JP2004241831A - Network management system - Google Patents

Network management system Download PDF

Info

Publication number
JP2004241831A
JP2004241831A JP2003026265A JP2003026265A JP2004241831A JP 2004241831 A JP2004241831 A JP 2004241831A JP 2003026265 A JP2003026265 A JP 2003026265A JP 2003026265 A JP2003026265 A JP 2003026265A JP 2004241831 A JP2004241831 A JP 2004241831A
Authority
JP
Japan
Prior art keywords
network
network device
address
identification information
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003026265A
Other languages
Japanese (ja)
Inventor
Mitsugi Inoue
貢 井上
Takahiro Sato
高宏 佐藤
Takafumi Tamura
孝文 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
RBEC CORP
Original Assignee
RBEC CORP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by RBEC CORP filed Critical RBEC CORP
Priority to JP2003026265A priority Critical patent/JP2004241831A/en
Publication of JP2004241831A publication Critical patent/JP2004241831A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network management system for making only a registered network apparatus connectable to a network that prevents unauthorized access by an unregistered network apparatus. <P>SOLUTION: A DHCP server apparatus transmits an echo request message on the basis of the ICMP to a network to identify an IP address unauthorizedly utilized. Then the DHCP server apparatus transmits an unauthorized utilization address list describing the unauthorizedly utilized IP addresses to an unauthorized utilization preventing apparatus. Upon the receipt of the unauthorized utilization address list, the unauthorized utilization preventing apparatus acquires a sender IP address of a packet transmitted in the network from a packet monitoring section (S320), and when the unauthorized utilization preventing apparatus discriminates that a sender IP address is the unauthorizedly utilized IP address (Yes in S330), the unauthorized utilization preventing apparatus generates a destination arrival disabled message (S340) and transmits the destination arrival disabled message addressed to the sender IP address to the network (S350). <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、MACアドレスに基づきネットワーク機器を認証し、そのネットワーク機器を所定のネットワークに接続可能とするネットワーク管理システムに関する。
【0002】
【従来の技術】
近年では、携帯型通信端末(通信手段を備える携帯型のパーソナルコンピュータ(PC)等)の普及が進んでおり、それに伴って、携帯型通信端末を容易にネットワークに接続することが可能なDHCP(動的ホスト設定プロトコル)サーバをネットワーク内に設ける例が多くなってきている。
【0003】
周知のように、TCP/IP通信を前提としたネットワークに端末を接続する場合には、その端末にIPアドレスを割り当てる必要がある。DHCPサーバは、自身と通信可能に接続されたDHCPクライアント機能を備える端末からIPアドレスのリース要求を受けると、IPアドレスを要求元の端末に付与して、その端末を上記TCP/IP構成のネットワークに接続可能とする(即ち、端末をネットワーク内の各端末とTCP/IP通信可能な状態にする)。
【0004】
したがって、ネットワークの利用者は、DHCPクライアント機能を備える端末を用いれば、端末の設定画面を用いてIPアドレスを手入力しなくても、自身の端末を容易にネットワークに接続することができる。
尚、DHCPサーバを備えるネットワークは周知公用のものであるので、ここでは、そのようなネットワークに関する先行技術文献を非開示とする。
【0005】
【発明が解決しようとする課題】
ところで、上記DHCPサーバを備えるネットワークにおいては、端末が備えるネットワーク機器のMAC(Media Access Control)アドレスを予めデータベースに登録し、データベースに登録されたMACアドレスを備えるネットワーク機器のみにIPアドレスを付与して、そのネットワーク機器をネットワークに接続可能とするように、DHCPサーバを構築すれば、そのネットワークに接続可能な端末を制限することができる。
【0006】
しかしながら、上述の手法では、悪意を持った者が、ネットワーク機器に正しいIPアドレスを設定して、DHCPサーバを介さず、ネットワーク機器をネットワークに接続可能にし、そのネットワーク機器を用いて、上記ネットワークに不正にアクセスする可能性がある。
【0007】
特に、DHCPサーバを用いたネットワークでは、DHCPサーバからネットワーク機器に付与されたIPアドレスを覚えておき、後日、同一のIPアドレスを手動で設定することで不正アクセスを行うことが可能であるため、ネットワークにおけるセキュリティの確保が難しいといった問題がある。
【0008】
本発明は、こうした問題に鑑みなされたものであり、データベースに登録されたMACアドレスを有するネットワーク機器を、ネットワークに接続可能とするネットワーク管理システムにおいて、データベースに登録されていないネットワーク機器による当該ネットワークへの不正アクセスを防止することを目的とする。
【0009】
【課題を解決するための手段】
かかる目的を達成するためになされた本発明(請求項1)のネットワーク管理システムは、ネットワーク機器のMACアドレスを記憶するデータベースと、データベースに記憶されたMACアドレスを有するネットワーク機器のみを所定のネットワークに接続可能とする接続管理手段と、を備えると共に、識別情報取得手段と、接続監視手段と、アクセス阻止手段と、を備える。
【0010】
識別情報取得手段は、接続管理手段によって管理される上記所定のネットワークに接続されたネットワーク機器の識別情報を取得する。接続監視手段は、この識別情報取得手段が取得したネットワーク機器の識別情報に基づいて、上記ネットワークに接続されたネットワーク機器が、接続管理手段によって接続可能とされたネットワーク機器であるか否かを判断する。
【0011】
また、アクセス阻止手段は、その接続監視手段が、接続管理手段によってネットワークに接続可能とされたネットワーク機器ではないと判断したネットワーク内のネットワーク機器について、そのネットワーク機器がネットワーク内の他のネットワーク機器へアクセスするのを阻止する。
【0012】
このように構成にされた本発明のネットワーク管理システムによれば、接続監視手段の動作によって、接続管理手段を介さずに不正にネットワークに接続されたネットワーク機器を発見することができ、そのネットワーク機器がネットワーク内の他のネットワーク機器にアクセスするのを、アクセス阻止手段によって阻止することができる。
【0013】
したがって、このネットワーク管理システムによれば、データベースに登録されていないネットワーク機器がネットワーク内のサーバ装置等に不正にアクセスするのを防止することができ、悪意をもった利用者によって、例えばネットワークに接続されたファイルサーバ装置等から、不正にファイル等がダウンロードされるのを防止することができる。即ち、本発明によれば、接続制限がなされるべきネットワークに関し、そのネットワークを適切に管理することができる。
【0014】
ところで、不正アクセスを阻止するためには、例えば、ネットワーク内において重要なデータを管理する装置をネットワークから一時的に遮断することが考えられる。しかしながら、そのような手法を採用すると、正当な利用者に不満が及ぶ可能性が高い。したがって、請求項1に記載のネットワーク管理システムにおいては、具体的に請求項2に記載のようにアクセス阻止手段を構成するのがよい。
【0015】
請求項2に記載のネットワーク管理システムにおけるアクセス阻止手段は、接続管理手段によってネットワークに接続可能とされたネットワーク機器ではないと判断されたネットワーク内のネットワーク機器に、そのネットワーク機器がアクセスを試みるネットワーク内の他のネットワーク機器がネットワーク内に存在しないことを表す虚偽情報を入力することにより、接続管理手段によってネットワークに接続可能とされたネットワーク機器ではないと判断されたネットワーク機器が、ネットワーク内の他のネットワーク機器へアクセスするのを阻止する。
【0016】
このように構成された請求項2記載のネットワーク管理システムによれば、不正に接続されたネットワーク機器と、該ネットワーク機器がアクセスする他のネットワーク機器との間の通信を選択的に妨害することができるので、正当なネットワーク機器による当該ネットワークの利用を妨害することなく、不正に接続されたネットワーク機器がネットワーク内の他のネットワーク機器に不正にアクセスするのを確実に阻止することができる。
【0017】
また、上記請求項1,2に記載の発明をTCP/IP構成のネットワークに適用する場合には、請求項3記載のようにネットワーク管理システムを構成すればよい。
請求項3記載のネットワーク管理システムにおいては、接続管理手段が、動的ホスト設定プロトコル(DHCP)に基づき、データベースに記憶されたMACアドレスを有するネットワーク機器のみにIPアドレスを付与して、そのネットワーク機器を、TCP/IP構成にされた上記所定のネットワークに接続可能とする。請求項3記載のネットワーク管理システムによれば、接続管理手段によって当該TCP/IP構成のネットワークに接続可能とされたネットワーク機器以外の機器による当該ネットワークへの不正アクセスを阻止することができる。
【0018】
この他、請求項3記載のネットワーク管理システムにおいては、請求項4に記載のように識別情報取得手段及び接続監視手段を構成するのがよい。請求項4に記載のネットワーク管理システムにおける識別情報取得手段は、上記識別情報として、ネットワークに接続されたネットワーク機器のIPアドレスを取得する。
【0019】
また、接続監視手段は、識別情報取得手段が識別情報として取得したネットワーク機器のIPアドレスと、接続管理手段によってネットワーク機器に付与されたIPアドレスと、を比較することによって、ネットワークに接続されたネットワーク機器が、接続管理手段によってネットワークに接続可能とされたネットワーク機器であるか否かを判断する。
【0020】
このように構成にされた請求項4記載のネットワーク管理システムによれば、ネットワーク内の各ネットワーク機器が接続管理手段によって接続可能とされたネットワーク機器であるか否かを、IPアドレスに基づき、接続監視手段にて、容易に判断することができる。
【0021】
また、請求項4記載のネットワーク管理システムにおける識別情報取得手段は、請求項5記載のように構成されるとよい。請求項5記載のネットワーク管理システムにおける識別情報取得手段は、インターネット制御メッセージプロトコル(ICMP)に基づき、予め定められた範囲に属するIPアドレスの夫々を宛先としたエコー要求メッセージをネットワーク内に送出する。更にこの識別情報取得手段は、送出したエコー要求メッセージに対する応答信号としてのエコー応答メッセージをネットワークを通じて受信し、エコー応答メッセージに記述されたメッセージ送信元のIPアドレスを、ネットワークに接続されたネットワーク機器の識別情報として、そのエコー応答メッセージから取得する。
【0022】
インターネット制御メッセージプロトコルは、広く普及したプロトコルであるため、インターネット制御メッセージプロトコルに基づく手法で、ネットワーク機器のIPアドレスを収集する請求項5記載の発明によれば、低コストにネットワーク管理システムを構築することができる。
【0023】
ただし、この手法では、エコー応答メッセージに基づいてネットワーク内の機器を認識するため、エコー応答メッセージを返さないように設計された不正なネットワーク機器を発見することができない。したがって、そのようなネットワーク機器を発見できるようにするためには、請求項4記載のネットワーク管理システムにおいて、識別情報取得手段を請求項6記載のように構成するのがよい。
【0024】
請求項6記載のネットワーク管理システムにおける識別情報取得手段は、ネットワーク内で伝送されるパケットを収集して、そのパケットに記述されたパケット送信元のIPアドレスを、ネットワークに接続されたネットワーク機器の識別情報として取得する。
【0025】
請求項6記載のネットワーク管理システムによれば、ネットワーク内で伝送されるパケットの送信元IPアドレスに基づき、ネットワークに接続されたネットワーク機器を認識することができるので、エコー応答メッセージを返さないように設計された不正なネットワーク機器をも発見することができ、ネットワークのセキュリティを一層強固なものとすることができる。
【0026】
その他、請求項3〜請求項6のいずれかに記載のネットワーク管理システムにおいては、請求項7に記載のようにアクセス阻止手段を構成するとよい。
請求項7記載のネットワーク管理システムにおけるアクセス阻止手段は、接続管理手段によってネットワークに接続可能とされたネットワーク機器ではないと判断されたネットワーク機器に、そのネットワーク機器がアクセスを試みる他のネットワーク機器がネットワーク内に存在しないことを表す宛先到達不能メッセージを、インターネット制御メッセージプロトコル(ICMP)に基づき送信する。
【0027】
即ち、請求項7記載のネットワーク管理システムにおけるアクセス阻止手段は、インターネット制御メッセージプロトコル(ICMP)に基づく上述の宛先到達不能メッセージを送信することによって、その送信先のネットワーク機器がネットワーク内の他のネットワーク機器へアクセスするのを阻止する。
【0028】
したがって、請求項7記載のネットワーク管理システムによれば、アクセス阻止手段により、不正に接続されたネットワーク機器と、そのネットワーク機器がアクセスするネットワーク機器との間の通信を選択的に妨害することができ、正当なネットワーク機器による当該ネットワークの利用を妨害することなく、不正に接続されたネットワーク機器がネットワーク内の他のネットワーク機器に不正にアクセスするのを確実に阻止することができる。
【0029】
【発明の実施の形態】
以下に本発明の実施例について、図面とともに説明する。尚、図1は、本発明が適用された第一実施例のネットワーク管理システム1の構成を表す説明図である。また図2は、ネットワーク管理システム1に設けられたDHCPサーバ装置10の構成を表すブロック図(a)、及び、不正利用防止装置20の構成を表すブロック図(b)である。
【0030】
第一実施例のネットワーク管理システム1は、通信線Lを介して互いに接続されたゲートウェイ装置3と、ファイルサーバ装置5と、DHCPサーバ装置10と、不正利用防止装置20と、を備える。これらゲートウェイ装置3、ファイルサーバ装置5、DHCPサーバ装置10、及び、不正利用防止装置20は、予め当該システムの管理者により、固定のIPアドレスが割り当てられ、互いにTCP/IP通信可能な状態にされている。即ち、第一実施例のネットワーク管理システム1には、少なくともゲートウェイ装置3、ファイルサーバ装置5、DHCPサーバ装置10、及び、不正利用防止装置20によって、TCP/IP構成のローカルエリアネットワーク(LAN)が構築されている。
【0031】
本実施例のゲートウェイ装置3は、広域ネットワーク(WAN)としてのインターネットに接続されており、LAN内の各利用者端末(PC)をWANに接続する役割を果たす。一方、ファイルサーバ装置5は、周知のファイルサーバ装置であって、CPU、メモリ(ROM、RAM)、各種ファイルが格納されたデータベース、通信制御部(図示せず)など、を備え、LAN内の端末からファイルのダウンロード要求があると、そのファイルを端末に提供する。
【0032】
一方、DHCPサーバ装置10は、図2(a)に示すように、CPU及びメモリ(ROM,RAM)等からなり当該装置を統括制御する制御部11と、ハードディスク装置などで構成される記憶部13と、通信線Lに接続されLAN内のネットワーク機器との間で通信を行う通信制御部15と、を備える。このDHCPサーバ装置10は、制御部11にて、各種プログラムを実行し、DHCPサーバ11a、及び、不正利用検出処理部11b、メールサーバ11cとしての機能を果たす。
【0033】
このDHCPサーバ装置10は、記憶部13に、上記LANへの接続を許可すべきネットワーク機器のMACアドレスを記憶するアドレスDB(データベース)13aを備えており、MACアドレスを備えるネットワーク機器を内蔵しDHCPクライアント機能を備える利用者端末(PC)から通信線Lを介して、動的ホスト設定プロトコル(DHCP)に基づく周知の通信手順により、IPアドレスのリース要求が送信されてくると、DHCPサーバ11aにて、そのリース要求と共に送信されてきたMACアドレスがアドレスDB13aに登録されているMACアドレスであるか否かを判断する。
【0034】
そして、利用者端末(PC)から送信されてきたMACアドレスがアドレスDB13aに登録されているMACアドレスであると判断すると、DHCPサーバ11aは、予め許可されたIPアドレスの範囲内で、その要求元にリースすべきIPアドレスを選択し、DHCPに基づく手順で、そのIPアドレスを、上記MACアドレスを有するリース要求元の利用者端末(PC)にリース(付与)する。
【0035】
これにより、利用者端末(PC)は、TCP/IP構成の上記LANと、TCP/IP通信可能に接続される。尚、利用者端末(PC)へのリースが可能なIPアドレスの範囲に関する情報は、記憶部13に記憶されている。一方、利用者端末(PC)から送信されてきたMACアドレスがアドレスDB13aに登録されたものでないと判断すると、DHCPサーバ11aは、その端末にIPアドレスをリース(付与)しないようにする。
【0036】
また、DHCPサーバ装置10は、不正利用検出処理部11bにて、図3に示す不正利用検出処理を実行することにより、上記LANに接続された端末がDHCPサーバ11aによってネットワークに接続可能とされた利用者端末(PC)であるか否か判断する。尚、図3は、不正利用検出処理部11bが繰り返し実行する不正利用検出処理を表すフローチャートである。
【0037】
不正利用検出処理部11bは、不正利用検出処理の実行を開始すると、まずS110にて、IPアドレスの走査範囲情報を読み込む。走査範囲情報は、記憶部13に記憶されており、IPアドレスの走査開始位置及び走査終了位置に関する情報を備える。尚、本実施例におけるIPアドレスの走査範囲には、上述のゲートウェイ装置3、ファイルサーバ装置5、DHCPサーバ装置10、不正利用防止装置20に割り当てられたIPアドレスが含まれないようにされている。
【0038】
この走査範囲情報の読み込みが終了すると、不正利用検出処理部11bは、DHCPサーバ11aが利用者端末(PC)にリースしているIPアドレスを表すリースIPアドレスリスト13bを読み出す(S120)。
その後、不正利用検出処理部11bは、周知のインターネット制御メッセージプロトコル(ICMP)に基づき、走査範囲情報に基づいて定められる範囲のIPアドレスの夫々を宛先としたエコー要求メッセージを作成して、それをLAN内に送出し、応答信号を受信する。そして、所定時間内に受信できたエコー要求メッセージに対する応答信号としてのエコー応答メッセージを解析する(S130)。
【0039】
周知のようにエコー応答メッセージには、メッセージ送信元のIPアドレスが記述されており、不正利用検出処理部11bは、受信できた各エコー応答メッセージを解析して、各エコー応答メッセージに記述されたメッセージ送信元のIPアドレスを抽出することで、LANに接続された端末のIPアドレスを取得し(S130)、そのIPアドレスとリースIPアドレスリストに列挙されたIPアドレスとを比較する(S140)。
【0040】
また、不正利用検出処理部11bは、その比較結果に基づき、リースIPアドレスリストに列挙されていないIPアドレスが、受信されたエコー応答メッセージの送信元IPアドレスとして存在すると判断すると、LANに接続され、そのIPアドレスを使用する端末が、DHCPサーバ11aによって、LANに接続可能とされた利用者端末(PC)ではなく、不正にIPアドレスを使用する端末であるとして(S150でYes)、そのIPアドレスを記述した不正利用アドレスリストを作成する(S160)。
【0041】
その後、不正利用検出処理部11bは、作成した不正利用アドレスリストをログ情報として記憶部13に保存する(S170)と共に、その不正利用アドレスリストを格納した電子メールを作成して、その電子メールを、予め設定された宛先に(例えば、システム管理者の電子メールアドレスを宛先にして)送信する(S185)。尚、電子メールの送信は、当該DHCPサーバ装置10に構築されたメールサーバ11cを介して行われる。また、電子メールの送信先に関する情報は、記憶部13に送信先情報13cとして記憶されている。
【0042】
この電子メールの送信が終了すると、不正利用検出処理部11bは、その不正利用アドレスリストを不正利用防止装置20に送信する(S190)。尚、上記送信先情報には、電子メールの送信先に加えて、不正利用防止装置20の宛先を表すIPアドレスが記憶されている。上述の送信処理が終了すると、不正利用検出処理部11bは、不正利用検出処理を終了する。
【0043】
次に、不正利用防止装置20について説明する。尚、図4は、不正利用防止装置20が実行する処理を表すフローチャートであり、図4(a)は、不正利用防止装置20のリスト更新処理部21aが繰り返し実行するリスト更新処理を表すフローチャート、図4(b)は、不正利用防止装置20の不正利用防止処理部21bが繰り返し実行する不正利用防止処理を表すフローチャート、である。
【0044】
図2(b)に示すように第一実施例の不正利用防止装置20は、CPU及びメモリ(ROM,RAM)等からなり当該装置を統括制御する制御部21と、ハードディスク装置などで構成される記憶部23と、通信線Lに接続されLAN内のネットワーク機器との間で通信を行う通信制御部25と、を備えている。この不正利用防止装置20は、制御部21にて、各種プログラムを実行し、リスト更新処理部21a、不正利用防止処理部21b、及びパケットモニタリング部21cとしての機能を果たす。
【0045】
リスト更新処理部21aは、DHCPサーバ装置10の不正利用検出処理部11bから送信されてくる不正利用アドレスリストを受信して、当該装置に取り込む構成にされている。即ち、リスト更新処理部21aは、図4(a)に示すリスト更新処理を実行すると、DHCPサーバ装置10の不正利用検出処理部11bから不正利用アドレスリストが送信されてくるまで待機し、不正利用アドレスリストを受信すると(S210でYes)、その不正利用アドレスリストを、記憶部23に保存する(S220)。
【0046】
この際、リスト更新処理部21aは、既に保存された不正利用アドレスリストが記憶部23に存在すると判断すると、今回受信した不正利用アドレスリストを、前回までに保存された不正利用アドレスリストに上書きして、不正利用アドレスリストを更新する。この不正利用アドレスリストの保存が終了すると、リスト更新処理部21aは当該リスト更新処理を終了する。
【0047】
一方、不正利用防止処理部21bは、不正利用防止処理を実行すると、記憶部23に記憶された不正利用アドレスリスト23aを読み出した後(S310)、LAN内で伝送されたパケットの監視結果をパケットモニタリング部21cから取得する(S320)。
【0048】
パケットモニタリング部21cは、LAN内で伝送されるパケットを、自身を宛先とするパケットに限定せず受信して、そのパケットに含まれるパケット送信先及びパケット送信元のIPアドレスやMACアドレスなどの情報を抽出するものである。その抽出結果は、上記パケットの監視結果として、制御部21のメモリ等に一時記憶される。尚、パケットモニタリングの手法は周知であるので、ここでは、その手法に関して、これ以上の説明を省略することにする。
【0049】
不正利用防止処理部21bは、パケットモニタリング部21cからパケットの監視結果(パケット送信先及びパケット送信元のIPアドレスやMACアドレスなど)を取得すると、そのIPアドレスが、記憶部23から読み出された不正利用アドレスリストに登録されているIPアドレスと一致するか否か判断する(S330)。そして、一致しないと判断すると(S330でNo)、処理をS360に移行する。
【0050】
一方、LAN内で伝送されたパケットの送信元IPアドレスが、不正利用アドレスリストに登録されているIPアドレスと一致すると判断すると(S330でYes)、不正利用防止処理部21bは、ICMPに基づいて、そのパケットの送信先が存在しないことを表す宛先到達不能メッセージを作成し(S340)、上記パケット送信元のIPアドレスを宛先として、その宛先到達不能メッセージを送信する(S350)。
【0051】
周知のように、IP(インターネットプロトコル)は、コネクションレス型のプロトコルであるため、信頼性のある通信が行えるようには設計されていない。ICMPは、そのようなIP構成のネットワークにおいて、IPパケットの送信時にエラーが起きた際のエラーメッセージ等をIPパケットの送信元に通知する役割を備える。
【0052】
ICMPに基づく宛先到達不能メッセージは、送信元から送出されたIPパケットが宛先に届かなかった場合に通常使用される。この宛先到達不能メッセージを受信した端末は、宛先が不明であるとして、送信したIPパケットに対する応答パケットの受信待機を解除するため、そのIPパケット送信元の端末から、宛先が不明であるとされた送信先へのアクセスは一時的に不可能になる。
【0053】
本実施例では、そのような特徴を有する宛先到達不能メッセージを、不正にIPアドレスを使用する端末に送信することで(S350)、不正にIPアドレスを使用する端末(即ち、不正に当該LANに接続された端末)がLAN内に存在するその他のネットワーク機器へアクセスするのを阻止するのである。
【0054】
この宛先到達不能メッセージの送信が完了すると、不正利用防止処理部21bは、処理をS360に移して、リスト更新処理部21aにより不正利用アドレスリストが更新されたか否か判断する。そして、不正利用アドレスリストが更新されていないと判断すると(S360でNo)、処理をS320に戻す。一方、不正利用アドレスリストが更新されたと判断すると(S360でYes)、当該不正利用防止処理を一旦終了して、再びS310から不正利用防止処理を実行する。
【0055】
以上、第一実施例のネットワーク管理システム1について説明したが、このネットワーク管理システム1によれば、接続管理手段としてのDHCPサーバ11aが、動的ホスト設定プロトコル(DHCP)に基づき、アドレスDB13aに登録されたMACアドレスを有する利用者端末(PC)のみにIPアドレスを付与して、その利用者端末(PC)を、TCP/IP構成のLANに接続可能にする。
【0056】
また、このネットワーク管理システム1によれば、識別情報取得手段としての機能を備える不正利用検出処理部11bが、走査範囲情報に従う範囲のIPアドレスについてアドレススキャンを行うことで、そのIPアドレスの夫々を宛先としたエコー要求メッセージをLAN内に送出すると共に、その応答信号としてのエコー応答メッセージをLANを通じて受信し、エコー応答メッセージに記述されたメッセージ送信元のIPアドレスを抽出する(S130)。
【0057】
この他、本実施例によれば、接続監視手段としての機能を備える不正利用検出処理部11bが、アドレススキャン(S130)により取得できたLAN内の端末のIPアドレスと、DHCPサーバ11aがリース中のIPアドレスと、を比較することによって、LANに接続された各端末が、DHCPサーバ11aによってLANに接続可能とされた利用者端末(PC)であるか否かを判断する(S140,S150)。
【0058】
そして、リース中のIPアドレス以外のIPアドレスを使用する端末が存在する場合には、その端末がDHCPサーバ11aを介してLANに接続可能とされた利用者端末(PC)ではないと判断して(S150でYes)、その端末が使用するIPアドレスを表した不正利用アドレスリストを作成し、本発明のアクセス阻止手段としての機能を備える不正利用防止装置20に、その不正利用アドレスリストを送信する(S190)。
【0059】
不正利用防止装置20は、この不正利用アドレスリストをDHCPサーバ装置10から受信すると、パケットモニタリング部21cによるパケットの監視結果に基づき、不正利用防止処理部21bにて、不正利用アドレスリストに列挙されたIPアドレスを使用する端末からLAN内にパケットが送出されているか否かを判断し(S330)、不正利用アドレスリストに列挙されたIPアドレスを使用する端末からLAN内にパケットが送出されていると判断すると(S330でYes)、その端末のアクセス先がLAN内に存在しないことを表す虚偽情報としての宛先到達不能メッセージを、そのパケットの送信元に送信する(S350)。
【0060】
これにより、不正利用防止装置20は、DHCPサーバ11aからIPアドレスが付与された利用者端末(PC)ではない端末が、LAN内の他のネットワーク機器(利用者端末(PC)や、サーバ装置)に、アクセスするのを阻止する。
したがって、本実施例のネットワーク管理システム1によれば、DHCPサーバ11aを介さずにLANに接続された端末が、LAN内のネットワーク機器(ファイルサーバ装置5等)に不正にアクセスするのを防止することができ、例えば、悪意をもった利用者が、そのファイルサーバ装置5から、不正にファイル等をダウンロードするのを防止することができる。
【0061】
また、本実施例のネットワーク管理システム1によれば、不正に接続された端末の通信を選択的に妨害することができるので、正当な利用者によるネットワークの利用を妨げることなく、不正アクセスを確実に阻止することができる。その他、本実施例によれば、広く普及したインターネット制御メッセージプロトコル(ICMP)を利用して、LAN内で使用されるIPアドレスの情報を収集したり、不正アクセスの阻止を行うため、低コストに本発明のネットワーク管理システムを構築することができる。
【0062】
次に、第二実施例について説明することにする。尚、以下においては、第一実施例と同一構成の各部に関する説明を、省略することにする。
図5は、第二実施例のネットワーク管理システム30の構成を表すブロック図である。図5に示すように、第二実施例のネットワーク管理システム30は、通信線Lに接続されたゲートウェイ装置3と、不正利用防止装置20と、DHCPサーバ装置31と、ファイルサーバ装置33と、DNS(Domain Name System)サーバ装置35と、プロキシサーバ装置37と、を備える。
【0063】
第二実施例のネットワーク管理システム30におけるゲートウェイ装置3、不正利用防止装置20、DHCPサーバ装置31、ファイルサーバ装置33、DNSサーバ装置35、及び、プロキシサーバ装置37は、予め当該システムの管理者により、固定のIPアドレスが割り当てられ、互いにTCP/IP通信可能な状態にされている。即ち、第二実施例のネットワーク管理システム30には、ゲートウェイ装置3、不正利用防止装置20、DHCPサーバ装置31、ファイルサーバ装置33、DNSサーバ装置35、及び、プロキシサーバ装置37などからなるTCP/IP構成のLANが構築されている。
【0064】
第二実施例のファイルサーバ装置33及びDNSサーバ装置35及びプロキシサーバ装置37は夫々、CPU及びメモリ等からなる制御部と、ハードディスク等からなる記憶部と、通信制御部と、を備えており、制御部にて、夫々のサーバ装置として機能するための各種プログラムを実行する。また、第二実施例におけるファイルサーバ装置33及びDNSサーバ装置35及びプロキシサーバ装置37の夫々は、制御部にて、パケット監視部39としての機能を実現する構成にされている。
【0065】
図6は、パケット監視部39が繰り返し実行するパケット監視処理を表すフローチャートである。パケット監視部39は、図6に示すパケット監視処理を実行することにより、自装置宛に送信されてきたパケットの受信結果を記録し、その記録結果をDHCPサーバ装置31に送信する。
【0066】
具体的に説明すると、パケット監視部39は、自装置宛に送信されてきたパケットに含まれるパケット送信元のIPアドレスをS410にて抽出し、抽出したIPアドレスを受信記録としてメモリ等に一時記憶する(S420)。
その後、パケット監視部39は、予め定められた受信記録の送信条件が満足されているか否かを判断し(S430)、満足されていなければ(S430でNo)、処理をS410に戻すことで、送信条件が満足されるまで、自装置に送信されてくるパケットの送信元IPアドレスを逐次抽出し(S410)、それをメモリ等に追加記憶する(S420)。尚、パケット監視部39は、例えば、所定パケット数分の受信記録が蓄積されると、送信条件が満足されたと判断する構成にされていてもよいし、所定時間が経過すると、送信条件が満足されたと判断する構成にされていてもよい。
【0067】
S430において送信条件が満足されたと判断すると(S430でYes)、パケット監視部39は、処理をS440に移して、自装置で受信されたパケットの送信元IPアドレスを表した送信元アドレスリストを上記受信記録に基づき作成し、その送信元アドレスリストをDHCPサーバ装置31に送信する。その後、パケット監視部39は、当該パケット監視処理を終了する。
【0068】
一方、第二実施例のDHCPサーバ装置31は、不正利用検出処理部32にて、図7に示す不正利用検出処理を実行する構成にされている。尚、図7は、不正利用検出処理部32が繰り返し実行する不正利用検出処理を表すフローチャートである。
【0069】
第二実施例のDHCPサーバ装置31は、上述した第一実施例のDHCPサーバ装置10と概ね同一構成の制御部11と、記憶部13と、通信制御部15と、を備えており、制御部11にて、DHCPサーバ11a、及び、第一実施例の不正利用検出処理部11bに代替する不正利用検出処理部32、並びに、メールサーバ11cとしての機能を実現する構成にされている。
【0070】
不正利用検出処理部32は、図7に示す不正利用検出処理を実行すると、パケット監視部39から送信元アドレスリストを受信するまで待機し、パケット監視部39から送信元アドレスリストを受信すると(S510でYes)、記憶部13からリースIPアドレスリスト13bを読み出して(S520)、それら送信元アドレスリストに列挙されたIPアドレスと、リースIPアドレスリスト13bに列挙されたIPアドレスとを比較する(S530)。
【0071】
そして、比較結果に基づき、リースIPアドレスリストに列挙されていないIPアドレスが、送信元アドレスリストに存在すると判断すると、不正利用検出処理部32は、そのIPアドレスを使用する端末が、DHCPサーバ11aによって、LANに接続可能とされた利用者端末(PC)ではなく、LAN内において不正にIPアドレスを使用する端末であるとして(S540でYes)、そのIPアドレスを記述した不正利用アドレスリストを作成する(S550)。尚、S540においてIPアドレスを不正利用する端末が存在しないと判断すると、不正利用検出処理部32は、処理をS510に戻す。
【0072】
S550における不正利用アドレスリストの作成が完了すると、不正利用検出処理部32は、その不正利用アドレスリストをログ情報として記憶部13に保存する(S560)と共に、その不正利用アドレスリストを格納した電子メールを作成して(S570)、その電子メールを、予め設定された宛先に送信する(S580)。
【0073】
この電子メールの送信が終了すると、不正利用検出処理部32は、その不正利用アドレスリストを不正利用防止装置20に送信する(S590)。また、不正利用アドレスリストの送信が終了すると、不正利用検出処理部32は、不正利用検出処理を終了する。
【0074】
一方、不正利用アドレスリストを受信する不正利用防止装置20は、第一実施例のそれと同一構成にされている。即ち、不正利用防止装置20は、パケットモニタリング部21cから得られた監視結果に基づき、LAN内で伝送されたパケットの送信元IPアドレスが、不正利用アドレスリストに登録されているIPアドレスと一致するか否か判断し(S330)、一致すると判断すると(S330でYes)、そのパケットの送信先が存在しないことを表す宛先到達不能メッセージを作成し(S340)、上記パケット送信元のIPアドレスを宛先として、その宛先到達不能メッセージを送信する(S350)。これにより、IPアドレスを不正利用する端末からLAN内の他のネットワーク機器へのアクセスは阻止される。
【0075】
以上、第二実施例のネットワーク管理システム30について説明したが、第二実施例のネットワーク管理システムによれば、識別情報取得手段として機能する各サーバ装置内蔵のパケット監視部39が、LAN内で伝送され、自装置宛に送信されてきたパケットを収集して、そのパケットに記述されたパケット送信元のIPアドレスを、LANに接続されたネットワーク機器の識別情報として取得し、そのパケット送信元IPアドレスを表す送信元アドレスリストを、DHCPサーバ装置31の不正利用検出処理部32に提供する。
【0076】
また、不正利用検出処理部32は、その送信元アドレスリストとリースIPアドレスリストに基づき、不正利用アドレスリストを作成し、その不正利用アドレスリストを本発明のアクセス阻止手段として機能する不正利用防止装置20に送信する。
【0077】
即ち、第二実施例のネットワーク管理システム30によれば、送信元アドレスリストに基づき、IPアドレスを不正利用する端末を識別するので、エコー応答メッセージを返さないように設計された不正なネットワーク機器をも発見することができ、LANへの不正アクセスを確実に阻止することができる。
【0078】
尚、本発明のネットワーク管理システム1,30は、上記実施例に限定されるものではなく、種々の態様を採ることができる。上記実施例では、LAN内にDHCPサーバ装置10、31を一つ設ける例を説明したが、例えば、LAN内にDHCPサーバ装置を複数個備えるネットワーク管理システムに、本発明を適用しても構わない。
【図面の簡単な説明】
【図1】第一実施例のネットワーク管理システム1の構成を表すブロック図である。
【図2】DHCPサーバ装置10及び不正利用防止装置20の構成を表すブロック図である。
【図3】不正利用検出処理部11bが実行する不正利用検出処理を表すフローチャートである。
【図4】不正利用防止装置20が制御部21にて実行するリスト更新処理及び不正利用防止処理を表すフローチャートである。
【図5】第二実施例のネットワーク管理システム30の構成を表すフローチャートである。
【図6】第二実施例の各サーバ装置がパケット監視部39にて実行するパケット監視処理を表すフローチャートである。
【図7】DHCPサーバ装置31が不正利用検出処理部32にて実行する不正利用検出処理を表すフローチャートである。
【符号の説明】
1,30…ネットワーク管理システム、3…ゲートウェイ装置、5,33…ファイルサーバ装置、10,31…DHCPサーバ装置、11,21…制御部、11a…DHCPサーバ、11b,32…不正利用検出処理部、11c…メールサーバ、13,23…記憶部、13a…アドレスDB、13b…リースIPアドレスリスト、13c…送信先情報、15,25…通信制御部、20…不正利用防止装置、21a…リスト更新処理部、21b…不正利用防止処理部、21c…パケットモニタリング部、23a…不正利用アドレスリスト、35…DNSサーバ装置、37…プロキシサーバ装置、39…パケット監視部、L…通信線[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network management system that authenticates a network device based on a MAC address and enables the network device to connect to a predetermined network.
[0002]
[Prior art]
In recent years, portable communication terminals (portable personal computers (PCs) equipped with communication means, etc.) have become widespread, and accordingly, DHCP (Digital Communication Protocol), which enables the portable communication terminals to be easily connected to a network, has been developed. An example of providing a dynamic host setting protocol (server) in a network is increasing.
[0003]
As is well known, when a terminal is connected to a network based on TCP / IP communication, it is necessary to assign an IP address to the terminal. Upon receiving a lease request for an IP address from a terminal having a DHCP client function communicably connected to the DHCP server, the DHCP server assigns the IP address to the requesting terminal and assigns the terminal to the network having the TCP / IP configuration. (That is, the terminal is in a state capable of TCP / IP communication with each terminal in the network).
[0004]
Therefore, if a user of the network uses a terminal having a DHCP client function, the user of the network can easily connect his / her own terminal to the network without manually inputting an IP address using the setting screen of the terminal.
Since a network provided with a DHCP server is a well-known and public one, a prior art document relating to such a network is not disclosed here.
[0005]
[Problems to be solved by the invention]
By the way, in the network provided with the DHCP server, the MAC (Media Access Control) address of the network device provided in the terminal is registered in a database in advance, and an IP address is assigned only to the network device provided with the MAC address registered in the database. By constructing a DHCP server so that the network device can be connected to the network, terminals that can be connected to the network can be restricted.
[0006]
However, in the above-described method, a malicious party sets a correct IP address on a network device, enables the network device to connect to the network without going through a DHCP server, and uses the network device to connect to the network. There is a possibility of unauthorized access.
[0007]
In particular, in a network using a DHCP server, an unauthorized access can be performed by remembering the IP address given to the network device from the DHCP server and manually setting the same IP address at a later date. There is a problem that it is difficult to secure security in a network.
[0008]
The present invention has been made in view of such a problem, and in a network management system capable of connecting a network device having a MAC address registered in a database to a network, a network device not registered in the database transfers the network device to the network. The purpose is to prevent unauthorized access.
[0009]
[Means for Solving the Problems]
In order to achieve the above object, a network management system according to the present invention (claim 1) has a database for storing a MAC address of a network device and a network device having only the MAC address stored in the database for a predetermined network. A connection management unit for enabling connection; and an identification information acquisition unit, a connection monitoring unit, and an access prevention unit.
[0010]
The identification information acquisition unit acquires identification information of a network device connected to the predetermined network managed by the connection management unit. The connection monitoring unit determines whether the network device connected to the network is a network device connectable by the connection management unit based on the identification information of the network device acquired by the identification information acquisition unit. I do.
[0011]
In addition, the access blocking means, for a network device in the network that the connection monitoring means has determined not to be a network device that can be connected to the network by the connection management means, transfers the network device to another network device in the network. Prevent access.
[0012]
According to the network management system of the present invention configured as described above, the operation of the connection monitoring means makes it possible to discover a network device illegally connected to the network without the intervention of the connection management means. Can be prevented from accessing other network devices in the network by the access blocking means.
[0013]
Therefore, according to this network management system, it is possible to prevent a network device not registered in the database from illegally accessing a server device or the like in the network, and a malicious user can connect to the network, for example. It is possible to prevent a file or the like from being illegally downloaded from the file server device or the like. That is, according to the present invention, it is possible to appropriately manage a network to which connection is to be restricted.
[0014]
Incidentally, in order to prevent unauthorized access, for example, it is conceivable to temporarily block a device for managing important data in the network from the network. However, adopting such a method is likely to cause dissatisfaction with a legitimate user. Therefore, in the network management system according to the first aspect, it is preferable to specifically configure the access blocking means as described in the second aspect.
[0015]
The access control means in the network management system according to claim 2, wherein the network equipment attempts to access a network equipment in the network which is determined not to be a network equipment connectable to the network by the connection management means. By inputting false information indicating that the other network device does not exist in the network, the network device determined not to be a network device that can be connected to the network by the connection management means is connected to another network device in the network. Prevent access to network equipment.
[0016]
According to the network management system of the second aspect configured as described above, it is possible to selectively obstruct communication between an illegally connected network device and another network device accessed by the network device. Therefore, it is possible to reliably prevent an illegally connected network device from illegally accessing another network device in the network without hindering use of the network by a legitimate network device.
[0017]
When the inventions described in the first and second aspects are applied to a network having a TCP / IP configuration, the network management system may be configured as described in the third aspect.
In the network management system according to claim 3, the connection management means assigns an IP address only to a network device having a MAC address stored in a database based on a dynamic host setting protocol (DHCP), and Can be connected to the predetermined network having a TCP / IP configuration. According to the network management system of the third aspect, it is possible to prevent unauthorized access to the network by a device other than the network device that can be connected to the network of the TCP / IP configuration by the connection management unit.
[0018]
In addition, in the network management system according to the third aspect, it is preferable that the identification information acquisition unit and the connection monitoring unit are configured as described in the fourth aspect. The identification information acquiring means in the network management system according to claim 4 acquires, as the identification information, an IP address of a network device connected to a network.
[0019]
The connection monitoring unit compares the IP address of the network device acquired as the identification information by the identification information acquisition unit with the IP address assigned to the network device by the connection management unit, and thereby connects the network connected to the network. It is determined whether or not the device is a network device that can be connected to the network by the connection management unit.
[0020]
According to the network management system of the fourth aspect, whether or not each network device in the network is a network device connectable by the connection management unit is determined based on the IP address. The monitoring means can easily make the determination.
[0021]
The identification information acquiring means in the network management system according to the fourth aspect may be configured as described in the fifth aspect. The identification information acquiring means in the network management system according to the fifth aspect sends an echo request message addressed to each of the IP addresses belonging to a predetermined range to the network based on the Internet Control Message Protocol (ICMP). Further, the identification information acquiring means receives an echo response message as a response signal to the transmitted echo request message through the network, and changes the IP address of the message transmission source described in the echo response message to a network device connected to the network. It is obtained from the echo response message as identification information.
[0022]
Since the Internet control message protocol is a widely used protocol, the IP address of a network device is collected by a method based on the Internet control message protocol. be able to.
[0023]
However, in this method, since the devices in the network are recognized based on the echo response message, it is not possible to find an unauthorized network device designed not to return the echo response message. Therefore, in order to be able to find such a network device, in the network management system according to the fourth aspect, it is preferable that the identification information acquisition means is configured as in the sixth aspect.
[0024]
7. The identification information acquisition means in the network management system according to claim 6, wherein the identification information acquiring means collects a packet transmitted in the network, and identifies an IP address of a packet transmission source described in the packet to identify a network device connected to the network. Get as information.
[0025]
According to the network management system of the present invention, the network device connected to the network can be recognized based on the source IP address of the packet transmitted in the network, so that the echo response message is not returned. Unauthorized designed network devices can also be detected, and network security can be further strengthened.
[0026]
In addition, in the network management system according to any one of claims 3 to 6, it is preferable that the access control means is configured as described in claim 7.
The access control means in the network management system according to claim 7, wherein the other network equipment which the network equipment tries to access the network equipment determined not to be a network equipment connectable to the network by the connection management means. Is sent based on the Internet Control Message Protocol (ICMP), indicating that it is not present in the.
[0027]
That is, the access blocking means in the network management system according to claim 7 transmits the above-mentioned destination unreachable message based on the Internet Control Message Protocol (ICMP) so that the destination network device is connected to another network in the network. Block access to equipment.
[0028]
Therefore, according to the network management system of the present invention, the communication between the illegally connected network device and the network device accessed by the network device can be selectively blocked by the access blocking means. Thus, it is possible to reliably prevent an unauthorizedly connected network device from illegally accessing another network device in the network without obstructing the use of the network by a legitimate network device.
[0029]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is an explanatory diagram showing a configuration of a network management system 1 according to a first embodiment to which the present invention is applied. 2 is a block diagram (a) showing the configuration of the DHCP server device 10 provided in the network management system 1 and a block diagram (b) showing the configuration of the unauthorized use prevention device 20.
[0030]
The network management system 1 according to the first embodiment includes a gateway device 3, a file server device 5, a DHCP server device 10, and an unauthorized use prevention device 20 connected to each other via a communication line L. The gateway device 3, the file server device 5, the DHCP server device 10, and the unauthorized use prevention device 20 are assigned a fixed IP address in advance by an administrator of the system, and are brought into a state where they can perform TCP / IP communication with each other. ing. That is, in the network management system 1 of the first embodiment, at least the gateway device 3, the file server device 5, the DHCP server device 10, and the unauthorized use prevention device 20 form a TCP / IP-configured local area network (LAN). Have been built.
[0031]
The gateway device 3 of the present embodiment is connected to the Internet as a wide area network (WAN) and plays a role of connecting each user terminal (PC) in the LAN to the WAN. On the other hand, the file server device 5 is a well-known file server device, and includes a CPU, a memory (ROM, RAM), a database storing various files, a communication control unit (not shown), and the like. When a file download request is received from the terminal, the file is provided to the terminal.
[0032]
On the other hand, as shown in FIG. 2A, the DHCP server device 10 includes a control unit 11 including a CPU and memories (ROM, RAM) and the like, and a general control unit for the device, and a storage unit 13 including a hard disk device. And a communication control unit 15 connected to the communication line L and communicating with a network device in the LAN. The DHCP server device 10 executes various programs in the control unit 11, and functions as a DHCP server 11a, an unauthorized use detection processing unit 11b, and a mail server 11c.
[0033]
The DHCP server device 10 includes an address DB (database) 13a in a storage unit 13 for storing a MAC address of a network device to be permitted to connect to the LAN. When a lease request for an IP address is transmitted from a user terminal (PC) having a client function via a communication line L according to a well-known communication procedure based on a dynamic host setting protocol (DHCP), the DHCP server 11a transmits the request to the DHCP server 11a. Then, it is determined whether or not the MAC address transmitted with the lease request is a MAC address registered in the address DB 13a.
[0034]
If the DHCP server 11a determines that the MAC address transmitted from the user terminal (PC) is a MAC address registered in the address DB 13a, the DHCP server 11a sends the request source within the range of the IP address permitted in advance. , And leases (grants) the IP address to the lease requesting user terminal (PC) having the MAC address by a procedure based on DHCP.
[0035]
As a result, the user terminal (PC) is connected to the LAN having the TCP / IP configuration so that TCP / IP communication is possible. The information on the range of IP addresses that can be leased to the user terminal (PC) is stored in the storage unit 13. On the other hand, when determining that the MAC address transmitted from the user terminal (PC) is not registered in the address DB 13a, the DHCP server 11a does not lease (grant) the IP address to the terminal.
[0036]
In the DHCP server device 10, the unauthorized use detection processing unit 11b executes the unauthorized use detection process shown in FIG. 3, so that the terminal connected to the LAN can be connected to the network by the DHCP server 11a. It is determined whether the terminal is a user terminal (PC). FIG. 3 is a flowchart showing an unauthorized use detection process repeatedly executed by the unauthorized use detection processing unit 11b.
[0037]
When the execution of the unauthorized use detection processing is started, the unauthorized use detection processing unit 11b first reads the scanning range information of the IP address in S110. The scanning range information is stored in the storage unit 13 and includes information on the scanning start position and the scanning end position of the IP address. Note that the scanning range of the IP address in the present embodiment does not include the IP addresses assigned to the above-described gateway device 3, file server device 5, DHCP server device 10, and unauthorized use prevention device 20. .
[0038]
When the reading of the scanning range information is completed, the unauthorized use detection processing unit 11b reads the lease IP address list 13b indicating the IP address leased by the DHCP server 11a to the user terminal (PC) (S120).
Thereafter, based on the well-known Internet Control Message Protocol (ICMP), the unauthorized use detection processing unit 11b creates an echo request message destined for each of the IP addresses in the range determined based on the scanning range information, and It sends it out to the LAN and receives the response signal. Then, an echo response message as a response signal to the echo request message received within a predetermined time is analyzed (S130).
[0039]
As is well known, the IP address of the message transmission source is described in the echo response message, and the unauthorized use detection processing unit 11b analyzes each of the echo response messages that can be received, and describes the received echo response message. The IP address of the terminal connected to the LAN is obtained by extracting the IP address of the message transmission source (S130), and the IP address is compared with the IP addresses listed in the lease IP address list (S140).
[0040]
If the unauthorized use detection processing unit 11b determines that an IP address not listed in the lease IP address list exists as the source IP address of the received echo response message based on the comparison result, the unauthorized use detection processing unit 11b is connected to the LAN. If the terminal using the IP address is not the user terminal (PC) that can be connected to the LAN by the DHCP server 11a, but is the terminal that uses the IP address illegally (Yes in S150), An unauthorized address list describing addresses is created (S160).
[0041]
Thereafter, the unauthorized use detection processing unit 11b stores the created unauthorized use address list as log information in the storage unit 13 (S170), creates an email storing the unauthorized use address list, and stores the email. The message is transmitted to a preset destination (for example, with the e-mail address of the system administrator as the destination) (S185). The transmission of the e-mail is performed via the mail server 11c built in the DHCP server device 10. Information on the destination of the e-mail is stored in the storage unit 13 as destination information 13c.
[0042]
When the transmission of the e-mail is completed, the unauthorized use detection processing unit 11b sends the unauthorized use address list to the unauthorized use prevention device 20 (S190). The transmission destination information stores an IP address indicating the destination of the unauthorized use prevention device 20 in addition to the transmission destination of the electronic mail. When the above-described transmission processing ends, the unauthorized use detection processing unit 11b ends the unauthorized use detection processing.
[0043]
Next, the unauthorized use prevention device 20 will be described. FIG. 4 is a flowchart illustrating a process executed by the unauthorized use prevention device 20. FIG. 4A is a flowchart illustrating a list update process repeatedly executed by the list update processing unit 21a of the unauthorized use prevention device 20. FIG. 4B is a flowchart illustrating an unauthorized use prevention process repeatedly executed by the unauthorized use prevention processing unit 21b of the unauthorized use prevention device 20.
[0044]
As shown in FIG. 2B, the unauthorized use prevention device 20 according to the first embodiment includes a control unit 21 having a CPU, a memory (ROM, RAM) and the like, and integrally controlling the device, a hard disk device, and the like. It comprises a storage unit 23 and a communication control unit 25 connected to the communication line L and communicating with network devices in the LAN. In the unauthorized use prevention device 20, the control unit 21 executes various programs, and functions as a list update processing unit 21a, an unauthorized use prevention processing unit 21b, and a packet monitoring unit 21c.
[0045]
The list update processing unit 21a is configured to receive the unauthorized use address list transmitted from the unauthorized use detection processing unit 11b of the DHCP server device 10, and to load the list into the device. That is, when the list update processing unit 21a executes the list update processing illustrated in FIG. 4A, the list update processing unit 21a waits until the unauthorized use address list is transmitted from the unauthorized use detection processing unit 11b of the DHCP server device 10, and performs the unauthorized use. When the address list is received (Yes in S210), the unauthorized use address list is stored in the storage unit 23 (S220).
[0046]
At this time, when the list update processing unit 21a determines that the already stored unauthorized use address list exists in the storage unit 23, the list update processing unit 21a overwrites the currently received unauthorized use address list with the previously used unauthorized use address list. To update the unauthorized address list. When the saving of the unauthorized use address list ends, the list update processing unit 21a ends the list update processing.
[0047]
On the other hand, after executing the unauthorized use prevention processing, the unauthorized use prevention processing unit 21b reads out the unauthorized use address list 23a stored in the storage unit 23 (S310), and then checks the monitoring result of the packet transmitted within the LAN. It is obtained from the monitoring unit 21c (S320).
[0048]
The packet monitoring unit 21c receives a packet transmitted within the LAN without being limited to a packet addressed to itself, and includes information such as the IP address and MAC address of the packet transmission destination and the packet transmission source included in the packet. Is extracted. The extraction result is temporarily stored in a memory or the like of the control unit 21 as a result of monitoring the packet. Since the technique of packet monitoring is well known, further description of the technique will be omitted here.
[0049]
Upon obtaining the monitoring result of the packet (the IP address and the MAC address of the packet transmission destination and the packet transmission source) from the packet monitoring unit 21c, the unauthorized use prevention processing unit 21b reads the IP address from the storage unit 23. It is determined whether the IP address matches the IP address registered in the unauthorized address list (S330). If it is determined that they do not match (No in S330), the process proceeds to S360.
[0050]
On the other hand, if it is determined that the source IP address of the packet transmitted in the LAN matches the IP address registered in the unauthorized use address list (Yes in S330), the unauthorized use prevention processing unit 21b performs the processing based on the ICMP. Then, a destination unreachable message indicating that the destination of the packet does not exist is created (S340), and the destination unreachable message is transmitted to the IP address of the packet transmission source (S350).
[0051]
As is well known, IP (Internet Protocol) is a connectionless protocol, and is not designed for reliable communication. The ICMP has a role of notifying an IP packet transmission source of an error message or the like when an error occurs during transmission of an IP packet in a network having such an IP configuration.
[0052]
The destination unreachable message based on ICMP is usually used when an IP packet sent from a source does not reach a destination. The terminal that has received the destination unreachable message determines that the destination is unknown, and releases the response packet reception standby for the transmitted IP packet, so that the destination of the IP packet transmission source determines that the destination is unknown. Access to the destination is temporarily disabled.
[0053]
In the present embodiment, the destination unreachable message having such a characteristic is transmitted to the terminal using the IP address illegally (S350), so that the terminal using the IP address illegally (that is, illegally connecting to the LAN concerned). This prevents the connected terminal) from accessing other network devices existing in the LAN.
[0054]
When the transmission of the destination unreachable message is completed, the unauthorized use prevention processing unit 21b shifts the processing to S360, and determines whether or not the unauthorized use address list has been updated by the list update processing unit 21a. If it is determined that the unauthorized address list has not been updated (No in S360), the process returns to S320. On the other hand, when it is determined that the unauthorized use address list has been updated (Yes in S360), the unauthorized use prevention process is temporarily terminated, and the unauthorized use prevention process is executed again from S310.
[0055]
The network management system 1 according to the first embodiment has been described above. According to the network management system 1, the DHCP server 11a serving as a connection management unit is registered in the address DB 13a based on the dynamic host setting protocol (DHCP). An IP address is assigned only to the user terminal (PC) having the specified MAC address, and the user terminal (PC) can be connected to the TCP / IP-configured LAN.
[0056]
Further, according to the network management system 1, the unauthorized use detection processing unit 11b having a function as an identification information acquisition unit performs an address scan on an IP address in a range according to the scanning range information, and thereby each of the IP addresses is identified. The destination echo request message is transmitted into the LAN, the echo response message as a response signal is received through the LAN, and the IP address of the message transmission source described in the echo response message is extracted (S130).
[0057]
In addition, according to the present embodiment, the unauthorized use detection processing unit 11b having a function as a connection monitoring unit uses the IP address of the terminal in the LAN obtained by the address scan (S130) and the DHCP server 11a to lease. By comparing the IP address with the IP address, it is determined whether or not each terminal connected to the LAN is a user terminal (PC) that can be connected to the LAN by the DHCP server 11a (S140, S150). .
[0058]
If there is a terminal using an IP address other than the leased IP address, it is determined that the terminal is not a user terminal (PC) that can be connected to the LAN via the DHCP server 11a. (Yes in S150), an unauthorized use address list representing the IP address used by the terminal is created, and the unauthorized use address list is transmitted to the unauthorized use prevention device 20 having the function as the access blocking means of the present invention. (S190).
[0059]
When the unauthorized use prevention device 20 receives the unauthorized use address list from the DHCP server device 10, the unauthorized use prevention processing unit 21b lists the unauthorized use address list in the unauthorized use address list based on the packet monitoring result by the packet monitoring unit 21c. It is determined whether or not a packet has been transmitted from the terminal using the IP address into the LAN (S330), and if the packet has been transmitted into the LAN from the terminal using the IP address listed in the unauthorized use address list. If it is determined (Yes in S330), a destination unreachable message as false information indicating that the access destination of the terminal does not exist in the LAN is transmitted to the transmission source of the packet (S350).
[0060]
Thereby, the unauthorized use prevention device 20 allows the terminal other than the user terminal (PC) to which the IP address is assigned from the DHCP server 11a to be connected to another network device (user terminal (PC) or server device) in the LAN. To prevent access.
Therefore, according to the network management system 1 of the present embodiment, it is possible to prevent a terminal connected to the LAN without going through the DHCP server 11a from illegally accessing a network device (such as the file server device 5) in the LAN. For example, it is possible to prevent a malicious user from illegally downloading a file or the like from the file server device 5.
[0061]
Further, according to the network management system 1 of the present embodiment, it is possible to selectively obstruct communication of an illegally connected terminal, so that unauthorized access can be reliably performed without obstructing use of the network by a legitimate user. Can be blocked. In addition, according to the present embodiment, information on the IP address used in the LAN is collected and illegal access is prevented by using the widely spread Internet Control Message Protocol (ICMP), so that the cost is reduced. The network management system of the present invention can be constructed.
[0062]
Next, a second embodiment will be described. In the following, description of each unit having the same configuration as the first embodiment will be omitted.
FIG. 5 is a block diagram illustrating a configuration of the network management system 30 according to the second embodiment. As shown in FIG. 5, the network management system 30 according to the second embodiment includes a gateway device 3 connected to a communication line L, an unauthorized use prevention device 20, a DHCP server device 31, a file server device 33, and a DNS server. A (Domain Name System) server device 35 and a proxy server device 37 are provided.
[0063]
The gateway device 3, the unauthorized use prevention device 20, the DHCP server device 31, the file server device 33, the DNS server device 35, and the proxy server device 37 in the network management system 30 of the second embodiment are previously managed by the system administrator. , A fixed IP address is assigned, and they are in a state where they can perform TCP / IP communication with each other. That is, the network management system 30 according to the second embodiment includes a TCP / IP system including a gateway device 3, an unauthorized use prevention device 20, a DHCP server device 31, a file server device 33, a DNS server device 35, and a proxy server device 37. A LAN having an IP configuration is constructed.
[0064]
The file server device 33, the DNS server device 35, and the proxy server device 37 of the second embodiment each include a control unit including a CPU and a memory, a storage unit including a hard disk, and a communication control unit. The control unit executes various programs for functioning as the respective server devices. Further, each of the file server device 33, the DNS server device 35, and the proxy server device 37 in the second embodiment is configured to realize the function as the packet monitoring unit 39 by the control unit.
[0065]
FIG. 6 is a flowchart illustrating a packet monitoring process repeatedly executed by the packet monitoring unit 39. The packet monitoring unit 39 records the reception result of the packet transmitted to the own device by executing the packet monitoring process illustrated in FIG. 6, and transmits the recording result to the DHCP server device 31.
[0066]
More specifically, the packet monitoring unit 39 extracts the IP address of the packet transmission source included in the packet transmitted to the own device in S410, and temporarily stores the extracted IP address as a reception record in a memory or the like. (S420).
Thereafter, the packet monitoring unit 39 determines whether a predetermined transmission condition of the reception record is satisfied (S430). If not (No in S430), the process returns to S410. Until the transmission condition is satisfied, the source IP address of the packet transmitted to the own device is sequentially extracted (S410), and it is additionally stored in a memory or the like (S420). Note that the packet monitoring unit 39 may be configured to determine that the transmission condition is satisfied, for example, when the reception records for the predetermined number of packets are accumulated, or that the transmission condition is satisfied after the predetermined time elapses. It may be configured to determine that the operation has been performed.
[0067]
When determining that the transmission condition is satisfied in S430 (Yes in S430), the packet monitoring unit 39 advances the processing to S440, and stores the transmission source address list indicating the transmission source IP address of the packet received by the own device. It is created based on the reception record, and transmits the source address list to the DHCP server device 31. After that, the packet monitoring unit 39 ends the packet monitoring process.
[0068]
On the other hand, the DHCP server device 31 of the second embodiment is configured to execute the unauthorized use detection processing shown in FIG. FIG. 7 is a flowchart showing an unauthorized use detection process repeatedly executed by the unauthorized use detection processing unit 32.
[0069]
The DHCP server device 31 of the second embodiment includes a control unit 11, a storage unit 13, and a communication control unit 15 having substantially the same configuration as the DHCP server device 10 of the first embodiment described above. At 11, the function as the DHCP server 11a, the unauthorized use detection processing unit 32 which is substituted for the unauthorized use detection processing unit 11b of the first embodiment, and the function as the mail server 11c is realized.
[0070]
After performing the unauthorized use detection process shown in FIG. 7, the unauthorized use detection processing unit 32 waits until a source address list is received from the packet monitoring unit 39, and receives the source address list from the packet monitoring unit 39 (S510). Yes), reads the lease IP address list 13b from the storage unit 13 (S520), and compares the IP addresses listed in the source address list with the IP addresses listed in the lease IP address list 13b (S530). ).
[0071]
Then, based on the comparison result, if it is determined that an IP address not listed in the lease IP address list exists in the source address list, the unauthorized use detection processing unit 32 determines that the terminal using the IP address is the DHCP server 11a. Is not a user terminal (PC) that can be connected to the LAN, but a terminal that uses the IP address illegally in the LAN (Yes in S540), and creates an unauthorized use address list describing the IP address. (S550). If it is determined in S540 that there is no terminal that illegally uses the IP address, the unauthorized use detection processing unit 32 returns the process to S510.
[0072]
When the creation of the unauthorized use address list in S550 is completed, the unauthorized use detection processing unit 32 saves the unauthorized use address list as log information in the storage unit 13 (S560), and sends the electronic mail storing the unauthorized use address list. Is created (S570), and the e-mail is transmitted to a preset destination (S580).
[0073]
When the transmission of the e-mail is completed, the unauthorized use detection processing unit 32 transmits the unauthorized use address list to the unauthorized use prevention device 20 (S590). When the transmission of the unauthorized use address list is completed, the unauthorized use detection processing unit 32 ends the unauthorized use detection processing.
[0074]
On the other hand, the unauthorized use prevention device 20 that receives the unauthorized use address list has the same configuration as that of the first embodiment. That is, in the unauthorized use prevention device 20, the source IP address of the packet transmitted in the LAN matches the IP address registered in the unauthorized use address list, based on the monitoring result obtained from the packet monitoring unit 21c. It is determined whether the packet matches (S330), and if it is determined that the packet matches (Yes in S330), a destination unreachable message indicating that the destination of the packet does not exist is created (S340), and the IP address of the packet transmission source is set The destination unreachable message is transmitted (S350). As a result, a terminal that illegally uses the IP address is prevented from accessing another network device in the LAN.
[0075]
As described above, the network management system 30 according to the second embodiment has been described. According to the network management system according to the second embodiment, the packet monitoring unit 39 built in each server device functioning as the identification information acquiring unit transmits the packet within the LAN. Then, a packet transmitted to the own device is collected, an IP address of a packet transmission source described in the packet is obtained as identification information of a network device connected to the LAN, and the packet transmission source IP address is obtained. Is provided to the unauthorized use detection processing unit 32 of the DHCP server device 31.
[0076]
Further, the unauthorized use detection processing unit 32 creates an unauthorized use address list based on the transmission source address list and the lease IP address list, and uses the unauthorized use address list as an access prevention unit of the present invention. 20.
[0077]
That is, according to the network management system 30 of the second embodiment, the terminal that illegally uses the IP address is identified based on the source address list, so that the unauthorized network device designed not to return the echo response message can be used. Can be found, and unauthorized access to the LAN can be reliably prevented.
[0078]
Note that the network management systems 1 and 30 of the present invention are not limited to the above-described embodiment, but can adopt various aspects. In the above embodiment, an example in which one DHCP server device 10 or 31 is provided in the LAN has been described. However, the present invention may be applied to, for example, a network management system including a plurality of DHCP server devices in the LAN. .
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating a configuration of a network management system 1 according to a first embodiment.
FIG. 2 is a block diagram illustrating a configuration of a DHCP server device 10 and an unauthorized use prevention device 20.
FIG. 3 is a flowchart illustrating an unauthorized use detection process executed by an unauthorized use detection processing unit 11b.
FIG. 4 is a flowchart showing a list update process and an unauthorized use prevention process executed by the control unit 21 by the unauthorized use prevention device 20.
FIG. 5 is a flowchart illustrating a configuration of a network management system 30 according to a second embodiment.
FIG. 6 is a flowchart showing a packet monitoring process executed by a packet monitoring unit 39 by each server device of the second embodiment.
FIG. 7 is a flowchart showing an unauthorized use detection process executed by the unauthorized use detection processing unit 32 by the DHCP server device 31.
[Explanation of symbols]
1, 30: Network management system, 3: Gateway device, 5, 33: File server device, 10, 31: DHCP server device, 11, 21: Control unit, 11a: DHCP server, 11b, 32: Unauthorized use detection processing unit , 11c: mail server, 13, 23: storage unit, 13a: address DB, 13b: lease IP address list, 13c: destination information, 15, 25: communication control unit, 20: unauthorized use prevention device, 21a: list update Processing unit 21b Unauthorized use prevention processing unit 21c Packet monitoring unit 23a Unauthorized use address list 35 DNS server device 37 Proxy server device 39 Packet monitoring unit L Communication line

Claims (7)

ネットワーク機器のMACアドレスを記憶するデータベースと、
該データベースに記憶されたMACアドレスを有するネットワーク機器のみを所定のネットワークに接続可能とする接続管理手段と、
前記ネットワークに接続されたネットワーク機器の識別情報を取得する識別情報取得手段と、
該識別情報取得手段が取得した前記ネットワーク機器の識別情報に基づいて、前記ネットワークに接続されたネットワーク機器が、前記接続管理手段によって前記ネットワークに接続可能とされたネットワーク機器であるか否かを判断する接続監視手段と、
該接続監視手段が、前記接続管理手段によって前記ネットワークに接続可能とされたネットワーク機器ではないと判断した前記ネットワーク機器について、該ネットワーク機器が前記ネットワーク内の他のネットワーク機器へアクセスするのを阻止するアクセス阻止手段と、
を備えることを特徴とするネットワーク管理システム。A database for storing MAC addresses of network devices;
Connection management means for connecting only a network device having a MAC address stored in the database to a predetermined network;
Identification information acquisition means for acquiring identification information of a network device connected to the network,
Based on the identification information of the network device acquired by the identification information acquisition unit, it is determined whether the network device connected to the network is a network device connectable to the network by the connection management unit. Connection monitoring means,
The connection monitoring unit, for the network device determined to be not a network device connectable to the network by the connection management unit, prevents the network device from accessing another network device in the network. Access blocking means;
A network management system comprising: 前記アクセス阻止手段は、前記接続監視手段が前記接続管理手段によって前記ネットワークに接続可能とされたネットワーク機器ではないと判断した前記ネットワーク機器に、該ネットワーク機器がアクセスを試みる前記他のネットワーク機器が前記ネットワーク内に存在しないことを表す虚偽情報を入力することによって、該ネットワーク機器が前記ネットワーク内の他のネットワーク機器へアクセスするのを阻止することを特徴とする請求項1に記載のネットワーク管理システム。The access blocking unit is configured so that the other network device that the network device attempts to access to the network device determined by the connection monitoring unit to be not a network device enabled to connect to the network by the connection management unit is the network device. 2. The network management system according to claim 1, wherein inputting false information indicating that the network device does not exist in the network prevents the network device from accessing other network devices in the network. 前記ネットワークはTCP/IP構成のネットワークであり、前記接続管理手段は、動的ホスト設定プロトコル(DHCP)に基づき、前記データベースに記憶されたMACアドレスを有するネットワーク機器のみにIPアドレスを付与して、該ネットワーク機器を前記ネットワークに接続可能とすることを特徴とする請求項1に記載のネットワーク管理システム。The network is a network having a TCP / IP configuration, and the connection management means assigns an IP address only to a network device having a MAC address stored in the database based on a dynamic host setting protocol (DHCP), The network management system according to claim 1, wherein the network device is connectable to the network. 前記識別情報取得手段は、前記ネットワークに接続されたネットワーク機器の前記識別情報として、前記ネットワークに接続されたネットワーク機器のIPアドレスを取得し、
前記接続監視手段は、前記識別情報取得手段が前記識別情報として取得したネットワーク機器のIPアドレスと、前記接続管理手段によってネットワーク機器に付与されたIPアドレスと、を比較することによって、前記ネットワークに接続されたネットワーク機器が、前記接続管理手段によって前記ネットワークに接続可能とされたネットワーク機器であるか否かを判断することを特徴とする請求項3に記載のネットワーク管理システム。The identification information obtaining means obtains, as the identification information of the network device connected to the network, an IP address of the network device connected to the network,
The connection monitoring unit connects to the network by comparing the IP address of the network device acquired by the identification information acquisition unit as the identification information with the IP address assigned to the network device by the connection management unit. 4. The network management system according to claim 3, wherein it is determined whether or not the connected network device is a network device that can be connected to the network by the connection management unit. 5. 前記識別情報取得手段は、インターネット制御メッセージプロトコル(ICMP)に基づき、予め定められた範囲に属するIPアドレスの夫々を宛先としたエコー要求メッセージを前記ネットワーク内に送出し、該エコー要求メッセージに対する応答信号としてのエコー応答メッセージを前記ネットワークを通じて受信すると、該エコー応答メッセージに記述された該メッセージ送信元のIPアドレスを、前記ネットワークに接続されたネットワーク機器の識別情報として取得することを特徴とする請求項4に記載のネットワーク管理システム。The identification information acquisition means sends an echo request message addressed to each of IP addresses belonging to a predetermined range to the network based on the Internet Control Message Protocol (ICMP), and a response signal to the echo request message Receiving an echo response message as the above through the network, acquiring the IP address of the message transmission source described in the echo response message as identification information of a network device connected to the network. 5. The network management system according to 4. 前記識別情報取得手段は、前記ネットワーク内で伝送されるパケットを収集して、該パケットに記述された該パケット送信元のIPアドレスを、前記ネットワークに接続されたネットワーク機器の識別情報として取得することを特徴とする請求項4に記載のネットワーク管理システム。The identification information acquisition means collects a packet transmitted in the network, and acquires an IP address of the packet transmission source described in the packet as identification information of a network device connected to the network. The network management system according to claim 4, wherein: 前記アクセス阻止手段は、前記接続監視手段が前記接続管理手段によって前記ネットワークに接続可能とされたネットワーク機器ではないと判断した前記ネットワーク機器に、該ネットワーク機器がアクセスを試みる前記他のネットワーク機器が前記ネットワーク内に存在しないことを表す宛先到達不能メッセージを、インターネット制御メッセージプロトコル(ICMP)に基づき送信することによって、該ネットワーク機器が前記ネットワーク内の他のネットワーク機器へアクセスするのを阻止することを特徴とする請求項3〜請求項6のいずれかに記載のネットワーク管理システム。The access blocking unit is configured so that the other network device that the network device attempts to access to the network device determined by the connection monitoring unit to be not a network device enabled to connect to the network by the connection management unit is the network device. Blocking the network device from accessing other network devices in the network by transmitting a destination unreachable message indicating that the network device does not exist in the network based on the Internet Control Message Protocol (ICMP). The network management system according to any one of claims 3 to 6, wherein
JP2003026265A 2003-02-03 2003-02-03 Network management system Pending JP2004241831A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003026265A JP2004241831A (en) 2003-02-03 2003-02-03 Network management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003026265A JP2004241831A (en) 2003-02-03 2003-02-03 Network management system

Publications (1)

Publication Number Publication Date
JP2004241831A true JP2004241831A (en) 2004-08-26

Family

ID=32954323

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003026265A Pending JP2004241831A (en) 2003-02-03 2003-02-03 Network management system

Country Status (1)

Country Link
JP (1) JP2004241831A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007053681A (en) * 2005-08-19 2007-03-01 Ricoh Co Ltd Device, method, and program for communication
JP2008535304A (en) * 2005-03-24 2008-08-28 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, apparatus, and computer program for detecting network attacks (network attack detection)
JP2020188303A (en) * 2019-05-10 2020-11-19 アズビル株式会社 Monitoring device and monitoring method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008535304A (en) * 2005-03-24 2008-08-28 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, apparatus, and computer program for detecting network attacks (network attack detection)
JP4753264B2 (en) * 2005-03-24 2011-08-24 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, apparatus, and computer program for detecting network attacks (network attack detection)
JP2007053681A (en) * 2005-08-19 2007-03-01 Ricoh Co Ltd Device, method, and program for communication
JP2020188303A (en) * 2019-05-10 2020-11-19 アズビル株式会社 Monitoring device and monitoring method
JP7232121B2 (en) 2019-05-10 2023-03-02 アズビル株式会社 Monitoring device and monitoring method

Similar Documents

Publication Publication Date Title
US8972571B2 (en) System and method for correlating network identities and addresses
JP4260116B2 (en) Secure virtual private network
EP1733533B1 (en) System and method for user authorization access management at the local administrative domain during the connection of a user to an ip network
JP4596275B2 (en) Method, system and software for detecting relay communication
US7418486B2 (en) Automatic discovery and configuration of external network devices
KR101032057B1 (en) Information processing device, server client system, method, and computer program
KR100544395B1 (en) Apparatus connected to network, storage medium and address determination method
US8161148B2 (en) Communication device and method for setting the communication setting required to establish communication
US9215234B2 (en) Security actions based on client identity databases
KR20000054538A (en) System and method for intrusion detection in network and it&#39;s readable record medium by computer
CN102077546A (en) Remote access between UPnP devices
US20230179619A1 (en) System and Method for Device Context and Device Security
US7134140B2 (en) Token-based authentication for network connection
JP2006287299A (en) Network control method and device, and control program
CN110611682A (en) Network access system, network access method and related equipment
JP2007018081A (en) User authentication system, user authentication method, program for achieving the same, and storage medium storing program
JP2010283553A (en) Network management method based on kind of equipment, network management device, program
JP2003018178A (en) Method for preventing unautherized access to intelligent relay unit and program thereof and recording medium with its program recorded and intelligent relay unit and lan system
KR100856918B1 (en) Method for IP address authentication in IPv6 network, and IPv6 network system
JP2004241831A (en) Network management system
JP2004078280A (en) Remote access mediation system and method
JP3792654B2 (en) Network connection apparatus and unauthorized access prevention method
CN114629725A (en) User domain dumb terminal management method, device, system and storage medium
JP4484190B2 (en) Router search system, router search method, and router search program
KR100909115B1 (en) Network automatic login system

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20041026

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050331

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20051012