JP2009159045A - 接続制御装置及び接続制御方法並びに制御プログラム - Google Patents

接続制御装置及び接続制御方法並びに制御プログラム Download PDF

Info

Publication number
JP2009159045A
JP2009159045A JP2007332148A JP2007332148A JP2009159045A JP 2009159045 A JP2009159045 A JP 2009159045A JP 2007332148 A JP2007332148 A JP 2007332148A JP 2007332148 A JP2007332148 A JP 2007332148A JP 2009159045 A JP2009159045 A JP 2009159045A
Authority
JP
Japan
Prior art keywords
permitted
arp
unauthorized
address
correct
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007332148A
Other languages
English (en)
Inventor
Ayako Warashina
綾子 藁科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007332148A priority Critical patent/JP2009159045A/ja
Publication of JP2009159045A publication Critical patent/JP2009159045A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】接続を復旧する際、偽装ARPパケットの情報が登録された装置上で、管理者が手動でARPテーブルから偽装ARPパケットの情報を削除するか、偽装ARPパケットの情報が登録された装置のARPテーブルから、自動的に偽装ARPパケットの情報が消去されるまで待つ。
【解決手段】接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、を含むネットワークに接続される接続制御装置であって、前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の偽りのアドレス情報を含むパケットを送信し、前記外部装置から前記未許可装置の承認指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の正しいアドレス情報を含むパケットを送信する手段を備える。
【選択図】図3

Description

本発明は、接続制御装置及び接続制御方法並びに制御プログラムに関し、特に、ARP(Address Resolution Protocol)を利用して接続を制御する接続制御装置及び該接続制御装置を用いた接続制御方法並びに該接続制御装置で動作する制御プログラムに関する。
近年、各種情報処理装置は、インターネットやイントラネットなどのTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワークで接続されて使用されている。この種のネットワークでは、各情報処理装置に固有の識別番号であるIPアドレスと、各Ethernet(登録商標)カードに固有の識別番号であるMAC(Media Access Control)アドレスとを用いて互いを識別しており、IPアドレスからMACアドレスを求める際には、ARP(Address Resolution Protocol)と呼ばれるプロトコルが使用される。
このように、各種情報処理装置をネットワークで接続することによって必要な情報を共有することができ、業務の効率化を図ることができる。しかしながら、許可されていない装置がネットワークに侵入した場合には、許可された装置に記憶された情報が破壊されたり漏洩する恐れがある。そこで、下記特許文献1では、不正なアクセスを防止するために、アドレスを偽装したARPパケット(偽装ARPパケットと呼ぶ。)を送信して許可されていない装置の通信を遮断する不正接続防止システムを提案している。
この特許文献1に記載された不正接続防止装置について、図11及び図12を参照して説明する。図11に示すように、偽装ARPを利用した不正接続防止システムは、接続が許可されていない未許可装置120と、接続が許可された許可済み装置130と、不正接続防止装置110と、が同一ネットワークに接続されて構成される。この不正接続防止装置110は、図12に示すように、ネットワーク上のパケットを監視し、未許可装置120から送信されたARPパケットを受信すると、未許可装置120及び許可済み装置130に対して偽りのMACアドレスを記載した偽装ARPパケットを送信する。そして、未許可装置120及び許可済み装置130の所定のデータベース(ARPテーブルと呼ぶ。)に、偽装ARPパケットの情報を登録させることにより、未許可装置120と許可済み装置130間の通信を遮断する。
特開2005−79706号公報
このような不正接続防止システムを用いることにより、未許可装置の不正な接続を遮断することは可能であるが、接続を遮断した装置が、その後、承認された場合には、この装置の接続を復旧させる必要が生じる。しかしながら、上記不正接続防止システムには、接続を遮断した装置に対して接続を復旧させる仕組みを持っていないため、以下の方法で接続を復旧させなければならない。
(1)偽装ARPパケットの情報が登録されている装置上で、管理者が手動でARPテーブルから偽装ARPパケットの情報を削除する。
(2)偽装ARPパケットの情報が登録されている装置のARPテーブルから、自動的に偽装ARPパケットの情報が消去されるまで待つ。
しかしながら、上記方法で接続を復旧させる場合には、以下のような問題がある。
まず、(1)の方法を利用する場合は、偽装ARPパケットの情報が登録されている全ての装置に対して、管理者は、各装置が提供している手段を用いて操作を行う必要があり、管理者の負担が増大する。
また、(2)の方法を利用する場合は、ARPテーブルのキャッシュエントリが自動で消去されるまで待つ必要があり、迅速に接続を復旧させることができない。また、ARPテーブルのキャッシュエントリ保持時間は各装置の特性に依存するため、承認後のどのタイミングで接続が保障されるかを把握することが難しい。
本発明は、上記問題点に鑑みてなされたものであって、その主たる目的は、接続が遮断された場合に、管理者に負担をかけることなく、迅速かつ確実に接続を復旧させることができる接続制御装置及び該接続制御装置における接続制御方法並びに該接続制御装置で動作する制御プログラムを提供することにある。
上記目的を達成するため、本発明は、接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、を含むネットワークに接続される接続制御装置であって、前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の偽りのアドレス情報を含むパケットを送信し、前記外部装置から前記未許可装置の承認指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の正しいアドレス情報を含むパケットを送信する手段を少なくとも備えるものである。
本発明の接続制御装置及び接続制御方法並びに制御プログラムによれば、下記記載の効果を奏する。
本発明の第1の効果は、ネットワークから遮断された装置を迅速にネットワークに復旧させることができるということである。その理由は、接続制御装置は、承認指令を受信した時点で処理を行い、正しいMACアドレスを有する復旧ARPパケットを送信し、各装置のARPテーブルを正しい情報に書き換えることができるからである。
また、本発明の第2の効果は、ネットワークから遮断された装置がネットワークに復旧するタイミングを保障できるということである。その理由は、接続制御装置が復旧ARPパケットを送信して接続を復旧するため、装置毎に異なるARPテーブルのキャッシュ保持時間が切れるのを待たずに接続を復旧させることができるからである。
また、本発明の第3の効果は、即時に接続を復旧したい場合であっても、人手をかけずに自動でネットワークへの接続を復旧させることができ、管理者の負担を軽減することができるということである。その理由は、接続制御装置が復旧ARPパケットを送信することによって接続が復旧するため、各装置に対して、管理者が偽装ARPパケットの情報を削除するコマンドを実行したり、マシンを再起動させる等の操作を行う必要がなくなるからである。
本発明の接続制御システムは、その好ましい一実施例において、未許可装置と許可済み装置と接続制御装置と外部装置とが同一ネットワークに接続されて構成される。接続制御装置は、外部装置から遮断指令を受信した場合に、少なくとも遮断対象となる装置に、偽りのMACアドレスを有する偽装ARPパケットを送信し、該装置のARPテーブルに偽りのMACアドレスを登録させて通信を遮断する。その際、遮断した装置のIPアドレス、MACアドレス、偽装ARPパケットの送信先MACアドレス、偽装ARPパケットに設定したIPアドレスを偽装ARP送信リストに登録する。
そして、接続制御装置は、外部装置から遮断した装置の承認指令を受信した場合に、偽装ARP送信リストに登録した情報を読み出すと共に、承認リストから偽装ARPパケットに設定したIPアドレスに対応する正しいMACアドレスを取得する。そして、偽装ARPパケットを送信した装置に対して、正しいMACアドレスを有する復旧ARPパケットを送信し、該装置のARPテーブルに正しいMACアドレスを登録させて通信を復旧させる。
これにより、未許可装置及び許可済み装置のARPテーブルに格納されたMACアドレスを適宜、自動的に更新させることができ、管理者に負担をかけることなく、迅速かつ確実に装置間の通信の遮断/復旧を制御することが可能となる。
本発明の一実施例に係る接続制御装置及び接続制御方法並びに制御プログラムについて、図1乃至図10を参照して説明する。図1は、本実施例の接続制御システムの構成例を示す図であり、図2は、本実施例の接続制御装置の構成例を示すブロック図である。また、図3は、遮断指令または承認指令があった場合の接続制御装置の動作を示すフローチャート図であり、図4は、接続を復旧する場合の接続制御システムの動作を示す図である。また、図5は、遮断指令データの構成例、図6は、承認指令データの構成例、図7は、承認リストの登録例、図8は、偽装ARP送信リストの登録例を示す図であり、図9は、偽装ARPパケットの構成例、図10は、復旧ARPパケットの構成例を示す図である。
図1に示すように、本実施例の接続制御システムは、接続の遮断/復旧を制御する接続制御装置10と、接続の遮断/復旧の対象となる装置(以下、未許可装置20とする。)と、未許可装置20が接続する対象となる装置(以下、許可済み装置30とする。)と、接続の遮断/承認を指示する外部装置40と、がTCP/IPネットワークで接続されて構成される。
なお、未許可装置20及び許可済み装置30は、ARPパケットの送信/受信を実行する手段を備えるものとし、外部装置40は、ネットワーク上の任意の装置に対して接続の遮断/承認の指令を送信する手段を備えるものとする。また、ここでは説明を容易にするために、ネットワーク上に各装置を1台ずつ設ける場合を示しているが、未許可装置20や許可済み装置30、外部装置40の台数は制限されない。また、各装置の形態は任意であり、例えば、コンピュータ機器や記憶装置、PDA(Personal Digital Assistants)、携帯電話機などとすることができる。
また、図2に示すように、接続制御装置10は、本実施例の接続制御に関する手段として、外部指令受付部11と、ARP送信部12と、承認リスト制御部13と、偽装ARP送信リスト制御部14と、を備える。
外部指令受付部11は、同一ネットワークに接続されている外部装置40が送信する指令を受け付ける手段であり、遮断指令を受け付ける遮断指令受付部11aと、承認指令を受け付ける承認指令受付部11bと、を備える。
ARP送信部12は、同一ネットワークに接続されている装置にARPパケットを送信する手段であり、偽装ARPパケットを送信する偽装ARP送信部12aと、復旧ARPパケットを送信する復旧ARP送信部12bと、を備える。
承認リスト制御部13は、管理者が承認した装置に関する情報を管理する手段であり、上記情報が記載されたリスト(以下、承認リストと呼ぶ。)を格納する承認リスト記憶部13aを備える。本実施例では、この承認リストには、許可済み装置30のIPアドレス及びMACアドレスが格納される。
偽装ARP送信リスト制御部14は、ARP送信部12が偽装ARPパケットを送信する装置に関する情報を管理する手段であり、上記情報が記載されたリスト(以下、偽装ARP送信リストと呼ぶ。)を格納する偽装ARP送信リスト記憶部14aを備える。本実施例では、この偽装ARP送信リストには、未許可装置20のIPアドレス及びMACアドレスと、偽装ARPパケットの送信先のMACアドレスと、偽装ARPパケットに記載したIPアドレスとが格納される。
なお、上記外部指令受付部11、ARP送信部12、承認リスト制御部13、偽装ARP送信リスト制御部14は、接続制御装置10にハードウェアとして構成してもよいし、コンピュータを、外部指令受付部11、ARP送信部12、承認リスト制御部13、偽装ARP送信リスト制御部14の少なくとも一つとして機能させる制御プログラムとして構成し、該制御プログラムを接続制御装置10上で動作させる構成としてもよい。また、上記承認リスト記憶部13aや偽装ARP送信リスト記憶部14aは、接続制御装置10の内部に設けてもよいし、外部に設けてもよい。
以下、上記構成の接続制御システムの動作について説明する。
最初に、図3を参照して、接続制御装置10が外部装置40から未許可装置20の遮断指令を受け付けた場合の動作について説明する。
まず、ステップS101で、接続制御装置10の外部指令受付部11(遮断指令受付部11a)は、外部装置40からの指令データを監視し、外部装置40から指令データを受信したら、ステップS102で、その指令データを解析し、遮断指令であるか承認指令であるかを判断する。ここでは、遮断指令であると判断する。
この遮断指令データは、例えば、図5のように構成され、遮断対象となる装置(ここでは、未許可装置20とする。)のIPアドレス及びMACアドレスと、偽装ARPパケットの送信先のMACアドレスと、偽装ARPパケットに記載するIPアドレスと、が含まれている。
なお、図5は、未許可装置20宛てに偽装ARPパケットを送信(ユニキャスト送信)すると共に、ネットワーク上の全ての装置宛に偽装ARPパケットを送信(ブロードキャスト送信)する指令であるが、未許可装置20宛てに偽装ARPパケットを送信(ユニキャスト送信)すると共に、未許可装置20がARPパケットを送信する特定の許可済み装置30宛に偽装ARPパケットを送信(ユニキャスト送信)する指令としてもよい。
次に、ステップS103で、承認リスト制御部13は、遮断指令データで遮断対象となる未許可装置20のIPアドレス及びMACアドレスの組み合わせが、承認リスト記憶部13aに保存された承認リストに存在しているかを調べる。そして、存在していない場合はステップS105にスキップし、存在している場合は、ステップS104で、承認リストから遮断対象となる未許可装置20のIPアドレス及びMACアドレスを削除する。
この処理は、承認リストに登録された装置であっても、外部装置40からの遮断指令を受けた場合は承認リストから除外する処理であり、承認リストから除外することによって、この装置に後述する復旧ARPパケットが送信されて接続が復旧される。
次に、ステップS105で、ARP送信部12(偽装ARP送信部12a)は、遮断指令データの指示に従って偽装ARPパケットを送信する。この偽装ARPパケットは、例えば、図9のように構成され、遮断対象となる未許可装置20宛てにユニキャスト送信される、上記特定の許可済み装置30の正しいIPアドレスと偽りのMACアドレスとが含まれたパケットと、ネットワーク上の全ての装置宛てにブロードキャスト送信される、遮断対象となる未許可装置20の正しいIPアドレスと偽りのMACアドレスとが含まれたパケットとで構成される。
なお、後者の偽装ARPパケットをブロードキャスト送信する代わりに、上記特定の許可済み装置30宛に、遮断対象となる未許可装置20の正しいIPアドレスと偽りのMACアドレスとが含まれた偽装ARPパケットをユニキャスト送信することもできる。
このような偽装ARPパケットを送信することにより、遮断対象となる未許可装置20は、自装置のARPテーブルに、特定の許可済み装置30の正規のIPアドレスと偽りのMACアドレスとを登録するため、特定の許可済み装置30に接続することができなくなる。また、他の装置は、自装置のARPテーブルに、遮断対象となる未許可装置20の正しいIPアドレスと偽りのMACアドレスとを登録するため、遮断対象となる未許可装置20に接続することができなくなる。
次に、ステップS106で、偽装ARP送信リスト制御部14は、遮断対象となる未許可装置20のIPアドレス及びMACアドレスの組み合わせが、偽装ARP送信リスト記憶部14aに保存された偽装ARP送信リストに存在しているかを調べ、存在している場合は処理を終了し、存在していない場合は、ステップS107で、送信した偽装ARPパケットの情報を偽装ARP送信リストに登録する。
この偽装ARP送信リストは、例えば、図8のように構成され、図5の遮断指令データと同様に、遮断対象となる未許可装置20のIPアドレス及びMACアドレスと、偽装ARPパケットの送信先のMACアドレスと、偽装ARPパケットに記載するIPアドレスと、が登録される。なお、特定の許可済み装置30宛に偽装ARPパケットをユニキャスト送信した場合は、偽装ARPパケットの送信先のMACアドレス(下段のMACアドレス)は、特定の許可済み装置30のMACアドレスとなる。
この処理は、承認指令を受信した場合に、偽装ARPパケットを送信した装置の接続を復旧させるために必要な処理であり、偽装ARP送信リストに登録することによって、後述する復旧ARPパケットが送信されて接続が復旧される。
その後、ステップS108で、接続制御装置10は、遮断対象となる未許可装置20の通信が遮断されたことを確認し、遮断指令データを送信した外部装置40に対して、遮断対象となる未許可装置20の接続が遮断されたことを通知する。
次に、図3及び図4を参照して、接続制御装置10が外部装置40から承認指令を受け付けた場合の動作について説明する。
前記と同様に、ステップS101で、接続制御装置10の外部指令受付部11(承認指令受付部11b)は、外部装置40からの指令データを監視し、外部装置40から指令データを受信したら、ステップS102で、その指令データを解析し、遮断指令であるか承認指令であるかを判断する。ここでは、承認指令であると判断する。
この承認指令データは、例えば図6のように構成され、承認する装置(ここでは、遮断された未許可装置20)のIPアドレス及びMACアドレスが含まれている。
次に、ステップS109で、承認リスト制御部13は、承認対象となる不許可装置20のIPアドレス、MACアドレスの組み合わせが、承認リスト記憶部13aに保存された承認リストに登録されているかを調べる。そして、登録されている場合は再度承認する必要がないため処理を終了し、登録されていない場合は、ステップS110で、承認リストに承認対象となる未許可装置20のIPアドレス及びMACアドレス情報を登録する。
次に、ステップS111で、偽装ARP送信リスト制御部14は、承認対象となる未許可装置20のIPアドレス及びMACアドレスの組み合わせが、偽装ARP送信リスト14aに保存された偽装ARP送信リストに存在しているかを調べ、存在していない場合は接続が遮断されていないと判断できることから処理を終了する。
一方、存在している場合は、偽装ARP送信リスト制御部14は、偽装ARP送信リストから偽装ARPパケットの情報(偽装ARP送信先のMACアドレス及び偽装ARPパケットで指定したIPアドレス)を取得し、復旧ARP送信部12bに通知する。また、承認リスト制御部13は、偽装ARPパケットで指定したIPアドレスをキーにして承認リストを検索し、そのIPアドレスに対応する正しいMACアドレスを取得し、復旧ARP送信部12bに通知する。
そして、ステップS112で、ARP送信部12(復旧ARP送信部12b)は、正しいMACアドレスを指定した復旧ARPパケットを、偽装ARPパケットの送信先の装置に送信する(図4参照)。この復旧ARPパケットは、例えば、図10のように構成され、承認対象となる未許可装置20宛てにユニキャスト送信されるパケットと、ネットワーク上の全ての装置宛てにブロードキャスト送信されるパケットとで構成される。
なお、後者の復旧ARPパケットをブロードキャスト送信する代わりに、承認対象となる未許可装置20がARPパケットを送信した特定の許可済み装置30宛に、承認対象となる未許可装置20のIPアドレスと正しいMACアドレスとが含まれた復旧ARPパケットをユニキャスト送信することもできる。
このような復旧ARPパケットを送信することにより、承認対象となる未許可装置20は、自装置のARPテーブルに、特定の許可済み装置30のIPアドレスと正しいMACアドレスとを登録するため、特定の許可済み装置30に接続することができるようになる。また、他の装置は、自装置のARPテーブルに、承認対象となる未許可装置20のIPアドレスと正しいMACアドレスとを登録するため、承認対象となる未許可装置20に接続することができるようになる。
次に、ステップS113で、偽装ARP送信リスト制御部14は、偽装ARP送信リストから、ステップS107で登録した偽装ARPパケットの情報を削除する。
その後、ステップS114で、接続制御装置10は、承認対象となる未許可装置20にARPパケットを送信し、正しいMACアドレスが返ってきたことを確認し、承認指令データを送信した外部装置40に対して、承認対象となる未許可装置20の接続が復旧したことを通知する。
このように、外部指令受付部11(遮断指令受付部11a)が外部装置40から遮断要求を受信した場合、ARP送信部12(偽装ARP送信部12a)は、偽りのMACアドレスを有する偽装ARPパケットを送信し、装置間の通信を遮断する。また、偽装ARP送信リスト制御部14は、送信した偽装ARPパケットの情報を偽装ARP送信リストに登録し、承認リスト制御部13は、遮断する装置の情報を承認リストから削除する。
また、外部指令受付部11(承認指令受付部11b)が外部装置40から遮断した装置の承認指令を受信した場合、ARP送信部12(復旧ARP送信部12b)は、正しいMACアドレスを有する復旧ARPパケットを送信し、装置間の通信を復旧させる。また、偽装ARP送信リスト制御部14は、送信した偽装ARPパケットの情報を偽装ARP送信リストから削除し、承認リスト制御部13は、承認する装置の情報を承認リストに登録する。
これにより、未許可装置20及び許可済み装置30が保持するARPテーブルを適宜更新することができ、管理者に負荷をかけることなく、迅速かつ確実に、接続の遮断/復旧を制御することができる。
なお、上記実施例では、未許可装置20に偽装ARPパケット及び復旧ARPパケットを送信すると共に、ネットワーク上の全ての装置(又は特定の許可済み装置30)にも偽装ARPパケット及び復旧ARPパケットを送信する構成としたが、未許可装置20のみに偽装ARPパケット及び復旧ARPパケットを送信する構成とすることができる。
また、上記実施例では、未許可装置20の接続の遮断/復旧を例にして説明したが、本発明は上記実施例に限定されるものではなく、許可済み装置30の接続の遮断/復旧に対しても同様に適用することができる。
更に、上記実施例では、ARPパケットを送信する構成としたが、ARPパケット以外のパケットを送信する場合に対しても適用可能である。
本発明は、複数の装置にネットワーク接続される任意の接続制御装置、及び、その接続制御装置における接続制御方法に利用可能である。
本発明の一実施例に係る接続制御システムの構成例を示す図である。 本発明の一実施例に係る接続制御装置の構成例を示すブロック図である。 本発明の一実施例に係る接続制御装置の、遮断指令または承認指令があった場合の動作を示すフローチャート図である。 本発明の一実施例に係る接続制御システムの、接続を復旧する場合の動作を示す図である。 本発明の一実施例に係る遮断指令データの構成例を示す図である。 本発明の一実施例に係る承認指令データの構成例を示す図である。 本発明の一実施例に係る承認リストの登録例を示す図である。 本発明の一実施例に係る偽装ARP送信リストの登録例を示す図である。 本発明の一実施例に係る偽装ARPパケットの構成例を示す図である。 本発明の一実施例に係る復旧ARPパケットの構成例を示す図である。 特許文献1の不正接続防止システムの構成例を示す図である。 特許文献1の不正接続防止システムの動作例を示す図である。
符号の説明
10 接続制御装置
11 外部指令受付部
11a 遮断指令受付部
11b 承認指令受付部
12 ARP送信部
12a 偽装ARP送信部
12b 復旧ARP送信部
13 承認リスト制御部
13a 承認リスト記憶部
14 偽装ARP送信リスト制御部
14a 偽装ARP送信リスト記憶部
20 未許可装置
30 許可済み装置
40 外部装置
110 接続制御装置
111 承認リスト記憶部
120 未許可装置
130 許可済み装置

Claims (14)

  1. 接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、を含むネットワークに接続される接続制御装置であって、
    前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の偽りのアドレス情報を含むパケットを送信し、
    前記外部装置から前記未許可装置の承認指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の正しいアドレス情報を含むパケットを送信する手段を少なくとも備えることを特徴とする接続制御装置。
  2. 接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、を含むネットワークに接続される接続制御装置であって、
    前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、前記未許可装置に、前記許可済み装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信すると共に、少なくとも前記許可済み装置に、前記未許可装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信し、
    前記外部装置から前記未許可装置の承認指令を受け付けた場合に、前記未許可装置に、前記許可済み装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信すると共に、少なくとも前記許可済み装置に、前記未許可装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信する手段を少なくとも備えることを特徴とする接続制御装置。
  3. 前記外部装置から前記遮断指令を受け付けた場合に、送信した偽装ARPパケットの情報を偽装ARP送信リストに登録し、
    前記外部装置から前記承認指令を受け付けた場合に、前記偽装ARP送信リストを参照して前記復旧ARPパケットを送信し、その後、前記送信した偽装ARPパケットの情報を前記偽装ARP送信リストから削除する手段を更に備えることを特徴とする請求項2記載の接続制御装置。
  4. 前記接続制御装置は、外部指令受付部と承認リスト制御部とARP送信部と偽装ARP送信リスト制御部とを少なくとも備え、
    前記外部指令受付部は、前記外部装置から、前記未許可装置の遮断指令を受け付け、
    前記承認リスト制御部は、前記未許可装置の情報が、接続を承認する装置の情報を記載した承認リストに存在する場合に、前記未許可装置の情報を前記承認リストから削除し、
    前記ARP送信部は、前記遮断指令を参照して、前記未許可装置に、前記許可済み装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信すると共に、前記ネットワークで、前記接続制御装置と直接接続される装置に、前記未許可装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信し、
    前記偽装ARP送信リスト制御部は、送信した偽装ARPパケットの情報を偽装ARP送信リストに登録することを特徴とする請求項2又は3に記載の接続制御装置。
  5. 前記外部指令受付部は、前記外部装置から前記未許可装置の承認指令を受け付け、
    前記承認リスト制御部は、前記未許可装置の情報が前記承認リストに存在しない場合に、前記未許可装置の情報を前記承認リストに登録し、
    前記ARP送信部は、前記承認リスト及び前記偽装ARP送信リストを参照して、前記未許可装置に、前記許可済み装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信すると共に、前記ネットワークに接続される全ての装置に、前記未許可装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信し、
    前記偽装ARP送信リスト制御部は、前記送信した偽装ARPパケットの情報を前記偽装ARP送信リストから削除する制御を行うことを特徴とする請求項4記載の接続制御装置。
  6. 少なくとも、接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、接続の遮断/復旧を制御する接続制御装置と、を含むネットワークシステムにおける接続制御方法であって、
    前記接続制御装置は、
    前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の偽りのアドレス情報を含むパケットを送信し、
    前記外部装置から前記未許可装置の承認指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の正しいアドレス情報を含むパケットを送信することを特徴とする接続制御方法。
  7. 少なくとも、接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、接続の遮断/復旧を制御する接続制御装置と、を含むネットワークシステムにおける接続制御方法であって、
    前記接続制御装置は、
    前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、前記未許可装置に、前記許可済み装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信すると共に、少なくとも前記許可済み装置に、前記未許可装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信し、
    前記外部装置から前記未許可装置の承認指令を受け付けた場合に、前記未許可装置に、前記許可済み装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信すると共に、少なくとも前記許可済み装置に、前記未許可装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信することを特徴とする接続制御方法。
  8. 前記接続制御装置は、
    前記外部装置から前記遮断指令を受け付けた場合に、送信した偽装ARPパケットの情報を偽装ARP送信リストに登録し、
    前記外部装置から前記承認指令を受け付けた場合に、前記偽装ARP送信リストを参照して前記復旧ARPパケットを送信し、その後、前記送信した偽装ARPパケットの情報を前記偽装ARP送信リストから削除することを特徴とする請求項7記載の接続制御方法。
  9. 少なくとも、接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、接続の遮断/復旧を制御する接続制御装置と、を含むネットワークシステムにおける接続制御方法であって、
    前記接続制御装置は、
    前記外部装置から、前記未許可装置の遮断指令を受け付け、
    前記未許可装置の情報が、接続を承認する装置の情報を記載した承認リストに存在するかを判断し、存在する場合に、前記未許可装置の情報を前記承認リストから削除し、
    前記遮断指令を参照して、前記未許可装置に、前記許可済み装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信すると共に、前記ネットワークで、前記接続制御装置と直接接続される装置に、前記未許可装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信し、
    送信した偽装ARPパケットの情報をARP送信リストに登録することを特徴とする接続制御方法。
  10. 前記接続制御装置は、更に、
    前記外部装置から前記未許可装置の承認指令を受け付け、
    前記未許可装置の情報が前記承認リストに存在するかを判断し、存在しない場合に、前記未許可装置の情報を前記承認リストに登録し、
    前記承認リスト及び前記偽装ARP送信リストを参照して、前記未許可装置に、前記許可済み装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信すると共に、前記ネットワークに接続されるに、前記未許可装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信し、
    前記送信した偽装ARPパケットの情報を前記偽装ARP送信リストから削除することを特徴とする請求項9記載の接続制御方法。
  11. 前記接続制御装置は、更に、
    前記復旧ARPパケットの送信後、前記未許可装置にARPパケットを送信し、前記未許可装置から正常なARPパケットを受信したら、前記外部装置に、前記未許可装置の接続が復旧したことを通知することを特徴とする請求項10記載の接続制御方法。
  12. 接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、を含むネットワークに接続される接続制御装置で動作する制御プログラムであって、
    コンピュータを、
    前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の偽りのアドレス情報を含むパケットを送信し、
    前記外部装置から前記未許可装置の承認指令を受け付けた場合に、少なくとも前記未許可装置に、前記許可済み装置の正しいアドレス情報を含むパケットを送信する手段、として機能させることを特徴とする制御プログラム。
  13. 接続が許可されていない未許可装置と、接続が許可されている許可済み装置と、指令を送信する外部装置と、を含むネットワークに接続される接続制御装置で動作する制御プログラムであって、
    コンピュータを、
    前記外部装置から前記未許可装置の遮断指令を受け付けた場合に、前記未許可装置に、前記許可済み装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信すると共に、少なくとも前記許可済み装置に、前記未許可装置の正しいIPアドレスと偽りのMACアドレスとを含む偽装ARPパケットを送信し、
    前記外部装置から前記未許可装置の承認指令を受け付けた場合に、前記未許可装置に、前記許可済み装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信すると共に、少なくとも前記許可済み装置に、前記未許可装置の正しいIPアドレスと正しいMACアドレスとを含む復旧ARPパケットを送信する手段、として機能させることを特徴とする制御プログラム。
  14. コンピュータを、更に、
    前記外部装置から前記遮断指令を受け付けた場合に、送信した偽装ARPパケットの情報を偽装ARP送信リストに登録し、
    前記外部装置から前記承認指令を受け付けた場合に、前記偽装ARP送信リストを参照して前記復旧ARPパケットを送信し、その後、前記送信した偽装ARPパケットの情報を前記偽装ARP送信リストから削除する手段、として機能させることを特徴とする請求項13記載の制御プログラム。
JP2007332148A 2007-12-25 2007-12-25 接続制御装置及び接続制御方法並びに制御プログラム Pending JP2009159045A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007332148A JP2009159045A (ja) 2007-12-25 2007-12-25 接続制御装置及び接続制御方法並びに制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007332148A JP2009159045A (ja) 2007-12-25 2007-12-25 接続制御装置及び接続制御方法並びに制御プログラム

Publications (1)

Publication Number Publication Date
JP2009159045A true JP2009159045A (ja) 2009-07-16

Family

ID=40962624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007332148A Pending JP2009159045A (ja) 2007-12-25 2007-12-25 接続制御装置及び接続制御方法並びに制御プログラム

Country Status (1)

Country Link
JP (1) JP2009159045A (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185498A (ja) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd アクセス制御装置
JP2005210451A (ja) * 2004-01-23 2005-08-04 Fuji Electric Holdings Co Ltd 不正アクセス防止装置及びプログラム
JP2006066982A (ja) * 2004-08-24 2006-03-09 Hitachi Ltd ネットワーク接続制御システム
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185498A (ja) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd アクセス制御装置
JP2005210451A (ja) * 2004-01-23 2005-08-04 Fuji Electric Holdings Co Ltd 不正アクセス防止装置及びプログラム
JP2006066982A (ja) * 2004-08-24 2006-03-09 Hitachi Ltd ネットワーク接続制御システム
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置

Similar Documents

Publication Publication Date Title
CN101340444B (zh) 防火墙和服务器策略同步方法、***和设备
JP5212913B2 (ja) Vpn接続システム、及びvpn接続方法
JP2008158903A (ja) 認証システム、および主端末
US20190014081A1 (en) Apparatus for supporting communication between separate networks and method for the same
JP2006060509A (ja) 中継装置および中継装置の再起動方法並びに中継装置用ソフトウェアプログラム
JP2008139996A (ja) 情報漏洩抑止システム及びデータ保存方法
CN103023943A (zh) 任务处理方法及其装置、终端设备
JP2009217556A (ja) 情報処理システム、情報端末、および、プログラム
CN104885094A (zh) 使用被优化用于不同通信类型的多个服务器的设备监测
CN102609660A (zh) 一种计算机视频设备隐私保护方法和***
JP2009159045A (ja) 接続制御装置及び接続制御方法並びに制御プログラム
JP2009211293A (ja) 通信制御システム、通信制御方法、及び通信制御用プログラム
JP2005309974A (ja) ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体
CN105357670A (zh) 一种路由器
JP6897254B2 (ja) 通信システム、通信プログラム、およびコンピュータ読取可能な記録媒体
US8955064B2 (en) Control over access to device management tree of device management client
JP5601084B2 (ja) サーバ装置、サーバ・ベースコンピューティングシステムおよびプログラム
JP2008227600A (ja) 通信妨害装置及び通信妨害プログラム
JP2009225045A (ja) 通信妨害装置及び通信妨害プログラム
JP2007090712A (ja) 印刷システム
JP2006217551A (ja) セキュリティ装置
WO2023187896A1 (ja) 通信システム、送信機、及び受信機
JP5057077B2 (ja) ルータ装置、通信システム及びそれらに用いる不正経路確認方法
US20210352058A1 (en) Connecting and resetting devices
JP4888420B2 (ja) 通信制御システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110624

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111021

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20111110