JP2006217039A - ネットワーク中継装置 - Google Patents
ネットワーク中継装置 Download PDFInfo
- Publication number
- JP2006217039A JP2006217039A JP2005025107A JP2005025107A JP2006217039A JP 2006217039 A JP2006217039 A JP 2006217039A JP 2005025107 A JP2005025107 A JP 2005025107A JP 2005025107 A JP2005025107 A JP 2005025107A JP 2006217039 A JP2006217039 A JP 2006217039A
- Authority
- JP
- Japan
- Prior art keywords
- data
- network
- relay device
- vulnerability
- network relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 脆弱性のある機器がネットワーク管理者の知らない間に接続されても安全性に問題のないネットワーク中継装置を提供する。
【解決手段】 脆弱性のあるネットワーク接続機器が外部のネットワークにデータを送信しようとしたときに、脆弱性の検査を自動的に行ない、その結果に応じてデータを中継するか否かを決定する。すなわち、LAN側に接続された機器の存在を外部に知られる前に脆弱性の検査を最初に自動的に行ない、不合格になった機器は合格するまでWAN側との通信をできなくする機能を備える。
【選択図】 図1
【解決手段】 脆弱性のあるネットワーク接続機器が外部のネットワークにデータを送信しようとしたときに、脆弱性の検査を自動的に行ない、その結果に応じてデータを中継するか否かを決定する。すなわち、LAN側に接続された機器の存在を外部に知られる前に脆弱性の検査を最初に自動的に行ない、不合格になった機器は合格するまでWAN側との通信をできなくする機能を備える。
【選択図】 図1
Description
本発明は、脆弱性のあるネットワーク接続機器が外部のネットワークにデータを送信しようとしたときに、脆弱性の検査を自動的に行ない、その結果に応じてデータを中継するか否かを決定するネットワーク中継装置に関するものである。
従来、脆弱性に対処するネットワーク中継装置に関する技術としては、「不正アクセス対処ルール自動設定装置(特開2002−328896)」に示されるように、
(1)保護対象ネットワークのセキュリティ上の弱点を特定する機能、
(2)不正対処手段を選択設定するためのマンマシンインタフェース機能、
(3)不正アクセス対処ツールに不正対処ルールを設定する機能
を有することにより、作業効率及び作業精度の向上を目指そうとする技術があった。
(1)保護対象ネットワークのセキュリティ上の弱点を特定する機能、
(2)不正対処手段を選択設定するためのマンマシンインタフェース機能、
(3)不正アクセス対処ツールに不正対処ルールを設定する機能
を有することにより、作業効率及び作業精度の向上を目指そうとする技術があった。
現在でもインターネットを利用して外部から不正にアクセスする行為に対して、IDS(Intrusion Detection System:不正侵入検知システム)に代表されるような不正対処ツールが企業などのネットワーク管理部門等に利用されている。
一方、「Remote Scanner製品」と呼ばれるネットワークに接続された機器に対して脆弱性の診断を行うツールも利用されている。
不正アクセスに対処するためには不正対処ツールに不正アクセス対処ルールを設定しなければならないが、ここにあげた従来の技術はそのルールの設定作業をセキュリティ脆弱性診断ツールと組み合わせてオンライン連携仲立ちすることにより自動で行おうとするものである。
特開2002−328896号公報
しかしながら、上記従来技術では、(1)の保護対象ネットワークのセキュリティ上の弱点を特定する機能の例としてあげられている「Remote Scanner製品」では、LAN側に脆弱性のある機器がネットワーク管理者の知らない間に接続されてWAN側にデータを送出したとしても「Remote Scanner製品」の診断機能が働くまでは脆弱性のある機器が接続されたことを検出することができず、脆弱性のある機器が外部から攻撃されても一般的なファイアウォールやIDSでは対処できないため、外部からの攻撃対象として脆弱性のある機器が狙われやすくなるといった課題があった。
上記課題を解決するために、請求項1記載の発明では、LAN側からWAN側へデータを中継するネットワーク中継装置であって、LAN側からのデータを受信する受信手段、LAN側からのデータの送信元IPアドレスが検査済であるかを判定する検査済判定手段、検査済でなかった場合に送信元に脆弱性の検査を行なう脆弱性検査手段、WAN側へデータを送出する送信手段、脆弱性検査の合否を判定する合否判定手段、合格したデータの送信元IPアドレスを検査済として登録する登録手段、合格しなかったデータに不合格処理を行なう不合格処理手段、を備えることを特徴とするネットワーク中継装置を構成した。
すなわち、本発明では、LAN側に接続された機器の存在を外部に知られる前に脆弱性の検査を最初に自動的に行ない、不合格になった機器は合格するまでWAN側との通信をできなくする機能を有する。
以上の説明から明らかなように、本願請求項1によれば、LAN側に脆弱性のある機器がネットワーク管理者の知らない間に接続されてもWAN側にデータを送出する前に脆弱性の検査が行なわれるため、外部からの攻撃対象として脆弱性のある機器が狙われることが極めて少なくなり、ネットワーク管理者の負担が軽減される、脆弱性に不安のある利用者も安心して新たな機器をネットワークに接続できるといった効果がある。
また、本願請求項2によれば、機器に固有のサービスに限定して検査できるので、脆弱性検査が効率よく行えるといった効果がある。
また、本願請求項3によれば、データを連続的に送りつけてくるようなパターン攻撃に対しても検査ができるので、脆弱性検査が幅広く行えるといった効果がある。
また、本願請求項4によれば、不合格処理が検査方法に応じて変えられるため、ネットワーク管理者の方針に即した適正な運用が可能となるといった効果がある。
また、本願請求項5によれば、不合格処理としてデータを破棄する処理を行うため、LAN側のネットワークに大きな負荷をかけることなくセキュリティが向上できるといった効果がある。
また、本願請求項6によれば、不合格処理の結果を送信元に通知できるため、送信元で脆弱性に関する情報を知ることができ、迅速な対応が可能となるといった効果がある。
以下、図を参照して本発明の実施形態を説明する。
最初に、本発明の実施形態におけるネットワーク中継装置の基本の機能的な構成をブロック図[図1]を用いて説明する。
101は、LAN側からのデータを受信する受信手段、
102は、LAN側からのデータの送信元IPアドレスが検査済であるかを判定する検査済判定手段、
103は、送信元に脆弱性の検査を行なう脆弱性検査手段、
104は、WAN側へデータを送出する送信手段、
105は、脆弱性検査の合否を判定する合否判定手段、
106は、合格したデータの送信元IPアドレスを検査済として登録する登録手段、
107は、合格しなかったデータに不合格処理を行なう不合格処理手段、
である。
102は、LAN側からのデータの送信元IPアドレスが検査済であるかを判定する検査済判定手段、
103は、送信元に脆弱性の検査を行なう脆弱性検査手段、
104は、WAN側へデータを送出する送信手段、
105は、脆弱性検査の合否を判定する合否判定手段、
106は、合格したデータの送信元IPアドレスを検査済として登録する登録手段、
107は、合格しなかったデータに不合格処理を行なう不合格処理手段、
である。
次に、同装置の具体的なハードウェアの構成をハードウェア構成図[図2]を用いて説明する。
LAN側イーサネット(登録商標)インターフェイス201は、LAN側からのデータの受信を行なうための受信手段101である。
WAN側イーサネット(登録商標)インターフェイス202は、WAN側にデータを送出するための送信手段104である。
RAM203は、送信元のIPアドレスと合否情報を記憶するための登録手段である。
CPU204は、ROM205にあらかじめ記憶された処理手順にしたがって処理を行なうことにより、検査済判定手段102、脆弱性検査手段103、合否判定手段105、不合格処理手段107の各手段を実現する。
バス206は、LAN側イーサネット(登録商標)インターフェイス201、WAN側イーサネット(登録商標)インターフェイス202、RAM203、ROM205といった各デバイスとCPU204とのデータのやりとりを行なう。
また、同装置はRAMやROMや入出力レジスタといったデバイスをひとつのアドレス空間に配置している実装例であり、実現されたアドレス空間をメモリマップ[図3]を用いて説明する。
ROM領域301は、同装置の処理手順が記憶されているメモリ領域である。
RAM領域302は、同装置の処理に必要な作業領域302aおよび検査に合格したIPアドレスが記録された検査済対応表302bを記憶するメモリ領域である。
入出力レジスタ領域303は、同装置のLAN側およびWAN側のイーサネット(登録商標)インターフェイスの入出力関係のレジスタが割当てられている領域である。
次に、同装置のメイン処理であるWAN側送出処理手順をフローチャート[図4]を用いて説明する。
通常、LAN側のネットワークに新たな機器が接続された場合、機器は自分のIPアドレスがすでに使われていないかを確認するために自分のIPアドレスをARP(Address Resolution Protocol)を用いてネットワークに問合わせる。
その時点で以下の処理を行なっても良いが、LANの内部で閉じている機器であれば脆弱性の検査は不要であるため、機器が外部(WAN側)へデータを送出しようとした時点で以下の処理を行なう。ネットワーク機器として接続できるようになるまでの処理の説明は本願の主眼でないため割愛する。
最初に、WAN側へデータの送出要求があると本発明のネットワーク中継装置では以下の処理をステップS401から開始する。
ステップS401では、送出しようとしているデータから送信元のIPアドレスを抽出し、RAM203に記憶されている検査済対応表302bを参照することにより前記IPアドレスが検査済であるか否かを調べ、検査済であればステップS406に移行し、そうでない場合、すなわち未登録または検査中であった場合はステップS402へ移行する。
ステップS402では、ステップS401で抽出したIPアドレスが未登録であった場合は検査済対応表302bに登録し、状態を「検査中」に変更し脆弱性検査を行い、状態がすでに「検査中」であった場合は別の脆弱性検査を行ない、結果をRAM203のRAM領域302にある作業領域302aに保持し、ステップS403へ移行する。
脆弱性の検査の方法については様々な方法が考案されており、本願の主眼ではないので詳しく説明することは避けるが、従来技術で紹介したような「Remote Scanner装置」で用いられているパターン攻撃などを適用することで実現される。
例えば、サービス拒否攻撃(DoS攻撃)として有名な「Echo Attack」やICMP Echoパケットを連続的に送出する「Ping Flooding」といった攻撃を検査対象の機器に行ない、他のサービスが著しく低下しないかどうかを判断する。
また、検査対象の機器にWebサーバの機能があれば、代表的なポート番号に対してHTTPプロトコルを用いてURLに長い文字列を指定することでバッファオーバフローの検査も行なえる。
このように、アプリケーション層における脆弱性検査も従来技術で用いられる方法が適用できる。
このステップで脆弱性検査を機器の特性に応じて選択することにより、本願請求項2に記載の検査手段を実施することができ、検査が効率よく行える。
たとえば、外部に送出しようとしているパケットがHTTP(Hyper Text Transfer Protocol)の応答パケットであると判断された場合、検査対象となる機器はHTTPサーバ機能を有していると考えられる。
そこで、対象となる機器に「HTTP NCSA Buffer Overflow Attack(256文字を越えるURLを送信する攻撃)」といった機器特有の検査を行うことができる。
もちろん、攻撃パターンの登録や更新は従来技術と同様に手動で行なうこともリモートメンテナンスのサービスを提供している業者が自動で行なうことも可能であるが、請求項4に記載の発明を実施することで、脆弱性の検査方法の種類によって後述の不合格処理を適切に行うことができる。
たとえば、フラグメント禁止フラグの設定された大きなパケットに対する脆弱性検査を行った場合は、「ICMP unreachable」の原因コードに「UNREACH_NEEDFRAG」を指定することでフラグメントが必要であることを送信元に通知できる。
ステップS403では、前記脆弱性検査に合格したか否かを調べ、合格していればステップS404に移行し、そうでなければステップS405へ移行する。
ステップS404では、送信元のIPアドレスをRAM203のRAM領域302にある検査済対応表302bに検査済として登録し、ステップS406に移行する。
ステップS405では、不合格処理を行ない処理を終了する。
例えば、請求項5に記載の不合格処理の実施例として、データを破棄してほかのデータを受け取るための準備を行い、その後は何も行わない。このように実施することにより処理が軽くなる。
また、請求項6に記載の不合格処理の実施例として、「ICMP unreachable」というデータを送信元に返信する。このように実施することで送信元に積極的に通知し、送信元の機器の利用者に対処を促すことができる。
ステップS406では、WAN側イーサネット(登録商標)インターフェイス202にデータ送出の処理を行ない処理を終了する。
以上のように実施することで、LAN側に脆弱性のある機器がネットワーク管理者の知らない間に接続されてもWAN側にデータを送出する前に脆弱性の検査が行なわれるため、外部からの攻撃対象として脆弱性のある機器が狙われやすくなるといった上記課題が解決されるだけでなく、次に述べるような効果も期待できる。
101 LAN側データ受信手段
102 検査済判定手段
103 脆弱性検査手段
104 WAN側データ送信手段
105 合格判定手段
106 登録手段
107 不合格処理手段
201 LAN側イーサネット(登録商標)インターフェイス
202 WAN側イーサネット(登録商標)インターフェイス
203 RAM
204 CPU
205 ROM
206 バス
301 ROM領域
302 RAM領域
302a 作業領域
302b 検査済対応表
303 入出力レジスタ領域
102 検査済判定手段
103 脆弱性検査手段
104 WAN側データ送信手段
105 合格判定手段
106 登録手段
107 不合格処理手段
201 LAN側イーサネット(登録商標)インターフェイス
202 WAN側イーサネット(登録商標)インターフェイス
203 RAM
204 CPU
205 ROM
206 バス
301 ROM領域
302 RAM領域
302a 作業領域
302b 検査済対応表
303 入出力レジスタ領域
Claims (6)
- LAN側からWAN側へデータを中継するネットワーク中継装置であって、
LAN側からのデータを受信する受信手段、
LAN側からのデータの送信元IPアドレスが検査済であるかを判定する検査済判定手段、
検査済でなかった場合に送信元に脆弱性の検査を行なう脆弱性検査手段、
WAN側へデータを送出する送信手段、
脆弱性検査の合否を判定する合否判定手段、
合格したデータの送信元IPアドレスを検査済として登録する登録手段、
合格しなかったデータに不合格処理を行なう不合格処理手段、
を備えることを特徴とするネットワーク中継装置。 - 前記脆弱性検査手段は、複数の検査方法から機器に応じて検査方法を選択することを特徴とする請求項1記載のネットワーク中継装置。
- 前記脆弱性検査手段は、送信元の特定のポートへ特定のパターンの攻撃を行ない、その後のサービスに問題がないかを検査することを特徴とする請求項1記載のネットワーク中継装置。
- 前記不合格処理手段は、脆弱性検査の検査方法に応じて不合格処理の内容を変更することを特徴とする請求項1記載のネットワーク中継装置。
- 前記不合格処理手段は、送信元からのデータを破棄する処理を行うことを特徴とする請求項1記載のネットワーク中継装置。
- 前記不合格処理手段は、データが外部へ送出できない旨を送信元へ通知する処理を行うことを特徴とする請求項1記載のネットワーク中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005025107A JP2006217039A (ja) | 2005-02-01 | 2005-02-01 | ネットワーク中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005025107A JP2006217039A (ja) | 2005-02-01 | 2005-02-01 | ネットワーク中継装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006217039A true JP2006217039A (ja) | 2006-08-17 |
Family
ID=36979918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005025107A Withdrawn JP2006217039A (ja) | 2005-02-01 | 2005-02-01 | ネットワーク中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006217039A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008066945A (ja) * | 2006-09-06 | 2008-03-21 | Fujitsu Ltd | 攻撃検出システム及び攻撃検出方法 |
-
2005
- 2005-02-01 JP JP2005025107A patent/JP2006217039A/ja not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008066945A (ja) * | 2006-09-06 | 2008-03-21 | Fujitsu Ltd | 攻撃検出システム及び攻撃検出方法 |
| JP4664257B2 (ja) * | 2006-09-06 | 2011-04-06 | 富士通株式会社 | 攻撃検出システム及び攻撃検出方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US7076803B2 (en) | Integrated intrusion detection services | |
| CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
| US9038182B2 (en) | Method of defending against a spoofing attack by using a blocking server | |
| US20080028073A1 (en) | Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks | |
| US20060140127A1 (en) | Apparatus for displaying network status | |
| JP3731111B2 (ja) | 侵入検出装置およびシステムならびにルータ | |
| JP2010532633A (ja) | ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム | |
| US8254286B2 (en) | Method and system for detection of NAT devices in a network | |
| JP2005229614A (ja) | Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置 | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| EP1540921B1 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP2002026907A (ja) | 通信ネットワークセキュリティ方法および通信ネットワークのネットワークセキュリティを分析するための方法および通信システムおよびセキュリティホストコンピュータおよび機械で読み出し可能な媒体。 | |
| CN107690004A (zh) | 地址解析协议报文的处理方法及装置 | |
| EP1754348B1 (en) | Using address ranges to detect malicious activity | |
| US11552973B2 (en) | Network malicious behavior detection method and networking system using same | |
| CN112217783A (zh) | 用于在通信网络中的攻击识别的设备和方法 | |
| JP4641848B2 (ja) | 不正アクセス探索方法及び装置 | |
| Lindberg | Security analysis of vehicle diagnostics using DoIP | |
| JP2006217039A (ja) | ネットワーク中継装置 | |
| JP5402304B2 (ja) | 診断プログラム、診断装置、診断方法 | |
| CN105791458B (zh) | 地址配置方法和装置 | |
| JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
| CN113168460A (zh) | 用于数据分析的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20080401 |