JP2006287299A - ネットワーク管理方法および装置並びに管理プログラム - Google Patents

ネットワーク管理方法および装置並びに管理プログラム Download PDF

Info

Publication number
JP2006287299A
JP2006287299A JP2005100725A JP2005100725A JP2006287299A JP 2006287299 A JP2006287299 A JP 2006287299A JP 2005100725 A JP2005100725 A JP 2005100725A JP 2005100725 A JP2005100725 A JP 2005100725A JP 2006287299 A JP2006287299 A JP 2006287299A
Authority
JP
Japan
Prior art keywords
terminal
network
address
unauthorized connection
connection terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005100725A
Other languages
English (en)
Other versions
JP4179300B2 (ja
Inventor
Kenichi Kashima
謙一 鹿島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005100725A priority Critical patent/JP4179300B2/ja
Publication of JP2006287299A publication Critical patent/JP2006287299A/ja
Application granted granted Critical
Publication of JP4179300B2 publication Critical patent/JP4179300B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract


【課題】 IPv6ネットワーク環境あるいはIPv4とIPv6混在環境においてネットワークへの不正接続の検出と不正接続端末の遮断を実現する。
【解決手段】 ネットワークエージェントによりネットワークを監視し、パケットに含まれるMACアドレスを基に予め接続が許可された端末固有の識別情報が登録されたデータベースを照合して不正接続端末かを判定し、不正接続端末の場合に前記パケットの送信元アドレスが未指定アドレスか否かを判定し、未指定の場合にはDADプロセスであるためアドレスが重複している旨の近隣通知メッセージを送信し、前記送信元アドレスがユニキャストアドレスの場合は前記不正接続端末のリンク層アドレスを架空のものに設定した近隣広告の非要請メッセージを全ノードマルチキャストアドレスに送信する。
【選択図】 図3

Description

本発明はネットワーク管理方式に関し、特に、IPv6(Internet Protocol version 6)環境においてネットワークへの不正接続の検出と不正接続端末の通信遮断を行う技術に関する。
近年の通信ネットワークの発達に伴い、企業内LANなどへの不正接続が問題となっている。ネットワークへの不正接続は、データパケットの盗聴や情報資産への不正アクセスによる秘密情報の漏洩といった危険のみならず、ウィルス感染した不正接続端末からネットワーク全体へウィルス汚染が拡大するといった危険もある。このような通信ネットワークへの不正接続を検出するための技術が開発されている。例えば特許文献1では、正常時と不正監視時のARP(Address Resolution Protocol)テーブルを比較して不正接続端末を検出し、表示装置に警告メッセージを発することが開示されている。
また、従来インターネットプロトコルではIPv4(Internet Protocol version 4)が使用されてきたが、インターネット利用者の急増に伴うIPv4アドレス空間の枯渇が問題となり、新たに128ビットのアドレス長を持つプロトコルとしてIPv6が実用化されている。現在は特にブロードバンドサービスにおいてIPv6が利用されているが、今後は企業内ネットワークなどすべてのネットワークがIPv6に移行していくものと想定される。
IPv6では、アドレスを決定する際にネットワーク内でそのアドレスがすでに使用されているかを確認する重複アドレス検出機能(DAD:Duplicated Address Detection)という新機能が追加されている。この機能では、ノードが作成したIPv6アドレスを含む近隣要請(NS:Neighbor Solicitation)メッセージをサブネット上にブロードキャスト送信し、その近隣要請メッセージを受信した他のノードがそのIPv6アドレスを既に使用している場合、近隣広告(NA:Neighbor Advertisement)メッセージを返答してメッセージが重複していることを通知する。近隣要請メッセージを送信したノードは一定時間(少なくとも1秒)応答がない場合に設定したIPv6アドレスが重複していないと判断し、以後そのアドレスを利用することができるが、近隣要請メッセージに対する近隣広告メッセージを受信した場合にはアドレスが重複しているとしてそのアドレスで接続することができない(例えば、特許文献2)。
また、IP通信ではIPアドレスを知っていてもリンク層アドレスを知らなければ通信できないため、各ノードは通信先のリンク層アドレスを取得し、IPアドレスとリンク層アドレスをペアにしてキャッシュする。このキャッシュが近隣キャッシュ(Neighbor Cache)と呼ばれる。例えばある端末のインタフェースカードがホットスワップした場合など、ネットワーク接続端末のリンク層アドレスが変更になった場合に、新しいリンク層アドレスを全ノードに知らせるために近隣探索プロトコル(NDP:Neighbor Disicovery Protocol)の近隣広告メッセージの非要請広告(Unsolicited Neighbor Advertisement)が用いられる。通知されたノードは近隣キャッシュを更新し、以降の通信を行う。このメッセージにおいてS(Solicited:要請)フラグが”1”のときは本メッセージが近隣要請メッセージへの応答であることを示す。
特開2002−325077号公報 特開2004−120171号公報
しかしながら、上記特許文献1や他の不正接続端末の検出方法はIPv4ネットワーク環境を前提としており、IPv6ネットワークやIPv4とIPv6の混在するネットワーク環境では、不正接続端末の検出やシャットアウトができないという問題があった。
本発明は、IPv6ネットワーク環境においてネットワークへの不正接続の検出と不正接続端末の遮断を実現する方法、装置、プログラムを提供することを目的とする。
上記目的を達成するために、本願請求項1の発明は、IPv6あるいはIPv4とv6の混在環境の通信ネットワークの管理方法であって、前記ネットワークに接続された管理装置が、他の端末から重複アドレス検出(DAD:Duplicate Address Detection)の問い合わせを受けた場合に、当該メッセージに含まれる端末固有の識別情報を基に予め前記ネットワークに接続が許可された端末情報が登録された接続許可端末データベースを照合して不正接続端末か否かを判定するステップと、ここで不正接続端末と判定した場合に前記管理装置が前記問い合わせに対しアドレスが重複している旨のメッセージを送信するステップとを含むことを特徴とする。
また、本願請求項2の発明は、IPv6環境あるいはIPv4とv6の混在環境の通信ネットワークの管理方法であって、前記ネットワークに接続された管理端末が該ネットワークに流れるパケットを取得するステップと、前記管理装置が前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、前記管理装置が不正接続端末を検出した場合に、当該不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを含むことを特徴とする。
また、本願請求項3の発明は、IPv6環境あるいはIPv4とv6の混在環境の通信ネットワークの管理方法であって、前記ネットワークに接続された管理端末が該ネットワークに流れるパケットを取得するステップと、前記管理装置が前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、前記管理装置が不正接続端末を検出した場合に前記パケットの送信元アドレスが未指定アドレスか否かを判定するステップと、ここで送信元アドレスが未指定の場合に前記管理端末が前記不正接続端末にアドレスが重複している旨のメッセージを送信するステップと、前記送信元アドレスが未指定アドレスでない場合に前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを含むことを特徴とする。
この場合、前記リンク層アドレスを変更する旨を通知するステップは、前記管理装置が、前記不正接続端末のユニキャストアドレスをターゲットアドレスとし、全ノードマルチキャストアドレスを宛先とし、少なくとも一部をランダムに生成したリンク層アドレスを含む非要請広告の近隣広告メッセージを送出する。
本願請求項5の方法はさらに、前記管理装置が不正接続端末を検出した場合にそのアドレス情報を不正接続端末データベースに登録するステップと、前記管理端末が定期的に前記登録されたアドレスの端末が前記ネットワークに接続しているかを判定するステップと、当該不正接続端末がネットワークに接続している場合に、前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記管理装置が前記ネットワークに接続された他のすべての端末に通知するステップとを含むことを特徴とする。
