JP2008060766A - ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 - Google Patents
ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 Download PDFInfo
- Publication number
- JP2008060766A JP2008060766A JP2006233255A JP2006233255A JP2008060766A JP 2008060766 A JP2008060766 A JP 2008060766A JP 2006233255 A JP2006233255 A JP 2006233255A JP 2006233255 A JP2006233255 A JP 2006233255A JP 2008060766 A JP2008060766 A JP 2008060766A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- quarantine
- network
- connection request
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】VLAN対応スイッチを導入することなく、既存のネットワークへ検疫システムを追加可能とすることを目的とする。
【解決手段】エージェント3は、エージェント端末300にインストールされ、他の端末からのARP Requestに対してエージェント端末300がARP Replyを出力しないように制御する。SGW100は、監視ネットワークに接続された端末へのARP Requestを検出し、送信元端末の検疫判定を行う。SGW100は、検疫判定の結果、送信元端末が検疫済であれば、ARP Requestの宛先のエージェント端末300にインストールされたエージェント3へ、ARP Requestに対してARP Replyを出力するように指示する。指示を受けたエージェント3は、エージェント端末300をARP Replyを出力するように制御する。
【選択図】図3
【解決手段】エージェント3は、エージェント端末300にインストールされ、他の端末からのARP Requestに対してエージェント端末300がARP Replyを出力しないように制御する。SGW100は、監視ネットワークに接続された端末へのARP Requestを検出し、送信元端末の検疫判定を行う。SGW100は、検疫判定の結果、送信元端末が検疫済であれば、ARP Requestの宛先のエージェント端末300にインストールされたエージェント3へ、ARP Requestに対してARP Replyを出力するように指示する。指示を受けたエージェント3は、エージェント端末300をARP Replyを出力するように制御する。
【選択図】図3
Description
本発明は、例えば、コンピュータがネットワークを介して接続されているネットワークシステムにおいて、不正端末を検出し排除する検疫システムに関する。
従来、VLAN(Virtual Local Area Network)対応スイッチ(Switch)を用いたVLAN制御による検疫システムがある。しかし、既存のネットワークVLAN対応スイッチを用いたVLAN制御による検疫システムを導入するには、新たにVLAN対応のスイッチを導入しなければならない。これには導入コストが必要であるのみならず、ネットワークに関する各種の設定変更や、既存ネットワークからの変更に伴う障害発生の危険など、多くのリスクがある。
また、特許文献1には、クライアントのセキュリティチェック方法についての記載がある。特許文献1では、クライアントには何らかのセキュリティチェックツールが備わっていることを前提としている。しかし、攻撃者が攻撃を目的としてクライアントをネットワークに接続した場合、この前提は成立せず、検疫完了前のクライアントから攻撃を受ける可能性がある。
特開2005−293007号公報
VLAN対応スイッチを用いたVLAN制御による検疫システムにおいては、VLAN対応のスイッチを導入しなければならない。また、ネットワークに関する設定変更をしなければならない。したがって、既存のネットワークへ検疫機能を追加することが難しい。
また、特許文献1に記載されたクライアントのセキュリティチェック方法においては、接続したクライアントの検疫完了前には攻撃を受け得る。そのため、接続したクライアントの検疫を完了するまでに、クライアントには何らかのセキュリティチェックツールが備わっているという前提を必要としない他の防御方式が必要である。
また、特許文献1に記載されたクライアントのセキュリティチェック方法においては、接続したクライアントの検疫完了前には攻撃を受け得る。そのため、接続したクライアントの検疫を完了するまでに、クライアントには何らかのセキュリティチェックツールが備わっているという前提を必要としない他の防御方式が必要である。
本発明は、例えば、新たなVLAN対応スイッチを導入することなく、既存のネットワークへ検疫システムを追加可能とするとともに、新規端末が攻撃端末であった場合に、その端末のみを端末レベルで隔離することを目的とする。
また新規にネットワークに接続された端末が不正端末であった場合など、不正端末に何らセキュリティチェックツールが備わっていなくても、不正端末を検出し排除することを目的とする。
さらに、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、検疫済の端末が被害を受けない検疫システムを構築することを目的とする。
また新規にネットワークに接続された端末が不正端末であった場合など、不正端末に何らセキュリティチェックツールが備わっていなくても、不正端末を検出し排除することを目的とする。
さらに、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、検疫済の端末が被害を受けない検疫システムを構築することを目的とする。
本発明に係るネットワーク監視装置は、例えば、送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とする。
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とする。
本発明に係るネットワーク監視装置によれば、応答指示部が指示した送信先端末以外は送信元端末からの接続要求に対して応答しない。そのため、VLAN制御を用いることなく、不正端末を検出し排除することができる。また、VLAN制御を用いる必要がないので、既存のネットワークへ容易に検疫機能を追加することができる。
図1は、実施の形態における検疫システム1000の外観の一例を示す図である。
図1において、検疫システム1000は、サーバA910A、サーバB910B、サーバC910C、PC(パーソナルコンピュータ)A909A、PCB909B、PCC909Cなどを備える。また、PCA909A、PCB909B、PCC909Cは、LCD(液晶)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
サーバA910A、サーバB910B、サーバC910C、PCA909A、PCB909B、PCC909Cは、コンピュータであり、ローカルエリアネットワーク942(LAN)やインターネット940により接続されている。
ここで、サーバA910Aは、SGW100(セキュアゲートウェイ、ネットワーク監視装置)の一例である。また、PCA909A、PCB909B、PCC909C、サーバC910Cは、エージェント端末300の一例である。また、サーバB910Bは、管理サーバ200の一例である。
図1において、検疫システム1000は、サーバA910A、サーバB910B、サーバC910C、PC(パーソナルコンピュータ)A909A、PCB909B、PCC909Cなどを備える。また、PCA909A、PCB909B、PCC909Cは、LCD(液晶)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
サーバA910A、サーバB910B、サーバC910C、PCA909A、PCB909B、PCC909Cは、コンピュータであり、ローカルエリアネットワーク942(LAN)やインターネット940により接続されている。
ここで、サーバA910Aは、SGW100(セキュアゲートウェイ、ネットワーク監視装置)の一例である。また、PCA909A、PCB909B、PCC909C、サーバC910Cは、エージェント端末300の一例である。また、サーバB910Bは、管理サーバ200の一例である。
図2は、実施の形態におけるSGW100、管理サーバ200及びエージェント端末300のハードウェア資源の一例を示す図である。
図2において、SGW100、管理サーバ200及びエージェント端末300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
図2において、SGW100、管理サーバ200及びエージェント端末300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置984の一例である。
通信ボード915、キーボード902、FDD904などは、入力装置982の一例である。
通信ボード915、キーボード902、FDD904などは、入力装置982の一例である。
通信ボード915は、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「ネットワーク監視部110」、「管理サーバ処理部210」、「端末制御部310」として説明する機能を実行するプログラムがそれぞれ記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「判定」「指示」として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、コンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、以下に述べる実施の形態の説明において、「判定」「指示」として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、コンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
実施の形態1.
実施の形態1では、VLAN機能を使用することなく不正端末を検出し排除する検疫システム1000について説明する。
実施の形態1では、VLAN機能を使用することなく不正端末を検出し排除する検疫システム1000について説明する。
まず、図3に基づき実施の形態1に係る検疫システム1000の構成を説明する。
検疫システム1000は、監視下のネットワークを保護するSGW100と、端末が監視下のネットワークのセキュリティポリシーに合致する正常端末であるかを判断する管理サーバ200と、各端末に設定(インストール)され、当該端末がセキュリティポリシーに合致するものであることを保証するエージェント3とを備える。
図3において、不正端末500はエージェント3がインストールされておらず、また未検疫の端末である。その他のエージェント3がインストールされたエージェント端末300は検疫済の正常端末である。
検疫システム1000は、監視下のネットワークを保護するSGW100と、端末が監視下のネットワークのセキュリティポリシーに合致する正常端末であるかを判断する管理サーバ200と、各端末に設定(インストール)され、当該端末がセキュリティポリシーに合致するものであることを保証するエージェント3とを備える。
図3において、不正端末500はエージェント3がインストールされておらず、また未検疫の端末である。その他のエージェント3がインストールされたエージェント端末300は検疫済の正常端末である。
検疫システム1000の構成要素について簡単に説明する。
SGW100は、保護対象のネットワークである監視ネットワークの通信を監視する。SGW100は、未検疫端末を検出し検疫判定を行う機能と、通信を監視し、検疫済端末の通信は透過、未検疫端末の通信は遮断する機能とを有する。図3においては、不正端末500はエージェント3がインストールされておらず、未検疫であるため、SGW100は不正端末500の通信を遮断する。一方、SGW100は、正常端末であるエージェント端末300の通信を透過する。
エージェント3は、端末にインストールされ、端末が安全な状態であることを監視する。また、エージェント3は、OS等のパッチや、ウィルス駆除ソフトの定義ファイルなどが最新であることをチェックし、管理サーバ200に通知する機能と、SGW100が検疫判定を行う際に、端末にエージェント3をインストール済みであることをSGW100へ通知する機能とを有する。
管理サーバ200は、SGW100やエージェント3へ必要な情報を配布する機能と、SGW100やエージェント3からの情報を収集し管理する機能とを有する。
検疫システム1000は、以上の構成要素を用いて、外部から端末を持ち込んでも、自由に通信することを防止するシステムである。
SGW100は、保護対象のネットワークである監視ネットワークの通信を監視する。SGW100は、未検疫端末を検出し検疫判定を行う機能と、通信を監視し、検疫済端末の通信は透過、未検疫端末の通信は遮断する機能とを有する。図3においては、不正端末500はエージェント3がインストールされておらず、未検疫であるため、SGW100は不正端末500の通信を遮断する。一方、SGW100は、正常端末であるエージェント端末300の通信を透過する。
エージェント3は、端末にインストールされ、端末が安全な状態であることを監視する。また、エージェント3は、OS等のパッチや、ウィルス駆除ソフトの定義ファイルなどが最新であることをチェックし、管理サーバ200に通知する機能と、SGW100が検疫判定を行う際に、端末にエージェント3をインストール済みであることをSGW100へ通知する機能とを有する。
管理サーバ200は、SGW100やエージェント3へ必要な情報を配布する機能と、SGW100やエージェント3からの情報を収集し管理する機能とを有する。
検疫システム1000は、以上の構成要素を用いて、外部から端末を持ち込んでも、自由に通信することを防止するシステムである。
次に、図4に基づき検疫システム1000が未検疫端末を検出した場合の動作について説明する。図4は、図3に示す検疫システム1000が未検疫端末を検出した場合の動作を示す図である。
検疫システム1000は、未検疫端末を検出した場合、以下の動作により検疫判定を行う。
1.端末が通信を開始する。SGW100は、この通信を拾い、端末が検疫済か未検疫かを判定する(1)。SGW100は端末が未検疫であると判定すると検疫処理を管理サーバ200へ依頼する。管理サーバ200は、エージェント3がインストールされているか否か、及びパッチ情報を端末へ問合せする(2)。ここでは、管理サーバ200は、SGW100経由で端末へ問合せを行っているが、直接端末へ問合せを行っても構わない。
2.端末にインストールされたエージェント3は、必要な情報を管理サーバ200へ通知する(3,4)。
3.管理サーバ200は、SGW100へ検疫結果を通知する(5)。
4.SWG1は、検疫結果に従い、通信を透過もしくは破棄する。図4において、SGW100は、不正端末500の通信であれば破棄し、エージェント端末300の通信であれば透過する(6)。
SGW100は、一度検疫済みとなった端末を記憶し、それ以降記憶された端末は、SGW100にて透過中継される。
検疫システム1000は、未検疫端末を検出した場合、以下の動作により検疫判定を行う。
1.端末が通信を開始する。SGW100は、この通信を拾い、端末が検疫済か未検疫かを判定する(1)。SGW100は端末が未検疫であると判定すると検疫処理を管理サーバ200へ依頼する。管理サーバ200は、エージェント3がインストールされているか否か、及びパッチ情報を端末へ問合せする(2)。ここでは、管理サーバ200は、SGW100経由で端末へ問合せを行っているが、直接端末へ問合せを行っても構わない。
2.端末にインストールされたエージェント3は、必要な情報を管理サーバ200へ通知する(3,4)。
3.管理サーバ200は、SGW100へ検疫結果を通知する(5)。
4.SWG1は、検疫結果に従い、通信を透過もしくは破棄する。図4において、SGW100は、不正端末500の通信であれば破棄し、エージェント端末300の通信であれば透過する(6)。
SGW100は、一度検疫済みとなった端末を記憶し、それ以降記憶された端末は、SGW100にて透過中継される。
上記の説明において、SGW100は、端末が開始した通信を拾うことで、検疫判定を行った。端末は、通常、通信に先立ちARP(Address Resolution Protocol) Requestをブロードキャストして、相手先のMAC(Media Access Control)アドレスを解決しようとする。そこで、SGW100は、このARP Requestを拾うことで上述した検疫判定を開始することが可能である。
ここで、実施の形態1に係る検疫システム1000に使用されるスイッチは、VLAN機能を有さないことを特徴とする。しかし、上述した検疫システム1000の動作を単純に行う場合、スイッチがVLAN機能を有さないために弊害を伴うことになる。そこで、まず、スイッチがVLAN機能を有さないことによる弊害について説明し、次に、この弊害の解決方法について説明する。
図5及び図6において、各々の端末はスイッチ4により接続される。あるシステムを初めから検疫システムとして構築する場合、一般にスイッチ4はVLAN機能を持つものが用いられる。この理由は、未検疫端末と検疫済端末とを分けるためである。スイッチ4がVLAN機能を持つことにより、仮に新規接続された端末が攻撃端末(不正端末500)であった場合でも、検疫済端末であるエージェント端末300とはVLANが異なり、攻撃端末が接続されてもエージェント端末300に被害が及ぶことは無い。
一方で、VLAN機能が無い環境でそのまま検疫システム1000を構築しようとした場合、検疫済端末と新規接続端末は同じネットワークに存在するため、検疫済端末であるか否かを問わず通信が成立してしまう。
図5及び図6において、各々の端末はスイッチ4により接続される。あるシステムを初めから検疫システムとして構築する場合、一般にスイッチ4はVLAN機能を持つものが用いられる。この理由は、未検疫端末と検疫済端末とを分けるためである。スイッチ4がVLAN機能を持つことにより、仮に新規接続された端末が攻撃端末(不正端末500)であった場合でも、検疫済端末であるエージェント端末300とはVLANが異なり、攻撃端末が接続されてもエージェント端末300に被害が及ぶことは無い。
一方で、VLAN機能が無い環境でそのまま検疫システム1000を構築しようとした場合、検疫済端末と新規接続端末は同じネットワークに存在するため、検疫済端末であるか否かを問わず通信が成立してしまう。
図5及び図6に示すように、新規にネットワークに接続された端末が攻撃端末である場合、ネットワーク内に存在する端末を探索するため大量にARP Requestを送信することが考えられる。同じスイッチ4に接続されている端末は、このARP RequestにARP Replyを返してしまうため、攻撃端末にその存在が知られる。その結果、攻撃端末の攻撃が成立するのみならず、スイッチ4で区切られているため、SGW100からは内部で攻撃が行なわれていることさえも知ることができない。
また、仮に攻撃端末がネットワークに接続されたことを判断できたとしても、VLAN機能を有さないため、VLANによる隔離が不可能である。そのため、攻撃端末のみを隔離することは出来ず、正常なエージェント端末300も含めてスイッチ4以下のすべての端末を隔離することになる。つまり、スイッチ4以下の正常なエージェント端末300は、正常であるにもかかわらず他のネットワークから隔離されることになる。また、エージェント3は監視下のエージェント端末300が攻撃されていることを判断できたとしても、攻撃を受けているのでそれを通知することが困難となることが考えられる。そのため、被害が拡大するおそれがある。
VLAN機能を有さないことによりこのような弊害がある。そこで、次に、上述したVLAN機能を有さないことによる弊害を解決する方法について説明する。
エージェント3とSGW100とが次の動作を行うことにより上記弊害を解決する。
エージェント3とSGW100とが次の動作を行うことにより上記弊害を解決する。
まず、エージェント3の動作について説明する。
エージェント端末300にインストールされたエージェント3は、エージェント端末300が以下の動作となるように制御する。
(1)エージェント端末300は、SGW100から誘導(指示)がない限り、すべてのARP Requestに対してARP Replyを返さない。また、エージェント端末300は、ARP Requestを受信してもARPキャッシュは更新しない。
(2)エージェント端末300は、SGW100からのARP誘導があった場合のみARP Replyを出力する。
(3)エージェント端末300は、エージェント端末300が出したARP Requestに対するARP Replyだけを受取る。
エージェント端末300にインストールされたエージェント3は、エージェント端末300が以下の動作となるように制御する。
(1)エージェント端末300は、SGW100から誘導(指示)がない限り、すべてのARP Requestに対してARP Replyを返さない。また、エージェント端末300は、ARP Requestを受信してもARPキャッシュは更新しない。
(2)エージェント端末300は、SGW100からのARP誘導があった場合のみARP Replyを出力する。
(3)エージェント端末300は、エージェント端末300が出したARP Requestに対するARP Replyだけを受取る。
上記(1)については、エージェント端末300が所属するサブネット以外からのARP RequestにはARP Replyを出力することも可能である。しかし、通常、攻撃者は攻撃端末のアドレスを詐称する。そのため、ここでは、すべてのARP Requestに対してARP Replyを返さないこととする。
また、エージェント端末300のARPキャッシュについては、ARP Replyを受信することで通常のARPプロトコルスタックが更新する。
また、エージェント端末300のARPキャッシュについては、ARP Replyを受信することで通常のARPプロトコルスタックが更新する。
次に、SGW100の動作について説明する。
まず、SGW100の動作の概要を説明する。SGW100は、ARP Requestを受信した後、ARP Requestの出力元が正常端末であるか否かの判定を終えるまでこれを保持する。SGW100は、ARP Requestの出力元が正常端末であると判断した場合、ARP Requestの送信先の端末をARP Replyを出力するように誘導する。SGW100は、ARP Requestの出力元が不正端末であると判定した場合、ARP Requestを破棄し、これ以降はどの端末もその出力元の端末へARP Replyを出力しない。
まず、SGW100の動作の概要を説明する。SGW100は、ARP Requestを受信した後、ARP Requestの出力元が正常端末であるか否かの判定を終えるまでこれを保持する。SGW100は、ARP Requestの出力元が正常端末であると判断した場合、ARP Requestの送信先の端末をARP Replyを出力するように誘導する。SGW100は、ARP Requestの出力元が不正端末であると判定した場合、ARP Requestを破棄し、これ以降はどの端末もその出力元の端末へARP Replyを出力しない。
次に、SGW100の動作を詳細に説明する。
(1)監視(防御対象)ネットワーク内の、検疫済みのすべてのエージェント端末300についてIP(Internet Protocol)アドレスとMACアドレスの対応表を持つ。この表をARP解決テーブルと呼ぶ。SGW100は検疫判定後にARP解決テーブルを更新する。つまり、SGW100は、端末が正常なエージェント端末300であると判定した場合、ARP解決テーブルにIPアドレスとMACアドレスとを追加する。
(2)監視ネットワークから、送信元の端末が監視ネットワーク以外のアドレスを持つARP Requestを受信した場合、送信元端末を不正端末としてARP Requestを破棄する。
(3)監視ネットワークから、送信元端末と送信先端末との両方が監視ネットワークのアドレスであるARP Requestを受信した場合
(3.1)送信元端末と送信先端末とがいずれも検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。ここで、端末が検疫済か否かはARP解決テーブルによって判定できる。
(3.2)送信先端末は検疫済だが送信元端末が未検疫の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(3.3)上記(3.1)及び(3.2)以外の場合、ARP Requestを破棄する。つまり、送信先端末をARP Replyを出力するように誘導しない。すなわち、送信先端末はARP Replyを出力しない。
(4)監視ネットワークから、送信元端末が監視ネットワークのアドレスで、送信先端末が外部ネットワークのARP Requestを受信した場合
(4.1)送信元端末が検疫済端末の場合、ARP Requestを中継する。送信元端末が未検疫端末の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(4.2)上記(4.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
(5)監視ネットワーク外からARP Requestを受信した場合
(5.1)送信先端末が検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。送信先端末が出力した外部に出て行くARP Replyは、SGW100にて単に中継する。
(5.2)上記(5.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
(1)監視(防御対象)ネットワーク内の、検疫済みのすべてのエージェント端末300についてIP(Internet Protocol)アドレスとMACアドレスの対応表を持つ。この表をARP解決テーブルと呼ぶ。SGW100は検疫判定後にARP解決テーブルを更新する。つまり、SGW100は、端末が正常なエージェント端末300であると判定した場合、ARP解決テーブルにIPアドレスとMACアドレスとを追加する。
(2)監視ネットワークから、送信元の端末が監視ネットワーク以外のアドレスを持つARP Requestを受信した場合、送信元端末を不正端末としてARP Requestを破棄する。
(3)監視ネットワークから、送信元端末と送信先端末との両方が監視ネットワークのアドレスであるARP Requestを受信した場合
(3.1)送信元端末と送信先端末とがいずれも検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。ここで、端末が検疫済か否かはARP解決テーブルによって判定できる。
(3.2)送信先端末は検疫済だが送信元端末が未検疫の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(3.3)上記(3.1)及び(3.2)以外の場合、ARP Requestを破棄する。つまり、送信先端末をARP Replyを出力するように誘導しない。すなわち、送信先端末はARP Replyを出力しない。
(4)監視ネットワークから、送信元端末が監視ネットワークのアドレスで、送信先端末が外部ネットワークのARP Requestを受信した場合
(4.1)送信元端末が検疫済端末の場合、ARP Requestを中継する。送信元端末が未検疫端末の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(4.2)上記(4.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
(5)監視ネットワーク外からARP Requestを受信した場合
(5.1)送信先端末が検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。送信先端末が出力した外部に出て行くARP Replyは、SGW100にて単に中継する。
(5.2)上記(5.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
つまり、端末にインストールされたエージェント3は、ARP Requestを端末が受信してもARP Replyを返さないように端末を制御する。そして、端末にインストールされたエージェント3に、SGW100が働きかけることにより、端末がARP Replyを生成する。
この方法によれば、端末はSGW100から指示されない限りARP Replyを返さないため、上述したVLAN機能を有さないことによる弊害を解決することが可能である。また、新規にネットワークに接続された端末が不正であると判断する前に、上記端末が攻撃を開始した場合にも監視ネットワークの端末は被害を受けることはない。
また、エージェント3がARP解決テーブルのような情報を持つ必要がない。そのため、エージェント3の処理負荷が軽い。また、エージェント3がARP解決テーブルのような情報持たないので、検疫済の端末の増減に伴うARP解決テーブルの変更時に、エージェント3に変更情報を何度も再配信する煩雑さも無い。
また、エージェント3がARP解決テーブルのような情報を持つ必要がない。そのため、エージェント3の処理負荷が軽い。また、エージェント3がARP解決テーブルのような情報持たないので、検疫済の端末の増減に伴うARP解決テーブルの変更時に、エージェント3に変更情報を何度も再配信する煩雑さも無い。
次に、図7から図9に基づき、上述したSGW100、管理サーバ200及びエージェント3の動作を実現する検疫システム1000の機能及び処理の一例について詳細に説明する。
図7は、実施の形態1に係る検疫システム1000の機能を示す機能ブロック図である。検疫システム1000は、SGW100、管理サーバ200、エージェント端末300を備える。
SGW100は、ネットワーク監視部110、表示装置A986A、処理装置A980A、入力装置A982A、記憶装置A984A、通信装置A988Aを備える。ネットワーク監視部110は、接続要求受信部112、ネットワーク判定部114、アドレス判定部116、検疫判定情報記憶部118、検疫判定部120、検疫処理指示部122、検疫処理結果受信部124、検疫処理結果判定部126、応答指示部128を備える。
管理サーバ200は、管理サーバ処理部210、処理装置B980B、入力装置B982B、記憶装置B984B、通信装置B988Bを備える。管理サーバ処理部210は、検疫処理実施部212、検疫処理結果送信部214を備える。
エージェント端末300は、端末制御部310、処理装置C980C、入力装置C982C、記憶装置C984C、通信装置C988Cを備える。端末制御部310は、上述したエージェント3である。
SGW100は、ネットワーク監視部110、表示装置A986A、処理装置A980A、入力装置A982A、記憶装置A984A、通信装置A988Aを備える。ネットワーク監視部110は、接続要求受信部112、ネットワーク判定部114、アドレス判定部116、検疫判定情報記憶部118、検疫判定部120、検疫処理指示部122、検疫処理結果受信部124、検疫処理結果判定部126、応答指示部128を備える。
管理サーバ200は、管理サーバ処理部210、処理装置B980B、入力装置B982B、記憶装置B984B、通信装置B988Bを備える。管理サーバ処理部210は、検疫処理実施部212、検疫処理結果送信部214を備える。
エージェント端末300は、端末制御部310、処理装置C980C、入力装置C982C、記憶装置C984C、通信装置C988Cを備える。端末制御部310は、上述したエージェント3である。
図8は、実施の形態1に係るSGW100の動作であるネットワーク監視処理を表すフローチャートである。ネットワーク監視処理は、上述したSGW100の動作を実現する。
まず、接続要求受信処理(S110)では、接続要求受信部112は、送信元端末から送信先端末に宛てられた接続要求であるARP Requestを、ネットワークを介して通信装置A988Aにより受信する。ここで、送信先端末もARP Request受信している。しかし、上述したように送信先端末が、エージェント3がインストールされたエージェント端末300であれば、送信先端末はエージェント3(端末制御部310)の制御により、接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない。
次に、ネットワーク判定処理(S120)では、ネットワーク判定部114は、ARP Requestが監視ネットワークに接続された端末から送信されたか否かを処理装置A980Aにより判定する。つまり、ネットワーク判定部114は、送信元端末が監視ネットワークの内部の端末であるか外部の端末であるかを判定する。また、ネットワーク判定部114は、ARP Requestの宛先の端末である送信先端末が監視ネットワークの内部の端末であるか外部の端末であるかを判定する。
送信元端末が内部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S130)へ進む。送信元端末が内部の端末であり、送信先端末が外部の端末である場合、ネットワーク判定部114は、(S131)へ進む。送信元端末が外部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S142)へ進む。ここで、送信元端末が外部の端末であり、送信先端末が外部の端末であるARP Requestについては、監視ネットワークへの影響がない。そのため、送信先端末が外部の端末であるARP Requestは、SGW100は受信しないか、あるいは受信したとしても特に処理は行わない。
送信元端末が内部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S130)へ進む。送信元端末が内部の端末であり、送信先端末が外部の端末である場合、ネットワーク判定部114は、(S131)へ進む。送信元端末が外部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S142)へ進む。ここで、送信元端末が外部の端末であり、送信先端末が外部の端末であるARP Requestについては、監視ネットワークへの影響がない。そのため、送信先端末が外部の端末であるARP Requestは、SGW100は受信しないか、あるいは受信したとしても特に処理は行わない。
まず、送信元端末が内部の端末であり、送信先端末が内部の端末である場合について説明する。上述したSGW100の動作では(3)の処理に該当する。
まず、上述したSGW100の(3)の動作の前に、アドレス判定処理(S130)において上述したSGW100の(2)の動作を行う。アドレス判定処理(S130)では、アドレス判定部116は、ARP Requestに含まれる送信元端末のアドレスが監視ネットワークのアドレスであるか否かを判定する。アドレス判定部116は、ARP Requestに含まれるアドレスが監視ネットワークの内部のアドレスでないと判定した場合、送信元端末を不正端末であると判定し、受信したARP Requestを破棄する。つまり、送信元端末が内部の端末であるとネットワーク判定部114が判定した場合、すなわち、ARP Requestが監視ネットワークに接続された端末から送信されたとネットワーク判定部114が判定した場合に、ARP Requestに含まれるアドレスが監視ネットワークの外部のアドレスである場合には、送信元端末を不正端末であると判定して、受信したARP Requestを破棄する。
次に、検疫判定処理(S140)では、検疫判定部120は、ARP解決テーブル(検疫判定情報の一例)に基づき、送信元端末及び送信先端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であり、かつ、送信先端末が検疫済であると判定した場合、検疫判定部120は(S180)へ進む。送信先端末は検疫済だが、送信元端末が未検疫であると判定した場合、検疫判定部120は(S150)へ進む。その他の場合には、検疫判定部120は受信したARP Requestを破棄する。
次に、検疫処理指示処理(S150)では、検疫処理指示部122は、管理サーバ200へ送信元端末の検疫処理の指示を処理装置A980Aにより行う。検疫処理の指示を受けた管理サーバ200の動作については後述する。
次に、検疫処理結果受信処理(S160)では、検疫処理結果受信部124は、検疫処理指示部122が指示した検疫処理を、後述する管理サーバ200の検疫処理結果送信部214が行った結果である、送信元端末が不正端末であるか否かを示す検疫処理結果を管理サーバ200から通信装置A988Aにより受信する。
そして、検疫処理結果判定処理(S170)では、検疫処理結果判定部126は、検疫処理結果受信部124が受信した検疫処理結果が送信元端末を不正端末である示しているか否かを処理装置A980Aにより判定する。検疫処理結果が送信元端末を不正端末である示していると判定した場合、検疫処理結果判定部126は受信したARP Requestを破棄する。検疫処理結果が送信元端末を不正端末である示していないと判定した場合、検疫処理結果判定部126は(S180)へ進む。
そして、応答指示処理(S180)では、応答指示部128は、ARP Requestに対して応答する(ARP Replyを出力する)ように送信先端末へ処理装置A980Aにより指示する。ここで送信先端末は、上記の処理によりエージェント3がインストールされたエージェント端末300に限定されている。送信先端末にインストールされたエージェント3(端末制御部310)は、応答指示部128からARP Requestに対して応答するように指示された場合に、ARP Requestに対して応答するように制御する。つまり、送信先端末は、エージェント3(端末制御部310)の制御により、応答指示部128から指示を受けることにより、ARP Replyを送信元端末へ出力する。
まず、上述したSGW100の(3)の動作の前に、アドレス判定処理(S130)において上述したSGW100の(2)の動作を行う。アドレス判定処理(S130)では、アドレス判定部116は、ARP Requestに含まれる送信元端末のアドレスが監視ネットワークのアドレスであるか否かを判定する。アドレス判定部116は、ARP Requestに含まれるアドレスが監視ネットワークの内部のアドレスでないと判定した場合、送信元端末を不正端末であると判定し、受信したARP Requestを破棄する。つまり、送信元端末が内部の端末であるとネットワーク判定部114が判定した場合、すなわち、ARP Requestが監視ネットワークに接続された端末から送信されたとネットワーク判定部114が判定した場合に、ARP Requestに含まれるアドレスが監視ネットワークの外部のアドレスである場合には、送信元端末を不正端末であると判定して、受信したARP Requestを破棄する。
次に、検疫判定処理(S140)では、検疫判定部120は、ARP解決テーブル(検疫判定情報の一例)に基づき、送信元端末及び送信先端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であり、かつ、送信先端末が検疫済であると判定した場合、検疫判定部120は(S180)へ進む。送信先端末は検疫済だが、送信元端末が未検疫であると判定した場合、検疫判定部120は(S150)へ進む。その他の場合には、検疫判定部120は受信したARP Requestを破棄する。
次に、検疫処理指示処理(S150)では、検疫処理指示部122は、管理サーバ200へ送信元端末の検疫処理の指示を処理装置A980Aにより行う。検疫処理の指示を受けた管理サーバ200の動作については後述する。
次に、検疫処理結果受信処理(S160)では、検疫処理結果受信部124は、検疫処理指示部122が指示した検疫処理を、後述する管理サーバ200の検疫処理結果送信部214が行った結果である、送信元端末が不正端末であるか否かを示す検疫処理結果を管理サーバ200から通信装置A988Aにより受信する。
そして、検疫処理結果判定処理(S170)では、検疫処理結果判定部126は、検疫処理結果受信部124が受信した検疫処理結果が送信元端末を不正端末である示しているか否かを処理装置A980Aにより判定する。検疫処理結果が送信元端末を不正端末である示していると判定した場合、検疫処理結果判定部126は受信したARP Requestを破棄する。検疫処理結果が送信元端末を不正端末である示していないと判定した場合、検疫処理結果判定部126は(S180)へ進む。
そして、応答指示処理(S180)では、応答指示部128は、ARP Requestに対して応答する(ARP Replyを出力する)ように送信先端末へ処理装置A980Aにより指示する。ここで送信先端末は、上記の処理によりエージェント3がインストールされたエージェント端末300に限定されている。送信先端末にインストールされたエージェント3(端末制御部310)は、応答指示部128からARP Requestに対して応答するように指示された場合に、ARP Requestに対して応答するように制御する。つまり、送信先端末は、エージェント3(端末制御部310)の制御により、応答指示部128から指示を受けることにより、ARP Replyを送信元端末へ出力する。
次に、送信元端末が内部の端末であり、送信先端末が外部の端末である場合について説明する。上述したSGW100の動作では(4)の処理に該当する。
まず、上述したSGW100の(4)の動作の前に、アドレス判定処理(S131)において上述したSGW100の(2)の動作を行う。(S131)は上述した(S130)と同様である。
次に、検疫判定処理(S141)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であると判定した場合、検疫判定部120は(S181)へ進む。送信元端末が未検疫であると判定した場合、検疫判定部120は(S151)へ進む。
(S151)から(S171)までは、上述した(S150)から(S170)までと同様である。
そして、応答指示処理(S181)では、応答指示部128は、ARP Requestを透過する。つまり、応答指示部128は、送信先端末へARP Requestを送信する。
まず、上述したSGW100の(4)の動作の前に、アドレス判定処理(S131)において上述したSGW100の(2)の動作を行う。(S131)は上述した(S130)と同様である。
次に、検疫判定処理(S141)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であると判定した場合、検疫判定部120は(S181)へ進む。送信元端末が未検疫であると判定した場合、検疫判定部120は(S151)へ進む。
(S151)から(S171)までは、上述した(S150)から(S170)までと同様である。
そして、応答指示処理(S181)では、応答指示部128は、ARP Requestを透過する。つまり、応答指示部128は、送信先端末へARP Requestを送信する。
次に、送信元端末が外部の端末であり、送信先端末が内部の端末である場合について説明する。上述したSGW100の動作では(5)の処理に該当する。
検疫判定処理(S142)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信先端末が検疫済であると判定した場合、検疫判定部120は(S182)へ進む。送信元端末が未検疫であると判定した場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、検疫判定部120は受信したARP Requestを破棄する。
(S182)は、(S180)と同様である。
検疫判定処理(S142)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信先端末が検疫済であると判定した場合、検疫判定部120は(S182)へ進む。送信元端末が未検疫であると判定した場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、検疫判定部120は受信したARP Requestを破棄する。
(S182)は、(S180)と同様である。
また、(S180)、(S181)及び(S182)それぞれの前に、検疫判定情報記憶部118は、端末が検疫済か否かを示す端末のIPアドレスとMACアドレスのペアをARP解決テーブルに記憶する処理を加えても構わない。
図9は、実施の形態1に係る管理サーバ200の動作である管理サーバ処理を表すフローチャートである。管理サーバ処理は、SGW100がネットワーク監視処理の(S150)及び(S151)において、管理サーバ200へ検疫処理の指示をした場合に実行される。
まず、検疫実施処理(S210)では、検疫処理実施部212は、SGW100の検疫処理指示部122の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正端末であるか否かを処理装置B980Bにより判定する。ここで、検疫処理実施部212は、端末等からエージェント3がインストールされているか否かを示す情報や、OSのパッチのバージョン情報等を受信し、端末が不正端末か否かを判定する。
次に、検疫処理結果送信処理(S220)では、検疫処理結果送信部214は、検疫処理実施部212が判定した結果である検疫処理結果を通信装置B988Bにより送信する。
まず、検疫実施処理(S210)では、検疫処理実施部212は、SGW100の検疫処理指示部122の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正端末であるか否かを処理装置B980Bにより判定する。ここで、検疫処理実施部212は、端末等からエージェント3がインストールされているか否かを示す情報や、OSのパッチのバージョン情報等を受信し、端末が不正端末か否かを判定する。
次に、検疫処理結果送信処理(S220)では、検疫処理結果送信部214は、検疫処理実施部212が判定した結果である検疫処理結果を通信装置B988Bにより送信する。
次に、図10、図11を使用してSGW100の動作の一例を具体的に説明する。ここでは、特に、監視ネットワークの内部の端末が攻撃されるおそれのある2つのケースについて説明する。
まず、図10に基づき、監視ネットワークに正常であるか不正であるか不明な未検疫の端末が接続され、監視ネットワークの内部の端末へアクセスする場合の動作について説明する。つまり、送信元端末が内部の端末であり、送信先端末が内部の端末である場合であり、上述したSGW100の動作では(3)の処理に該当する。
まず、図10に基づき、監視ネットワークに正常であるか不正であるか不明な未検疫の端末が接続され、監視ネットワークの内部の端末へアクセスする場合の動作について説明する。つまり、送信元端末が内部の端末であり、送信先端末が内部の端末である場合であり、上述したSGW100の動作では(3)の処理に該当する。
まず、図10(A)に示すように、監視ネットワークに接続された未検疫の端末が監視ネットワークの内部の端末へのアクセスを開始する場合、まず、相手先のMACアドレスを知るためにARP Requestを出力する。ここでは、例えば、端末Aが端末Bへアクセスしようとしていると仮定する。端末Aは端末BへARP Requestを送信するが、ARP Requestは同一ネットワーク(監視ネットワーク)へブロードキャストされるので、SGW100まで到達する。SGW100はこのARP Requestを受信する(S110)。送信元の端末Aは上述したように監視ネットワークの内部の端末である(S120)。次に、SGW100は、受信したARP Requestに含まれる送信元の端末AのIPアドレスが監視ネットワークのアドレスであることを確認する(S130)。ここでは、ARP Requestに含まれる送信元の端末AのIPアドレスが監視ネットワークのアドレスであったとする。次に、SGW100は、送信元の端末Aが新規端末(未検疫端末)であることをARP解決テーブルから知る(S140)。しかし、この段階では、端末Aはエージェント3が搭載された端末かどうかを判定できない。
そこで次に、図10(B)に示すように、SGW100は、新規端末であると検出した端末Aについて、ARP Request情報を管理サーバ200に送信して、検疫処理の指示をする(S150)。そして、SGW100は、管理サーバ200から検疫結果を得る(S160)。
そして、図10(C)に示すように、端末Aがエージェント3の搭載された正常端末であると判定された場合(S170でOK)、端末AのMACアドレスとIPアドレスのペアをARP解決テーブルに格納する。その後、端末Aが出力したARP Requestに対して応答するように宛先であった端末Bを誘導する。端末AのMACアドレス、IPアドレスによってARP Replyを誘導することができる(S180)。
一方、端末Aが不正端末であると判定された場合(S170でNG)、SGW100は端末BへのARP Reply誘導しない。また、端末Bは、自発的にARP Replyを返すことはない。したがって、端末Aに対して端末BからARP Replyが送られることはなく、端末Aは端末Bの存在を知ることができない。そのため、端末Bは端末A等からの攻撃を免れることが可能となる。
一方、端末Aが不正端末であると判定された場合(S170でNG)、SGW100は端末BへのARP Reply誘導しない。また、端末Bは、自発的にARP Replyを返すことはない。したがって、端末Aに対して端末BからARP Replyが送られることはなく、端末Aは端末Bの存在を知ることができない。そのため、端末Bは端末A等からの攻撃を免れることが可能となる。
次に、図11に基づき、監視ネットワークの外部から監視ネットワークの内部の端末宛にARP Requestが到達した場合の動作について説明する。つまり、送信元端末が外部の端末であり、送信先端末が内部の端末である場合であり、上述したSGW100の動作では(5)の処理に該当する。
SGW100は、ARP Requestを受信する(1)(S110)。送信元端末は上述したように監視ネットワークの外部の端末である(S120)。ここで、受信したARP Requestの送信元が監視ネットワークの外部であることは、ARP Requestの送信元IPアドレスにより判断できる。そこで、SGW100は、送信先の端末が検疫済であるか否かを判定する(S142)。送信先の端末が検疫済であるか否かはARP解決テーブルを参照し、ARP解決テーブルに送信先の端末のMACアドレスがあるか否かにより判定できる。送信先の端末が検疫済の場合(S142でYES)、SGW100監視ネットワークにある宛先端末にARP Replyを出力させるようエージェント3を誘導する(3)(S182)。宛先端末が出力した外部に出て行くARP Replyは、SGW100にて単に中継する(4)。
一方、送信先の端末についてARP解決テーブルを参照し、ARP解決テーブルに送信先のMACアドレスが無い場合、送信先の端末は未検疫であると判定される(S142でNO)。つまり、この場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、SGW100は、受信したARP Requestを破棄する。
一方、送信先の端末についてARP解決テーブルを参照し、ARP解決テーブルに送信先のMACアドレスが無い場合、送信先の端末は未検疫であると判定される(S142でNO)。つまり、この場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、SGW100は、受信したARP Requestを破棄する。
実施の形態1に係る検疫システム1000によれば、VLAN制御を用いることなく、不正端末を検出し排除することができる。
また、VLAN制御を用いる必要がないので、既存のネットワークへ容易に検疫機能を追加することができる。
さらに、各端末にインストールされるエージェント3は、ARP解決テーブルのような情報を持つ必要がない。そのため、各端末の処理負荷が軽く、ARP解決テーブルの変更情報を各端末へ再配信する必要も無いためネットワーク負荷もかからない。
また、さらに、端末はARP Requestを受信しても、SGW100から誘導されるまではARP Replyを出力しない。そのため、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、被害を受けることはない。
また、VLAN制御を用いる必要がないので、既存のネットワークへ容易に検疫機能を追加することができる。
さらに、各端末にインストールされるエージェント3は、ARP解決テーブルのような情報を持つ必要がない。そのため、各端末の処理負荷が軽く、ARP解決テーブルの変更情報を各端末へ再配信する必要も無いためネットワーク負荷もかからない。
また、さらに、端末はARP Requestを受信しても、SGW100から誘導されるまではARP Replyを出力しない。そのため、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、被害を受けることはない。
実施の形態1に係る検疫システム1000をまとめると、不正端末を検出し排除する検疫システム1000において、監視ネットワークを保護するためのSGW100と、端末が監視ネットワークのセキュリティポリシーに合致する正常端末であるかどうかを判断する管理サーバ200と、各端末に設定して当該端末がセキュリティポリシーに合致するものであることを保証するエージェント3とからなり、
該エージェント3は、端末がARP Requestに応答することを防ぐ機構と、SGW100から誘導された時のみ誘導されたARP Replyを端末に出力させる機構を有し、
該SGW100は、ARP Requestを受取った際に、それが未検疫端末からであれば先ず検疫判定を行い、次にARP Requestの送信者の検疫結果が正常であれば、ARP Requestの宛先に設定されたエージェント3へARP Replyを出力するように誘導する機構を有することを特徴とする。
また、実施の形態1に係る検疫システム1000は、未検疫端末の検疫判定の実施期間中に未検疫端末が攻撃を開始してもこれを防ぐことを可能とすることを特徴とする。
さらに、実施の形態1に係る検疫システム1000は、検疫ネットワークを想定していない、VLAN機能の無いスイッチネットワークへも、容易に検疫機能をアドオンすることを可能とするアドオン型検疫ネットワークシステムであることを特徴とする。
該エージェント3は、端末がARP Requestに応答することを防ぐ機構と、SGW100から誘導された時のみ誘導されたARP Replyを端末に出力させる機構を有し、
該SGW100は、ARP Requestを受取った際に、それが未検疫端末からであれば先ず検疫判定を行い、次にARP Requestの送信者の検疫結果が正常であれば、ARP Requestの宛先に設定されたエージェント3へARP Replyを出力するように誘導する機構を有することを特徴とする。
また、実施の形態1に係る検疫システム1000は、未検疫端末の検疫判定の実施期間中に未検疫端末が攻撃を開始してもこれを防ぐことを可能とすることを特徴とする。
さらに、実施の形態1に係る検疫システム1000は、検疫ネットワークを想定していない、VLAN機能の無いスイッチネットワークへも、容易に検疫機能をアドオンすることを可能とするアドオン型検疫ネットワークシステムであることを特徴とする。
実施の形態2.
実施の形態2では、不正端末をおとりネットワークに誘導し、不正端末の挙動の解析を行う方法について説明する。
実施の形態2では、不正端末をおとりネットワークに誘導し、不正端末の挙動の解析を行う方法について説明する。
図12に基づき不正端末をおとりネットワークに誘導する動作について説明する。図12は、図3に示す検疫システム1000におとり端末71を接続した検疫システム1000である。
スイッチ4には、予めおとりネットワーク7のおとり端末71を接続する。例えば、図10(B)に示す検疫処理で端末Aが不正端末であると判定された場合等、送信元端末が不正端末であると判定された場合にはARP Requestを破棄するとした。しかし、ARP Requestを破棄する代わりに、応答指示部128がARP Requestに対してARP Replyを返すようにおとり端末71を誘導する。これにより、不正端末は以後おとり端末71と通信を開始する。以上により、おとりネットワーク7に不正端末を誘い込み、不正端末の挙動を解析することが可能となる。
スイッチ4には、予めおとりネットワーク7のおとり端末71を接続する。例えば、図10(B)に示す検疫処理で端末Aが不正端末であると判定された場合等、送信元端末が不正端末であると判定された場合にはARP Requestを破棄するとした。しかし、ARP Requestを破棄する代わりに、応答指示部128がARP Requestに対してARP Replyを返すようにおとり端末71を誘導する。これにより、不正端末は以後おとり端末71と通信を開始する。以上により、おとりネットワーク7に不正端末を誘い込み、不正端末の挙動を解析することが可能となる。
つまり、実施の形態2に係る検疫システム1000は、未検疫端末を端末単位で隔離することを可能とすることを特徴とする。
実施の形態3.
実施の形態3では、同一ネットワークでの重複したアドレスの使用を防止するgratuitous ARPを上記実施の形態で説明した検疫システム1000で実現する方法について説明する。
実施の形態3では、同一ネットワークでの重複したアドレスの使用を防止するgratuitous ARPを上記実施の形態で説明した検疫システム1000で実現する方法について説明する。
端末に搭載されたOSの種類によっては、同一ネットワークでの重複したアドレスの使用を防止する目的で、端末の起動時に自分宛のARP RequestあるいはARP Replyを出力することがある。この時に出力されるARPはgratuitous ARPと呼ばれる。
通常の環境におけるgratuitous ARPの目的と動作について説明する。
gratuitous ARPの目的は、IPアドレスの重複チェックと、ネットワークの内部の端末やスイッチ等の機器のARPキャッシュを更新することである。
gratuitous ARPの動作は、ある端末がネットワークに接続した際に、自分自身へARP Requestを送信し、自分自身でそのARP Requestに対してARP Replyを返すものである。自分が送信したARP Reply以外にARP Replyを受信しなければ、スイッチ以下のネットワークでIPアドレスが重複していないことがわかる。
gratuitous ARPの目的は、IPアドレスの重複チェックと、ネットワークの内部の端末やスイッチ等の機器のARPキャッシュを更新することである。
gratuitous ARPの動作は、ある端末がネットワークに接続した際に、自分自身へARP Requestを送信し、自分自身でそのARP Requestに対してARP Replyを返すものである。自分が送信したARP Reply以外にARP Replyを受信しなければ、スイッチ以下のネットワークでIPアドレスが重複していないことがわかる。
次に、上記実施の形態で説明した検疫システム1000を構築したネットワークにおけるgratuitous ARPの動作について説明する。
gratuitous ARP Requestを受取った、送信者以外のすべてのエージェント端末300は、このARP Requestに対してARP Replyを出力しないようにエージェント3が制御する。また、エージェント3はエージェント端末300のARPキャッシュを更新しないように制御する。このようにすることにより、上記実施の形態で説明した検疫システム1000が機能する。一方で、このままではgratuitous ARPの目的であるIPアドレス重複チェックが機能しない。
しかし、gratuitous ARPの目的であるIPアドレス重複チェックは、SGW100のARP解決テーブルを使用することにより実現する。
SGW100は、検疫判定後の端末のIPアドレスはARP解決テーブルで管理している。gratuitous ARP Requestを受信したSGW100は、gratuitous ARP Requestに含まれるIPアドレスが既に検疫済の端末と同一であればIPの重複が発生している。この場合、上記実施の形態で説明したSGW100がARP Requestに対してARP Replyを出力するか否かを判定した動作と同様に、gratuitous ARP Requestに対してARP Replyを出力するか否かを判定する。ここで、上記実施の形態における送信先端末に該当するのは、gratuitous ARP Requestの送信元端末と同じIPアドレスを持つ別の端末である。つまり、SGW100は、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末を、ARP Replyを出力するように誘導するか否かを判定する。ここで、gratuitous ARP Requestの送信元端末が不正端末でないと判定された場合、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末にARP Replyの出力が指示される。その結果出力されたARP Replyをgratuitous ARP Requestの送信元端末が受信し、IPアドレスの重複が検出される。
gratuitous ARP Requestを受取った、送信者以外のすべてのエージェント端末300は、このARP Requestに対してARP Replyを出力しないようにエージェント3が制御する。また、エージェント3はエージェント端末300のARPキャッシュを更新しないように制御する。このようにすることにより、上記実施の形態で説明した検疫システム1000が機能する。一方で、このままではgratuitous ARPの目的であるIPアドレス重複チェックが機能しない。
しかし、gratuitous ARPの目的であるIPアドレス重複チェックは、SGW100のARP解決テーブルを使用することにより実現する。
SGW100は、検疫判定後の端末のIPアドレスはARP解決テーブルで管理している。gratuitous ARP Requestを受信したSGW100は、gratuitous ARP Requestに含まれるIPアドレスが既に検疫済の端末と同一であればIPの重複が発生している。この場合、上記実施の形態で説明したSGW100がARP Requestに対してARP Replyを出力するか否かを判定した動作と同様に、gratuitous ARP Requestに対してARP Replyを出力するか否かを判定する。ここで、上記実施の形態における送信先端末に該当するのは、gratuitous ARP Requestの送信元端末と同じIPアドレスを持つ別の端末である。つまり、SGW100は、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末を、ARP Replyを出力するように誘導するか否かを判定する。ここで、gratuitous ARP Requestの送信元端末が不正端末でないと判定された場合、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末にARP Replyの出力が指示される。その結果出力されたARP Replyをgratuitous ARP Requestの送信元端末が受信し、IPアドレスの重複が検出される。
また、gratuitous ARP Requestを受信したSGW100は、そのIPアドレスがARP解決テーブルに存在しなければ、受信したgratuitous ARP Request情報を用いて送信元端末の検疫判定を実施する。判定の結果、正常端末であれば、SGW100はgratuitous ARP Requestの送信元端末自身に、gratuitous ARP Requestに対してgratuitous ARPのReplyを作成するように指示する。そして、送信元端末自身がARP Replyを出力しこれを送信元端末自身が受信する。gratuitous ARP Requestの送信元端末は、他の端末からARP Replyを受信しないため、IPアドレスが重複していないことを確認できる。
つまり、初めからgratuitous ARP Replyを出力する端末では、そのIPアドレスがSGW100のARP解決テーブルに無い場合は通常の検疫を行う。IPアドレスが重複している場合は後者を不正端末として扱う。また、gratuitous ARPの送信元端末が不正端末であった場合、SGW100は不正端末として扱うのみである。
また、gratuitous ARP Replyを出力した端末が、gratuitous ARPに期待するIPの重複チェックを実施させるために、既に存在している端末から1回のReplyを出力させるようエージェント3を誘導しても良い。
また、gratuitous ARP Replyを出力した端末が、gratuitous ARPに期待するIPの重複チェックを実施させるために、既に存在している端末から1回のReplyを出力させるようエージェント3を誘導しても良い。
このように動作することにより、上記実施の形態で説明した検疫システム1000によってgratuitous ARPは正常に動作する。
実施の形態4.
実施の形態4では、外部から到達するARP Requestについて、すべての場合に内部の端末からARP Replyを返すことが危険である場合に、送信元のネットワークの安全性を確認する方法について説明する。
実施の形態4では、外部から到達するARP Requestについて、すべての場合に内部の端末からARP Replyを返すことが危険である場合に、送信元のネットワークの安全性を確認する方法について説明する。
SGW100は、内部の端末へARP Replyを誘導する前に、送信元端末のネットワークについてホワイトリスト照合を実施して相手の素性をチェックする。
図13、図14に基づき送信元のネットワークの安全性を確認する機能を備えた検疫システム1000の機能と動作を詳細に説明する。
図13は、実施の形態4に係る検疫システム1000の機能を示す機能ブロック図である。図13に示す機能ブロック図について、図7に示す機能ブロック図と異なる部分のみ説明する。
SGW100のネットワーク監視部110は、ホワイトリスト記憶部130、ホワイトリスト判定部132を備える。ホワイトリスト記憶部130は、監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置A984Aに記憶する。ホワイトリスト判定部132は、ARP Requestが監視ネットワークでないネットワークに接続された端末から送信された場合に、ホワイトリスト記憶部130が記憶したホワイトリストに基づき、ARP Requestを送信した端末が接続されたネットワークが安全なネットワークであるか否かを処理装置A980Aにより判定する。
SGW100のネットワーク監視部110は、ホワイトリスト記憶部130、ホワイトリスト判定部132を備える。ホワイトリスト記憶部130は、監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置A984Aに記憶する。ホワイトリスト判定部132は、ARP Requestが監視ネットワークでないネットワークに接続された端末から送信された場合に、ホワイトリスト記憶部130が記憶したホワイトリストに基づき、ARP Requestを送信した端末が接続されたネットワークが安全なネットワークであるか否かを処理装置A980Aにより判定する。
図14は、実施の形態4に係るSGW100の動作であるネットワーク監視処理を表すフローチャートである。実施の形態4に係るネットワーク監視処理について、実施の形態1に係るネットワーク監視処理と異なる部分についてのみ説明する。
(S120)で、送信元端末が外部の端末であり、送信先端末が内部の端末であると判定された場合に、ネットワーク判定部114は(S190)へ進む。ホワイトリスト判定処理(S190)では、ホワイトリスト判定部132は、ホワイトリストに基づき、送信元端末が接続されたネットワークが安全なネットワークであるか否かを判定する。送信元端末が接続されたネットワークが安全なネットワークでないと判定した場合、ホワイトリスト判定部132はARP Requestを破棄する。送信元端末が接続されたネットワークが安全なネットワークであると判定した場合、ホワイトリスト判定部132は、(S142)へ進む。
(S120)で、送信元端末が外部の端末であり、送信先端末が内部の端末であると判定された場合に、ネットワーク判定部114は(S190)へ進む。ホワイトリスト判定処理(S190)では、ホワイトリスト判定部132は、ホワイトリストに基づき、送信元端末が接続されたネットワークが安全なネットワークであるか否かを判定する。送信元端末が接続されたネットワークが安全なネットワークでないと判定した場合、ホワイトリスト判定部132はARP Requestを破棄する。送信元端末が接続されたネットワークが安全なネットワークであると判定した場合、ホワイトリスト判定部132は、(S142)へ進む。
実施の形態4に係る検疫システム1000によれば、送信元が監視ネットワークの外部である場合に、送信元端末が接続されたネットワークの安全性を確認した上でARP Replyを出力するか否かを決定する。したがって、監視ネットワークのより高い安全性を確保することができる。
上記実施の形態に係る検疫システム1000によれば、既存のスイッチネットワークへ容易に検疫ネットワーク(検疫システム)をアドオンすることが可能となる。すなわち、既存のネットワーク機器を用いたまま、不正端末を排除するための機能を実現することが可能となる。
また、上記実施の形態に係る検疫システム1000は、VLANによる不正端末隔離の代わりに、ARPパケットを制御することで同様の機能を実現しアドオン性を高めたのみならず、検疫中に攻撃を開始されてもこの攻撃を防ぐことや、ARPパケットの制御により攻撃者をおとりネットワークに誘導することをも可能である。
ここで、SGW100は、ネットワーク監視装置の一例である。つまり、ネットワーク管理装置は、SGW100やゲートウェイに限定されず、ルータ、スイッチ、ファイアウォールやその他のコンピュータであっても構わない。また、ARP Requestは、接続要求の一例である。つまり、接続要求は、ARP Requestに限定されるわけではなく、例えば、他のプロトコルによるものであっても構わない。すなわち、接続要求に対する応答もARP Replyに限定されるわけではなく、接続要求によって異なるものである。
また、上記実施の形態で「〜処理」として説明したものは、「〜ステップ」と読み替えすることができるものである。
また、上記実施の形態で「〜処理」として説明したものは、「〜ステップ」と読み替えすることができるものである。
1000 検疫システム、100 SGW、110 ネットワーク監視部、112 接続要求受信部、114 ネットワーク判定部、116 アドレス判定部、118 検疫判定情報記憶部、120 検疫判定部、122 検疫処理指示部、124 検疫処理結果受信部、126 検疫処理結果判定部、128 応答指示部、130 ホワイトリスト記憶部、132 ホワイトリスト判定部、200 管理サーバ、210 管理サーバ処理部、212 検疫処理実施部、214 検疫処理結果送信部、300 エージェント端末、310 端末制御部、3 エージェント、4 スイッチ、901A,901B,901C LCD、902A,902B,902C キーボード、903A,903B,903C マウス、904A,904B,904C FDD、909A PCA、909B PCB、909C PCC、910 サーバ、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916A,916B 他のサーバ、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、940 インターネット、942 LAN、980A 処理装置A、980B 処理装置B、980C 処理装置C、982A 入力装置A、982B 入力装置B、982C 入力装置C、984A 記憶装置A、984B 記憶装置B、984C 記憶装置C、986A 表示装置A、988A 通信装置A、B988B 通信装置、988C 通信装置C。
Claims (11)
- 送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とするネットワーク監視装置。 - 上記ネットワーク監視装置は、さらに、
上記送信元端末が検疫済でないと上記検疫判定部が判定した場合、管理サーバへ上記送信元端末の検疫処理の指示を処理装置により行う検疫処理指示部と、
上記検疫処理指示部が指示した検疫処理を上記管理サーバが行った結果である、送信元端末が不正な端末であるか否かを示す検疫処理結果を上記管理サーバから通信装置により受信する検疫処理結果受信部とを備え、
送信元端末が不正な端末でないと上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は接続要求に対して応答するように送信先端末へ指示する
ことを特徴とする請求項1記載のネットワーク監視装置。 - 上記検疫判定部は、上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信先端末が検疫済か否かを判定し、
上記応答指示部は、上記送信先端末が検疫済でないと上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 - 上記接続要求受信部は、送信元端末のアドレスを含む接続要求を受信し、
上記ネットワーク監視装置は、さらに、
上記接続要求が監視ネットワークに接続された端末から送信されたか否かを判定するネットワーク判定部と、
上記接続要求に含まれる送信元端末のアドレスが上記監視ネットワークのアドレスであるか否かを処理装置により判定するアドレス判定部とを備え、
上記接続要求が監視ネットワークに接続された端末から送信されたと上記ネットワーク判定部が判定し、かつ、上記接続要求に含まれる送信元端末のアドレスが上記監視ネットワークのアドレスでないと上記アドレス判定部が判定した場合、上記応答指示部は、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 - 送信元端末が不正な端末であると上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は、上記送信先端末とは異なるおとり端末を応答するように指示する
ことを特徴とする請求項2記載のネットワーク監視装置。 - 上記ネットワーク監視装置は、さらに、
監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置に記憶するホワイトリスト記憶部と、
上記接続要求が監視ネットワークに接続された端末から送信されたか否かを判定するネットワーク判定部と、
上記接続要求が監視ネットワークでないネットワークに接続された端末から送信されたと上記ネットワーク判定部が判定した場合、上記ホワイトリスト記憶部が記憶したホワイトリストに基づき、上記接続要求を送信した端末が接続されたネットワークが安全なネットワークであるか否かを判定するホワイトリスト判定部とを備え、
上記接続要求を送信した端末が接続されたネットワークが安全なネットワークでないと上記ホワイトリスト判定部が判定した場合、上記応答指示部は、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 - 監視ネットワークに接続された端末と監視ネットワークを監視するネットワーク監視装置とを備える検疫システムにおいて、
端末は、
接続要求を受信しても応答しないように制御する端末制御部を備え、
ネットワーク監視装置は、
監視ネットワークに接続された送信先端末宛の接続要求を通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、上記接続要求受信部が受信した接続要求の送信元の端末である送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部とを備え、
上記端末制御部は、上記応答指示部から接続要求に対して応答するように指示された場合に、接続要求に対して応答するように制御する
ことを特徴とする検疫システム。 - 上記検疫システムは、さらに、管理サーバを備え、
上記ネットワーク監視装置は、さらに、
上記送信元端末が検疫済でないと上記検疫判定部が判定した場合、管理サーバへ上記送信元端末の検疫処理の指示を処理装置により行う検疫処理指示部を備え、
管理サーバは、
上記検疫処理指示部の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正な端末であるか否かを処理装置により判定する検疫処理実施部と、
上記検疫処理実施部が判定した結果である検疫処理結果を通信装置により送信する検疫処理結果送信部とを備え、
上記ネットワーク監視装置は、さらに、
上記検疫処理結果送信部が送信した検疫処理結果を通信装置により受信する検疫処理結果受信部を備え、
送信元端末が不正な端末でないと上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は、送信先端末を応答するように指示する
ことを特徴とする請求項7記載の検疫システム。 - 監視ネットワークに接続され、ARP(Address Resolution Protocol) Requestを受信してもセキュアゲートウェイから指示されない限りARP Requestに対してARP Replyを出力しない送信先端末宛のARP Requestを通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、上記接続要求受信部が受信した接続要求の送信元の端末である送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、ARP Requestに対してARP Replyを出力するように、送信先端末を処理装置により指示する応答指示部と
を備えることを特徴とするセキュアゲートウェイ。 - 送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して通信装置により受信する接続要求受信処理と、
記憶装置に記憶した端末が検疫済か否かを示す検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定処理と、
上記送信元端末が検疫済であると上記検疫判定処理で判定した場合、接続要求に対して応答するように送信先端末を処理装置により指示する応答指示処理と
をコンピュータに実行させることを特徴とするネットワーク監視プログラム。 - 通信装置が、送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して受信する接続要求受信ステップと、
処理装置が、記憶装置に上記検疫判定情報記憶ステップで記憶した端末が検疫済か否かを示す検疫判定情報に基づき、送信元端末が検疫済か否かを判定する検疫判定ステップと、
処理装置が、上記送信元端末が検疫済であると上記検疫判定ステップで判定した場合、接続要求に対して応答するように送信先端末を指示する応答指示ステップと
を備えることを特徴とするネットワーク監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006233255A JP4745922B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006233255A JP4745922B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008060766A true JP2008060766A (ja) | 2008-03-13 |
| JP4745922B2 JP4745922B2 (ja) | 2011-08-10 |
Family
ID=39243042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006233255A Expired - Fee Related JP4745922B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4745922B2 (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009225046A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| JP2011039850A (ja) * | 2009-08-12 | 2011-02-24 | Nomura Research Institute Ltd | 通信エージェント、検疫ネットワークシステム |
| JP2012034129A (ja) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
| JP2012080216A (ja) * | 2010-09-30 | 2012-04-19 | Nec Corp | 検疫装置、検疫システム、検疫方法、及びプログラム |
| JP2013046214A (ja) * | 2011-08-24 | 2013-03-04 | Mitsubishi Electric Corp | 検疫システム、ゲートウェイ装置、設備機器および設備系lan構築方法 |
| KR101585342B1 (ko) * | 2014-09-30 | 2016-01-14 | 한국전력공사 | 이상행위 탐지 장치 및 방법 |
| US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
| JP2019160126A (ja) * | 2018-03-16 | 2019-09-19 | デジタルア−ツ株式会社 | 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09214550A (ja) * | 1996-01-30 | 1997-08-15 | Fujitsu Ltd | 中継装置 |
| JP2002142004A (ja) * | 2000-10-31 | 2002-05-17 | Toshiba Corp | 通信装置 |
| JP2006050152A (ja) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法 |
| JP2006109101A (ja) * | 2004-10-05 | 2006-04-20 | Ntt Docomo Inc | 移動通信方法、移動通信システム、セッション制御装置及び発信端末 |
-
2006
- 2006-08-30 JP JP2006233255A patent/JP4745922B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09214550A (ja) * | 1996-01-30 | 1997-08-15 | Fujitsu Ltd | 中継装置 |
| JP2002142004A (ja) * | 2000-10-31 | 2002-05-17 | Toshiba Corp | 通信装置 |
| JP2006050152A (ja) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法 |
| JP2006109101A (ja) * | 2004-10-05 | 2006-04-20 | Ntt Docomo Inc | 移動通信方法、移動通信システム、セッション制御装置及び発信端末 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009225046A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| JP2011039850A (ja) * | 2009-08-12 | 2011-02-24 | Nomura Research Institute Ltd | 通信エージェント、検疫ネットワークシステム |
| JP2012034129A (ja) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
| US9444821B2 (en) | 2010-07-29 | 2016-09-13 | Pfu Limited | Management server, communication cutoff device and information processing system |
| JP2012080216A (ja) * | 2010-09-30 | 2012-04-19 | Nec Corp | 検疫装置、検疫システム、検疫方法、及びプログラム |
| JP2013046214A (ja) * | 2011-08-24 | 2013-03-04 | Mitsubishi Electric Corp | 検疫システム、ゲートウェイ装置、設備機器および設備系lan構築方法 |
| KR101585342B1 (ko) * | 2014-09-30 | 2016-01-14 | 한국전력공사 | 이상행위 탐지 장치 및 방법 |
| US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
| JP2019160126A (ja) * | 2018-03-16 | 2019-09-19 | デジタルア−ツ株式会社 | 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4745922B2 (ja) | 2011-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4745922B2 (ja) | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 | |
| KR102181185B1 (ko) | 단말의 안전한 네트워크 접속을 위한 시스템 및 방법 | |
| US10282548B1 (en) | Method for detecting malware within network content | |
| US8539582B1 (en) | Malware containment and security analysis on connection | |
| JP4746393B2 (ja) | ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置 | |
| CN106797375B (zh) | 恶意软件代理的行为检测 | |
| US20170331842A1 (en) | Sdn controller | |
| KR102364445B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US10509904B2 (en) | USB attack protection | |
| US20100071065A1 (en) | Infiltration of malware communications | |
| JP6256773B2 (ja) | セキュリティシステム | |
| KR102379720B1 (ko) | 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR102407136B1 (ko) | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| JP7166969B2 (ja) | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 | |
| JP2020119596A (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
| US11159533B2 (en) | Relay apparatus | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
| JP7444596B2 (ja) | 情報処理システム | |
| JP6286314B2 (ja) | マルウェア通信制御装置 | |
| WO2023079731A1 (ja) | DoS攻撃対処装置及びDoS攻撃対処プログラム | |
| JP7067187B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
| JP2006222662A (ja) | 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090414 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110322 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110413 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110512 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140520 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |