JP2011217016A - 不正接続防止装置及びプログラム - Google Patents
不正接続防止装置及びプログラム Download PDFInfo
- Publication number
- JP2011217016A JP2011217016A JP2010081430A JP2010081430A JP2011217016A JP 2011217016 A JP2011217016 A JP 2011217016A JP 2010081430 A JP2010081430 A JP 2010081430A JP 2010081430 A JP2010081430 A JP 2010081430A JP 2011217016 A JP2011217016 A JP 2011217016A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- identification information
- normal
- address
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【解決手段】不正接続防止装置100は、未登録端末130から送信された重複アドレス検出の近隣要請メッセージを受信すると、アドレスが重複している旨を返信する。また、不正接続防止装置100は、違反端末120から送信され、目標がパッチサーバ140とポリシーマネージャ150のどちらでもない近隣要請メッセージを受信すると、受信した近隣要請メッセージの送信元に、目標に対するリンク層アドレスを偽りのものに変更する旨を返信する。これによって、不正接続防止装置100は、不正端末125がネットワーク10内で通信を行うことをブロックしつつ、パッチサーバ140及びポリシーマネージャ150が違反端末120と通信することを許可する。
【選択図】図1
Description
また、ネットワークに接続された端末は、目的のIPアドレスに対応するMACアドレスを取得するため、近隣要請メッセージをマルチキャストで送信する。近隣要請メッセージを受信した端末のうち、目的のMACアドレスを記憶している端末は、目的の端末のMACアドレスを格納した近隣広告メッセージを送信してアドレス解決を行う。
このようにして、ネットワークエージェントは、予めデータベースに登録されていない端末がネットワークに接続することを防止する。
パッチを適用するためには、ネットワークを介さずにパッチを入手する、あるいは、パッチを適用するための閉鎖的なネットワークを作成し、そのネットワークに端末を接続する、などの方法をとる必要がある。これらの方法は、いずれも煩雑であり、ユーザ、管理者双方の負担が大きくなる。
ネットワークに接続し、前記ネットワーク内で通信を行う通信手段と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末との通信を特別に許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信手段が近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末である重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、該未登録端末に、アドレスが重複している旨を送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末に、目標に対するリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを送信する、
ことを特徴とする。
コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該近隣要請メッセージの送信元と目標を判定する手順と、
送信元が前記登録端末でもなく前記特定端末でもない重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、アドレスが重複している旨を返信する手順と、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、目標のリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを該違反端末に送信する手順と、
を実行させる。
また、ネットワーク10に接続した端末には、それぞれ固有のIPアドレスが割り振られる。ただし、未登録端末130は、重複アドレス検出の近隣要請メッセージを送信すると、後述のように、不正接続防止装置100によってIPアドレスが割り振られないので、通常は、IPアドレスを有しない。
ポリシーマネージャ150は、ネットワーク10内の登録端末115にアクセスし、登録端末115がセキュリティポリシー151に合致するか否かを繰り返し判定する。ポリシーマネージャ150は、その判定結果が得られる度に、その判定結果を、不正接続防止装置100に送信する。
制御部101は、CPUとROMとRAMと、を有する。
通信部102は、NIC、ルータ又はモデム等を有する。タイマ103は、現在時刻をカウントする。入力部104は、キーボードまたはマウス等を備える。記憶部109は、ハードディスク装置を有する。記憶部109には、登録端末データベース105と、特定端末データベース106と、正常端末データベース107と、不正端末データベース108と、が格納されている。
図4に示すように、特定端末データベース106には、特定端末、すなわちパッチサーバ140とポリシーマネージャ150のMACアドレスとIPアドレスが、対応付けられてエントリに格納され、保存されている。
図5に示すように、正常端末データベース107には、正常端末110のMACアドレスとIPアドレスが、エントリに格納され、保存されている。
図6に示すように、不正端末データベース108には、通信部102が受信した近隣要請メッセージの送信元である不正端末125のIPアドレスとMACアドレスと、受信した近隣要請メッセージの目標である正常端末110のIPアドレスとMACアドレスと、登録されてからの経過時間であるエージングタイムと、が対応付けられてエントリに格納される。
エントリは、決まったデータ長を持ったデータであり、具体的には、受信した近隣要請メッセージの送信元である不正端末125のIPアドレスとMACアドレスと、目標である正常端末110のIPアドレスとMACアドレスと、エージングタイムとが、エントリの決まった領域にそれぞれ保存される。
制御部101は、セキュリティポリシー151に合致する登録端末115のMACアドレスとIPアドレスを正常端末データベース107に登録する。
また、制御部101は、セキュリティポリシー151に合致しなくなった正常端末110のMACアドレスとIPアドレスを正常端末データベース107から消去する。
不正接続防止処理で、不正接続防止装置100は、受信した近隣要請メッセージに対して、パケットP1乃至P4を送信する。不正接続防止装置100は、パケットP1乃至P4を送信することによって、ネットワーク10内で不正端末125が通信を行うことをブロックしつつ、違反端末120とパッチサーバ140及びポリシーマネージャ150とが通信することを許可する。
図8に示すように、パケットP1のIPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、全ノードマルチキャストアドレス、重複アドレス検出の対象であるIPアドレスである。パケットP1のICMPフィールドの目標IPアドレス、S(Solicited)フラグ、目標リンク層アドレスはそれぞれ、重複アドレス検出の対象であるIPアドレス、0、重複アドレス検出の近隣要請メッセージを送信した未登録端末130のMACアドレスである。
ここで、近隣広告メッセージのSフラグが1であることは、その近隣広告メッセージが、近隣要請メッセージへの返信のメッセージであることを示している。ただし、重複アドレス検出の近隣要請メッセージへの応答で用いられる近隣広告メッセージのSフラグは0を用いることが一般的である。
図9に示すように、パケットP2は、IPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、受信した近隣要請メッセージの送信元のMACアドレス、不正接続防止装置100のIPアドレスである。パケットP2のICMPフィールドの目標IPアドレス、Sフラグ、O(Override)フラグ、目標リンク層アドレスはそれぞれ、受信した近隣要請メッセージの目標のIPアドレス、1、1、偽MACアドレスである。
ここで、Oフラグが1である近隣広告メッセージを受信した端末の既存のリンク層アドレスは、受信した近隣広告メッセージに含まれている目標リンク層アドレスに上書きされる。
Oフラグが0のとき、対象のリンク層アドレスが記憶されていない場合にのみ、近隣広告メッセージに含まれるリンク層アドレスにより対象のリンク層アドレスが更新される。
図10に示すように、パケットP3のIPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、全ノードマルチキャストアドレス、受信した近隣要請メッセージの送信元IPアドレスである。パケットP3のICMPフィールドの目標IPアドレス、Sフラグ、Oフラグ、目標リンク層アドレスはそれぞれ、受信した近隣要請メッセージの送信元IPアドレス、0、1、偽MACアドレスである。
図11に示すように、パケットP4のIPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、特定端末データベース106に登録されているIPアドレス、受信した近隣要請メッセージの送信元IPアドレスである。パケットP4のICMPフィールドの目標IPアドレス、送信元リンク層アドレスはそれぞれ、IPフィールドの宛先IPアドレスと同一のIPアドレス、受信した近隣要請メッセージの正しいアドレスである。
送信元リンク層アドレスが、登録端末データベース105と、特定端末データベース106のいずれからも検出できない場合、制御部101は、送信元が、未登録端末130であると判定する。
また、送信元リンク層アドレスを、登録端末データベース105から検出でき、かつ、正常端末データベース107から検出できない場合、制御部101は、送信元が違反端末120であると判定する。
これにより、未登録端末130は、アドレスが重複していることを検出するので、未登録端末130は、ネットワーク10内でIPアドレスが割り振らなくなる。この結果、未登録端末130は、ネットワーク10内で通信を行うことができない。
また、ネットワーク10内の端末は、違反端末120から送信された近隣要請メッセージを受信することにより、送信元の違反端末120に対して、正しいMACアドレスをリンク層アドレスに一時的に記憶する。しかし、パケットP3を受信することにより、ネットワーク10内の端末は、受信した近隣要請メッセージの送信元である違反端末120に対するリンク層アドレスを、偽MACアドレスに変更する。
ただし、パッチサーバ140とポリシーマネージャ150は、パケットP4を受信し、違反端末120に対するリンク層アドレスを正しいものに変更する。そのため、パッチサーバ140ならびにポリシーマネージャ150は、違反端末120と通信することが可能になる。
これによって、重複アドレス検出の近隣要請メッセージが送信されなかった場合など、なんらかの理由で未登録端末130にIPアドレスが割り振られることがあったとしても、未登録端末130は、目標IPアドレスに対して偽のMACアドレスを記憶するため、ネットワーク10内の端末との間で、正しく通信ができなくなる。
また、ネットワーク10内の端末は、未登録端末130が送信した近隣要請メッセージを受信しても、パケットP3を受信することによって、未登録端末130に対して偽のMACアドレスを記憶するため、未登録端末130との間で、正しく通信ができなくなる。
また、不正接続防止装置100は、各エントリの登録に合わせて、タイマ103が出力する時間に基づいて、不正端末データベース108の各エントリに、近隣要請メッセージを受信してからの経過時間であるエージングタイムを登録する。エージングタイムは、0秒から始まってカウントされ、300秒になるとそのエントリは削除される。また、エントリに記憶される組み合わせと同じ組み合わせの送信元と目標である近隣要請メッセージを受信すると、不正接続防止装置100は、該当するエントリのエージングタイムを0秒にリセットし、カウントをリスタートする。
正常端末110の正しいMACアドレスを取得した不正端末125も、パケットP5を受信することによって、正常端末110に対して偽MACアドレスを記憶することになる。
不正端末125の正しいMACアドレスを取得したネットワーク10内の端末も、パケットP6を受信することによって、不正端末125に対して偽のMACアドレスを記憶することになる。
また、パケットP6を送信した後、不正接続防止装置100は、登録端末データベース105を参照して、パケットP6の宛先であった不正端末125が違反端末120であるか否かを判定する。パケットP6の宛先である不正端末125が違反端末120であれば、不正接続防止装置100は、パケットP6の宛先である違反端末120に対応するリンク層アドレスを正しいものに変更するパケットP7(図15参照)を、パッチサーバ140とポリシーマネージャ150にそれぞれ送信する。
パケットP6によって違反端末120に対して通信ができなくなったパッチサーバ140及びポリシーマネージャ150は、パケットP7を受信することにより、通信できなくなった違反端末120に対して再び通信ができるようになる。
しかし、違反端末120が正常端末110に変化すると、不正接続防止装置100は、違反端末正常化処理で、パケットP8を送信する。パケットP8を受信した違反端末120(正常端末110に遷移した端末)は、アドレス解決をしようとした目標の正常端末110の正しいMACアドレスを記憶する。
これによって、記憶する偽MACアドレスを正しいMACアドレスに変更するので、正常端末110に変化した違反端末120は、正常端末110と通信することが、短時間で可能になる。
このようにして、正常端末110に変化した違反端末120は、不正接続防止装置100により、他の正常端末110と通信できない状態を解除される。
送信後、不正接続防止装置100は、受信した近隣要請メッセージの目標が正常端末110であるか調べる(ステップS115)。目標が正常端末110でなければ(ステップS115が“NO”)、不正接続防止装置100は処理を終了する。目標が正常端末110であれば(ステップS115が“YES”)、不正接続防止装置100は、不正端末データベース108を更新する(ステップS116)。
送信元の違反端末120であった場合(ステップS120が“YES”)、不正接続防止装置100は、受信した近隣要請メッセージの宛先IPアドレスを登録端末データベース105から検索することによって、近隣要請メッセージの宛先がポリシーマネージャ150又はパッチサーバ140であるか否かを判定する(ステップS121)。
受信した近隣要請メッセージ目標がポリシーマネージャ150とパッチサーバ140のうちのいずれでもない場合(ステップS121が“NO”)、不正接続防止装置100はパケットP2を送信し(ステップS122)、パケットP3を送信し(ステップS123)、パケットP4を送信する(ステップS124)。
更に、不正接続防止装置100は、受信した近隣要請メッセージの目標が正常端末110であるか否かを判定する(ステップS125)。目標が正常端末110でなければ(ステップS125が“NO”)不正接続防止装置100は処理を終了する。目標が正常端末110であれば(ステップS125が“YES”)、不正接続防止装置100は、不正端末データベース108を更新する(ステップS126)。
例えば、MACアドレスがMAC−3BでIPアドレスが割り振られていない未登録端末130−bから送信された重複アドレス検出の近隣要請メッセージを、不正接続防止装置100が受信したとする。なお、重複アドレス検出の対象のIPアドレスは、実際にはネットワーク10内では使用されていないIP−3Bとする。
不正接続防止装置100は未登録端末130−bから送信された重複アドレス検出の近隣要請メッセージに対して、パケットP1−1を送信する。
パケットP1−1は、図8に示すように、IPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、全ノードマルチキャストアドレス、IP−3Bである。パケットP1のICMPフィールドの目標IPアドレス、Sフラグ、目標リンク層アドレスはそれぞれ、IP−3B、0、MAC−3Bである。
パケットP1−1を受信した重複アドレス検出中の未登録端末130−bは、IP−3Bが重複していると判定し、IP−3Bを使用することができない。また、未登録端末130−bが、他のIPアドレスで重複アドレス検出の近隣要請メッセージを作成しても同じ結果となる。
結果として、未登録端末130に対しては、有効なIPアドレスの割り当てが行われず、未登録端末130は、ネットワーク10内で通信を行うことができない。
不正接続防止装置100は、パケットP2−1を送信し(ステップS113)、パケットP3−1を送信する(ステップS114)。
なお、未登録端末130−aは、重複アドレス検出を行うことなくIPアドレスが割り振られた未登録端末130であり、MACアドレス、IPアドレスはそれぞれ、MAC−3A、IP−3Aである。また、正常端末110−aのMACアドレス、IPアドレスはそれぞれ、MAC−1A、IP−1Aである。
なお、IP−0Aは、不正接続防止装置100に割り振られたIPアドレスである。
しかし、パケットP2−1を受信することによって、未登録端末130−aは、アドレス解決の目標である正常端末110−aに対して偽のMACアドレスを取得するため、正しく通信できない。
ネットワーク10内の端末は、未登録端末130−aから送信された近隣要請メッセージを受信することで、未登録端末130−aのMACアドレスを、一時的にリンク層アドレスに記憶する。
しかし、パケットP3−1を受信することによって、ネットワーク10内の端末は、未登録端末130−aに対して偽のMACアドレスを取得するため、未登録端末130−aに対して正しく通信を行えない。
不正端末データベース108には、未登録端末130−aのIP−3AとMAC−3Aと、正常端末110−aのIP−1AとMAC−1Aと、がエントリに登録される。
また、同エントリにはエージングタイムが登録され、エージングタイムは0秒から開始される。なお、同一のエントリがすでに存在している場合は、エージングタイムを0秒にリセットする。
なお、違反端末120−aのMACアドレス、IPアドレスはそれぞれ、MAC−2A、IP−2Aである。また、正常端末110−aのMACアドレス、IPアドレスはそれぞれ、MAC−1A、IP−1Aである。
しかし、違反端末120−aは、更にパケットP2−2を受信することによって、IP−1Aに対して偽MACアドレスを記憶する。そのため、違反端末120−aは、アドレス解決を行った正常端末110−aに対して正しく通信をできない。
しかし、ネットワーク10内の端末は、更にパケットP3−2を受信することによって、不違反端末120−aに対して偽のMACアドレスを記憶する。これによって、ネットワーク10内の端末は、違反端末120−aに対して正しく通信を行えない。
なお、同様のパケットP4−2−2は、ポリシーマネージャ150に送信される。
不正接続防止装置100は、不正端末データベース108に、違反端末120−aのIP−2AとMAC−2Aと、正常端末110−aのIP−1AとMAC−1Aを一つのエントリに登録する。
また、同エントリにはエージングタイムが登録され、エージングタイムは0秒から開始される。なお、同一のエントリがすでに存在している場合は、エージングタイムを0秒にリセットする。
なお、違反端末120−aのMACアドレス、IPアドレスはそれぞれ、MAC−2A、IP−2Aである。また、正常端末110−aのMACアドレス、IPアドレスはそれぞれ、MAC−1A、IP−1Aである。
例えば、違反端末120−aが、正常端末110−aに対し近隣要請メッセージを送信した際、不正接続防止処理によるパケットP2が受信できなかったとする。違反端末120−aは正常端末110−aの正しいMACアドレスを取得し、正常端末110−aに対して通信が可能になる。しかし、パケットP5−1を受信することによって、違反端末120−aは、送信元の正常端末110−aに関するリンク層アドレスが、偽MACアドレスに更新される。
つまり、不正端末125が、アドレス解決のために近隣要請メッセージを送信後、なんらかの理由でアドレス解決の目標である正常端末110の正しいMACアドレスを取得したとしても、パケットP5を受信することによって、不正端末125は、正常端末110と通信ができない。
例えば、不正接続防止処理においてパケットP3が正常端末110−bに届かず、正常端末110−bが、違反端末120−aの正しいMACアドレスを取得したとする。しかし、正常端末110−bは、パケットP6−1を受信することによって、違反端末120−aに対し、偽のMACアドレスを取得する。そのため、正常端末110−aは、違反端末120−aに対して正しく通信を行えない。
パッチサーバ140とポリシーマネージャ150は、パケットP6−1を受信することによって、違反端末120−aに対して通信できなくなる。しかし、更にパケットP7−1を受信することによって、パッチサーバ140とポリシーマネージャ150は、違反端末120−aの正しいMACアドレスを取得する。そのため、パッチサーバ140とポリシーマネージャ150は、違反端末120−aに対して通信することができる。
図6に示すように、違反端末120−aのIPアドレスとMACアドレスであるIP−2AとMAC−2Aは、不正端末データベース108において、2つのエントリに保存されている。それぞれのエントリには、124秒のエージングタイムとIP−1AとMAC−1A、17秒のエージングタイムとIP−1BとMAC−1B、が格納されている。
これは、エージングタイムに相当する時間だけ遡った時点で、違反端末120−aが、正常端末110−aと正常端末110−bに対してそれぞれ、アドレス解決の為に近隣要請メッセージを送信したことを意味する。ただし、違反端末120−aは、不正接続防止装置100から送信された偽の近隣広告メッセージを受信し、偽MACアドレスを記憶しているため、正常端末110に対して通信ができない。
不正接続防止装置100は、IP−1Aに対してMAC−1Aを格納したパケットP8−1と、IP−1Bに対してMAC−1Bを格納したパケットP8−2とを送信し(ステップS401)、不正端末データベース108を更新し(ステップS402)、正常端末データベース107を更新する(ステップS403)。
また、不正端末データベース108が更新されることにより、違反端末120−aは、定期不正接続防止処理による通信のブロックが解除される。
また、マルチキャストで送信される近隣要請メッセージを利用しているため、ネットワークの構成を変更することなく、セキュリティレベルを維持しつつ、不正接続防止装置150を導入することができる。
この場合、特定のアプリケーションがインストールされた端末から特定の情報を含むパケットを不正接続防止装置100に送信する。不正接続防止装置100は、特定の情報を含むパケットを受信すると、受信したパケットの送信元のMACアドレスを登録端末データベース105に登録するようにすればよい。
この場合、特定のアプリケーションがインストールされた端末からパッチ適用状況を、ポリシーマネージャ150に送信する。パッチ適用状況を受信したポリシーマネージャ150は、セキュリティポリシー151と受信したパッチ適応状況を比較して、登録端末115が最新のパッチを適応しているかを確認する。
また、同様に、ポリシーマネージャ150が、不正接続防止装置100に組み込まれていても良いし、不正接続防止装置100がパッチサーバ140とポリシーマネージャ150が一つの装置であっても良い。
また、定期不正接続防止処理において、1秒おきに、パケットを送信すると説明したが、時間は1秒に限られず、任意に変更可能である。ただし、エージングタイムより短いことが好ましい。
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末との通信を特別に許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信手段が近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末である重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、該未登録端末に、アドレスが重複している旨を送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末に、目標に対するリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを送信する、
ことを特徴とする不正接続防止装置。
送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを、前記通信手段が受信すると、
前記偽近隣広告メッセージを該違反端末に送信するとともに、
該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信し、
該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信した後に、該違反端末に対するリンク層アドレスを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1に記載の不正接続防止装置。
送信元が前記未登録端末である近隣要請メッセージを前記通信手段が受信すると、
前記偽近隣広告メッセージを該未登録端末に送信し、
該未登録端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信する、
ことを特徴とする付記1または2に記載の不正接続防止装置。
ことを特徴とする付記1乃至3の何れかに記載の不正接続防止装置。
送信元が前記未登録端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記未登録端末を識別する未登録端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する未登録端末記憶手段と、
を更に備え、
前記パケット送信制御手段は、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記正常端末識別情報と、前記未登録端末記憶手段が記憶する前記未登録端末識別情報と前記正常端末識別情報に基づいて、前記正常端末識別情報に対するリンク層アドレスを偽りのものに変更する旨を、該正常端末識別情報に識別情報を対応付けられる前記違反端末と前記未登録端末に、定期的に送信する、
ことを特徴とする付記1乃至4の何れかに記載の不正接続防止装置。
前記違反端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記違反端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去し、
前記未登録端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記未登録端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去する、
ことを特徴とする付記5に記載の不正接続防止装置。
更に備え、
前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
ことを特徴とする付記1乃至6の何れかに記載の不正接続防止装置。
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末の前記ネットワーク内での通信の可否を繰り返し判定し、前記登録端末の前記ネットワークで通信が可であると判定されると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新し、
前記パケット送信制御手段は、前記通信手段が近隣要請メッセージを受信すると、前記通信手段が受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が更新した最新の前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信する、
ことを特徴とする付記1乃至7の何れかに記載の不正接続防止装置。
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該近隣要請メッセージの送信元と目標を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、アドレスが重複している旨を返信する手順と、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、目標のリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを該違反端末に送信する手順と、
を実行させるためのプログラム。
100 不正接続防止装置
101 制御部
102 通信部
103 タイマ
104 入力部
105 登録端末データベース
106 特定端末データベース
107 正常端末データベース
108 不正端末データベース
110 正常端末
115 登録端末
120 違反端末
125 不正端末
130 未登録端末
140 パッチサーバ
150 ポリシーマネージャ
Claims (9)
- ネットワークに接続し、前記ネットワーク内で通信を行う通信手段と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末との通信を特別に許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信手段が近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末である重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、該未登録端末に、アドレスが重複している旨を送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末に、目標に対するリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを送信する、
ことを特徴とする不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを、前記通信手段が受信すると、
前記偽近隣広告メッセージを該違反端末に送信するとともに、
該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信し、
該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信した後に、該違反端末に対するリンク層アドレスを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする請求項1に記載の不正接続防止装置。 - 前記パケット送信制御手段は、
送信元が前記未登録端末である近隣要請メッセージを前記通信手段が受信すると、
前記偽近隣広告メッセージを該未登録端末に送信し、
該未登録端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信する、
ことを特徴とする請求項1または2に記載の不正接続防止装置。 - 前記パケット送信制御手段は、前記正常端末記憶手段を参照し、新規に前記正常端末記憶手段に登録された前記正常端末識別情報を検知すると、該正常端末識別情報で識別される前記正常端末に、他の前記正常端末に対するリンク層アドレスを正しいものに変更する旨をマルチキャストで送信する、
ことを特徴とする請求項1乃至3の何れか一項に記載の不正接続防止装置。 - 送信元が前記違反端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記違反端末を識別する違反端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する違反端末記憶手段と、
送信元が前記未登録端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記未登録端末を識別する未登録端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する未登録端末記憶手段と、
を更に備え、
前記パケット送信制御手段は、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記正常端末識別情報と、前記未登録端末記憶手段が記憶する前記未登録端末識別情報と前記正常端末識別情報に基づいて、前記正常端末識別情報に対するリンク層アドレスを偽りのものに変更する旨を、該正常端末識別情報に識別情報を対応付けられる前記違反端末と前記未登録端末に、定期的に送信する、
ことを特徴とする請求項1乃至4の何れか一項に記載の不正接続防止装置。 - 時刻情報をカウントし、カウントした当該時刻情報を出力する時刻情報カウント手段を更に備え、
前記違反端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記違反端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去し、
前記未登録端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記未登録端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去する、
ことを特徴とする請求項5に記載の不正接続防止装置。 - 前記ネットワークに接続する端末の登録を受け付け、登録を受け付けた前記端末を識別する端末識別情報を出力する端末登録手段を、
更に備え、
前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
ことを特徴とする請求項1乃至6の何れか一項に記載の不正接続防止装置。 - 前記ネットワーク内の端末の前記ネットワーク内における通信の可否を判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末の前記ネットワーク内での通信の可否を繰り返し判定し、前記登録端末の前記ネットワークで通信が可であると判定されると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新し、
前記パケット送信制御手段は、前記通信手段が近隣要請メッセージを受信すると、前記通信手段が受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が更新した最新の前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信する、
ことを特徴とする請求項1乃至7の何れか一項に記載の不正接続防止装置。 - コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該近隣要請メッセージの送信元と目標を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、アドレスが重複している旨を返信する手順と、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、目標のリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを該違反端末に送信する手順と、
を実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010081430A JP5509999B2 (ja) | 2010-03-31 | 2010-03-31 | 不正接続防止装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010081430A JP5509999B2 (ja) | 2010-03-31 | 2010-03-31 | 不正接続防止装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011217016A true JP2011217016A (ja) | 2011-10-27 |
JP5509999B2 JP5509999B2 (ja) | 2014-06-04 |
Family
ID=44946339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010081430A Active JP5509999B2 (ja) | 2010-03-31 | 2010-03-31 | 不正接続防止装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5509999B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101312074B1 (ko) | 2012-12-06 | 2013-09-25 | (주)넷맨 | Mac주소 정보를 감시하면서 복구하는 방법 |
WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
JP2021103836A (ja) * | 2019-12-25 | 2021-07-15 | アズビル株式会社 | 検出装置および検出方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006287299A (ja) * | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
-
2010
- 2010-03-31 JP JP2010081430A patent/JP5509999B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006287299A (ja) * | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101312074B1 (ko) | 2012-12-06 | 2013-09-25 | (주)넷맨 | Mac주소 정보를 감시하면서 복구하는 방법 |
WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
JPWO2016170598A1 (ja) * | 2015-04-21 | 2017-08-17 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
JP2021103836A (ja) * | 2019-12-25 | 2021-07-15 | アズビル株式会社 | 検出装置および検出方法 |
JP7444600B2 (ja) | 2019-12-25 | 2024-03-06 | アズビル株式会社 | 検出装置および検出方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5509999B2 (ja) | 2014-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7694343B2 (en) | Client compliancy in a NAT environment | |
US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
US7827607B2 (en) | Enhanced client compliancy using database of security sensor data | |
JP4327630B2 (ja) | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 | |
KR101270041B1 (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
US6754716B1 (en) | Restricting communication between network devices on a common network | |
JP4777461B2 (ja) | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム | |
JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
US20050050365A1 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
US10630700B2 (en) | Probe counter state for neighbor discovery | |
CN101827138A (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
JP2004166002A (ja) | 通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム | |
Song et al. | Novel duplicate address detection with hash function | |
JP2006074705A (ja) | 通信サービスを制限するための装置 | |
US8655957B2 (en) | System and method for confirming that the origin of an electronic mail message is valid | |
KR101039092B1 (ko) | IPv6 네트워크 내 호스트 보호 및 격리방법 | |
US8234503B2 (en) | Method and systems for computer security | |
JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
CN107395615B (zh) | 一种打印机安全防护的方法和装置 | |
JP4321375B2 (ja) | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム | |
JP2008227600A (ja) | 通信妨害装置及び通信妨害プログラム | |
JP5540679B2 (ja) | ネットワーク機器、通信制御方法、及びプログラム | |
CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121107 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130913 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130924 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140310 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5509999 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |