環境(社員限定利用/一般へ公開、固定IPの有無)によって違うので
使える部分だけ参考にしてください。
管理マネージャでのログイン元IP制限
vi ./adminip.txt
192.168.111.111
192.168.111.222
これで2つのIPアドレス以外からアクセスできないようになる(再起動不要)。
デフォルトの仮想HUBを消す
可能であれば元からあるDEFAULTを削除し、独自の仮想HUB名を作成する。
次項と合わせることでセキュリティを向上させる
匿名ユーザーに対して仮想HUBを列挙しない
仮想HUB作成の際に「匿名ユーザーに対してこの仮想HUBを列挙しない」にチェックをつけることで
ユーザ名とパスワード以外に仮想HUB名も特定する必要が出てくるため
接点のない外部からの攻撃には少し敷居を上げられる
ダイナミックDNS設定を切る
デフォルトで有効になっているDDNSを無効にする。
VPNServerがここにあります!と宣言しちゃうことになるので
標準のDDNSは使用せず、DDNSが必要な環境でも別のDDNSを使う。
同時接続数を絞っておく
接続元の端末(PC・スマホ)ごとにアカウントを作成し、
仮想HUB管理オプションの「max_multilogins_per_user」を1にすると1ユーザ1セッションになるため、
ユーザアカウントが漏洩した場合も利用者が気づきやすく、
止める際の影響範囲(クライアントの再設定台数)も絞れる。
ユーザごとに設定したい場合は
ユーザーのプロパティ画面右上にあるセキュリティポリシー「多重ログイン制限数」で設定する。
ファイアウォール機能を活用する
仮想HUBごとに「アクセスリスト」という名前でファイアウォール機能が提供されている。
デフォルトが許可なので優先順位最後に破棄を入れる。
ポートを変える?
443ポート以外にした場合、
外出先のホテル・空港等によっては接続できない可能性がある(ポート制限されている場合がある)ため、
接続元が社員の自宅と社用携帯によるテザリング(制限がある場合も。テストしておく)に限定されている場合だけ実施する。
一方でセキュリティ向上が大きいとはまったく言えず気休め程度に考えておく。