筑波大学、登大遊氏によって開発されたVPN、ソフトイーサ(SoftEther)・PacketiX VPN・UT-VPN(以後、まとめて「ソフトイーサ」と表記)は、HTTPSとして通信が可能であるなど偽装方法がとても巧妙で、プロキシーやファイヤーウォール越えがいとも簡単に行えてしまい、その通信をブロックするのは、とても大変です。当ページでは、ブロックが困難な中でも、まだ残るブロック方法について紹介します。
現在設置済みの端末に対してのブロック方法
- Admin権限を与えず、ソフトイーサを含む全てソフトウェアを自由にインストールさせない
- ソフトウェアのインストール制限を行わない場合、プロキシーやファイヤーウォールを経由して接続可能先を指定する。指定すること(ホワイトリスト制)によって、ソフトイーサの接続先等となる接続先もブロックできる
- プロキシーやファイヤーウォールへの接続を、ユーザIDやパスワードの入力が必要な承認制にして、承認済みのIDの設定は、管理者が接続を許可するパソコンへ行い、利用者には教えない
新規端末を持ち込ませないためのブロック方法
現在設置済みの端末へのソフトイーサのインストールをブロックできたとしても、外部からソフトイーサのインストール済みの個人の端末などを持ち込まれ、社内ネットワークに接続されてしまう可能性があり、それを許してしまっては意味がありません。
以下、新規端末を社内ネットワークへ接続させない方法を紹介
- 利用してないLANは、塞いでしまい、勝手に利用できないようにする
- IPアドレスは、DHCPによる自動割り当てでなく、管理者による固定割り当てのみとする
- MACアドレスのフィルタリングが可能な体制にしておく。IPアドレスの管理者による割当制にしたとしても、それを無視して空きIPアドレスをさがしたり重複IPアドレスを無視して利用を試みる不届き者が現れる可能性があります。そんな時に、端末毎に全て異なる固有のMACアドレスを、事前に登録したアドレスのみ利用可、または管理者が不審な端末を見つけ次第、その端末のMACアドレスをブロックできる体制にしておけば、ソフトイーサがインストールされた端末の勝手な持ち込みもブロックすることができます。