JP2011205560A - 不正接続防止装置及びプログラム - Google Patents

不正接続防止装置及びプログラム Download PDF

Info

Publication number
JP2011205560A
JP2011205560A JP2010073025A JP2010073025A JP2011205560A JP 2011205560 A JP2011205560 A JP 2011205560A JP 2010073025 A JP2010073025 A JP 2010073025A JP 2010073025 A JP2010073025 A JP 2010073025A JP 2011205560 A JP2011205560 A JP 2011205560A
Authority
JP
Japan
Prior art keywords
terminal
packet
request packet
arp
arp request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010073025A
Other languages
English (en)
Other versions
JP5477104B2 (ja
Inventor
Kenichi Kashima
謙一 鹿島
Tomoo Adachi
智雄 安達
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010073025A priority Critical patent/JP5477104B2/ja
Publication of JP2011205560A publication Critical patent/JP2011205560A/ja
Application granted granted Critical
Publication of JP5477104B2 publication Critical patent/JP5477104B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】不正接続を防止しつつ、違反端末と特定端末との通信を可能にする。
【解決手段】不正接続防止装置150は、未登録端末130からARP要求を受信すると、ARP要求の対象に対するARPキャッシュを偽りのものに変更する旨を未登録端末130に、未登録端末130に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、また、違反端末120から、対象がパッチサーバ140ではないARP要求を受信すると、ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を違反端末120に、違反端末120に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで、違反端末120に対するARPキャッシュを正しいものに変更する旨をパッチサーバ140に送信する。結果、違反端末120は、パッチサーバ140とは通信できるが、未登録端末130とは通信できない。
【選択図】図1

Description

本発明は、ネットワークへの不正接続を防止する不正接続防止装置及びプログラムに関する。
近年、企業内のLAN(Local Area Network)などへの不正接続や、ネットワーク内の端末がウィルスに感染することによって、ネットワーク内の情報資産が不正アクセスされ、秘密情報が漏洩してしまうことが問題となっている。
一般に、IPv4(Internet Protocol version 4)環境のネットワークに接続された端末は、アドレス解決をするためにARP(Address Resolution Protocol)要求パケットをブロードキャストで送信する。ARP要求パケットの対象の端末は、ARP要求パケットを受信すると、自己のMACアドレスを格納したARP応答パケットを、受信したARP要求パケットの送信元に返信する。ARP要求パケットの送信元は、このARP応答パケットを受信し、受信したARP応答パケットに格納されたMACアドレスをARPキャッシュに記憶する。以上の動作により、ネットワーク内の端末は、アドレス解決をして、通信を行う。
そこで、ARP応答パケットを利用して防御対象への不正なアクセスを防ぐ方法が開示されている(例えば、特許文献1参照)。特許文献1に開示された方法では、ネットワークでの接続を許可されている端末のリストが用いられる。より具体的には、そのリストに登録されていない装置からブロードキャスト送信されたARP要求パケットに対して、偽のMACアドレスを有するARP応答パケットが送信される。このようにすれば、ネットワーク内の端末を、不正アクセスから防御することができる。
特許文献1に記載の方法は、リストに登録されていない不許可装置からブロードバンドにARP要求パケットが送信されると、防御対象の情報処理装置から正しいARP応答パケットが返信された後に、同じネットワーク内の不正接続防止装置が、防御対象のMACアドレスとして偽のMACアドレスを有するARP応答パケットを送信する。これによって、不許可装置の記憶する防御対象の情報処理装置のIPアドレスとMACアドレスの組み合わせが合わなくなるので、不正アクセスを防ぐことができる。
特開2005−079706号公報
このように、特許文献1に記載の方法では、不正の端末であると認識された端末は、ネットワーク上の他の全ての端末と通信できないように制御される。不正の端末であると認識された端末の中には、パッチ等が未適用などの理由により、不正と識別された違反端末も含まれている。したがって、パッチが万全でない端末がパッチを適用するためには、パッチを適用するための閉鎖的なネットワークを新たに作成する必要や、外部記憶媒体にパッチを記憶させ、パッチを適用したい端末は個々に外部記憶媒体からパッチを適用させる必要がある。これらの方法は何れも煩雑であり、ユーザ、管理者双方の負担は大きい。
本発明は、上記問題点に鑑みてなされたものであり、違反端末を、特定の端末とは通信可能であるが、他の端末とは通信できないように制御する不正接続防止装置およびプログラムを提供することを目的とする。
また、本発明は、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく導入することが可能な不正接続防止装置およびプログラムを提供することを他の目的とする。
上記目的を達成するため、本発明の第1の観点に係る不正接続防止装置は、
ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする。
本発明の第2の観点に係るプログラムは、
コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させる。
本発明によれば、違反端末を、特定の端末とは通信可能であるが、他の端末とは通信できないように制御する不正接続防止装置を提供することができる。
更に、本発明によれば、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく不正接続防止装置を導入することができる。
本発明の実施形態に係る不正接続防止装置を接続された不正接続防止システムを示すブロック図である。 図1の不正接続防止装置の構成を示すブロック図である。 図2の不正接続防止装置が記憶する登録端末リストを示す図である。 図2の不正接続防止装置が記憶する特定端末リストを示す図である。 図2の不正接続防止装置が記憶する正常端末リストを示す図である。 図2の不正接続防止装置が記憶する不正端末リストを示す図である。 図2の不正接続防止装置が記憶するパッチリストを示す図である。 図1の不正接続防止装置のARP要求パケット受信時の不正接続防止処理のフローチャートである。 図1の不正接続防止装置で用いられるパケットのデータを示す図である。 図1の不正接続防止装置で用いられるパケットのデータを示す図である。 図1の不正接続防止装置で用いられるパケットのデータを示す図である。 図1の不正接続防止装置で用いられるパケットのデータを示す図である。 図1の不正接続防止装置のARP要求パケット受信時の不正接続防止処理の応用例のフローチャートである。
以下、本発明の実施形態に係る不正接続防止システムについて図面を参照して説明する。
本実施形態に係る不正接続防止システム1は、図1に示すように、正常端末110と、違反端末120と、未登録端末130と、パッチサーバ140と、不正接続防止装置150と、を備える。これらは、同一のネットワーク100に接続されている。
ネットワーク100に接続された正常端末110と、違反端末120と、未登録端末130と、パッチサーバ140とは、各々1個ずつとなっているが、複数でもよい。
また、正常端末110と、違反端末120とを総称して登録端末115と呼び、違反端末120と、未登録端末130とを総称して不正端末125と呼ぶ。
正常端末110は、最適なパッチが適用されている端末である。正常端末110は、CPU(Central Processing Unit)とROM(Read Only Memory)とRAM(Random Access Memory)とを含む制御部と、ハードディスク装置を含む記憶部と、NIC(Network Interface Card)またはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
違反端末120は、最適なパッチが適用されていないため、不正接続防止装置150によってネットワーク100上の通信をブロックされる端末である。違反端末120は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
未登録端末130は、最適なパッチが適用されていてもネットワーク100上の通信を不正接続防止装置150によってブロックされる端末である。未登録端末130は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
パッチサーバ140は、登録端末115にパッチを提供する装置である。パッチサーバ140は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。パッチサーバ140は、記憶部に登録端末115に提供するパッチを保存する。
不正接続防止装置150は、図2に示すように、CPUとROMとRAMを含む制御部151と、ハードディスク装置を含む記憶部159と、NICまたはルータまたはモデム等を含む通信部152と、キーボードまたはマウス等を含む入力部153と、を備えるコンピュータである。記憶部159には、登録端末リスト154と、特定端末リスト155と、正常端末リスト156と、不正端末リスト157と、パッチリスト158が保存されている。
ROMは、プログラムデータ等を記憶するものであり、CPUは、ROMに記憶されたデータのプログラムに従って処理を実行する。RAMは、CPUが処理を実行するのに必要なデータを記憶するものである。
図3に示すように、登録端末リスト154には、正常端末110と違反端末120のMACアドレスが予め登録され、保存されている。
図4に示すように、特定端末リスト155には、パッチサーバ140のMACアドレスとIPアドレスが保存される。
図5に示すように、正常端末リスト156には、正常端末110のMACアドレスとIPアドレスが保存される。
図6に示すように、不正端末リスト157には、違反端末120のMACアドレス及びIPアドレスと、未登録端末130のMACアドレス及びIPアドレスと、が保存される。
図7に示すように、パッチリスト158には、不正接続防止装置150が登録端末115のパッチ適用状況を調べるためのパッチ情報が保存される。不正接続防止装置150は、パッチリスト158に保存されるパッチ情報を基準にして、登録端末115がネットワーク100で通信しても良いか否かを判定する。
不正接続防止装置150の制御部151は、通信部152が受信したARP要求パケットの送信元MACアドレス及び対象IPアドレスと、登録端末リスト154と、特定端末155リストと、正常端末リスト156と、不正端末リスト157に基づいて、不正端末125のネットワーク100での通信をブロックしつつ、違反端末120がパッチサーバ140と通信することを許可する。
不正接続防止装置150の構成についてさらに詳細に説明する。
図2に示される不正接続防止装置150の入力部153にMACアドレスが入力されると、制御部151は、入力されたMACアドレスを、記憶部159の登録端末リスト154(図3参照)に登録する。
不正接続防止装置150の制御部151は、通信部152を介してネットワーク100に接続し、登録端末リスト154にMACアドレスを登録された登録端末115に繰り返しアクセスする。制御部151は、パッチリスト158に基づいて、アクセスした登録端末115が最適なパッチを適用しているか否かを判定する。制御部151は、その判定結果に基づいて、図5に示す正常端末リスト156と、図6に示す不正端末リスト157を繰り返し更新する。
不正接続防止装置150は、最適なパッチが適用されている登録端末115のMACアドレスとIPアドレスとを正常端末リスト156に登録し、最適なパッチが適用されていない登録端末115のMACアドレスとIPアドレスとを不正端末リスト157に登録する。
不正端末125に対して最適なパッチが適用されていることが不正接続防止装置150によって確認されると、その不正端末125のMACアドレスとIPアドレスが、自動的に不正端末リスト157から消去され、代わりに、その不正端末125のMACアドレスとIPアドレスが、自動的に正常端末リスト156へ登録される。
同様に、正常端末110に対して最適なパッチが適用されていないことが不正接続防止装置150によって確認されると、その正常端末110のMACアドレスとIPアドレスが自動的に正常端末リスト156から消去され、代わりに、その正常端末110のMACアドレスとIPアドレスとが、自動的に不正端末リスト157へ登録される。
また、制御部151は、ARP要求パケットを受信し、受信したARP要求パケットの送信元MACアドレスが登録端末リスト154に記憶されていなければ、そのARP要求パケットの送信元は未登録端末130であると判定する。この場合、制御部151は、受信したARP要求パケットの送信元のMACアドレスとIPアドレスを、不正端末リスト157に記憶する。
また、制御部151は、通信部152から受信したARP要求パケットの送信元MACアドレスと対象IPアドレスと、登録端末リスト154と、特定端末155リストと、正常端末リスト156と、不正端末リスト157と、に基づいて、ARP要求パケット受信時の不正接続防止処理(図8参照)を行う。これにより、制御部151は、不正端末125のネットワーク100内での通信をブロックしつつ、違反端末120がパッチサーバ140と通信するのを許可する。
なお、ARP要求パケット受信時の不正接続防止処理において、制御部151は、通信部152を介して受信したARP要求パケットの送信元MACアドレスを、正常端末リスト156と、登録端末リスト154と、特定端末リスト155と、から検索することによって、受信したARP要求パケットの送信元が、正常端末110なのか、違反端末120なのか、未登録端末130なのかを判別する。
また、制御部151は、通信部152を介して受信したARP要求パケットの対象IPアドレスを、特定端末リスト155と正常端末リスト156から検索することによって、受信したARP要求パケットの対象が、パッチサーバ140なのか不正端末125なのかを判別する。
制御部151は、判別した送信元と対象の組み合わせに対応して通信部152からパケットを送信する。
受信したARP要求パケットの送信元MACアドレスが正常端末リスト156に記憶されている場合、受信したARP要求パケットの送信元は正常端末110であると判定される。
また、受信したARP要求パケットの送信元MACアドレスが、正常端末リスト156に登録されておらず、かつ、登録端末リスト154に記憶されている場合、受信したARP要求パケットの送信元は違反端末120であると判定される。
また、受信したARP要求パケットの送信元MACアドレスが、特定端末リスト155に登録されておらず、かつ、登録端末リスト154に登録されていない場合、受信したARP要求パケットの送信元は未登録端末130であると判定される。
なお、受信したARP要求パケットの対象IPアドレスが、特定端末リスト155に記憶されている場合、受信したARP要求パケットの対象は、パッチサーバ140であると判定される。
また、受信したARP要求パケットの対象IPアドレスが、特定端末リスト155に登録されておらず、正常端末リスト156に登録されていない場合、受信したARP要求パケットの対象は、不正端末125であると判定される。
不正接続防止装置150は、ARP要求パケットを受信すると、受信したARP要求パケットの送信元が違反端末120であって、対象がパッチサーバ140でない場合、対象のARPキャッシュを偽りのものに変更するパケットP1(図9参照)をARP要求パケットの送信元である違反端末120に送信する。また、不正接続防止装置150は、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを偽りのものに変更するパケットP2(図10参照)をブロードキャストで送信する。さらに、不正接続防止装置150は、ARP要求パケットである違反端末120に対するARPキャッシュを正しいものに変更するパケットP3(図11参照)をパッチサーバ140に送信する。
対象がパッチサーバ140でないARP要求パケットを送信した違反端末120は、対象からARP応答パケットを受信することによって、対象に対してARPキャッシュに正しいMACアドレスを一時的に記憶する。しかし、パケットP1を受信することによって違反端末120は、対象に対するARPキャッシュを偽りのものに変更するので、違反端末120はARP要求パケットの対象に対して通信ができなくなる。
また、ネットワーク100内の端末は、違反端末120からARP要求パケットを受信すると、違反端末120に対するARPキャッシュに、正しいMACアドレスを一時的に記憶する。しかし、パケットP2を受信することによって違反端末120に対するARPキャッシュが、偽りのものに変更されるので、ネットワーク100内の端末は、違反端末120に対して通信ができなくなる。
ただし、パッチサーバ140は、パケットP3を受信することによって、違反端末120に対するARPキャッシュを正しいMACアドレスに変更するので、違反端末120とパッチサーバ140との通信は許可される。
また、受信したARP要求パケットの送信元が、違反端末120であって、受信したARP要求パケットの対象がパッチサーバ140であるとする。この場合、不正接続防止装置150は、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを偽りのものに変更するパケットP2(図10参照)をブロードキャストで送信する。さらに、不正接続防止装置150は、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを正しいものに変更するパケットP3(図11参照)をパッチサーバ140に送信する。
違反端末120からARP要求パケットを受信した端末は、送信元である違反端末120に対するARPキャッシュに正しいMACアドレスを一時的に記憶する。しかし、パケットP2を受信することによって、その端末は、違反端末120に対するARPキャッシュを偽りのものに変更する。このため、ネットワーク100内の端末は、ARP要求パケットの送信元である違反端末120に対して通信ができなくなる。
ただし、パッチサーバ140は、パケットP3を受信することによって、ARP要求パケットの送信元である違反端末120のARPキャッシュを正しいMACアドレスに変更する。また、ARP要求パケットの送信元である違反端末120は、パッチサーバ140からARP応答パケットを受信することによって、パッチサーバ140の正しいMACアドレスをARPキャッシュに記憶する。これによって違反端末120とパッチサーバ140との通信が可能になる。
また、不正接続防止装置150が受信したARP要求パケットの送信元が正常端末110であって、受信したARP要求パケットの対象が不正端末125であるとする。この場合、不正接続防止装置150は、受信したARP要求パケットの対象に対するARPキャッシュを偽りのものに変更するパケットP1(図9参照)を、ARP要求パケットの送信元である正常端末110に送信する。さらに、不正接続防止装置150は、ARP要求パケットの送信元である正常端末110に対するARPキャッシュを偽りのものに変更するパケットP4(図12参照)を、MACアドレスとIPアドレスを不正端末リスト157に記憶される違反端末120と未登録端末130にユニキャストで送信する。
対象が不正端末125であるARP要求パケットを送信した正常端末110は、対象である不正端末125からARP応答パケットを受信することによって、不正端末125の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、正常端末110は、パケットP1を受信することによって、ARP要求パケットの対象である不正端末125に対するARPキャッシュを偽りのMACアドレスに変更する。これによって、正常端末110は不正端末125に対して通信できなくなる。
また、不正端末125は、正常端末110からARP要求パケットを受信することによって、正常端末110の正しいMACアドレスARPキャッシュに一時的に記憶する。しかし、不正端末125は、正しいMACアドレスを記憶後、パケットP4を受信すると、正常端末110に対するARPキャッシュを偽のMACアドレスに変更する。これによって、不正端末125は正常端末110に対して通信ができなくなる。
また、受信したARP要求パケットの送信元が正常端末110であって、受信したARP要求パケットの対象が不正端末125でなかったとする。この場合、不正接続防止装置150は、受信したARP要求パケットの送信元である正常端末110に対するARPキャッシュを偽りのものに変更するパケットP4(図12参照)を、MACアドレスとIPアドレスが不正端末リスト157に記憶される違反端末120と未登録端末130にユニキャストで送信する。
ネットワーク100内の端末は、正常端末110から送信されたARP要求パケットを受信することによって、正常端末110の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、不正端末125は、ユニキャストで送信されたパケットP4を受信することによって、正常端末110のMACアドレスとして偽のMACアドレスをARPキャッシュに記憶することになる。これによって、不正端末125は正常端末110に対して通信ができなくなる。
また、不正接続防止装置150が、受信したARP要求パケットの送信元が未登録端末130であった場合について説明する。この場合、不正接続防止装置150は、受信したARP要求パケットの対象に対するARPキャッシュを偽りのものに変更するパケットP1(図9参照)を、ARP要求パケットの送信元である未登録端末130に送信する。さらに、不正接続防止装置150は、ARP要求パケットの送信元である未登録端末130に対するARPキャッシュを偽りのものに変更するパケットP4(図12参照)をブロードキャストで送信する。
未登録端末130は、送信したARP要求パケットの対象からARP応答パケットを受信することによって、対象の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ARP要求パケットを送信した未登録端末130は、正しいMACアドレスを記憶後、パケットP1を受信することによって、送信したARP要求パケットの対象に対するARPキャッシュに偽のMACアドレスを記憶する。これによって、未登録端末130はネットワーク内の端末に対して通信ができなくなる。
ネットワーク100内の端末は、未登録端末130から送信されたARP要求パケットを受信することによって、一時的に未登録端末の正しいMACアドレスをARPキャッシュに記憶する。しかし、パケットP4を受信することによって、ネットワーク100内の端末は、ARP要求パケットの送信元である未登録端末に対するARPキャッシュを偽のMACアドレスに変更する。このため、ネットワーク100内の端末は未登録端末130に対して通信ができなくなる。
なお、ARP応答パケットの順序性が保証されていないことから、不正接続防止装置150は、パケットP1を送信する際には、パケットP1送信後に、予備パケットとして、例えば、パケットP1を500ミリ秒おきに20回送信する。
ARP応答パケットの順序性が保証されていないことから、例えば、未登録端末130が、ARP要求パケットを送信し、送信したARP要求パケットに対して不正接続防止装置150からパケットP1を受信した後に、送信したARP要求パケットの対象から正しいMACアドレスを有するARP応答パケットを受信する場合がある。
この場合、この未登録端末130は、送信したARP要求パケットの対象に対して通信する事が可能である。
しかし、不正接続防止装置150が予備パケットとしてパケットP1を500ミリ秒おきに20回送信するので、未登録端末130は再びARP要求パケットの対象のMACアドレスとして偽のMACアドレス有する予備パケットを受信することになる。
これによって、未登録端末130は、送信したARP要求パケットの対象に対して通信することができなくなる。
このように、予備パケットを送信することにより、ARP応答パケットの順序がずれたとしても、通信のブロックを正確に実行することができるようになる。
次に、不正接続防止装置150がARP要求パケットを受信した時に行う不正接続防止処理について、図8を参照して説明する。
不正接続防止装置150は、ARP要求パケットを受信すると、受信したARP要求パケットの送信元MACアドレスと、ARP要求パケットの対象IPアドレスとを、登録端末リスト154と特定端末リスト155と正常端末リスト156と不正端末リスト157からそれぞれ検索する。この検索により、ARP要求パケットの送信元と対象とが特定される。不正接続防止装置150は、特定された送信元と対象の組み合わせに対応してパケットを送信する。
まず、不正接続防止装置150は、受信したARP要求パケットの送信元が違反端末120であるか否かを判定する(ステップS210)。
受信したARP要求パケットの送信元が違反端末120であった場合(ステップS210が“YES”)、不正接続防止装置150は、受信したARP要求パケットの対象がパッチサーバ140であるか否かを判定する(ステップS211)。受信したARP要求パケットの対象がパッチサーバ140でなければ(ステップS211が“NO”)、不正接続防止装置150は、パケットP1を送信し(ステップS212)、パケットP2を送信し(ステップS213)、パケットP3を送信する(ステップS214)。
パケットP1は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに変更させるARP応答パケットである。パケットP1は、ARP要求パケットの送信元へ送信される。ここで、偽MACアドレスとは、ネットワーク100に存在しない架空のMACアドレスである。
図9に示すように、パケットP1のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスは、それぞれ、受信したARP要求パケットの送信元MACアドレス、不正接続防止装置150のMACアドレスである。パケットP1のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、受信したARP要求パケットの対象IPアドレス、受信したARP要求パケットの送信元MACアドレス、受信したARP要求パケットの送信元IPアドレスである。パケットP1は、ARP要求パケットの送信元である違反端末120宛へユニキャストされる。
ARP要求パケット(パケットP1)を送信した違反端末120は、対象からARP応答パケットを受信することにより、対象の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ARP応答パケットを受信した後、違反端末120は、パケットP1を受信することにより、送信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに書き換える。これによって、違反端末120は、ARP要求パケットの対象に対しての通信ができなくなる。
パケットP2は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを偽MACアドレスに更新させるARP応答パケットである。パケットP2は、ネットワーク100内の全端末にブロードキャストで送信される。
図10に示すように、パケットP2のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスはそれぞれブロードキャストアドレス、不正接続防止装置150のMACアドレスである。また、パケットP2のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、ARP要求パケットの送信元IPアドレス、ブロードキャストアドレス、ARP要求パケットの送信元IPアドレスである。
ネットワーク100内の端末は、違反端末120がブロードキャストで送信したARP要求パケットを受信するため、送信元である違反端末120の正しいMACアドレスをARPキャッシュに、一時的に記憶する。しかし、ネットワーク100内の端末は、ARP要求パケットを受信した後、パケットP2を受信するので、ARP要求パケットの送信元である違反端末120に対するARPキャッシュが偽のMACアドレスに変更される。これによって、ネットワーク100内の端末は、ARP要求パケットの送信元である違反端末120に対して通信ができなくなる。
パケットP3は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを正しいMACアドレスに更新させるARP応答パケットである。パケットP3は、特定端末リスト155にMACアドレスとIPアドレスを記憶されているパッチサーバ140宛にユニキャスト送信される。
図11に示すように、パケットP3のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスはそれぞれパッチサーバ140のMACアドレス、ARP要求パケットの送信元である違反端末120のMACアドレスである。パケットP3のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ、ARP要求パケットの送信元である違反端末120の正しいMACアドレス、ARP要求パケットの送信元の違反端末120のIPアドレス、パッチサーバ140のMACアドレス、パッチサーバ140のIPアドレスである。
パケットP2を受信したパッチサーバ140では、ARP要求パケットの送信元である違反端末120に対するARPキャッシュが、偽のMACアドレスに一時的に変更される。しかし、パッチサーバ140は、パケットP2を受信した後、パケットP3を受信すると、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを、正しいMACアドレスに変更する。これによって、パッチサーバ140は、ARP要求パケットの送信元である違反端末120との通信が可能になる。
また、不正接続防止装置150は、予備パケットとして、パケットP1を500ミリ秒おきに20回送信する(ステップS215)。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である違反端末120が、パケットP1を受信した後に、対象から正しいMACアドレスを取得したとしても、予備パケットとして送信されたパケットP1をさらに受信することによって、違反端末120のネットワーク100内での通信を、確実にブロックすることができる。
ARP要求パケットの送信元が違反端末120であり(ステップS210が“YES”)、対象がパッチサーバ140である場合(ステップS211が“YES”)、 不正接続防止装置150は、パケットP2を送信し(ステップS216)、パケットP3を送信する(ステップS217)。
不正接続防止装置150は、まず、受信したARP要求パケットの送信元に対するARPキャッシュを偽MACアドレスに更新させるパケットP2(図10参照)をブロードキャストする。続いて、不正接続防止装置150は、受信したARP要求パケットの送信元に対するARPキャッシュを正しいMACアドレスに更新させるパケットP3を、特定端末リスト155に登録されているすべてのパッチサーバ140宛へユニキャストする。
パケットP2を受信した端末では、ARP要求パケット送信元の違反端末120に対するARPキャッシュが偽MACアドレスに変更される。これにより、その端末と、ARP要求パケットの送信元である違反端末120との通信ができなくなる。ただし、パッチサーバ140は、パケットP2を受信した後、パケットP3を受信し、違反端末120に対するARPキャッシュが正しいMACアドレスへ変更されるので、違反端末120に対して通信可能となる。
ステップS210乃至ステップS217によって、違反端末120は、ネットワーク100内での通信をブロックされる。ただし、違反端末120とパッチサーバ140との通信は許可される。
ARP要求パケットの送信元が違反端末120でない場合(ステップS210が“NO”)、不正接続防止装置150は、受信したARP要求パケットの送信元が正常端末110であるか否かを判定する(ステップS220)。送信元が正常端末110であった場合(ステップS220が“YES”)、不正接続防止装置150は、受信したARP要求パケットの対象が、不正端末125であるか否かを判定する(ステップS221)。受信したARP要求パケットの対象が、不正端末125である場合(ステップS221が“YES”)、 不正接続防止装置150は、パケットP1を送信し(ステップS222)、パケットP4を送信する(ステップS223)。
パケットP1は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの対象に対するARPキャッシュを、偽MACアドレスに変更させるARP応答パケットである。パケットP1は、ARP要求パケットの送信元へ送信される。
ARP要求パケットの送信元である正常端末110は、対象である不正端末125からARP応答パケットを受信することによって、対象である不正端末125の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ARP要求パケットの送信元である正常端末110は、正しいMACアドレスを記憶した後、パケットP1を受信することで、対象である不正端末125に対するARPキャッシュを偽のMACアドレスに書き換える。これによって、正常端末110から不正端末125への通信が確実にブロックされる。
パケットP4は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを、偽MACアドレスに変更させるARP応答パケットである。パケットP4は、不正端末リスト157にMACアドレスとIPアドレスを記憶される不正端末125に、ユニキャストで送信される。
図12に示すように、パケットP4のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスは、それぞれ不正端末リストに保存される不正端末125のMACアドレス、ARP要求パケットの送信元MACアドレスである。パケットP4のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、ARP要求パケットの送信元IPアドレス、宛先である不正端末125のMACアドレス、宛先である不正端末125のIPアドレスである。
ネットワーク100内の不正端末125は、正常端末110から送信されたARP要求パケットを受信することによって、送信元の正常端末110に対して正しいMACアドレスを、ARPキャッシュに一時的に記憶する。しかし、ネットワーク100内の不正端末125は、正しいMACアドレスを記憶した後、パケットP4を受信することによって、ARP要求パケットの送信元である正常端末110に対するARPキャッシュを偽のMACアドレスに書き換える。これによって、正常端末110からARP要求パケットが送信されたとしても、不正端末125は、正常端末110の正しいMACアドレスをARPキャッシュに記憶することができず、正常端末110に対して通信ができなくなる。
続いて、不正接続防止装置150は、予備パケットとして、パケットP1を500ミリ秒おきに20回送信する(ステップS224)。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である正常端末110が、パケットP1を受信した後に、ARP要求パケットの対象である不正端末125から正しいARP応答パケットを受信したとしても、予備パケットとして送信されたパケットP1によって、正常端末110の不正端末125に対する通信をブロックすることができる。
不正接続防止装置150は、受信したARP要求パケットの送信元が正常端末110であり(ステップS220が”YES”)、受信したARP要求パケットの対象が不正端末125でない場合(ステップS221が“NO”)、不正端末リスト157にMACアドレスとIPアドレスを記憶される各不正端末125に、パケットP4をユニキャストで送信する。
ネットワーク100内の不正端末125は、正常端末110からブロードキャストで送信されたARP要求パケットを受信することによって、送信元である正常端末110の正しいMACアドレスを、ARPキャッシュに一時的に記憶する。しかし、正しいMACアドレスを記憶後、パケットP4を受信することによって、不正端末125は、正常端末110に対するARPキャッシュを偽のMACアドレスに書き換える。これによって、不正端末125は、正常端末110との通信をブロックされる。
また、ARP要求パケットの送信元である正常端末110は、ARP要求パケットの対象から正しいMACアドレスを取得するので、正常端末110は、ネットワーク100内での通信を許可されることになる。
上記ステップS220乃至ステップS225が実行されることによって、正常端末110は、不正端末125からのアクセスから防御されつつ、ネットワーク100内での通信を行うことができる。
不正接続防止装置150は、受信したARP要求パケットの送信元が正常端末110でない場合(ステップS220が“NO”)、受信したARP要求パケットの送信元が未登録端末130であるか否かを判定する(ステップS230)。
受信したARP要求パケットの送信元が未登録端末130であると(ステップS230が“YES”)、不正接続防止装置150は、パケットP1を送信し(ステップS231)、パケットP2を送信する(ステップS232)。
パケットP1は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに変更させるARP応答パケットである。パケットP1は、ARP要求パケットの送信元へ送信される。
ARP要求パケットの送信元である未登録端末130は、送信したARP要求パケットの対象からARP応答パケットを受信することにより、送信したARP要求パケットの対象に対して、正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、未登録端末130は、パケットP1を受信することにより、送信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに書き換える。これにより、未登録端末130は、ARP要求パケットの対象に対して通信ができなくなる。
パケットP2は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを偽MACアドレスに更新させるARP応答パケットである。パケットP2は、ネットワーク100内の全端末にブロードキャストで送信される。
ネットワーク100内の端末は、未登録端末130から送信されたARP要求パケットを受信することによって、未登録端末130の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ネットワーク100内の端末は、パケットP2を受信することによって、未登録端末130に対するARPキャッシュが偽のMACアドレスに変更する。このため、その端末は、この未登録端末130に対して通信ができなくなる。
続いて、不正接続防止装置150は、予備パケットとして、パケットP1を500ミリ秒おきに20回送信する(ステップS233)。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である未登録端末130が、パケットP1を受信した後に、ARP要求パケットの対象から正しいMACアドレスを取得したとしても、予備パケットとして送信されたパケットP1によって、違反端末120のネットワーク内での通信をブロックすることができる。
ステップS230乃至ステップS233によって、未登録端末130のネットワーク内での通信がブロックされる。
以上説明したように、本実施形態によれば、不正端末125のネットワーク100内で通信をブロックしつつ、事前に登録したパッチサーバ140と違反端末120との通信を可能とした。また、違反端末120については、最適なパッチを適用すると、自動的に正常端末110と通信ができるようにした。
また、ARP要求パケットがブロードキャストで送信されることを利用しているため、ネットワークの構成を変更することなく、セキュリティレベルを維持しつつ、不正接続防止装置150を導入することができる。
これまで、本発明の実施形態について詳細に説明したが、具体的な構成は上記実施形態に限られるものではなく、本発明は、請求項に記載の意図する範囲を超えない限りにおいては、様々な変形や応用が可能である。
例えば、正常端末110と違反端末120と未登録端末130は、コンピュータ端末として説明した。しかしながら、正常端末110、違反端末120、未登録端末130は、制御部と記憶部と通信部を備えた、ネットワーク100に接続された電子機器端末などであってもよい。
また、登録端末リスト154には、登録端末115のMACアドレスが、予め登録されていると説明した。しかしながら、登録端末115に、特定のアプリケーションをインストールすることによって、登録端末リスト154への登録を自動化するようにしてもよい。
この場合、ネットワーク100内の端末にインストールされた特定のアプリケーションが端末に特定の情報を含むパケットを送信させ、特定の情報を含むパケットを不正接続防止装置150が受信すると、不正接続防止装置150は、このパケットの送信元のMACアドレスを登録端末リスト154に登録する。
また、上記実施形態では、不正接続防止装置150は、登録端末115にアクセスすることによって、パッチ適用状況を調べたが、特定のアプリケーションを登録端末115にインストールすることによってパッチ適用状況を調べるようにしても良い。
このアプリケーションが、インストールされた端末に、パッチ適用状況を不正接続防止装置150へ送信させる。不正接続防止装置150は、パッチ適用状況を受信し、受信したパッチ適用状況を確認することによって、登録端末115が最適なパッチを適用しているかを確認する。
また、特定のアプリケーションを登録端末115にインストールすることによって、インストールされたこのアプリケーションが、登録端末115の登録端末リスト154への登録と、パッチ適用状況の確認との両方を行っても良い。
また、上記実施形態では、パッチサーバ140を、コンピュータ端末であるものとして説明した。しかしながら、パッチサーバ140は、ハードディスクとネットワークインターフェースと、OS(Operating System)と、管理用ユーティリティなどが一体化されて構成されるNAS(Network Attached Storage)であってもよいし、パッチ以外のファイルを保存してもよい。
また、上記実施形態では、パッチサーバ140を、単体の装置として説明したが、パッチサーバ140は、不正接続防止装置150に組み込まれていても良い。
また、上記実施形態では、不正接続防止装置150が、登録端末115のパッチ適用状況を調べていたが、不正接続防止装置150ではない端末がパッチ適用状況を調べ、調べたパッチ適用状況を不正接続防止装置150に送信しても良い。
また、正常端末110は、最適なパッチを適用された登録端末115であり、違反端末120は最適なパッチを適用されていない登録端末115であるとして説明した。しかしながら、最適なパッチが当てられているか否かを判断基準とする必要はない。判断基準は、不正接続防止装置150が導入されるシステムに合わせて適宜変更することが可能である。
例えば、指紋認証や、USB(Universal Serial Bus)ドングルに含まれる情報や、パスワードを利用するようにしてもよい。登録端末115は、特定の情報(指紋画像又はUSBドングルに含まれる情報やパスワード等の暗号コード)を不正接続防止装置150に送信する。不正接続防止装置150は、特定の情報を受信すると、受信された情報と記憶する情報とを照合し、それらが一致したことを受けて、該当する登録端末115のMACアドレスとIPアドレスを正常端末リスト156に一時的に登録するようにしてもよい。
この場合、パッチサーバ140は、パッチを保存しているサーバである必要はなく、例えば、ネットワーク100上の共有ファイルを保存するサーバやNASとして機能することができる。
また、ARP要求パケット受信時の不正接続防止処理は、上記実施形態で説明したフローチャートのものに限定されない。例えば、ステップS220乃至ステップS225を実行し、ステップS210乃至ステップS217を実行し、ステップS230乃至ステップS233を実行してもよい。
また、図13に示すように、不正接続防止装置150は、受信したARP要求パケットの送信元が違反端末120であるか否かを判定し(ステップS310)、違反端末120であれば(ステップS310が“YES”)、パケットP2を送信し(ステップS311)、パケットP3を送信する(ステップS312)。パケットP3送信後、不正接続防止装置150は、対象がパッチサーバ140であるか否か判定し(ステップS313)、対象がパッチサーバ140であれば(ステップS313が“YES”)、処理を終了し、対象がパッチサーバ140でなければ(ステップS313が“NO”)、パケットP1を送信し(ステップS314)、予備パケットとしてパケットP1を送信してもよい(ステップS315)。
同様に、図13に示すように、受信したARP要求パケットの送信元が正常端末であれば(ステップS320が“YES”)、不正接続防止装置150は、まずパケットP4を送信し(ステップS321)、対象が不正端末125であるかを調べ(ステップS322)、対象が不正端末125でなければ(ステップS322が“NO”)、処理を終了し、対象が不正端末125であれば(ステップS322が“YES”)、パケット1を送信し(ステップS323)、予備パケットとしてパケットP1を送信し(ステップS324)てもよい。
上記実施形態では、プログラムが、それぞれメモリ等に予め記憶されているものとして説明した。しかし、通信装置を、装置の全部又は一部として動作させ、あるいは、上述の処理を実行させるためのプログラムを、フレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、MO(Magneto Optical disk)などのコンピュータ読み取り可能な記録媒体に格納して配布し、これを別のコンピュータにインストールし、上述の手段として動作させ、あるいは、上述の工程を実行させてもよい。
さらに、インターネット上のサーバ装置が有するディスク装置等にプログラムを格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するものとしてもよい。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする不正接続防止装置。
(付記2)前記パケット送信制御手段は、
送信元が前記未登録端末であるARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該未登録端末に送信するとともに、
該未登録端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信する、
ことを特徴とする付記1に記載の不正接続防止装置。
(付記3)前記パケット送信制御手段は、
送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該違反端末に送信するとともに、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1または2に記載の不正接続防止装置。
(付記4)前記パケット送信制御手段は、
送信元が前記違反端末であって対象が前記特定端末であるARP要求パケットを前記通信部が受信すると、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1乃至3の何れかに記載の不正接続防止装置。
(付記5)前記パケット送信制御手段は、
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを、受信した前記ARP要求パケットの送信元である前記正常端末に送信する、
ことを特徴とする付記1乃至4の何れかに記載の不正接続防止装置。
(付記6)前記違反端末を識別する違反端末識別情報を記憶する違反端末記憶手段と、
前記通信部が前記未登録端末から送信されたARP要求パケットを受信すると、受信した当該ARP要求パケットに含まれる該未登録端末を識別する未登録端末識別情報を記憶する未登録端末記憶手段を更に備え、
前記パケット送信制御手段は、送信元が前記正常端末であるARP要求パケットを前記通信部が受信すると、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記未登録端末記憶手段が記憶する前記未登録端末識別情報に基づいて、受信したARP要求パケットの送信元である前記正常端末に対するARPキャッシュを偽りのものに変更する旨を前記違反端末と前記未登録端末にそれぞれユニキャストで送信する、
ことを特徴とする付記1乃至5の何れかに記載の不正接続防止装置。
(付記7)前記パケット送信制御手段は、
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを該正常端末に送信するとともに、
前記正常端末に対するARPキャッシュを偽りのものに変更する旨を各前記違反端末と各前記未登録端末にユニキャストで送信する、
ことを特徴とする付記1乃至6の何れかに記載の不正接続防止装置。
(付記8)前記パケット送信制御手段は、
前記通信部がARP要求パケットを受信し、
前記偽ARP応答パケットを、受信した当該ARP要求パケットの送信元に送信すると、
送信後、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する予備パケットを、一定期間に複数回、受信した当該ARP要求パケットの送信元に送信する、
ことを特徴とする付記1乃至7の何れかに記載の不正接続防止装置。
(付記9)前記ネットワーク内の端末が前記ネットワーク内で通信してもよいか、いけないかを判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末が前記ネットワーク内で通信してもよいかを繰り返し判定し、前記登録端末が前記ネットワークで通信してもよいと判定すると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新する、
ことを特徴とする付記1乃至8の何れかに記載の不正接続防止装置。
(付記10)前記ネットワークに接続する端末の登録を受け付け、登録を受け付けた前記端末を識別する端末識別情報を出力する端末登録手段を、
更に備え、
前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
ことを特徴とする付記1乃至9の何れかに記載の不正接続防止装置。
(付記11)コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させるためのプログラム。
1 不正接続防止システム
100 ネットワーク
110 正常端末
115 登録端末
120 違反端末
125 不正端末
130 未登録端末
140 パッチサーバ
150 不正接続防止装置
151 制御部
152 通信部
153 入力部
154 登録端末リスト
155 特定端末リスト
156 正常端末リスト
157 不正端末リスト
158 パッチリスト
159 記憶部

Claims (10)

  1. ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
    予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
    前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
    前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
    前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
    を備え、
    前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
    前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
    ことを特徴とする不正接続防止装置。
  2. 前記パケット送信制御手段は、
    送信元が前記未登録端末であるARP要求パケットを前記通信部が受信すると、
    前記偽ARP応答パケットを該未登録端末に送信するとともに、
    該未登録端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信する、
    ことを特徴とする請求項1に記載の不正接続防止装置。
  3. 前記パケット送信制御手段は、
    送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、
    前記偽ARP応答パケットを該違反端末に送信するとともに、
    該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
    該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
    ことを特徴とする請求項1または2に記載の不正接続防止装置。
  4. 前記パケット送信制御手段は、
    送信元が前記違反端末であって対象が前記特定端末であるARP要求パケットを前記通信部が受信すると、
    該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
    該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
    ことを特徴とする請求項1乃至3の何れか一項に記載の不正接続防止装置。
  5. 前記パケット送信制御手段は、
    送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
    前記偽ARP応答パケットを、受信した前記ARP要求パケットの送信元である前記正常端末に送信する、
    ことを特徴とする請求項1乃至4の何れか一項に記載の不正接続防止装置。
  6. 前記違反端末を識別する違反端末識別情報を記憶する違反端末記憶手段と、
    前記通信部が前記未登録端末から送信されたARP要求パケットを受信すると、受信した当該ARP要求パケットに含まれる該未登録端末を識別する未登録端末識別情報を記憶する未登録端末記憶手段を更に備え、
    前記パケット送信制御手段は、送信元が前記正常端末であるARP要求パケットを前記通信部が受信すると、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記未登録端末記憶手段が記憶する前記未登録端末識別情報に基づいて、受信したARP要求パケットの送信元である前記正常端末に対するARPキャッシュを偽りのものに変更する旨を前記違反端末と前記未登録端末にそれぞれユニキャストで送信する、
    ことを特徴とする請求項1乃至5の何れか一項に記載の不正接続防止装置。
  7. 前記パケット送信制御手段は、
    送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
    前記偽ARP応答パケットを該正常端末に送信するとともに、
    前記正常端末に対するARPキャッシュを偽りのものに変更する旨を各前記違反端末と各前記未登録端末にユニキャストで送信する、
    ことを特徴とする請求項1乃至6の何れか一項に記載の不正接続防止装置。
  8. 前記パケット送信制御手段は、
    前記通信部がARP要求パケットを受信し、
    前記偽ARP応答パケットを、受信した当該ARP要求パケットの送信元に送信すると、
    送信後、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する予備パケットを、一定期間に複数回、受信した当該ARP要求パケットの送信元に送信する、
    ことを特徴とする請求項1乃至7の何れか一項に記載の不正接続防止装置。
  9. 前記ネットワーク内の端末が前記ネットワーク内で通信してもよいか、いけないかを判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
    前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末が前記ネットワーク内で通信してもよいかを繰り返し判定し、前記登録端末が前記ネットワークで通信してもよいと判定すると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
    を更に備え、
    前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新する、
    ことを特徴とする請求項1乃至8の何れか一項に記載の不正接続防止装置。
  10. コンピュータに
    予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
    ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
    前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
    ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
    送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
    送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
    を実行させるためのプログラム。
JP2010073025A 2010-03-26 2010-03-26 不正接続防止装置及びプログラム Active JP5477104B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010073025A JP5477104B2 (ja) 2010-03-26 2010-03-26 不正接続防止装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010073025A JP5477104B2 (ja) 2010-03-26 2010-03-26 不正接続防止装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2011205560A true JP2011205560A (ja) 2011-10-13
JP5477104B2 JP5477104B2 (ja) 2014-04-23

Family

ID=44881683

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010073025A Active JP5477104B2 (ja) 2010-03-26 2010-03-26 不正接続防止装置及びプログラム

Country Status (1)

Country Link
JP (1) JP5477104B2 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP2006352719A (ja) * 2005-06-20 2006-12-28 Hitachi Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP2006352719A (ja) * 2005-06-20 2006-12-28 Hitachi Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法

Also Published As

Publication number Publication date
JP5477104B2 (ja) 2014-04-23

Similar Documents

Publication Publication Date Title
US11652793B2 (en) Dynamic firewall configuration
US7840688B2 (en) Information processing device, server client system, method, and computer program
US7539863B2 (en) Remote services for portable computing environment
US7836121B2 (en) Dynamic executable
US7694343B2 (en) Client compliancy in a NAT environment
WO2011089788A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
CN107690646B (zh) Usb攻击保护
US20100031308A1 (en) Safe and secure program execution framework
CN116471109B (zh) 数据传输方法、***、第一端及控制设备
US20200092704A1 (en) Distributed, crowdsourced internet of things (iot) discovery and identification using block chain
KR102010488B1 (ko) 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법
KR100954370B1 (ko) 소프트웨어 실행 관리 장치 및 그 방법
JP2020017809A (ja) 通信装置及び通信システム
JP5340041B2 (ja) アクセス制御システム、アクセス制御方法、及びプログラム
US8127033B1 (en) Method and apparatus for accessing local computer system resources from a browser
CA2523532A1 (en) Portable computing environment
JP6442449B2 (ja) ルータの脆弱性を除去する方法及びシステム
KR20050100143A (ko) P2p 유해 정보 차단 시스템 및 방법
CN107623662B (zh) 访问的控制方法,装置和***
KR20180051806A (ko) 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법
JP5477104B2 (ja) 不正接続防止装置及びプログラム
JP2008065693A (ja) 情報処理装置、そのインストール制御方法及びインストール制御プログラム
KR20190036662A (ko) 네트워크 보안장치 및 보안방법
KR20190132087A (ko) 네트워크 보안 시스템 및 그 동작 방법
CN114629683B (zh) 管理服务器的接入方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120924

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130813

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131009

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140127

R150 Certificate of patent or registration of utility model

Ref document number: 5477104

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150