JP5163060B2 - 中継装置 - Google Patents

中継装置 Download PDF

Info

Publication number
JP5163060B2
JP5163060B2 JP2007289888A JP2007289888A JP5163060B2 JP 5163060 B2 JP5163060 B2 JP 5163060B2 JP 2007289888 A JP2007289888 A JP 2007289888A JP 2007289888 A JP2007289888 A JP 2007289888A JP 5163060 B2 JP5163060 B2 JP 5163060B2
Authority
JP
Japan
Prior art keywords
cable
connection
port
detection
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007289888A
Other languages
English (en)
Other versions
JP2009118253A (ja
Inventor
武司 松本
▲梢▼子 津田
茂 吉田
清裕 下川
浩次 上田
信雄 白井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007289888A priority Critical patent/JP5163060B2/ja
Publication of JP2009118253A publication Critical patent/JP2009118253A/ja
Application granted granted Critical
Publication of JP5163060B2 publication Critical patent/JP5163060B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、ケーブルが挿脱される複数のケーブル接続部を備え、各ケーブル接続部に挿入されたケーブル間の接続を中継する中継装置に関する。
ハブ及びルータ等のネットワーク機器におけるセキュリティの向上を図る技術として、フィルタリング機能が一般的に用いられている。フィルタリング機能とは、送信されてきたデータを検査して通過させるか否かを判断する機能である。具体的には、送信されてくるデータのヘッダ情報には、送信元の装置に割り当てられたMAC(Media Access Control)アドレス、送信先の装置に割り当てられたMACアドレス等の情報が含まれており、データが送信されてきた場合に、そのヘッダ情報に基づく送信元のMACアドレスが、予め通過を許可するMACアドレスに登録されたMACアドレスである場合にのみデータを通過させ、不要なデータを通過させない機能である。
また、特許文献1には、侵入防止機能付きハブにおいて、全ポートへの接続許可を、接続相手の端末のIP(Internet Protocol )アドレスで設定し、受信したARP(Address Resolution Protocol )フレームの送信元のIPアドレスが、接続許可を設定されたIPアドレスに一致しない場合、このARPフレームを最後に受信したポートを使用できなくする機能が開示されている。
更に、特許文献2には、ポートに接続されるケーブルに、ケーブルIDが格納されたICタグが装着されており、各ポートにケーブルが接続された場合、各ポートと、接続されたケーブルのICタグから読み取ったケーブルIDとを対応付けて登録しておき、運用中に、各ポートに接続されているケーブルのICタグからケーブルIDを読み取り、各ポートに対応付けて設定してあるケーブルIDに一致しない場合、即ち、不適切なケーブルが接続されていた場合、そのポートを遮断するネットワーク中継器が開示されている。
上述した特許文献1では、接続許可が設定されていない装置がいずれかのポートに接続された場合であっても、この装置が接続されたポートを使用できなくすることによって、不正に接続された装置との間での通信を禁止するので、セキュリティを維持することができる。また、特許文献2でも、予め登録されたケーブルではないケーブルが接続された場合に、そのケーブルが接続されたポートを遮断するので、不正に接続されたケーブルを介した通信を禁止してセキュリティを維持することができる。
特開平11−177597号公報 特開2007−166347号公報
ところで、各ポートを、使用可能とする開放状態及び使用禁止とする閉塞状態のいずれかに設定できる機能を備えたハブが提供されている。このようなハブは、複数のポートにおいて、使用するポートに対しては開放状態に設定し、使用しないポートに対しては閉塞状態に設定しておくことによって、使用しないポートを予め使用できないように設定しておく場合が多い。また、このようなハブは、開放状態に設定されたポートに対してケーブルが不正に接続された場合、上述した特許文献1,2の技術等を用いてセキュリティを維持するように構成されている場合が多い。
一方、閉塞状態に設定されたポートは、使用禁止であるので、ケーブルが接続された場合であっても、何も行なわないように設定されていることが多い。即ち、閉塞状態に設定されたポートにケーブルが接続された場合、接続されたケーブルを介した通信を行なわないが、ケーブルが接続されているか否かの判断、及び接続されたケーブルが適切なケーブルであるか不正なケーブルであるかの判断も行なわないことが多い。
ここで、ハブに対して侵入を試みようとする侵入者は通常、複数のポートを有するハブにおいて、まずケーブルが接続されていないポートに対してケーブルを接続させ、このポートを介した侵入に失敗した場合、ケーブルが接続されているポートに対して、接続してあるケーブルを抜いて自身のケーブルを接続、又は接続してあるケーブルを介して自身の機器を接続して攻撃する傾向がある。
上述した特許文献1,2等の従来の技術では、侵入者が、ケーブルが接続されているポート(開放状態に設定されているポート)に対して攻撃を開始した場合には有効である。しかし、ケーブルが接続されていないポート(閉塞状態に設定されているポート)については、上述したように、ケーブルが接続されているか否かを検出しないため、侵入者が閉塞状態に設定されたポートに対してケーブルを接続して攻撃を試みている段階では、侵入者の行動を把握することはできなかった。
本発明は斯かる事情に鑑みてなされたものであり、その目的とするところは、各ポート(ケーブル接続部)が使用可能であるか否かに拘わらず、各ケーブル接続部にケーブルが挿入されたことを正確に把握することが可能であり、各ケーブル接続部に対するケーブルの挿入状態に基づいて不正な接続が行なわれたか否かを検知することが可能な中継装置を提供することにある。
本発明の他の目的は、複雑な処理を行なうことなく、不正な接続が行なわれたか否かを把握することが可能な中継装置を提供することにある。
本中継装置は、ケーブルが挿脱される複数のケーブル接続部と、各ケーブル接続部に挿入されたケーブル間の接続を中継する中継手段と、各ケーブル接続部に対するケーブルの挿脱を検出する検出手段とを備える点を特徴とする。よって、各ケーブル接続部が使用可能に設定されているか否かに拘わらず、各ケーブル接続部にケーブルが抜き挿しされたことを正確に検出することが可能である。また、本中継装置は、正確に検出された各ケーブル接続部に対するケーブルの挿脱状態が予め設定してある所定基準を満たした場合に、不正な接続が行なわれたことを検知する点を特徴とする。よって、不正な接続が行なわれたことを正確に把握することが可能となる。
本中継装置は、各ケーブル接続部にケーブルが挿入されたことを検出した場合、ケーブルを介して接続された機器から、該機器を特定する情報を取得して蓄積する点を特徴とする。よって、各ケーブル接続部が使用可能に設定されているか否かに拘わらず、各ケーブル接続部に対して挿入されたケーブルを介して接続された機器を把握することが可能である。また、本中継装置は、蓄積した情報に基づいて、該情報で特定される機器の、各ケーブル接続部に対するケーブルの挿脱状態が前記所定基準を満たした場合に、不正な接続が行なわれたことを検知する点を特徴とする。よって、各ケーブル接続部に挿入されたケーブルを介してどのような機器がどのように接続されたかに基づいて、不正な接続が行なわれたことを正確に把握することが可能となる。
本中継装置は、時計手段を備え、各ケーブル接続部にケーブルが挿入されたことを検出した場合、検出した時点での時刻と、前記ケーブルを介して接続された機器から取得した情報とを対応付けて蓄積する点を特徴とする。また、本中継装置は、蓄積した情報をさらに用いて、所定時間内に同一の機器を示す情報が所定数以上含まれる場合、不正な接続が行なわれたことを検知する点を特徴とする。よって、ケーブルを介して同一の機器が所定時間内に所定回数以上接続してきた場合、不正な接続が行なわれたと判断することが可能となる。
本中継装置は、ネットワークケーブルが挿脱される複数のケーブル接続部を備えており、各ケーブル接続部にネットワークケーブルが挿入されたことを検出した場合、ネットワークケーブルを介して接続された機器から、該機器に割り当てられたMACアドレスを取得して蓄積する点を特徴とする。よって、ネットワークケーブルを介して複数のネットワーク機器との接続が可能な中継装置において、各ケーブル接続部に対して挿入されたネットワークケーブルを介して接続されたネットワーク機器をMACアドレスによって把握することが可能となる。
本発明に係る中継装置は、不正な接続が行なわれたことを検知した場合、その旨を報知することが可能となる。
本中継装置によれば、各ケーブル接続部に対してケーブルが抜き挿しされたことを正確に検出することができるので、各ケーブル接続部を閉塞状態又は開放状態に設定可能な中継装置において、ケーブルが電気的に接続されているか否かの検知、データの送受信が可能であるか否かの検知等の各処理を行なわない閉塞状態に設定されたケーブル接続部に対しても、ケーブルの挿脱状態を確実に把握することができる。また、各ケーブル接続部に対するケーブルの挿脱状態が予め設定してある所定基準を満たした場合に、不正な接続が行なわれたことを正確に検知できるので、例えば中継装置に対して侵入を試みようとする侵入者が、各ケーブル接続部に対してケーブルを挿脱している場合に、このような行動を確実に検知することができ、中継装置に対する不審な行動を早期に把握することができる。
本中継装置によれば、ケーブルが電気的に接続されているか否かの検知、データの送受信が可能であるか否かの検知等の各処理を行なわない閉塞状態に設定されていたケーブル接続部に対しても、ケーブルを介して接続された機器を確実に把握することができる。また、ケーブルを介して接続された機器の情報を蓄積しておくことにより、蓄積した情報に基づいて、各ケーブル接続部に挿入されたケーブルを介してどのような機器が接続されたかを把握することができるので、ケーブルを介して接続された機器に基づいて、不正な接続が行なわれたか否かを正確に把握することができる。よって、例えば中継装置に対して侵入を試みようとする侵入者が、各ケーブル接続部に対してケーブルを介した機器の接続及び切断を繰り返している場合に、このような行動を確実に検知することができ、中継装置に対する不審な行動を早期に把握することができる。
本中継装置によれば、同一の機器が所定時間内に所定回数以上接続してきた場合に不正な接続が行なわれたと判断するので、例えば中継装置に対して侵入を試みようとする侵入者が、各ケーブル接続部に対して所定時間内にケーブルを所定回数以上抜き挿しした場合に、このような状況を確実に検知することができ、中継装置に対する侵入者の不審な行動を早期に把握できるので、何らかの対策を早期に講じることができる。
本中継装置によれば、ネットワークケーブルを介してネットワーク機器との接続が可能に構成されている場合、各ケーブル接続部に挿入されたネットワークケーブルを介して接続された機器を、各機器に割り当てられたMACアドレスによって把握することができる。従って、ネットワーク機器は通常、ネットワークケーブルを介して他のネットワーク機器に接続された場合、両機器のMACアドレスを含む情報を送受信するので、受信した情報に含まれるMACアドレスを蓄積しておけばよく、複雑な処理を行なうことなく、ケーブルを介して接続された機器を把握することができ、不正な接続が行なわれたか否かを容易に検知することができる。
本中継装置によれば、不正な接続が行なわれたことを検知した場合、その旨を報知することにより、例えば中継装置に対して侵入を試みようとする侵入者が、各ケーブル接続部に対してケーブルを挿脱している段階でこのような行動を報知できるので、中継機器に対する侵入の行動に対して早期に何らかの対策を講じることができる。
以下に、本発明に係る中継装置をその実施形態を示す図面に基づいて詳述する。図1は本実施形態に係る中継装置の外観を説明するための模式図である。図1(a)には本実施形態の中継装置1の外観図を、図1(b)には図1(a)に示した中継装置1の縦断面図をそれぞれ示している。なお、図1(b)では、図1(a)に示す中継装置1の正面が右側に、背面が左側になるように図示している。
本実施形態に係る中継装置1は、例えばハブであり、複数のケーブル(ネットワークケーブル)がそれぞれ挿脱可能な複数のポート(ケーブル接続部)2,2…が設けられており、各ポート2,2…に接続(挿入)されたケーブル間の接続を中継する。即ち、中継装置1は、各ポート2,2…に接続されたケーブルのそれぞれを介して接続されるネットワーク機器間の接続を中継する。
また、本実施形態に係る中継装置1において、ポート2,2…のそれぞれの内部には、ケーブルが挿入されたことを検知するケーブル挿入検知部(検出手段)14(図2参照)が設けられている。ケーブル挿入検知部14は、例えば非常に小型のスライドスイッチ又はプッシュロックスイッチ等によって構成されたディップスイッチを備えている。具体的には、ケーブル挿入検知部14は、図1(b)に示すように、ポート2にケーブルの接続部(コネクタ、プラグ、ジャック)が挿入された場合の当接面に押し込み型の自動復帰スイッチ2aと、自動復帰スイッチ2aが押し込まれたことを検知する検知部2bとにより構成されている。
図1(b)に示すような構成により、ポート2にケーブルが挿入された場合、自動復帰スイッチ2aが押下され、検知部2bが、自動復帰スイッチ2aが押下されたこと、即ちケーブルが挿入されたことを検知することができる。また、ポート2からケーブルが取り外された場合、自動復帰スイッチ2aが図1(b)に示す元の位置に戻り、検知部2bが、自動復帰スイッチ2aが元の位置に戻ったこと、即ち接続されていたケーブルが取り外されたことを検知することができる。ケーブル挿入検知部14は、検知部2bによってポート2にケーブルが挿入されたことを検知した場合、及び検知部2bによってポート2からケーブルが取り外されたことを検知した場合、ポート2のポート番号と、ケーブルの挿脱状態とを制御部10(図2参照)へ通知する。
なお、ケーブル挿入検知部14は、上述した構成に限られず、例えば、ケーブルの接続部が挿入される空間を隔てた2箇所に赤外線送信部及び赤外線受光部を設けておき、赤外線送信部から送信された赤外線が赤外線受光部によって受光できた場合に、ケーブルは挿入されていないことを検知し、赤外線受光部が赤外線を受光できなくなった場合、即ち、挿入されたケーブルの接続部によって赤外線が遮断された場合に、ケーブルが挿入されたことを検知するようにしてもよい。
図2は本実施形態に係る中継装置1の構成例を示すブロック図である。本実施形態の中継装置1は、制御部10、ROM11、RAM12、メモリ部13、ケーブル挿入検知部14、不正接続検知処理部15、各ポート2,2…に挿入されたケーブルを介して接続されるネットワーク機器との間でデータの送受信を行なうためのネットワークインタフェース16等を備えており、これらのハードウェア各部はそれぞれバス1aを介して相互に接続されている。なお、上述したようにケーブル挿入検知部14は各ポート2,2…の内部にそれぞれ設けられているが、図2ではまとめてケーブル挿入検知部14と表示している。
制御部10は、例えばCPU(Central Processing Unit)又はMPU(Micro Processor Unit)等であり、時計(時計手段)10aを備えている。制御部10は、時計10aによって所定のタイミングを計時しながら、ROM11又はメモリ部13に予め格納してある制御プログラムを適宜RAM12に読み出して実行すると共に、上述したハードウェア各部の動作を制御する。なお、時計10aは絶対時刻(年、月、日、時、分、秒)を刻時しており、制御部10は時計10aが示す絶対時間に基づいて現在時刻を取得することができる。
ROM11は、中継装置1を本発明の中継装置として動作させるために必要な種々の制御プログラムを予め格納している。RAM12は、例えばSRAM又はフラッシュメモリ等で構成されており、制御部10による制御プログラムの実行時に発生する種々のデータを一時的に記憶する。
メモリ部13は、例えばフラッシュメモリのような書き換え可能なメモリである。メモリ部13は、中継装置1を本発明の中継装置として動作させるために必要な種々の制御プログラム、図3(a)に示すようなポート状態管理テーブル13a、図3(b)に示すような接続履歴テーブル13b、図4に示すような閾値データ13c等を予め格納している。
図3はテーブルの登録内容を示す模式図であり、図3(a)にはポート状態管理テーブル13aの登録内容を、図3(b)には接続履歴テーブル13bの登録内容をそれぞれ示している。ポート状態管理テーブル13aは、中継装置1が備える各ポート2,2…について、閉塞/開放状態、ケーブルの挿入/取り外し状態(レイヤ0の状態)、レイヤ1の状態(物理接続状態)、レイヤ2の状態(データリンク状態)を管理するためのテーブルである。
図3(a)に示すように、ポート状態管理テーブル13aには、中継装置1が備える各ポート2,2…毎に、ポート番号、閉塞/開放状態情報、レイヤ0状態情報、レイヤ1状態情報、レイヤ2状態情報が対応付けて登録されている。ポート番号の欄には、各ポート2,2…に割り当てられたポート番号が予め登録されており、閉塞/開放状態情報の欄には、各ポート2,2…に対して設定された状態が登録されている。なお、開放状態とは各ポート2,2…が使用可能状態であることを示しており、閉塞状態とは各ポート2,2…が使用禁止状態であることを示している。閉塞/開放状態情報は、例えば、中継装置1の管理者が中継装置1に接続されたコンピュータを介して各ポート2,2…に対する閉塞/開放状態を変更する都度、制御部10によって更新される。
レイヤ0状態情報の欄には、各ポート2,2…がケーブルを挿入された状態の場合に「接続」が登録され、各ポート2,2…がケーブルを取り外された状態の場合に「未接続」が登録される。レイヤ0状態情報は、各ポート2,2…の内部に設けられたケーブル挿入検知部14が各ポート2,2…に対するケーブルの挿入を検知する都度、又は各ポート2,2…からのケーブルの取り外しを検知する都度、制御部10によって更新される。
レイヤ1状態情報の欄には、各ポート2,2…がケーブルを介して外部のネットワーク機器と電気的に接続されている状態の場合に「up」が登録され、各ポート2,2…が外部のネットワーク機器と電気的に接続されていない状態の場合に「down」が登録される。レイヤ1状態情報は、ネットワークインタフェース16が、各ポート2,2…がケーブルを介して外部のネットワーク機器と電気的に接続されたことを検出する都度、又は各ポート2,2…と外部のネットワーク機器との電気的な接続が終了したことを検出する都度、制御部10によって更新される。
レイヤ2状態情報の欄には、各ポート2,2…がケーブルを介して外部のネットワーク機器との間でデータの送受信が可能である状態の場合に「up」が登録され、各ポート2,2…が外部のネットワーク機器との間でデータの送受信が可能でない状態の場合に「down」が登録される。レイヤ2状態情報は、ネットワークインタフェース16が、各ポート2,2…を介して外部のネットワーク機器との間でデータの送受信ができた場合、又は各ポート2,2…を介して外部のネットワーク機器との間でデータの送受信ができなくなった場合、制御部10によって更新される。
接続履歴テーブル(蓄積手段)13bは、各ポート2,2…についてケーブルが挿入(接続)された履歴を管理するテーブルである。図3(b)に示すように、接続履歴テーブル13bには、各ポート2,2…にケーブルが挿入された時刻を示すケーブル挿入検知時刻、各ポート2,2…のポート番号、各ポート2,2…に挿入されたケーブルを介して接続されたネットワーク機器のMACアドレスがそれぞれ対応付けて1つの履歴情報として登録されている。ケーブル挿入検知時刻の欄には、ケーブル挿入検知部14がいずれかのポート2にケーブルが挿入されたことを検知した時点で時計10aが示す時刻が登録され、ポート番号の欄には、ケーブル挿入検知部14がケーブルの挿入を検知したポート2のポート番号が登録される。ケーブル挿入検知時刻及びポート番号は、ケーブル挿入検知部14がいずれかのポート2にケーブルが挿入されたことを検知する都度、制御部10によって登録される。
MACアドレスの欄には、ケーブル挿入検知部14がケーブルの挿入を検知したポート2がケーブルを介して接続されたネットワーク機器のMACアドレスが登録される。MACアドレスは、ケーブル挿入検知部14がいずれかのポート2に対するケーブルの挿入を検知した場合に、後述する不正接続検知処理部15が、このポート2にケーブルを介して接続されたネットワーク機器からMACアドレスを取得する都度、不正接続検知処理部15によって登録される。
図4は閾値データ13cの内容を示す模式図である。閾値データ13cには、大項目として、最大登録件数と不正接続判断基準とが設けられている。最大登録件数には、接続履歴テーブル13bに登録可能な履歴情報の数(例えば200)が登録されている。不正接続判断基準は、小項目として、単位時間、接続回数及び監視対象が設けられており、図4に示した閾値データ13cでは、単位時間として「1時間」が登録され、接続回数として「3回」が登録され、監視対象として「同一MACアドレス」が登録されている。閾値データ13cの登録内容は、例えば、中継装置1の管理者が中継装置1に接続されたコンピュータを介して変更又は追加する都度、制御部10によって変更又は追加される。
不正接続検知処理部15は、ケーブル挿入検知部14がいずれかのポート2にケーブルが挿入されたことを検知した場合、制御部10を介してケーブルが挿入されたポート2のポート番号と、このポート2にケーブルが挿入されたことを示す情報とを取得する。不正接続検知処理部(取得手段)15は、通知されたポート2が開放状態である場合、通常の処理を行ない、このポート2に挿入されたケーブルを介して接続されたネットワーク機器とネットワークインタフェース16を介して通信することによって、このネットワーク機器に割り当てられたMACアドレスを取得する。
また、不正接続検知処理部15は、通知されたポート2が閉塞状態である場合、一時的にポート2の閉塞状態を解除して開放状態に設定し、このポート2に挿入されたケーブルを介して接続されたネットワーク機器から、このネットワーク機器に割り当てられたMACアドレスを取得する。不正接続検知処理部15は、ケーブルを介して取得したMACアドレスを、既に接続履歴テーブル13bに登録してあるケーブル挿入検知時刻及びポート番号に対応させて登録する。
更に、不正接続検知処理部(検知手段)15は、閾値データ13cによって規定された不正接続判断基準を参照し、上述したように接続履歴テーブル13bに順次登録された履歴情報に基づいて、不正な接続が行なわれたか否かを判断する。具体的には、図4に示すような閾値データ13cを用いた場合、不正接続検知処理部15は、接続履歴テーブル13bに登録された履歴情報において、1時間内に同一のMACアドレスの履歴情報が3つ以上含まれる場合、不正な接続が行なわれたと判断する。
これは、1時間内において同一のMACアドレスのネットワーク機器がケーブルを介して3回接続してきた状況であり、本実施形態の中継装置1は、このような状況を不正な接続が行なわれた状況であると判断する。なお、不正な接続とは、例えば、中継装置1の各ポート2,2…に対するケーブルの挿脱が通常は行なわれない環境であった場合に、各ポート2,2…に対してケーブルの抜き挿しが所定時間内に所定回数以上行なわれた状況のことを意味する。
しかし、1時間内に同一のMACアドレスのネットワーク機器がケーブルを介して3回以上接続された状況のみが不正な接続が行なわれた状況ではない。従って、閾値データ13cの登録内容は、適宜変更が可能であるので、例えば、閾値データ13cの監視対象として「異なるMACアドレス」が登録されていた場合には、1時間内において、接続されたネットワーク機器が同一であるか否かに拘わらず、ネットワーク機器がケーブルを介して3回接続された時点で、不正な接続が行なわれたと判断するので、中継装置1への侵入者が異なるネットワーク機器を接続した場合であっても、そのような不審な行動を検出することができる。
なお、不正接続検知処理部15は、専用のハードウェアによって構成してもよく、上述した各処理を規定したコンピュータプログラムをROM11又はメモリ部13に予め格納しておき、このコンピュータプログラムを制御部10が実行することによって実現されるソフトウェア的機能として構成してもよい。
ネットワークインタフェース16は、各ポート2,2…に挿入されたケーブルを介して複数のネットワーク機器とデータの送受信を行なうだけでなく、中継装置1を介したネットワーク全体の状態を監視しているネットワーク監視装置(図示せず)ともデータの送受信を行なう。なお、本実施形態では、上述したように不正接続検知処理部15が不正な接続が行なわれたことを検知した場合、制御部10からの指示に従って、ネットワークインタフェース16が、不正な接続が行なわれた旨をネットワーク監視装置へ通知する。
以下に、上述した中継装置1において、いずれかのポート2にケーブルが挿入(接続)された場合に制御部10が行なう処理について説明する。
いずれかのポート2にケーブルが挿入された場合、ケーブル挿入検知部14が、ポート2に対するケーブルの挿入を検知し、ケーブルが挿入されたポート2のポート番号と、ケーブルが挿入されたことを示す情報とを制御部10へ通知する。
制御部10は、ポート状態管理テーブル13aにおいて、通知されたポート2のレイヤ0状態情報の欄を「接続」に更新し、この時点で時計10aが示す時刻と、通知されたポート2のポート番号とを接続履歴テーブル13bに登録する。また、制御部10は、ケーブル挿入検知部14から通知されたポート番号及びケーブルが挿入されたことを示す情報を不正接続検知処理部15へ通知する。不正接続検知処理部15は、ポート状態管理テーブル13aの登録内容に基づいて、通知されたポート2が閉塞状態であるか開放状態であるかを判断する。
不正接続検知処理部15は、通知されたポート2が開放状態である場合、通常の処理によって、このポート2に挿入されたケーブルを介して接続されたネットワーク機器から、このネットワーク機器に割り当てられたMACアドレスを取得し、取得したMACアドレスを、既に接続履歴テーブル13bに登録してあるケーブル挿入検知時刻及びポート番号に対応させて登録する。
また、不正接続検知処理部15は、通知されたポート2が閉塞状態である場合、一時的にポート2の閉塞状態を解除し、このポート2に挿入されたケーブルを介して接続されたネットワーク機器から、このネットワーク機器に割り当てられたMACアドレスを取得し、取得したMACアドレスを、既に接続履歴テーブル13bに登録してあるケーブル挿入検知時刻及びポート番号に対応させて登録する。なお、不正接続検知処理部15は、MACアドレスの取得を完了した後は、このポート2を再度閉塞状態に設定しておく。
不正接続検知処理部15は、ネットワーク機器から取得したMACアドレスの接続履歴テーブル13bへの登録を行なった後、接続履歴テーブル13bの登録内容から、この時点から1時間前までに登録された履歴情報を抽出し、同一のMACアドレスの履歴情報が3つ以上ある場合、不正な接続が行なわれたと判断し、その旨を制御部10へ通知する。一方、同一のMACアドレスの履歴情報が3つ以上ない場合、不正接続検知処理部15は、不正な接続が行なわれていないと判断し、通常の動作に処理を戻す。
なお、不正接続検知処理部15から不正な接続が行なわれたことを通知された場合、制御部10は、ケーブル挿入検知部14からケーブルが挿入されたと通知されたポート2、即ち、最後にケーブルが挿入されたポート2が開放状態であれば、このポート2を閉塞状態に設定し、このポート2を使用禁止にする。また、制御部10は、不正接続検知処理部15から不正な接続が行なわれたことを通知された場合、ネットワークインタフェース16を介して接続してあるネットワーク監視装置に対して、不正な接続が行なわれたこと、又は不正に接続してきたネットワーク機器のMACアドレス等を通知する。
一方、いずれかのポート2からケーブルが取り外された場合、ケーブル挿入検知部14が、ポート2に対するケーブルの取り外しを検知し、ケーブルが取り外されたポート2のポート番号と、ケーブルが取り外されたことを示す情報とを制御部10へ通知する。そして、制御部10は、ポート状態管理テーブル13aにおいて、通知されたポート2のレイヤ0状態情報の欄を「非接続」に更新し、これにより、ポート状態管理テーブル13aによって各ポート2,2…に対するケーブルの挿脱状態を管理することができる。
以下に、本実施形態の中継装置1において、いずれかのポート2にケーブルが挿入された場合、又はいずれかのポート2からケーブルが取り外された場合に制御部10が行なう処理についてフローチャートに基づいて説明する。図5及び図6はケーブルの挿脱状態の管理処理の手順を示すフローチャートである。なお、以下の処理は、中継装置1のROM11又はメモリ部13に記憶してある制御プログラムに従って制御部10によって実行される。
中継装置1の制御部10は、ケーブル挿入検知部14によっていずれかのポート2に対するケーブルの挿入を検知したか否かを判断しており(S1)、ケーブルの挿入を検知していないと判断した場合(S1:NO)、ケーブル挿入検知部14によっていずれかのポート2からのケーブルの取り外しを検知したか否かを判断する(S2)。
いずれかのポート2からケーブルの取り外しを検知したと判断した場合(S2:YES)、制御部10は、ポート状態管理テーブル13aにおいて、ケーブルが取り外されたポート2のレイヤ0状態情報を「非接続」に更新し(S3)、ステップS17へ処理を移行する。いずれかのポート2からのケーブルの取り外しを検知していないと判断した場合(S2:NO)、制御部10は、ステップS3の処理をスキップし、ステップS17へ処理を移行する。
ステップS1でケーブルの挿入を検知したと判断した場合(S1:YES)、制御部10は、ポート状態管理テーブル13aにおいて、ケーブルが挿入されたポート2のレイヤ0状態情報を「接続」に更新し(S4)、この時点で時計10aが示す時刻と、通知されたポート2のポート番号とを接続履歴テーブル13bに登録する(S5)。なお、ここで、接続履歴テーブル13bに登録されている履歴情報の数が、閾値データ13cに設定されている最大登録件数に達している場合、制御部10は、例えばネットワークインタフェース16を介してネットワーク監視装置に、その旨を通知する。又は、制御部10は、接続履歴テーブル13bに登録された履歴情報を、ケーブル挿入検知時刻の古いものから順に消去してもよい。
制御部10は、不正接続検知処理部15によって、ステップS1でケーブルの挿入が検知されたポート2が閉塞状態であるか否かを判断する(S6)。閉塞状態でないと判断した場合(S6:NO)、即ちケーブルの挿入が検知されたポート2が開放状態である場合、制御部10は、ネットワークインタフェース16を介して、このポート2に挿入されたケーブルを介して接続された接続相手(ネットワーク機器)のMACアドレスを取得する(S7)。制御部10は、取得したMACアドレスを、ステップS5で接続履歴テーブル13bに登録したケーブル挿入検知時刻及びポート番号に対応させて登録する(S8)。
ケーブルの挿入が検知されたポート2が閉塞状態であると判断した場合(S6:YES)、制御部10は、一時的に隔離されたネットワークとしてポート2の閉塞状態を解除し(S9)、ネットワークインタフェース16を介して、このポート2に挿入されたケーブルを介して接続された接続相手(ネットワーク機器)のMACアドレスを取得する(S10)。そして、制御部10は、ステップS9で閉塞状態を解除したポート2を閉塞状態に設定し(S11)、取得したMACアドレスを、ステップS5で接続履歴テーブル13bに登録したケーブル挿入検知時刻及びポート番号に対応させて登録する(S8)。
制御部10は、上述したように履歴情報を登録した接続履歴テーブル13bに基づく不正接続検知処理を、不正接続検知処理部15によって実行する(S12)。なお、不正接続検知処理の詳細については図7に基づいて後述する。そして、制御部10は、不正接続検知処理部15による不正接続検知処理の結果、不正な接続が行なわれたか否かを判断し(S13)、不正な接続が行なわれたと判断した場合(S13:YES)、ステップS1でケーブルの挿入が検知されたポート2が閉塞状態であるか否かを判断する(S14)。
閉塞状態でないと判断した場合(S14:NO)、制御部10は、このポート2を閉塞状態に設定し(S15)、不正な接続が行なわれた旨を、ネットワークインタフェース16を介してネットワーク監視装置へ通知する(S16)。閉塞状態であると判断した場合(S14:YES)、制御部10は、ステップS15の処理をスキップし、不正な接続が行なわれた旨を、ネットワークインタフェース16を介してネットワーク監視装置へ通知する(S16)。
ステップS13で、不正接続検知処理部15による不正接続検知処理の結果、不正な接続が行なわれていないと判断した場合(S13:NO)、制御部10は、ステップS14〜S16の処理をスキップし、ステップS17へ処理を移行する。
制御部10は、例えば、電源(図示せず)からの電力供給が終了されたか否か、又は中継装置1の管理者による動作終了の指示を受け付けたか否かに基づいて、上述した処理の終了指示を受け付けたか否かを判断しており(S17)、終了指示を受け付けたと判断した場合(S17:YES)、上述した処理を終了し、終了指示を受け付けていないと判断した場合(S17:NO)、ステップS1へ処理を戻し、上述したステップS1〜S17の処理を繰り返す。
以下に、上述したケーブルの挿脱状態の管理処理における不正接続検知処理(図6中のステップS12)についてフローチャートに基づいて説明する。図7は不正接続検知処理の手順を示すフローチャートである。なお、以下の処理は、制御部10からの指示に従って不正接続検知処理部15によって実行される。また、以下では、図4に示した閾値データ13cに基づく処理を例に説明する。即ち、1時間内に同一のMACアドレスのネットワーク機器がケーブルを介して3回接続された場合、不正な接続が行なわれたと判定する。
不正接続検知処理部15は、不正接続検知処理を行なう場合、制御部10の時計10aによって現在時刻を取得する(S21)。不正接続検知処理部15は、接続履歴テーブル13bに登録されている履歴情報から、現在時刻から1時間前までに登録された1時間分の履歴情報を抽出する(S22)。なお、接続履歴テーブル13bに登録されたケーブル挿入検知時刻は、各履歴情報が接続履歴テーブル13bに登録された時刻に一致するので、不正接続検知処理部15は、接続履歴テーブル13bのケーブル挿入検知時刻に基づいて履歴情報を抽出することができる。
不正接続検知処理部15は、抽出した1時間分の履歴情報において、同一のMACアドレス毎に履歴情報の数を計数し(S23)、同一のMACアドレスの履歴情報が3つ以上あるか否かを判断する(S24)。同一のMACアドレスの履歴情報が3つ以上あると判断した場合(S24:YES)、不正接続検知処理部15は、不正な接続が行なわれたと判断し(S25)、その旨を制御部10へ通知して図6に示したケーブルの挿脱状態の管理処理へ処理を戻す。
一方、同一のMACアドレスの履歴情報が3つ以上ないと判断した場合(S24:NO)、不正接続検知処理部15は、不正な接続が行なわれていないと判断し(S26)、その旨を制御部10へ通知して図6に示したケーブルの挿脱状態の管理処理へ処理を戻す。
上述したように、本実施形態の中継装置1では、各ポート2,2…が、ケーブルが電気的に接続されているか否かを検知するレイヤ1の状態検知、及びデータの送受信が可能であるか否かを検知するレイヤ2の状態検知を行なわない閉塞状態に設定されているか否かに拘わらず、ポート状態管理テーブル13aに基づいて、各ポート2,2…に対するケーブルの挿脱状態を確実に把握することができる。従って、正確に把握してある挿脱状態に基づいて、例えば中継装置1に侵入を試みている侵入者が、ポート2,2…に対してケーブルを抜き挿ししている不審な行動を検知することができ、中継装置1に対する侵入の可能性を早期に把握することができる。
また、本実施形態の中継装置1では、不正な接続が行なわれたことを把握した場合に、その旨をネットワーク監視装置へ通知するので、侵入者が、中継装置1のポート2,2…に対してケーブルを抜き挿ししている時点で、その不審な行動を管理者等に通知することができ、また、中継装置1への侵入に対する何らかの対策を早期に講じることができる。例えば、ケーブルを介して不正な接続を行なってきたネットワーク機器のMACアドレスを把握しているので、このネットワーク機器との通信を禁止することにより、中継装置1への侵入を確実に防止することができる。
また、侵入者が中継装置1に対して実際にケーブルを抜き挿ししている時点で、その行動を把握できるので、例えば、この中継機器1が設置されている部屋の鍵を閉めて不審者を監禁することができ、また、この部屋に設けられている防犯用カメラを作動させる等、種々の対応策を講じることができる。
また、本実施形態の中継装置1では、各ポート2,2…に対して実際にケーブルが抜き挿しされている状態を把握できるので、ケーブルを介して中継装置1に接続しているコンピュータから中継装置1に対してリモート操作で何らかの調整処理を行なう場合に、各ポート2,2…に対してケーブルが実際に挿入されているか否かに応じた処理を行なうことができ、中継装置1に対する保守作業及び運用作業の品質及び効率の向上を図ることができる。
上述した中継装置1は、自身のポート2,2…にケーブルが挿脱されたことを監視することによって、不審なケーブルの挿入状態の発生を検知するので、中継装置1が接続されるネットワークの規模、ネットワーク監視装置の性能等には拘わらず、また、ネットワーク監視装置に新たな機能を設けることなく、中継装置1に対する侵入者の行動を早期に把握できる。これにより、ネットワーク全体に対するセキュリティを向上させることができる。また、ネットワーク監視装置を設けていない場合であっても、中継装置1を用いることのみによって、中継装置1を介したネットワークに対するセキュリティを向上させることができる。
上述した中継装置1は、自身のポート2,2…にケーブルが挿脱されたことを監視しており、不審なケーブルの挿入状態が発生した場合にネットワーク監視装置にその旨を通知する。しかし、例えば、中継装置1にランプ又は音声出力部等の報知手段を設け、不審なケーブルの挿入状態が発生した場合にランプの点滅又は警告音の出力等によって、中継装置1の周囲の人に通知(報知)すると共に、侵入者に対して警告を発するようにしてもよい。なお、ネットワーク監視装置を設けていないネットワークにおいては、中継装置1をこのような構成とすることによって、セキュリティの向上が期待できる。
上述した本実施形態の中継装置1は、不正接続検知処理部15によって不正な接続が行なわれたことを検知した場合にのみ、その旨をネットワーク監視装置へ通知していた。しかし、例えば、ケーブル挿入検知部14によって各ポート2,2…に対するケーブルの挿脱を検知する都度、各ポート2,2…に対するケーブルの挿脱状態をネットワーク監視装置へ通知してもよい。この場合、ネットワーク監視装置は、中継装置1における各ポート2,2…に対するケーブルの挿脱状態をも監視することができる。
上述した本実施形態の中継装置1では、各ポート2,2…にケーブルを介して接続された各ネットワーク機器を、各ネットワーク機器のMACアドレスによって管理していた。しかし、各ネットワーク機器を識別できる情報であればMACアドレスに限られない。
本実施形態に係る中継装置の外観を説明するための模式図である。 本実施形態に係る中継装置の構成例を示すブロック図である。 テーブルの登録内容を示す模式図である。 閾値データの内容を示す模式図である。 ケーブルの挿脱状態の管理処理の手順を示すフローチャートである。 ケーブルの挿脱状態の管理処理の手順を示すフローチャートである。 不正接続検知処理の手順を示すフローチャートである。
符号の説明
1 中継装置
10 制御部
10a 時計(時計手段)
2 ポート(ケーブル接続部)
13 メモリ部
13b 接続履歴テーブル(蓄積手段)
14 ケーブル挿入検知部(検出手段)
15 不正接続検知処理部(取得手段)

Claims (6)

  1. ケーブルが挿脱される複数のケーブル接続部と、
    各ケーブル接続部に挿入されたケーブル間の接続を中継する中継手段と、
    各ケーブル接続部に対するケーブルの挿脱を検出する検出手段と、
    該検出手段が検出した各ケーブル接続部に対するケーブルの挿脱状態が予め設定してある所定基準を満たした場合に、不正な接続が行なわれたことを検知する検知手段と
    を備えることを特徴とする中継装置。
  2. 前記検出手段が各ケーブル接続部にケーブルが挿入されたことを検出した場合、該ケーブルを介して接続された機器から、該機器を特定する情報を取得する取得手段と、
    該取得手段が取得した情報を蓄積する蓄積手段とを備え、
    前記検知手段は、前記蓄積手段が蓄積した情報に基づいて、該情報で特定される機器の、各ケーブル接続部に対するケーブルの挿脱状態が前記所定基準を満たした場合に、不正な接続が行なわれたことを検知することを特徴とする請求項1に記載の中継装置。
  3. 時計手段を備え、
    前記蓄積手段は、前記検出手段が各ケーブル接続部にケーブルが挿入されたことを検出した場合、検出した時点で前記時計手段が示した時刻と、前記取得手段が取得した情報とを対応付けて蓄積するように構成されており、
    前記検知手段は、前記蓄積手段が蓄積した情報をさらに用いて、所定時間内に同一の機器を示す情報が所定数以上含まれる場合、不正な接続が行なわれたことを検知するように構成されていることを特徴とする請求項2に記載の中継装置。
  4. 前記ケーブルは、ネットワークケーブルであり、
    前記取得手段において取得する前記機器を特定する情報が、該機器に割り当てられたMACアドレスであることを特徴とする請求項2又は3に記載の中継装置。
  5. 前記検知手段が不正な接続が行なわれたことを検知した場合、その旨を報知する手段を備えることを特徴とする請求項1乃至4のいずれかひとつに記載の中継装置。
  6. ケーブルが挿脱される複数のケーブル接続部と、
    各ケーブル接続部に挿入されたケーブル間の接続を中継する中継手段と、
    各ケーブル接続部にケーブルが挿入されたことを検出する検出手段と、
    該検出手段が各ケーブル接続部にケーブルが挿入されたことを検出した場合、該ケーブルを介して接続された機器から、該機器を特定する情報を取得する取得手段と、
    時計手段と、
    前記検出手段が各ケーブル接続部にケーブルが挿入されたことを検出した場合、検出した時点で前記時計手段が示した時刻と、前記取得手段が取得した情報とを対応付けて蓄積する蓄積手段と、
    所定時間内に同一の機器を示す情報が所定数以上前記蓄積手段に蓄積された場合、不正な接続が行なわれたことを検知する検知手段と
    を備えることを特徴とする中継装置。
JP2007289888A 2007-11-07 2007-11-07 中継装置 Expired - Fee Related JP5163060B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007289888A JP5163060B2 (ja) 2007-11-07 2007-11-07 中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007289888A JP5163060B2 (ja) 2007-11-07 2007-11-07 中継装置

Publications (2)

Publication Number Publication Date
JP2009118253A JP2009118253A (ja) 2009-05-28
JP5163060B2 true JP5163060B2 (ja) 2013-03-13

Family

ID=40784869

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007289888A Expired - Fee Related JP5163060B2 (ja) 2007-11-07 2007-11-07 中継装置

Country Status (1)

Country Link
JP (1) JP5163060B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9517546B2 (en) 2011-09-26 2016-12-13 Saint-Gobain Ceramics & Plastics, Inc. Abrasive articles including abrasive particulate materials, coated abrasives using the abrasive particulate materials and methods of forming
JP7497665B2 (ja) 2020-10-14 2024-06-11 住友金属鉱山株式会社 撹拌槽及び取替え用台座

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012074841A (ja) * 2010-09-28 2012-04-12 Nec Fielding Ltd ネットワーク管理装置及びネットワーク管理装置の制御方法
JP2012142833A (ja) * 2011-01-05 2012-07-26 Nomura Research Institute Ltd 通信装置
JP5912585B2 (ja) * 2012-01-30 2016-04-27 中国電力株式会社 ループ検査装置及びループ検査方法
JP6388436B2 (ja) 2014-08-29 2018-09-12 アライドテレシスホールディングス株式会社 ネットワーク機器、通信方法、プログラム、記録媒体

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11177597A (ja) * 1997-12-11 1999-07-02 Hitachi Cable Ltd 侵入防止機能付きハブ

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9517546B2 (en) 2011-09-26 2016-12-13 Saint-Gobain Ceramics & Plastics, Inc. Abrasive articles including abrasive particulate materials, coated abrasives using the abrasive particulate materials and methods of forming
JP7497665B2 (ja) 2020-10-14 2024-06-11 住友金属鉱山株式会社 撹拌槽及び取替え用台座

Also Published As

Publication number Publication date
JP2009118253A (ja) 2009-05-28

Similar Documents

Publication Publication Date Title
JP5163060B2 (ja) 中継装置
US8819764B2 (en) Network security monitor apparatus and network security monitor system
US9749337B2 (en) System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US7599301B2 (en) Communications network tap with heartbeat monitor
JP5581141B2 (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
CN105981079A (zh) 网络保护
US8976262B2 (en) Methods of connecting network-based cameras to video stations, and corresponding video surveillance systems, video stations, and network-based cameras
JP6481579B2 (ja) 車載通信システム及び監視装置
CN112134893B (zh) 物联网安全防护方法、装置、电子设备及存储介质
JP2020017809A (ja) 通信装置及び通信システム
JP6430356B2 (ja) 検知方法及び検知システム
CN114095258B (zh) 攻击防御方法、装置、电子设备及存储介质
KR101966345B1 (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
JP6872963B2 (ja) 監視カメラシステム
KR20140044970A (ko) 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
CN109768949B (zh) 一种端口扫描处理***、方法及相关装置
KR101666614B1 (ko) 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법
JP4020134B2 (ja) スイッチングハブ装置、ルータ装置
JP2007515100A (ja) ネットワーク内の装置に対する盗用保護のための方法及び装置
KR101420301B1 (ko) DDoS 공격 검출 방법 및 장치
JP4731428B2 (ja) 監視装置、及び受信装置
JP2006135950A (ja) スイッチングハブ装置、ルータ装置
US20130212372A1 (en) Dynamic information exchange for remote security system
JP2005167793A (ja) 送信情報管理システム及び送信情報管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100616

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120330

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120731

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121024

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20121101

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121203

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5163060

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees