JP2007174406A - Illegitimate access preventing apparatus and illegitimate access preventing program - Google Patents
Illegitimate access preventing apparatus and illegitimate access preventing program Download PDFInfo
- Publication number
- JP2007174406A JP2007174406A JP2005370977A JP2005370977A JP2007174406A JP 2007174406 A JP2007174406 A JP 2007174406A JP 2005370977 A JP2005370977 A JP 2005370977A JP 2005370977 A JP2005370977 A JP 2005370977A JP 2007174406 A JP2007174406 A JP 2007174406A
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- mac address
- unauthorized access
- segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、不正アクセスを防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。 The present invention relates to an unauthorized access prevention device and an unauthorized access prevention program for preventing unauthorized access.
従来、ネットワークに接続された複数の端末がワームなどのウィルスに感染された端末からの感染を防ぐために、感染した端末のIPアドレスを調べて、その感染している端末が存在するセグメントにある他の端末が持つ当該感染端末のMACアドレスを書き換えることで、当該セグメント内の感染の拡大を防ぐ技術がある(特許文献1)。
上述した技術では、セグメント内の他の端末へのアクセスを不可にして感染の拡大を防止できるが、しかし、感染端末が接続されているセグメント外にはアクセスできてしまい、充分な感染防止がされていないという問題があった。 With the technology described above, it is possible to prevent the spread of infection by disabling access to other terminals in the segment, but it is possible to access outside the segment to which the infected terminal is connected, thus preventing sufficient infection. There was a problem that not.
本発明は、これらの問題を解決するため、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にするようにしている。 In order to solve these problems, the present invention assigns a temporary IP address to a terminal and assigns a correct IP address when the security information check is OK to prevent unauthorized access, and monitors unauthorized access. When found, the MAC address of the unauthorized terminal is invalidated, and the MAC address of the unauthorized terminal in the definition table of the firewall is invalidated so that access to other segments is disabled.
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックを行い、セキュリティ上の問題がないと判断したときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして、不正端末からの他のセグメントへのアクセスを不可にすることにより、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することが可能となる。 The present invention assigns a temporary IP address to a terminal to check security information, and when it is determined that there is no security problem, assigns a primary IP address to prevent unauthorized access and monitors unauthorized access. Invalidate the MAC address of the unauthorized terminal and disable the MAC address of the unauthorized terminal in the definition table of the firewall to disable access to other segments from the unauthorized terminal. It is possible to completely prevent unauthorized access by disabling access within the segment of the terminal and access outside the segment.
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することを実現した。 The present invention assigns a temporary IP address to a terminal and assigns a primary IP address when the security information check is OK to prevent unauthorized access, and monitors unauthorized access to detect the MAC of the unauthorized terminal. Invalidate the address and disable the MAC address of the unauthorized terminal in the definition table held by the firewall to disable access to other segments, and disable unauthorized access within the segment and access outside the segment. Realized that access was completely prevented.
図1は、本発明のシステム構成図を示す。
図1の(a)は、特定セグメントに専用装置3を設置する場合を示す。図1の(a)は、本発明に係る専用装置3を1つの特定セグメントと、他のセグメントとの間に接続(設置)したものであって、当該特定セグメント内のネットワークに接続された端末1から、当該特定セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者を防止するものである。
FIG. 1 shows a system configuration diagram of the present invention.
(A) of FIG. 1 shows the case where the
図1の(a)において、端末1は、不正アクセスを防止する端末であって、ここでは、セグメントA(特定セグメント)に接続された端末であり、エージェント11、クライアント情報12、およびARPテーブル13などから構成されるものである。
In FIG. 1A, a
エージェント11は、端末1にインストールしたものであって、端末1の不正アクセスを防止するためのもの(プログラム)である(図2から図7を用いて後述する)。
The
クライアント情報12は、端末1が保持する情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報、MACアドレスなど)である(図5参照)。
The
ARPテーブル13は、通信相手の端末のIPアドレス、MACアドレスなどを登録して管理するテーブルである(図7の(a)参照)。 The ARP table 13 is a table for registering and managing the IP address, MAC address, and the like of the communication partner terminal (see FIG. 7A).
スイッチ2は、多数の端末1が相互に通信するための公知のスイッチ(宛先に向けてパケットを送信するもの)である。
The
専用装置3は、本発明に係る装置であって、ここでは、1つの特定セグメント(セグメントA)と他のセグメントとの間に接続(設置)した装置であり、DHCPサーバ31、IP割当手段32、定義書換手段33、ファイアウォール34などから構成されるものである。
The
DHCPサーバ31は、公知のセグメント内の端末に一意のIPアドレスを割り当てて相互に通信可能にするものである。
The DHCP
ファイアウォール34は、特定セグメントと、外部の他のセグメントの端末との間の不正アクセスを防止する公知のものである(図2から図8参照)。 The firewall 34 is a well-known firewall that prevents unauthorized access between a specific segment and a terminal in another external segment (see FIGS. 2 to 8).
図1の(b)は、複数のセグメントと、他のセグメントとの間に専用装置3を設置する場合を示す。図1の(b)は、本発明に係る専用装置3を複数のセグメントにそれぞれ設置(接続)したものであって、各セグメント内のネットワークに接続された複数の端末1が、当該各セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者をそれぞれ防止するものである。端末1、専用装置3は、図1の(a)の端末1、専用装置3と同じであるので説明を省略する。
FIG. 1B shows a case where the
次に、図2のフローチャートの順番に従い、図1の構成の動作を詳細に説明する。
図2は、本発明の動作説明フローチャートを示す。ここで、端末1は、エージェント11、クライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12、ARPテーブル13から構成され、図1の端末1、エージェント11、クライアント情報12、ARPテーブル13と同じである。また、専用装置3は、情報送受信機能36、検疫機能37、メール送信機能38、DHCPサーバ31などから構成され、図1と図2の専用装置3、DHCPサーバ31は同じである。
Next, the operation of the configuration of FIG. 1 will be described in detail according to the order of the flowchart of FIG.
FIG. 2 shows a flowchart for explaining the operation of the present invention. Here, the
図2の本発明の動作説明フローチャートを用いて処理の一例の説明を行う。
(ステップS1)端末1は、専用装置3に接続要求する。本実施の一例では、端末1を例えば図1の(a)のセグメントAのLANに新規に接続し、当該端末1のMACアドレスを通知して仮IPアドレスの割当要求を行う。
An example of processing will be described with reference to the operation explanation flowchart of the present invention in FIG.
(Step S1) The
(ステップS2)専用装置3は、ステップS1で端末1から通知されたMACアドレスが、DHCPサーバ31に予め登録されているMACアドレスか判別する。MACアドレスが予め登録されている場合(YESの場合)には、専用装置3は予め仮IPアドレスの割当を行っても良いMACアドレスの端末1からの仮IPアドレスの要求と判断し、仮IPアドレスを割り当てる。
(Step S <b> 2) The
(ステップS3)専用装置3は、当該仮IPアドレスを発行し、端末1に通知する。
(ステップS4)専用装置3は、ステップS2において、ステップS1で端末1から通知されたMACアドレスがDHCPサーバ31に予め登録されているMACアドレスではないと判断すると、仮IPアドレスを割り当てることなく、不正アクセスとしてログファイルなどに記録する。専用端末3が未登録のMACアドレスの端末1に対しては仮IPアドレスを発行しないことで、未登録のMACアドレスの端末1からのアクセスを不可にし、不正アクセスを防止する。
(Step S3) The
(Step S4) When the
(ステップS5)は、ステップS3で仮IPアドレスの発行を受けた端末1のエージェント11がパケットに仮IPアドレス、MACアドレス、および端末1のクライアント情報12を設定して当該パケットを専用装置3に送信し、正IPアドレスの要求を行う。
In step S5, the
(ステップS6)専用装置1の情報送受信機能は、ステップS5で受信したパケットに設定されているクライアント情報12を保存する。
(Step S6) The information transmission / reception function of the
(ステップS7)専用装置1の情報送受信機能36が専用装置1の検疫機能37に検疫依頼する。
(Step S7) The information transmission /
(ステップS8)専用装置1は、ステップS7で検疫依頼を受けた検疫機能37がステップS6で保存した端末1のクライアント情報12と、セキュリティポリシ情報39に予め格納しておいた当該端末1のクライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12とを読み出し、ステップS5で正IPアドレスの要求を行った端末1の接続を許可するか否かを判断する。本実施の一例では、端末1から送られてきたクライアント情報12が、予め格納しておいたセキュリティポリシ情報39中のクライアント情報と一致しすると、真正の端末1からの正IPアドレスの割当要求と判断し、ステップS9に遷移する。
(Step S8) The
(ステップS9)専用装置3は、DHCPサーバ設定ファイル40を編集して正IPアドレスを割り当てる。
(Step S9) The
(ステップS10)専用装置3は、DHCPサーバを再起動して、ステップS9で割り当てた正IPアドレスを有効にする。
(Step S10) The
(ステップS11)専用装置3は、結果(ここでは、正IPアドレスを割り当てた旨の通知)を情報送受信機能36を経由して端末1のエージェント11に通知する。
(Step S11) The
一方、ステップS8において、端末1から送られてきたクライアント情報が専用装置3のセキュリティポリシ情報39のクライアント情報と一致しない場合、専用装置3は、一致しないクライアント情報を送信した端末1からの正IPアドレスの要求と判断し、ステップS12に遷移する。
On the other hand, if the client information sent from the
(ステップS12)専用端末3は、警告メッセージ送信要求して警告メッセージを端末1に送信する。これにより、正IPアドレスの発行を拒否された端末1は、正IPアドレスが発行されず、他の端末と通信不可であり、不正アクセスを防止できる。
(Step S12) The
(ステップS13)ステップS11で正IPアドレスを割り当てた旨の連絡を受けた端末1のエージェント11が正IPアドレスの取得要求をDHCPサーバ31に送信する。
(Step S <b> 13) The
(ステップS14)ステップS13の取得要求を受信したDHCPサーバ31が当該端末1に正IPアドレスを発行し、通知する。端末1では、発行された正IPアドレスと自身のMACアドレスなどをARPテーブル13に設定するなどし、以降、端末1は、発行された正IPドレスおよび自端末1のMACアドレスを用いて図1で自セグメント内、更に他のセグメント内の他の端末1と自由にパケット通信することが可能となる。
(Step S14) The
以上のように、端末1をあるセグメントに接続すると、当該端末1は自端末1のMACアドレスを通知してDHCPサーバ31に仮IPアドレスの発行要求を行うが、登録されていないときは仮IPアドレスが発行されず、未登録MACアドレスの端末1は通信が不可とされ、不正アクセスを防止できる。次に、MACアドレスが登録されていて仮IPアドレスの発行を受けた端末11がクライアント情報を送信して正IPアドレスの発行要求しても、予め登録したセキュリティポリシ情報39中のクライアント情報と照合して一致しないときは正IPアドレスが発行されず、正しいMACアドレスを持っていても正しいクライアント情報を持っていない端末1には正IPアドレスの発行をしなく、不正アクセスを防止できる。ここで、正しいクライアント情報を持っている端末1は、初めて正IPアドレスの発行を受け、当該正IPアドレス、自端末のMACアドレスを用いて他の端末1と相互に通信することが可能となる。
As described above, when the
図3は、本発明の応答文例(DHCP.CONFの例)を示す。これは、既述した図2のS8で端末1から送信されてきたクライアント情報12と、予め登録しておいたセキュリティポリシ情報39中のクライアント情報とを比較し、一致したときに合格として、図中の合格とした電文(正IPアドレスなど)を端末1に専用装置3が送信する例を示す。一致しないときに不合格として、図中の不合格とした電文(仮IPアドレスなど)を端末1に専用装置3が送信する例を示す。
FIG. 3 shows an example of a response sentence (example of DHCP.CONF) of the present invention. This is because the
図4は、本発明の動作説明フローチャート(情報送信)を示す。これは、管理者がセキュリティポリシ情報39、DHCPサーバ設定ファイル40などを変更し、セキュリティを管理するときの様子を示す。
FIG. 4 is a flowchart for explaining the operation of the present invention (information transmission). This shows a state when the administrator changes the
図4において、(ステップS21)専用装置3のセキュリティポリシ変更機能は、管理者が端末(管理)を操作したのを受け付けて、セキュリティポリシ情報を変更する。本実施の一例では、ウイルスパターン情報を最新のものに変更(更新)すると共に、セキュリティポリシ情報39中のウィルスパターン情報(バージョン情報)を最新の情報に変更(更新)する。
In FIG. 4, (step S21) The security policy change function of the
(ステップS22)DHCPサーバ31は、ステップS21でセキュリティポリシ情報が編集されると、必要に応じてDHCPサーバ設定ファイル40の内容を編集する。本実施の一例では、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されると、端末1群に割り当て済の正IPアドレスが無効になるように、DHCPサーバ設定ファイル40を編集する。専用装置3は、DHCPサーバ設定ファイル40を編集した場合には、DHCPサーバ31を再起動し、編集後のDHCPサーバ設定ファイル40を有効にする。
(Step S22) When the security policy information is edited in step S21, the
(ステップS23)専用装置3は、専用装置3の情報送受信機能36に、端末1に対して、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信するように指示を行う。
(Step S23) The
(ステップS24)専用装置3の情報送受信機能36は、端末1に、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信する。
(Step S24) The information transmission /
端末1は、ステップS24の通知を受けて、ウイルスパターンを専用端末3のセキュリティポリシ情報が持つウイルスパターンの情報にバージョンアップを行うことでクライアント情報12のウイルスパターン情報を更新して、先述のステップS5以下の処理を行うことにより正IPアドレスの要求を行い、専用装置3に正IPアドレスの発行をさせる。
Upon receiving the notification in step S24, the
以上によって、管理者が随時、ウイルスパータン情報(バージョン情報)などを更新して各端末1のクライアント情報12中の該等情報を最新に更新することにより、既述した図2のS8のチェック時に、端末1から送信されてきたクライアント情報12と、セキュリティポリシ情報39中のクライアント情報と照合して一致したときのみ正IPアドレスを割り当て、一方、一致しないときは正IPアドレスを割り当てない(あるいは既に正IPアドレスを割り当てていたときは仮IPアドレスに変更する)という手順を行うことにより、随時更新した最新のセキュリティポリシ情報をもとに不正アクセスをチェックし、不正アクセスのときは正IPアドレスの割り当てた端末1と言えども仮IPアドレスに変更し、セキュリティを確保することが可能となる。
As described above, the administrator updates the virus pattern information (version information) and the like at any time to update the equivalent information in the
図5は、本発明のクライアント情報例を示す。これは、既述した図2、図4の端末1が保持するクライアント情報12の例を示す。クライアント情報12は、図示の下記の情報を対応づけて登録したものであり、図4で説明したように、管理者が随時、更新、変更可能なものである。
FIG. 5 shows an example of client information of the present invention. This shows an example of the
・ハードウェア情報:
・BIOS Number
・CPU Nmmber
・ハードディスク Number
・ソフトウェア情報:
・ウイルスパターンバージョン
・OSバッチバージョン
・セキュリテイ情報:
・端末ID
・ログインID
ここで、ハードウェア情報は、端末1のハードウェア情報であって、例えば図示のBIOSの番号、CPUの番号、ハードディスク装置の番号などである。ソフトウェア情報は、端末1にインストールされているソフトウェアの情報であって、ウイルスパターンバージョン、OSのバッチバージョンなどである。セキュリティ情報は、端末のID,ログインIDなどである。
・ Hardware information:
・ BIOS Number
・ CPU Nmmber
・ Hard Disk Number
・ Software information:
-Virus pattern version-OS batch version-Security information:
・ Terminal ID
・ Login ID
Here, the hardware information is the hardware information of the
以上のように、端末1のハードウェア情報、ソフトウェア情報、セキュリティ情報からなるクライアント情報12を、図4で説明したように、管理者がネットワークを介し随時更新、変更し、よりセキュリティの高いシステムを実現し、不正端末1による不正アクセスを防止することが可能となる。
As described above, the
図6は、本発明の動作説明フローチャート(不正チェック)を示す。
図6の(a)は全体フローチャートを示し、図6の(b)は詳細フローチャートを示す。端末1、専用装置3は、図1の端末1、専用装置3である。
FIG. 6 shows a flowchart for explaining the operation of the present invention (fraud check).
6A shows an overall flowchart, and FIG. 6B shows a detailed flowchart. The
図6の(a)において、(ステップS31)専用装置3の不正PCチェック機能42が不正PC監視する。本実施の一例では、後述する図6の(b)のステップS41で専用装置3がPingコマンドをブロードキャストアドレスで発行し、ステップS42で専用装置3がARPコマンドでARPテーブル13の一覧を取得する(Macアドレス一覧を取得する)。更に、図6の(b)のステップS43で専用装置3がネットワークに流れるパケットを取得し、ステップS44で専用装置3がパケット解析で送信元のIPアドレスとMACアドレスを取得する。
6A, (Step S31) The unauthorized
以上によって、セグメント内のネットワークに接続されている端末1群のMACアドレス、更に、ARPテーブル13に登録されている通信相手のIPアドレスとMACアドレス、更に、ネットワークに流れているパケットに設定されている送信元のIPアドレスとMACアドレスを収集してその一覧を作成することが可能となる。 As described above, the MAC address of the group of terminals connected to the network in the segment, the IP address and MAC address of the communication partner registered in the ARP table 13, and the packet flowing through the network are set. It is possible to collect a list of IP addresses and MAC addresses of existing senders and create a list thereof.
(ステップS32)専用装置3は、DHCPサーバ設定ファイル40の内容(通信を許可されたMACアドレス)を読み込む。
(Step S32) The
(ステップS33)専用装置3は、ステップS32で読み込んだMACアドレスは登録されているか判別する(図6の(b)のS45)。これは、ステップS31で収集したMACアドレスが、ステップS32で読み出したDHCPサーバ設定ファイル40にある通信許可された端末1のMACアドレスか判別する。YESの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスと判明したので、終了する。NOの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスでないと判明したので、ステップS34でクライアントPC状態情報を編集(即ち、不許可MACアドレスを登録)し、更に、ファイアウォール定義テーブル43に設定(当該MACアドレスを無効に設定)する。ファイアウォール定義テーブル43中の不正MACアドレスを無効(意味の値に変更)する(図8の(b)参照)ことで、ファイアウォール34で当該端末1からのパケットを阻止し、不正MACアドレスの端末1がファイアウォールを越えて外部のセグメントにパケット送信できないようにする。また、端末1のARPテーブル13に登録されている通信相手の端末1のIPアドレスとMACアドレスの対のうち、不正MACアドレスを無効にし、各端末1から不正MACアドレスの端末1へアクセスできないように設定する(図8の(a)参照)。
(Step S33) The
(ステップS35)専用装置3は、警告メール送信要求をメール送信機能38に行い、メール送信する。これにより、不正MACアドレスの不正端末1がネットワークに接続されている旨をメールで管理者に知らせることが可能となる(図6の(b)のS47)。
(Step S35) The
(ステップS36)専用装置3は、不正端末がネットワークに接続されている旨の警告メッセージを全ての端末1に送信して全ての利用者に知らせる(図6の(b)のS47)。
(Step S36) The
以上によって、セグメント内のネットワークに接続されている端末1のMACアドレスを収集およびネットワークに流れているパケットを監視して送信元のMACアドレスを収集し、これら収集したMACアドレスが通信許可された端末1のMACアドレスか判別し、通信許可されていないMACアドレスが検出されたときに、当該不正MACアドレスについて全端末1および管理者に知らせて注意を促すことが可能となる。更に、ファイアウォール定義テーブル43中の当該不正MACアドレスを無効(意味のないMACアドレスに書き換える)にし、セグメントと他のセグメントとの間に接続したファイアウォール34で当該不正MACアドレスのパケットを阻止し、不正MACアドレスの端末1がセグメントの外に通信不可とすることが可能となる。また、専用装置3が全端末1のARPテーブル13中のIPアドレスとMACアドレスのうちの不正MACアドレスを無効に自動的に書き換えることにより、当該端末1から不正端末1に通信不可にすることが可能となる。尚、各端末1のARPテーブル13は所定時間毎にクリアされるので、その毎あるいはそれよりも短い時間毎に、専用装置3が全端末1のARPテーブル13中の不正MACアドレスを見つけたときに無効に書き換える。
As described above, the MAC address of the
図7は、本発明のテーブル例を示す。
図7の(a)は、ARPテーブルの例を示す。ARPテーブル13は、各端末1が持つものであって、図示の下記の情報を対応づけて登録したものである。
FIG. 7 shows an example table of the present invention.
FIG. 7A shows an example of an ARP table. The ARP table 13 is held by each
・IPアドレス:
・MACアドレス:
・Type:
ここで、IPアドレスはセグメント内で一意に割り当てられたアドレスである。MACアドレスは端末1が持つ固有の一意のID(アドレス)である。TypeはIPアドレス,MACアドレスのタイプを表す(ここでは、動的に書換可能なタイプを表す)。ここで、上段のMACアドレスは、00−00−00−00−00−00は無効に設定した例を示す。尚、ARPテーブル13には、通信相手の端末1のIPアドレス、MACアドレスMの対を登録する。
・ IP address:
・ MAC address:
・ Type:
Here, the IP address is an address uniquely assigned in the segment. The MAC address is a unique ID (address) unique to the
図7の(b)は、ファイアウォール定義テーブルの例を示す。ファイアフォール定義テーブル35は、ファイアフォール34が保持するテーブルであって、当該ファイルフォール34を通過あるいは阻止するための情報を設定するものであり、本発明では不正MACアドレスについて無効に設定し、パケットの通過を阻止し、セグメント内の不正端末1からセグメント外のネットワークへの送信(アクセス)を不可にするものである。
FIG. 7B shows an example of the firewall definition table. The firewall definition table 35 is a table held by the firewall 34, and sets information for passing or blocking the file fall 34. In the present invention, an invalid MAC address is set to be invalid and a packet is set. Transmission (access) from the
(付記1)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と、
を有すること特徴とする不正アクセス防止装置。
(Appendix 1)
In the unauthorized access prevention device for preventing unauthorized access,
When communication of the request for this IP address with security information added and the temporary IP address and MAC address of the terminal set is received from the terminal, it is determined whether to allow access by checking the security information held Access determination means to
IP assigning means for assigning the IP address when the access judging means judges that access is permitted;
A reply means for returning the IP address assigned by the IP assignment means to the requesting terminal;
An unauthorized access preventing apparatus comprising:
(付記2)
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と、
を併せて有することを特徴とする付記1記載の不正アクセス防止装置。
(Appendix 2)
Collection means for monitoring the access of the terminal in the certain segment and collecting the IP address and the MAC address, and when the unauthorized access is detected from the IP address and the MAC address, Rewriting means for invalidally rewriting the MAC address of the pair of IP address and MAC address;
The unauthorized access prevention apparatus according to
(付記3)
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
(Appendix 3)
In the unauthorized access prevention device for preventing unauthorized access,
A firewall between one segment and the other,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that.
(付記4)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
(Appendix 4)
In the unauthorized access prevention device for preventing unauthorized access,
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
Means for setting the temporary IP address and MAC address to the requesting terminal and returning the assigned IP address to the requesting terminal and setting the IP address and the MAC address of the terminal to enable communication with other terminals; Between one segment and the other,
A firewall is provided between the certain segment and the other segment,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that.
(付記5)
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。
(Appendix 5)
In the unauthorized access prevention program that prevents unauthorized access,
A computer installed in a device connected between one segment and another segment
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
An unauthorized access prevention program for causing the assigned IP address to operate as a means for setting and returning the temporary IP address and MAC address to a requesting terminal.
(付記6)
あるセグメントと他のセグメントとの間に接続したファイアウォールで不正アクセスを防止する不正アクセス防止プログラムにおいて、
コンピュータを、
あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスを検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
して動作させるための不正アクセス防止プログラム。
(Appendix 6)
In an unauthorized access prevention program that prevents unauthorized access with a firewall connected between a segment and another segment,
Computer
Means for monitoring the access of terminals in a segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access from the collected IP address and MAC address;
When the unauthorized access terminal is detected, the firewall operates as a means for invalidating the MAC address of the unauthorized terminal in the definition table defining MAC addresses that can be communicated with the terminals of the other segments. Unauthorized access prevention program.
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。 The present invention assigns a temporary IP address to a terminal and assigns a primary IP address when the security information check is OK to prevent unauthorized access, and monitors unauthorized access to detect the MAC of the unauthorized terminal. Invalidate the address and disable the MAC address of the unauthorized terminal in the definition table of the firewall to disable access to other segments, and disable unauthorized access within the segment and outside the segment. The present invention relates to an unauthorized access prevention device and an unauthorized access prevention program that completely prevent access.
1:端末
11:エージェント
12:クライアント情報
13:ARPテーブル
2:スイッチ
3:専用装置
31:DHCPサーバ
34:ファイアウォール
35:検疫マネージャ
36:情報送受信機能
37:検疫機能
38:メール送信機能
39:セキュリティポリシ情報
40:DHCPサーバ設定ファイル
41:セキュリティポリシ変更機能
42:不正PCチェック機能
1: Terminal 11: Agent 12: Client information 13: ARP table 2: Switch 3: Dedicated device 31: DHCP server 34: Firewall 35: Quarantine manager 36: Information transmission / reception function 37: Quarantine function 38: Mail transmission function 39: Security policy Information 40: DHCP server setting file 41: Security policy change function 42: Unauthorized PC check function
Claims (5)
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と
を有すること特徴とする不正アクセス防止装置。 In the unauthorized access prevention device for preventing unauthorized access,
When communication of the request for this IP address with security information added and the temporary IP address and MAC address of the terminal set is received from the terminal, it is determined whether to allow access by checking the security information held Access determination means to
IP assigning means for assigning the IP address when the access judging means judges that access is permitted;
An unauthorized access preventing apparatus, comprising: reply means for returning the IP address assigned by the IP assigning means to the requesting terminal.
を併せて有することを特徴とする請求項1記載の不正アクセス防止装置。 Collection means for monitoring the access of the terminal in the certain segment and collecting the IP address and the MAC address, and when the unauthorized access is detected from the IP address and the MAC address, 2. The unauthorized access preventing apparatus according to claim 1, further comprising rewriting means for invalidally rewriting the MAC address of the pair of IP address and MAC address.
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 In the unauthorized access prevention device for preventing unauthorized access,
A firewall between one segment and the other,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that.
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 In the unauthorized access prevention device for preventing unauthorized access,
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
Means for setting the temporary IP address and MAC address to the requesting terminal and returning the assigned IP address to the requesting terminal and setting the IP address and the MAC address of the terminal to enable communication with other terminals; Between one segment and the other,
A firewall is provided between the certain segment and the other segment,
Means for monitoring the access of terminals in the certain segment and collecting IP addresses and MAC addresses;
Means for detecting unauthorized access terminals from the collected IP address and MAC address;
Means for invalidating a MAC address of an unauthorized terminal in a definition table defining a MAC address that can be communicated with a terminal of the other segment possessed by the firewall when the unauthorized access terminal is detected. An unauthorized access prevention device characterized by that.
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。 In the unauthorized access prevention program that prevents unauthorized access,
A computer installed in a device connected between one segment and another segment
Means for checking against the security information held when a communication request for the IP address with the security information added, with the temporary IP address and MAC address of the terminal set, is received from the terminal;
A means for assigning the IP address when it is determined as a result of the collation;
An unauthorized access prevention program for causing the assigned IP address to operate as a means for setting and returning the temporary IP address and MAC address to a requesting terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005370977A JP4767683B2 (en) | 2005-12-22 | 2005-12-22 | Relay device, unauthorized access prevention device, and access control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005370977A JP4767683B2 (en) | 2005-12-22 | 2005-12-22 | Relay device, unauthorized access prevention device, and access control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007174406A true JP2007174406A (en) | 2007-07-05 |
JP4767683B2 JP4767683B2 (en) | 2011-09-07 |
Family
ID=38300354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005370977A Expired - Fee Related JP4767683B2 (en) | 2005-12-22 | 2005-12-22 | Relay device, unauthorized access prevention device, and access control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4767683B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009008076A1 (en) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | Authentication system, terminal authentication apparatus, and authentication process program |
WO2009022689A1 (en) * | 2007-08-14 | 2009-02-19 | Japan Lucida Co., Ltd. | Device data management system |
JP2009201098A (en) * | 2008-01-22 | 2009-09-03 | Fujitsu Ltd | Address distribution system, method, and program for the program |
JP2020514903A (en) * | 2017-03-22 | 2020-05-21 | ノートンライフロック インコーポレイテッド | System and method for enforcing dynamic network security policy |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11136274A (en) * | 1997-10-28 | 1999-05-21 | Toshiba Corp | Communication management system, communication management equipment, node and recording medium recorded with communication management program |
JP2000307657A (en) * | 1999-03-30 | 2000-11-02 | Internatl Business Mach Corp <Ibm> | Router monitor system for data transmission system using network dispatcher for host cluster |
JP2003526138A (en) * | 1999-06-25 | 2003-09-02 | ヤコブス リンメル リミテッド | Automated connection service system |
WO2005036831A1 (en) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | Frame relay device |
-
2005
- 2005-12-22 JP JP2005370977A patent/JP4767683B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11136274A (en) * | 1997-10-28 | 1999-05-21 | Toshiba Corp | Communication management system, communication management equipment, node and recording medium recorded with communication management program |
JP2000307657A (en) * | 1999-03-30 | 2000-11-02 | Internatl Business Mach Corp <Ibm> | Router monitor system for data transmission system using network dispatcher for host cluster |
JP2003526138A (en) * | 1999-06-25 | 2003-09-02 | ヤコブス リンメル リミテッド | Automated connection service system |
WO2005036831A1 (en) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | Frame relay device |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009008076A1 (en) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | Authentication system, terminal authentication apparatus, and authentication process program |
JP5018883B2 (en) * | 2007-07-11 | 2012-09-05 | 富士通株式会社 | Authentication system, terminal authentication device, and authentication processing program |
US8312513B2 (en) | 2007-07-11 | 2012-11-13 | Fujitsu Limited | Authentication system and terminal authentication apparatus |
WO2009022689A1 (en) * | 2007-08-14 | 2009-02-19 | Japan Lucida Co., Ltd. | Device data management system |
JP2009201098A (en) * | 2008-01-22 | 2009-09-03 | Fujitsu Ltd | Address distribution system, method, and program for the program |
JP4633837B2 (en) * | 2008-01-22 | 2011-02-16 | 富士通株式会社 | Address distribution system, method and program therefor |
US8335840B2 (en) | 2008-01-22 | 2012-12-18 | Fujitsu Limited | Address distribution system and method and program for the same |
JP2020514903A (en) * | 2017-03-22 | 2020-05-21 | ノートンライフロック インコーポレイテッド | System and method for enforcing dynamic network security policy |
Also Published As
Publication number | Publication date |
---|---|
JP4767683B2 (en) | 2011-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8256003B2 (en) | Real-time network malware protection | |
EP1313290B1 (en) | A personal firewall with location dependent functionality | |
JP4327630B2 (en) | Storage area network system, security system, security management program, storage device using Internet protocol | |
JP4148526B2 (en) | Apparatus and method for detecting a network address translation device. | |
JP2007036374A (en) | Packet transfer apparatus, communication network, and packet transfer method | |
JP2006319982A (en) | Worm-specifying and non-activating method and apparatus in communications network | |
JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
JPWO2009031453A1 (en) | Network security monitoring device and network security monitoring system | |
JP2020017809A (en) | Communication apparatus and communication system | |
JP2006268492A (en) | Program, client authentication request method, server authentication request processing method, client, and server | |
JP2008092465A (en) | Apparatus and method for managing/controlling connection of computer terminal to network for communication | |
JP2006287299A (en) | Network control method and device, and control program | |
JP4636345B2 (en) | Security policy control system, security policy control method, and program | |
JP4767683B2 (en) | Relay device, unauthorized access prevention device, and access control program | |
JP6616733B2 (en) | Network system and server device | |
JP4437107B2 (en) | Computer system | |
JP6134954B1 (en) | Network security device, network management method, and program | |
JP3590394B2 (en) | Packet transfer device, packet transfer method, and program | |
US20050243730A1 (en) | Network administration | |
JP5509999B2 (en) | Unauthorized connection prevention device and program | |
JP2008141352A (en) | Network security system | |
KR20150026187A (en) | System and Method for dropper distinction | |
WO2016170598A1 (en) | Information processing apparatus, method, and program | |
JP4381411B2 (en) | Virus infection monitoring device and program | |
KR102445916B1 (en) | Apparatus and method for managing terminal in network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080416 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100709 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101113 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110305 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110517 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110615 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4767683 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140624 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |