JP2011205560A - 不正接続防止装置及びプログラム - Google Patents
不正接続防止装置及びプログラム Download PDFInfo
- Publication number
- JP2011205560A JP2011205560A JP2010073025A JP2010073025A JP2011205560A JP 2011205560 A JP2011205560 A JP 2011205560A JP 2010073025 A JP2010073025 A JP 2010073025A JP 2010073025 A JP2010073025 A JP 2010073025A JP 2011205560 A JP2011205560 A JP 2011205560A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- packet
- request packet
- arp
- arp request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【解決手段】不正接続防止装置150は、未登録端末130からARP要求を受信すると、ARP要求の対象に対するARPキャッシュを偽りのものに変更する旨を未登録端末130に、未登録端末130に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、また、違反端末120から、対象がパッチサーバ140ではないARP要求を受信すると、ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を違反端末120に、違反端末120に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで、違反端末120に対するARPキャッシュを正しいものに変更する旨をパッチサーバ140に送信する。結果、違反端末120は、パッチサーバ140とは通信できるが、未登録端末130とは通信できない。
【選択図】図1
Description
そこで、ARP応答パケットを利用して防御対象への不正なアクセスを防ぐ方法が開示されている(例えば、特許文献1参照)。特許文献1に開示された方法では、ネットワークでの接続を許可されている端末のリストが用いられる。より具体的には、そのリストに登録されていない装置からブロードキャスト送信されたARP要求パケットに対して、偽のMACアドレスを有するARP応答パケットが送信される。このようにすれば、ネットワーク内の端末を、不正アクセスから防御することができる。
特許文献1に記載の方法は、リストに登録されていない不許可装置からブロードバンドにARP要求パケットが送信されると、防御対象の情報処理装置から正しいARP応答パケットが返信された後に、同じネットワーク内の不正接続防止装置が、防御対象のMACアドレスとして偽のMACアドレスを有するARP応答パケットを送信する。これによって、不許可装置の記憶する防御対象の情報処理装置のIPアドレスとMACアドレスの組み合わせが合わなくなるので、不正アクセスを防ぐことができる。
また、本発明は、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく導入することが可能な不正接続防止装置およびプログラムを提供することを他の目的とする。
ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする。
コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させる。
更に、本発明によれば、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく不正接続防止装置を導入することができる。
ネットワーク100に接続された正常端末110と、違反端末120と、未登録端末130と、パッチサーバ140とは、各々1個ずつとなっているが、複数でもよい。
図4に示すように、特定端末リスト155には、パッチサーバ140のMACアドレスとIPアドレスが保存される。
図5に示すように、正常端末リスト156には、正常端末110のMACアドレスとIPアドレスが保存される。
図6に示すように、不正端末リスト157には、違反端末120のMACアドレス及びIPアドレスと、未登録端末130のMACアドレス及びIPアドレスと、が保存される。
図7に示すように、パッチリスト158には、不正接続防止装置150が登録端末115のパッチ適用状況を調べるためのパッチ情報が保存される。不正接続防止装置150は、パッチリスト158に保存されるパッチ情報を基準にして、登録端末115がネットワーク100で通信しても良いか否かを判定する。
不正接続防止装置150は、最適なパッチが適用されている登録端末115のMACアドレスとIPアドレスとを正常端末リスト156に登録し、最適なパッチが適用されていない登録端末115のMACアドレスとIPアドレスとを不正端末リスト157に登録する。
同様に、正常端末110に対して最適なパッチが適用されていないことが不正接続防止装置150によって確認されると、その正常端末110のMACアドレスとIPアドレスが自動的に正常端末リスト156から消去され、代わりに、その正常端末110のMACアドレスとIPアドレスとが、自動的に不正端末リスト157へ登録される。
また、制御部151は、通信部152を介して受信したARP要求パケットの対象IPアドレスを、特定端末リスト155と正常端末リスト156から検索することによって、受信したARP要求パケットの対象が、パッチサーバ140なのか不正端末125なのかを判別する。
制御部151は、判別した送信元と対象の組み合わせに対応して通信部152からパケットを送信する。
また、受信したARP要求パケットの送信元MACアドレスが、正常端末リスト156に登録されておらず、かつ、登録端末リスト154に記憶されている場合、受信したARP要求パケットの送信元は違反端末120であると判定される。
また、受信したARP要求パケットの送信元MACアドレスが、特定端末リスト155に登録されておらず、かつ、登録端末リスト154に登録されていない場合、受信したARP要求パケットの送信元は未登録端末130であると判定される。
また、受信したARP要求パケットの対象IPアドレスが、特定端末リスト155に登録されておらず、正常端末リスト156に登録されていない場合、受信したARP要求パケットの対象は、不正端末125であると判定される。
また、ネットワーク100内の端末は、違反端末120からARP要求パケットを受信すると、違反端末120に対するARPキャッシュに、正しいMACアドレスを一時的に記憶する。しかし、パケットP2を受信することによって違反端末120に対するARPキャッシュが、偽りのものに変更されるので、ネットワーク100内の端末は、違反端末120に対して通信ができなくなる。
ただし、パッチサーバ140は、パケットP3を受信することによって、違反端末120に対するARPキャッシュを正しいMACアドレスに変更するので、違反端末120とパッチサーバ140との通信は許可される。
ただし、パッチサーバ140は、パケットP3を受信することによって、ARP要求パケットの送信元である違反端末120のARPキャッシュを正しいMACアドレスに変更する。また、ARP要求パケットの送信元である違反端末120は、パッチサーバ140からARP応答パケットを受信することによって、パッチサーバ140の正しいMACアドレスをARPキャッシュに記憶する。これによって違反端末120とパッチサーバ140との通信が可能になる。
また、不正端末125は、正常端末110からARP要求パケットを受信することによって、正常端末110の正しいMACアドレスARPキャッシュに一時的に記憶する。しかし、不正端末125は、正しいMACアドレスを記憶後、パケットP4を受信すると、正常端末110に対するARPキャッシュを偽のMACアドレスに変更する。これによって、不正端末125は正常端末110に対して通信ができなくなる。
ネットワーク100内の端末は、未登録端末130から送信されたARP要求パケットを受信することによって、一時的に未登録端末の正しいMACアドレスをARPキャッシュに記憶する。しかし、パケットP4を受信することによって、ネットワーク100内の端末は、ARP要求パケットの送信元である未登録端末に対するARPキャッシュを偽のMACアドレスに変更する。このため、ネットワーク100内の端末は未登録端末130に対して通信ができなくなる。
この場合、この未登録端末130は、送信したARP要求パケットの対象に対して通信する事が可能である。
しかし、不正接続防止装置150が予備パケットとしてパケットP1を500ミリ秒おきに20回送信するので、未登録端末130は再びARP要求パケットの対象のMACアドレスとして偽のMACアドレス有する予備パケットを受信することになる。
これによって、未登録端末130は、送信したARP要求パケットの対象に対して通信することができなくなる。
このように、予備パケットを送信することにより、ARP応答パケットの順序がずれたとしても、通信のブロックを正確に実行することができるようになる。
まず、不正接続防止装置150は、受信したARP要求パケットの送信元が違反端末120であるか否かを判定する(ステップS210)。
図9に示すように、パケットP1のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスは、それぞれ、受信したARP要求パケットの送信元MACアドレス、不正接続防止装置150のMACアドレスである。パケットP1のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、受信したARP要求パケットの対象IPアドレス、受信したARP要求パケットの送信元MACアドレス、受信したARP要求パケットの送信元IPアドレスである。パケットP1は、ARP要求パケットの送信元である違反端末120宛へユニキャストされる。
図10に示すように、パケットP2のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスはそれぞれブロードキャストアドレス、不正接続防止装置150のMACアドレスである。また、パケットP2のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、ARP要求パケットの送信元IPアドレス、ブロードキャストアドレス、ARP要求パケットの送信元IPアドレスである。
図11に示すように、パケットP3のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスはそれぞれパッチサーバ140のMACアドレス、ARP要求パケットの送信元である違反端末120のMACアドレスである。パケットP3のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ、ARP要求パケットの送信元である違反端末120の正しいMACアドレス、ARP要求パケットの送信元の違反端末120のIPアドレス、パッチサーバ140のMACアドレス、パッチサーバ140のIPアドレスである。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である違反端末120が、パケットP1を受信した後に、対象から正しいMACアドレスを取得したとしても、予備パケットとして送信されたパケットP1をさらに受信することによって、違反端末120のネットワーク100内での通信を、確実にブロックすることができる。
パケットP2を受信した端末では、ARP要求パケット送信元の違反端末120に対するARPキャッシュが偽MACアドレスに変更される。これにより、その端末と、ARP要求パケットの送信元である違反端末120との通信ができなくなる。ただし、パッチサーバ140は、パケットP2を受信した後、パケットP3を受信し、違反端末120に対するARPキャッシュが正しいMACアドレスへ変更されるので、違反端末120に対して通信可能となる。
図12に示すように、パケットP4のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスは、それぞれ不正端末リストに保存される不正端末125のMACアドレス、ARP要求パケットの送信元MACアドレスである。パケットP4のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、ARP要求パケットの送信元IPアドレス、宛先である不正端末125のMACアドレス、宛先である不正端末125のIPアドレスである。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である正常端末110が、パケットP1を受信した後に、ARP要求パケットの対象である不正端末125から正しいARP応答パケットを受信したとしても、予備パケットとして送信されたパケットP1によって、正常端末110の不正端末125に対する通信をブロックすることができる。
また、ARP要求パケットの送信元である正常端末110は、ARP要求パケットの対象から正しいMACアドレスを取得するので、正常端末110は、ネットワーク100内での通信を許可されることになる。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である未登録端末130が、パケットP1を受信した後に、ARP要求パケットの対象から正しいMACアドレスを取得したとしても、予備パケットとして送信されたパケットP1によって、違反端末120のネットワーク内での通信をブロックすることができる。
また、ARP要求パケットがブロードキャストで送信されることを利用しているため、ネットワークの構成を変更することなく、セキュリティレベルを維持しつつ、不正接続防止装置150を導入することができる。
この場合、ネットワーク100内の端末にインストールされた特定のアプリケーションが端末に特定の情報を含むパケットを送信させ、特定の情報を含むパケットを不正接続防止装置150が受信すると、不正接続防止装置150は、このパケットの送信元のMACアドレスを登録端末リスト154に登録する。
このアプリケーションが、インストールされた端末に、パッチ適用状況を不正接続防止装置150へ送信させる。不正接続防止装置150は、パッチ適用状況を受信し、受信したパッチ適用状況を確認することによって、登録端末115が最適なパッチを適用しているかを確認する。
また、上記実施形態では、不正接続防止装置150が、登録端末115のパッチ適用状況を調べていたが、不正接続防止装置150ではない端末がパッチ適用状況を調べ、調べたパッチ適用状況を不正接続防止装置150に送信しても良い。
例えば、指紋認証や、USB(Universal Serial Bus)ドングルに含まれる情報や、パスワードを利用するようにしてもよい。登録端末115は、特定の情報(指紋画像又はUSBドングルに含まれる情報やパスワード等の暗号コード)を不正接続防止装置150に送信する。不正接続防止装置150は、特定の情報を受信すると、受信された情報と記憶する情報とを照合し、それらが一致したことを受けて、該当する登録端末115のMACアドレスとIPアドレスを正常端末リスト156に一時的に登録するようにしてもよい。
この場合、パッチサーバ140は、パッチを保存しているサーバである必要はなく、例えば、ネットワーク100上の共有ファイルを保存するサーバやNASとして機能することができる。
また、図13に示すように、不正接続防止装置150は、受信したARP要求パケットの送信元が違反端末120であるか否かを判定し(ステップS310)、違反端末120であれば(ステップS310が“YES”)、パケットP2を送信し(ステップS311)、パケットP3を送信する(ステップS312)。パケットP3送信後、不正接続防止装置150は、対象がパッチサーバ140であるか否か判定し(ステップS313)、対象がパッチサーバ140であれば(ステップS313が“YES”)、処理を終了し、対象がパッチサーバ140でなければ(ステップS313が“NO”)、パケットP1を送信し(ステップS314)、予備パケットとしてパケットP1を送信してもよい(ステップS315)。
同様に、図13に示すように、受信したARP要求パケットの送信元が正常端末であれば(ステップS320が“YES”)、不正接続防止装置150は、まずパケットP4を送信し(ステップS321)、対象が不正端末125であるかを調べ(ステップS322)、対象が不正端末125でなければ(ステップS322が“NO”)、処理を終了し、対象が不正端末125であれば(ステップS322が“YES”)、パケット1を送信し(ステップS323)、予備パケットとしてパケットP1を送信し(ステップS324)てもよい。
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする不正接続防止装置。
送信元が前記未登録端末であるARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該未登録端末に送信するとともに、
該未登録端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信する、
ことを特徴とする付記1に記載の不正接続防止装置。
送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該違反端末に送信するとともに、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1または2に記載の不正接続防止装置。
送信元が前記違反端末であって対象が前記特定端末であるARP要求パケットを前記通信部が受信すると、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1乃至3の何れかに記載の不正接続防止装置。
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを、受信した前記ARP要求パケットの送信元である前記正常端末に送信する、
ことを特徴とする付記1乃至4の何れかに記載の不正接続防止装置。
前記通信部が前記未登録端末から送信されたARP要求パケットを受信すると、受信した当該ARP要求パケットに含まれる該未登録端末を識別する未登録端末識別情報を記憶する未登録端末記憶手段を更に備え、
前記パケット送信制御手段は、送信元が前記正常端末であるARP要求パケットを前記通信部が受信すると、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記未登録端末記憶手段が記憶する前記未登録端末識別情報に基づいて、受信したARP要求パケットの送信元である前記正常端末に対するARPキャッシュを偽りのものに変更する旨を前記違反端末と前記未登録端末にそれぞれユニキャストで送信する、
ことを特徴とする付記1乃至5の何れかに記載の不正接続防止装置。
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを該正常端末に送信するとともに、
前記正常端末に対するARPキャッシュを偽りのものに変更する旨を各前記違反端末と各前記未登録端末にユニキャストで送信する、
ことを特徴とする付記1乃至6の何れかに記載の不正接続防止装置。
前記通信部がARP要求パケットを受信し、
前記偽ARP応答パケットを、受信した当該ARP要求パケットの送信元に送信すると、
送信後、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する予備パケットを、一定期間に複数回、受信した当該ARP要求パケットの送信元に送信する、
ことを特徴とする付記1乃至7の何れかに記載の不正接続防止装置。
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末が前記ネットワーク内で通信してもよいかを繰り返し判定し、前記登録端末が前記ネットワークで通信してもよいと判定すると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新する、
ことを特徴とする付記1乃至8の何れかに記載の不正接続防止装置。
更に備え、
前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
ことを特徴とする付記1乃至9の何れかに記載の不正接続防止装置。
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させるためのプログラム。
100 ネットワーク
110 正常端末
115 登録端末
120 違反端末
125 不正端末
130 未登録端末
140 パッチサーバ
150 不正接続防止装置
151 制御部
152 通信部
153 入力部
154 登録端末リスト
155 特定端末リスト
156 正常端末リスト
157 不正端末リスト
158 パッチリスト
159 記憶部
Claims (10)
- ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記未登録端末であるARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該未登録端末に送信するとともに、
該未登録端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信する、
ことを特徴とする請求項1に記載の不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該違反端末に送信するとともに、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする請求項1または2に記載の不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記違反端末であって対象が前記特定端末であるARP要求パケットを前記通信部が受信すると、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする請求項1乃至3の何れか一項に記載の不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを、受信した前記ARP要求パケットの送信元である前記正常端末に送信する、
ことを特徴とする請求項1乃至4の何れか一項に記載の不正接続防止装置。 - 前記違反端末を識別する違反端末識別情報を記憶する違反端末記憶手段と、
前記通信部が前記未登録端末から送信されたARP要求パケットを受信すると、受信した当該ARP要求パケットに含まれる該未登録端末を識別する未登録端末識別情報を記憶する未登録端末記憶手段を更に備え、
前記パケット送信制御手段は、送信元が前記正常端末であるARP要求パケットを前記通信部が受信すると、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記未登録端末記憶手段が記憶する前記未登録端末識別情報に基づいて、受信したARP要求パケットの送信元である前記正常端末に対するARPキャッシュを偽りのものに変更する旨を前記違反端末と前記未登録端末にそれぞれユニキャストで送信する、
ことを特徴とする請求項1乃至5の何れか一項に記載の不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを該正常端末に送信するとともに、
前記正常端末に対するARPキャッシュを偽りのものに変更する旨を各前記違反端末と各前記未登録端末にユニキャストで送信する、
ことを特徴とする請求項1乃至6の何れか一項に記載の不正接続防止装置。 - 前記パケット送信制御手段は、
前記通信部がARP要求パケットを受信し、
前記偽ARP応答パケットを、受信した当該ARP要求パケットの送信元に送信すると、
送信後、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する予備パケットを、一定期間に複数回、受信した当該ARP要求パケットの送信元に送信する、
ことを特徴とする請求項1乃至7の何れか一項に記載の不正接続防止装置。 - 前記ネットワーク内の端末が前記ネットワーク内で通信してもよいか、いけないかを判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末が前記ネットワーク内で通信してもよいかを繰り返し判定し、前記登録端末が前記ネットワークで通信してもよいと判定すると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新する、
ことを特徴とする請求項1乃至8の何れか一項に記載の不正接続防止装置。 - コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010073025A JP5477104B2 (ja) | 2010-03-26 | 2010-03-26 | 不正接続防止装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010073025A JP5477104B2 (ja) | 2010-03-26 | 2010-03-26 | 不正接続防止装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011205560A true JP2011205560A (ja) | 2011-10-13 |
JP5477104B2 JP5477104B2 (ja) | 2014-04-23 |
Family
ID=44881683
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010073025A Active JP5477104B2 (ja) | 2010-03-26 | 2010-03-26 | 不正接続防止装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5477104B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006262019A (ja) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
-
2010
- 2010-03-26 JP JP2010073025A patent/JP5477104B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006262019A (ja) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5477104B2 (ja) | 2014-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11652793B2 (en) | Dynamic firewall configuration | |
US7840688B2 (en) | Information processing device, server client system, method, and computer program | |
US7539863B2 (en) | Remote services for portable computing environment | |
US7836121B2 (en) | Dynamic executable | |
US7694343B2 (en) | Client compliancy in a NAT environment | |
WO2011089788A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
CN107690646B (zh) | Usb攻击保护 | |
US20100031308A1 (en) | Safe and secure program execution framework | |
CN116471109B (zh) | 数据传输方法、***、第一端及控制设备 | |
US20200092704A1 (en) | Distributed, crowdsourced internet of things (iot) discovery and identification using block chain | |
KR102010488B1 (ko) | 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법 | |
KR100954370B1 (ko) | 소프트웨어 실행 관리 장치 및 그 방법 | |
JP2020017809A (ja) | 通信装置及び通信システム | |
JP5340041B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
CA2523532A1 (en) | Portable computing environment | |
JP6442449B2 (ja) | ルータの脆弱性を除去する方法及びシステム | |
KR20050100143A (ko) | P2p 유해 정보 차단 시스템 및 방법 | |
CN107623662B (zh) | 访问的控制方法,装置和*** | |
KR20180051806A (ko) | 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법 | |
JP5477104B2 (ja) | 不正接続防止装置及びプログラム | |
JP2008065693A (ja) | 情報処理装置、そのインストール制御方法及びインストール制御プログラム | |
KR20190036662A (ko) | 네트워크 보안장치 및 보안방법 | |
KR20190132087A (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
CN114629683B (zh) | 管理服务器的接入方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120924 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130809 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130813 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131009 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140127 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5477104 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |