JP5333789B2 - Terminal detection apparatus, server apparatus, terminal detection method, and program - Google Patents

Terminal detection apparatus, server apparatus, terminal detection method, and program Download PDF

Info

Publication number
JP5333789B2
JP5333789B2 JP2010221559A JP2010221559A JP5333789B2 JP 5333789 B2 JP5333789 B2 JP 5333789B2 JP 2010221559 A JP2010221559 A JP 2010221559A JP 2010221559 A JP2010221559 A JP 2010221559A JP 5333789 B2 JP5333789 B2 JP 5333789B2
Authority
JP
Japan
Prior art keywords
terminal
port
vlan
mac address
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010221559A
Other languages
Japanese (ja)
Other versions
JP2012080217A (en
Inventor
淳 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010221559A priority Critical patent/JP5333789B2/en
Publication of JP2012080217A publication Critical patent/JP2012080217A/en
Application granted granted Critical
Publication of JP5333789B2 publication Critical patent/JP5333789B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、レイヤー2スイッチを備えるネットワークシステムにおいて、レイヤー2スイッチに間接的に接続された端末の検知に利用される、端末検知装置、サーバ装置、端末検知方法、及びプログラムに関する。   The present invention relates to a terminal detection device, a server device, a terminal detection method, and a program used for detection of a terminal indirectly connected to the layer 2 switch in a network system including a layer 2 switch.

近年、企業等においては、ネットワークでの情報漏洩を防止するため、検疫システムの導入が進められている(例えば、特許文献1参照。)。検疫システムは、ネットワークに接続する端末のセキュリティ状態を判定し、不適切と判定された端末をネットワークから切り離すことによって、ネットワークのセキュリティを保持している。   In recent years, companies and the like have been introducing a quarantine system in order to prevent information leakage on a network (see, for example, Patent Document 1). The quarantine system maintains the security of the network by determining the security state of the terminal connected to the network and disconnecting the terminal determined to be inappropriate from the network.

このような検疫システムでは、一般に、ネットワークの制御をより厳密に行うために、VLAN(Virtual LAN)機能を有するレイヤー2スイッチが利用されている。レイヤー2スイッチは、インターネットプロトコルの通信に利用されるレイヤーよりも低いレイヤー(データリンク層)において、ネットワークを制御している。   In such a quarantine system, a layer 2 switch having a VLAN (Virtual LAN) function is generally used in order to more strictly control the network. The layer 2 switch controls the network in a layer (data link layer) lower than a layer used for Internet protocol communication.

具体的には、検疫システムにおいて、VLAN機能を有するレイヤー2スイッチは、予め、業務用のVLANと隔離用のVLANとを備えている。そして、検疫システムを構成する検疫サーバは、レイヤー2スイッチに接続された端末のセキュリティポリシに従い、その端末をどちらかのVLANに所属させる。   Specifically, in the quarantine system, a layer 2 switch having a VLAN function includes a business VLAN and an isolation VLAN in advance. Then, the quarantine server constituting the quarantine system makes the terminal belong to one of the VLANs according to the security policy of the terminal connected to the layer 2 switch.

つまり、検疫サーバは、レイヤー2スイッチのいずれかのポートに端末が接続されると、SNMP(Simple Network Management Protocol)を利用して、端末のポートへの接続を検知する。そして、検疫サーバは、端末におけるエージェントプログラムのインストールのチェック、セキュリティポリシのチェックなどを実行する。   That is, when a terminal is connected to any port of the layer 2 switch, the quarantine server detects connection to the terminal port using SNMP (Simple Network Management Protocol). Then, the quarantine server executes an agent program installation check, a security policy check, etc. in the terminal.

その後、検疫サーバは、セキュリティポリシを満たす安全な端末のみを業務用のVLANに接続させ、セキュリティポリシを満たさない端末を隔離用のVLANによって隔離する。その後、検疫サーバは、セキュリティポリシを満たさない端末に対して、エージェントプログラムのインストールといった、セキュリティポリシを満たすための処理を施してから、これらを業務用のVLANに接続させる。この結果、ネットワークのセキュリティが保たれる。   Thereafter, the quarantine server connects only secure terminals that satisfy the security policy to the business VLAN, and isolates terminals that do not satisfy the security policy using the isolation VLAN. Thereafter, the quarantine server performs processing for satisfying the security policy, such as installation of an agent program, on a terminal that does not satisfy the security policy, and then connects these to the business VLAN. As a result, network security is maintained.

特開2008−54204号公報JP 2008-54204 A

ところで、上述の検疫システムでは、レイヤー2スイッチの各ポートに、端末が直接接続されることが前提とされている。一方、実際には、各ポートに、端末ではなく、例えば、VLAN機能を持たないハブが接続され、更に、このハブのポートに端末が複数台接続される場合が想定される。   By the way, in the above-described quarantine system, it is assumed that a terminal is directly connected to each port of the layer 2 switch. On the other hand, in reality, it is assumed that not each terminal is connected to each port but, for example, a hub having no VLAN function is connected, and further, a plurality of terminals are connected to this hub port.

このような場合、上述の検疫システムは、VLAN機能を持たないハブに接続された1台目の端末については検知できるが、2台目以降の端末については検知できないため、2台目以降の端末に対しては、セキュリティポリシに基づく隔離及び復旧は不可能となる。   In such a case, the above-described quarantine system can detect the first terminal connected to the hub that does not have the VLAN function, but cannot detect the second and subsequent terminals. However, isolation and recovery based on the security policy is impossible.

また、ネットワークシステムにおけるハブを、全てVLAN機能を有するレイヤー2スイッチに置き換えれば、上記の隔離及び復旧ができない問題は解消されるが、この場合は、従前の資産を有効に生かすことができず、企業等にとってコストがかかってしまう。このため、上述のような場合であっても、端末の接続を確実に検知することが求められている。   In addition, if all the hubs in the network system are replaced with layer 2 switches having a VLAN function, the above-mentioned problem that the isolation and recovery cannot be solved, but in this case, the existing assets cannot be utilized effectively. It costs money for companies. For this reason, even in the case described above, it is required to reliably detect the connection of the terminal.

本発明の目的の一例は、上記問題を解消し、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、1台目に加えて2台目以降の端末の接続も検知し得る、端末検知装置、それを備えたサーバ装置、端末検知方法、及びプログラムを提供することにある。   An example of the object of the present invention is to solve the above-mentioned problem, and when a plurality of terminals are connected to a layer 2 switch port via a concentrator that does not have a VLAN function, An object of the present invention is to provide a terminal detection device, a server device including the terminal detection device, a terminal detection method, and a program capable of detecting connection of second and subsequent terminals.

上記目的を達成するため、本発明の一側面における端末検知装置は、
VLAN機能を有するレイヤー2スイッチを備えたネットワークにおいて発信された、ARPパケットを検出する、ARP検出部と、
前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行し、検出できた場合は、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、接続状態判定部と、を備えていることを特徴とする。 In order to achieve the above object, a terminal detection device according to one aspect of the present invention includes:
An ARP detection unit for detecting an ARP packet transmitted in a network having a layer 2 switch having a VLAN function;
When the ARP packet is detected, detection of a port in which a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered can be performed and detected for the layer 2 switch. A connection state determination unit that determines that a terminal is newly connected to the detected port via a line concentrator that does not have a VLAN function.

また、上記目的を達成するため、本発明の一側面におけるサーバ装置は、VLAN機能を有するレイヤー2スイッチを備えたネットワークの管理を行うサーバ装置であって、
前記ネットワークにおいて発信された、ARPパケットを検出する、ARP検出部と、
前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行し、検出できた場合に、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、接続状態判定部と、を備えていることを特徴とする。 In order to achieve the above object, a server apparatus according to an aspect of the present invention is a server apparatus that manages a network including a layer 2 switch having a VLAN function.
An ARP detector that detects an ARP packet transmitted in the network;
When the ARP packet is detected, detection of a port in which a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered can be performed and detected for the layer 2 switch. A connection state determination unit that determines that a terminal is newly connected to the detected port via a line concentrator that does not have a VLAN function.

更に、上記目的を達成するため、本発明の一側面における端末検知方法は、
(a)VLAN機能を有するレイヤー2スイッチを備えたネットワークにおいて発信された、ARPパケットを検出する、ステップと、
(b)前記(a)のステップで前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行する、ステップと、
(c)前記(b)のステップで前記ポートを検出できた場合に、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、ステップと、を有することを特徴とする。 Furthermore, in order to achieve the above object, a terminal detection method according to one aspect of the present invention includes:
(A) detecting an ARP packet transmitted in a network including a layer 2 switch having a VLAN function;
(B) When the ARP packet is detected in the step (a), a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered based on the ARP packet. Performing the detection of the ports that are present, and
(C) When the port is detected in the step (b), it is determined that a terminal is newly connected to the detected port via a concentrator that does not have a VLAN function. It is characterized by having.

更に、上記目的を達成するため、本発明の一側面におけるプログラムは、
コンピュータに、
(a)VLAN機能を有するレイヤー2スイッチを備えたネットワークにおいて発信された、ARPパケットを検出する、ステップと、
(b)前記(a)のステップで前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行する、ステップと、
(c)前記(b)のステップで前記ポートを検出できた場合に、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、ステップと、を実行させることを特徴とする。 Furthermore, in order to achieve the above object, a program according to one aspect of the present invention is provided.
On the computer,
(A) detecting an ARP packet transmitted in a network including a layer 2 switch having a VLAN function;
(B) When the ARP packet is detected in the step (a), a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered based on the ARP packet. Performing the detection of the ports that are present, and
(C) When the port is detected in the step (b), it is determined that a terminal is newly connected to the detected port via a concentrator that does not have a VLAN function. Are executed.

以上の特徴により、本発明によれば、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、1台目に加えて2台目以降の端末の接続も検知することができる。   As described above, according to the present invention, when a plurality of terminals are connected to the port of the layer 2 switch via a concentrator that does not have a VLAN function, the second unit is added to the first unit. Subsequent terminal connections can also be detected.

図1は、本発明の実施の形態における端末検知装置及びサーバ装置が用いられるネットワークの全体構成を示す図である。FIG. 1 is a diagram showing an overall configuration of a network in which a terminal detection device and a server device in an embodiment of the present invention are used. 図2は、本発明の実施の形態における端末検知装置及びサーバ装置の構成を示すブロック図である。FIG. 2 is a block diagram showing the configuration of the terminal detection device and the server device in the embodiment of the present invention. 図3は、本発明の実施の形態におけるサーバ装置の第1の動作を示すシーケンス図である。FIG. 3 is a sequence diagram showing a first operation of the server device according to the embodiment of the present invention. 図4は、本発明の実施の形態におけるサーバ装置の第2の動作を示すシーケンス図である。FIG. 4 is a sequence diagram showing a second operation of the server device according to the embodiment of the present invention. 図5は、本発明の実施の形態におけるサーバ装置の第3の動作を示すシーケンス図である。FIG. 5 is a sequence diagram showing a third operation of the server device according to the embodiment of the present invention. 図6は、本発明の実施の形態における端末検知装置及びサーバ装置を実現するコンピュータの一例を示すブロック図である。FIG. 6 is a block diagram illustrating an example of a computer that implements the terminal detection device and the server device according to the embodiment of the present invention.

(実施の形態)
以下、本発明の実施の形態における、端末検知装置、サーバ装置、端末検知方法、及びプログラムについて、図1〜図6を参照しながら説明する。最初に、本実施の形態における端末検知装置及びサーバ装置が用いられるネットワークについて図1を用いて説明する。図1は、本発明の実施の形態における端末検知装置及びサーバ装置が用いられるネットワークの全体構成を示す図である。 (Embodiment)
Hereinafter, a terminal detection device, a server device, a terminal detection method, and a program according to an embodiment of the present invention will be described with reference to FIGS. First, a network in which the terminal detection device and the server device in the present embodiment are used will be described with reference to FIG. FIG. 1 is a diagram illustrating an overall configuration of a network in which a terminal detection device and a server device according to an embodiment of the present invention are used.

図1に示すように、本実施の形態では、端末検知装置10は、サーバ装置20に備えられており、サーバ装置20の一部を構成している。サーバ装置20は、ネットワーク70を構成し、ネットワーク70の管理を行っている。また、ネットワーク70は、サーバ装置20に加え、レイヤー2スイッチ30、ハブ40、端末51〜53、業務ネットワーク60を備えている。 As shown in FIG. 1, in this embodiment, the terminal sensing device 10, are gills prepare for the server device 20 constitutes a part of the server device 20. The server device 20 configures the network 70 and manages the network 70. In addition to the server apparatus 20, the network 70 includes a layer 2 switch 30, a hub 40, terminals 51 to 53, and a business network 60.

レイヤー2スイッチ30は、仮想的にネットワークを分割する機能、いわゆる「VLAN機能」を備えている。VLAN機能の具体例としては、国際標準であるIEEE802.1Qに準拠したタグVLAN機能が挙げられる。更に、レイヤー2スイッチ30は、ネットワーク管理プロトコルによってサーバ装置20と通信する機能も備えている。ネットワーク管理プロトコルとしては、インターネット上の業界標準であるRFCで規定されているSNMP(Simple Network Management Protocol)等が挙げられる。   The layer 2 switch 30 has a function of virtually dividing the network, that is, a so-called “VLAN function”. As a specific example of the VLAN function, there is a tag VLAN function compliant with IEEE 802.1Q, which is an international standard. Furthermore, the layer 2 switch 30 also has a function of communicating with the server device 20 using a network management protocol. Examples of the network management protocol include SNMP (Simple Network Management Protocol) defined by RFC, which is an industry standard on the Internet.

また、レイヤー2スイッチ30は、ポート31〜34を備えている。このうち、ポート31には、サーバ装置20が接続されている。ポート31は、複数のタグVLANそれぞれに所属するイーサーネット(登録商標)フレームを送出可能なトランク(Trunk)ポートに設定されている。一方、ポート32〜ポート34は、アクセスポートに設定されている。特に、ポート32及びポート33には、接続される端末の状態に応じて、ポートVLANが設定される。   The layer 2 switch 30 includes ports 31 to 34. Among these, the server device 20 is connected to the port 31. The port 31 is set as a trunk port that can transmit an Ethernet (registered trademark) frame belonging to each of the plurality of tag VLANs. On the other hand, the ports 32 to 34 are set as access ports. In particular, the port VLAN is set in the port 32 and the port 33 according to the state of the connected terminal.

ハブ40は、イーサーネットで構成されたネットワークで利用される集線装置であり、VLAN機能を有していない。ハブ40は、VLAN機能及びSNMP機能を有していないレイヤー2のスイッチと同等であり、ハブ40をこれと置き換えることも可能である。   The hub 40 is a line concentrator used in a network configured by Ethernet and does not have a VLAN function. The hub 40 is equivalent to a layer 2 switch that does not have a VLAN function and an SNMP function, and the hub 40 can be replaced with this.

業務ネットワーク60は、イントラネット等の業務ネットワークであり、業務サーバ及びインターネットへの接続に利用される。また、業務ネットワーク60は、企業の上流ネットワークへのアクセス経路を含んでいても良い。   The business network 60 is a business network such as an intranet, and is used for connection to a business server and the Internet. Further, the business network 60 may include an access path to a company upstream network.

また、図1において、端末51〜53は、それぞれ、ネットワーク70の利用者が利用するコンピュータである。端末51〜53は、ネットワーク70に接続する際、又は接続後の起動時に、同一のネットワークセグメント上でのIPアドレスの重複を確認するため、ARPパケット(Gratuitous ARP)をブロードキャストで発信する。   In FIG. 1, terminals 51 to 53 are computers used by users of the network 70, respectively. The terminals 51 to 53 broadcast ARP packets (Gratuitous ARP) in order to confirm duplication of IP addresses on the same network segment when connecting to the network 70 or at the time of activation after connection.

なお、本実施の形態において、ネットワーク70は、図1の例に限定されるものではない。図1の例では、3つの端末のみが例示されているが、端末の数は限定されるものではない。また、図1の例では、1つのレイヤー2スイッチ30のみが例示されているが、レイヤー2スイッチ30の数も限定されるものではない。   In the present embodiment, the network 70 is not limited to the example of FIG. In the example of FIG. 1, only three terminals are illustrated, but the number of terminals is not limited. In the example of FIG. 1, only one layer 2 switch 30 is illustrated, but the number of layer 2 switches 30 is not limited.

続いて、本実施の形態における端末検知装置及びサーバ装置の構成について図2を用いて説明する。図2は、本発明の実施の形態における端末検知装置及びサーバ装置の構成を示すブロック図である。   Then, the structure of the terminal detection apparatus and server apparatus in this Embodiment is demonstrated using FIG. FIG. 2 is a block diagram showing the configuration of the terminal detection device and the server device in the embodiment of the present invention.

図2に示すように、端末検知装置10は、上述したようにサーバ装置20の一部を構成し、ARP(Address Resolution Protocol)検出部11と、接続状態判定部12とを備えている。このうち、ARP検出部11は、VLAN機能を有するレイヤー2スイッチ30を備えたネットワーク70において発信された、ARPパケットを検出する。つまり、いずれかの端末がネットワーク70上でARPパケットを発信すると、ARP検出部11は、これを検出する。   As shown in FIG. 2, the terminal detection device 10 constitutes a part of the server device 20 as described above, and includes an ARP (Address Resolution Protocol) detection unit 11 and a connection state determination unit 12. Among these, the ARP detection unit 11 detects the ARP packet transmitted in the network 70 including the layer 2 switch 30 having the VLAN function. That is, when any terminal transmits an ARP packet on the network 70, the ARP detection unit 11 detects this.

接続状態判定部12は、ARPパケットが検出されると、検出したARPパケットに基づいて、レイヤー2スイッチ30を対象として、ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行する。そして、複数のMACアドレスが登録されているポートが検出されたとすると、このことは、検出されたポートには、ARPパケットの送信元の端末を入れて複数の端末が、VLAN機能を有していない集線装置を介して接続されていることを意味している。   When the ARP packet is detected, the connection state determination unit 12 registers a plurality of MAC addresses including the MAC address of the ARP packet source for the layer 2 switch 30 based on the detected ARP packet. Perform port discovery. If a port where a plurality of MAC addresses are registered is detected, this means that the detected port has a terminal that is the source of the ARP packet, and the plurality of terminals have a VLAN function. It means that there is no connection through the concentrator.

従って、接続状態判定部12は、複数のMACアドレスが登録されているポートを検出した場合は、検出されたポートに、VLAN機能を有していない集線装置(図1の例ではハブ40)を介して、新たに端末が接続されたと判定する。このように、端末検知装置10は、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、1台目に加えて2台目以降の端末の接続も検知することができる。   Therefore, when the connection state determination unit 12 detects a port in which a plurality of MAC addresses are registered, a concentrator (a hub 40 in the example of FIG. 1) that does not have a VLAN function is detected at the detected port. It is determined that a terminal is newly connected through the network. As described above, when a plurality of terminals are connected to the port of the layer 2 switch via a line concentrator that does not have a VLAN function, the terminal detection device 10 adds the first device and the second and subsequent devices. It is also possible to detect the connection of other terminals.

ここで、端末検知装置10及びサーバ装置20の構成について更に具体的に説明する。本実施の形態では、図2に示すように、端末検知装置10において、接続状態判定部12は、IP/MACアドレス抽出部13と、接続検出部14とを備えている。   Here, the configurations of the terminal detection device 10 and the server device 20 will be described more specifically. In the present embodiment, as shown in FIG. 2, in the terminal detection device 10, the connection state determination unit 12 includes an IP / MAC address extraction unit 13 and a connection detection unit 14.

IP/MACアドレス抽出部13は、検出されたARPパケットから、ARPパケットの発信元のIPアドレス及びMACアドレスを抽出し、抽出したIPアドレス及びMACアドレスを接続検出部14に通知する。   The IP / MAC address extraction unit 13 extracts the IP address and MAC address of the ARP packet source from the detected ARP packet, and notifies the connection detection unit 14 of the extracted IP address and MAC address.

接続検出部14は、先ず、通知されたIPアドレスから、発信元の端末が接続されたレイヤー2スイッチ30を特定し、そのMACアドレステーブルを取得する。そして、接続検出部14は、通知されたMACアドレスをレイヤー2スイッチのMACアドレステーブルに照合することによって、ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行する。ポートが検出された場合は、接続検出部14は、ハブ40を介して、新たに端末が接続されたと判定する。   First, the connection detection unit 14 identifies the layer 2 switch 30 to which the source terminal is connected from the notified IP address, and acquires its MAC address table. Then, the connection detection unit 14 compares the notified MAC address with the MAC address table of the layer 2 switch to detect a port in which a plurality of MAC addresses including the MAC address of the ARP packet source are registered. Run. If a port is detected, the connection detection unit 14 determines that a new terminal has been connected via the hub 40.

また、図2に示すように、サーバ装置20は、端末検知装置10の他に、VLAN設定部21と、接続通知受取部22と、端末判定部23とを備えている。このうち、VLAN設定部21は、外部からのシステム管理者の指示に応じて、又は端末判定部23の指示に応じて、レイヤー2スイッチ30の各ポート(アクセスポート)が接続されるVLANを設定する。   As shown in FIG. 2, the server device 20 includes a VLAN setting unit 21, a connection notification receiving unit 22, and a terminal determination unit 23 in addition to the terminal detection device 10. Among these, the VLAN setting unit 21 sets a VLAN to which each port (access port) of the layer 2 switch 30 is connected according to an instruction from the system administrator from the outside or according to an instruction from the terminal determination unit 23. To do.

本実施の形態では、レイヤー2スイッチ30は、検疫のための隔離用VLANと、業務ネットワーク60への接続を可能にする業務用VLANとを設定可能となっている。VLAN設定部21は、外部からのシステム管理者の指示に応じて、又は端末判定部23の指示に応じて、各ポート(アクセスポート)のVLAN番号(VLAN ID)を、隔離用VLANのVLAN番号又は業務用VLANのVLAN番号に設定する。   In the present embodiment, the layer 2 switch 30 can set an isolation VLAN for quarantine and a business VLAN that enables connection to the business network 60. The VLAN setting unit 21 determines the VLAN number (VLAN ID) of each port (access port) according to an instruction from the system administrator from the outside or according to an instruction from the terminal determination unit 23, and the VLAN number of the isolation VLAN. Alternatively, it is set to the VLAN number of the business VLAN.

接続通知受取部21は、レイヤー2スイッチ30のポート(アクセスポート)に直接端末が接続された場合に、レイヤー2スイッチ3から、端末の接続を知らせる通知を受け取る。本実施の形態では、接続通知受取部21は、レイヤー2スイッチ30のポート33に、端末53が接続されると、レイヤー2スイッチ3から、そのことを知らせる通知を受け取る。また、接続通知受取部21は、受け取った通知を端末判定部23に入力する。 Connection notification receiving unit 21, when the terminal is connected directly to a port of the layer 2 switch 30 (access port), the Layer 2 switch 3 0 receives notification that the connection to the terminal. In this embodiment, connection notification receiving unit 21, the port 33 of the layer 2 switch 30, the terminal 53 is connected, the layer 2 switch 3 0 receives notification that his. The connection notification receiving unit 21 inputs the received notification to the terminal determination unit 23.

端末判定部23は、レイヤー2スイッチ30のポートに直接又は間接的に接続された端末と通信し、この端末のセキュリティ状態を判定する。そして、判定の結果、例えば、ポートに直接接続されている端末が安全な場合は、端末判定部23は、VLAN設定部21に指示を行い、この端末が接続されているポートのVLANを業務用VLANに設定させる。また、判定の結果、例えば、ポートに直接接続されている端末が安全でない場合は、端末判定部23は、VLAN設定部21に指示を行い、端末が接続されているポートのVLANを隔離用VLANに設定させる。更に、この場合は、端末判定部23は、検疫ネットワークを構成する検疫サーバ(図1及び図2において図示せず)に、上記の端末を対象として検疫処理を行わせる。   The terminal determination unit 23 communicates with a terminal directly or indirectly connected to the port of the layer 2 switch 30, and determines the security state of this terminal. As a result of the determination, for example, when the terminal directly connected to the port is safe, the terminal determination unit 23 instructs the VLAN setting unit 21 to use the VLAN of the port to which the terminal is connected for business use. Set to VLAN. As a result of the determination, for example, if the terminal directly connected to the port is not secure, the terminal determination unit 23 instructs the VLAN setting unit 21 to isolate the VLAN of the port to which the terminal is connected as an isolation VLAN. To set. Further, in this case, the terminal determination unit 23 causes a quarantine server (not shown in FIGS. 1 and 2) that configures the quarantine network to perform the quarantine process on the above-described terminal.

次に、本発明の実施の形態におけるサーバ装置20、更には端末検知装置10の動作について図3〜図5を用いて説明する。なお、以下の説明においては、適宜図1及び図2を参酌する。また、本実施の形態1では、端末検知装置10を動作させることによって、端末検知方法が実施されるので、本実施の形態における端末検知方法の説明は、以下の端末検知装置10の動作説明に代える。   Next, operations of the server device 20 and the terminal detection device 10 according to the embodiment of the present invention will be described with reference to FIGS. In the following description, FIGS. 1 and 2 are referred to as appropriate. Moreover, in this Embodiment 1, since a terminal detection method is implemented by operating the terminal detection apparatus 10, description of the terminal detection method in this Embodiment is operation | movement description of the terminal detection apparatus 10 below. Replace.

最初に、図3を用いて、サーバ装置20の第1の動作について説明する。図3は、本発明の実施の形態におけるサーバ装置の第1の動作を示すシーケンス図である。第1の動作は、サーバ装置20が通常行う動作であり、この場合において端末検知装置10は動作を停止した状態にある。   Initially, the 1st operation | movement of the server apparatus 20 is demonstrated using FIG. FIG. 3 is a sequence diagram showing a first operation of the server device according to the embodiment of the present invention. The first operation is an operation that the server device 20 normally performs. In this case, the terminal detection device 10 is in a stopped state.

図3に示すように、先ず、システム管理者からの指示により、サーバ装置20のVLAN設定部21は、レイヤー2スイッチ30のポート(アクセスポート)32及びポート(アクセスポート)33それぞれのVLAN番号(VLAN ID)を隔離用VLANのVLAN番号に設定する(ステップC1)。   As shown in FIG. 3, first, according to an instruction from the system administrator, the VLAN setting unit 21 of the server device 20 performs the VLAN numbers (port (access port) 32 and port (access port) 33 of the layer 2 switch 30. VLAN ID) is set to the VLAN number of the isolation VLAN (step C1).

本例では、ポート32のVLAN番号(VLAN ID)は、隔離用VLANのVLAN番号である「10」に設定され、ポート33のVLAN番号(VLAN ID)は、隔離用VLANのVLAN番号である「20」に設定される。ステップC1の実行により、各アクセスポートに端末が接続された場合、各端末は、隔離用VLANに接続されることとなる。   In this example, the VLAN number (VLAN ID) of the port 32 is set to “10” which is the VLAN number of the isolation VLAN, and the VLAN number (VLAN ID) of the port 33 is “VLAN number of the isolation VLAN”. 20 ". When a terminal is connected to each access port by executing Step C1, each terminal is connected to the isolation VLAN.

次に、端末53が、レイヤー2スイッチ30のポート(アクセスポート)33に接続される(ステップC2)と、レイヤー2スイッチ30は、ネットワーク管理プロトコル(SNMP)を利用して、そのことを、サーバ装置20の接続通知受取部22に通知する(ステップC3)。   Next, when the terminal 53 is connected to the port (access port) 33 of the layer 2 switch 30 (step C2), the layer 2 switch 30 uses the network management protocol (SNMP) to send it to the server. The connection notification receiving unit 22 of the device 20 is notified (step C3).

接続通知受取部22は、ポート(アクセスポート)33に接続された端末53がセキュリティポリシ等を満たしているかを判定するため、ポート33に割り当てられているVLANの番号(この場合は「20」)を端末判定部23に通知する(ステップC4)。   The connection notification receiving unit 22 determines whether the terminal 53 connected to the port (access port) 33 satisfies the security policy or the like, and the VLAN number assigned to the port 33 (in this case, “20”). Is notified to the terminal determination unit 23 (step C4).

サーバ装置20は、レイヤー2スイッチ30に設定された全てのVLANと通信できるので、端末判定部23は、VLAN番号が「20」のネットワークに接続されている端末53と通信し、端末53にセキュリティポリシの検査を実行させる(ステップC5)。その後、端末53は、端末判定部23に、セキュリティポリシの検査結果を送信する(ステップC6)。   Since the server device 20 can communicate with all the VLANs set in the layer 2 switch 30, the terminal determination unit 23 communicates with the terminal 53 connected to the network whose VLAN number is “20”, and the terminal 53 has security. Policy inspection is executed (step C5). Thereafter, the terminal 53 transmits the inspection result of the security policy to the terminal determination unit 23 (step C6).

ステップC6で得られた検査結果から、端末53が安全であると判断できる場合は、端末判定部23は、VLAN設定部21に対して、レイヤー2スイッチ30のポート(アクセスポート)33が業務VLANに所属するように、VLAN設定を通知する(ステップC7)。   When the terminal 53 can determine that the terminal 53 is safe from the inspection result obtained in step C6, the terminal determination unit 23 determines that the port (access port) 33 of the layer 2 switch 30 is the business VLAN with respect to the VLAN setting unit 21. The VLAN setting is notified so as to belong to (step C7).

ステップC7が実行されると、VLAN設定部21は、レイヤー2スイッチ30のポート(アクセスポート)33のVLAN番号を、業務VLAN用のVLAN番号に設定する(ステップC8)。なお、ステップC6で得られた検査結果から、端末53が安全でないと判断できた場合は、端末判定部23は、検疫サーバ(図1〜図3において図示せず)に検疫処理を実行させる。   When step C7 is executed, the VLAN setting unit 21 sets the VLAN number of the port (access port) 33 of the layer 2 switch 30 to the VLAN number for the business VLAN (step C8). If the terminal 53 can be determined to be unsafe from the inspection result obtained in step C6, the terminal determination unit 23 causes the quarantine server (not shown in FIGS. 1 to 3) to execute the quarantine process.

次に、図4を用いて、サーバ装置20の第2の動作について説明する。図4は、本発明の実施の形態におけるサーバ装置の第2の動作を示すシーケンス図である。第2の動作は、主に端末検知装置10によって行われ、VLAN機能を有していないハブ40に一台の端末が接続された場合の動作である。   Next, the second operation of the server device 20 will be described with reference to FIG. FIG. 4 is a sequence diagram showing a second operation of the server device according to the embodiment of the present invention. The second operation is performed mainly by the terminal detection device 10 and is performed when one terminal is connected to the hub 40 that does not have a VLAN function.

図4に示すように、先ず、ポート(アクセスポート)32に、VLAN機能を持たないハブ40が接続される(ステップC9)。この時、ステップC1で述べたように、ポート(アクセスポート)32には、隔離用VLANのVLAN番号「10」が割り当てられている。   As shown in FIG. 4, first, a hub 40 having no VLAN function is connected to a port (access port) 32 (step C9). At this time, as described in Step C1, the VLAN number “10” of the isolation VLAN is assigned to the port (access port) 32.

次に、VLAN機能を持たないハブ40に、端末51が接続される(ステップC10)。この場合、VLAN機能を持たないハブ40が、端末51とレイヤー2スイッチ30との間に挿入されているため、端末51の種類によっては、サーバ装置20の接続通知受取部22に端末51の接続が通知されないことがある。   Next, the terminal 51 is connected to the hub 40 having no VLAN function (step C10). In this case, since the hub 40 having no VLAN function is inserted between the terminal 51 and the layer 2 switch 30, depending on the type of the terminal 51, the connection of the terminal 51 to the connection notification receiving unit 22 of the server device 20 is possible. May not be notified.

次に、端末51は、ネットワークに接続されると、ARPパケット(Gratuitous ARP)をブロードキャストする(ステップC11)。ステップC11が実行されると、端末検知装置10のARP検出部11は、そのARPパケット(Gratuitous ARP)を検出する(ステップC11)。そして、ARP検出部11は、検出したARPパケット(Gratuitous ARP)を、IP/MACアドレス抽出部13に渡す。   Next, when the terminal 51 is connected to the network, it broadcasts an ARP packet (Gratuitous ARP) (step C11). When step C11 is executed, the ARP detector 11 of the terminal detection apparatus 10 detects the ARP packet (Gratuitous ARP) (step C11). Then, the ARP detection unit 11 passes the detected ARP packet (Gratuitous ARP) to the IP / MAC address extraction unit 13.

次に、IP/MACアドレス抽出部13は、ARP検出部11から受け取ったARPパケット(Gratuitous ARP)から、端末51のIPアドレスとMACアドレスとを抽出する(ステップC12)。そして、IP/MACアドレス抽出部13は、抽出したIPアドレスとMACアドレスとを接続検出部14に通知する(ステップC13)。   Next, the IP / MAC address extraction unit 13 extracts the IP address and the MAC address of the terminal 51 from the ARP packet (Gratuitous ARP) received from the ARP detection unit 11 (step C12). Then, the IP / MAC address extraction unit 13 notifies the connection detection unit 14 of the extracted IP address and MAC address (step C13).

次に、接続検出部14は、通知されたIPアドレスから、発信元の端末が接続されたレイヤー2スイッチ30を特定し、特定したレイヤー2スイッチ30に、MACアドレステ-ブルの取得を依頼する(ステップC14)。そして、接続検出部14は、依頼を受けたレイヤー2スイッチ30から、各アクセスポートのMACアドレスを示すMACアドレステーブルを取得する(ステップC15)。   Next, the connection detection unit 14 identifies the layer 2 switch 30 to which the source terminal is connected from the notified IP address, and requests the identified layer 2 switch 30 to acquire the MAC address table. (Step C14). Then, the connection detection unit 14 acquires a MAC address table indicating the MAC address of each access port from the requested layer 2 switch 30 (step C15).

更に、接続検出部14は、ステップC12で抽出されたMACアドレスが登録されているポートの検出を行い、検出結果を端末判定部23に通知する。図4の例では、ハブ40に端末51のみが接続されているため、接続検出部14は、ステップC12で抽出されたMACアドレスのみが登録されている1つのポート(アクセスポート)を検出することとなる。   Further, the connection detection unit 14 detects the port in which the MAC address extracted in step C12 is registered, and notifies the terminal determination unit 23 of the detection result. In the example of FIG. 4, since only the terminal 51 is connected to the hub 40, the connection detection unit 14 detects one port (access port) in which only the MAC address extracted in step C12 is registered. It becomes.

レイヤー2スイッチ30のポート32に一つのMACアドレスのみが登録されている場合は、端末判定部23は、このMACアドレスを持つ端末51と通信を行う。そして、端末判定部23は、端末51にセキュリティポリシの検査を実行させる(ステップC17)。その後、端末51は、端末判定部23に、セキュリティポリシの検査結果を送信する(ステップC18)。   When only one MAC address is registered in the port 32 of the layer 2 switch 30, the terminal determination unit 23 communicates with the terminal 51 having this MAC address. And the terminal determination part 23 makes the terminal 51 perform a test | inspection of a security policy (step C17). Thereafter, the terminal 51 transmits the inspection result of the security policy to the terminal determination unit 23 (step C18).

ステップC18で得られた検査結果から、端末51が安全であると判断できる場合は、端末判定部23は、VLAN設定部21に対して、レイヤー2スイッチ30のポート(アクセスポート)32が業務VLANに所属するように、VLAN設定を通知する(ステップC19)。   If the terminal 51 can determine that the terminal 51 is safe from the inspection result obtained in step C18, the terminal determination unit 23 sets the port (access port) 32 of the layer 2 switch 30 to the business VLAN with respect to the VLAN setting unit 21. The VLAN setting is notified so as to belong to (step C19).

ステップC19が実行されると、VLAN設定部21は、レイヤー2スイッチ30のポート(アクセスポート)32のVLAN番号を、業務VLAN用のVLAN番号に設定する(ステップC20)。なお、ステップC18で得られた検査結果から、端末51が安全でないと判断できた場合は、端末判定部23は、検疫サーバ(図1〜図3において図示せず)に検疫処理を実行させる。   When step C19 is executed, the VLAN setting unit 21 sets the VLAN number of the port (access port) 32 of the layer 2 switch 30 to the VLAN number for the business VLAN (step C20). In addition, when it can be judged from the inspection result obtained in step C18 that the terminal 51 is not safe, the terminal determination unit 23 causes the quarantine server (not shown in FIGS. 1 to 3) to execute the quarantine process.

続いて、図5を用いて、サーバ装置20の第3の動作について説明する。図5は、本発明の実施の形態におけるサーバ装置の第3の動作を示すシーケンス図である。第3の動作も、第2の動作と同様に、主に端末検知装置10によって行われる動作である。但し、第3の動作は、第2の動作と異なり、VLAN機能を有していないハブ40に新たに端末が接続され、それに接続されている端末が複数台となった場合の動作である。   Subsequently, a third operation of the server device 20 will be described with reference to FIG. FIG. 5 is a sequence diagram showing a third operation of the server device according to the embodiment of the present invention. The third operation is also an operation mainly performed by the terminal detection device 10 as in the second operation. However, unlike the second operation, the third operation is an operation when a terminal is newly connected to the hub 40 that does not have the VLAN function and a plurality of terminals are connected to the hub.

図5に示すように、先ず、VLAN機能を持たないハブ40に、端末51に加えて、端末52が接続される(ステップC21)。このとき、図4におけるステップC19及びC20に示したように、VLAN機能を持たないハブ40に、既に、セキュリティポリシを満たす端末51が接続されているため、ポート(アクセスポート)32は業務用VLANに割り当てられている。   As shown in FIG. 5, first, in addition to the terminal 51, the terminal 52 is connected to the hub 40 having no VLAN function (step C21). At this time, as shown in steps C19 and C20 in FIG. 4, since the terminal 51 satisfying the security policy is already connected to the hub 40 having no VLAN function, the port (access port) 32 is set to the business VLAN. Assigned to.

次に、端末52は、業務用VLANに直接接続されているため、ARPパケット(Gratuitous ARP)をブロードキャストする(ステップC22)。このとき、端末52は、未だセキュリティポリシの検査を受けていない状態であるため、ネットワーク70のセキュリティレベルが確保されていないとも考えられるが、以下の各ステップにより、セキュリティレベルは確保される。   Next, since the terminal 52 is directly connected to the business VLAN, the terminal 52 broadcasts an ARP packet (Gratuitous ARP) (step C22). At this time, since the terminal 52 is not yet inspected for the security policy, it can be considered that the security level of the network 70 is not secured, but the security level is secured by the following steps.

ステップC22が実行されると、端末検知装置10のARP検出部11は、そのARPパケット(Gratuitous ARP)を検出する。そして、ARP検出部11は、検出したARPパケット(Gratuitous ARP)を、IP/MACアドレス抽出部13に渡す。   When step C22 is executed, the ARP detector 11 of the terminal detection apparatus 10 detects the ARP packet (Gratuitous ARP). Then, the ARP detection unit 11 passes the detected ARP packet (Gratuitous ARP) to the IP / MAC address extraction unit 13.

次に、IP/MACアドレス抽出部13は、ARP検出部11から受け取ったARPパケット(Gratuitous ARP)から、端末52のIPアドレスとMACアドレスとを抽出する(ステップC23)。そして、IP/MACアドレス抽出部13は、抽出したIPアドレスとMACアドレスとを接続検出部14に通知する
(ステップC24)。 Next, the IP / MAC address extraction unit 13 extracts the IP address and the MAC address of the terminal 52 from the ARP packet (Gratuitous ARP) received from the ARP detection unit 11 (step C23). Then, the IP / MAC address extraction unit 13 notifies the connection detection unit 14 of the extracted IP address and MAC address (step C24).

次に、接続検出部14は、通知されたIPアドレスから、発信元の端末52が接続されたレイヤー2スイッチ30を特定し、特定したレイヤー2スイッチ30に、MACアドレステーブルの取得を依頼する(ステップC25)。そして、接続検出部14は、依頼を受けたレイヤー2スイッチ30から、各アクセスポートのMACアドレスを示すMACアドレステーブルを取得する(ステップC26)。   Next, the connection detection unit 14 identifies the layer 2 switch 30 to which the source terminal 52 is connected from the notified IP address, and requests the identified layer 2 switch 30 to acquire the MAC address table ( Step C25). Then, the connection detection unit 14 acquires a MAC address table indicating the MAC address of each access port from the requested layer 2 switch 30 (step C26).

更に、接続検出部14は、ステップC12で抽出されたMACアドレスが登録されているポートの検出を行い、検出結果を端末判定部23に通知する(ステップC27)。図5の例では、ハブ40に端末51に加えて、端末52も接続されているため、接続検出部14は、ステップC23で抽出されたMACアドレスを含む複数のMACアドレスが登録されている1つのポート(アクセスポート)を検出することとなる。この場合、接続検出部14は、ハブ40を介して、新たに端末が接続されたと判定する。   Furthermore, the connection detection unit 14 detects the port in which the MAC address extracted in step C12 is registered, and notifies the terminal determination unit 23 of the detection result (step C27). In the example of FIG. 5, since the terminal 52 is connected to the hub 40 in addition to the terminal 51, the connection detection unit 14 registers a plurality of MAC addresses including the MAC address extracted in step C23. One port (access port) will be detected. In this case, the connection detection unit 14 determines that a new terminal is connected via the hub 40.

次に、端末判定部23は、新たに接続された端末52と通信を行う。そして、端末判定部23は、端末52にセキュリティポリシの検査を実行させる(ステップC28)。その後、端末52は、端末判定部23に、セキュリティポリシの検査結果を送信する(ステップC29)。   Next, the terminal determination unit 23 communicates with the newly connected terminal 52. Then, the terminal determination unit 23 causes the terminal 52 to execute a security policy check (step C28). Thereafter, the terminal 52 transmits the inspection result of the security policy to the terminal determination unit 23 (step C29).

ステップC29で得られた検査結果から、端末52が安全であると判断できる場合は、端末判定部23は、VLAN設定部21に対して、ポート32においては、図4に示したステップC19で通知したVLAN設定が維持されるように、VLAN設定を通知する(ステップC30)。VLAN設定部21は、通知に従って、レイヤー2スイッチ30のポート(アクセスポート)32のVLANを設定する(ステップC31)。   If the terminal 52 can determine that the terminal 52 is safe from the inspection result obtained in step C29, the terminal determination unit 23 notifies the VLAN setting unit 21 in step C19 shown in FIG. The VLAN setting is notified so that the set VLAN setting is maintained (step C30). The VLAN setting unit 21 sets the VLAN of the port (access port) 32 of the layer 2 switch 30 in accordance with the notification (step C31).

一方、ステップC29で得られた検査結果から、端末52が安全でないと判断できる場合は、端末判定部23は、端末52のみを隔離する必要がある。例えば、端末判定部23は、端末51に対しては、イーサーネットフレームに、端末51が送信元であることを示すタグを付けるように指示を行う。そして、端末判定部23は、ポート32をトランクポートに設定し、更に、VLAN設定部21に指示を行って、ポート32を隔離用VLANと業務用VLANとの両方に接続させる。また、端末判定部23は、レイヤー2スイッチ30に対しては、ポート32を通るイーサーネットフレームのうち、タグ付きのイーサーネットフレームのみが業務用VLANを介して送信されるように指示を行う。   On the other hand, if it can be determined from the inspection result obtained in step C29 that the terminal 52 is not safe, the terminal determination unit 23 needs to isolate only the terminal 52. For example, the terminal determination unit 23 instructs the terminal 51 to attach a tag indicating that the terminal 51 is the transmission source to the Ethernet frame. Then, the terminal determination unit 23 sets the port 32 as a trunk port, and further instructs the VLAN setting unit 21 to connect the port 32 to both the isolation VLAN and the business VLAN. Further, the terminal determination unit 23 instructs the layer 2 switch 30 so that only the tagged Ethernet frame among the Ethernet frames passing through the port 32 is transmitted via the business VLAN.

以上のように、本実施の形態によれば、VLAN機能を持たないハブ40の配下に2台以上の端末が接続された場合において、これらの端末の接続を検知することができる。このため、VLAN機能を有していない集線装置がネットワークに組み込まれていたとしても、検疫システムを確実に動作させることができる。つまり、企業等は、VLAN機能を有していないハブを多数所有していたとしても、これらを高価なレイヤー2スイッチに置き換えることなく、セキュリティポリシによる端末の隔離及び復旧といった検疫処理を実現できる。   As described above, according to the present embodiment, when two or more terminals are connected under the hub 40 having no VLAN function, the connection of these terminals can be detected. For this reason, even if a line concentrator that does not have a VLAN function is incorporated in the network, the quarantine system can be operated reliably. That is, even if a company or the like owns a large number of hubs that do not have a VLAN function, quarantine processing such as terminal isolation and recovery based on a security policy can be realized without replacing these with expensive layer 2 switches.

また、本実施の形態におけるプログラムは、コンピュータに、図4に示すステップC12〜C16、及び図5に示すステップC23〜C27を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、端末検知装置10と端末検知方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、ARP検出部11及び接続状態判定部12として機能し、処理を行なう。また、本実施の形態では、コンピュータは、サーバ装置20を実現しているコンピュータであっても良い。   Moreover, the program in this Embodiment should just be a program which makes a computer perform step C12-C16 shown in FIG. 4, and step C23-C27 shown in FIG. By installing and executing this program on a computer, the terminal detection device 10 and the terminal detection method can be realized. In this case, a CPU (Central Processing Unit) of the computer functions as the ARP detection unit 11 and the connection state determination unit 12 to perform processing. In the present embodiment, the computer may be a computer that implements the server device 20.

ここで、実施の形態におけるプログラムを実行でき、且つ、端末検知装置10、更にはサーバ装置20を実現できるコンピュータについて図6を用いて説明する。図6は、本発明の実施の形態における端末検知装置及びサーバ装置を実現するコンピュータの一例を示すブロック図である。   Here, a computer capable of executing the program in the embodiment and realizing the terminal detection apparatus 10 and further the server apparatus 20 will be described with reference to FIG. FIG. 6 is a block diagram illustrating an example of a computer that implements the terminal detection device and the server device according to the embodiment of the present invention.

図6に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。   As shown in FIG. 6, the computer 110 includes a CPU 111, a main memory 112, a storage device 113, an input interface 114, a display controller 115, a data reader / writer 116, and a communication interface 117. These units are connected to each other via a bus 121 so that data communication is possible.

CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。   The CPU 111 performs various calculations by developing the program (code) in the present embodiment stored in the storage device 113 in the main memory 112 and executing them in a predetermined order. The main memory 112 is typically a volatile storage device such as a DRAM (Dynamic Random Access Memory). Further, the program in the present embodiment is provided in a state of being stored in a computer-readable recording medium 120. Note that the program in the present embodiment may be distributed on the Internet connected via the communication interface 117.

また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。   Specific examples of the storage device 113 include a hard disk and a semiconductor storage device such as a flash memory. The input interface 114 mediates data transmission between the CPU 111 and an input device 118 such as a keyboard and a mouse. The display controller 115 is connected to the display device 119 and controls display on the display device 119. The data reader / writer 116 mediates data transmission between the CPU 111 and the recording medium 120, and reads a program from the recording medium 120 and writes a processing result in the computer 110 to the recording medium 120. The communication interface 117 mediates data transmission between the CPU 111 and another computer.

また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。   Specific examples of the recording medium 120 include general-purpose semiconductor storage devices such as CF (Compact Flash) and SD (Secure Digital), magnetic storage media such as a flexible disk, or CD-ROM (Compact Disk). Optical storage media such as Read Only Memory).

以上のように、本発明によれば、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、1台目に加えて2台目以降の端末の接続も検知できる。本発明は、VLAN機能を有していない集線装置と、VLAN機能を有しているレイヤー2スイッチとが混在している、ネットワークに、特に有用である。   As described above, according to the present invention, when a plurality of terminals are connected to a port of a layer 2 switch via a concentrator that does not have a VLAN function, the second unit is added to the first unit. Subsequent terminal connections can also be detected. The present invention is particularly useful for a network in which a line concentrator that does not have a VLAN function and a layer 2 switch that has a VLAN function are mixed.

10 端末検知装置
11 ARP検出部
12 接続状態判定部
13 IP/MACアドレス抽出部
14 接続検出部
20 サーバ装置
21 VLAN設定部
22 接続通知受取部
23 端末判定部
30 レイヤー2スイッチ
31、32、33、34 ポート
40 ハブ
51、52、53 端末
60 業務ネットワーク
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
DESCRIPTION OF SYMBOLS 10 Terminal detection apparatus 11 ARP detection part 12 Connection state determination part 13 IP / MAC address extraction part 14 Connection detection part 20 Server apparatus 21 VLAN setting part 22 Connection notification receiving part 23 Terminal determination part 30 Layer 2 switch 31, 32, 33, 34 port 40 hub 51, 52, 53 terminal 60 business network 110 computer 111 CPU
112 Main Memory 113 Storage Device 114 Input Interface 115 Display Controller 116 Data Reader / Writer 117 Communication Interface 118 Input Device 119 Display Device 120 Recording Medium 121 Bus

Claims (8)

VLAN機能を有するレイヤー2スイッチを備えたネットワークにおいて発信された、ARPパケットを検出する、ARP検出部と、
前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行し、検出できた場合は、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、接続状態判定部と、
前記接続状態判定部によって、前記集線装置を介して前記新たに端末が接続されたと判定された場合に、新たに接続された前記端末に対して、セキュリティポリシの検査を実行させる、端末判定部と、
を備え
前記端末判定部は、前記セキュリティポリシの検査の結果、隔離の必要がある場合に、前記集線装置に先に接続されている端末に対して、イーサーネットフレームにタグを付けるよう指示を行い、
前記集線装置が接続されているポートに、隔離用のVLANと業務用のVLANとを接続し、
そして、前記レイヤー2スイッチに対して、前記集線装置が接続されているポートをトランクポートに設定し、前記タグ付きのイーサーネットフレームのみが前記業務用VLANを介して送信されるように指示を行う、ことを特徴とする端末検知装置。 An ARP detection unit for detecting an ARP packet transmitted in a network having a layer 2 switch having a VLAN function;
When the ARP packet is detected, detection of a port in which a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered can be performed and detected for the layer 2 switch. A connection state determination unit that determines that a terminal is newly connected to the detected port via a concentrator that does not have a VLAN function;
A terminal determination unit that causes the newly connected terminal to execute a security policy check when it is determined by the connection state determination unit that the terminal is newly connected via the line concentrator; ,
Equipped with a,
The terminal determination unit, as a result of the inspection of the security policy, instructs the terminal connected to the concentrator first to tag the Ethernet frame when isolation is necessary,
Connect the isolation VLAN and the business VLAN to the port to which the line concentrator is connected,
Then, the port to which the line concentrator is connected is set as a trunk port to the layer 2 switch, and an instruction is given so that only the Ethernet frame with the tag is transmitted through the business VLAN. , terminal detecting device, characterized in that. 前記接続状態判定部が、検出された前記ARPパケットから、前記ARPパケットの発信元のMACアドレスを抽出し、抽出したMACアドレスを前記レイヤー2スイッチのMACアドレステーブルに照合することによって、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートを検出する、請求項1に記載の端末検知装置。   The connection state determination unit extracts the MAC address of the source of the ARP packet from the detected ARP packet, and collates the extracted MAC address with the MAC address table of the layer 2 switch, thereby The terminal detection device according to claim 1, wherein a port in which a plurality of MAC addresses including a MAC address of a source is registered is detected. VLAN機能を有するレイヤー2スイッチを備えたネットワークの管理を行うサーバ装置であって、
前記ネットワークにおいて発信された、ARPパケットを検出する、ARP検出部と、
前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行し、検出できた場合に、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、接続状態判定部と、
前記接続状態判定部によって、前記集線装置を介して前記新たに端末が接続されたと判定された場合に、新たに接続された前記端末に対して、セキュリティポリシの検査を実行させる、端末判定部と、
を備え
前記端末判定部は、前記セキュリティポリシの検査の結果、隔離の必要がある場合に、
前記集線装置に先に接続されている端末に対して、イーサーネットフレームにタグを付けるよう指示を行い、
前記集線装置が接続されているポートに、隔離用のVLANと業務用のVLANとを接続し、
そして、前記レイヤー2スイッチに対して、前記集線装置が接続されているポートをトランクポートに設定し、前記タグ付きのイーサーネットフレームのみが前記業務用VLANを介して送信されるように指示を行う、ことを特徴とするサーバ装置。 A server device for managing a network including a layer 2 switch having a VLAN function,
An ARP detector that detects an ARP packet transmitted in the network;
When the ARP packet is detected, detection of a port in which a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered can be performed and detected for the layer 2 switch. A connection state determination unit that determines that a terminal is newly connected to the detected port via a concentrator that does not have a VLAN function;
A terminal determination unit that causes the newly connected terminal to execute a security policy check when it is determined by the connection state determination unit that the terminal is newly connected via the line concentrator; ,
Equipped with a,
When the terminal determination unit needs to be isolated as a result of the inspection of the security policy,
Instructs the terminal previously connected to the line concentrator to tag the Ethernet frame,
Connect the isolation VLAN and the business VLAN to the port to which the line concentrator is connected,
Then, the port to which the line concentrator is connected is set as a trunk port to the layer 2 switch, and an instruction is given so that only the Ethernet frame with the tag is transmitted through the business VLAN. The server apparatus characterized by the above-mentioned. 前記接続状態判定部が、検出された前記ARPパケットから、前記ARPパケットの発信元のMACアドレスを抽出し、抽出したMACアドレスを前記レイヤー2スイッチのMACアドレステーブルに照合することによって、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートを検出する、請求項3に記載のサーバ装置。   The connection state determination unit extracts the MAC address of the source of the ARP packet from the detected ARP packet, and collates the extracted MAC address with the MAC address table of the layer 2 switch, thereby The server device according to claim 3, wherein a port in which a plurality of MAC addresses including a MAC address of a source of a message is registered is detected. (a)VLAN機能を有するレイヤー2スイッチを備えたネットワークにおいて発信された、ARPパケットを検出する、ステップと、
(b)前記(a)のステップで前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行する、ステップと、
(c)前記(b)のステップで前記ポートを検出できた場合に、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、ステップと、
(d)前記(c)のステップで、前記集線装置を介して前記新たに端末が接続されたと判定された場合に、新たに接続された前記端末に対して、セキュリティポリシの検査を実行させる、ステップと、
(e)前記(d)のステップにおける前記セキュリティポリシの検査の結果、隔離の必要がある場合に、
前記集線装置に先に接続されている端末に対して、イーサーネットフレームにタグを付けるよう指示を行い、
前記集線装置が接続されているポートに、隔離用のVLANと業務用のVLANとを接続し、
そして、前記レイヤー2スイッチに対して、前記集線装置が接続されているポートをトランクポートに設定し、前記タグ付きのイーサーネットフレームのみが前記業務用VLANを介して送信されるように指示を行う、ステップと、
を有することを特徴とする端末検知方法。 (A) detecting an ARP packet transmitted in a network including a layer 2 switch having a VLAN function;
(B) When the ARP packet is detected in the step (a), a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered based on the ARP packet. Performing the detection of the ports that are present, and
(C) When the port is detected in the step (b), it is determined that a terminal is newly connected to the detected port via a concentrator that does not have a VLAN function. When,
(D) When it is determined in the step (c) that the terminal is newly connected via the line concentrator, the newly connected terminal is caused to execute a security policy check. Steps,
(E) As a result of the inspection of the security policy in the step (d), when isolation is necessary,
Instructs the terminal previously connected to the line concentrator to tag the Ethernet frame,
Connect the isolation VLAN and the business VLAN to the port to which the line concentrator is connected,
Then, the port to which the line concentrator is connected is set as a trunk port to the layer 2 switch, and an instruction is given so that only the Ethernet frame with the tag is transmitted through the business VLAN. , Step and
The terminal detection method characterized by having. 前記(b)のステップにおいて、検出された前記ARPパケットから、前記ARPパケットの発信元のMACアドレスを抽出し、抽出したMACアドレスを前記レイヤー2スイッチのMACアドレステーブルに照合することによって、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートを検出する、請求項5に記載の端末検知方法。   In the step (b), the MAC address of the source of the ARP packet is extracted from the detected ARP packet, and the extracted MAC address is checked against the MAC address table of the layer 2 switch. The terminal detection method according to claim 5, wherein a port in which a plurality of MAC addresses including a MAC address of a packet source are registered is detected. コンピュータに、
(a)VLAN機能を有するレイヤー2スイッチを備えたネットワークにおいて発信された、ARPパケットを検出する、ステップと、
(b)前記(a)のステップで前記ARPパケットが検出されると、それに基づいて、前記レイヤー2スイッチを対象として、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を実行する、ステップと、
(c)前記(b)のステップで前記ポートを検出できた場合に、検出された前記ポートに、VLAN機能を有していない集線装置を介して、新たに端末が接続されたと判定する、ステップと、
(d)前記(c)のステップで、前記集線装置を介して前記新たに端末が接続されたと判定された場合に、新たに接続された前記端末に対して、セキュリティポリシの検査を実行させる、ステップと、
(e)前記(d)のステップにおける前記セキュリティポリシの検査の結果、隔離の必要がある場合に、
前記集線装置に先に接続されている端末に対して、イーサーネットフレームにタグを付けるよう指示を行い、
前記集線装置が接続されているポートに、隔離用のVLANと業務用のVLANとを接続し、
そして、前記レイヤー2スイッチに対して、前記集線装置が接続されているポートをトランクポートに設定し、前記タグ付きのイーサーネットフレームのみが前記業務用VLANを介して送信されるように指示を行う、ステップと、
を実行させるプログラム。 On the computer,
(A) detecting an ARP packet transmitted in a network including a layer 2 switch having a VLAN function;
(B) When the ARP packet is detected in the step (a), a plurality of MAC addresses including the MAC address of the source of the ARP packet are registered based on the ARP packet. Performing the detection of the ports that are present, and
(C) When the port is detected in the step (b), it is determined that a terminal is newly connected to the detected port via a concentrator that does not have a VLAN function. When,
(D) When it is determined in the step (c) that the terminal is newly connected via the line concentrator, the newly connected terminal is caused to execute a security policy check. Steps,
(E) As a result of the inspection of the security policy in the step (d), when isolation is necessary,
Instructs the terminal previously connected to the line concentrator to tag the Ethernet frame,
Connect the isolation VLAN and the business VLAN to the port to which the line concentrator is connected,
Then, the port to which the line concentrator is connected is set as a trunk port to the layer 2 switch, and an instruction is given so that only the Ethernet frame with the tag is transmitted through the business VLAN. , Step and
A program that executes 前記(b)のステップにおいて、検出された前記ARPパケットから、前記ARPパケットの発信元のMACアドレスを抽出し、抽出したMACアドレスを前記レイヤー2スイッチのMACアドレステーブルに照合することによって、前記ARPパケットの発信元のMACアドレスを含む複数のMACアドレスが登録されているポートを検出する、請求項7に記載のプログラム。   In the step (b), the MAC address of the source of the ARP packet is extracted from the detected ARP packet, and the extracted MAC address is checked against the MAC address table of the layer 2 switch. The program according to claim 7, wherein a port in which a plurality of MAC addresses including a MAC address of a packet source are registered is detected.
JP2010221559A 2010-09-30 2010-09-30 Terminal detection apparatus, server apparatus, terminal detection method, and program Expired - Fee Related JP5333789B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010221559A JP5333789B2 (en) 2010-09-30 2010-09-30 Terminal detection apparatus, server apparatus, terminal detection method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010221559A JP5333789B2 (en) 2010-09-30 2010-09-30 Terminal detection apparatus, server apparatus, terminal detection method, and program

Publications (2)

Publication Number Publication Date
JP2012080217A JP2012080217A (en) 2012-04-19
JP5333789B2 true JP5333789B2 (en) 2013-11-06

Family

ID=46239992

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010221559A Expired - Fee Related JP5333789B2 (en) 2010-09-30 2010-09-30 Terminal detection apparatus, server apparatus, terminal detection method, and program

Country Status (1)

Country Link
JP (1) JP5333789B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9276953B2 (en) 2011-05-13 2016-03-01 International Business Machines Corporation Method and apparatus to detect and block unauthorized MAC address by virtual machine aware network switches
CN113507398B (en) * 2021-07-08 2023-07-11 安天科技集团股份有限公司 Network topology state detection method, device, computing equipment and storage medium

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06120968A (en) * 1992-10-09 1994-04-28 Matsushita Electric Ind Co Ltd Network management device and network constitution management system
JP4792962B2 (en) * 2005-12-22 2011-10-12 パナソニック電工株式会社 Location information system

Also Published As

Publication number Publication date
JP2012080217A (en) 2012-04-19

Similar Documents

Publication Publication Date Title
JP5088517B2 (en) Quarantine device, quarantine system, quarantine method, and program
US10089028B2 (en) Remote secure drive discovery and access
TWI453624B (en) Information security protection host
CA2852471C (en) Method and system for supporting wake-on-lan in a virtualized environment
CN114145004B (en) System and method for using DNS messages to selectively collect computer forensic data
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US9246774B2 (en) Sample based determination of network policy violations
US20110099273A1 (en) Monitoring apparatus, monitoring method, and a computer-readable recording medium storing a monitoring program
CN113300917B (en) Traffic monitoring method and device for Open Stack tenant network
CN110011941B (en) Message forwarding method and device
WO2016121621A1 (en) Information processing apparatus, information processing method and program
JP2013222313A (en) Failure contact efficiency system
US9674061B2 (en) Management system, management apparatus and management method
JP5333789B2 (en) Terminal detection apparatus, server apparatus, terminal detection method, and program
US7724659B2 (en) Network-based autodiscovery system for MAC forwarding dispatcher
JP5898024B2 (en) Malware detection apparatus and method
US7856573B2 (en) WPAR halted attack introspection stack execution detection
CN113114588B (en) Data processing method and device, electronic equipment and storage medium
CN114172789B (en) Virtual equipment link detection method, device, equipment and storage medium
JP5678800B2 (en) Information processing apparatus, system, and information processing program
US11973773B2 (en) Detecting and mitigating zero-day attacks
US10250625B2 (en) Information processing device, communication history analysis method, and medium
KR101446280B1 (en) System for detecting and blocking metamorphic malware using the Intermediate driver
CN114465986B (en) IP address conflict processing method, electronic device and computer readable storage medium
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130716

R150 Certificate of patent or registration of utility model

Ref document number: 5333789

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees