JP2007251906A - フレーム中継装置及びフレーム検査装置 - Google Patents

フレーム中継装置及びフレーム検査装置 Download PDF

Info

Publication number
JP2007251906A
JP2007251906A JP2006076466A JP2006076466A JP2007251906A JP 2007251906 A JP2007251906 A JP 2007251906A JP 2006076466 A JP2006076466 A JP 2006076466A JP 2006076466 A JP2006076466 A JP 2006076466A JP 2007251906 A JP2007251906 A JP 2007251906A
Authority
JP
Japan
Prior art keywords
frame
unit
terminal
network
inspection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006076466A
Other languages
English (en)
Other versions
JP4823728B2 (ja
Inventor
Atsushi Ogawa
淳 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006076466A priority Critical patent/JP4823728B2/ja
Priority to US11/487,982 priority patent/US20070220615A1/en
Publication of JP2007251906A publication Critical patent/JP2007251906A/ja
Application granted granted Critical
Publication of JP4823728B2 publication Critical patent/JP4823728B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】本発明は、不正検出をするトラフィックを選択することにより、不正検出の効率化を図ることを課題とする。
【解決手段】端末から網へ転送されるフレームを中継するフレーム中継装置であって、前記端末から前記網へのフレーム送信が開始される前に、前記端末からのフレームに対する安全性の検査が必要か否かを判定する判定部と、安全性の検査が必要でない場合に、フレーム中継装置と前記網との間のフレーム伝送路上に位置し、前記網へ転送されるフレームを受信して安全性の検査を行う検査装置において前記端末からのフレームに対する安全性の検査を行わないことを決定し、安全性の検査が必要である場合に前記検査装置において前記端末からのフレームに対する安全性の検査を行うことを決定する決定部と、決定結果に基づく指示を前記検査装置へ出力する出力部と、を含むフレーム中継装置とした。
【選択図】図8

Description

ネットワークにおける攻撃検出装置の高速化に関する。
昨今、例えば、メールに添付されたコンピュータウィルスなどのように、トランスポート層レベルでのチェック(例えば、TCP/UDP層レベルでのポートフィルタリングなど)での検出が困難な攻撃が増えている。従来、このような攻撃を検出するために、ネットワーク上の機器による検出手段と、エンド端末での検出手段の2種類があった。
ネットワーク上の機器による検出方法は、企業網や学内網などのエンタープライズ網と外部網との接続箇所で、不正検出(パターンチェック)と異常検出(閾値によるチェック)とを組み合わせることで攻撃を検出する方法である。これらの検出機能を有する装置を一般にIDS(Intrusion Detection System)という。図33は、一般的なネットワークの構成を示す図である。
不正検出(パターンチェック)は、フレームのヘッダやデータを攻撃パターン毎に配布されるパターンファイルを適用してチェックすることで、既知の手口を使用した攻撃を検出する手段である。パターンファイルは、最新の攻撃に対応するために日々更新されており、インターネット経由などで最新のパターンファイルが提供されている。
異常検出(閾値によるチェック)は、ネットワークのフロー毎にトラフィックの振る舞いを監視し、異常な振る舞いが閾値を超えて発生しているか否かをチェックする。これによれば、未知の手法による攻撃を発見する可能性がある。
これらの検出を行うシステム上の配置により、ネットワーク型とホスト型とに分類できる。
ネットワーク型は、ネットワークカードのプロミスキャスモード(無条件受信モード)を利用して、接続しているネットワークセグメントのすべてのトラフィックを監視する。具体的には、ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダやデータを解析する。不正接続者が侵入を試みる際、不正な形式のパケットを送りつけたり、セキュリティーホールが存在するサービスに関連するポートに接続したりするが、そういった疑わしいパケットを発見して通知する。プロミスキャスモードとは、ネットワークインターフェイスにおいて、自ノード宛でなく、ネットワーク上を流れるすべてのパケットを取り込むという動作モードである。
ホスト型は、OS(Operating System)の監視機能と連携して不正侵入を検知する。保護したいコンピュータに導入して、ログファイルやファイルの改ざんの監視を行う。
エンド端末での検出方法は、エンド端末で、ウィルスチェックソフトウェア及びセキュリティホール対策パッチによる攻撃検出をする方法である。
ウィルスチェックソフトウェアは、ハードディスクや受信した電子メールにウィルスが含まれていないかパターンファイルによりチェックする機能を有する。パターンファイルは、最新の攻撃に対応するために日々更新されており、インターネット経由などで最新のパターンファイルが提供されている。
セキュリティーホール対策パッチは、OS等のセキュリティーホールを塞ぐものである。セキュリティーホールに対してはパッチ情報がOSベンダ等より配布され、これを適用することで攻撃を防ぐことができる。
図34を用いて、一般的なネットワークへの接続手順を説明する。
リモート端末104は、VPN―GW103にエンタープライズ網114へ接続依頼をする。このとき、リモート端末104のユーザは、エンタープライズ網114に接続するためのユーザ認証情報(ユーザ名とパスワードなど)をVPN−GW103に送信する(SQ01)。VPN−GW103は、認証サーバ111に、リモート端末104のユーザ認証情報がエンタープライズ網114に接続を許可できるものであるかを確認する(SQ02)。認証サーバ111は、認証結果をVPN−GW103に送信する(SQ03)。VPN−GW103は、認証サーバ111から受信した認証結果(接続可否)をリモート端末104に送信する(SQ04)。認証がOKの場合、リモート端末104は、VPN−GW103と暗号化通信を開始する(SQ05)。VPN−GW103は暗号を終端し、リモート端末104のフレームをエンタープライズ網114に転送する(SQ05)。VPN−GW103は、すべての通信に対して、不正検出を実施する。
特開2004−234208号公報
ネットワーク型IDSでの不正検出は、接続しているネットワークセグメントのすべてのトラフィックを監視する。トラフィック流量が増えると、不正検出の解析処理がトラフィック流量に追従できなくなる。そのため、不正検出での取りこぼしが発生するという問題があった。
また、上記したネットワーク上の機器による不正検出とエンド端末での不正検出とが独立に行われている。そのため、安全な端末からのトラフィックにまでネットワーク上の不正検出を行うことになるという問題があった。
そこで、本発明は、不正検出をするトラフィックを選択することにより、不正検出の効率化を図ることを課題とする。
本発明は、上記した課題を解決するために、以下の手段を採用する。即ち、本発明の態様は、即ち、
端末から網へ転送されるフレームを中継するフレーム中継装置であって、前記端末から前記網へのフレーム送信が開始される前に、前記端末からのフレームに対する安全性の検査が必要か否かを判定する判定部と、
安全性の検査が必要でない場合に、フレーム中継装置と前記網との間のフレーム伝送路上に位置し、前記網へ転送されるフレームを受信して安全性の検査を行う検査装置において前記端末からのフレームに対する安全性の検査を行わないことを決定し、安全性の検査が必要である場合に前記検査装置において前記端末からのフレームに対する安全性の検査を行うことを決定する決定部と、
決定結果に基づく指示を前記検査装置へ出力する出力部と、
を含むフレーム中継装置である。
本発明によると、安全性の検査を行う必要のない端末からのフレームに対する安全性の検査が検査装置で行われるのを抑えることができる。即ち、不正検出を行うトラフィックがフレーム中継装置からの指示に基づいて検査装置で選択される。よって、効率的な検査
が実現される。
また、本発明の別の態様は、
フレームの受信部と、
フレームに対する安全性の検査を行う検査部と、
前記検査部による安全性の検査を要しない端末の識別情報が登録される記憶部と、
前記受信部でフレームが受信されたときに、このフレームの送信元端末の識別情報が前記記憶部に登録されている場合には、このフレーム対する前記検査部の検査を行わないことを決定する決定部と、
を含むフレーム検査装置
である。
本発明によれば、記憶部の参照によって、不正検出を行うトラフィックが選択される。そして、安全性の検査を行う必要のある端末からのフレーム(トラフィック)についてのみ安全性の検査が行われるようにすることができる。よって、検査装置の検査の効率化が図られる。また、検査装置の処理負担軽減が図られる。
また、本発明は、上記した本発明にかかるフレーム中継装置またはフレーム検査装置と同様の特徴を有する方法、情報処理装置(コンピュータ等)で実行されるプログラム、あるいは当該プログラムを記録した記憶媒体として実現可能である。
本発明によれば、不正検出をするトラフィックを選択することにより、不正検出の効率化を図ることが可能となる。
以下、図面を参照して本発明の実施形態について説明する。実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
〔実施形態〕
〈システム構成〉
図1は、本発明の実施形態にかかるシステム構成例を示す図である。本発明の実施形態にかかるシステムは、会社などのエンタープライズ網114と、エンタープライズ網114を管理する社内サーバ116と、認証サーバ111と、インベントリ管理サーバ105と、ルータ110と、L2スイッチ108と、L2スイッチに接続されるVPN−GW103(Virtual Private Network - Gate Way)と、IDS102と、エンタープライズ網114と外部網100を隔てるファイアウォール101と、ルータ106と、外部網100と、を備える。外部網100には、エンタープライズ網114のユーザのリモート端末104が接続されている。
以下、IDS102、VPN−GW103、リモート端末104及びインベントリ管理サーバ105について詳細に説明する。
《IDS》
IDSは、不正検出を行う装置である。図2は、IDS102の機能ブロックを示す図である。IDS102は、通信部201、フレーム判定部202、リモート端末識別子設定部210、不正検出要否判定部220、不正検出部222、コンソール部228、不正フレームログ部226、不正パターンDB224、不正検出不要ノード識別子DB214、IDS設定終了フレーム作成部212を備える。
(通信部)
通信部201は、ネットワークからの通信をリンクレイヤまで終端する。通信部201は、ネットワークから受信したフレーム(受信フレーム)をフレーム判定部202へ送信する。
(フレーム判定部)
フレーム判定部202は、通信部201から渡された受信フレームの種別を識別する。受信フレームが、リモート端末104からエンタープライズ網114への転送対象のフレーム、すなわちプロミスキャスモードで受信したフレームの場合は不正検出要否判定部220へ受信フレームを渡す。また、受信フレームがIDS設定要求フレームの場合は、リモート端末識別子設定部210にその受信フレームを渡す。
(リモート端末識別子設定部)
リモート端末識別子設定部210は、IDS設定要求フレーム内に含まれるリモート端末104の識別子(例えば、IPアドレス)を不正検出不要ノード識別子DB(DataBase)部214に格納する。リモート端末識別子設定部210は、IDS設定終了フレーム作成部212にIDS設定終了フレームの作成指示をする。
(不正検出不要ノード識別子DB部)
不正検出不要ノード識別子DB部214は、不正検出が不要である送信元識別子(例えば、IPアドレス)の情報を保持する。不正検出が不要である送信元識別子の情報は、リモート端末識別子判定部210によって不正ノード不要ノード識別子DB部214に格納される。
(IDS設定終了フレーム作成部)
IDS設定終了フレーム作成部212は、リモート端末識別子設定部210の指示に基づき、IDS設定終了フレームを作成する。IDS設定終了フレーム作成部212は、そのIDS設定終了フレームを、通信部201を経由してVPN−GW103宛に送信する。
(不正検出要否判定部)
不正検出要否判定部220は、受信フレームの送信元識別子(例えば、IPアドレス)を検索キーとして、不正検出不要ノード識別子DB部214に保持されている情報を検索し、その受信フレームに対する不正検出処理の要否を判定する。不正検出要否判定部220は、不正検出が不要な場合にはそのフレームに対する処理を終了し、必要な場合には不正検出部222へ渡す。
(不正検出部)
不正検出部222は、不正検出要否判定部220から渡されたフレームに対して、ヘッダやデータが不正パターンDB部224に保持されているパターンと一致するか否かにより不正検出を行う。一致した場合には不正なフレームであるため、不正検出部222は、そのフレームを廃棄し、不正フレームログ部226にその不正なフレームの情報(例えば、送信元/宛先MACアドレスや、送信元/宛先IPアドレス)を記録し、コンソール部228へ通知する。一致しなかった場合には、不正検出部222は、そのフレームは問題のないフレームであると判断し、そのフレームに対しての処理を終了する。
(コンソール部)
コンソール部228は、ユーザとのインタフェース機能を有する。コンソール部228は、不正検出部222により不正フレームが検出された場合、その旨をユーザに通知する。
(不正パターンDB部)
不正パターンDB部224は、不正フレームのパターンがあらかじめ登録されているデータベース部である。不正パターンDB部224は、不正検出部222が不正フレームを検出する際に参照される。
(不正フレームログ部)
不正フレームログ部226は、不正検出部222が不正フレームと判断したフレームの情報を保持する。
《VPN−GW》
図3は、VPN−GW103の機能ブロックを示す図である。
VPN−GW103は、通信部301、暗号デコード部303、暗号エンコード部304、フレーム判定部302を備える。VPN−GW103は、認証要求フレーム作成部310、認証結果判断部320、接続拒否フレーム作成部330、不正検出確認応答確認部340、接続準備完了フレーム作成部350及び転送認可確認部360をさらに備える。VPN−GW103は、接続拒否フレーム作成部322、インベントリ情報要求フレーム作成部324、IDS設定要求フレーム作成部342及び転送可能端末DB370をさらに備える。
(通信部)
通信部301は、ネットワークからの通信をリンクレイヤまで終端し、暗号デコード部303へ渡す。また、暗号エンコード部304からフレームを受信した時は、リンクレイヤの処理をし、ネットワークへ送信する。
(暗号デコード部)
暗号デコード部303は、暗号化されているフレームに対して、復号化処理を行った上で、フレーム判定部302へそのフレームを渡す。暗号化されていないフレームに対しては、復号化処理を行わずに、そのフレームをフレーム判定部302へ渡す。
(暗号エンコード部)
暗号エンコード部304は、暗号化が必要なフレーム(例えば、リモート端末104へ送られるフレーム)に対して、暗号化処理を行い、通信部301へ当該フレームを転送する。暗号化の不要なフレーム(例えば、IDS102へ送られるフレーム)に対しては、暗号化処理を行わずに、通信部301へ当該フレームを転送する。
(フレーム判定部)
フレーム判定部302は、暗号デコード部303から受信したフレームの種別を識別する。フレーム判定部302は、フレームの種別に応じて、次の機能ブロックへこのフレームを転送する。
図4は、受信したフレームと転送される機能ブロックとの関係を示したテーブルである。接続要求フレームは、認証要求フレーム作成部310へ転送される。認証結果通知フレームは、認証結果判断部320へ転送される。インベントリ情報回答フレームは、不正検出確認要求フレーム作成部330へ転送される。不正検出確認応答フレームは、不正検出確認応答確認部340へ転送される。IDS設定終了フレームは、接続準備完了フレーム作成部350へ転送される。その他のフレーム365は、転送許可確認部360へ転送される。フレーム判定部302は、例えば、図4に示したようなテーブルT100を有し、これを参照してフレームを転送する。
(認証要求フレーム作成部)
認証要求フレーム作成部310は、リモート端末104から受信した接続要求フレーム315に含まれるユーザ認証情報(例えば、ユーザ名、パスワード)を含む認証要求フレームを作成し、通信部301を経由して認証サーバ111に送信する。
(認証結果判断部)
認証結果判断部320は、認証要求フレームの回答として認証サーバ111から通知された認証結果通知フレームに基づいて処理を行う。認証OKの場合、認証結果判断部320は、接続要求を送信したリモート端末104宛に、インベントリ情報の送付要求を送信する指示を、インベントリ情報要求フレーム作成部324へ出す。認証NGの場合、認証結果判断部320は、VPN接続を拒否することを、接続要求を送信したリモート端末104宛に送信する指示を、接続拒否フレーム作成部322へ出す。
(接続拒否フレーム作成部)
接続拒否フレーム作成部322は、リモート端末104からのVPN接続を拒否することを通知するフレームを作成し、認証結果判断部320から指示されたリモート端末104宛へ、暗号エンコード部304を経由して送信する。
(インベントリ情報要求フレーム作成部)
インベントリ情報要求フレーム作成部324は、リモート端末104のインベントリ情報を要求するフレームを作成し、認証結果判断部320から指示されたリモート端末104宛へ、暗号エンコード部304を経由して送信する。
(不正検出確認要求フレーム作成部)
不正検出確認要求フレーム作成部330は、インベントリ情報要求フレームの回答として得たリモート端末104のインベントリ情報を含む不正検出確認要求フレームを作成し、そのフレームをインベントリ管理サーバ105へ転送する。
(不正検出確認応答確認部)
不正検出確認応答確認部340は、インベントリ管理サーバ105から送信された不正検出確認応答フレームの回答結果に基づいて処理を行う。不正検出が不要な場合、不正検出確認応答確認部340は、接続要求を送信したリモート端末104がVPN接続後に送信するフレームに対して、不正検出処理を行わないことをIDS102へ通知するようIDS設定要求フレーム作成部342へ指示する。不正検出が不要な場合、VPN−GW103の接続準備が終了したことを、接続要求を送信したリモート端末104へ通知するよう接続準備完了フレーム作成部350へ指示する。
(IDS設定要求フレーム作成部)
IDS設定要求フレーム作成部342は、不正検出確認応答確認部340から指示されたリモート端末104の識別子を、不正検出処理を行わない送信元の識別子(IPアドレスなど)として、IDS設定要求フレームを作成し、通信部301を経由してIDS102へ送信する。
(接続準備完了フレーム作成部)
接続準備完了フレーム作成部350は、転送許可端末DB370に認証済のリモート端末104の識別子を登録する。接続準備完了フレーム作成部350は、VPN−GW103においてリモート端末104に対する接続準備が完了したことを通知する接続準備完了フレームを作成し、暗号エンコード部304を経由して接続要求を送信したリモート端末104へ送信する。
(転送許可確認部)
転送許可確認部360は、受信したフレームの送信元の識別子を検索キーとして、転送許可端末DB370を検索する。転送許可端末DB370にその識別子のエントリがある場合、受信フレームは接続許可した(認証済の)リモート端末が発信したフレームであるため、暗号エンコード部304及び通信部301経由で、エンタープライズ網114内の宛先ノードへこのフレームを転送する。転送許可端末DB370にエントリがない場合、受信フレームは接続許可していない(未認証の)端末が発信するフレームであるため、そのフレームを廃棄する。
(転送許可端末DB)
転送許可端末DB370は、認証済みのリモート端末104の識別子を保持しているデータベースである。接続準備完了フレーム作成部350によって、認証済みのリモート端末104の識別子が格納される。
《リモート端末》
リモート端末104は、エンタープライズ網114のユーザが外部網100からエンタープライズ網114に接続する際に、使用する端末である。図5は、リモート端末104の機能ブロックを示す図である。
リモート端末104は、通信部401、暗号デコード部403、フレーム判定部402、インベントリ情報回答フレーム作成部410、インベントリ情報保持DB412、VPN接続制御部420、接続要求フレーム作成部422、コンソール部428及びOSの通信部430を備える。
(通信部)
通信部401は、ネットワークからの通信をリンクレイヤまで終端し、フレームを暗号デコード部403へ渡す。また、フレームの送信時には、リンクレイヤの処理をし、ネットワークへ送信する。
(暗号デコード部)
暗号デコード部403は、暗号化されているフレームに対しては、復号化処理を行い、フレーム判定部402へそのフレームを渡す。暗号化されていないフレームに対しては、処理は行わずに、フレーム判定部402へそのフレームを渡す。
(暗号エンコード部)
暗号エンコード部404は、暗号化が必要なフレームに対して、暗号化処理を行い、通信部401へそのフレームを渡す。
(フレーム判定部)
フレーム判定部402は、暗号デコード部403から受信したフレームの種別を識別する。識別結果に応じて、次の機能ブロックへ受信したフレームを転送する。インベントリ情報要求フレームは、インベントリ回答フレーム作成部へ転送される。接続拒否フレーム及び接続準備回答フレームは、VPN接続制御部420へ送られる。
図6は、受信したフレームと転送される機能ブロックとの関係を示したテーブルである。インベントリ情報要求フレームは、インベントリ情報回答フレーム作成部410へ転送される。接続拒否フレームおよび接続準備完了フレームは、VPN接続制御部420へ転送される。フレーム判定部402は、例えば、図6に示したテーブルT200を有し、このテーブルを参照してフレームを転送する。
(コンソール部)
コンソール部428は、ユーザとのインタフェース機能を有する。コンソール部428は、VPN−GW103からの通知事項(接続準備完了や接続拒否)のユーザへの通知や、VPN接続要求送信時に必要なユーザ認証情報(ID、パスワード等)のユーザからの入力を受け付ける。
(VPN接続制御部)
VPN接続制御部420は、リモート端末104がエンタープライズ網114へVPN接続するための制御部である。VPN接続制御部420は、コンソール部428から接続要求を指示されたときには、入力された認証情報を含む接続要求フレームの作成を接続要求フレーム作成部422に指示する。
VPN−GW103での認証に失敗し、接続拒否フレームを受信したときには、VPN接続制御部420は、接続処理を終了し、コンソール部428を介してユーザへ通知する。
VPN−GW103での認証に成功し、接続準備完了フレームを受信したときには、VPN接続制御部420は、自端末のOSの通信部430へVPN接続ができたことを通知し、さらにコンソール部428を介してユーザへ通知する。
(接続要求フレーム作成部)
接続要求フレーム作成部422は、VPN接続制御部420からの指示により、接続要求フレームを作成し、暗号エンコード部404を経由してVPN−GW103宛に送信する。
(インベントリ情報回答フレーム作成部)
インベントリ回答フレーム作成部410は、VPN−GW103から要求されたインベントリ情報を、インベントリ情報保持DB412から得て、インベントリ情報回答フレームを作成する。インベントリ情報回答フレームは、暗号エンコード部404を経由して、VPN−GW103宛に送信される。
(インベントリ情報保持DB)
インベントリ情報保持DB412は、リモート端末104のインベントリ情報を保持しているデータベース部である。あらかじめ、リモート端末104のインベントリ情報が収集され、インベントリ情報保持DB412に格納されている。
《インベントリ管理サーバ》
図7は、インベントリ管理サーバ105の機能ブロックを示す図である。インベントリ管理サーバ105は、通信部501、インベントリ比較部510、推奨インベントリ情報保持部512及び不正検出確認応答フレーム作成部514を備える。インベントリ管理サーバ105は、エンタープライズ網114のファイアウォール101の内側に設置される。
(通信部)
通信部501は、ネットワークからの通信をリンクレイヤまで終端し、インベントリ比較部510へ渡す。また、フレームの送信時には、リンクレイヤの処理をし、ネットワークへ送信する。
(インベントリ比較部)
インベントリ比較部510は、受信したVPN−GW103からの不正検出確認要求フ
レームに対し、VPN−GW103に接続要求を出したリモート端末104のインベントリ情報と、推奨インベントリ情報保持DB512内の推奨インベントリ情報とを比較した上で、IDS102で不正検出の要否を判断する。推奨インベントリ情報とリモート端末104のインベントリ情報とが一致した時は、インベントリ比較部510は不正検出が不要であると判断する。また、推奨インベントリ情報よりもリモート端末104のインベントリ情報の方がより安全であると判断された場合も、インベントリ比較部510は不正検出が不要であると判断することができる。インベントリ比較部510は、判断結果を含む不正検出確認応答フレームの作成を不正検出確認応答フレーム作成部514に指示する。
(推奨インベントリ情報保持DB)
推奨インベントリ情報保持DB512は、エンタープライズ網114で推奨する端末のインベントリ情報をあらかじめ保持している。エンタープライズ網114で推奨する端末のインベントリ情報は、エンタープライズ網114の管理者によって、随時、更新され得る。エンタープライズ網114の管理者は、エンタープライズ網接続時に、リモート端末へ推奨するウィルスチェックソフトウェアのパターンファイル情報やOSのセキュリティーホール対策パッチ情報などを、あらかじめデータベース化し、推奨インベントリ情報保持DB512に保持しておくことができる。
(不正検出確認応答フレーム作成部)
不正検出確認応答フレーム作成部514は、インベントリ比較部510からの指示により、不正検出確認応答フレームを作成する。このフレームは通信部501を経由して、VPN−GW103へ送信される。
〈動作例〉
エンタープライズ網114のユーザが、外部網100からリモート端末104を使用して、エンタープライズ網114に接続する際の動作例を説明する。
(不正検出を行わない場合)
図8は、不正検出を行わない場合のシーケンス例を示す図である。
リモート端末104は、エンタープライズ網114への接続を要求する(図8;SQ102)。図9は、この時のリモート端末における処理のフローを示す図である。外部網100からエンタープライズ網に接続を要求するユーザは、リモート端末104のコンソール部228を通じて、ユーザ認証情報とともに接続要求をする。コンソール部228は、VPN接続制御部420に対し、ユーザ認証情報を送信しVPN接続を指示する。VPN接続制御部420は、接続要求フレーム作成部422に対し、ユーザ認証情報を送信し、接続要求フレームの作成を指示する。接続要求フレーム作成部422は、接続要求フレームを作成し、暗号エンコード部404による暗号化処理をを経由して、通信部401へ送信する。
リモート端末104の通信部401は、VPN−GW103に対して、エンタープライズ網114への接続要求(接続要求フレーム)を送信する(図8;SQ104)。
VPN−GW103は、接続要求フレームを受信し、認証要求フレームを作成する(図8;SQ106)。図10は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、リモート端末104から接続要求フレームを受信すると、そのフレームを暗号デコード部303へ転送する。暗号デコード部303は、接続要求フレームを復号化し、フレーム判定部302へ転送する。フレーム判定部302は、接続要求フレームを認証要求フレーム作成部310へ転送する。認証要求フレーム作成部310は、接続要求フレームに含まれるユーザ認証情報を含む認証要求フレームを作成し、暗号エ
ンコード部304を経由して通信部301へ送信する。この認証要求フレームは、暗号エンコード部304では暗号化されない。認証サーバ111へ送られるフレームだからである。
VPN−GW103の通信部301は、認証要求フレームを認証サーバ111へ送信する(図8;SQ108)。
認証サーバ111は、認証要求フレームに含まれるユーザ認証情報が登録されているか否かを確認する(図8;SQ110)。認証サーバ111は、そのユーザ認証情報が登録されているものと確認すると、認証結果通知フレームを作成し、VPN−GW103へ送信する(図8;SQ112)。
VPN−GW103は、認証サーバ111から認証結果通知フレームを受信し、認証OKであれば、インベントリ情報要求フレームをリモート端末104へ送信する(図8;SQ114)。図11は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、認証結果通知フレームを暗号デコード部を経由してフレーム判定部302へ送信する。フレーム判定部302は、認証結果通知フレームを認証結果判断部320へ送信する。認証結果判断部320は、認証OKの場合、インベントリ情報要求フレーム作成部324に対し、インベントリ情報要求フレームの作成を指示する。インベントリ情報要求フレーム作成部324は、リモート端末104に対するインベントリ情報要求フレームを作成し、暗号エンコード部304で暗号化する。暗号化されたインベントリ情報要求フレームは、通信部301へ送られる。
VPN−GW103の通信部304は、インベントリ情報要求フレームを、リモート端末104へ送信する(図8;SQ116)。
図12は、インベントリ情報要求フレームのフォーマット例を示す図である。図12において、インベントリ情報要求フレームは、例えば、TCP/IPヘッダ、メッセージ種別、メッセージIDを備える。TCP/IPヘッダのフィールドは、既存のTCP/IPヘッダを格納するフィールドである。メッセージ種別のフィールドは、メッセージ種別を示すフィールドである。メッセージIDのフィールドは、インベントリ情報要求フレームを送受信する機器がメッセージを一意に識別するIDを格納するフィールドである。図13は、メッセージ種別のフィールドに格納されるコード番号とメッセージ種別との対応関係を示すテーブルT500を示す。例えば、メッセージ種別が「0」のときは、そのフレームが「インベントリ情報要求フレーム」であることを示す。インベントリ情報要求フレーム作成部324は、テーブルT500に従って、メッセージ種別フィールドに「0」をセットする。
リモート端末104は、インベントリ情報要求フレームを受信すると、インベントリ情報回答フレームを作成する(図8;SQ118)。図14は、この時のリモート端末104の処理のフローを示す図である。通信部401は、インベントリ情報要求フレームを受信すると、暗号デコード部403でそのフレームを復号化して、フレーム判定部402へ送信する。フレーム判定部402は、インベントリ情報要求フレームをインベントリ情報回答フレーム作成部410へ送信する。インベントリ情報回答フレーム作成部410は、インベントリ情報要求フレームで要求されたインベントリ情報を、インベントリ情報保持DB412から取得する。インベントリ情報回答フレーム作成部410は、その取得した情報により、インベントリ情報回答フレームを作成し、暗号エンコード部404で、そのフレームを暗号化する。暗号化されたインベントリ情報回答フレームは、通信部401へ送られる。
リモート端末104の通信部401は、インベントリ情報回答フレームをVPN−GW103に送信する(図8;SQ120)。
インベントリ情報回答フレームには、例えば、インベントリ情報として、OS種別、OSのパッチ番号、アンチウィルスソフト種別、アンチウィルスソフトのパターンファイル番号、アンチウィルスソフトによる最新のチェック(スキャン)日時とそのときの構成、の情報が含まれる。図15は、上記したインベントリ情報に含まれる情報の構成例を示す。
VPN−GW103は、インベントリ情報回答フレームで得たリモート端末104のインベントリ情報を不正検出確認フレームを作成する(図8;SQ122)。図16は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、インベントリ情報回答フレームを暗号デコード部303で復号化し、フレーム判定部302へ送信する。フレーム判定部302は、インベントリ情報回答フレームを不正検出確認要求フレーム作成部330へ送信する。不正検出確認要求フレーム作成部330は、リモート端末104のインベントリ情報を含む不正検出確認要求フレームを作成し、通信部301へ送信する。
VPN−GW103の通信部301は、不正検出確認要求フレームを、インベントリ管理サーバ105に転送する(図8;SQ124)。
図17は、インベントリ情報回答フレームのフォーマット例を示す図である。インベントリ情報回答フレームは、例えば、TCP/IPヘッダ、メッセージ種別、メッセージID、インベントリ情報の各フィールドを備える。TCP/IPヘッダのフィールドは、既存のTCP/IPヘッダを格納するフィールドである。メッセージ種別のフィールドは、メッセージ種別を示すフィールドである。メッセージIDのフィールドは、受信したインベントリ情報要求フレームのメッセージIDと同一の値を格納するフィールドである。インベントリ情報のフィールドは、インベントリ情報を格納するフィールドである。
インベントリ管理サーバ105は、不正検出確認要求フレームを受信し、不正検出確認応答フレームを作成する(図8;SQ126)。図18は、インベントリ管理サーバ105における処理のフローを示す図である。通信部501は、VPN−GW103から受信した不正検出確認要求フレームをインベントリ比較部510へ送信する。インベントリ比較部510は、推奨インベントリ情報保持DB512の推奨インベントリ情報とリモート端末104のインベントリ情報とを比較する。比較の結果、IDS102での不正検出不要と判断すると、判断結果を含む不正検出確認応答フレームの作成を不正検出確認応答フレーム作成部514に指示する。不正検出確認応答フレーム作成部514は、不正検出が不要であることを含む不正検出確認応答フレームを作成し、通信部501に送信する。
図19は、不正検出確認応答フレームのフォーマット例を示す図である。不正検出確認応答フレームは、例えば、TCP/IPヘッダ、メッセージ種別、メッセージID、不正検出要不要判定結果の各フィールドを備える。TCP/IPヘッダのフィールドは、既存のTCP/IPヘッダを格納するフィールドである。メッセージ種別のフィールドは、メッセージ種別を示すフィールドである。メッセージIDのフィールドは、受信した不正検出確認要求フレームのメッセージIDと同一の値を格納するフィールドである。不正検出要不要判定結果のフィールドは、インベントリ管理サーバが、不正検出確認要求フレームで受信したインベントリ情報と、推奨インベントリとを比較した結果、すなわちIDSで不正検出が必要であるか否かの判定結果を格納するフィールドである。
インベントリ管理サーバ105の通信部501は、不正検出確認応答フレームを、VP
N−GW103に対して送信する(図8;SQ128)。
VPN−GW103は、不正検出確認応答フレームを受信し、IDS設定要求フレームを作成する(図8;SQ130)。図20は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、不正検出確認応答フレームを、フレーム判定部302へ送信する。フレーム判定部302は、その不正検出確認応答フレームを不正検出確認応答確認部340へ送信する。不正検出確認応答確認部340は、その不正検出確認応答フレーム中の判断結果から不正検出が不要な場合、リモート端末104がVPN接続後に送信するフレームに対して、不正検出処理を行わないことをIDS102へ通知するフレームの作成をIDS設定要求フレーム作成部342に指示する。IDS設定要求フレーム作成部342は、IDS設定要求フレームを作成し、暗号エンコード部304で暗号化する。暗号化されたIDS設定要求フレームは、通信部301へ送信される。
図21は、IDS設定要求フレームのフォーマット例を示す図である。IDS設定要求フレームは、例えば、TCP/IPヘッダ、メッセージ種別、メッセージID、リモート端末識別子の各フィールドを備える。TCP/IPヘッダのフィールドは、既存のTCP/IPヘッダを格納するフィールドである。メッセージ種別のフィールドは、メッセージ種別を示すフィールドである。メッセージIDのフィールドは、IDS設定要求フレームを送受信する機器がメッセージを一意に識別するIDのためのフィールドである。リモート端末識別子のフィールドは、IDSで不正検出を行わないリモート端末の識別子を格納するフィールドである。
VPN−GW103の通信部304は、リモート端末104の識別子(例えば、IPアドレス)をIDS設定要求フレームにより、IDS102に通知する(図8;SQ132)。
IDS102は、リモート端末104の識別子を送信元として有するフレームに対しては不正検出を行わないことを自装置内に設定する(図8;SQ134)。図22は、この時のIDS102における処理のフローを示す図である。通信部201は、IDS設定要求フレームをフレーム判定部202へ送信する。フレーム判定部202は、リモート端末識別子設定部210へそのフレームを送信する。リモート端末識別子設定部210は、IDS設定要求フレーム内に含まれるリモート端末104の識別子を不正検出不要ノード識別子DB部214に格納する。また、リモート端末210は、IDS設定終了フレーム作成部212にIDS設定終了フレームの作成を指示する。IDS設定終了フレーム作成部は、IDS設定終了フレームを作成し、通信部201へ送信する。
IDS102の通信部201は、設定が完了したことをIDS設定終了フレームにより、VPN−GW103に通知する(図8;SQ136)。
図23は、IDS設定終了フレームのフォーマット例を示す図である。IDS設定終了フレームは、例えば、TCP/IPヘッダ、メッセージ種別、メッセージID及び設定結果の各フィールドを備える。メッセージIDのフィールドは、受信したIDS設定要求フレームのメッセージIDの値と同一の値が入るフィールドである。測定結果のフィールドは、IDS設定要求フレームを受信したIDS102が、不正検出を行わないための設定を行った結果をVPN−GW103に通知するフィールドである。
VPN−GW103は、IDS設定終了フレームを受信し、接続準備完了フレームを作成する(図8;SQ138)。図24は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、受信したIDS設定終了フレームをフレーム判定部302に送信する。フレーム判定部302は、このフレームを接続準備完了フレーム作
成部350に送信する。接続準備完了フレーム作成部350は、転送許可端末370に接続準備完了フレームに含まれるリモート端末104の識別子を、転送許可端末DB370に格納する。接続準備完了フレーム作成部350は、リモート端末104に対する接続準備が完了したことを通知する接続準備完了フレームを作成し、このフレームを暗号エンコード部304で暗号化する。暗号化された接続準備完了フレームは、通信部301に送信される。
VPN−GW103の通信部301は、リモート端末104に対して、接続準備完了フレームを送信する(図8;SQ140)。
リモート端末104は、接続準備完了フレームを受信すると、エンタープライズ網114への接続を準備する(図8;SQ142)。図25は、この時のリモート端末104における処理のフローを示す図である。通信部401は、受信した接続完了フレームを、暗号デコード部で復号化し、フレーム判定部402に送信する。フレーム判定部は、接続準備完了フレームを、VPN接続制御部420に送信する。VPN接続制御部420は、自端末のOSの通信部430へVPN接続ができたことを通知する。また、VPN接続制御部420は、コンソール部428を通じてユーザにVPN接続ができたことを通知する。これにより、リモート端末104からエンタープライズ網への通信が可能となる。
リモート端末104は、エンタープライズ網114への通信を開始する(図8;SQ144)。
VPN−GW103は、リモート端末104から通信のフレームを受信すると、転送の可否を判断し、転送可能であればエンタープライズ網114へ転送する(図8;SQ146)。図26は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、リモート端末104から通信のフレームを受信すると、暗号デコード部303に送信する。暗号デコード部は、そのフレームを復号化して、フレーム判定部302に送信する。フレーム判定部302は、復号化されたフレームを転送許可確認部360に送信する。転送許可確認部360は、受信したフレームの送信元の識別子(即ちリモート端末104の識別子)が、転送許可端末DB370に存在するか否かを確認する。転送許可端末DB370にその識別子が存在する場合、転送許可確認部360は、そのフレームを暗号エンコード部を経由して通信部301に送る。
VPN−GW103の通信部301は、転送許可確認部360から受信したフレームをエンタープライズ網114内の宛先ノードへ転送する(図8;SQ148)。
IDS102は、リモート端末104からの通信に対しては、不正検出を行わない(図8;SQ150)。図27は、この時のIDS102における処理のフローを示す図である。通信部201は、受信したリモート端末104からの通信フレームをフレーム判定部202に送信する。フレーム判定部202は、そのフレームを不正検出要否判定部220に送信する。不正検出要否判定部220は、受信したフレームの送信元の識別子が不正検出不要ノード識別子DB部214に存在するか否かを確認する。不正検出要否判定部220にその識別子が存在する場合、不正検出要否判定部220は、不正検出が不要であると判断して不正検出処理を終了する。ここでは、リモート端末104の識別子は、不正検出不要ノード識別子DB部214に格納されているので、不正検出部222による処理は行われない。
(不正検出を行う場合)
図28は、不正検出を行う場合のシーケンス例を示す図である。
リモート端末104がエンタープライズ網114への接続を要求(図28;SQ202)してから、VPN−GW103がインベントリ管理サーバ105から不正検出確認応答フレームを受信(図28;SQ228)するまでは、不正検出を行わない場合(図8;SQ102からSQ128)と同様である。よって、この部分については、説明を省略する。
VPN−GW103は、インベントリ管理サーバ105から、不正検出が必要である旨の不正検出要不要判定結果(図19)が含まれる不正検出確認応答フレームを受信し、接続準備完了フレームをリモート端末へ送信する(図28;SQ230)。図29は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、不正検出確認応答フレームを受信すると、暗号デコード部を経由して、フレーム判定部302に送信する。フレーム判定部は、そのフレームを不正検出確認応答確認部340に送信する。不正検出確認応答確認部340は、受信した不正検出確認応答フレームに不正検出が必要である旨が含まれていることを確認する。不正検出応答確認部340は、受信したフレームの送信元識別子(認証済のリモート端末104の識別子)とともに、接続準備完了フレーム作成部350に接続準備完了フレームの作成を指示する。接続準備完了フレーム作成部350は、転送許可端末DBに認証済のリモート端末の識別子を格納する。接続準備完了フレーム作成部360は、接続準備完了フレームを作成し、暗号エンコード部で暗号化する。暗号化された接続準備完了フレームは、通信部301に送信される。ここでは、不正検出を行わない場合と異なりIDS102に対して何も指示しない。
VPN−GW103の通信部301は、接続準備完了フレームをリモート端末104へ送信する(図28;SQ240)。
リモート端末104は、接続準備完了フレームを受信すると、エンタープライズ網114への接続を準備する(図28;SQ242)。図30は、この時のリモート端末104における処理のフローを示す図である。通信部401は、受信した接続完了フレームを、暗号デコード部で復号化し、フレーム判定部402に送信する。フレーム判定部402は、接続準備完了フレームを、VPN接続制御部420に送信する。VPN接続制御部420は、自端末のOSの通信部430へVPN接続ができたことを通知する。また、VPN接続制御部420は、コンソール部428を通じてユーザにVPN接続ができたことを通知する。これにより、リモート端末104からエンタープライズ網への通信が可能となる。
リモート端末104は、エンタープライズ網114への通信を開始する(図28;SQ244)。
VPN−GW103は、リモート端末104から通信のフレームを受信すると、転送の可否を判断し、転送可能であればエンタープライズ網114へ転送する(図28;SQ246)。図31は、この時のVPN−GW103における処理のフローを示す図である。通信部301は、リモート端末から通信のフレームを受信すると、暗号デコード部303に送信する。暗号デコード部は、そのフレームを復号化して、フレーム判定部302に送信する。フレーム判定部302は、復号化されたフレームを転送許可確認部360に送信する。転送許可確認部360は、受信したフレームの送信元の識別子が、転送許可端末DB370に存在するか否かを確認する。転送許可端末DB370にその識別子が存在する場合、転送許可確認部360は、そのフレームを暗号エンコード部304を経由して通信部301に送る。
IDS102は、リモート端末104からの通信に対しては、不正検出を行う(図28;SQ250)。図32は、この時のIDS102における処理のフローを示す図である
。通信部201は、受信したフレームをフレーム判定部202に送信する。フレーム判定部202は、そのフレームを不正検出要否判定部220に送信する。不正検出要否判定部220は、受信したフレームの送信元の識別子が不正検出不要ノード識別子DB部214に存在するか否かを確認する。不正検出要否判定部220にその識別子が存在しない場合、不正検出要否判定部220は、不正検出が必要であると判断して不正検出部222にそのフレームを送信する。不正検出部222は、不正パターンDB224に保持されているパターンと受信したフレームとが一致するか否かにより不正検出を行う。一致した場合には不正なフレームであるため、不正検出部222は、そのフレームを廃棄し、その不正なフレームの情報を不正フレームログ部226に記録し、コンソール部228へ通知する。一致しなかった場合には、不正検出部222は、そのフレームは問題のないフレームであると判断し、そのフレームに対しての処理を終了する。
〈実施形態の効果〉
本実施形態によると、ユーザの操作などにより、リモート端末104からエンタープライズ網114に接続要求がされると、エンタープライズ網114のVPN−GW103を経由して、認証サーバ111によるユーザ認証が行われる。ユーザ認証に成功すると、VPN−GW103は、リモート端末104に対し、インベントリ情報を要求する。インベントリ管理サーバ105は、そのリモート端末104のインベントリ情報とエンタープライズ網114の管理者等により登録される推奨インベントリ情報を比較して、不正検出の要否を判断する。不正検出が、不要であると判断すると、IDS102にリモート端末104の識別子情報が登録される。IDS102への登録が終了すると、接続準備完了がリモート端末104に通知される。リモート端末104は、エンタープライズ網114に対する通信を開始する。この際、IDS102は、そのリモート端末104からの通信フレームに対して、不正検出を行わない。
エンタープライズ網114のユーザが社外等で使うリモート端末104が安全である場合、すなわち、リモート端末104がウィルスなどに感染しておらず、エンタープライズ網への攻撃リスクがない場合、リモート端末104がエンタープライズ網114に接続する際、IDS102はネットワークの不正検出を行わない。
リモート端末104はウィルスチェックソフトウェアやOSのセキュリティーホール対策パッチにより安全性を確保している。そのため、リモート端末104に対して、ネットワーク上のIDSでの不正検出のチェックを行わない。即ち、IDS102は、攻撃リスクがないフレームの不正検出を行わず、その他のフレーム(トラフィック)の不正検出を選択的に行うことができる。従って、IDS102による効率的な不正検出が可能となる。
〔その他〕
上述した実施形態は、以下の発明の開示を含む。以下の発明は必要に応じて適宜組み合わせることができる。
(付記1)
端末から網へ転送されるフレームを中継するフレーム中継装置であって、
前記端末から前記網へのフレーム送信が開始される前に、前記端末からのフレームに対する安全性の検査が必要か否かを判定する判定部と、
安全性の検査が必要でない場合に、フレーム中継装置と前記網との間のフレーム伝送路上に位置し、前記網へ転送されるフレームを受信して安全性の検査を行う検査装置において前記端末からのフレームに対する安全性の検査を行わないことを決定し、安全性の検査が必要である場合に前記検査装置において前記端末からのフレームに対する安全性の検査を行うことを決定する決定部と、
決定結果に基づく指示を前記検査装置へ出力する出力部と、
を含むフレーム中継装置。(1)
(付記2)
前記判定部は、前記端末から送信されるフレームの安全性が前記網の要求する条件を満たしているか否かを判定することによって、前記検査が必要であるか否かを判定する
付記1に記載のフレーム中継装置。(2)
(付記3)
前記判定部は、前記端末における、送信クレームの安全性を確保するための状態が、前記網の要求する条件を満たすか否かを判定する
付記1に記載のフレーム中継装置。
(付記4)
前記端末からの前記網への接続要求を受信した場合に、前記端末の安全性に係る情報を前記端末から取得する手段と、
前記端末の安全性に係る情報に基づき前記検査が必要か否かの判断を判断装置に問い合わせる手段とをさらに含み、
前記判定部は、前記判断装置の判定結果にしたがって前記検査が必要か否かを判定する付記1に記載のフレーム中継装置。(3)
(付記5)
前記端末にインストールされているオペレーティングシステムの種別が前記網で許可されている種別でない場合に、前記判定部は安全性の検査が必要であると判定する
付記1に記載のフレーム中継装置。
(付記5)
前記端末にインストールされているアンチウィルスソフトの種別が前記網で許可されている種別でない場合に、前記判定部は安全性の検査が必要であると判定する
付記1に記載のフレーム中継装置。
(付記6)
前記端末にインストールされているオペレーティングシステムのパッチ番号が前記網での規定を満たさない場合に、前記判定部は安全性の検査が必要であると判定する
付記1に記載のフレーム中継装置。
(付記7)
前記端末にインストールされているアンチウィルスソフトのパターンファイルが前記網での規定を満たさない場合に、前記判定部は安全性の検査が必要であると判定する
付記1に記載のフレーム中継装置。
(付記8)
フレームの受信部と、
フレームに対する安全性の検査を行う検査部と、
前記検査部による安全性の検査を要しない端末の識別情報が登録される記憶部と、
前記受信部でフレームが受信されたときに、このフレームの送信元端末の識別情報が前記記憶部に登録されている場合には、このフレームに対する前記検査部の検査を行わないことを決定する決定部と、
を含むフレーム検査装置。(4)
(付記9)
端末から網へ転送されるフレームを中継するフレーム中継装置から、前記検査を要しない端末の識別情報を受信して前記記憶部に登録する登録部をさらに備え、
前記受信部は、前記フレーム中継装置から前記網へ転送される前記端末からのフレーム
を受信する
付記8に記載のフレーム検査装置。(5)
システム構成例を示す図である。 IDSの機能ブロックの例を示す図である。 VPN−GWの機能ブロックの例を示す図である。 受信したフレームと転送される機能ブロックとの関係を示すテーブルである。 リモート端末の機能ブロックの例を示す図である。 受信したフレームと転送される機能ブロックとの関係を示すテーブルである。 インベントリ管理サーバの機能ブロックの例を示す図である。 不正検出を行わない場合のシーケンスの例を示す図である。 リモート端末の機能ブロックフローの例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 インベントリ情報要求フレームのフォーマット例を示す図である。 メッセージ種別の対応例を示すテーブルである。 リモート端末の機能ブロックフローの例を示す図である。 インベントリの構成例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 インベントリ情報回答フレームのフォーマット例を示す図である。 インベントリ管理サーバの機能ブロックフローの例を示す図である。 不正検出確認応答フレームのフォーマット例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 IDS設定要求フレームのフォーマット例を示す図である。 IDSの機能ブロックフローの例を示す図である。 IDS設定終了フレームのフォーマット例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 リモート端末の機能ブロックフローの例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 IDSの機能ブロックフローの例を示す図である。 不正検出を行う場合のシーケンスの例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 リモート端末の機能ブロックフローの例を示す図である。 VPN−GWの機能ブロックフローの例を示す図である。 IDSの機能ブロックフローの例を示す図である。 一般的なネットワークの構成例を示す図である。 一般的なネットワークへの接続を説明する図である。
符号の説明
100 外部網
101 ファイアウォール
102 IDS
103 VPN−GW
104 出先や自宅(リモート端末)
105 インベントリ管理サーバ
106 ルータ
108 L2スイッチ
110 ルータ
111 認証サーバ
112 社外向けサーバ群
114 エンタープライズ網
116 社内向けサーバ群
201 通信部
202 フレーム判定部
210 リモート端末識別子設定部
212 IDS設定終了フレーム作成部
214 不正検出不要ノード識別子DB部
220 不正検出要否判定部
222 不正検出部
224 不正パターンDB部
226 廃棄ログ部
228 コンソール部
301 通信部
303 暗号デコード部
304 暗号エンコード部
310 認証要求フレーム作成部
320 認証結果判断部
322 接続拒否フレーム作成部
324 インベントリ情報要求フレーム作成部
330 不正検出確認要求フレーム作成部
340 認証検出確認応答確認部
342 IDS認定要求フレーム作成部
350 接続準備完了フレーム作成部
360 転送認可確認部
370 転送許可端末DB
401 通信部
402 フレーム判定部
403 暗号デコード部
404 暗号エンコード部
410 インベントリ情報回答フレーム作成部
412 インベントリ情報保持DB
420 VPN接続制御部
422 接続要求フレーム作成部
428 コンソール部
430 OSの通信部
501 通信部
510 インベントリ比較部
512 推奨インベントリ情報保持DB
514 不正検出確認応答フレーム作成部

Claims (5)

  1. 端末から網へ転送されるフレームを中継するフレーム中継装置であって、
    前記端末から前記網へのフレーム送信が開始される前に、前記端末からのフレームに対する安全性の検査が必要か否かを判定する判定部と、
    安全性の検査が必要でない場合に、フレーム中継装置と前記網との間のフレーム伝送路上に位置し、前記網へ転送されるフレームを受信して安全性の検査を行う検査装置において前記端末からのフレームに対する安全性の検査を行わないことを決定し、安全性の検査が必要である場合に前記検査装置において前記端末からのフレームに対する安全性の検査を行うことを決定する決定部と、
    決定結果に基づく指示を前記検査装置へ出力する出力部と、
    を含むフレーム中継装置。
  2. 前記判定部は、前記端末から送信されるフレームの安全性が前記網の要求する条件を満たしているか否かを判定することによって、前記検査が必要であるか否かを判定する
    請求項1に記載のフレーム中継装置。
  3. 前記端末からの前記網への接続要求を受信した場合に、前記端末の安全性に係る情報を前記端末から取得する手段と、
    前記端末の安全性に係る情報に基づき前記検査が必要か否かの判断を判断装置に問い合わせる手段とをさらに含み、
    前記判定部は、前記判断装置の回答にしたがって前記検査が必要か否かを判定する
    請求項1に記載のフレーム中継装置。
  4. フレームの受信部と、
    フレームに対する安全性の検査を行う検査部と、
    前記検査部による安全性の検査を要しない端末の識別情報が登録される記憶部と、
    前記受信部でフレームが受信されたときに、このフレームの送信元端末の識別情報が前記記憶部に登録されている場合には、このフレームに対する前記検査部の検査を行わないことを決定する決定部と、
    を含むフレーム検査装置。
  5. 端末から網へ転送されるフレームを中継するフレーム中継装置から、前記検査を要しない端末の識別情報を受信して前記記憶部に登録する登録部をさらに備え、
    前記受信部は、前記フレーム中継装置から前記網へ転送される前記端末からのフレームを受信する
    請求項3に記載のフレーム検査装置。
JP2006076466A 2006-03-20 2006-03-20 フレーム中継装置及びフレーム検査装置 Expired - Fee Related JP4823728B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006076466A JP4823728B2 (ja) 2006-03-20 2006-03-20 フレーム中継装置及びフレーム検査装置
US11/487,982 US20070220615A1 (en) 2006-03-20 2006-07-18 Frame relay device and frame inspection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006076466A JP4823728B2 (ja) 2006-03-20 2006-03-20 フレーム中継装置及びフレーム検査装置

Publications (2)

Publication Number Publication Date
JP2007251906A true JP2007251906A (ja) 2007-09-27
JP4823728B2 JP4823728B2 (ja) 2011-11-24

Family

ID=38519572

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006076466A Expired - Fee Related JP4823728B2 (ja) 2006-03-20 2006-03-20 フレーム中継装置及びフレーム検査装置

Country Status (2)

Country Link
US (1) US20070220615A1 (ja)
JP (1) JP4823728B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009207094A (ja) * 2008-02-29 2009-09-10 Nec Corp リモートアクセスシステム、方法及びプログラム
JP2011211307A (ja) * 2010-03-29 2011-10-20 Brother Industries Ltd Vpnルータ、サーバおよび通信システム
JP2013503552A (ja) * 2009-08-25 2013-01-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電気通信ネットワークにおいて不正を検出するための方法および装置
WO2016088304A1 (ja) * 2014-12-01 2016-06-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
WO2022176238A1 (ja) * 2021-02-19 2022-08-25 京セラ株式会社 画像処理装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090210935A1 (en) * 2008-02-20 2009-08-20 Jamie Alan Miley Scanning Apparatus and System for Tracking Computer Hardware

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05153126A (ja) * 1991-11-30 1993-06-18 Nec Corp フイルタリング装置
JPH11163940A (ja) * 1997-09-12 1999-06-18 Lucent Technol Inc パケット検証方法
JP2001510947A (ja) * 1997-07-10 2001-08-07 マイクロソフト コーポレイション コンピュータシステムにおけるネットワークパケットの高速転送及びフィルタリング
JP2003179647A (ja) * 2001-12-13 2003-06-27 Toshiba Corp パケット転送装置およびパケット転送方法
JP2003525557A (ja) * 2000-03-02 2003-08-26 チェック ポイント ソフトウェア テクノロジース リミテッド 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
JP2004158025A (ja) * 2003-12-17 2004-06-03 Nsi Co Ltd ネットワークシステム、サーバ装置、および認証方法
JP2006121679A (ja) * 2004-10-06 2006-05-11 Samsung Electronics Co Ltd ネットワークにおける侵入検知装置及び侵入検知方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US20070118756A2 (en) * 2003-07-01 2007-05-24 Securityprofiling, Inc. Policy-protection proxy

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05153126A (ja) * 1991-11-30 1993-06-18 Nec Corp フイルタリング装置
JP2001510947A (ja) * 1997-07-10 2001-08-07 マイクロソフト コーポレイション コンピュータシステムにおけるネットワークパケットの高速転送及びフィルタリング
JPH11163940A (ja) * 1997-09-12 1999-06-18 Lucent Technol Inc パケット検証方法
JP2003525557A (ja) * 2000-03-02 2003-08-26 チェック ポイント ソフトウェア テクノロジース リミテッド 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
JP2003179647A (ja) * 2001-12-13 2003-06-27 Toshiba Corp パケット転送装置およびパケット転送方法
JP2004158025A (ja) * 2003-12-17 2004-06-03 Nsi Co Ltd ネットワークシステム、サーバ装置、および認証方法
JP2006121679A (ja) * 2004-10-06 2006-05-11 Samsung Electronics Co Ltd ネットワークにおける侵入検知装置及び侵入検知方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009207094A (ja) * 2008-02-29 2009-09-10 Nec Corp リモートアクセスシステム、方法及びプログラム
JP2013503552A (ja) * 2009-08-25 2013-01-31 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電気通信ネットワークにおいて不正を検出するための方法および装置
JP2011211307A (ja) * 2010-03-29 2011-10-20 Brother Industries Ltd Vpnルータ、サーバおよび通信システム
WO2016088304A1 (ja) * 2014-12-01 2016-06-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
JP6077728B2 (ja) * 2014-12-01 2017-02-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知電子制御ユニット、車載ネットワークシステム及び不正検知方法
WO2022176238A1 (ja) * 2021-02-19 2022-08-25 京セラ株式会社 画像処理装置
WO2022176153A1 (ja) * 2021-02-19 2022-08-25 京セラ株式会社 画像処理装置
JP7162762B1 (ja) * 2021-02-19 2022-10-28 京セラ株式会社 画像処理装置

Also Published As

Publication number Publication date
JP4823728B2 (ja) 2011-11-24
US20070220615A1 (en) 2007-09-20

Similar Documents

Publication Publication Date Title
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
US10659462B1 (en) Secure data transmission using a controlled node flow
US10243928B2 (en) Detection of stale encryption policy by group members
KR100628325B1 (ko) 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US8997201B2 (en) Integrity monitoring to detect changes at network device for use in secure network access
US20150058916A1 (en) Detecting encrypted tunneling traffic
US20050182968A1 (en) Intelligent firewall
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
JP6084278B1 (ja) 情報処理装置、方法およびプログラム
JP4823728B2 (ja) フレーム中継装置及びフレーム検査装置
US20170070518A1 (en) Advanced persistent threat identification
CN111988289B (zh) Epa工业控制网络安全测试***及方法
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
US8671451B1 (en) Method and apparatus for preventing misuse of a group key in a wireless network
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
CN111885209B (zh) 一种基于单向光闸的消息队列同步方法、装置及***
CN111083172A (zh) 一种基于数据包分析的链路通信监控视图构建方法
JP2008276457A (ja) ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法
EP2007066A2 (en) A policy enforcement point and a linkage method and system for intrude detection system
KR20030039149A (ko) 바이러스 탐지 엔진을 갖는 침입 탐지 시스템
KR101881279B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
JP2006099590A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP2008141352A (ja) ネットワークセキュリティシステム
KR101375840B1 (ko) 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법
JP2016021621A (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080723

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090323

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090930

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20091008

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20091113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110728

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110907

R150 Certificate of patent or registration of utility model

Ref document number: 4823728

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees