JP2006217551A - セキュリティ装置 - Google Patents
セキュリティ装置 Download PDFInfo
- Publication number
- JP2006217551A JP2006217551A JP2005031123A JP2005031123A JP2006217551A JP 2006217551 A JP2006217551 A JP 2006217551A JP 2005031123 A JP2005031123 A JP 2005031123A JP 2005031123 A JP2005031123 A JP 2005031123A JP 2006217551 A JP2006217551 A JP 2006217551A
- Authority
- JP
- Japan
- Prior art keywords
- network
- disconnection
- security device
- security
- host device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【解決手段】 複数のネットワークインターフェースを有し、複数のネットワークインターフェースにより複数の異なるネットワークに接続することができるセキュリティ装置であって、ネットワークの断線が検出された場合に、断線したネットワークとの接続を自動的に切断するようにした。
【選択図】 図1
Description
図7は従来のセキュリティ装置を用いたネットワークシステムの概要を示した図である。
図7に示すセキュリティ装置100は、2つのネットワークインターフェースを有し、一方のネットワークインターフェースが安全でないネットワーク110に接続され、他方のネットワークインターフェースが安全なネットワーク120に接続されている。
この場合、セキュリティ装置100はネットワーク110が安全でないネットワークであること、及びネットワーク120が安全なネットワークであることを認識している。
ここで、セキュリティ装置100に対して、或るホスト装置121から安全なネットワーク120を介してパケットが伝送されてくると、セキュリティ装置100は受信したパケットの暗号化や送信者の認証情報の付加、若しくはその両方を行った後、安全でないネットワーク110に送信する。
即ち、セキュリティ装置100は、安全なネットワーク120上にありセキュリティ維持機能のないホスト装置121から送信されたパケットにセキュリティ対策を施して、安全ではないネットワーク110に転送する機能を備えている。また、逆に安全はでないネットワーク110からホスト装置121に向けて送信されたセキュリティ対策済のパケットに対して暗号化処理が施されていれば解読を行い、認証情報が施されていれば認証処理を行う。そして、解読処理や認証処理が成功すれば、安全なネットワーク120上のホスト装置121に対してデータを転送するようにしている。
なお、このようなネットワークシステムにおいては、安全であることを前提にしたネットワーク120が長くなるほど低セキュリティのネットワークが拡張することになり、安全性に問題が生じる。すなわち、安全であることを前提としたネットワーク120はその長さを最小限にすることで安全性が高くなる。このため、従来からセキュリティ装置100と、その対象となるホスト装置121とはできるだけ近くに配置するようにしていた。
例えば、セキュリティ装置100とその対象であるホスト装置121とを直接接続したり、或いは図8に示すように許可された人物以外は入室できないような鍵のかかる室内130にセキュリティ装置100とホスト装置121とを配置したりするようにしていた。
なお、先行文献としては例えば特許文献1がある。
そこで、本発明は、このような問題を解決するためになされたものであり、セキュリティの対象であるホスト装置から不正にデータが流出するのを防止することができるセキュリティ装置を提供することを目的とする。
また請求項2に記載の発明は、前記複数のネットワークインターフェースの内、少なくとも一つのネットワークインターフェースは、イーサネット(登録商標)インターフェースである請求項1に記載のセキュリティ装置を特徴とする。
また請求項3に記載の発明は、前記断線検出手段は、前記ネットワークを介して接続されたホスト装置との間で一定時間毎に通信を行い、前記ホスト装置からの応答が所定時間以上無かった時に断線したと判断する請求項1に記載のセキュリティ装置を特徴とする。
また請求項4に記載の発明は、前記断線検出手段は、前記ネットワークを介して接続されたホスト装置との間で行われるトランスポート層のプロトコルを利用した通信が切断された時に断線したと判断する請求項1に記載のセキュリティ装置を特徴とする。
また請求項5に記載の発明は、前記切断手段は、前記ネットワークインターフェースへのパケットの送信を停止する送信停止手段と、所定の宛先に電子メールを送信するメール送信手段とを備える請求項1に記載のセキュリティ装置を特徴とする。
請求項2に記載の発明によれば、断線検出手段において、イーサネットインターフェースの断線通知を利用することよって断線検出を確実に行うことができる。
請求項3に記載の発明によれば、断線検出手段において、ホスト装置との間で一定時間毎に通信を行い、ホスト装置からの応答が所定時間以上無かった場合に断線したと判断することで断線検出を確実に行うことができる。
請求項4に記載の発明によれば、断線検出手段において、ホスト装置との間で行われるトランスポート層のプロトコルを利用した通信が切断された場合に断線したと判断することで、断線検出を容易に行うことができる。
請求項5に記載の発明によれば、断線があった場合にパケットタッピングツールが接続された可能性があるため、通信を不許可にしたうえで、所定の宛先にメールを送信することで、例えば管理者等に通信に危険が発生したことを早期に知ることができるようになる。
図1は本発明の実施形態であるセキュリティ装置の主要な構成を示した図である。
この図1に示すセキュリティ装置1は、アプリケーション11、ミドルウェア12、オペレーティングシステム(OS)13等のソフトウェアと、ネットワークインターフェース(以下、ネットワークI/F)としてイーサネットインターフェース(以下、「イーサネットI/F」と表記する)2と、それ以外のネットワークI/F5等のハードウェアにより構成されている。この場合、イーサネットI/F2はイーサネット3に接続され、ネットワークI/F5は図示していないイーサネット以外のネットワークに接続される。なお、本実施の形態では、二つのネットワークI/Fを備えるものとして説明するが、ネットワークI/Fはそれ以上でもよいことは言うまでもない。
このようにセキュリティ装置1は、イーサネットI/F2と、それ以外のネットワークI/F5を備え、これらのネットワークI/Fがそれぞれネットワークに対して接続される。
そして、或るホスト装置又は任意のホストから送られてきたパケットを一方のネットワークI/Fにより受信し、その受信したデータの暗号化したり、認証情報を付加したりする、あるいはその両方を行って他方のネットワークI/Fに送信する機構を備えている。
また、逆に或るホスト装置又は任意のホスト装置から送られてきたパケットを一方のネットワークI/Fにより受信し、そのデータに施された暗号化を解除したり、記載された認証情報に従って認証を行ったりする、あるいはその両方を行い、データを正常に解読や認証ができた場合は処理後のパケットを他方のネットワークI/Fに送信する機構を備えている。
そのうえで、本実施形態のセキュリティ装置1は、ネットワークI/Fが接続されたネットワークの断線を検出する断線検出手段と、断線検出手段により断線が検出された場合に、断線したネットワークとの接続を自動的に切断する切断手段とを備えるようにした。
また、例えば一定時間おきにセキュリティ対象であるホスト装置に対して返答を要求する通信を行い、返答が到着しなくなった場合に通信路が切断されたと認識する、即ち断線検出を行うようにしてもよい。
具体的には、セキュリティ装置1と、セキュリティ対象となるホスト装置4の両者がIP(Internet Protocol)により通信する機能を有している場合、ICMP(Internet Control Message Protocol)echo、及びICMPreplyの通信を利用することが考えられる。
ホスト装置4がIPに対応しているのであれば、ICMPechoのパケットを受信できればICMPreplyのパケットを送信する機能を持っている場合が多いので、このようなICMPを利用して切断検知処理を行うようにする。
この図2に示すように、セキュリティ装置1はICMPechoのパケットを一定時間おきに送信し、ホスト装置4がそれに応じてICMPreplyを送り返す。
したがって、ホスト装置4からセキュリティ装置1へICMPreplyのパケットが所定の応答時間内に到着しなかった場合はネットワークが切断されたと判断できる。
図3は、上記したような切断検知のためにセキュリティ装置が実行する処理を示したフローチャートである。
この場合、セキュリティ装置1は、ICMPechoのパケットをホスト装置4に送信した後(S1)、図示しないタイマをスタートする(S2)。次にICMPreplyをホスト装置4から受信したかどうか判断し、受信したと判断した場合は(S3でY)、所定時間経過した時点で(S4)、タイマをリセットして(S5)、ステップS1に戻り処理を継続する。
一方、ステップS3において、ホスト装置4からICMPreplyを受信していないと判断した場合(S3でN)、予め設定したICMPreplyの応答到着予想時間を経過したかどうか判断し(S6)、経過したと判断したら(S6でY)、セキュリティ装置1とホスト装置4との間の伝送路が切断されたと判断して切断対処プログラムを実行する(S7)。一方、ステップS6において、応答到着予想時間を経過していないと判断した場合は(S6でN)、ステップS3に戻って処理を継続する。このように構成した場合もネットワークの断線を確実に検出することができる。
さらに、より簡易的な切断検知方法としてはセキュリティ装置1とホスト装置4がTCP/IPに対応している場合、TCPセッションをセキュリティ装置1とホスト装置4の間で接続し、その接続状態によって断線検出を行うことも可能である。
図4はセキュリティ装置が実行する処理を示したフローチャートであり、この場合、セキュリティ装置1は、ホスト装置4との間でTCPセッションを張った後(S11)、定常状態であるかどうかの判別を行う(S12)。そして、定常状態でないと判断した場合(S12でN)、TCPセッションは切断された判断して切断対処プログラムを実行する(S13)。このようにセキュリティ装置1とホスト装置4との間で行われるトランスポート層のプロトコルを利用して断線検出を行うようにすると容易に断線検出を行うことができる。
切断処理としては、先ず切断された際にホスト装置4への通信を停止することが考えられる。またこれに加えてセキュリティ装置から所定の宛先に対してメールを送信する機能を持たせることで通信に危険が発生したことを早期に知ることができるようになる。
図5はセキュリティ装置の機能ブロック図であり、セキュリティ装置は、ネットワークの断線を検出する断線検出部21、断線検出部21の検出結果に基づいて、ホスト装置4への通信を制限する通信制限部22、断線検出部21の検出結果に基づいて、メールアドレス記憶部24に記憶されているメールアドレスに対してネットワークが断線したことを知らせる断線警報通信部23とを備えることになる。
図6は、この場合にセキュリティ装置が実行する処理を示したフローチャートであり、セキュリティ装置1は、ホスト装置4への通信を制限した後(S21)、メールアドレスが指示する宛先へメールを送信する(S22)。
Claims (5)
- 複数のネットワークインターフェースを有し、前記複数のネットワークインターフェースにより複数の異なるネットワークに接続することができるセキュリティ装置であって、前記ネットワークの断線を検出する断線検出手段と、前記断線検出手段により断線が検出された場合に、断線したネットワークとの接続を自動的に切断する切断手段と、を備えたことを特徴とするセキュリティ装置。
- 前記複数のネットワークインターフェースの内、少なくとも一つのネットワークインターフェースは、イーサネット(登録商標)インターフェースであることを特徴とする請求項1に記載のセキュリティ装置。
- 前記断線検出手段は、前記ネットワークを介して接続されたホスト装置との間で一定時間毎に通信を行い、前記ホスト装置からの応答が所定時間以上無かった時に断線したと判断することを特徴とする請求項1に記載のセキュリティ装置。
- 前記断線検出手段は、前記ネットワークを介して接続されたホスト装置との間で行われるトランスポート層のプロトコルを利用した通信が切断された時に断線したと判断することを特徴とする請求項1に記載のセキュリティ装置。
- 前記切断手段は、前記ネットワークインターフェースへのパケットの送信を停止する送信停止手段と、所定の宛先に電子メールを送信するメール送信手段とを備えることを特徴とする請求項1に記載のセキュリティ装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005031123A JP2006217551A (ja) | 2005-02-07 | 2005-02-07 | セキュリティ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005031123A JP2006217551A (ja) | 2005-02-07 | 2005-02-07 | セキュリティ装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006217551A true JP2006217551A (ja) | 2006-08-17 |
Family
ID=36980346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005031123A Pending JP2006217551A (ja) | 2005-02-07 | 2005-02-07 | セキュリティ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006217551A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009135875A (ja) * | 2007-11-07 | 2009-06-18 | Meidensha Corp | ブリッジングシステム、ブリッジおよびブリッジング方法 |
JP2009223387A (ja) * | 2008-03-13 | 2009-10-01 | Canon Inc | データ処理装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000059393A (ja) * | 1998-08-13 | 2000-02-25 | Nec Corp | ネットワーク集線装置 |
-
2005
- 2005-02-07 JP JP2005031123A patent/JP2006217551A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000059393A (ja) * | 1998-08-13 | 2000-02-25 | Nec Corp | ネットワーク集線装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009135875A (ja) * | 2007-11-07 | 2009-06-18 | Meidensha Corp | ブリッジングシステム、ブリッジおよびブリッジング方法 |
JP2009223387A (ja) * | 2008-03-13 | 2009-10-01 | Canon Inc | データ処理装置 |
US8789137B2 (en) | 2008-03-13 | 2014-07-22 | Canon Kabushiki Kaisha | Data processing device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581803B1 (en) | Application-aware connection rules for network access client | |
KR20160002058A (ko) | 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 | |
CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
IL201726A (en) | Method and device for locating port scanners with a fake source address | |
US20190014081A1 (en) | Apparatus for supporting communication between separate networks and method for the same | |
JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
CN100466583C (zh) | 基于rrpp的快速环网防攻击的方法、装置和系统 | |
KR102603512B1 (ko) | Can 컨트롤러에 의해 버스에 연결된 노드를 이용하여 can 버스에서의 조작을 방지하기 위한 방법 및 장치 | |
US9225703B2 (en) | Protecting end point devices | |
WO2016005957A1 (en) | System, method and process for mitigating advanced and targeted attacks with authentication error injection | |
JP2007039166A (ja) | エレベータの遠隔監視システム | |
US8984619B2 (en) | Methods, systems, and computer readable media for adaptive assignment of an active security association instance in a redundant gateway configuration | |
JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
US8429393B1 (en) | Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern | |
JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
JP2007251772A (ja) | ネットワークへの不正接続防止システム及び方法並びにそのプログラム | |
JP2006217551A (ja) | セキュリティ装置 | |
KR101889502B1 (ko) | 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법 | |
EP3133790B1 (en) | Message sending method and apparatus | |
KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 | |
KR102067186B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
KR20200007060A (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
JP5420465B2 (ja) | 通信監視装置、方法およびプログラム | |
CN111343129A (zh) | 一种防御协议组网被破解的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080206 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100608 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100809 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110125 |