JP2008154012A - Network monitoring device, network monitoring method, network communicating method, and network quarantine system - Google Patents
Network monitoring device, network monitoring method, network communicating method, and network quarantine system Download PDFInfo
- Publication number
- JP2008154012A JP2008154012A JP2006340651A JP2006340651A JP2008154012A JP 2008154012 A JP2008154012 A JP 2008154012A JP 2006340651 A JP2006340651 A JP 2006340651A JP 2006340651 A JP2006340651 A JP 2006340651A JP 2008154012 A JP2008154012 A JP 2008154012A
- Authority
- JP
- Japan
- Prior art keywords
- network
- address
- frame
- quarantine
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法に属する。 The present invention belongs to a network monitoring device, a network monitoring method, a network system, a network monitoring method, and a network communication method.
社内LANなど保護されたネットワークを保護するため、ネットワークへの接続を制限する、いわゆる、ネットワーク監視装置が知られている。このような技術は、例えば、特開2003−303118号公報に記載されている。 In order to protect a protected network such as an in-house LAN, a so-called network monitoring device that restricts connection to the network is known. Such a technique is described in, for example, Japanese Patent Application Laid-Open No. 2003-303118.
このような検疫ネットワークで、特に、外部から持ち込まれたコンピュータなどを、保護されたネットワークへの接続を許可する前に、当該コンピュータのオペレーティングシステムやウィルス検出ソフトがアップデートされているか確認し、アップデートされていない場合、当該コンピュータのオペレーティングシステムやウィルス検出ソフトのバージョンアップソフトを供給する必要がある。 In such a quarantine network, check that the computer's operating system and virus detection software have been updated, especially before allowing computers brought in from outside to connect to the protected network. If not, it is necessary to supply an upgrade system for the operating system of the computer or virus detection software.
そのためには、認証スイッチを利用することが考えられる。すなわち、外部から持ち込まれたコンピュータを社内LANなどの保護されたネットワークに接続する際、検疫ネットワーク機能をサポートしたスイッチングハブがそのコンピュータが接続されたポートを、保護されたネットワークとは仮想的に切り離されたヴァーチャルLAN(VLAN)により構成された検疫ネットワークに接続した。そして、検疫ネットワーク上でオペレーティングシステム(OS)やウィルス検出ソフトのアップデートが完了すると、スイッチングハブが当該コンピュータと接続するポートを保護されたネットワーク側に所属するようVLANの設定を変更する。 For this purpose, it is conceivable to use an authentication switch. In other words, when a computer brought in from outside is connected to a protected network such as an in-house LAN, the switching hub that supports the quarantine network function virtually disconnects the port to which the computer is connected from the protected network. Connected to a quarantine network configured by a virtual LAN (VLAN). When the update of the operating system (OS) and virus detection software is completed on the quarantine network, the setting of the VLAN is changed so that the switching hub belongs to the protected network side with the port connected to the computer.
しかしながら、保護されたネットワークにおいて、端末が接続するスイッチングハブから、検疫サーバが接続するスイッチングハブまで、その経路上のすべてのスイッチングハブが検疫ネットワーク機能をサポートすることが必要である。 However, in a protected network, it is necessary that all switching hubs on the path from the switching hub to which the terminal is connected to the switching hub to which the quarantine server is connected support the quarantine network function.
また、認証DHCP方式を利用することが考えられる。すなわち、外部から持ち込まれたコンピュータがDHCPを用いてIPアドレスを取得する際、DHCPサーバが検疫ネットワーク用のIPアドレスとデフォルト・ゲートウェイIPアドレスを当該コンピュータに割り当てる。検疫ネットワーク用のIPアドレスは保護されたネットワークとはIPアドレス体系が異なるため、当該コンピュータが保護されたネットワーク内の装置と通信することはできない。当該コンピュータは検疫ネットワーク上でOSやウィルス検出ソフトのアップデートが完了すると、保護されたネットワークと接続可能なIPアドレスやデフォルト・ゲートウェイIPアドレスが再び割り当てられ、保護されたネットワーク内の装置と通信することが可能となる。 It is also conceivable to use an authentication DHCP method. That is, when a computer brought in from outside acquires an IP address using DHCP, the DHCP server assigns an IP address for the quarantine network and a default gateway IP address to the computer. Since the IP address system for the quarantine network is different from the protected network, the computer cannot communicate with the devices in the protected network. When the OS and virus detection software update is completed on the quarantine network, the computer is reassigned an IP address that can be connected to the protected network and a default gateway IP address, and communicates with devices in the protected network. Is possible.
また、保護されたネットワークがDHCPを用いる環境でなら適用できるが、IPアドレスを固定で割り振るネットワーク環境では適用することができず、また、DHCPを用いる環境であってもIPアドレスを固定で割り当てた装置に対しては効果がない。 Also, it can be applied if the protected network is an environment using DHCP, but cannot be applied in a network environment in which IP addresses are fixedly allocated, and an IP address is fixedly assigned even in an environment using DHCP. There is no effect on the device.
さらに、パーソナル・ファイアウォールを利用することが考えられる。すなわち、保護されたネットワークと接続するコンピュータにあらかじめファイアウォール機能を持つソフトウェアをインストールしておく。当該コンピュータが保護されたネットワークに接続しようとした際は、OSやウィルス検出ソフトのアップデートプログラムが保存された検疫サーバとのみ通信できるよう、パーソナル・ファイアウォールが通信を制限する。アップデートが完了するとパーソナル・ファイアウォールの制限が解除され、保護されたネットワーク内の装置と通信が可能になる。 Furthermore, it is conceivable to use a personal firewall. That is, software having a firewall function is installed in advance on a computer connected to the protected network. When the computer tries to connect to a protected network, the personal firewall restricts communication so that it can communicate only with the quarantine server in which the OS and virus detection software update program are stored. When the update is complete, the personal firewall restrictions are removed and communication with devices in the protected network is possible.
しかしながら、保護されたネットワークに接続する可能性があるコンピュータにあらかじめパーソナル・ファイアウォールのソフトウェアをインストールする必要があり、これがインストールされていない装置に対しては効果がない。 However, it is necessary to install personal firewall software in advance on a computer that may be connected to a protected network, which is not effective for a device on which this is not installed.
本発明の目的は上記した問題点の少なくとも1つを解決することが可能なネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法を提供することにある。 An object of the present invention is to provide a network monitoring device, a network monitoring method, a network system, a network monitoring method, and a network communication method capable of solving at least one of the above-described problems.
上記目的を達成するために、本発明では、フレームを受信部で受信し、例えば、該受信が、検疫対象のノードから送信されたフレームである場合、検疫対象のノードと検疫情報を格納するノードとの通信を妨げないよう等、他のノードについてのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せの情報を抑制する
(含まれない)よう演算処理し、送信部からフレームを送信するように構成した。
In order to achieve the above object, in the present invention, a frame is received by a receiving unit. For example, when the reception is a frame transmitted from a quarantine target node, a node that stores a quarantine target node and quarantine information In order not to prevent communication with the network, the processing is performed so as to suppress (not include) information on the combination of the network address of the other node and the corresponding address in a higher layer than the network, and the frame is transmitted from the transmission unit. It was configured as follows.
具体的には、イーサネット上のイーサフレームを受信するフレーム受信処理部と、イーサフレームを送信するフレーム送信処理部と、検疫ネットワークに接続する装置に関する情報を蓄える接続可否情報テーブルと、受信したイーサフレームと接続可否情報テーブルからARPフレーム送信を判断する接続可否判断処理部と、接続可否判断処理部からの指示に従いARPフレームを送信するARP応答フレーム生成部と、検疫に必要となるソフトウェアを記憶するOS/ウィルス検出ソフトのアップデートデータ保存部を備えるイーサネットのブロードキャスト・ドメインに接続する監視装置を用い、検疫対象装置からのARP要求に応じてARP応答を送信することで検疫ネットワークを実現したものである。 Specifically, a frame reception processing unit that receives an Ethernet frame on Ethernet, a frame transmission processing unit that transmits an Ethernet frame, a connection availability information table that stores information about devices connected to the quarantine network, and the received Ethernet frame A connection availability determination processing unit that determines ARP frame transmission from the connection availability information table, an ARP response frame generation unit that transmits an ARP frame according to an instruction from the connection availability determination processing unit, and an OS that stores software necessary for quarantine / A quarantine network is realized by transmitting an ARP response in response to an ARP request from a quarantine target device using a monitoring device connected to an Ethernet broadcast domain having an update data storage unit of virus detection software.
本発明によれば、外部から持ち込まれたコンピュータ等のノードに対して、ネットワークのノードへの通信を許可する前に、コンピュータのオペレーティングシステムやウィルス検出ソフト等を適切なバージョンに保つことが可能となる。 According to the present invention, a computer operating system, virus detection software, etc. can be kept at an appropriate version before allowing a node such as a computer brought in from the outside to communicate with a network node. Become.
以下、本発明の実施例を、図面を用いて説明する。 Embodiments of the present invention will be described below with reference to the drawings.
図1は本発明の検疫ネットワーク方式の実施例1である。本構成例では、イーサネットによる1つのブロードキャスト・ドメインからなるネットワーク104に、監視装置100と、いくつかの装置101a,101b,検疫対象装置103が接続されている。本実施例では、OS/ウィルス検出ソフトのアップデートデータを保持する検疫サーバを監視装置100が兼ねる。
FIG. 1 shows a first embodiment of the quarantine network system of the present invention. In this configuration example, a
図2は実施例1における監視装置100の構成であり、ネットワーク104に接続するフレーム受信処理部201,フレーム送信処理部202,OS/ウィルス検出ソフトのアップデートデータ保存部203,接続可否判断処理部204,接続可否情報テーブル205、ARP応答フレーム生成部206からなる。なお、ARP(Address Resolution
Protocol)は、TCP/IPプロトコルにおいて、IPアドレスからMACアドレスを求めるためのプロトコルのことである。具体的には、自分のイーサーネットアドレスと自分のIPアドレス、そして通信先のIPアドレスの3つの組を、ARP要求として、LAN上へブロードキャストする。LAN上の各ノードはARP問い合わせのブロードキャストを監視しているので、自分のIPアドレスが指定されていれば、ARP応答として、パケットに自分のMACアドレスを入れて応答を返す。このARP要求と、ARP応答によって、IPアドレスからMACアドレスを得る。なお、MACアドレスとは、イーサネットでフレームの送受信を行うための物理的なアドレスであり、世界中で同じ物理アドレスを持つことがないように、すべて異なる固有のアドレスが割り当てられている。また、IPアドレスは、TCP/IPプロトコルを使用しているネットワーク等で、サーバやクライアント,ルータなどのノードごとに割り振られた固有のアドレスであり、通信先の機器を指定するために使われる。
FIG. 2 shows the configuration of the
Protocol) is a protocol for obtaining a MAC address from an IP address in the TCP / IP protocol. Specifically, three sets of one's own Ethernet address, one's own IP address, and the IP address of the communication destination are broadcast as ARP requests on the LAN. Since each node on the LAN monitors the broadcast of the ARP inquiry, if its own IP address is designated, it returns the response with its own MAC address in the packet as an ARP response. The MAC address is obtained from the IP address by the ARP request and the ARP response. The MAC address is a physical address for transmitting and receiving a frame by Ethernet, and different unique addresses are all assigned so as not to have the same physical address all over the world. The IP address is a unique address assigned to each node such as a server, a client, or a router in a network using the TCP / IP protocol, and is used for designating a communication destination device.
図8に接続可否情報テーブル205の構成を示す。本テーブルはネットワーク104に接続するそれぞれの装置に関するMACアドレス810,IPアドレス811,ステータス812の組からなる。ステータス812が接続許可となっている装置間の通信については、監視装置100は一切干渉しない。ステータス812が検疫対象となっている装置については、当該装置と監視装置100との間の通信のみ可能となるよう監視装置100が処理を行う。本テーブルにエントリのない装置は接続を許可しない装置である。検疫対象装置103は外部から持ち込まれたコンピュータで、ネットワークとの接続は許可されているが、OS/ウィルス検出ソフトのアップデートが必要であるものとする。検疫対象装置103は他装置との通信のため、ARP要求フレームをブロードキャストで送信する。
FIG. 8 shows the configuration of the connectability information table 205. This table includes a set of a
図3にARP要求フレームを示す。検疫対象装置103がARP要求フレームを送信する場合、送信元MACアドレス301には検疫対象装置103のMACアドレスが、送信元IPアドレス302には検疫対象装置103のIPアドレスが入る。宛て先MACアドレス303には0が入る。宛て先IPアドレスには検疫対象装置103が通信しようとする相手装置のIPアドレスが入る。
FIG. 3 shows an ARP request frame. When the
図4に監視装置100内の接続可否判断処理部204の処理フローを示す。処理401で受信したフレームのプロトコル種別を判断し、ARP以外なら処理を終了する。処理
402で受信したARPの種別を判定し、ARP応答なら処理を終了する。処理403で受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に接続許可装置として登録されているか判断する。登録済みならば処理を終了する。処理404で受信したARP要求の送信元IPアドレスを使用している接続許可装置はあるかを判断する。なければ処理405を、あれば処理406を実施する。処理405では不正装置排除用
ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。処理406では不正装置排除用ARP応答bをブロードキャスト送信する。これは検疫対象装置103がすでに他の装置に割り当てられているIPアドレスを使っているケースに対応するためである。すなわち検疫対象装置103がARP要求を送信することによって当該IPアドレス宛ての通信の宛て先が検疫対象装置103宛てに書き換えられてしまうが、不正装置排除用ARP応答bを送信することで、当該
IPアドレス宛ての通信を本来の装置宛てに修正する。処理407は不正装置排除用ARP応答cを検疫対象装置103宛てに送出することで、検疫対象装置103が通信相手としてARP要求を送信した装置のMACアドレスを監視装置100のMACアドレスで上書きすることにより、検疫対象装置からの通信を監視装置100宛てにするためである。
FIG. 4 shows a processing flow of the connection possibility
図5に不正装置排除用ARP応答aを示す。送信元MACアドレス501には監視装置100のMACアドレスが、送信元IPアドレス502には検疫対象装置のIPアドレスが、宛て先MACアドレス503には検疫対象装置のMACアドレスが、宛て先IPアドレス504には検疫対象装置のIPアドレスが入る。
FIG. 5 shows an ARP response “a” for excluding unauthorized devices. The
図6に不正装置排除用ARP応答bを示す。送信元MACアドレス601には通信相手のMACアドレスが、送信元IPアドレス602には通信相手のIPアドレスが、宛て先MACアドレス603には検疫対象装置のMACアドレスが、宛て先IPアドレス604には検疫対象装置のIPアドレスが入る。
FIG. 6 shows the ARP response b for unauthorized device exclusion. The
図7に不正装置排除用ARP応答cを示す。送信元MACアドレス701には監視装置100のMACアドレスが、送信元IPアドレス702には通信相手のIPアドレスが、宛て先MACアドレス703には検疫対象装置のMACアドレスが、宛て先IPアドレス704には検疫対象装置のIPアドレスが入る。
FIG. 7 shows an ARP response c for excluding unauthorized devices. The
ここで、検疫対象装置103が監視装置100以外の装置、たとえば装置101aと通信する場合の動作を図4に示すフローと図15に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。装置101aとの通信を開始する前に、検疫対象装置103はARP要求1501をブロードキャスト送信する。このとき、図3に示す通信相手のIPアドレス304には装置101aのIPアドレスが設定される。
Here, the operation when the
このARP要求に対し、装置101aがARP応答1502を返す。また、ARP要求1501はブロードキャスト送信のため、監視装置100も受信する。監視装置100は図4に示すフローに従いこのフレームに対する処理を行う。すなわち、処理401はARPであるため処理402に進み、処理402は要求であるため処理403に進み、処理403では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に検疫対象として登録されているため処理404に進む。
In response to this ARP request, the
処理404では検疫対象装置103のIPアドレスは他の装置では使われていないため処理405に進む。処理405にて、監視装置100は図15の1503に示す不正装置排除用ARP応答aをブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。
In
さらに、図4のフローに従い、監視装置100は処理407にて図15の1504に示す不正装置排除用ARP応答cを検疫対象装置103宛てに送出する。これにより、検疫対象装置103は装置101aのMACアドレスとして監視装置100のMACアドレスを記憶するため、装置101a宛ての通信は不可となる。
Further, according to the flow of FIG. 4, the
次に、検疫対象装置103が監視装置100との通信を試みる場合の動作を図4に示すフローと図16に示すチャートに従い詳細に説明する。処理405までの動作は上記で説明した動作と違いはない。続く処理407で、監視装置100は図16の1604に示す不正装置排除用ARP応答cを検疫対象装置103宛てに送出するが、この場合、検疫対象装置103は監視装置100のMACアドレスとして監視装置100のMACアドレスを記憶する。つまり、検疫対象装置103は正しく監視装置100のIPアドレスとMACアドレスの組合せを記憶するので、監視装置100への通信は可能となる。これにより、検疫対象装置103は監視装置100が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。本アップデートが完了したことを確認した上で、接続可否情報テーブル205上の検疫対象装置103のステータスを検疫対象から接続許可に書き換える。これにより、以後は検疫対象装置103も装置101a,101bと同等に通信することが可能となる。
Next, the operation when the
図9は本発明の実施例2の構成である。本実施例では、実施例1と異なり、監視装置
100は内部にOS/ウィルス検出ソフトのアップデートデータ保存部203を持たず、替わりにこれらのデータを保持する検疫サーバ102を設置する。検疫サーバ102の役割は、検疫対象装置103からの要求により、OS/ウィルス検出ソフトのアップデートデータを検疫対象装置103へ転送することである。
FIG. 9 shows the configuration of the second embodiment of the present invention. In the present embodiment, unlike the first embodiment, the
図10に実施例2における監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図4と異なる部分のみ記述してある。処理401〜処理403までは図4と同じである。処理403のあと処理1001にて受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に検疫対象として登録されているかどうかを判定する。登録されていなければ、図4の処理404へと進む。登録されている場合は処理1002へと進む。処理1002では受信したARP要求の宛て先IPアドレスが検疫サーバ102かどうかを判定する。検疫サーバ102以外ならば図4の処理404へと進む。検疫サーバ102宛てならば処理405を実行する。処理405にて不正装置排除用ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。ただし、このままでは検疫サーバ102から検疫対象装置103への通信も不可となるため、続く処理1003にて検疫装置アドレス修復用ARP応答を検疫サーバ102宛てに送出する。
FIG. 10 illustrates a processing flow of the connection possibility
図11に検疫装置アドレス修復用ARP応答を示す。送信元MACアドレス1101には検疫対象装置103のMACアドレスを、送信元IPアドレス1102には検疫対象装置103のIPアドレスを、宛て先MACアドレス1103には修復相手のMACアドレスを、宛て先IPアドレス1104には修復相手のIPアドレスを設定し、修復相手宛てに送信する。ここで、検疫対象装置103が検疫サーバ102との通信を試みる場合の動作を図10に示すフローと図17に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。
FIG. 11 shows an ARP response for quarantine device address restoration. The source MAC address 1101 is the MAC address of the
検疫サーバ102との通信を開始する前に、検疫対象装置103はARP要求1701をブロードキャスト送信する。このとき、図3のARP要求フレームの通信相手IPアドレス304には検疫サーバ102のIPアドレスが設定される。このARP要求により、検疫サーバ102はARP応答1702を送信する。また、ARP要求1701はブロードキャスト送信のため、監視装置100も受信し、図10に示すフローに従いこのフレームに対する処理を行う。ただし、処理401,処理402は実施例1の処理と同じため説明は割愛する。
Before starting communication with the
続く処理403では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に接続許可としては登録されていないため処理1001に進む。処理1001では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に検疫対象として登録されているため処理1002に進む。処理1002では受信したARP要求の宛て先IPアドレスは検疫サーバ102であるため処理405に進む。処理405にて、監視装置
100は不正装置排除用ARP応答a 1703をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1003で監視装置100は検疫装置アドレス修復用ARP応答1704を検疫サーバ102宛てに送出する。このとき、宛て先MACアドレス1103には検疫サーバ102のMACアドレスが、宛て先IPアドレス1104には検疫サーバ102のIPアドレスが設定される。これにより、検疫サーバ102は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、検疫サーバ102と検疫対象装置103間の通信が可能となる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例1と同様である。
In the
図12は本発明の実施例3の構成である。本実施例では、実施例2とは異なり、検疫サーバ102はルータ106を介した別ネットワーク105に接続される。ルータ106はこれを通過するIPパケットに対し条件によりフィルタリングする機能を有するものとする。フィルタリング機能そのものは従来から存在する一般的な技術である。
FIG. 12 shows the configuration of the third embodiment of the present invention. In this embodiment, unlike the second embodiment, the
図13にルータ106のフィルタリング設定テーブルの例を示す。フィルタリング設定テーブル1301は、条件となる送信元IPアドレス1302、および、宛て先IPアドレス1303と、その条件を満たすIPパケットに対するアクション1304からなる。本実施例では、ネットワーク104から別ネットワーク105へ向けてルータ106を通過するIPパケットに対し本フィルタを適用する。その設定値は、送信元IPアドレスには検疫対象装置103のIPアドレスを設定する。検疫対象装置が複数ある場合は検疫対象装置103a〜103cのように複数のエントリを作成する。宛て先IPアドレスには検疫サーバ102以外を条件として設定する。アクションは廃棄を設定する。また、本実施例では、検疫対象装置のデフォルト・ゲートウェイとしてルータ106のネットワーク104側IPアドレスを設定する。
FIG. 13 shows an example of the filtering setting table of the
図14に実施例3の監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図10と異なる部分のみ記述してある。処理401〜処理1001までは図10と同じである。処理1001のあと、処理1402では受信したARP要求の宛て先IPアドレスがルータ106かどうかを判定する。ルータ106以外ならば図4の処理404へと進む。ルータ106宛てならば処理405を実行する。処理405にて不正装置排除用ARP応答をブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。ただし、このままではルータ106から検疫対象装置103への通信も不可となるため、続く処理1403にて検疫装置アドレス修復用ARP応答をルータ106宛てに送出する。
FIG. 14 illustrates a processing flow of the connection possibility
ここで、検疫対象装置103が検疫サーバ102との通信を試みる場合の動作を図14に示すフローと図18に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。検疫サーバ102との通信を開始する前に、検疫対象装置103はARP要求1801をブロードキャスト送信する。このとき、図3のARP要求フレームの通信相手IPアドレス304には検疫対象装置のデフォルト・ゲートウェイとして設定されたルータ106のIPアドレスが設定される。このARP要求により、ルータ106はARP応答1802を送信する。また、ARP要求1801はブロードキャスト送信のため、監視装置100も受信し、図14に示すフローに従いこのフレームに対する処理を行う。ただし、処理401〜処理1001は実施例2の処理と同じため説明は割愛する。続く処理1402では受信したARP要求の宛て先IPアドレスはルータ106であるため処理405に進む。
Here, the operation when the
処理405にて、監視装置100は示す不正装置排除用ARP応答a 1803をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1403で監視装置100は検疫装置アドレス修復用ARP応答1804をルータ106宛てに送信する。このとき、宛て先MACアドレス1103にはルータ106のMACアドレスが、宛て先IPアドレス1104にはルータ106のIPアドレスが設定される。これにより、ルータ106は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、ルータ106と検疫対象装置103間の通信が可能となる。検疫対象装置103から検疫サーバ102宛てのIPパケットがルータ106を通る際、フィルタリング設定テーブル1301と比較される。この例では、送信元IPアドレスが検疫対象装置103、宛て先IPアドレスが検疫サーバであるので、IPパケットはルータ106を通り、別ネットワーク105へ、さらに検疫サーバ102に到達することができる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例2と同様である。
In
次に、検疫対象装置103が別ネットワーク105に接続する検疫サーバ102以外の装置と通信する場合の動作を詳細に説明する。この場合も、前記の検疫対象装置103と検疫サーバ102間の通信同様、ネットワーク104内での検疫対象装置103の通信相手はルータ106のため、たとえ宛て先が検疫サーバ102以外の装置であったとしても、監視装置100は検疫対象装置103とルータ106間の通信を許可する。しかし、ルータ106のフィルタリングテーブル1301との比較において、宛て先IPアドレスが検疫サーバ102以外であるためIPパケットは破棄される。よって、検疫対象装置103が別ネットワーク105に接続する検疫サーバ102以外の装置との通信は不可となる。
Next, the operation when the
図19は本発明の実施例4のシステム構成図である。本実施例では、実施例1と異なり認証サーバ107を設置する。認証サーバ107の役割は、検疫対象装置103からの要求により検疫対象装置103からログインしようとするユーザのログイン認証を行うことである。本実施例では、検疫対象装置103の検疫実施、または、未実施に関わらず、検疫対象装置103と認証サーバ107間の通信は常に許可しなければならない。
FIG. 19 is a system configuration diagram of
図20は本実施例における監視装置100の構成である。実施例1と異なり、本実施例では監視装置100はフレーム転送可否リスト207を有し、接続可否判断処理部204がこれを参照する。
FIG. 20 shows the configuration of the
図21はフレーム転送可否リスト207の例である。本リストは認証サーバや検疫対象装置等の情報に合わせ自由に書き換えることができる。宛先情報2101はフレームの宛先となる認証サーバなどのIPアドレスを指定、あるいは、空白(すべてのフレームが対象となることを示す)とする。送信元情報2102には検疫対象装置のIPアドレスを指定、あるいは、空白(すべてのフレームが対象となることを示す)とする。サービス情報2103は通信に使われるプロトコル種別やポート番号を指定、あるいは、空白(すべてのフレームが対象となることを示す)とする。動作2104には宛先情報2101,送信元情報2102,サービス情報2103の3つの条件がすべて合致したときのフレームに対する動作を指定する。この例では、1行目は認証サーバ宛のフレームはすべて転送することを示す。2行目は認証サーバを宛先とし、送信元IPアドレスが10.1.1.1のフレームはすべて転送することを示す。3行目は認証サーバを宛先とし、送信元IPアドレスが10.1.1.0〜10.1.1.255のフレームはすべて転送することを示す。4行目は認証サーバ宛のICMP通信はすべて転送することを示す。5行目は認証サーバ宛のTCP通信はすべて転送することを示す。6行目は認証サーバ宛のHTTP通信はすべて転送することを示す。7行目は送信元IPアドレスが10.1.1.0〜10.
1.1.255のフレームはすべて破棄することを示す。8行目は送信元IPアドレスが10.1.1.10のフレームは破棄することを示す。
FIG. 21 shows an example of the frame
1.1.255 indicates that all frames are discarded. The eighth line indicates that the frame with the source IP address 10.1.1.10 is discarded.
図22は本実施例における監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図4と異なる部分のみ記述してある。処理2201で受信したフレームの宛先情報,送信元情報,サービス情報を、フレーム転送可否リスト207の条件と合致しているかどうかを検査する。宛先情報,送信元情報,サービス情報の3つの条件と合致している場合、処理2202にてフレーム転送可否リスト207で指定された動作が転送か廃棄かを判断する。廃棄の場合、処理2203にて当該フレームは破棄し、処理を終了する。処理2202にて当該フレームが転送対象と判断された場合、処理2204にて当該フレームを転送し、処理を終了する。なお、転送処理はIPフォワードと呼ばれるIPパケットをルーティングするための公知の技術を用いる。処理2201にて受信したフレームの宛先情報,送信元情報,サービス情報が、フレーム転送可否リスト207の条件と合致していない場合は処理401の条件判定を実施する。本処理以降の動作は図4と同様である。処理401以降の動作により、実施例1と同様、検疫対象装置103からの送信フレームは、宛先IPアドレスに関わらずすべて監視装置100に送信されることとなる。
FIG. 22 shows a processing flow of the connection possibility
本実施例では、この送信フレームがすべて監視装置100に集まるという性質を利用し、そのフレームの宛先情報,送信元情報,サービス情報を調べることで、転送や廃棄を判断する。これにより、検疫対象装置であっても認証サーバとの通信は常に許可することが可能となる。
In the present embodiment, using the property that all the transmission frames are gathered in the
100 監視装置
102 検疫サーバ
103 検疫対象装置
104 監視装置や検疫対象装置が接続するネットワーク
105 ルータを介した別ネットワーク
106 ルータ
107 認証サーバ
201 フレーム受信処理部
202 フレーム送信処理部
203 OS/ウィルスソフトのアップデートデータ保存部
204 接続可否判断処理部
205 接続可否情報テーブル
206 ARP応答フレーム生成部
207 フレーム転送可否リスト
DESCRIPTION OF
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006340651A JP4895793B2 (en) | 2006-12-19 | 2006-12-19 | Network monitoring apparatus and network monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006340651A JP4895793B2 (en) | 2006-12-19 | 2006-12-19 | Network monitoring apparatus and network monitoring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008154012A true JP2008154012A (en) | 2008-07-03 |
JP4895793B2 JP4895793B2 (en) | 2012-03-14 |
Family
ID=39655715
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006340651A Expired - Fee Related JP4895793B2 (en) | 2006-12-19 | 2006-12-19 | Network monitoring apparatus and network monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4895793B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2334030A2 (en) | 2009-12-10 | 2011-06-15 | Ricoh Company, Ltd. | Network apparatus, communication control method, and recording medium |
JP2012138727A (en) * | 2010-12-27 | 2012-07-19 | Pfu Ltd | Information processing device, address overlap handling method, and address overlap handling program |
US10624610B2 (en) | 2014-04-02 | 2020-04-21 | National University Corporation Gunma University | Ultrasonic imaging system |
CN113194289A (en) * | 2021-04-28 | 2021-07-30 | 京东方科技集团股份有限公司 | Image data obtaining and sending method and device, and Internet of things system |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685147A (en) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | Safety processing method, equipment and system for network access |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (en) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | Access control unit |
JP2006260027A (en) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | Quarantine system, and quarantine method using vpn and firewall |
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
JP2006339933A (en) * | 2005-06-01 | 2006-12-14 | Alaxala Networks Corp | Network access control method and system thereof |
-
2006
- 2006-12-19 JP JP2006340651A patent/JP4895793B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (en) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | Access control unit |
JP2006260027A (en) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | Quarantine system, and quarantine method using vpn and firewall |
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
JP2006339933A (en) * | 2005-06-01 | 2006-12-14 | Alaxala Networks Corp | Network access control method and system thereof |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2334030A2 (en) | 2009-12-10 | 2011-06-15 | Ricoh Company, Ltd. | Network apparatus, communication control method, and recording medium |
US8874702B2 (en) | 2009-12-10 | 2014-10-28 | Ricoh Company, Ltd. | Network apparatus, communication control method, and recording medium |
JP2012138727A (en) * | 2010-12-27 | 2012-07-19 | Pfu Ltd | Information processing device, address overlap handling method, and address overlap handling program |
US8935387B2 (en) | 2010-12-27 | 2015-01-13 | Pfu Limited | Information processing device, address duplication handling method, and computer-readable non-transitory recording medium |
US10624610B2 (en) | 2014-04-02 | 2020-04-21 | National University Corporation Gunma University | Ultrasonic imaging system |
CN113194289A (en) * | 2021-04-28 | 2021-07-30 | 京东方科技集团股份有限公司 | Image data obtaining and sending method and device, and Internet of things system |
Also Published As
Publication number | Publication date |
---|---|
JP4895793B2 (en) | 2012-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4664143B2 (en) | Packet transfer apparatus, communication network, and packet transfer method | |
JP5398410B2 (en) | Network system, packet transfer apparatus, packet transfer method, and computer program | |
JP5069356B2 (en) | Techniques for address resolution in data transmission networks. | |
US7434254B1 (en) | Method and apparatus for automatic filter generation and maintenance | |
US7792990B2 (en) | Remote client remediation | |
US8646033B2 (en) | Packet relay apparatus | |
JP2006262141A (en) | Ip address applying method, vlan changing device, vlan changing system and quarantine processing system | |
WO2005036831A1 (en) | Frame relay device | |
US20060059552A1 (en) | Restricting communication service | |
CN107547510B (en) | Neighbor discovery protocol security table item processing method and device | |
US20200036682A1 (en) | Communication apparatus and communication system | |
US10397111B2 (en) | Communication device, communication system, and communication method | |
JP2008028914A (en) | Device and method for reducing communication load, and program | |
US7826447B1 (en) | Preventing denial-of-service attacks employing broadcast packets | |
JP2004166002A (en) | Communication device, boundary router device, server device, system and method for communication, routing method, communication program, and routing program | |
JP2006352719A (en) | Apparatus, method for monitoring network, network system, network monitoring method and network communication method | |
JP4895793B2 (en) | Network monitoring apparatus and network monitoring method | |
JP2006033206A (en) | Authentication system, hub, authentication method used for them and program thereof | |
JP2008271242A (en) | Network monitor, program for monitoring network, and network monitor system | |
US9100433B2 (en) | Communications control device, communications system, and program | |
WO2010130181A1 (en) | Device and method for preventing internet protocol version 6 (ipv6) address being fraudulently attacked | |
Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
JP4750750B2 (en) | Packet transfer system and packet transfer method | |
JP2007221395A (en) | Network terminal apparatus | |
US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110414 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110419 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111104 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111122 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4895793 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150106 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |