできません。

    なお、仮想 HUB 単体の管理者は VPN Server 全体の設定を参照することはできますが、変更することはできません。さらに VPN Server のコンフィグレーションファイルや SSL 証明書の秘密鍵ファイルなどの機密事項が格納されたデータには一切アクセスすることができないようになっています。

    仮想 HUB の管理者の権限

    仮想 HUB の管理権限を委譲された管理者は、自らが管理する仮想 HUB の「管理パスワード」をいつでも変更することができます。また、仮想 HUB の「オンライン / オフライン」状態をいつでも変更することができます。その他、仮想 HUB に関するさまざまな設定変更やカスケード接続の作成、ユーザーやグループなどのオブジェクトの定義などが可能です。ただし、これらの設定変更は VPN Server 全体の管理者によって、あらかじめ制限されている場合があります。VPN Server の管理者が仮想 HUB の管理者が行うことができる操作内容を制限する方法については、3.5.12 をお読みください。

    なお、クラスタリング環境において、仮想 HUB の管理者はその仮想 HUB の種類 (スタティック / ダイナミック) を変更することは許可されていません。この設定を変更することができるのは、VPN Server 全体の管理者に限られます。

    3.5.2 仮想 HUB の匿名列挙に関する設定

    Windows 版の「SoftEther VPN クライアント接続マネージャ」や「VPN サーバー管理マネージャ」で、接続先の VPN Server の「ホスト名」と「ポート番号」を入力すると、その VPN サーバーに登録されている仮想 HUB の一覧が自動的に取得され、ドロップダウンリストボックスに表示されます。これは「仮想 HUB の匿名列挙」と呼ばれ、実際に VPN Server にログインしていないユーザーでも、匿名で指定した VPN Server に登録されている仮想 HUB の一覧を列挙することが可能であることを示しています。

    3-5-1.png

    仮想 HUB の匿名列挙

    しかし、仮想 HUB の管理者の中には、自分が管理する仮想 HUB の名前を匿名のユーザーに見られるのを好ましくないと考える場合もあります。そのような場合は、「VPN サーバー管理マネージャ」で [仮想 HUB のプロパティ] ボタンをクリックし、[セキュリティ設定] の中の [匿名ユーザーに対してこの仮想 HUB を列挙しない] チェックボックスを「有効」にすることによって、匿名ユーザーが VPN Server の仮想 HUB 一覧を列挙した場合、リストに表示されなくなります。

    「vpncmd」では、「SetEnumDeny」コマンドを使用することにより、同様の設定を行うことができます。

     

    3-5-2.png

    仮想 HUB の管理用パスワードの設定画面

    この設定を行うと、同時に VPN Server 全体の管理者ではない、仮想 HUB 単体の管理者でその仮想 HUB の管理者でないユーザーが、「VPN サーバー管理マネージャ」の最初の仮想 HUB 一覧の画面や、「vpncmd」の「HubList」コマンドによって 、VPN Server に登録されている仮想 HUB の一覧を取得する際に、[匿名ユーザーに対してこの仮想 HUB を列挙しない] オプションが「有効」になっている仮想 HUB は表示されなくなります。つまり、その仮想 HUB の存在を知らないユーザーにとっては、その仮想 HUB の名前すら見ることができない状態になります。これは、仮想 HUB の名前自体に意味があり、それを隠したい場合に有効です。

    3.5.3 使用する外部認証サーバーの設定

    仮想 HUB の管理者は、その仮想 HUB で「Radius 認証」によるユーザー認証を使用したい場合に、事前に使用する「Radius サーバー」を設定しておく必要があります。使用する Radius サーバーを設定するには、[認証サーバーの設定] ボタンをクリックします。「vpncmd」では、「RadiusServerSet」コマンドを使用して設定することができます。

    Radius サーバー設定で設定する必要のある項目については、「2.2 ユーザー認証」 を参照してください。また、NT ドメインおよび Active Directory 認証を使用する場合は使用するドメインコントローラの設定を行う必要はありません。

    3-5-3.png

    使用する Radius サーバーの設定画面

    3.5.4 ユーザーおよびグループ

    ユーザーとグループ

    仮想 HUB には、複数の「ユーザー」と「グループ」を登録することができます。「ユーザー」はグループに参加しないか、または 1 つのグループにのみに参加することができます。1 人のユーザーが 2 つ以上のグループに同時に参加することはできません。

    「グループ」は、複数のユーザーをまとめて管理し、そのグループに登録されているユーザーすべてに、同一の「セキュリティポリシー」を適用したい場合に使用すると便利です。

    グループが削除されると、そのグループに参加していたユーザーは、どのグループにも所属していない状態になります。

    「VPN サーバー管理マネージャ」で、ユーザーの一覧を表示するには、[ユーザーの管理] ボタンをクリックします。グループの一覧を表示するには、[グループの管理] ボタンをクリックします。ユーザーやグループの管理はこれらのボタンをクリックすることによって表示される一覧画面で行います。「vpncmd」コマンドでは、「UserList」コマンドおよび 「GroupList」コマンドで、登録されているユーザーおよびグループの一覧を取得することができます。

    ユーザー一覧

    VPN サーバー管理マネージャで [ユーザーの管理] ウインドウを開くか vpncmd で UserList コマンドを呼び出すと、仮想 HUB に登録されているユーザーの一覧が表示されます。また、各ユーザーのユーザー名だけではなく本名、所属グループ、説明、選択されているユーザー認証方法、これまでのログイン回数および最後にログインした日時が表示されます。

    3-5-4.png

    ユーザー管理画面

    ユーザーの作成

    「VPN サーバー管理マネージャ」で、新しいユーザーを作成するには [新規作成] をクリックします。「vpncmd」では「UserCreate」コマンドを使用します。

    新しいユーザーを作成する際は、そのユーザーの「ユーザー名」を決定する必要があります。ユーザー名には「英数字および一部の記号」が使用できますが、VPN Server のシステム内部で使用されている特殊な名前を指定することはできません (そのような名前を指定すると、パラメータが不正であるというエラーが発生します)。ユーザーの [本名] および [説明] は、VPN Server の動作とは関係がないメモの入力欄のため、任意の文字を指定することができます。なお、ユーザーを作成するときに設定した項目は、あとから変更が可能です。

    ユーザーオブジェクトには [有効期限] を設定することもできます。有効期限が設定されているユーザーは、その有効期限後は VPN Server に接続できなくなります。

    3-5-5.png

    ユーザー作成・編集画面

    ユーザーの認証方法

    ユーザーの「認証方法」を選択する必要があります。各認証方法の詳細については、「2.2 ユーザー認証」 を参照してください。また、同時に認証方法に応じた「パラメータ」を指定する必要があります。「VPN サーバー管理マネージャ」では、これらのパラメータは GUI で簡単に設定することができます。「vpncmd」では、「UserAnonymousSet」コマンド、「UserPasswordSet」コマンド、「UserCertSet」コマンド、「UserSignedSet」コマンド、「UserRadiusSet」コマンド、「UserNTLMSet」コマンドなどを使用して設定することができます。

    証明書作成ツール

    「VPN サーバー管理ツール」で新しいユーザーを作成したり、ユーザー情報を編集したりするウインドウには [証明書作成ツール] というボタンがあります。これを使用すると、「X.509 証明書」と「秘密鍵」のペアを簡単に生成することができます。

    ユーザー情報の表示

    各ユーザーの「統計情報」を取得することができます。「VPN サーバー管理マネージャ」では、ユーザーを選択して [ユーザー情報表示] ボタンをクリックしてください。「vpncmd」では、「UserGet」コマンドを使用することができます。

    ユーザー情報としては、ネットワーク通信の統計情報の他に、そのユーザーオブジェクトが作成された日時、最終更新日時およびログイン回数などが取得できます。

    3-5-6.png

    ユーザー情報表示画面

    グループ一覧

    「VPN サーバー管理マネージャ」で [グループの管理] ウインドウを開くか、「vpncmd」で「GroupList」コマンドを 実行すると、仮想 HUB に登録されているグループの一覧が表示されます。また、各グループの「グループ名」だけでなく、「本名」や「説明」、そのグループに参加している「ユーザー数 」が表示されます。

    3-5-7.png

    グループ管理画面

    グループの作成と編集

    「VPN サーバー管理マネージャ」でグループを作成するには、[グループの管理] 画面で [新規作成] をクリックしてください。また、すでに作成したグループ情報を編集するには [編集] ボタンをクリックしてください。「vpncmd」では、「GroupCreate」コマンドおよび 「GroupSet」コマンドを使用することができます。

    3-5-8.png

    グループ作成・編集画面

    ユーザーをグループに追加する方法

    「VPN サーバー管理マネージャ」で、ユーザーをグループに追加するには、ユーザー情報の編集画面で [グループ名] に所属させたいグループ名を入力するか、[グループの参照] で一覧から選択してください。また、ユーザーをグループから削除したい場合は、[グループ名] を空白にしてください。「vpncmd」では「GroupJoin」コマンドおよび 「GroupUnjoin」コマンドを使用することができます。

    グループ情報の表示

    VPN Server は、グループに参加しているユーザーがいる場合、それらのユーザーによって接続されている VPN セッションで通信が行われたときに、通信量の統計情報をグループに対しても記録します。これを参照するためには、「VPN サーバー管理マネージャ」でグループの編集画面を開き、[このグループの統計情報] を参照してください。「vpncmd」コマンドでは「GroupGet」コマンドを使用することができます。

    3.5.5 信頼する証明機関の証明書

    仮想 HUB では、信頼できる証明機関の証明書の一覧を管理することができます。この証明書の一覧は、ユーザー認証における「署名済み証明書認証」(「2.2 ユーザー認証」 を参照してください) でユーザーが提示した証明書が信頼できるかどうかを検証するために使用されるほか、「3.4.12 カスケード接続におけるサーバー認証」 の機能でも使用されます。

    仮想 HUB が信頼する証明機関の証明書を登録、確認または削除するには、「VPN サーバー管理マネージャ」で [信頼する証明機関の証明書] ボタンをクリックし、[追加]、[削除] または [証明書の表示] ボタンをクリックしてください。「vpncmd」では、「CAList」コマンド、「CAAdd」コマンド、「CADelete」コマンドおよび 「CAGet」コマンドが使用できます。

    3-5-9.png

    信頼する証明機関の証明書の管理画面

    3.5.6 無効な証明書の一覧

    無効な証明書リストの役割

    仮想 HUB では、「無効な証明書」の一覧を管理することができます。「無効な証明書」の定義は、信頼する証明機関の証明書の定義に優先します。この機能は、あるルート証明機関が発行したいくつもの証明書のうち の 1 つで、秘密鍵が漏洩したり、その証明書に対応するユーザーが退社したりしたといった場合などで、証明書の効力をサーバー側で強制的に無効にしたい場合に、その証明書のシリアル番号などを登録することによって無効化することができます。

    無効な証明書の一覧に登録された条件に一致する証明書をユーザーが提示した場合は、たとえその証明書が信頼する証明機関の証明書の一覧に登録されている証明書によって署名されていた場合でも、ユーザー認証は拒否されます。

     

    無効な証明書一覧への追加、削除および編集

    仮想 HUB の無効な証明書一覧に新しい定義を追加したり、既存の定義を編集または削除するには、「VPN サーバー管理マネージャ」で [無効な証明書] ボタンをクリックしてから、[追加]、[削除] または [編集] ボタンをクリックしてください。「vpncmd」コマンドでは、「CrlList」コマンド、「CrlAdd」コマンド、「CrlDel」コマンド 、または「CrlGet」コマンドが使用できます。

    3-5-11.png

    無効な証明書の一覧の管理画面

    無効な証明書データの登録

    新しい「無効な証明書」を定義するためには、その証明書のサブジェクトの各「フィールドの値」を指定したり、「シリアル番号」や「MD5 または SHA-1 ダイジェスト値」を指定したりする必要があります。また、無効にしたい証明書の「X.509 ファイル」がある場合は、「VPN サーバー管理マネージャ」から、そのファイルを読み込ませてその証明書を無効にすることもできます。

    無効な証明書として登録するデータでは、定義された項目すべての内容に一致する証明書は無効になります。もし、無効にしたい証明書の「シリアル番号」や「ダイジェスト値 」をすでに知っている場合は、それを入力することによってその証明書だけをほぼ確実に無効にすることができます。それ以外の場合は、「CN / O / OU / C / ST / L」などの「サブジェクトフィールド」の値を指定してフィルタリングを行い、フィルタにかかった証明書を無効にするという措置をとることができます。

    なお、無効にしたい証明書を使った VPN Client からの接続が、これまでに成功したことがある場合は、仮想 HUB のセキュリティログおよび VPN Server のサーバーログに、認証に成功した際にユーザーが提示した証明書の「サブジェクトフィールド」「シリアル番号」および「ダイジェスト値」が記録されていますので、そのような情報を 元に無効化設定を行うのが確実な方法です。

     

    3.5.7 署名済み証明書認証の CN およびシリアル番号の設定

    仮想 HUB に登録するユーザーの認証の種類が「署名済み証明書認証」の場合は、ユーザー認証の際に検証する項目として、ユーザーが提示した X.509 証明書の「CN (Common Name)」または「シリアル番号」を検査し、それが事前にユーザーオブジェクトの設定値と、完全に一致した場合のみ接続を許可する方法を使用することができます。詳しくは、「2.2 ユーザー認証」 の「Common Name またはシリアル番号による接続可能証明書の限定」を参照してください。

    3.5.8 Radius 認証または NT ドメインおよび Active Directory 認証時の別名設定

    「Radius 認証」または「NT ドメインおよび Active Directory 認証」時に、仮想 HUB のユーザーオブジェクトとして登録したユーザー名に対して「別名」を指定し、その別名を用いて Radius 認証サーバーやドメインコントローラに対して認証要求を行う方法により、ユーザー認証を行う設定にすることができます。詳しくは、「2.2 ユーザー認証」 を参照してください。

    3.5.9 セキュリティポリシー

    セキュリティポリシーとは

    「セキュリティポリシー機能」は、SoftEther VPN Server の仮想 HUB が持つ高度な機能のうちの 1 つで、パケット内容の検査およびポリシーに一致したパケットのみを通過させることができます。セキュリティポリシーを適用するにあたって、仮想 HUB は流れるすべての仮想 Ethernet フレームについて、内部で一旦高いレイヤ (ARP / IP / TCP / UDP / ICMP / DHCP などを自動認識します) までヘッダ情報を解釈し、その解釈の結果を元にして、セキュリティポリシーに適合した通信内容であるかを判別します。その結果、仮想 HUB の管理者がユーザーに対して設定したセキュリティポリシーに違反する場合は、その仮想 Ethernet フレームのみを破棄します。また、セキュリティポリシー違反の記録を、内容によっては仮想 HUB のセキュリティログに確実に残し、後で仮想 HUB の管理者が記録を監査することができます。

    また、セキュリティポリシーを使用すると、帯域制御などの細やかな VPN 通信の制御が可能となります。

    セキュリティポリシーの適用順序

    仮想 HUB で定義することができる「ユーザー」には、「セキュリティポリシー」を設定することができます。また、複数のユーザーをまとめてグループ化している場合は、 「グループ」に対してセキュリティポリシーを適用することができます。この際、仮想 HUB に VPN 接続が行われた瞬間に、どのようなセキュリティポリシーをそのセッションに対して適用するかの判定が VPN Server によって自動的に行われます。その際の適用優先順位は下記のとおりです。

    1. VPN 接続を行おうとしているユーザーに対してセキュリティポリシーが設定されている場合は、そのセキュリティポリシー設定を採用します。
    2. セキュリティポリシーが設定されていない場合で、かつそのユーザーがグループに所属しており、そのグループに対してセキュリティポリシーが設定されている場合は、そのセキュリティポリシーを採用します。
    3. ユーザーが 「3.4 仮想 HUB の機能」 における「Administrator」である場合は、Administrator 用の特別なセキュリティポリシーが設定されます。
    4. それ以外の場合は、「デフォルトのセキュリティポリシー」(次項参照) が適用されます。

    デフォルトのセキュリティポリシー

    「デフォルトのセキュリティポリシー」の値は、下記のとおりです。

    • [アクセスを許可] が有効
    • [TCP 接続数の最大値] は 32 個
    • [タイムアウト時間] は 20 秒

    ユーザーまたはグループへのセキュリティポリシーの設定

    「VPN サーバー管理マネージャ」を使用して、「ユーザーオブジェクト」または「グループオブジェクト」にセキュリティポリシー設定を適用するには、ユーザーまたはグループの編集画面で [このユーザーのセキュリティポリシーを設定する] または [このグループのユーザーのセキュリティポリシーを設定する] チェックボックスを有効にしてから [セキュリティポリシー] ボタンをクリックして、セキュリティポリシーを編集してください。

    3-5-12.png

    ユーザーまたはグループへのセキュリティポリシーの編集画面

    セキュリティポリシーにおけるポリシー項目一覧

    SoftEther VPN では、セキュリティポリシー設定において設定または変更可能なポリシー項目としては、下記の 22 項目があります。

    「アクセスを許可」ポリシー
    説明 このポリシーが設定されているユーザーは、VPN Server に VPN 接続することを許可されます。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [有効]
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしては、この項目は指定できません。
    「DHCP パケットをフィルタリング」ポリシー
    説明 このポリシーが設定されているセッションにおける DHCP パケットをすべてフィルタリングします。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「DHCP サーバーの動作を禁止」ポリシー
    説明 このポリシーが設定されているセッションに接続しているコンピュータが、DHCP サーバーとなり IP アドレスを DHCP クライアントに配布することを禁止します。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「DHCP が割り当てた IP アドレスを強制」ポリシー
    説明 このポリシーが設定されているセッション内のコンピュータは、仮想ネットワーク側の DHCP サーバーが割り当てを行った IP アドレスしか利用できないようにします。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「ブリッジを禁止」ポリシー
    説明 このポリシーが設定されているユーザーのセッションでは、ブリッジ接続を禁止します。ユーザーのクライアント側に Ethernet ブリッジが設定されていても、通信ができなくなります。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしては、この項目は指定できません。
    なお、「ブリッジを禁止」と「ルータ動作を禁止」の両方が [有効] に設定されたユーザーが接続するセッションは、[ルータ / ブリッジモード] セッションとして仮想 HUB に接続することはできなくなります。逆に、「ブリッジを禁止」と「ルータ動作を禁止」のいずれか 1 つでも [無効] に設定されている場合は、そのユーザーは[ルータ / ブリッジモード] セッションとして仮想 HUB に接続することができますのでご注意ください。

    クライアントモードセッションでは、このポリシーは自動的に有効になります。

    「ルータ動作を禁止」ポリシー
    説明 このポリシーが設定されているセッションでは、IP ルーティングを禁止します。ユーザーのクライアント側で IP ルータが動作していても、通信ができなくなります。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしては、この項目は指定できません。
    なお、「ブリッジを禁止」と「ルータ動作を禁止」の両方が [有効] に設定されたユーザーが接続するセッションは、[ルータ / ブリッジモード] セッションとして仮想 HUB に接続することはできなくなります。逆に、「ブリッジを禁止」と「ルータ動作を禁止」のいずれか 1 つでも [無効] に設定されている場合は、そのユーザーは[ルータ / ブリッジモード] セッションとして仮想 HUB に接続することができますのでご注意ください。

    クライアントモードセッションでは、このポリシーは自動的に有効になります。

    「MAC アドレスの重複を禁止」ポリシー
    説明 このポリシーが設定されているセッションでは、別のセッションのコンピュータが使用中の MAC アドレスを使用することができないようにします。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「IP アドレスの重複を禁止」ポリシー
    説明 このポリシーが設定されているセッションでは、別のセッションのコンピュータが使用中の IP アドレスを使用することができないようにします。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「ARP・DHCP 以外のブロードキャストを禁止」ポリシー
    説明 このポリシーが設定されているセッションでは、仮想ネットワークに対して ARP プロトコルと DHCP プロトコルにおけるブロードキャストパケット以外の、すべてのブロードキャストパケットの送受信を禁止します。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「プライバシーフィルタモード」ポリシー
    説明 プライバシーフィルタモードポリシーが設定されているセッション間における直接的な通信をすべてフィルタリングします。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしては、この項目は指定できません。
    「TCP/IP サーバーとしての動作を禁止」ポリシー
    説明 このポリシーが設定されているセッションのコンピュータが TCP/IP プロトコルにおけるサーバーとしての動作を行うことを禁止します。つまり、そのセッションは別のセッションからの TCP における「SYN」パケットに応答することができなくなります。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「ブロードキャスト数を制限しない」ポリシー
    説明 このポリシーが設定されているセッションのコンピュータが通常は考えられないような異常な数のブロードキャストパケットを仮想ネットワークに送出しても 、自動的に制限しないようにします。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 なし
    「モニタリングモードを許可」ポリシー
    説明 このポリシーが設定されているユーザーは、モニタリングモードで仮想 HUB に接続することができます。モニタリングモードのセッションは、仮想 HUB 内を流れるすべてのパケットをモニタリング (傍受) することができます。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしては、この項目は指定できません。
    「TCP 接続数の最大値」ポリシー
    説明 このポリシーが設定されているセッションのセッション1つあたりに割り当てることができる TCP 接続の最大数を設定します。
    設定することができる値 1 ~ 32 (個)
    デフォルトの値 32 個
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。
    「タイムアウト時間」ポリシー
    説明 このポリシーが設定されているセッションのセッションにおいて VPN Client / VPN Server 間の通信に障害が発生した場合、セッションを切断するまでのタイムアウト時間を秒単位で設定します。
    設定することができる値 5 ~ 60 (秒)
    デフォルトの値 20 秒
    備考 カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしてはこの項目は指定できません。
    「MAC アドレスの上限数」ポリシー
    説明 このポリシーが設定されているセッションの1セッションあたりに登録することができる MAC アドレスの数を指定します。
    設定することができる値 [設定無し] または 1 ~ 65535 (個)
    デフォルトの値 [設定無し]
    備考 なし
    「IP アドレスの上限数」ポリシー
    説明 このポリシーが設定されているセッションの1セッションあたりに登録することができる IP アドレスの数を指定します。
    設定することができる値 [設定無し] または 1 ~ 65535 (個)
    デフォルトの値 [設定無し]
    備考 なし
    「アップロード帯域幅」ポリシー
    説明 このポリシーが設定されているセッションにおける仮想 HUB の外側から、仮想 HUB の内側方向に入ってくるトラフィックの帯域幅を制限します。
    設定することができる値 [設定無し] または 1 ~ 4294967295 bps (約 4 Gbps)
    デフォルトの値 [設定無し]
    備考 なし
    「ダウンロード帯域幅」ポリシー
    説明 このポリシーが設定されているセッションにおける仮想 HUB の内側から、仮想 HUB の外側方向に出て行くトラフィックの帯域幅を制限します。
    設定することができる値 [設定無し] または 1 ~ 4294967295 bps (約 4 Gbps)
    デフォルトの値 [設定無し]
    備考 なし
    「ユーザーはパスワードを変更できない」ポリシー
    説明 このポリシーが設定されているユーザーがパスワード認証の場合、ユーザーが「VPN クライアント接続マネージャ」などから、自分のパスワードを変更することを禁止します。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 グループに対して適用するのは無意味です。また、カスケード接続の接続設定と共に設定することができるセキュリティポリシーとしては、この項目は指定できません。
    「多重ログイン制限数」ポリシー
    説明 このポリシーが設定されているユーザーが設定されている数以上の同時ログインを行うことを禁止します。このセキュリティポリシーは、多重ログイン数制限機能が搭載されている VPN Server 3.0 でのみ有効です。
    設定することができる値 [設定無し] または 1 ~ 65535 個
    デフォルトの値 [設定無し]
    備考 このセキュリティポリシーの値は、PacketiX VPN 3.0 Option Pack のライセンスを登録した VPN Server においてのみ有効です。
    「VoIP / QoS 対応機能の使用を禁止」ポリシー
    説明 このポリシーが設定されているユーザーの VPN 接続セッションにおいて VoIP / QoS 対応機能の使用を禁止します。このセキュリティポリシーは、VoIP / QoS 対応機能が搭載されている VPN Server 3.0 でのみ有効です。
    設定することができる値 [有効] または [無効]
    デフォルトの値 [無効]
    備考 このセキュリティポリシーの値は、PacketiX VPN 3.0 Option Pack のライセンスを登録した VPN Server においてのみ有効です。


    現在適用されているセキュリティポリシーの内容の確認

    VPN Server の仮想 HUB に VPN Client から接続している場合は、ユーザーは現在の VPN セッションに対して適用されているセキュリティポリシーの設定値を確認することができます。詳しくは、「4.5 VPN Server への接続」 をお読みください。

    3.5.10 アクセスリストによるパケットフィルタリング

    アクセスリストによるパケットフィルタリング

    仮想 HUB には最大 4,096 個のアクセスリストエントリを定義することができます。「アクセスリスト」とは、一般的に「パケットフィルタリングルール」と呼ばれている、ネットワーク機器を通過する IP パケットを、指定されたルールによって通過させたり破棄させたりする機能です。

    3-5-13.png

    アクセスリストの管理画面

    アクセスリストの項目で定義できる内容

    仮想 HUB に登録する「アクセスリスト」には、下記のような内容のデータを定義することができます。

    • アクセスリストの説明
      アクセスリスト項目の「説明」を入力します。この項目は仮想 HUB の管理者が項目を分かりやすくするために、「任意の文字列」を設定することができ、ここに入力した内容ではパケットフィルタリングの動作が変わることはありません。
    • 動作
      アクセスリスト項目の定義に一致する IP パケットがあった場合、その IP パケットをどのように扱うかを指定します。[通過] または [破棄] を設定します。
    • 優先順位
      アクセスリスト内におけるこのアクセスリスト項目の優先順位を「整数値」で指定します。優先順位は、小さいほど高くなります。もし同じ優先順位のアクセスリスト項目があった場合は 、どちらが先に適用されるかは未定義です
    • 送信元 IP アドレス
      パケットの一致条件として、「送信元 IP アドレス」を指定します。「ネットワークアドレス」と「サブネットマスク」を指定することによって、複数の IP アドレスが含まれる「サブネット範囲」を指定することもできます。指定しない場合は、すべての送信元 IP アドレスに一致します。
    • 宛先 IP アドレス
      パケットの一致条件として、「宛先 IP アドレス」を指定します。「ネットワークアドレス」と「サブネットマスク」を指定することによって、複数の IP アドレスが含まれる「サブネット範囲」を指定することもできます。指定しない場合はすべての宛先 IP アドレスに一致します。
    • プロトコルの種類
      パケットの一致条件として、その IP パケットの「プロトコル番号」を指定します。すべての IP プロトコルを一致させることもできます。指定できる番号は「整数」で入力することができますが、あらかじめ「6 (TCP/IP)」、「17 (UDP/IP)」、 「1 (ICMP)」が定義されています。
    • 送信元 / 宛先ポート番号の範囲
      プロトコルの種類として「TCP/IP」または「UDP/IP」を選択した場合は、パケットの一致条件として「送信元ポート番号」および 「宛先ポート番号」の「最小値および最大値」を指定することができます。指定しない場合はすべてのポート番号が一致すると見なされます。
    • 送信元ユーザー名
      パケットの一致条件として、そのパケットが特定のユーザーが送信したパケット (厳密には、特定の「ユーザー名」の VPN セッションが送信したパケット) のみを一致させたい場合に、その「ユーザー名」を指定します。指定しない場合は送信元のユーザー名をチェックしません。
    • 宛先ユーザー名
      パケットの一致条件として、そのパケットが特定のユーザーが受信することになるパケット (厳密には、特定の「ユーザー名」の VPN セッションが受信する予定のパケット) のみを一致させたい場合に、その「ユーザー名」を指定します。指定しない場合は宛先のユーザー名をチェックしません。

    どのアクセスリスト項目にも一致しなかった場合

    仮想 HUB に複数のアクセスリストが登録されており、IP パケットがどのアクセスリスト項目にも一致しなかった場合は、デフォルトで [通過] の動作が決定されます。

    アクセスリストの追加、削除および編集

    仮想 HUB のアクセスリストの項目を、「追加」「削除」または「編集」する場合は、「VPN サーバー管理マネージャ」の [アクセスリストの管理] ボタンをクリックしてください。次に [追加]、[編集] または [削除] のボタンをクリックします。アクセスリストの操作が完了したら、必ず [保存] ボタンをクリックしてください。[保存] ボタンをクリックしないと、変更が仮想 HUB に対して適用されませんので注意が必要です。アクセスリストは設定した瞬間から有効になります (すでに接続されている VPN セッションに対しても適用されます)。

    「vpncmd」コマンドでアクセスリストを操作するには、「AccessAdd」コマンド、「AccessList」コマンド、「AccessDelete」コマンド、「AccessEnable」コマンドおよび 「AccessDisable」コマンドを使用します。

    3-5-14.png

    アクセスリストエントリ編集画面

    3.5.11 IP アクセス制御リストによる接続元の限定

    IP アクセス制御リストについて

    「IP アクセス制御リスト」を使用すると、仮想 HUB に対して VPN 接続しようとする VPN 接続元のコンピュータの、物理的な IP ネットワーク上での IP アドレスによって、仮想 HUB への VPN 接続を許可または拒否することが可能になります。

    「IP アクセス制御リスト」は、「アクセスリスト」に名前や設定内容がよく似ていますが、両者は性質が全く異なります。「アクセスリスト」は「仮想 HUB の中を流れる IP パケット」を IP アドレスやプロトコル、ポート番号などによって制御する仕組みですが、「IP アクセス制御リスト」は仮想 HUB への VPN 接続ができる「接続元の物理的な IP アドレス」を絞るために使用します。

    たとえば、企業で拠点間 VPN 接続を行う場合、VPN Server に対して別の拠点の VPN Bridge からカスケード接続を常時接続状態にすることになります。しかしこの際、セキュリティ上不安がある場合は、その VPN Server のカスケード接続先の仮想 HUB の「IP アクセス制御リスト」を適切に設定し、VPN Bridge が設置されている拠点の、物理的な IP アドレスのみを接続元とする VPN 接続でない場合は、仮想 HUB への VPN 接続を一切認めないように設定することができます。つまり、接続元 IP アドレスによって認証を行うことが可能になります。これにより、接続元 IP アドレスによって拒否された接続元の VPN クライアントコンピュータは、ユーザー認証のフェーズに進むこともできないため、大幅にセキュリティが向上することになります。

    IP アクセス制御リストのルール項目

    「IP アクセス制御リスト」には複数の「ルール項目」を追加することができます。これらのルール項目で定義することができる値は以下のようになっています。

    • 接続元の IP アドレス (単一またはサブネット)
    • 動作 (接続を許可 / 接続を拒否)
    • 優先順位 (「整数」で指定します。アクセスリストエントリと同様に、小さいほど優先順位が低くなります。)

    なお、すべての IP アドレスに対して適用したいルール項目を作成する場合は、接続元の IP アドレスとして「0.0.0.0 / 0.0.0.0」を指定することが可能です。

    IP アクセス制御リストの設定例

    たとえば、IP アドレス「130.158.6.51」からの接続は許可したいが、それ以外の IP アドレスからの接続は拒否したい場合は、下記のような 2 つのエントリを作成します。

    • 優先順位が 10 のエントリ
      IP アドレス 130.158.6.51 (単一ホスト) からの接続を許可する
    • 優先順位が 20 のエントリ
      IP アドレス 0.0.0.0、サブネットマスク 0.0.0.0 からの接続を禁止する

    このように設定すると、接続元の IP アドレスが「130.158.6.51」である VPN 接続要求は許可され、ユーザー認証フェーズに進むことができます。それ以外の IP アドレスの接続元からの接続要求は、ユーザー認証フェーズ以前の段階で拒否されるため、特に拠点間 VPN などで接続元の IP アドレスやその範囲がある程度分かっている場合に使用する仮想 HUB の場合は、IP アクセス制御リストを活用するとセキュリティをより向上させることができます。

    IP アクセス制御リストの追加、削除および編集

    仮想 HUB の「IP アクセス制御リスト」の項目を「追加」「削除」または「編集」する場合は、「VPN サーバー管理マネージャ」の [仮想 HUB のプロパティ] から [IP アクセス制御リスト] ボタンをクリックしてください。次に [ルールの追加]、[ルールの編集] または [ルールの削除] のボタンをクリックします。IP アクセス制御リストの操作が完了したら、必ず [保存] ボタンをクリックしてください。[保存] ボタンをクリックしないと、変更が仮想 HUB に対して適用されませんので注意が必要です。IP アクセス制御リストは設定した瞬間から有効になりますが、すでに接続されているすべてのセッションに対して IP アクセス制御リストが適用され、一致しないセッションは直ちに切断される訳ではありません。

    「vpncmd」コマンドで IP アクセス制御リストを操作するには、「AcList」コマンド、「AcAdd」コマンドおよび 「AcDel」コマンドを使用します。

    3-5-15.png

    IP アクセス制御リスト管理画面

    3.5.12 仮想 HUB 管理オプション

    仮想 HUB 管理オプションについて

    仮想 HUB の管理者は 3.5.1 で解説したように、自らの仮想 HUB についてほとんどの設定を自由に行う権限を持っています。しかし、VPN Server の管理者は管理上の都合により、いくつかの機能を無効にして使用できないようにしたい場合があります。たとえば、仮想 HUB から別の仮想 HUB へカスケード接続を行う機能を無効にしたり、SecureNAT 機能を無効にしたい場合があります。

    このような場合は、「仮想 HUB 管理オプション」機能を使用すると VPN Server の管理者は、仮想 HUB 管理者の管理権限を細かく指定して制限することができます。

    3-5-16.png

    仮想 HUB 管理オプション編集画面

    仮想 HUB 管理オプションの値

    「仮想 HUB 管理オプション」の項目の一覧は「英語の文字 (キーワード) 」とそれに「対応する値」で構成されます。すべての項目は仮想 HUB を作成した初期状態は「0」が設定されています。これを「1」に設定したり、または「任意の整数値」を指定したりすることによって、仮想 HUB の管理者が行える権限を制限することができます。

    仮想 HUB 管理オプションの項目名には、「命名規則」があります。

    "allow_""deny_" または "no_" で開始される項目名には、 「0」または「1」を指定します。「0」を指定した場合は、その仮想 HUB 管理オプション項目による制限は「無効」、「1」を指定した場合はその仮想 HUB 管理オプション項目による制限は「有効」になります。

    "max_" で開始される項目名は、「0」または「1 以上の任意の整数」を指定します。「0」の場合は制限無しという意味になり、1 以上の場合はその値が「最大値」として制限されます。

    本マニュアル執筆時の SoftEther VPN Server のバージョンでは、下記の仮想 HUB 管理オプションが使用可能になっています。

    • allow_hub_admin_change_option
      この項目は特殊です。この項目が「1」(有効) の場合は、VPN Server 全体の管理者だけでなく、仮想 HUB の管理者も自ら、仮想 HUB 管理オプションを変更することができるようになります。
    • max_users
      この項目が「1」以上に設定されている場合は、仮想 HUB に登録できる「ユーザーの最大数」がこの項目の指定数に制限され、それ以上の「ユーザーオブジェクト」を登録することができなくなります。
    • max_groups
      この項目が「1」以上に設定されている場合は、仮想 HUB に登録できる「グループの最大数」がこの項目の指定数に制限され、それ以上のグループオブジェクトを登録することができなくなります。
    • max_accesslists
      この項目が「1」以上に設定されている場合は、仮想 HUB に登録できる「アクセスリスト項目の最大数」がこの項目の指定数に制限され、それ以上のアクセスリスト項目を登録することができなくなります。
    • max_sessions
      この項目が「1」以上に設定されている場合は、仮想 HUB に接続できる「VPN セッション数」がこの項目の指定数に制限され、それ以上の VPN 接続を同時に処理することはできなくなります。
    • max_sessions_client
      max_sessions_client_bridge_apply 項目が「1」(有効) の場合は、この仮想 HUB に同時に接続することができるクライアント接続セッション数は max_sessions_client で設定されている値を超えることができなくなります。max_sessions_client_bridge_apply 項目が「0」に設定されている場合は、max_sessions_client 項目の値は無視されます。
    • max_sessions_bridge
      max_sessions_client_bridge_apply 項目が「1」(有効) の場合は、この仮想 HUB に同時に接続することができるブリッジ接続セッション数は max_sessions_bridge で設定されている値を超えることができなくなります。max_sessions_client_bridge_apply 項目が「0」に設定されている場合は、max_sessions_bridge 項目の値は無視されます。
    • max_sessions_client_bridge_apply
      この項目が「1」(有効) の場合に限り、max_sessions_client 項目および max_sessions_bridge 項目の値が意味を持ちます。なお、PacketiX VPN Server 3.0 Carrier Edition を使用している場合は、常に max_sessions_client_bridge_apply 項目は「1」に設定されていると見なされます。
    • max_bitrates_download
      この項目が「1」以上に設定されている場合は、仮想 HUB に接続するすべての VPN セッションのセキュリティポリシーのうち [ダウンロード帯域幅] ポリシーの値がこの項目の指定数に強制的に変更され、セッションの「ダウンロード速度」が制限されます。たとえば、この値 を「1000000」に指定した場合は、この仮想 HUB に対するいかなる VPN 接続セッションでも、そのダウンロード通信速度は 1 Mbps を超えることはできなくなります。
    • max_bitrates_upload
      この項目が「1」以上に設定されている場合は、仮想 HUB に接続するすべての VPN セッションのセキュリティポリシーのうち [アップロード帯域幅] ポリシーの値がこの項目の指定数に強制的に変更され、セッションの「アップロード速度」が制限されます。たとえば、この値が 「1000000」になっている場合は、この仮想 HUB に対するいかなる VPN 接続セッションでも、そのアップロード通信速度は 1 Mbps を超えることはできなくなります。
    • max_multilogins_per_user
      この項目が「1」以上に設定されている場合は、仮想 HUB に接続するすべてのユーザーについて、そのユーザーのセキュリティポリシー項目である「多重ログイン制限数」が常にここで指定された値によって上書きされます (ただし「多重ログイン制限数」が設定されており、かつここで指定された値よりも小さい場合は、当該「多重ログイン制限数」の値が使用されます)。
    • deny_empty_password
      この項目が「1」(有効) の場合は、仮想 HUB に登録されているユーザーに「空のパスワード」を設定することはできなくなります。もし空のパスワードが設定されているユーザーがいる場合は、そのユーザーは VPN 接続を行うことはできません (例外として、「localhost」からの接続は可能です)。
    • deny_bridge
      この項目が「1」(有効) の場合は、仮想 HUB に対して接続されるセッションは、接続時のユーザーのセキュリティポリシーの内容にかかわらず「常にブリッジが禁止」されます。したがって、この仮想 HUB にブリッジ目的で接続することができなくなります。
    • deny_qos
      この項目が「1」(有効) の場合は、仮想 HUB に対して接続されるセッションは、接続時のユーザーのセキュリティポリシーの内容にかかわらず常に「VoIP / QoS 対応機能」が無効になります。
    • deny_routing
      この項目が「1」(有効) の場合は、仮想 HUB に対して接続されるセッションは、接続時のユーザーのセキュリティポリシーの内容にかかわらず、「常にルータ動作」が禁止されます。したがって、この仮想 HUB にルーティング目的で接続することができなくなります。
    • deny_change_user_password
      この項目が「1」(有効) の場合は、仮想 HUB のユーザーが「パスワード認証」モードの場合、自分でパスワードを変更することができなくなります。
    • no_change_users
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB に新しいユーザーを追加したり、既存のユーザーを削除または編集したりすることができなくなります。
    • no_change_groups
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB に新しい「グループを追加」したり、既存の「グループを削除または編集」することができなくなります。
    • no_securenat
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は SecureNAT 機能を「有効」または「無効」にすることができなくなります。
    • no_securenat_enabledhcp
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は SecureNAT 機能における「仮想 DHCP サーバー機能」を「有効」にすることができなくなります。
    • no_securenat_enablenat
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は SecureNAT 機能における「仮想 NAT 機能」を「有効」にすることができなくなります。
    • no_cascade
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は「カスケード接続を作成・削除・編集」または「オンライン化 / オフライン化」することができなくなります。
    • no_online
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、オフライン状態の仮想 HUB をオンライン化することができなくなります。
    • no_offline
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、オンライン状態の仮想 HUB をオフライン化することができなくなります。
    • no_change_log_config
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB の「ログファイルの保存設定」を変更することができなくなります。
    • no_disconnect_session
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB に接続されている「VPN セッションを指定して強制切断」することができなくなります。
    • no_delete_iptable
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB の IP アドレステーブルデータベースから「IP アドレスエントリを指定して削除」することができなくなります。
    • no_delete_mactable
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB の MAC アドレステーブルデータベースから「MAC アドレスエントリを指定して削除」することができなくなります。
    • no_enum_session
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は仮想 HUB に現在接続している「VPN セッションの一覧を列挙」できなくなります。
    • no_query_session
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB に現在接続している VPN セッションを指定して、「そのセッションに関する詳細情報」を取得することができなくなります。
    • no_change_admin_password
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、「仮想 HUB の管理者パスワード」を変更できなくなります。
    • no_change_log_switch_type
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB のログファイルの保存設定のうち、[ログファイルの切り替え周期] 設定項目を変更できなくなります。
    • no_change_access_list
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、「仮想 HUB のアクセスリスト」を操作することができなくなります。
    • no_change_access_control_list
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB の IP アクセス制御リストを操作することができなくなります。
    • no_change_cert_list
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB の「信頼する証明機関の証明書一覧」リストを操作することができなくなります。
    • no_change_crl_list
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、仮想 HUB の「無効な証明書」リストを操作することができなくなります。
    • no_read_log_file
      この項目が「1」(有効) の場合は、仮想 HUB の管理者は、「仮想 HUB のログファイル」を管理接続を通じて列挙したり、リモートから読み出したりすることができなくなります。