JP2010177839A - Detection system for network connection terminal outside organization - Google Patents

Detection system for network connection terminal outside organization Download PDF

Info

Publication number
JP2010177839A
JP2010177839A JP2009016270A JP2009016270A JP2010177839A JP 2010177839 A JP2010177839 A JP 2010177839A JP 2009016270 A JP2009016270 A JP 2009016270A JP 2009016270 A JP2009016270 A JP 2009016270A JP 2010177839 A JP2010177839 A JP 2010177839A
Authority
JP
Japan
Prior art keywords
terminal
network
external
unauthorized
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009016270A
Other languages
Japanese (ja)
Inventor
Yoshiki Samejima
吉喜 鮫島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2009016270A priority Critical patent/JP2010177839A/en
Publication of JP2010177839A publication Critical patent/JP2010177839A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve the following problem: when a terminal having an address of an internal network is present although it is on an external network, such an external terminal or a relay terminal corresponding to a connection point for the external network cannot be distinguished only with the address, by using a virtual network and an overlay network, and an address conversion device. <P>SOLUTION: A reciprocation time of a packet between terminals is measured and a terminal having a long reciprocation time is determined as an external terminal. Further, addresses of connection devices at respective ports of a network switch to which a terminal connected to an in-organization network is connected are referred to, and when there are a plurality of addresses, the terminal is determined as an illegal terminal. Further, a maximum packet length that can be transmitted by the in-organization network is measured, and when only short packets are delayed, the terminal is determined as an external terminal. The number of network interfaces is measured, and when there are a plurality of network interfaces, the terminal is determined as an illegal terminal. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、アドレスを使って通信制限している仮想ネットワークあるいはオーバーレイネットワーク等のネットワークにおいて、不正に組織外ネットワークにある端末を組織内ネットワーク接続し、データを中継している端末を検出するシステムに関するものである。   The present invention relates to a system for detecting a terminal that relays data by illegally connecting a terminal in an external network to a network in the network in a network such as a virtual network or an overlay network in which communication is restricted using an address. Is.

通信制限の例として、ネットワークアドレスを用いてサーバへのアクセスを制限する場合がある。この時、通信が許可されている端末が仮想ネットワーク(VPN、Virtual Private Network)あるいはオーバーレイネットワークのゲートウェイとして機能すると、その端末を経由してくるアクセスは、外部のネットワークアドレスにかかわらず全て許可されてしまうという不正が発生してしまう。これはネットワークアドレス変換(NAT、Network Address Translation)でも同様である。   As an example of communication restriction, there is a case where access to a server is restricted using a network address. At this time, if a terminal that is allowed to communicate functions as a gateway for a virtual network (VPN, Virtual Private Network) or overlay network, all access via that terminal is permitted regardless of the external network address. The fraud that occurs will occur. The same applies to network address translation (NAT).

図7は、NAT機能を持つ不正端末120を経由して、本来ならサーバ140にはアクセスできない社外ネットワーク110に接続している外部端末100が、社内ネットワーク130にあるサーバ140にアクセス可能な様子を示している。
図7において、100は、不正に外部から社内ネットワーク130のサーバ140にアクセスしている外部端末である。
110は、外部端末100と不正に通信データを中継している不正端末120を接続する社外(組織外)ネットワークである。例として無線通信事業者のネットワークがある。他に、LANのハブなど、社内(組織内)ネットワークの通信機器とは別の機器に接続することもあり得る。
120は、不正に外部端末100の通信データを社内ネットワーク130に中継している不正端末である。
130は、組織内のネットワークであるいわゆる社内ネットワークであり、不正端末120の他に業務用のサーバ140がつながっている。
140は、社内ネットワーク130につながっているサーバであり、同ネットワークにつながっている端末(120、150)からアクセス可能となっている。
150は、社内ネットワーク130につながっている一般端末であり、サーバ140にアクセスする。 FIG. 7 shows a state in which the external terminal 100 connected to the external network 110 that cannot normally access the server 140 can access the server 140 in the internal network 130 via the unauthorized terminal 120 having the NAT function. Show.
In FIG. 7, reference numeral 100 denotes an external terminal that illegally accesses the server 140 of the in-house network 130 from the outside.
Reference numeral 110 denotes an external (non-organizational) network that connects the external terminal 100 and the unauthorized terminal 120 that illegally relays communication data. An example is a network of wireless carriers. In addition, it is possible to connect to a device other than the communication device of the in-house (intra-organization) network, such as a LAN hub.
Reference numeral 120 denotes an unauthorized terminal that illegally relays communication data of the external terminal 100 to the internal network 130.
Reference numeral 130 denotes a so-called in-house network that is a network in the organization, and a business server 140 is connected in addition to the unauthorized terminal 120.
Reference numeral 140 denotes a server connected to the in-house network 130, which can be accessed from terminals (120, 150) connected to the network.
A general terminal 150 connected to the in-house network 130 accesses the server 140.

図8は一般的な通信パケットの構成を示したものである。
パケットの先頭から送信端末のアドレス、受信端末のアドレス、送信端末のポート番号、受信端末のポート番号、通信内容データの順に並んでいる。ポート番号とは端末やサーバで動作しているどのアプリケーションないしはプロセスがパケットを送受信するかを識別するための番号である。 FIG. 8 shows the structure of a general communication packet.
From the beginning of the packet, the address of the transmitting terminal, the address of the receiving terminal, the port number of the transmitting terminal, the port number of the receiving terminal, and the communication content data are arranged in this order. The port number is a number for identifying which application or process running on the terminal or server transmits and receives a packet.

図9は、NATの場合の外部端末から不正端末への通信パケットの構成を示し、図10はNATの場合の不正端末からサーバへの通信パケットの構成を示している。また、図11はNATの場合のサーバから不正端末への通信パケットの構成を示し、図12はNATの場合の不正端末から外部端末への通信パケットの構成を示している。
図9と図10と図11と図12を使って簡単にNATについて説明する。
不正端末120が外部端末100から図9の通信パケットを社外ネットワーク110を介して受取ると、通信パケットの外部端末100のアドレスを不正端末120のアドレスに、外部端末100のポート番号を不正端末120のポート番号に書換えたパケット(図10)を社内ネットワーク130に送る。この時に、不正端末120は外部端末100のアドレスとポート番号と自身のポート番号の組合せを記憶しておく。
不正端末120がサーバ140から外部端末100向けの通信パケット(図11)を社内ネットワーク130から受取ると、通信パケットの不正端末120のアドレスを外部端末100のアドレスに、不正端末120のポート番号を外部端末100のポート番号に書換えたパケット(図12)を社外ネットワーク110に送る。
不正端末120が受信した通信パケットが不正端末120向けのパケットか外部端末100向けのパケットかの判定は、先に記憶したポート番号の組合せを参照すれば可能である。 FIG. 9 shows the configuration of a communication packet from an external terminal to an unauthorized terminal in the case of NAT, and FIG. 10 shows the configuration of a communication packet from the unauthorized terminal to the server in the case of NAT. FIG. 11 shows the configuration of a communication packet from a server to an unauthorized terminal in the case of NAT, and FIG. 12 shows the configuration of a communication packet from the unauthorized terminal to an external terminal in the case of NAT.
NAT will be briefly described with reference to FIGS. 9, 10, 11, and 12.
When the unauthorized terminal 120 receives the communication packet of FIG. 9 from the external terminal 100 via the external network 110, the address of the external terminal 100 of the communication packet is set to the address of the unauthorized terminal 120, and the port number of the external terminal 100 is set to the unauthorized terminal 120. The packet (FIG. 10) rewritten with the port number is sent to the in-house network 130. At this time, the unauthorized terminal 120 stores a combination of the address and port number of the external terminal 100 and its own port number.
When the unauthorized terminal 120 receives a communication packet (FIG. 11) for the external terminal 100 from the server 140 from the in-house network 130, the address of the unauthorized terminal 120 in the communication packet is set to the address of the external terminal 100, and the port number of the unauthorized terminal 120 is set to the external. The packet (FIG. 12) rewritten with the port number of the terminal 100 is sent to the external network 110.
Whether the communication packet received by the unauthorized terminal 120 is a packet for the unauthorized terminal 120 or a packet for the external terminal 100 can be determined by referring to the previously stored combination of port numbers.

VPNでは通信パケットが入れ子になっている。すなわち、図13に示すように、社外ネットワーク110に流れるパケットの先頭部分の社外アドレス部分を除く部分は社内ネットワークを流れるパケット(図14)になっている。この図13と図14は、外部端末100からサーバ140へのデータを含んでいる。
逆向きでは、外部端末100の社外アドレスと不正端末120の社外アドレス、外部端末100の社内アドレスとサーバ140のアドレス、外部端末100のポート番号とサーバ140のポート番号のそれぞれが入れ替わる。なお、図13の先頭の2つの社外アドレスを除く、つまり図14にあたる部分は、社外ネットワーク110を流れている場合には、暗号化されている場合もある。ここで、外部端末100の社内アドレスとは、物理的には社内ネットワーク130にはつながっていない外部端末100に仮想的に割振られた社内ネットワーク用のアドレスである。
社内ネットワーク130を流れるこのアドレス宛の通信パケットは不正端末120が代わりに受信、不正端末120の社外アドレスと外部端末100の社外アドレスを先頭に付け加えて社外ネットワーク110に転送する。 In VPN, communication packets are nested. That is, as shown in FIG. 13, the portion excluding the external address portion of the head portion of the packet flowing through the external network 110 is a packet (FIG. 14) flowing through the internal network. 13 and 14 include data from the external terminal 100 to the server 140. FIG.
In the reverse direction, the external address of the external terminal 100 and the external address of the unauthorized terminal 120, the internal address of the external terminal 100 and the address of the server 140, and the port number of the external terminal 100 and the port number of the server 140 are switched. 13 excluding the first two external addresses in FIG. 13, that is, the portion corresponding to FIG. 14 may be encrypted when flowing through the external network 110. Here, the internal address of the external terminal 100 is an address for the internal network that is virtually allocated to the external terminal 100 that is not physically connected to the internal network 130.
The communication packet addressed to this address flowing through the in-house network 130 is received by the unauthorized terminal 120 instead, and the outside address of the unauthorized terminal 120 and the outside address of the external terminal 100 are added to the head and transferred to the outside network 110.

社内ネットワークに接続する不正端末を排除する技術として、いわゆる検疫ネットワークがある。非特許文献1には、その実現方式の一つであるNAP(Network Access Protection)を説明している。NAPクライアントに当たる端末にはNAPエージェントが動作しており、ウィルス対策ソフトウェアのパターンファイルの更新状況やOSとアプリケーションのセキュリティ更新状況など自身の状況をNAPサーバに送る。更新がきちんと行われていれば、DHCPサーバから正規のIPアドレスを取得してアクセス許可を受けるとか、802.1X対応ネットワーク機器経由での社内ネットワークにアクセスできるようになったりする。   There is a so-called quarantine network as a technique for eliminating unauthorized terminals connected to an in-house network. Non-Patent Document 1 describes NAP (Network Access Protection) which is one of the implementation methods. A NAP agent is running on the terminal corresponding to the NAP client, and sends its own status to the NAP server, such as the update status of the anti-virus software pattern file and the OS and application security update status. If the update is done properly, you can obtain a legitimate IP address from the DHCP server and get access permission, or you can access the corporate network via an 802.1X-compatible network device.

Microsoft Corporation, Network Access Protection Platform Architecture, 2008. また、特許文献1には、アドホックネットワーク上のオーバーレイネットワークでの不正端末の排除技術がある。オーバーレイネットワークとは、既存ネットワークを利用し、その上に仮想的に構成された論理的なネットワークのことである。ここでいう不正端末とは、転送途中の通信データを改竄したり、廃棄したりして、通信を妨害する端末のことである。本文献では不正端末を検知、排除する方法として、ネットワークの所々に信頼できる端末を配置し、これら端末間の短くなった経路間での不正端末を検知し、排除することにより短時間で不正端末を排除している。Microsoft Corporation, Network Access Protection Platform Architecture, 2008. Patent Document 1 discloses a technique for eliminating unauthorized terminals in an overlay network on an ad hoc network. An overlay network is a logical network that uses an existing network and is virtually constructed thereon. An unauthorized terminal here is a terminal that interferes with communication by falsifying or discarding communication data being transferred. In this document, as a method for detecting and eliminating unauthorized terminals, reliable terminals are arranged in various parts of the network, and unauthorized terminals are detected in a short path between these terminals and eliminated in a short time. Is eliminated.

NTTドコモ, 信用されないアドホックネットワークにおいて不正動作するノードを検出及びバイパスするための装置(特開2008−48385)NTT DOCOMO, an apparatus for detecting and bypassing an illegally operating node in an untrusted ad hoc network (Japanese Patent Application Laid-Open No. 2008-48385)

しかしながら、前記の非特許文献1に記載された技術は、社内ネットワークへのウィルス侵入防止を主眼にした対策であり、ウィルスパターンファイルの更新や脆弱性修正状況を検査して社内ネットワークへのアクセスを許可している。先の課題に上げたような、社外ネットワークへの中継を行い、社外ネットワークから社内ネットワークのサーバに不正にアクセスする不正の検出や防止を対象とはしていない。
また、特許文献1に記載された技術は、オーバーレイネットワーク中の不正端末の検出、排除に関するものであるが、社外ネットワークから社内ネットワークのサーバに不正にアクセスする不正の検出や防止を対象とはしていない。 However, the technology described in Non-Patent Document 1 described above is a measure mainly aimed at preventing virus intrusion into the in-house network, and checking the update of virus pattern files and vulnerability correction status to access the in-house network. Allowed. It does not cover the detection and prevention of fraud that relays to an external network as described in the previous topic and illegally accesses servers in the internal network from the external network.
The technology described in Patent Document 1 relates to the detection and elimination of unauthorized terminals in the overlay network, but is intended for the detection and prevention of unauthorized access from an external network to an internal network server. Not.

本発明は、クライアント端末のアドレスにより社内ネットワーク上のサーバへのアクセス制限を行うシステムにおいて不正に社外(組織外)ネットワークからのアクセスを中継するゲートウェイ機能を持つ不正端末やそのアクセス元の外部端末を検出することができるシステムを提供することを目的とする。   The present invention relates to an unauthorized terminal having a gateway function for relaying access from an outside (non-organization) network illegally or an external terminal that is an access source of the unauthorized terminal in a system that restricts access to a server on an in-house network by an address of a client terminal An object is to provide a system capable of detection.

上記目的を達成するために、本発明に係るシステムは、組織内ネットワークで端末間のパケット往復時間を測定し、測定結果を他の端末の測定結果と比較し、他の端末より長ければ、その端末が組織外ネットワークに接続されている外部端末であると判断し、当該外部端末に接続されている端末を不正端末として検出する手段を備えることを特徴とする。
この場合の計測方法としては、ICMPのECHO要求/応答を利用する方法がある。
また、組織内ネットワークに接続する端末が接続しているネットワークスイッチの各ポートの接続機器のアドレスを参照し、複数のアドレスがある場合には、不正端末であると判断する手段をさらに備えることを特徴とする。
また、組織内ネットワークで送信可能な最大パケット長を測定し、短いパケットしか遅れない場合には、外部端末であると判定し、当該外部端末に接続されている端末を不正端末として検出する手段をさらに備えることを特徴とする。
この場合、パケット長を測定するには、ICMPのECHO要求で長いデータを送り、その応答でパケット分割が起きるか否かで判断できる。
また、各端末のネットワークインタフェースの数を測定し、ネットワークインタフェースが複数ある場合には、不正端末であると判断する手段をさらに備えることを特徴とする。 In order to achieve the above object, the system according to the present invention measures the packet round-trip time between terminals in an organization network, compares the measurement result with the measurement result of another terminal, It is characterized by comprising means for determining that the terminal is an external terminal connected to an external network and detecting the terminal connected to the external terminal as an unauthorized terminal.
As a measurement method in this case, there is a method using an ECHO request / response of ICMP.
Further, it further includes means for referring to the address of the connected device of each port of the network switch to which the terminal connected to the intra-organization network is connected, and determining that the terminal is an unauthorized terminal when there are a plurality of addresses. Features.
Further, the maximum packet length that can be transmitted in the intra-organization network is measured, and when only a short packet is delayed, it is determined that the terminal is an external terminal, and means for detecting a terminal connected to the external terminal as an unauthorized terminal It is further provided with the feature.
In this case, in order to measure the packet length, it is possible to determine whether or not packet division occurs in response to sending long data with an ICMP ECHO request.
Further, the present invention is characterized by further comprising means for measuring the number of network interfaces of each terminal and determining that the terminal is an unauthorized terminal when there are a plurality of network interfaces.

本発明によれば、NATでもVPNでも外部ネットワークに接続された不正端末及び外部端末を検出することができる。
すなわち、不正端末と同じネットワーク内の他の端末と比較して外部端末は、外部ネットワークを介しており、さらに不正端末での中継処理分だけパケット往復時間がかかる。
このため、同一ネットワーク内で端末間のパケット往復時間を測定し、測定結果を他の端末の測定結果と比較し、他の端末より長ければ、その端末が外部ネットワークに接続されている外部端末であると検出し、さらに当該外部端末に接続されている端末を不正端末として検出することができる。
また、正規の接続ではネットワークスイッチの1つのポートには1つの端末がつながっているのみだが、外部端末がVPNでつながれている場合には不正端末と外部端末の2台が接続されているので、外部端末及び不正端末の検出が可能となる。
また、外部端末がVPNでつながれている場合には、組織外ネットワーク内で1つの通信パケットで運べるデータ量は、組織内ネットワークより小さいので、外部端末及び不正端末の検出が可能となる。またNATの場合でも、一般的に組織外ネットワークの最大パケット長は組織内ネットワークより短いので検出可能である。
まや、不正端末は複数のネットワークに接続しているので、複数のネットワークインタフェースがある場合は、不正端末として検出可能である。 According to the present invention, an unauthorized terminal and an external terminal connected to an external network can be detected by NAT or VPN.
That is, as compared with other terminals in the same network as the unauthorized terminal, the external terminal passes through the external network and further takes a packet round-trip time for the relay processing at the unauthorized terminal.
For this reason, the packet round-trip time between terminals is measured in the same network, the measurement result is compared with the measurement result of other terminals, and if it is longer than the other terminals, the terminal is the external terminal connected to the external network. It is possible to detect that there is a terminal, and to detect a terminal connected to the external terminal as an unauthorized terminal.
Also, in regular connection, only one terminal is connected to one port of the network switch, but when the external terminal is connected by VPN, the unauthorized terminal and the external terminal are connected, External terminals and unauthorized terminals can be detected.
Further, when the external terminal is connected by VPN, the amount of data that can be carried by one communication packet in the outside network is smaller than that in the inside network, so that it is possible to detect the external terminal and the unauthorized terminal. Even in the case of NAT, the maximum packet length of the network outside the organization is generally shorter than that of the network within the organization, and can be detected.
In addition, since an unauthorized terminal is connected to a plurality of networks, if there are a plurality of network interfaces, it can be detected as an unauthorized terminal.

本発明に係る組織外ネットワーク接続端末検出システムの実施の形態を示す全体構成図である。1 is an overall configuration diagram showing an embodiment of an external network connection terminal detection system according to the present invention. パケット往復時間による不正端末検出処理のフローチャートである。It is a flowchart of the unauthorized terminal detection process by packet round trip time. スイッチを使ったネットワーク構成図である。It is a network block diagram using a switch. ポートにあるアドレスによる不正端末検出処理のフローチャートである。It is a flowchart of the unauthorized terminal detection process by the address in a port. 最大データ転送長による不正端末検出処理のフローチャートである。It is a flowchart of an unauthorized terminal detection process by the maximum data transfer length. 複数ネットワークインタフェースによる不正端末検出処理のフローチャートである。It is a flowchart of an unauthorized terminal detection process by a plurality of network interfaces. 既存システムの全体構成図である。It is a whole block diagram of the existing system. 一般的な通信パケットの構成図である。It is a block diagram of a general communication packet. NATの場合の外部端末から不正端末への通信パケットの構成図である。It is a block diagram of a communication packet from an external terminal to an unauthorized terminal in the case of NAT. NATの場合の不正端末からサーバへの通信パケットの構成図である。It is a block diagram of a communication packet from an unauthorized terminal to a server in the case of NAT. NATの場合のサーバ端末から不正端末への通信パケットの構成図である。It is a block diagram of a communication packet from a server terminal to an unauthorized terminal in the case of NAT. NATの場合の不正端末から外部端末への通信パケットの構成図である。It is a block diagram of a communication packet from an unauthorized terminal to an external terminal in the case of NAT. VPNの場合の社外ネットワークでのパケットの構成図である。It is a block diagram of a packet in an external network in the case of VPN. VPNの場合の社内ネットワークでのパケットの構成図である。FIG. 3 is a configuration diagram of a packet in an in-house network in the case of VPN.

以下、本発明の実施の形態について説明する。
図1は、本発明に係る組織外ネットワーク接続端末検出システムの実施の形態を示す全体構成図である。
図1において、900、910、920、930、950は、それぞれ図7の100、110、120、130、150に対応する。
921と951は、不正端末920と一般端末上で稼動する監視エージェントである。
960は、監視サーバであり、不正端末920を検出するための処理を各端末の監視エージェントに指示したり、処理結果を元に警告を発したりするものである。 Embodiments of the present invention will be described below.
FIG. 1 is an overall configuration diagram showing an embodiment of an external network connection terminal detection system according to the present invention.
In FIG. 1, 900, 910, 920, 930, and 950 correspond to 100, 110, 120, 130, and 150 in FIG.
Reference numerals 921 and 951 denote monitoring agents that operate on the unauthorized terminal 920 and the general terminal.
A monitoring server 960 instructs the monitoring agent of each terminal to perform processing for detecting the unauthorized terminal 920, or issues a warning based on the processing result.

図2を使ってパケット往復時間の測定による不正端末検出処理について説明する。
まず、ステップ210において、監視サーバ960が端末ごとにパケットの往復時間を測定する。測定するには、インターネット標準であるICMPのECHO要求/応答を利用するが、これに限定する必要はない。
次にステップ220において、監視サーバ960は各端末の監視エージェント921,951に監視対象の端末のアドレスのリストを送る。
次にステップ230において、各端末の監視エージェント921,951は監視サーバ960が送ったアドレスのリストを受信する。
次にステップ240において、各端末の監視エージェント921,951は監視サーバ960と同様に他の端末ごとのパケット往復時間を測定し、結果を監視サーバ960に送信する。
次に、ステップ250において、監視サーバ960は各端末の監視エージェント921,951が送った測定結果を受信する。
次にステップ260において、監視サーバ960は端末ごとにパケット往復時間を集計、時間がかかる端末があれば外部端末の可能性があり、警告を発する。
この場合、集計の方法には、(1)複数回測定し、平均時間を結果とする方法、(2)最短の時間を結果とする方法、(3)短いほうから一定数の平均時間を結果とする方法などがある。大量データの送信中でパケット転送に時間がかかる場合を考慮すれば、(1)より(2)か(3)の方が望ましい。 The illegal terminal detection process by measuring the packet round trip time will be described with reference to FIG.
First, in step 210, the monitoring server 960 measures the round trip time of the packet for each terminal. For measurement, the Internet standard ICMP ECHO request / response is used, but it is not necessary to limit to this.
Next, in step 220, the monitoring server 960 sends a list of addresses of terminals to be monitored to the monitoring agents 921 and 951 of each terminal.
In step 230, the monitoring agents 921 and 951 of each terminal receive the list of addresses sent by the monitoring server 960.
Next, in step 240, the monitoring agents 921 and 951 of each terminal measure the packet round trip time for each other terminal in the same manner as the monitoring server 960, and send the result to the monitoring server 960.
Next, in step 250, the monitoring server 960 receives the measurement results sent by the monitoring agents 921 and 951 of each terminal.
Next, at step 260, the monitoring server 960 totals the packet round trip time for each terminal, and if there is a terminal that takes time, there is a possibility of an external terminal, and a warning is issued.
In this case, the totaling method includes (1) a method of measuring a plurality of times and obtaining an average time as a result, (2) a method of obtaining the shortest time as a result, and (3) a result obtained from a shorter average time. There are methods. Considering the case where packet transfer takes time during transmission of a large amount of data, (2) or (3) is preferable to (1).

次に、図3と図4を使ってスイッチのポート接続機器情報を用いた不正端末検出処理を説明する。
図3はネットワークの構成を示したものである。
図3において、310はバックボーンスイッチであり、このバックボーンスイッチ310はフロアごとにあるフロアスイッチ320間の通信パケットの交換を行う。
320はフロアごとに設置してあるフロアスイッチであり、同じフロアにある端末間の通信パケットの交換を行う。別のフロアにある端末への通信パケットはバックボーンスイッチ310に送る。バックボーンスイッチ310は通信パケットの送り先の端末がつながっているフロアスイッチ320に通信パケットを転送する。
330,340は個々の端末であり、フロアスイッチ320に接続している。
ここで注意すべきは、フロアスイッチ320は直接つながっている端末のアドレスを記憶していることである。フロアスイッチ320にある端末の接続口はポートと呼ばれるが、各ポートごとにつながっている端末のアドレスを記憶している。フロアスイッチ320が受取った通信パケットの宛先が、いずれかのポートにあれば、そのポートにつながっている端末にパケットを転送し、どのポートにもないアドレスならばバックボーンスイッチ310にパケットを転送する。 Next, an unauthorized terminal detection process using the switch port connection device information will be described with reference to FIGS.
FIG. 3 shows a network configuration.
In FIG. 3, reference numeral 310 denotes a backbone switch, and the backbone switch 310 exchanges communication packets between floor switches 320 on each floor.
320 is a floor switch installed for each floor, and exchanges communication packets between terminals on the same floor. A communication packet to a terminal on another floor is sent to the backbone switch 310. The backbone switch 310 transfers the communication packet to the floor switch 320 to which the destination terminal of the communication packet is connected.
Reference numerals 330 and 340 denote individual terminals, which are connected to the floor switch 320.
It should be noted here that the floor switch 320 stores the address of the directly connected terminal. The connection port of the terminal in the floor switch 320 is called a port, but stores the address of the terminal connected to each port. If the destination of the communication packet received by the floor switch 320 is at any port, the packet is transferred to a terminal connected to that port, and if the address is not at any port, the packet is transferred to the backbone switch 310.

図4を使ってポート接続機器情報による不正端末検出処理について説明する。
まず、ステップ410において、監視サーバ960がフロアスイッチ320ごとに、そのスイッチの各ポートの接続機器のアドレス情報を収集する。収集するための通信プロトコルはSimple Network Management Protocol (SNMP)が一般的であり、当該情報にあたるManagement Information Base (MIB)にアクセスする。
次に、ステップ420において、監視サーバ960は、フロアスイッチ320の1つのポートに複数のアドレスがあれば外部端末の可能性があり、警告を発する。 An unauthorized terminal detection process based on port connection device information will be described with reference to FIG.
First, in step 410, the monitoring server 960 collects address information of connected devices of each port of the switch for each floor switch 320. A communication protocol for collecting is generally Simple Network Management Protocol (SNMP), and accesses a Management Information Base (MIB) corresponding to the information.
Next, in step 420, the monitoring server 960 issues a warning because there is a possibility of an external terminal if there are a plurality of addresses in one port of the floor switch 320.

次に、図5を使って最大データ転送長による不正端末検出処理について説明する。
まず、ステップ510において、監視サーバ960が端末ごとに最大データ転送長を測定する。測定するには、インターネット標準であるICMPのECHO要求/応答を利用するが、これに限定する必要はない。ECHOするデータ長は要求側である監視サーバ960が決めることができる。ICMP ECHO要求全体で組織内ネットワークの最大長になるようにECHO要求データを決定し、測定対象の端末に送信する。データがそのままECHO応答として返ってくるか、判定する。
ステップ520において、そのまま返ってくれば、対象端末は社内ネットワークにつながっていると判定する。IPフラグメンテーションを起こし、そのまま応答が返ってこない場合には、組織外ネットワークを介して端末がつながっていると判断する。特に携帯電話など無線ネットワークは最大データ転送長がLANより短く、フラグメンテーションが発生してパケットが短くなる。 Next, the unauthorized terminal detection process based on the maximum data transfer length will be described with reference to FIG.
First, in step 510, the monitoring server 960 measures the maximum data transfer length for each terminal. For measurement, the Internet standard ICMP ECHO request / response is used, but it is not necessary to limit to this. The monitoring server 960 on the request side can determine the data length to be ECHOed. The ECHO request data is determined so that the entire ICMP ECHO request is the maximum length of the network in the organization, and is sent to the measurement target terminal. Determine whether data is returned as an ECHO response.
In step 520, if it returns as it is, it is determined that the target terminal is connected to the in-house network. If IP fragmentation occurs and no response is returned, it is determined that the terminal is connected via an external network. Especially in wireless networks such as mobile phones, the maximum data transfer length is shorter than LAN, fragmentation occurs and packets are shortened.

次に、図6を使ってネットワークインタフェース数による不正端末検出処理について説明する。
まず、ステップ610において、監視サーバ960が各端末の監視エージェント921,951に対し、端末にあるネットワークインタフェースの数の調査を指示する。ネットワークインタフェースというのは、ネットワーク媒体と端末をつないでいるインタフェースであり、物理的には通信カードにあたる。
次に、ステップ620において、各エージェント921,951が数を監視サーバ960にインタフェース数を報告する。
次に、ステップ630において、監視サーバ960は1つの端末に複数のネットワークインタフェースがあれば不正端末の可能性があり、警告を発する。
なお、図2、図4、図5、図6で説明した不正端末検出処理は、原理的には、それぞれ単独で実施してもよいものである。 Next, the unauthorized terminal detection process based on the number of network interfaces will be described with reference to FIG.
First, in step 610, the monitoring server 960 instructs the monitoring agents 921 and 951 of each terminal to investigate the number of network interfaces in the terminal. A network interface is an interface that connects a network medium and a terminal, and physically corresponds to a communication card.
In step 620, each agent 921, 951 reports the number of interfaces to the monitoring server 960.
Next, in step 630, if there is a plurality of network interfaces in one terminal, the monitoring server 960 may be an unauthorized terminal and issues a warning.
Note that the unauthorized terminal detection processing described with reference to FIGS. 2, 4, 5, and 6 may be performed independently in principle.

320 フロアスイッチ
900 外部端末
910 社外ネットワーク
920 不正端末
921 監視エージェント
930 社外ネットワーク
950 一般端末
951 監視エージェント
960 監視サーバ 320 Floor switch 900 External terminal 910 External network 920 Unauthorized terminal 921 Monitoring agent 930 External network 950 General terminal 951 Monitoring agent 960 Monitoring server

Claims (4)

組織内ネットワークで端末間のパケット往復時間を測定し、測定結果を他の端末の測定結果と比較し、他の端末より長ければ、その端末が組織外ネットワークに接続されている外部端末であると判断し、当該外部端末に接続されている端末を不正端末として検出する手段を備えることを特徴とする組織外ネットワーク接続端末検出システム。   Measure the packet round-trip time between terminals in the organization network, compare the measurement results with the measurement results of other terminals, and if the terminal is longer than the other terminals, that terminal is an external terminal connected to the network outside the organization A non-organization network connection terminal detection system comprising: means for determining and detecting a terminal connected to the external terminal as an unauthorized terminal. 組織内ネットワークに接続する端末が接続しているネットワークスイッチの各ポートの接続機器のアドレスを参照し、複数のアドレスがある場合には、不正端末であると判断する手段をさらに備えることを特徴とする請求項1に記載の組織外ネットワーク接続端末検出システム。   It further comprises means for referring to the address of the connected device of each port of the network switch to which the terminal connected to the network in the organization is connected, and determining that it is an unauthorized terminal when there are a plurality of addresses. The non-organization network connection terminal detection system according to claim 1. 組織内ネットワークで送信可能な最大パケット長を測定し、短いパケットしか遅れない場合には、外部端末であると判定し、当該外部端末に接続されている端末を不正端末として検出する手段をさらに備えることを特徴とする請求項1に記載の組織外ネットワーク接続端末検出システム。   A maximum packet length that can be transmitted in the intra-organization network is measured, and when only a short packet is delayed, it is determined that the terminal is an external terminal, and further includes means for detecting a terminal connected to the external terminal as an unauthorized terminal The external organization network connection terminal detection system according to claim 1 characterized by things. 各端末にあるネットワークインタフェースの数を測定し、ネットワークインタフェースが複数ある場合には、不正端末であると判断する手段をさらに備えることを特徴とする請求項1に記載の組織外ネットワーク接続端末検出システム。   The non-organization network connection terminal detection system according to claim 1, further comprising means for measuring the number of network interfaces in each terminal and determining that the terminal is an unauthorized terminal when there are a plurality of network interfaces. .
JP2009016270A 2009-01-28 2009-01-28 Detection system for network connection terminal outside organization Pending JP2010177839A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009016270A JP2010177839A (en) 2009-01-28 2009-01-28 Detection system for network connection terminal outside organization

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009016270A JP2010177839A (en) 2009-01-28 2009-01-28 Detection system for network connection terminal outside organization

Publications (1)

Publication Number Publication Date
JP2010177839A true JP2010177839A (en) 2010-08-12

Family

ID=42708385

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009016270A Pending JP2010177839A (en) 2009-01-28 2009-01-28 Detection system for network connection terminal outside organization

Country Status (1)

Country Link
JP (1) JP2010177839A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015102446A1 (en) * 2014-01-06 2015-07-09 고려대학교 산학협력단 Method for detecting bypass connection via anonymous network using changes in round trip times
JP2019096150A (en) * 2017-11-24 2019-06-20 オムロン株式会社 Security monitoring device
CN114244570A (en) * 2021-11-18 2022-03-25 广东电网有限责任公司 Terminal illegal external connection monitoring method and device, computer equipment and storage medium

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015102446A1 (en) * 2014-01-06 2015-07-09 고려대학교 산학협력단 Method for detecting bypass connection via anonymous network using changes in round trip times
KR101548210B1 (en) 2014-01-06 2015-08-31 고려대학교 산학협력단 Method for detecting bypass access through anonymous network using round trip time variation
JP2019096150A (en) * 2017-11-24 2019-06-20 オムロン株式会社 Security monitoring device
JP7006178B2 (en) 2017-11-24 2022-01-24 オムロン株式会社 Security monitoring device
US11397806B2 (en) 2017-11-24 2022-07-26 Omron Corporation Security monitoring device
CN114244570A (en) * 2021-11-18 2022-03-25 广东电网有限责任公司 Terminal illegal external connection monitoring method and device, computer equipment and storage medium
CN114244570B (en) * 2021-11-18 2023-12-22 广东电网有限责任公司 Illegal external connection monitoring method and device for terminal, computer equipment and storage medium

Similar Documents

Publication Publication Date Title
KR101010465B1 (en) Network security elements using endpoint resources
US8000698B2 (en) Detection and management of rogue wireless network connections
US9125130B2 (en) Blacklisting based on a traffic rule violation
US7440434B2 (en) Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods
US7971253B1 (en) Method and system for detecting address rotation and related events in communication networks
US7333481B1 (en) Method and system for disrupting undesirable wireless communication of devices in computer networks
US20130305369A1 (en) Detection of threats to networks, based on geographic location
KR20130046895A (en) System and method for detecting arp spoofing
Jamal et al. Denial of service attack in wireless LAN
Bahl et al. DAIR: A framework for managing enterprise wireless networks using desktop infrastructure
JP2007295039A (en) Device and method for detecting network address converter
CN110213761B (en) Multi-model pseudo AP detection method and detection device based on bidirectional SYN reflection
CN102438028A (en) Method, device and system for preventing fraud of dynamic host configuration protocol (DHCP) server
Hsu et al. A client-side detection mechanism for evil twins
JP2010263310A (en) Wireless communication device, wireless communication monitoring system, wireless communication method, and program
EP2373075A1 (en) System and method for WLAN traffic monitoring
US9686311B2 (en) Interdicting undesired service
JP2010177839A (en) Detection system for network connection terminal outside organization
JP2007266931A (en) Communication interruption apparatus, and communication interruption program
US8724506B2 (en) Detecting double attachment between a wired network and at least one wireless network
JP2012138727A (en) Information processing device, address overlap handling method, and address overlap handling program
KR101003094B1 (en) Cyber attack traceback system by using spy-bot agent, and method thereof
KR101075234B1 (en) Network management apparatus and method thereof, contents providing server for managing network
TWI732708B (en) Network security system and network security method based on multi-access edge computing
JP4326423B2 (en) Management device and unauthorized access protection system