JP2007174406A - Illegitimate access preventing apparatus and illegitimate access preventing program - Google Patents

Illegitimate access preventing apparatus and illegitimate access preventing program Download PDF

Info

Publication number
JP2007174406A
JP2007174406A JP2005370977A JP2005370977A JP2007174406A JP 2007174406 A JP2007174406 A JP 2007174406A JP 2005370977 A JP2005370977 A JP 2005370977A JP 2005370977 A JP2005370977 A JP 2005370977A JP 2007174406 A JP2007174406 A JP 2007174406A
Authority
JP
Japan
Prior art keywords
address
terminal
mac address
unauthorized access
segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005370977A
Other languages
Japanese (ja)
Other versions
JP4767683B2 (en
Inventor
Giichi Asano
義一 浅野
Hideyuki Amahisa
英幸 天久
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005370977A priority Critical patent/JP4767683B2/en
Publication of JP2007174406A publication Critical patent/JP2007174406A/en
Application granted granted Critical
Publication of JP4767683B2 publication Critical patent/JP4767683B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an illegitimate access preventing apparatus and an illegitimate access preventing program for preventing an illegitimate access that completely prevent the illegitimate access by disabling an access of an illegitimate terminal to the inside of a segment and an access to the outside of the segment. <P>SOLUTION: The illegitimate access preventing apparatus including: a means for collating stored security information with security information attached to a main IP address to check the received security information when receiving communication of the main IP address attached with security information from a terminal on the basis of a temporary IP address and a MAC address of the terminal; a means for allocating the main IP address to the terminal when a result of the collation indicates OK; and a means for transmitting the allocated main IP address to the terminal being a request source on the basis of the temporary IP address and the MAC address of the terminal and making the terminal communicable with another terminal on the basis of the main IP address and the MAC address of the terminal, is provided between a segment and another segment. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、不正アクセスを防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。   The present invention relates to an unauthorized access prevention device and an unauthorized access prevention program for preventing unauthorized access.

従来、ネットワークに接続された複数の端末がワームなどのウィルスに感染された端末からの感染を防ぐために、感染した端末のIPアドレスを調べて、その感染している端末が存在するセグメントにある他の端末が持つ当該感染端末のMACアドレスを書き換えることで、当該セグメント内の感染の拡大を防ぐ技術がある(特許文献1)。
特開2005−286877号公報 Conventionally, in order to prevent multiple terminals connected to the network from being infected by a worm or other virus-infected terminal, the IP address of the infected terminal is examined, and other terminals in the segment where the infected terminal exists There is a technique for preventing the spread of infection in the segment by rewriting the MAC address of the infected terminal of the terminal (Patent Document 1).
JP 2005-286877 A

上述した技術では、セグメント内の他の端末へのアクセスを不可にして感染の拡大を防止できるが、しかし、感染端末が接続されているセグメント外にはアクセスできてしまい、充分な感染防止がされていないという問題があった。   With the technology described above, it is possible to prevent the spread of infection by disabling access to other terminals in the segment, but it is possible to access outside the segment to which the infected terminal is connected, thus preventing sufficient infection. There was a problem that not.

本発明は、これらの問題を解決するため、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にするようにしている。   In order to solve these problems, the present invention assigns a temporary IP address to a terminal and assigns a correct IP address when the security information check is OK to prevent unauthorized access, and monitors unauthorized access. When found, the MAC address of the unauthorized terminal is invalidated, and the MAC address of the unauthorized terminal in the definition table of the firewall is invalidated so that access to other segments is disabled.

本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックを行い、セキュリティ上の問題がないと判断したときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして、不正端末からの他のセグメントへのアクセスを不可にすることにより、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することが可能となる。   The present invention assigns a temporary IP address to a terminal to check security information, and when it is determined that there is no security problem, assigns a primary IP address to prevent unauthorized access and monitors unauthorized access. Invalidate the MAC address of the unauthorized terminal and disable the MAC address of the unauthorized terminal in the definition table of the firewall to disable access to other segments from the unauthorized terminal. It is possible to completely prevent unauthorized access by disabling access within the segment of the terminal and access outside the segment.

本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することを実現した。   The present invention assigns a temporary IP address to a terminal and assigns a primary IP address when the security information check is OK to prevent unauthorized access, and monitors unauthorized access to detect the MAC of the unauthorized terminal. Invalidate the address and disable the MAC address of the unauthorized terminal in the definition table held by the firewall to disable access to other segments, and disable unauthorized access within the segment and access outside the segment. Realized that access was completely prevented.

図1は、本発明のシステム構成図を示す。
図1の(a)は、特定セグメントに専用装置3を設置する場合を示す。図1の(a)は、本発明に係る専用装置3を1つの特定セグメントと、他のセグメントとの間に接続(設置)したものであって、当該特定セグメント内のネットワークに接続された端末1から、当該特定セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者を防止するものである。 FIG. 1 shows a system configuration diagram of the present invention.
(A) of FIG. 1 shows the case where the dedicated apparatus 3 is installed in a specific segment. (A) of FIG. 1 is a device in which the dedicated device 3 according to the present invention is connected (installed) between one specific segment and another segment, and is connected to a network in the specific segment. 1 prevents both unauthorized access to other terminals 1 in the specific segment and unauthorized access to terminals 1 of other segments.

図1の(a)において、端末1は、不正アクセスを防止する端末であって、ここでは、セグメントA(特定セグメント)に接続された端末であり、エージェント11、クライアント情報12、およびARPテーブル13などから構成されるものである。   In FIG. 1A, a terminal 1 is a terminal that prevents unauthorized access, and here is a terminal connected to a segment A (specific segment), and includes an agent 11, client information 12, and an ARP table 13. Etc.

エージェント11は、端末1にインストールしたものであって、端末1の不正アクセスを防止するためのもの(プログラム)である(図2から図7を用いて後述する)。   The agent 11 is installed in the terminal 1 and is a program (program) for preventing unauthorized access of the terminal 1 (described later with reference to FIGS. 2 to 7).

クライアント情報12は、端末1が保持する情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報、MACアドレスなど)である(図5参照)。   The client information 12 is information (hardware information, software information, security information, MAC address, etc.) held by the terminal 1 (see FIG. 5).

ARPテーブル13は、通信相手の端末のIPアドレス、MACアドレスなどを登録して管理するテーブルである(図7の(a)参照)。   The ARP table 13 is a table for registering and managing the IP address, MAC address, and the like of the communication partner terminal (see FIG. 7A).

スイッチ2は、多数の端末1が相互に通信するための公知のスイッチ(宛先に向けてパケットを送信するもの)である。   The switch 2 is a well-known switch (a device that transmits a packet toward a destination) that allows a large number of terminals 1 to communicate with each other.

専用装置3は、本発明に係る装置であって、ここでは、1つの特定セグメント(セグメントA)と他のセグメントとの間に接続(設置)した装置であり、DHCPサーバ31、IP割当手段32、定義書換手段33、ファイアウォール34などから構成されるものである。   The dedicated device 3 is a device according to the present invention, which is a device connected (installed) between one specific segment (segment A) and another segment, and includes a DHCP server 31 and an IP allocation means 32. , A definition rewriting unit 33, a firewall 34, and the like.

DHCPサーバ31は、公知のセグメント内の端末に一意のIPアドレスを割り当てて相互に通信可能にするものである。   The DHCP server 31 assigns a unique IP address to terminals in a publicly known segment so that they can communicate with each other.

ファイアウォール34は、特定セグメントと、外部の他のセグメントの端末との間の不正アクセスを防止する公知のものである(図2から図8参照)。   The firewall 34 is a well-known firewall that prevents unauthorized access between a specific segment and a terminal in another external segment (see FIGS. 2 to 8).

図1の(b)は、複数のセグメントと、他のセグメントとの間に専用装置3を設置する場合を示す。図1の(b)は、本発明に係る専用装置3を複数のセグメントにそれぞれ設置(接続)したものであって、各セグメント内のネットワークに接続された複数の端末1が、当該各セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者をそれぞれ防止するものである。端末1、専用装置3は、図1の(a)の端末1、専用装置3と同じであるので説明を省略する。   FIG. 1B shows a case where the dedicated device 3 is installed between a plurality of segments and other segments. FIG. 1 (b) shows a case where dedicated devices 3 according to the present invention are installed (connected) in a plurality of segments, and a plurality of terminals 1 connected to a network in each segment are connected to each segment. Both unauthorized access to the other terminal 1 and unauthorized access to the terminal 1 of another segment are prevented. The terminal 1 and the dedicated device 3 are the same as the terminal 1 and the dedicated device 3 in FIG.

次に、図2のフローチャートの順番に従い、図1の構成の動作を詳細に説明する。
図2は、本発明の動作説明フローチャートを示す。ここで、端末1は、エージェント11、クライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12、ARPテーブル13から構成され、図1の端末1、エージェント11、クライアント情報12、ARPテーブル13と同じである。また、専用装置3は、情報送受信機能36、検疫機能37、メール送信機能38、DHCPサーバ31などから構成され、図1と図2の専用装置3、DHCPサーバ31は同じである。 Next, the operation of the configuration of FIG. 1 will be described in detail according to the order of the flowchart of FIG.
FIG. 2 shows a flowchart for explaining the operation of the present invention. Here, the terminal 1 includes an agent 11, client information (hardware information, software information, security information) 12, and an ARP table 13, and is the same as the terminal 1, the agent 11, the client information 12, and the ARP table 13 in FIG. It is. The dedicated device 3 includes an information transmission / reception function 36, a quarantine function 37, a mail transmission function 38, a DHCP server 31, and the like. The dedicated device 3 and the DHCP server 31 in FIGS. 1 and 2 are the same.

図2の本発明の動作説明フローチャートを用いて処理の一例の説明を行う。
(ステップS1)端末1は、専用装置3に接続要求する。本実施の一例では、端末1を例えば図1の(a)のセグメントAのLANに新規に接続し、当該端末1のMACアドレスを通知して仮IPアドレスの割当要求を行う。 An example of processing will be described with reference to the operation explanation flowchart of the present invention in FIG.
(Step S1) The terminal 1 issues a connection request to the dedicated device 3. In this example, the terminal 1 is newly connected to the LAN of segment A in FIG. 1A, for example, and the MAC address of the terminal 1 is notified and a temporary IP address allocation request is made.

(ステップS2)専用装置3は、ステップS1で端末1から通知されたMACアドレスが、DHCPサーバ31に予め登録されているMACアドレスか判別する。MACアドレスが予め登録されている場合(YESの場合)には、専用装置3は予め仮IPアドレスの割当を行っても良いMACアドレスの端末1からの仮IPアドレスの要求と判断し、仮IPアドレスを割り当てる。   (Step S <b> 2) The dedicated device 3 determines whether the MAC address notified from the terminal 1 in Step S <b> 1 is a MAC address registered in advance in the DHCP server 31. When the MAC address is registered in advance (in the case of YES), the dedicated device 3 determines that the temporary IP address is requested from the terminal 1 of the MAC address to which the temporary IP address may be allocated in advance, and the temporary IP address is determined. Assign an address.

(ステップS3)専用装置3は、当該仮IPアドレスを発行し、端末1に通知する。
(ステップS4)専用装置3は、ステップS2において、ステップS1で端末1から通知されたMACアドレスがDHCPサーバ31に予め登録されているMACアドレスではないと判断すると、仮IPアドレスを割り当てることなく、不正アクセスとしてログファイルなどに記録する。専用端末3が未登録のMACアドレスの端末1に対しては仮IPアドレスを発行しないことで、未登録のMACアドレスの端末1からのアクセスを不可にし、不正アクセスを防止する。 (Step S3) The dedicated device 3 issues the temporary IP address and notifies the terminal 1 of it.
(Step S4) When the dedicated device 3 determines in Step S2 that the MAC address notified from the terminal 1 in Step S1 is not a MAC address registered in advance in the DHCP server 31, it does not assign a temporary IP address. Record in the log file as unauthorized access. Since the dedicated terminal 3 does not issue a temporary IP address to the terminal 1 having an unregistered MAC address, access from the terminal 1 having an unregistered MAC address is disabled and unauthorized access is prevented.

(ステップS5)は、ステップS3で仮IPアドレスの発行を受けた端末1のエージェント11がパケットに仮IPアドレス、MACアドレス、および端末1のクライアント情報12を設定して当該パケットを専用装置3に送信し、正IPアドレスの要求を行う。   In step S5, the agent 11 of the terminal 1 that has received the temporary IP address issued in step S3 sets the temporary IP address, MAC address, and client information 12 of the terminal 1 in the packet, and sends the packet to the dedicated device 3. Send and request the primary IP address.

(ステップS6)専用装置1の情報送受信機能は、ステップS5で受信したパケットに設定されているクライアント情報12を保存する。   (Step S6) The information transmission / reception function of the dedicated device 1 stores the client information 12 set in the packet received in Step S5.

(ステップS7)専用装置1の情報送受信機能36が専用装置1の検疫機能37に検疫依頼する。   (Step S7) The information transmission / reception function 36 of the dedicated device 1 makes a quarantine request to the quarantine function 37 of the dedicated device 1.

(ステップS8)専用装置1は、ステップS7で検疫依頼を受けた検疫機能37がステップS6で保存した端末1のクライアント情報12と、セキュリティポリシ情報39に予め格納しておいた当該端末1のクライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12とを読み出し、ステップS5で正IPアドレスの要求を行った端末1の接続を許可するか否かを判断する。本実施の一例では、端末1から送られてきたクライアント情報12が、予め格納しておいたセキュリティポリシ情報39中のクライアント情報と一致しすると、真正の端末1からの正IPアドレスの割当要求と判断し、ステップS9に遷移する。   (Step S8) The dedicated device 1 uses the client information 12 of the terminal 1 stored in step S6 by the quarantine function 37 that received the quarantine request in step S7 and the client of the terminal 1 stored in advance in the security policy information 39. The information (hardware information, software information, security information) 12 is read out, and it is determined whether or not the connection of the terminal 1 that has requested the primary IP address is permitted in step S5. In an example of this embodiment, when the client information 12 sent from the terminal 1 matches the client information in the security policy information 39 stored in advance, the assignment request of the genuine IP address from the genuine terminal 1 is Judge and transition to step S9.

(ステップS9)専用装置3は、DHCPサーバ設定ファイル40を編集して正IPアドレスを割り当てる。   (Step S9) The dedicated device 3 edits the DHCP server setting file 40 and assigns a primary IP address.

(ステップS10)専用装置3は、DHCPサーバを再起動して、ステップS9で割り当てた正IPアドレスを有効にする。   (Step S10) The dedicated device 3 restarts the DHCP server and validates the primary IP address assigned in Step S9.

(ステップS11)専用装置3は、結果(ここでは、正IPアドレスを割り当てた旨の通知)を情報送受信機能36を経由して端末1のエージェント11に通知する。   (Step S11) The dedicated device 3 notifies the agent 11 of the terminal 1 of the result (in this case, notification that the primary IP address has been assigned) via the information transmission / reception function 36.

一方、ステップS8において、端末1から送られてきたクライアント情報が専用装置3のセキュリティポリシ情報39のクライアント情報と一致しない場合、専用装置3は、一致しないクライアント情報を送信した端末1からの正IPアドレスの要求と判断し、ステップS12に遷移する。   On the other hand, if the client information sent from the terminal 1 does not match the client information in the security policy information 39 of the dedicated device 3 in step S8, the dedicated device 3 sends the correct IP from the terminal 1 that transmitted the mismatched client information. The request is determined as an address request, and the process proceeds to step S12.

(ステップS12)専用端末3は、警告メッセージ送信要求して警告メッセージを端末1に送信する。これにより、正IPアドレスの発行を拒否された端末1は、正IPアドレスが発行されず、他の端末と通信不可であり、不正アクセスを防止できる。   (Step S12) The dedicated terminal 3 sends a warning message to the terminal 1 in response to a warning message transmission request. As a result, the terminal 1 that is refused to issue the primary IP address is not issued the primary IP address, cannot communicate with other terminals, and can prevent unauthorized access.

(ステップS13)ステップS11で正IPアドレスを割り当てた旨の連絡を受けた端末1のエージェント11が正IPアドレスの取得要求をDHCPサーバ31に送信する。   (Step S <b> 13) The agent 11 of the terminal 1 that has received the notification that the primary IP address has been assigned in Step S <b> 11 transmits a request for acquiring the primary IP address to the DHCP server 31.

(ステップS14)ステップS13の取得要求を受信したDHCPサーバ31が当該端末1に正IPアドレスを発行し、通知する。端末1では、発行された正IPアドレスと自身のMACアドレスなどをARPテーブル13に設定するなどし、以降、端末1は、発行された正IPドレスおよび自端末1のMACアドレスを用いて図1で自セグメント内、更に他のセグメント内の他の端末1と自由にパケット通信することが可能となる。   (Step S14) The DHCP server 31 that has received the acquisition request in Step S13 issues and notifies the terminal 1 of the primary IP address. The terminal 1 sets the issued primary IP address, its own MAC address, and the like in the ARP table 13, and thereafter, the terminal 1 uses the issued primary IP address and the MAC address of its own terminal 1 as shown in FIG. Thus, it is possible to freely perform packet communication with other terminals 1 in the own segment and in other segments.

以上のように、端末1をあるセグメントに接続すると、当該端末1は自端末1のMACアドレスを通知してDHCPサーバ31に仮IPアドレスの発行要求を行うが、登録されていないときは仮IPアドレスが発行されず、未登録MACアドレスの端末1は通信が不可とされ、不正アクセスを防止できる。次に、MACアドレスが登録されていて仮IPアドレスの発行を受けた端末11がクライアント情報を送信して正IPアドレスの発行要求しても、予め登録したセキュリティポリシ情報39中のクライアント情報と照合して一致しないときは正IPアドレスが発行されず、正しいMACアドレスを持っていても正しいクライアント情報を持っていない端末1には正IPアドレスの発行をしなく、不正アクセスを防止できる。ここで、正しいクライアント情報を持っている端末1は、初めて正IPアドレスの発行を受け、当該正IPアドレス、自端末のMACアドレスを用いて他の端末1と相互に通信することが可能となる。   As described above, when the terminal 1 is connected to a certain segment, the terminal 1 notifies the MAC address of the terminal 1 and issues a temporary IP address issuance request to the DHCP server 31. An address is not issued, and the terminal 1 having an unregistered MAC address cannot be communicated, and unauthorized access can be prevented. Next, even if the terminal 11 that has been registered with the MAC address and has received the provisional IP address transmits the client information and requests to issue the primary IP address, it collates with the client information in the security policy information 39 registered in advance. If they do not match, the primary IP address is not issued, and the unauthorized access can be prevented without issuing the primary IP address to the terminal 1 that has the correct MAC address but does not have the correct client information. Here, the terminal 1 having the correct client information is issued with the primary IP address for the first time, and can communicate with other terminals 1 using the primary IP address and the MAC address of the own terminal. .

図3は、本発明の応答文例(DHCP.CONFの例)を示す。これは、既述した図2のS8で端末1から送信されてきたクライアント情報12と、予め登録しておいたセキュリティポリシ情報39中のクライアント情報とを比較し、一致したときに合格として、図中の合格とした電文(正IPアドレスなど)を端末1に専用装置3が送信する例を示す。一致しないときに不合格として、図中の不合格とした電文(仮IPアドレスなど)を端末1に専用装置3が送信する例を示す。   FIG. 3 shows an example of a response sentence (example of DHCP.CONF) of the present invention. This is because the client information 12 transmitted from the terminal 1 in S8 of FIG. 2 described above is compared with the client information in the security policy information 39 registered in advance. An example in which the dedicated device 3 transmits a message (a correct IP address or the like) that has passed in the terminal 1 to the terminal 1 is shown. An example in which the dedicated device 3 transmits to the terminal 1 a telegram (such as a temporary IP address) in FIG.

図4は、本発明の動作説明フローチャート(情報送信)を示す。これは、管理者がセキュリティポリシ情報39、DHCPサーバ設定ファイル40などを変更し、セキュリティを管理するときの様子を示す。   FIG. 4 is a flowchart for explaining the operation of the present invention (information transmission). This shows a state when the administrator changes the security policy information 39, the DHCP server setting file 40, and the like to manage security.

図4において、(ステップS21)専用装置3のセキュリティポリシ変更機能は、管理者が端末(管理)を操作したのを受け付けて、セキュリティポリシ情報を変更する。本実施の一例では、ウイルスパターン情報を最新のものに変更(更新)すると共に、セキュリティポリシ情報39中のウィルスパターン情報(バージョン情報)を最新の情報に変更(更新)する。   In FIG. 4, (step S21) The security policy change function of the dedicated device 3 accepts that the administrator has operated the terminal (management), and changes the security policy information. In this example, the virus pattern information is changed (updated) to the latest information, and the virus pattern information (version information) in the security policy information 39 is changed (updated) to the latest information.

(ステップS22)DHCPサーバ31は、ステップS21でセキュリティポリシ情報が編集されると、必要に応じてDHCPサーバ設定ファイル40の内容を編集する。本実施の一例では、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されると、端末1群に割り当て済の正IPアドレスが無効になるように、DHCPサーバ設定ファイル40を編集する。専用装置3は、DHCPサーバ設定ファイル40を編集した場合には、DHCPサーバ31を再起動し、編集後のDHCPサーバ設定ファイル40を有効にする。   (Step S22) When the security policy information is edited in step S21, the DHCP server 31 edits the contents of the DHCP server setting file 40 as necessary. In this example, when the virus pattern information in the security policy information of the dedicated device 3 is changed, the DHCP server setting file 40 is edited so that the primary IP address assigned to the terminal group 1 becomes invalid. When the dedicated device 3 edits the DHCP server setting file 40, the dedicated device 3 restarts the DHCP server 31 and validates the edited DHCP server setting file 40.

(ステップS23)専用装置3は、専用装置3の情報送受信機能36に、端末1に対して、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信するように指示を行う。   (Step S23) The dedicated device 3 has changed the virus pattern information of the security policy information of the dedicated device 3 to the information transmission / reception function 36 of the dedicated device 3, and the primary IP address has been changed. An instruction is sent to transmit information indicating.

(ステップS24)専用装置3の情報送受信機能36は、端末1に、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信する。   (Step S24) The information transmission / reception function 36 of the dedicated device 3 transmits to the terminal 1 information indicating that the virus pattern information of the security policy information of the dedicated device 3 has been changed and that the primary IP address has been changed.

端末1は、ステップS24の通知を受けて、ウイルスパターンを専用端末3のセキュリティポリシ情報が持つウイルスパターンの情報にバージョンアップを行うことでクライアント情報12のウイルスパターン情報を更新して、先述のステップS5以下の処理を行うことにより正IPアドレスの要求を行い、専用装置3に正IPアドレスの発行をさせる。   Upon receiving the notification in step S24, the terminal 1 updates the virus pattern information in the client information 12 by upgrading the virus pattern to the virus pattern information included in the security policy information of the dedicated terminal 3, and the above-described step A request for a primary IP address is made by performing the processing from S5 onward, and the dedicated device 3 is issued a primary IP address.

以上によって、管理者が随時、ウイルスパータン情報(バージョン情報)などを更新して各端末1のクライアント情報12中の該等情報を最新に更新することにより、既述した図2のS8のチェック時に、端末1から送信されてきたクライアント情報12と、セキュリティポリシ情報39中のクライアント情報と照合して一致したときのみ正IPアドレスを割り当て、一方、一致しないときは正IPアドレスを割り当てない(あるいは既に正IPアドレスを割り当てていたときは仮IPアドレスに変更する)という手順を行うことにより、随時更新した最新のセキュリティポリシ情報をもとに不正アクセスをチェックし、不正アクセスのときは正IPアドレスの割り当てた端末1と言えども仮IPアドレスに変更し、セキュリティを確保することが可能となる。   As described above, the administrator updates the virus pattern information (version information) and the like at any time to update the equivalent information in the client information 12 of each terminal 1 to the latest, so that the above-described check at S8 in FIG. The primary IP address is assigned only when the client information 12 transmitted from the terminal 1 matches the client information in the security policy information 39 by matching, while the primary IP address is not assigned when they do not match (or already (If the primary IP address has been assigned, change it to a temporary IP address) to check for unauthorized access based on the latest security policy information updated at any time. Even the assigned terminal 1 is changed to a temporary IP address to ensure security Theft is possible.

図5は、本発明のクライアント情報例を示す。これは、既述した図2、図4の端末1が保持するクライアント情報12の例を示す。クライアント情報12は、図示の下記の情報を対応づけて登録したものであり、図4で説明したように、管理者が随時、更新、変更可能なものである。   FIG. 5 shows an example of client information of the present invention. This shows an example of the client information 12 held by the terminal 1 shown in FIGS. The client information 12 is registered by associating the following information shown in the figure, and can be updated and changed at any time by the administrator as described with reference to FIG.

・ハードウェア情報:
・BIOS Number
・CPU Nmmber
・ハードディスク Number
・ソフトウェア情報:
・ウイルスパターンバージョン
・OSバッチバージョン
・セキュリテイ情報:
・端末ID
・ログインID
ここで、ハードウェア情報は、端末1のハードウェア情報であって、例えば図示のBIOSの番号、CPUの番号、ハードディスク装置の番号などである。ソフトウェア情報は、端末1にインストールされているソフトウェアの情報であって、ウイルスパターンバージョン、OSのバッチバージョンなどである。セキュリティ情報は、端末のID,ログインIDなどである。 ・ Hardware information:
・ BIOS Number
・ CPU Nmmber
・ Hard Disk Number
・ Software information:
-Virus pattern version-OS batch version-Security information:
・ Terminal ID
・ Login ID
Here, the hardware information is the hardware information of the terminal 1 and includes, for example, the illustrated BIOS number, CPU number, and hard disk device number. The software information is information on software installed in the terminal 1, such as a virus pattern version and an OS batch version. The security information is a terminal ID, a login ID, and the like.

以上のように、端末1のハードウェア情報、ソフトウェア情報、セキュリティ情報からなるクライアント情報12を、図4で説明したように、管理者がネットワークを介し随時更新、変更し、よりセキュリティの高いシステムを実現し、不正端末1による不正アクセスを防止することが可能となる。   As described above, the client information 12 including the hardware information, software information, and security information of the terminal 1 is updated and changed as needed via the network by the administrator as described with reference to FIG. It is possible to prevent unauthorized access by the unauthorized terminal 1.

図6は、本発明の動作説明フローチャート(不正チェック)を示す。
図6の(a)は全体フローチャートを示し、図6の(b)は詳細フローチャートを示す。端末1、専用装置3は、図1の端末1、専用装置3である。 FIG. 6 shows a flowchart for explaining the operation of the present invention (fraud check).
6A shows an overall flowchart, and FIG. 6B shows a detailed flowchart. The terminal 1 and the dedicated device 3 are the terminal 1 and the dedicated device 3 in FIG.

図6の(a)において、(ステップS31)専用装置3の不正PCチェック機能42が不正PC監視する。本実施の一例では、後述する図6の(b)のステップS41で専用装置3がPingコマンドをブロードキャストアドレスで発行し、ステップS42で専用装置3がARPコマンドでARPテーブル13の一覧を取得する(Macアドレス一覧を取得する)。更に、図6の(b)のステップS43で専用装置3がネットワークに流れるパケットを取得し、ステップS44で専用装置3がパケット解析で送信元のIPアドレスとMACアドレスを取得する。   6A, (Step S31) The unauthorized PC check function 42 of the dedicated device 3 monitors unauthorized PCs. In this example, the dedicated device 3 issues a Ping command with a broadcast address in step S41 of FIG. 6B described later, and the dedicated device 3 acquires a list of the ARP table 13 with an ARP command in step S42 ( Get a list of Mac addresses). Further, in step S43 of FIG. 6B, the dedicated device 3 acquires a packet flowing through the network, and in step S44, the dedicated device 3 acquires the source IP address and MAC address by packet analysis.

以上によって、セグメント内のネットワークに接続されている端末1群のMACアドレス、更に、ARPテーブル13に登録されている通信相手のIPアドレスとMACアドレス、更に、ネットワークに流れているパケットに設定されている送信元のIPアドレスとMACアドレスを収集してその一覧を作成することが可能となる。   As described above, the MAC address of the group of terminals connected to the network in the segment, the IP address and MAC address of the communication partner registered in the ARP table 13, and the packet flowing through the network are set. It is possible to collect a list of IP addresses and MAC addresses of existing senders and create a list thereof.

(ステップS32)専用装置3は、DHCPサーバ設定ファイル40の内容(通信を許可されたMACアドレス)を読み込む。   (Step S32) The dedicated device 3 reads the contents of the DHCP server configuration file 40 (MAC address permitted for communication).

(ステップS33)専用装置3は、ステップS32で読み込んだMACアドレスは登録されているか判別する(図6の(b)のS45)。これは、ステップS31で収集したMACアドレスが、ステップS32で読み出したDHCPサーバ設定ファイル40にある通信許可された端末1のMACアドレスか判別する。YESの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスと判明したので、終了する。NOの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスでないと判明したので、ステップS34でクライアントPC状態情報を編集(即ち、不許可MACアドレスを登録)し、更に、ファイアウォール定義テーブル43に設定(当該MACアドレスを無効に設定)する。ファイアウォール定義テーブル43中の不正MACアドレスを無効(意味の値に変更)する(図8の(b)参照)ことで、ファイアウォール34で当該端末1からのパケットを阻止し、不正MACアドレスの端末1がファイアウォールを越えて外部のセグメントにパケット送信できないようにする。また、端末1のARPテーブル13に登録されている通信相手の端末1のIPアドレスとMACアドレスの対のうち、不正MACアドレスを無効にし、各端末1から不正MACアドレスの端末1へアクセスできないように設定する(図8の(a)参照)。   (Step S33) The dedicated device 3 determines whether or not the MAC address read in Step S32 is registered (S45 in FIG. 6B). It is determined whether the MAC address collected in step S31 is the MAC address of the terminal 1 permitted to communicate in the DHCP server setting file 40 read in step S32. In the case of YES, since the collected MAC address is found to be the MAC address of the terminal 1 that is permitted to communicate, the process ends. In the case of NO, since it is found that the collected MAC address is not the MAC address of the terminal 1 permitted to communicate, the client PC status information is edited (that is, the unauthorized MAC address is registered) in step S34, and the firewall Set in the definition table 43 (set the MAC address to invalid). The invalid MAC address in the firewall definition table 43 is invalidated (changed to a meaningful value) (see (b) in FIG. 8), whereby the firewall 34 blocks the packet from the terminal 1 and the terminal 1 with the illegal MAC address. Prevents packets from being sent across the firewall to external segments. Further, the invalid MAC address is invalidated from the pair of the IP address and the MAC address of the communication partner terminal 1 registered in the ARP table 13 of the terminal 1 so that each terminal 1 cannot access the terminal 1 having the unauthorized MAC address. (See (a) of FIG. 8).

(ステップS35)専用装置3は、警告メール送信要求をメール送信機能38に行い、メール送信する。これにより、不正MACアドレスの不正端末1がネットワークに接続されている旨をメールで管理者に知らせることが可能となる(図6の(b)のS47)。   (Step S35) The dedicated device 3 sends a warning mail transmission request to the mail transmission function 38 and transmits the mail. As a result, it is possible to notify the administrator by e-mail that the unauthorized terminal 1 with the unauthorized MAC address is connected to the network (S47 in FIG. 6B).

(ステップS36)専用装置3は、不正端末がネットワークに接続されている旨の警告メッセージを全ての端末1に送信して全ての利用者に知らせる(図6の(b)のS47)。   (Step S36) The dedicated device 3 transmits a warning message to the effect that an unauthorized terminal is connected to the network to all the terminals 1 to notify all users (S47 in FIG. 6B).

以上によって、セグメント内のネットワークに接続されている端末1のMACアドレスを収集およびネットワークに流れているパケットを監視して送信元のMACアドレスを収集し、これら収集したMACアドレスが通信許可された端末1のMACアドレスか判別し、通信許可されていないMACアドレスが検出されたときに、当該不正MACアドレスについて全端末1および管理者に知らせて注意を促すことが可能となる。更に、ファイアウォール定義テーブル43中の当該不正MACアドレスを無効(意味のないMACアドレスに書き換える)にし、セグメントと他のセグメントとの間に接続したファイアウォール34で当該不正MACアドレスのパケットを阻止し、不正MACアドレスの端末1がセグメントの外に通信不可とすることが可能となる。また、専用装置3が全端末1のARPテーブル13中のIPアドレスとMACアドレスのうちの不正MACアドレスを無効に自動的に書き換えることにより、当該端末1から不正端末1に通信不可にすることが可能となる。尚、各端末1のARPテーブル13は所定時間毎にクリアされるので、その毎あるいはそれよりも短い時間毎に、専用装置3が全端末1のARPテーブル13中の不正MACアドレスを見つけたときに無効に書き換える。   As described above, the MAC address of the terminal 1 connected to the network in the segment is collected, the packet flowing in the network is monitored, the source MAC address is collected, and the collected MAC address is permitted to communicate with the terminal. When a MAC address that is not permitted to communicate is detected, it is possible to notify all the terminals 1 and the administrator about the unauthorized MAC address to call attention. Further, the invalid MAC address in the firewall definition table 43 is invalidated (rewritten to a meaningless MAC address), and the packet of the invalid MAC address is blocked by the firewall 34 connected between the segment and another segment. It becomes possible for the terminal 1 with the MAC address to disable communication outside the segment. In addition, the dedicated device 3 may automatically disable the unauthorized MAC address of the IP address and MAC address in the ARP table 13 of all terminals 1 to disable communication from the terminal 1 to the unauthorized terminal 1. It becomes possible. Since the ARP table 13 of each terminal 1 is cleared every predetermined time, the dedicated device 3 finds an illegal MAC address in the ARP table 13 of all the terminals 1 every time or every shorter time. Rewrite to invalid.

図7は、本発明のテーブル例を示す。
図7の(a)は、ARPテーブルの例を示す。ARPテーブル13は、各端末1が持つものであって、図示の下記の情報を対応づけて登録したものである。 FIG. 7 shows an example table of the present invention.
FIG. 7A shows an example of an ARP table. The ARP table 13 is held by each terminal 1 and is registered in association with the following information shown in the figure.

・IPアドレス:
・MACアドレス:
・Type:
ここで、IPアドレスはセグメント内で一意に割り当てられたアドレスである。MACアドレスは端末1が持つ固有の一意のID(アドレス)である。TypeはIPアドレス,MACアドレスのタイプを表す(ここでは、動的に書換可能なタイプを表す)。ここで、上段のMACアドレスは、00−00−00−00−00−00は無効に設定した例を示す。尚、ARPテーブル13には、通信相手の端末1のIPアドレス、MACアドレスMの対を登録する。 ・ IP address:
・ MAC address:
・ Type:
Here, the IP address is an address uniquely assigned in the segment. The MAC address is a unique ID (address) unique to the terminal 1. Type represents the type of IP address or MAC address (here, it represents a type that can be dynamically rewritten). Here, the upper MAC address shows an example in which 00-00-00-00-00-00 is set invalid. In the ARP table 13, a pair of the IP address and the MAC address M of the communication partner terminal 1 is registered.

図7の(b)は、ファイアウォール定義テーブルの例を示す。ファイアフォール定義テーブル35は、ファイアフォール34が保持するテーブルであって、当該ファイルフォール34を通過あるいは阻止するための情報を設定するものであり、本発明では不正MACアドレスについて無効に設定し、パケットの通過を阻止し、セグメント内の不正端末1からセグメント外のネットワークへの送信(アクセス)を不可にするものである。   FIG. 7B shows an example of the firewall definition table. The firewall definition table 35 is a table held by the firewall 34, and sets information for passing or blocking the file fall 34. In the present invention, an invalid MAC address is set to be invalid and a packet is set. Transmission (access) from the unauthorized terminal 1 in the segment to the network outside the segment is prohibited.

(付記1)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と、
を有すること特徴とする不正アクセス防止装置。 (Appendix 1)
In the unauthorized access prevention device for preventing unauthorized access,
When communication of the request for this IP address with security information added and the temporary IP address and MAC address of the terminal set is received from the terminal, it is determined whether to allow access by checking the security information held Access determination means to
IP assigning means for assigning the IP address when the access judging means judges that access is permitted;
A reply means for returning the IP address assigned by the IP assignment means to the requesting terminal;
An unauthorized access preventing apparatus comprising:

(付記2)
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と、
を併せて有することを特徴とする付記1記載の不正アクセス防止装置。 (Appendix 2)
Collection means for monitoring the access of the terminal in the certain segment and collecting the IP address and the MAC address, and when the unauthorized access is detected from the IP address and the MAC address, Rewriting means for invalidally rewriting the MAC address of the pair of IP address and MAC address;
The unauthorized access prevention apparatus according to supplementary note 1, further comprising:

(付記3)
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 (Appendix 3)
In the unauthorized access prevention device for preventing unauthorized access,
A firewall between one segment and the other,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that.

(付記4)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 (Appendix 4)
In the unauthorized access prevention device for preventing unauthorized access,
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
Means for setting the temporary IP address and MAC address to the requesting terminal and returning the assigned IP address to the requesting terminal and setting the IP address and the MAC address of the terminal to enable communication with other terminals; Between one segment and the other,
A firewall is provided between the certain segment and the other segment,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that.

(付記5)
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。 (Appendix 5)
In the unauthorized access prevention program that prevents unauthorized access,
A computer installed in a device connected between one segment and another segment
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
An unauthorized access prevention program for causing the assigned IP address to operate as a means for setting and returning the temporary IP address and MAC address to a requesting terminal.

(付記6)
あるセグメントと他のセグメントとの間に接続したファイアウォールで不正アクセスを防止する不正アクセス防止プログラムにおいて、
コンピュータを、
あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスを検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
して動作させるための不正アクセス防止プログラム。 (Appendix 6)
In an unauthorized access prevention program that prevents unauthorized access with a firewall connected between a segment and another segment,
Computer
Means for monitoring the access of terminals in a segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access from the collected IP address and MAC address;
When the unauthorized access terminal is detected, the firewall operates as a means for invalidating the MAC address of the unauthorized terminal in the definition table defining MAC addresses that can be communicated with the terminals of the other segments. Unauthorized access prevention program.

本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。   The present invention assigns a temporary IP address to a terminal and assigns a primary IP address when the security information check is OK to prevent unauthorized access, and monitors unauthorized access to detect the MAC of the unauthorized terminal. Invalidate the address and disable the MAC address of the unauthorized terminal in the definition table of the firewall to disable access to other segments, and disable unauthorized access within the segment and outside the segment. The present invention relates to an unauthorized access prevention device and an unauthorized access prevention program that completely prevent access.

本発明のシステム構成図である。It is a system configuration diagram of the present invention. 本発明の動作説明フローチャートである。It is an operation | movement explanatory flowchart of this invention. 本発明の応答文例である。It is an example of a response sentence of the present invention. 本発明の動作説明フローチャート(情報送信)である。It is operation | movement description flowchart (information transmission) of this invention. 本発明のクライアント情報例である。It is an example of client information of the present invention. 本発明の動作説明フローチャート(不正チェック)である。It is an operation | movement explanatory flowchart (fraud check) of this invention. 本発明のテーブル例である。It is an example table of this invention.

符号の説明Explanation of symbols

1:端末
11:エージェント
12:クライアント情報
13:ARPテーブル
2:スイッチ
3:専用装置
31:DHCPサーバ
34:ファイアウォール
35:検疫マネージャ
36:情報送受信機能
37:検疫機能
38:メール送信機能
39:セキュリティポリシ情報
40:DHCPサーバ設定ファイル
41:セキュリティポリシ変更機能
42:不正PCチェック機能 1: Terminal 11: Agent 12: Client information 13: ARP table 2: Switch 3: Dedicated device 31: DHCP server 34: Firewall 35: Quarantine manager 36: Information transmission / reception function 37: Quarantine function 38: Mail transmission function 39: Security policy Information 40: DHCP server setting file 41: Security policy change function 42: Unauthorized PC check function

Claims (5)

不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と
を有すること特徴とする不正アクセス防止装置。 In the unauthorized access prevention device for preventing unauthorized access,
When communication of the request for this IP address with security information added and the temporary IP address and MAC address of the terminal set is received from the terminal, it is determined whether to allow access by checking the security information held Access determination means to
IP assigning means for assigning the IP address when the access judging means judges that access is permitted;
An unauthorized access preventing apparatus, comprising: reply means for returning the IP address assigned by the IP assigning means to the requesting terminal. 前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と
を併せて有することを特徴とする請求項1記載の不正アクセス防止装置。 Collection means for monitoring the access of the terminal in the certain segment and collecting the IP address and the MAC address, and when the unauthorized access is detected from the IP address and the MAC address, 2. The unauthorized access preventing apparatus according to claim 1, further comprising rewriting means for invalidally rewriting the MAC address of the pair of IP address and MAC address. 不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 In the unauthorized access prevention device for preventing unauthorized access,
A firewall between one segment and the other,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that. 不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 In the unauthorized access prevention device for preventing unauthorized access,
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
Means for setting the temporary IP address and MAC address to the requesting terminal and returning the assigned IP address to the requesting terminal and setting the IP address and the MAC address of the terminal to enable communication with other terminals; Between one segment and the other,
A firewall is provided between the certain segment and the other segment,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that. 不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。 In the unauthorized access prevention program that prevents unauthorized access,
A computer installed in a device connected between one segment and another segment
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
An unauthorized access prevention program for causing the assigned IP address to operate as a means for setting and returning the temporary IP address and MAC address to a requesting terminal.
JP2005370977A 2005-12-22 2005-12-22 Relay device, unauthorized access prevention device, and access control program Expired - Fee Related JP4767683B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005370977A JP4767683B2 (en) 2005-12-22 2005-12-22 Relay device, unauthorized access prevention device, and access control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005370977A JP4767683B2 (en) 2005-12-22 2005-12-22 Relay device, unauthorized access prevention device, and access control program

Publications (2)

Publication Number Publication Date
JP2007174406A true JP2007174406A (en) 2007-07-05
JP4767683B2 JP4767683B2 (en) 2011-09-07

Family

ID=38300354

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005370977A Expired - Fee Related JP4767683B2 (en) 2005-12-22 2005-12-22 Relay device, unauthorized access prevention device, and access control program

Country Status (1)

Country Link
JP (1) JP4767683B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009008076A1 (en) * 2007-07-11 2009-01-15 Fujitsu Limited Authentication system, terminal authentication apparatus, and authentication process program
WO2009022689A1 (en) * 2007-08-14 2009-02-19 Japan Lucida Co., Ltd. Device data management system
JP2009201098A (en) * 2008-01-22 2009-09-03 Fujitsu Ltd Address distribution system, method, and program for the program
JP2020514903A (en) * 2017-03-22 2020-05-21 ノートンライフロック インコーポレイテッド System and method for enforcing dynamic network security policy

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11136274A (en) * 1997-10-28 1999-05-21 Toshiba Corp Communication management system, communication management equipment, node and recording medium recorded with communication management program
JP2000307657A (en) * 1999-03-30 2000-11-02 Internatl Business Mach Corp <Ibm> Router monitor system for data transmission system using network dispatcher for host cluster
JP2003526138A (en) * 1999-06-25 2003-09-02 ヤコブス リンメル リミテッド Automated connection service system
WO2005036831A1 (en) * 2003-10-07 2005-04-21 Fujitsu Limited Frame relay device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11136274A (en) * 1997-10-28 1999-05-21 Toshiba Corp Communication management system, communication management equipment, node and recording medium recorded with communication management program
JP2000307657A (en) * 1999-03-30 2000-11-02 Internatl Business Mach Corp <Ibm> Router monitor system for data transmission system using network dispatcher for host cluster
JP2003526138A (en) * 1999-06-25 2003-09-02 ヤコブス リンメル リミテッド Automated connection service system
WO2005036831A1 (en) * 2003-10-07 2005-04-21 Fujitsu Limited Frame relay device

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009008076A1 (en) * 2007-07-11 2009-01-15 Fujitsu Limited Authentication system, terminal authentication apparatus, and authentication process program
JP5018883B2 (en) * 2007-07-11 2012-09-05 富士通株式会社 Authentication system, terminal authentication device, and authentication processing program
US8312513B2 (en) 2007-07-11 2012-11-13 Fujitsu Limited Authentication system and terminal authentication apparatus
WO2009022689A1 (en) * 2007-08-14 2009-02-19 Japan Lucida Co., Ltd. Device data management system
JP2009201098A (en) * 2008-01-22 2009-09-03 Fujitsu Ltd Address distribution system, method, and program for the program
JP4633837B2 (en) * 2008-01-22 2011-02-16 富士通株式会社 Address distribution system, method and program therefor
US8335840B2 (en) 2008-01-22 2012-12-18 Fujitsu Limited Address distribution system and method and program for the same
JP2020514903A (en) * 2017-03-22 2020-05-21 ノートンライフロック インコーポレイテッド System and method for enforcing dynamic network security policy

Also Published As

Publication number Publication date
JP4767683B2 (en) 2011-09-07

Similar Documents

Publication Publication Date Title
US8256003B2 (en) Real-time network malware protection
EP1313290B1 (en) A personal firewall with location dependent functionality
JP4327630B2 (en) Storage area network system, security system, security management program, storage device using Internet protocol
JP4148526B2 (en) Apparatus and method for detecting a network address translation device.
JP2007036374A (en) Packet transfer apparatus, communication network, and packet transfer method
JP2006319982A (en) Worm-specifying and non-activating method and apparatus in communications network
JP2008177714A (en) Network system, server, ddns server, and packet relay device
JPWO2009031453A1 (en) Network security monitoring device and network security monitoring system
JP2020017809A (en) Communication apparatus and communication system
JP2006268492A (en) Program, client authentication request method, server authentication request processing method, client, and server
JP2008092465A (en) Apparatus and method for managing/controlling connection of computer terminal to network for communication
JP2006287299A (en) Network control method and device, and control program
JP4636345B2 (en) Security policy control system, security policy control method, and program
JP4767683B2 (en) Relay device, unauthorized access prevention device, and access control program
JP6616733B2 (en) Network system and server device
JP4437107B2 (en) Computer system
JP6134954B1 (en) Network security device, network management method, and program
JP3590394B2 (en) Packet transfer device, packet transfer method, and program
US20050243730A1 (en) Network administration
JP5509999B2 (en) Unauthorized connection prevention device and program
JP2008141352A (en) Network security system
KR20150026187A (en) System and Method for dropper distinction
WO2016170598A1 (en) Information processing apparatus, method, and program
JP4381411B2 (en) Virus infection monitoring device and program
KR102445916B1 (en) Apparatus and method for managing terminal in network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080416

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100409

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100709

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110615

R150 Certificate of patent or registration of utility model

Ref document number: 4767683

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees