全国どこでも1時間以内に出発
緊急事態に対応可能なスタッフが、
すぐに駆けつけます。

緊急対応以外のお問い合せ

通常のお問い合せはこちらから
御社の立場で最良の提案をします、
お気軽にご相談ください。

メールでお問い合せ

24時間365日対応

24時間365日緊急対応

全国どこでも1時間以内に出発緊急事態に対応可能なスタッフが、すぐに駆けつけます。

緊急以外のお問い合せ

通常のお問い合せはこちらから御社の立場で最良の提案をします、お気軽にご相談ください。

全国どこでも1時間以内に出発緊急事態に対応可能なスタッフが、すぐに駆けつけます。

緊急対応以外のお問い合せ

通常のお問い合せはこちらから御社の立場で最良の提案をします、お気軽にご相談ください。

メールでお問い合せ

SoftEther VPNでのセキュリティ考慮点

どのような環境(社員限定利用/一般へ公開、固定IPの有無)によって違うので使える部分だけ参考にしてください。

管理マネージャでのログイン元IP制限

vi ./adminip.txt
192.168.111.111
192.168.111.222

これで2つのIPアドレス以外からアクセスできないようになる(再起動不要)。

匿名ユーザーに対して仮想HUBを列挙しない

可能であれば元からあるDEFAULTを削除し、独自の仮想HUB名を作成する。
作成の際に「匿名ユーザーに対してこの仮想HUBを列挙しない」にチェックをつけることでユーザ名とパスワード以外に仮想HUB名も特定する必要が出てくるため接点のない外部からの攻撃には少し敷居を上げられる

ダイナミックDNS設定を切る

VPNServerがここにあります!と宣言しちゃうことになるので標準のDDNSは使用せず、DDNSが必要な環境でも別のDDNSを使う。

同時接続数を絞っておく

接続元の端末(PC・スマホ)ごとにアカウントを作成し、仮想HUB管理オプションの「max_multilogins_per_user」を1にすると1ユーザ1セッションになるため、ユーザアカウントが漏洩した場合も利用者が気づきやすく、止める際の影響範囲(クライアントの再設定台数)も絞れる。
ユーザごとに設定したい場合はユーザーのプロパティ画面右上にあるセキュリティポリシーにある「多重ログイン制限数」で設定する。

ファイアウォール機能を活用する

仮想HUBごとに「アクセスリスト」という名前でファイアウォール機能が提供されている。
デフォルトが許可なので優先順位最後に破棄を入れる。

ポートを変える?

443ポート以外にした場合、外出先のホテル・空港等によっては接続できない可能性がある(ポート制限されている場合がある)ため、接続元が社員の自宅と社用携帯によるテザリング(制限がある場合も。テストしておく)に限定されている場合だけ実施する。
一方でセキュリティ向上が大きいとはまったく言えず気休め程度に考えておく。