本願請求項6の方法は、前記管理装置が、不正接続端末を検出した場合に、当該管理装置のディスプレイに警告メッセージを表示し、及び/又は、前記不正接続端末のアクセスログを記憶領域に保存し、及び/又は、ネットワーク管理者の情報端末に警告メッセージを送信するステップを含むことを特徴とする。
本願請求項7の発明は、IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続されるネットワーク管理装置であって、予め前記ネットワークへの接続を許可する端末固有の識別情報が登録された許可端末データベースと、前記ネットワークを介して他の接続端末と通信する通信処理手段と、他の端末から重複アドレス検出(DAD:Duplicate Address Detection)の近隣要請メッセージを受けた場合に、当該メッセージに含まれる端末固有の識別情報を基に前記接続許可端末データベースを照合して不正接続端末か否かを判定し、ここで不正接続端末と判定された場合にアドレスが重複している旨の近隣通知メッセージを送信する不正接続端末検出・防御手段とを備えることを特徴とする。
本願請求項8の発明は、IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続されるネットワーク管理装置であって、予め前記ネットワークへの接続を許可する端末固有の識別情報が登録された許可端末データベースと、他の接続端末と通信するとともに前記ネットワーク上に流れるパケットを取得する通信処理手段と、前記通信処理手段が取得したパケットに含まれる端末固有の識別情報を基に前記接続許可端末データベースを照合して不正接続端末を検出し、検出された不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知する不正接続端末検出・防御手段とを備えることを特徴とする。
このネットワーク管理装置がさらに、前記不正接続端末が検出された場合にそのアドレス情報を格納する不正接続端末データベースを備えるとともに、前記不正接続端末検出・防御手段が、前記不正接続端末データベースに登録された端末が前記ネットワークに接続しているかを定期的に問い合わせ、当該不正接続端末がネットワークに接続している場合に、前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記管理装置が前記ネットワークに接続された他のすべての端末に通知することを特徴とする。
さらに、前記不正接続端末検出・防御手段により不正接続端末が検出された場合に、警告メッセージを表示する表示画面、及び/又は、当該不正接続端末のアクセスログを記録する記憶領域、及び/又は、ネットワーク管理者に警告メールを送信する電子メール手段を備えることを特徴とする。
本願請求項11の発明は、IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続される管理装置上で動作するネットワーク管理プログラムであって、前記管理装置が他の端末から重複アドレス検出(DAD:Duplicate Address Detection)の問い合わせを受けた場合に、当該メッセージに含まれる端末固有の識別情報を基に予め前記ネットワークに接続が許可された端末情報が登録された接続許可端末データベースを照合して不正接続端末か否かを判定するステップと、ここで不正接続端末と判定した場合に前記問い合わせに対しアドレスが重複している旨のメッセージを送信するステップとを前記管理装置に実行させることを特徴とする。
本願請求項12の発明は、IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続される管理装置上で動作するネットワーク管理プログラムであって、前記ネットワークに流れるパケットを取得するステップと、前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、不正接続端末を検出した場合に当該不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを前記管理装置に実行させることを特徴とする。
本願請求項13の発明は、IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続される管理装置上で動作するネットワーク管理プログラムであって、前記ネットワークに流れるパケットを取得するステップと、前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、不正接続端末を検出した場合に前記パケットの送信元アドレスが未指定アドレスか否かを判定するステップと、ここで送信元アドレスが未指定の場合に前記不正接続端末にアドレスが重複している旨のメッセージを送信するステップと、前記送信元アドレスが未指定アドレスでない場合に前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを前記管理装置に実行させることを特徴とする。
本願請求項14の発明はさらに、前記不正接続端末を検出した場合にそのアドレス情報を不正接続端末データベースに登録するステップと、定期的に前記登録されたアドレスの端末が前記ネットワークに接続しているかを判定するステップと、当該不正接続端末がネットワークに接続している場合に、前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを前記管理装置に実行させることを特徴とする。
ネットワークに新たに接続した端末の重複アドレス検出(DAD)の近隣要請(NS)を受信し、あるいはネットワーク上を流れるパケットを監視して、これらに含まれる端末固有情報(MACアドレス)に基づき、接続許可端末データベースを検索することにより、当該メッセージまたはパケットの送信元端末が不正接続端末か否かを検出することができる。
また、不正接続端末を検出した場合に、重複アドレス検出(DAD)プロセスにおいてアドレスが重複する旨の近隣通知(NA)メッセージを送信したり、近隣探索プロトコルの近隣広告メッセージの非要請広告を用いて不正接続端末のリンク層アドレスが変更となった旨を他の端末に通知することにより、この不正接続端末によるネットワークへのアクセスを遮断してセキュリティ性を飛躍的に向上させることができる。
また、パケットの送信元アドレスが未指定アドレスである場合はDADプロセスの近隣要請(NA)と判定できるためDADにより重複アドレスを検出させ、送信元アドレスがユニキャストアドレスであれば、何らかの原因でDADのNSが届かなかった場合や、不正接続端末でDADが無効に設定されている場合でも、近隣探索プロトコルの非要請広告を利用して確実に不正接続端末の通信を遮断することができる。
さらに、不正接続端末の情報をデータベースに登録し、定期的にその存在確認を行い、存在している場合には近隣広告メッセージの非要請広告を用いて遮断することにより、不正接続端末のアクセスを遮断することができる。
また、不正接続端末を検出した場合に警告メッセージや電子メールを送信することにより、ネットワーク管理者に即座に検知させて的確な処理を行わせることが可能となる。
本発明を実施するための最良の実施形態について、図面を参照しながら以下に詳細に説明する。
図1は、本発明にかかる一実施例の構成を示す図である。図1を参照すると、ネットワークエージェント1(ネットワーク管理装置)と、接続許可端末2、3と、不正接続端末4とが監視対象となるネットワーク5に接続している。このネットワーク5は例えば企業内LANであり、予めネットワークエージェント1に登録された端末のみが接続を許可される。本図において、接続許可端末2、3は予めネットワーク5への接続が許可されたIPv6が動作するパーソナルコンピュータやPDA等の情報処理端末であり、不正接続許可端末4はネットワーク5への接続が許可されていないIPv6が動作するコンピュータ端末である。
ネットワークエージェント1は、本発明にかかるプログラムにより動作し、ネットワーク5への不正接続端末の検出および不正接続端末の通信を遮断するためのサーバコンピュータである。このネットワークエージェント1の構成を図2に示す。
図2に示すように、ネットワークエージェント1は、メモリからCPUに展開されてエージェント1を制御する管理プログラム10と、接続許可端末データベース14と、不正接続端末データベース15とを備えている。管理プログラム10はエージェント1の常駐プログラムであり、モジュール単位で説明すると、通信監視部11と、不正接続検出・防御部12と、警告処理部13とを含んでいる。通信監視部11は、エージェント1の備える通信インタフェースと協働してLAN5上に流れるすべてのパケットキャプチャを行い、取り込んだデータパケットを不正接続検出・防御部12に送る。この場合のデータパケットには必ず送信元端末固有の識別情報(例えばMACアドレス)が含まれている。
接続許可端末データベース14には、予めLAN5への接続を許可する端末のMACアドレスが登録されている。不正接続検出・防御部12は、通信監視部11から通知されたMACアドレスを基に接続許可端末データベース14を検索することによりデータパケットの送信元が許可端末か否かを判定し、後述するように不正接続端末の通信を遮断する処理を実行する。不正接続検出・防御部12は、不正接続端末を検出した場合にそのIPアドレスおよびMACアドレスを不正接続端末データベース15に登録する。この不正接続端末DB15は不正接続端末の通信遮断処理に使用される。警告処理部13は、不正接続検出・防御部12が不正接続端末を検出した場合に、警告メッセージをディスプレイに表示したり、スピーカから警告音を発したり、不正アクセスログとして記憶装置に履歴を記録したり、電子メールでネットワーク管理者の端末に通知したりする処理を行う。エージェント1のディスプレイやスピーカ等は図示しないが、これらの機能は周知であり当業者であれば容易に実施することができるものとしてその構成の詳細な説明は省略する。
以降に、不正接続検出・防御部12による不正接続端末の通信遮断方法について説明した後、図3以降を参照して実施例の動作を詳細に説明する。本発明では、不正接続端末の通信遮断方法として、IPv6の重複アドレス検出機能(DAD:Duplicate Address Detection)を利用する方式1と、IPv6の近隣探索プロトコル(NDP:Neighbor Discovery Protocol)の近隣広告(NA:Neighbor Advertisement)メッセージの非要請広告(Unsolicited Neighbor Advertisement)を利用する方式2との2種類を用いる。
まず方式1について説明する。重複アドレス検出(DAD)はIPv6のステートレスアドレス自動設定によるアドレス生成プロセスの一部である。ネットワークに接続する端末は、作成したIPv6アドレスをターゲットアドレスとした近隣要請(NS:Neighbor Solicitation)メッセージを送信し、一定時間応答がない場合はIPv6アドレスが重複していないと判断して以後そのアドレスでネットワークに接続する。ここで近隣要請メッセージに対する近隣広告メッセージが返信された場合にはアドレスが重複しており端末はそのアドレスを使用することができない。本方式1はこの機能を利用するものであり、不正接続端末のDAD処理において、ネットワークエージェント1が接続しようとする不正端末に重複アドレスを検出させることにより、不正接続端末4の通信を遮断するようにしている。
具体的には、不正接続端末4がLAN5に接続すると、接続インタフェースがリンクローカルアドレスを生成し、そのアドレスに対するDADを実施すべく、作成したIPv6アドレス(この場合リンクローカルアドレス)をターゲットアドレスとした近隣要請(NS)メッセージを送信する。この場合は近隣要請(NS)メッセージの送信元アドレスは未指定アドレス、宛先アドレスは要請ノードマルチキャストアドレスとなる。ネットワークエージェント1はこの近隣要請(NS)メッセージを受信し、不正接続端末の場合は、アドレスが重複していることを通知する近隣広告(NA)メッセージを送信する。このとき、近隣広告(NA)メッセージの宛先アドレスは全ノードマルチキャストアドレス、送信元アドレスはネットワークエージェント1自身のユニキャストアドレスであり、NAのターゲットアドレスはNSのターゲットアドレスと同一とし、S(Solicited:要請)フラグは”0”とする。この近隣広告(NA)メッセージを受信した不正接続端末4はアドレスが重複していると判断し、そのアドレスを使用することができない。他のIPv6アドレスを作成した場合でも同じ結果となり、結果として不正接続端末4は有効なアドレスの割り当てを受けられず、通信ができなくなる。
次に、方式2について説明する。何らかの原因で重複アドレス検出(DAD)プロセスの過程で近隣要請(NS)メッセージがネットワークエージェント1に到達しなかった場合や、端末の設定でDADが無効となっている場合には、上述の方式1では不正接続端末をシャットアウトすることができない。よってこの場合には、上記方式2によって不正接続端末4の通信を遮断する。ここで用いる近隣広告(NA)メッセージの非要請広告は、端末のリンク層アドレスが変更になった場合(例えば、インタフェースカードがホットスワップした場合など)に、新しいリンク層アドレスを全ノードに知らせるために利用される。本方式2ではこれを利用し、不正接続端末4に代わりネットワークエージェント1が、不正接続端末4のリンク層アドレスをネットワーク上に存在しない架空のアドレスに設定し、不正接続端末4のユニキャストアドレスをターゲットアドレスとした近隣広告(NA)メッセージを全ノードマルチキャスト宛に送信する。これにより全ノードの近隣キャッシュ(IPアドレスとリンク層アドレスの設定)が更新され、不正接続端末4は他のノードとの通信が不可能となる。
図3は、本実施例において不正接続端末4の検出と通信遮断の処理手順を示すフローチャートである。ネットワークエージェント1の不正接続検出・防御部12は、通信監視部11でキャプチャされるLAN5上のパケットの中から、近隣要請メッセージ(NS:Neighbor Solicitation)を抽出する(ステップS1)。ここで近隣要請メッセージの送信元MACアドレスは、LAN5に接続された端末のMACアドレスに該当する。不正接続検出・防御部12は、このMACアドレスを基に接続許可端末データベース14を検索し、その端末が不正接続端末か否かを判定する(ステップS2)。すなわち、接続許可端末データベース14にMACアドレスが登録されていれば、その端末はLAN5に接続が許可されている端末であるとして処理を終了する(ステップS2:YES)。一方、接続許可端末データベース14に抽出したMACアドレスが登録されていなければ、LAN5に接続された端末4は不正に接続された端末であると判定される(ステップS2:NO)。
不正接続検出・防御部12は不正接続端末4を検出した場合、警告処理部13に通知して、警告メッセージをディスプレイに表示したり、ログとして記憶装置に履歴を追加したり、電子メールでネットワーク管理者の端末に通知したりする(ステップS4)。これと同時に、不正接続検出・防御部12は、少なくともIPv6アドレスとMACアドレスを含む不正接続端末4の情報を不正接続端末データベース15に登録する(ステップS5)。
次に、不正接続検出・防御部12は、近隣要請メッセージの送信元アドレスを確認する(ステップS6)。上述したように、近隣要請(NS)メッセージの送信元アドレスが未指定アドレスであれば、それは不正接続端末4のDAD(重複アドレス検出)処理によるものであると把握されるため上記方式1により対処し、NSメッセージの送信元アドレスがユニキャストアドレスであれば、重複アドレス検出(DAD)プロセスの過程で近隣要請(NS)メッセージがネットワークエージェント1に到達しなかった場合や、端末の設定でDADが無効となっている場合であるため、上記方式2により対処する。
すなわち、ステップS6において近隣要請(NS)メッセージの送信元アドレスが未指定アドレスの場合、不正接続検出・防御部12は、不正接続端末4のアドレスをターゲットアドレスとした近隣広告(NA)メッセージを全ノードマルチキャストアドレス宛に送信する(ステップS7)。これにより、不正接続端末4はDAD(重複アドレス検出)によるアドレス取得に失敗し、ネットワーク通信ができなくなる。一方、ステップS6でNSメッセージの送信元アドレスがユニキャストアドレスであれば、受信した近隣要請(NS)はDADプロセスのものではなく、近隣探索のためのものと把握できるため、架空のMACアドレスをリンク層アドレスとして非要請広告の近隣広告(NA)メッセージを全ノードマルチキャストアドレス宛に送信する(ステップS8)。ここで架空のアドレス生成は、ネットワーク5上に存在しないアドレスであればよい。例えば、上位24ビットはベンダIDを固定的に使用し、下位24ビットは乱数を使用して生成し、最後に端末データベース14,15を参照して登録アドレスと重複しないことを確認して選択することができる。
図4は、不正接続端末の通信が遮断されたことを検査し、必要に応じて確実に通信を遮断する処理を説明するフローチャートである。上述したようにネットワークエージェント1の不正接続検出・防御部12は不正接続端末4を検出した場合に不正接続端末データベース15にそのアドレス情報を登録しており、このデータベース15に端末が存在する間(ステップS11)、定期的に以下の処理を実施する。この処理において、ネットワークエージェント1は、不正接続端末データベース15に登録された端末に対して、存在確認のために近隣要請(NS)メッセージを送信する(ステップS12)。このとき、NSメッセージのターゲットアドレスは端末アドレス、宛先アドレスは端末の要請ノードマルチキャストアドレス、送信元アドレスはネットワークエージェント1のアドレスとする。
ネットワークエージェント1は一定時間NSメッセージの応答を待ち(ステップS13)、応答がある場合には不正接続端末4はまだ存在していることになる。したがって、上記方式2により不正接続端末4の通信遮断を行う(ステップS14)。すなわち、架空のMACアドレスを生成し、これをリンク層アドレスとして非要請広告の近隣広告(NA)メッセージを全ノードマルチキャストアドレス宛に送信する。ステップS13にてNSメッセージの応答がない場合には、不正接続端末データベース15から当該端末の情報を削除する(ステップS15)。
以上の処理により、IPv6ネットワーク環境において、ネットワークへの不正接続の検出および不正接続端末の通信遮断を確実に行うことができ、ネットワークのセキュリティを高度に維持することができる。
本発明の実施例について詳細に説明したが、本発明の技術的範囲は上記実施例に何ら限定されるものではなく、請求項の記載の意図する範囲を超えない限りにおいて、他の様々な変形例として実現することができる。例えば、上記実施例ではIPv6ネットワークとしているが、これはIPv4とIPv6が混在する環境に本発明を適用してもよい。また、ネットワークエージェント1は不正接続端末4と同一セグメント上に存在しなくてもよく、当業者であれば本発明にかかる1つのネットワークエージェントでブロードキャストドメイン上の不正接続検出および通信遮断を実現できることは自明であろう。
本発明に係るネットワーク管理方法、装置並びにプログラムは、IPv6ネットワーク環境あるいはIPv4とIPv6が混在するネットワーク環境において、予め登録された端末以外の接続を検出するとともに当該端末の通信を遮断する技術に関し、特にネットワーク通信を用いる情報処理産業に好適に利用することができる。
本発明の一実施例の構成を示す図である。 ネットワークエージェントの概略構成を示す図である。 ネットワークエージェントの動作を示すフローチャートである。 ネットワークエージェントの動作を示すフローチャートである。
符号の説明
1 ネットワークエージェント
2,3 接続許可端末
4 不正接続端末
5 通信ネットワーク
10 管理プログラム
11 通信監視部
12 不正接続検出・防御部
13 警告処理部
14 接続許可端末データベース
15 不正接続端末データベース

Claims (14)

  1. IPv6あるいはIPv4とv6の混在環境の通信ネットワークの管理方法であって、前記ネットワークに接続された管理装置が、他の端末から重複アドレス検出(DAD:Duplicate Address Detection)の問い合わせを受けた場合に、当該メッセージに含まれる端末固有の識別情報を基に予め前記ネットワークに接続が許可された端末情報が登録された接続許可端末データベースを照合して不正接続端末か否かを判定するステップと、ここで不正接続端末と判定した場合に前記管理装置が前記問い合わせに対しアドレスが重複している旨のメッセージを送信するステップとを含むことを特徴とするネットワーク管理方法。
  2. IPv6環境あるいはIPv4とv6の混在環境の通信ネットワークの管理方法であって、前記ネットワークに接続された管理端末が該ネットワークに流れるパケットを取得するステップと、前記管理装置が前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、前記管理装置が不正接続端末を検出した場合に、当該不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを含むことを特徴とするネットワーク管理方法。
  3. IPv6環境あるいはIPv4とv6の混在環境の通信ネットワークの管理方法であって、前記ネットワークに接続された管理端末が該ネットワークに流れるパケットを取得するステップと、前記管理装置が前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、前記管理装置が不正接続端末を検出した場合に前記パケットの送信元アドレスが未指定アドレスか否かを判定するステップと、ここで送信元アドレスが未指定の場合に前記管理端末が前記不正接続端末にアドレスが重複している旨のメッセージを送信するステップと、前記送信元アドレスが未指定アドレスでない場合に前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを含むことを特徴とするネットワーク管理方法。
  4. 請求項2または3に記載の方法において、前記リンク層アドレスを変更する旨を通知するステップは、前記管理装置が、前記不正接続端末のユニキャストアドレスをターゲットアドレスとし、全ノードマルチキャストアドレスを宛先とし、少なくとも一部をランダムに生成したリンク層アドレスを含む非要請広告の近隣広告メッセージを送出することを特徴とするネットワーク管理方法。
  5. 請求項1ないし4のいずれかに記載のネットワーク管理方法がさらに、前記管理装置が不正接続端末を検出した場合にそのアドレス情報を不正接続端末データベースに登録するステップと、前記管理端末が定期的に前記登録されたアドレスの端末が前記ネットワークに接続しているかを判定するステップと、当該不正接続端末がネットワークに接続している場合に、前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記管理装置が前記ネットワークに接続された他のすべての端末に通知するステップとを含むことを特徴とするネットワーク管理方法。
  6. 請求項1ないし5のいずれかに記載のネットワーク管理方法がさらに、前記管理装置が、不正接続端末を検出した場合に、当該管理装置のディスプレイに警告メッセージを表示し、及び/又は、前記不正接続端末のアクセスログを記憶領域に保存し、及び/又は、ネットワーク管理者の情報端末に警告メッセージを送信するステップを含むことを特徴とするネットワーク管理方法。
  7. IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続されるネットワーク管理装置であって、予め前記ネットワークへの接続を許可する端末固有の識別情報が登録された許可端末データベースと、前記ネットワークを介して他の接続端末と通信する通信処理手段と、他の端末から重複アドレス検出(DAD:Duplicate Address Detection)の近隣要請メッセージを受けた場合に、当該メッセージに含まれる端末固有の識別情報を基に前記接続許可端末データベースを照合して不正接続端末か否かを判定し、ここで不正接続端末と判定された場合にアドレスが重複している旨の近隣通知メッセージを送信する不正接続端末検出・防御手段とを備えることを特徴とするネットワーク管理装置。
  8. IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続されるネットワーク管理装置であって、予め前記ネットワークへの接続を許可する端末固有の識別情報が登録された許可端末データベースと、他の接続端末と通信するとともに前記ネットワーク上に流れるパケットを取得する通信処理手段と、前記通信処理手段が取得したパケットに含まれる端末固有の識別情報を基に前記接続許可端末データベースを照合して不正接続端末を検出し、検出された不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知する不正接続端末検出・防御手段とを備えることを特徴とするネットワーク管理装置。
  9. 請求項8に記載のネットワーク管理装置がさらに、前記不正接続端末が検出された場合にそのアドレス情報を格納する不正接続端末データベースを備えるとともに、前記不正接続端末検出・防御手段が、前記不正接続端末データベースに登録された端末が前記ネットワークに接続しているかを定期的に問い合わせ、当該不正接続端末がネットワークに接続している場合に、前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記管理装置が前記ネットワークに接続された他のすべての端末に通知することを特徴とするネットワーク管理装置。
  10. 請求項7ないし9のいずれかに記載のネットワーク管理装置がさらに、前記不正接続端末検出・防御手段により不正接続端末が検出された場合に、警告メッセージを表示する表示画面、及び/又は、当該不正接続端末のアクセスログを記録する記憶領域、及び/又は、ネットワーク管理者に警告メールを送信する電子メール手段を備えることを特徴とするネットワーク管理装置。
  11. IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続される管理装置上で動作するネットワーク管理プログラムであって、前記管理装置が他の端末から重複アドレス検出(DAD:Duplicate Address Detection)の問い合わせを受けた場合に、当該メッセージに含まれる端末固有の識別情報を基に予め前記ネットワークに接続が許可された端末情報が登録された接続許可端末データベースを照合して不正接続端末か否かを判定するステップと、ここで不正接続端末と判定した場合に前記問い合わせに対しアドレスが重複している旨のメッセージを送信するステップとを前記管理装置に実行させることを特徴とするネットワーク管理プログラム。
  12. IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続される管理装置上で動作するネットワーク管理プログラムであって、前記ネットワークに流れるパケットを取得するステップと、前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、不正接続端末を検出した場合に当該不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを前記管理装置に実行させることを特徴とするネットワーク管理プログラム。
  13. IPv6あるいはIPv4とv6の混在環境の通信ネットワークに接続される管理装置上で動作するネットワーク管理プログラムであって、前記ネットワークに流れるパケットを取得するステップと、前記パケットに含まれる端末固有の識別情報を基に予め接続が許可された端末固有の識別情報が登録された接続許可端末データベースを照合し不正接続端末を検出するステップと、不正接続端末を検出した場合に前記パケットの送信元アドレスが未指定アドレスか否かを判定するステップと、ここで送信元アドレスが未指定の場合に前記不正接続端末にアドレスが重複している旨のメッセージを送信するステップと、前記送信元アドレスが未指定アドレスでない場合に前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを前記管理装置に実行させることを特徴とするネットワーク管理プログラム。
  14. 請求項11ないし13のいずれかに記載のネットワーク管理プログラムがさらに、前記不正接続端末を検出した場合にそのアドレス情報を不正接続端末データベースに登録するステップと、定期的に前記登録されたアドレスの端末が前記ネットワークに接続しているかを判定するステップと、当該不正接続端末がネットワークに接続している場合に、前記不正接続端末のリンク層アドレスを架空のものに変更する旨を前記ネットワークに接続された他のすべての端末に通知するステップとを前記管理装置に実行させることを特徴とするネットワーク管理プログラム。
JP2005100725A 2005-03-31 2005-03-31 ネットワーク管理方法および装置並びに管理プログラム Active JP4179300B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005100725A JP4179300B2 (ja) 2005-03-31 2005-03-31 ネットワーク管理方法および装置並びに管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005100725A JP4179300B2 (ja) 2005-03-31 2005-03-31 ネットワーク管理方法および装置並びに管理プログラム

Publications (2)

Publication Number Publication Date
JP2006287299A true JP2006287299A (ja) 2006-10-19
JP4179300B2 JP4179300B2 (ja) 2008-11-12

Family

ID=37408777

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005100725A Active JP4179300B2 (ja) 2005-03-31 2005-03-31 ネットワーク管理方法および装置並びに管理プログラム

Country Status (1)

Country Link
JP (1) JP4179300B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226522A (ja) * 2009-03-24 2010-10-07 Fuji Xerox Co Ltd 画像形成装置、通信装置、及び通信プログラム
JP2011217016A (ja) * 2010-03-31 2011-10-27 Nec Corp 不正接続防止装置及びプログラム
JP2012502544A (ja) * 2009-03-20 2012-01-26 ネットマン カンパニー リミテッド IPv6ネットワーク内ホスト遮断及び探索方法
JP2015513828A (ja) * 2012-02-17 2015-05-14 ティーティー ガバメント ソリューションズ、インク.Tt Government Solutions, Inc. フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム
WO2016170598A1 (ja) * 2015-04-21 2016-10-27 株式会社Pfu 情報処理装置、方法およびプログラム
US9912557B2 (en) 2013-03-01 2018-03-06 Nec Corporation Node information detection apparatus, node information detection method, and program
US9992159B2 (en) 2012-06-11 2018-06-05 Nec Corporation Communication information detecting device and communication information detecting method
KR20200130180A (ko) * 2019-05-10 2020-11-18 아즈빌주식회사 감시 장치 및 감시 방법
JP2021057838A (ja) * 2019-10-01 2021-04-08 アズビル株式会社 不正検出装置および不正検出方法
CN113037704A (zh) * 2019-12-25 2021-06-25 阿自倍尔株式会社 检测装置以及检测方法
WO2023112141A1 (ja) * 2021-12-14 2023-06-22 日本電気株式会社 解析装置、解析方法、記憶媒体

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012502544A (ja) * 2009-03-20 2012-01-26 ネットマン カンパニー リミテッド IPv6ネットワーク内ホスト遮断及び探索方法
JP2012085335A (ja) * 2009-03-20 2012-04-26 Netman Co Ltd IPv6ネットワーク内ホスト遮断及び探索方法
JP2013258739A (ja) * 2009-03-20 2013-12-26 Netman Co Ltd IPv6ネットワーク内ホスト遮断及び探索方法
JP2010226522A (ja) * 2009-03-24 2010-10-07 Fuji Xerox Co Ltd 画像形成装置、通信装置、及び通信プログラム
US8390856B2 (en) 2009-03-24 2013-03-05 Fuji Xerox Co., Ltd. Image forming apparatus, communication device, computer readable medium, and communication method
JP2011217016A (ja) * 2010-03-31 2011-10-27 Nec Corp 不正接続防止装置及びプログラム
JP2015513828A (ja) * 2012-02-17 2015-05-14 ティーティー ガバメント ソリューションズ、インク.Tt Government Solutions, Inc. フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム
US9992159B2 (en) 2012-06-11 2018-06-05 Nec Corporation Communication information detecting device and communication information detecting method
US9912557B2 (en) 2013-03-01 2018-03-06 Nec Corporation Node information detection apparatus, node information detection method, and program
WO2016170598A1 (ja) * 2015-04-21 2016-10-27 株式会社Pfu 情報処理装置、方法およびプログラム
JPWO2016170598A1 (ja) * 2015-04-21 2017-08-17 株式会社Pfu 情報処理装置、方法およびプログラム
KR102387010B1 (ko) * 2019-05-10 2022-04-18 아즈빌주식회사 감시 장치 및 감시 방법
KR20200130180A (ko) * 2019-05-10 2020-11-18 아즈빌주식회사 감시 장치 및 감시 방법
JP2020188303A (ja) * 2019-05-10 2020-11-19 アズビル株式会社 監視装置および監視方法
JP7232121B2 (ja) 2019-05-10 2023-03-02 アズビル株式会社 監視装置および監視方法
KR20210039299A (ko) * 2019-10-01 2021-04-09 아즈빌주식회사 부정 검출 장치 및 부정 검출 방법
KR102425707B1 (ko) 2019-10-01 2022-07-28 아즈빌주식회사 부정 검출 장치 및 부정 검출 방법
JP2021057838A (ja) * 2019-10-01 2021-04-08 アズビル株式会社 不正検出装置および不正検出方法
JP7417395B2 (ja) 2019-10-01 2024-01-18 アズビル株式会社 不正検出装置および不正検出方法
CN113037704A (zh) * 2019-12-25 2021-06-25 阿自倍尔株式会社 检测装置以及检测方法
CN113037704B (zh) * 2019-12-25 2023-10-31 阿自倍尔株式会社 检测装置以及检测方法
JP7444600B2 (ja) 2019-12-25 2024-03-06 アズビル株式会社 検出装置および検出方法
WO2023112141A1 (ja) * 2021-12-14 2023-06-22 日本電気株式会社 解析装置、解析方法、記憶媒体

Also Published As

Publication number Publication date
JP4179300B2 (ja) 2008-11-12

Similar Documents

Publication Publication Date Title
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
US7607021B2 (en) Isolation approach for network users associated with elevated risk
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
JP4777461B2 (ja) ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
WO2003065186A1 (en) Network monitoring system
CN101827138A (zh) 一种优化的ipv6过滤规则处理方法和设备
JP3499621B2 (ja) アドレス管理装置およびアドレス管理方法
US7464183B1 (en) Apparatus, system, and method to prevent address resolution cache spoofing
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
US20040243850A1 (en) Apparatus for limiting use of particular network address
Kumar et al. Host based IDS for NDP related attacks: NS and NA Spoofing
Bi et al. Source address validation improvement (SAVI) solution for DHCP
CN101552724A (zh) 一种邻居表项的生成方法和装置
US20050243730A1 (en) Network administration
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP2005210451A (ja) 不正アクセス防止装置及びプログラム
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP6564673B2 (ja) 情報処理装置及びプログラム
JP2002344481A (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
CN113992583B (zh) 一种表项维护方法及装置
JP7232121B2 (ja) 監視装置および監視方法
JP6954071B2 (ja) ネットワーク監視装置および方法
JP2011124774A (ja) ネットワーク監視装置、ネットワーク監視方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080805

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080818

R150 Certificate of patent or registration of utility model

Ref document number: 4179300

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110905

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120905

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130905

Year of fee payment: 5