JP2006324723A - Lanへの不正アクセス防止方式 - Google Patents
Lanへの不正アクセス防止方式 Download PDFInfo
- Publication number
- JP2006324723A JP2006324723A JP2005143565A JP2005143565A JP2006324723A JP 2006324723 A JP2006324723 A JP 2006324723A JP 2005143565 A JP2005143565 A JP 2005143565A JP 2005143565 A JP2005143565 A JP 2005143565A JP 2006324723 A JP2006324723 A JP 2006324723A
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- function
- terminal accommodating
- lan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供する。
【解決手段】 LAN上1に設置される端末収容装置2と、端末収容装置2に接続される少なくとも1つの端末とを備えるLAN1における端末収容装置2は、端末のアドレス情報のアドレステーブル2aへの登録を停止するアドレス登録停止機能と、アドレステーブル2aに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備し、接続権限を有する端末の接続時のみ上記2つの機能を無効にすることにより、未登録アドレス情報を有する端末からのパケットの受信時に当該パケットを破棄して、接続権限を有していない端末の不正アクセスを防止する。
【選択図】図1
【解決手段】 LAN上1に設置される端末収容装置2と、端末収容装置2に接続される少なくとも1つの端末とを備えるLAN1における端末収容装置2は、端末のアドレス情報のアドレステーブル2aへの登録を停止するアドレス登録停止機能と、アドレステーブル2aに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備し、接続権限を有する端末の接続時のみ上記2つの機能を無効にすることにより、未登録アドレス情報を有する端末からのパケットの受信時に当該パケットを破棄して、接続権限を有していない端末の不正アクセスを防止する。
【選択図】図1
Description
本発明は、LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する、LANへの不正アクセス防止方式に関するものである。
近年、会社に構築されたLAN(Local Area Network)に、持ち込んだノートパソコンを接続することによって社内情報を不正に持ち出す事件が発生しており、情報漏洩、ウィルス感染防止等のセキュリティ対策に関する技術が注目されている。
LAN上に設置した端末収容装置に少なくとも1つの端末を収容して成るLANへの不正アクセスを防止する従来技術としては、例えば、LAN上に接続された接続権限の無い端末(不正端末)を検出し、その不正端末のLAN接続を防止する不正アクセス防止技術がある。
LAN上に設置した端末収容装置に少なくとも1つの端末を収容して成るLANへの不正アクセスを防止する従来技術としては、例えば、LAN上に接続された接続権限の無い端末(不正端末)を検出し、その不正端末のLAN接続を防止する不正アクセス防止技術がある。
上記従来技術では、接続権限の無いユーザによるLAN接続を防止するために、LANに端末を接続する際にユーザ認証を行う。その際の代表的な認証方式は、RFC2138およびRFC2251〜2256によるユーザ認証VLANや、IEEE802.1X認証である。
上記認証VLANでは、認証機能を備えたスイッチを使用し、認証機能を備えたスイッチに接続した端末を起動すると、最初は仮の(デフォルトの)VLANに接続され、DHCPサーバからは仮のIPアドレスが付与されるので、このIPアドレスを使用してスイッチに対して認証が行われる。この認証において、適切なIDやパスワードを入力する方法(例えば特許文献1参照)により認証が成功した場合には、正規のVLANに接続するためのIPアドレスがスイッチから付与される。
上記認証VLANでは、認証機能を備えたスイッチを使用し、認証機能を備えたスイッチに接続した端末を起動すると、最初は仮の(デフォルトの)VLANに接続され、DHCPサーバからは仮のIPアドレスが付与されるので、このIPアドレスを使用してスイッチに対して認証が行われる。この認証において、適切なIDやパスワードを入力する方法(例えば特許文献1参照)により認証が成功した場合には、正規のVLANに接続するためのIPアドレスがスイッチから付与される。
ネットワーク機器を置き換えることなく不正な端末(例えばパーソナルコンピュータ;PC)をLANに接続させないようにする一般的な方法としては、多くの企業で運用している、自動的にIPアドレスを割り振るDHCPサーバを使用する方法(例えば特許文献2参照)が一般的である。具体的には、接続を許可した端末のMACアドレスをDHCPサーバに登録しておき、未登録のMACアドレスを持つ端末にはIPアドレスを割り振らないように設定しておくことにより、不正な端末によるLANへの不正アクセスを防止することができる。なお、上記設定は、ほとんどのDHCPサーバで可能である。
上述した従来のLANへの不正アクセス防止技術では、事前に全端末のMACアドレスをリストアップするとともに、リストアップした全端末のMACアドレスをDHCPサーバに事前登録する必要があるため、導入済み端末および新規導入端末の数が多いLANの場合や、LANにおいて頻繁に端末の増設を行う場合には、関連する全ての端末のMACアドレスの登録作業およびその後のデータベース管理作業が必要になるため、運用管理者の負担が重くなってしまう。その上、上記従来技術では、L4以上の通信が開始されるまでは不正アクセスの防止が困難であり、かつ、ウィルス等の防止が困難である。
本発明は、端末のアドレス情報のアドレステーブルへの登録を停止する機能および未登録アドレス情報を有するパケットの受信時に当該パケットを破棄する機能とを端末収容装置に具備させることにより、運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供することを目的とする。
上記目的を達成するため、請求項1に記載の第1発明は、LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する方式であって、前記端末収容装置は、端末のアドレス情報の前記アドレステーブルへの登録を停止するアドレス登録停止機能と、前記アドレステーブルに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備することを特徴とする。
請求項2に記載の第2発明は、前記端末収容装置に対するコマンド入力により、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定することを特徴とする。
請求項3に記載の第3発明は、前記端末収容装置はさらに、前記アドレステーブルに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能と、前記アドレステーブルに追加登録したアドレス情報の個数が前記追加登録数に達した場合に前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えることを特徴とする。
請求項4に記載の第4発明は、前記端末収容装置はさらに、設定時間に応じて動作するタイマと、前記アドレス登録停止機能および前記パケット破棄機能が無効に設定されたときから前記設定時間が経過したときに前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えることを特徴とする。
請求項5に記載の第5発明は、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構を備えることを特徴とする。
請求項6に記載の第6発明は、前記LANはさらに、当該LANを管理する監視装置を備え、該監視装置は、前記端末収容装置から通知された当該端末のアドレス情報に基づき、前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする有効無効指令機能を備えることを特徴とする。
請求項7に記載の第7発明は、前記監視装置は、当該LANへの接続権限を有する端末のアドレス情報を格納したアドレス情報リストと、前記端末収容装置から受信した当該端末のアドレス情報が前記アドレス情報リストに格納されているか否かを検索する検索機能と、当該端末のアドレス情報が前記アドレス情報リストに格納されている場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録許可を指示し端末のアドレス情報が前記アドレス情報リストに格納されていない場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録不許可を指示する登録許可不許可指示機能とを備えることを特徴とする。
請求項8に記載の第8発明は、前記端末収容装置は、前記監視装置から前記アドレステーブルへの登録許可が指示された場合に新規アドレスを前記アドレステーブルに登録し、前記監視装置から前記アドレステーブルへの登録不許可が指示された場合に前記アドレス登録停止機能を有効にすることを特徴とする。
請求項9に記載の第9発明は、前記端末収容装置は、前記アドレステーブルに登録されたアドレス情報を上位端末収容装置および下位端末収容装置にそれぞれ通知するアドレス情報通知機能を備え、前記上位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えることを特徴とする。
請求項10に記載の第10発明は、前記端末収容装置は、受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、前記アドレステーブルに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、両者のアドレス情報が一致しない場合に前記パケット破棄機能によって当該パケットを破棄することを特徴とする。
請求項11に記載の第11発明は、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能を備えることを特徴とする。
請求項12に記載の第12発明は、前記端末収容装置の1つのポートまたは複数のポートに対して、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定する有効無効設定機能を備えることを特徴とする。
第1発明によれば、LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する方式における端末収容装置は、端末のアドレス情報(例えばMACアドレス、IPアドレスの少なくとも一方)の前記アドレステーブルへの登録を停止するアドレス登録停止機能と、前記アドレステーブルに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備しているので、接続権限を有する端末のみを接続する前提のLANの新規構築時には、前記アドレス登録停止機能を無効にして、接続した全ての端末のアドレス情報を前記アドレステーブルに登録しておき、通常運用時には前記アドレス登録停止機能を有効にしておくとともに、接続権限を有する端末を増設するときに限り、前記アドレス登録停止機能を無効にして、当該端末のアドレス情報を前記アドレステーブルに追加登録するように運用することにより、前記アドレス登録停止機能を有効にしている間に接続権限を有していない端末が前記LANに接続された場合には、前記接続権限を有していない端末のアドレス情報は前記アドレステーブルに追加登録されないので、前記接続権限を有していない端末から前記LAN経由で送信されるパケットに含まれるアドレス情報は前記アドレステーブルに登録されていないものとなるため、そのパケットは前記パケット破棄機能によって破棄されることになる。したがって、接続権限を有する端末のアドレス情報をアドレステーブルに事前登録しておく必要が無くなるとともに、接続権限を有していない端末からのパケットをL2またはL3の処理で破棄できるため、運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供することができる。
第2発明によれば、前記端末収容装置に対するコマンド入力により、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定することができるので、LANの新規構築時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行い、通常運用時には有効に設定してアドレス情報の登録を阻止し、接続権限を有する端末の増設時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行う、一連の作業を極めて簡単に行うことができるようになり、運用管理者の負担を軽減することができる。
第3発明によれば、前記端末収容装置はさらに、前記アドレステーブルに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能と、前記アドレステーブルに追加登録したアドレス情報の個数が前記追加登録数に達した場合に前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えるので、接続権限を有する端末を例えばN台増設する増設作業を行う場合には前記追加登録数をNに設定しておくことにより、当該増設作業において前記アドレス登録停止機能を無効にしている間に増設したN台の端末のアドレス情報の前記アドレステーブルへの追加登録が完了した後は前記アドレス登録停止機能が有効になるため、接続権限を有していない端末が前記LANに接続された場合には、前記接続権限を有していない端末のアドレス情報は前記アドレステーブルに追加登録されず、前記接続権限を有していない端末から前記LAN経由で送信されるパケットに含まれるアドレス情報は前記アドレステーブルに登録されていないものとなるため、そのパケットは前記パケット破棄機能によって破棄されることになり、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。
第4発明によれば、前記端末収容装置はさらに、設定時間に応じて動作するタイマと、前記アドレス登録停止機能および前記パケット破棄機能が無効に設定されたときから前記設定時間が経過したときに前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えるので、接続権限を有する端末を増設する増設作業の開始時刻から終了予定時刻までの時間を前記設定時間として設定しておくことにより、当該増設作業において前記設定時間内に増設した端末のアドレス情報の前記アドレステーブルへの追加登録が完了した後は前記アドレス登録停止機能が有効になるため、接続権限を有していない端末が前記LANに接続された場合には、前記接続権限を有していない端末のアドレス情報は前記アドレステーブルに追加登録されず、前記接続権限を有していない端末から前記LAN経由で送信されるパケットに含まれるアドレス情報は前記アドレステーブルに登録されていないものとなるため、そのパケットは前記パケット破棄機能によって破棄されることになり、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。
第5発明によれば、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構(例えば切換スイッチや切換ボタン)を備えるので、LANの新規構築時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行い、通常運用時には有効に設定してアドレス情報の登録を阻止し、接続権限を有する端末の増設時には無効に設定して接続権限を有する端末のアドレス情報の前記アドレステーブルへの登録を行う、一連の作業を極めて簡単に行うことができるようになり、運用管理者の負担を軽減することができる。
第6発明によれば、前記LANはさらに、当該LANを管理する監視装置を備え、該監視装置は、前記端末収容装置から通知された当該端末のアドレス情報に基づき、前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする有効無効指令機能を備えるので、例えば前記LANに接続された端末が接続権限を有している場合は前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を無効とする指令を行い、前記LANに接続された端末が接続権限を有していない場合は前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効とする指令を行うことにより、前記端末収容装置において接続権限を有している端末のアドレス情報のみを登録させるとともに前記アドレステーブルに登録されていないアドレス情報を有するパケットを破棄させることができ、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。
第7発明によれば、前記監視装置は、当該LANへの接続権限を有する端末のアドレス情報を格納したアドレス情報リストと、前記端末収容装置から受信した当該端末のアドレス情報が前記アドレス情報リストに格納されているか否かを検索する検索機能と、当該端末のアドレス情報が前記アドレス情報リストに格納されているアドレス情報登録済み端末の場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録許可を指示し端末のアドレス情報が前記アドレス情報リストに格納されていない場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録不許可を指示する登録許可不許可指示機能とを備えるから、前記LANに接続された端末が接続権限を有している場合は登録許可を指示して当該端末のアドレス情報を前記アドレステーブルに登録させ、前記LANに接続された端末が接続権限を有していない場合は登録不許可を指示して当該端末のアドレス情報を前記アドレステーブルに登録にさせないようにすることにより、前記端末収容装置において接続権限を有している端末のアドレス情報のみを登録させるとともに前記アドレステーブルに登録されていないアドレス情報を有するパケットを破棄させることができ、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。
第8発明によれば、前記端末収容装置は、前記監視装置から前記アドレステーブルへの登録許可が指示された場合に新規アドレスを前記アドレステーブルに登録し、前記監視装置から前記アドレステーブルへの登録不許可が指示された場合に前記アドレス登録停止機能を有効にするから、接続権限を有している端末のアドレス情報のみを登録するとともに前記アドレステーブルに登録されていないアドレス情報を有するパケットを破棄することができ、LANの入口で接続権限を有していない端末の不正アクセスを防止し得るようになる。
第9発明によれば、前記端末収容装置は、前記アドレステーブルに登録されたアドレス情報を上位端末収容装置および下位端末収容装置にそれぞれ通知するアドレス情報通知機能を備え、前記上位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えるから、前記端末収容装置、上位端末収容装置および下位端末収容装置から成る複数段の端末収容装置で構成されたLANにおいて、前記端末収容装置の前記アドレステーブルに登録されたアドレス情報を複数段の端末収容装置で共有することにより、他の端末収容装置への端末の移動や、端末の配置替えの場合に、新たに接続した上位端末収容装置または下位端末収容装置において、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする処理を要することなく、前記LANに接続されたアクセス権限を有する端末のアドレス情報を上位端末収容装置または下位端末収容装置のアドレステーブルに登録することが可能になり、運用管理者の負担を軽減することができる。
第10発明によれば、前記端末収容装置は、受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、前記アドレステーブルに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、両者のアドレス情報が一致しない場合に前記パケット破棄機能によって当該パケットを破棄するから、接続権限を有していない端末の不正アクセスをさらに確実に防止し得るようになる。
第11発明によれば、前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能を備えるから、前記端末収容装置を運用管理者が操作する際の作業性が向上する。
第12発明によれば、前記端末収容装置の1つのポートまたは複数のポートに対して、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定する有効無効設定機能を備えるから、少数の端末を前記LANに増設する場合にも、多数の端末を前記LANに増設する場合にも対応可能になり、端末増設時の作業性が向上する。
以下、本発明を実施するための最良の形態を図面に基づき詳細に説明する。
[第1実施形態]
図1(a)は本発明の第1実施形態のLANへの不正アクセス防止方式の実施に用いるLANシステムの構成を例示するシステム図であり、図1(b)は上記LANシステムの端末収容装置に内蔵されるアドレステーブルを例示する図である。本実施形態のLANシステムは、図1に示すように、LAN(IPサブネットワーク)1と、LAN1上に設置される端末収容装置2と、端末収容装置2に接続される複数台の端末3(図示例では3台の端末である、端末3−1,端末3−2,端末3−3)とを具備して成る。なお、端末3−1および端末3−2は、LAN1への接続権限を有する端末であり、端末3−3は、LAN1への接続権限を有していない端末であるものとし、端末3−1〜3−3のそれぞれのMACアドレスは、「aa:aa:aa:aa:aa:aa」、「bb:bb:bb:bb:bb:bb」、「cc:cc:cc:cc:cc:cc」であるものとする。なお、以下に示す例では、端末のアドレス情報としてMACアドレスのみを用いる場合を示したが、端末のアドレス情報としてIPアドレスのみを用いる場合も、端末のアドレス情報としてMACアドレスおよびIPアドレスを用いる場合も、本発明は適用可能である。
図1(a)は本発明の第1実施形態のLANへの不正アクセス防止方式の実施に用いるLANシステムの構成を例示するシステム図であり、図1(b)は上記LANシステムの端末収容装置に内蔵されるアドレステーブルを例示する図である。本実施形態のLANシステムは、図1に示すように、LAN(IPサブネットワーク)1と、LAN1上に設置される端末収容装置2と、端末収容装置2に接続される複数台の端末3(図示例では3台の端末である、端末3−1,端末3−2,端末3−3)とを具備して成る。なお、端末3−1および端末3−2は、LAN1への接続権限を有する端末であり、端末3−3は、LAN1への接続権限を有していない端末であるものとし、端末3−1〜3−3のそれぞれのMACアドレスは、「aa:aa:aa:aa:aa:aa」、「bb:bb:bb:bb:bb:bb」、「cc:cc:cc:cc:cc:cc」であるものとする。なお、以下に示す例では、端末のアドレス情報としてMACアドレスのみを用いる場合を示したが、端末のアドレス情報としてIPアドレスのみを用いる場合も、端末のアドレス情報としてMACアドレスおよびIPアドレスを用いる場合も、本発明は適用可能である。
上記端末収容装置2は、アドレステーブル2aを備えており、配下のLAN上に新規端末が接続されたときに当該端末から送信される「gratuitous ARPパケット(重複IPアドレス検出やARPキャッシュエントリ更新のために用いられるパケット)等のBroadcastパケットに基づいて、アドレステーブル2aに新規端末のIPアドレスまたはMACアドレスアドレスを登録し、アドレステーブル2aを参照して該当するポートに受信パケットを送信するように構成されている。上記端末収容装置2としては、ルータやL2スイッチ装置等を用いることができる。本実施形態の端末収容装置2は、汎用的な端末収容装置が有する各種機能や構成要素に加えて、以下に列挙するような本発明特有の各種機能や構成要素を有している。
(1)端末のアドレス情報のアドレステーブル2aへの登録を停止するアドレス登録停止機能
(2)アドレステーブル2aに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能
(3)端末収容装置2に対するコマンド入力により、上記アドレス登録停止機能および上記パケット破棄機能を有効または無効に設定する有効無効設定機能
(4)アドレステーブル2aに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能
(5)アドレステーブル2aに追加登録したアドレス情報の個数が上記追加登録数に達した場合に上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能
(6)設定時間に応じて動作するタイマ
(7)上記アドレス登録停止機能および上記パケット破棄機能が無効に設定されたときから上記設定時間が経過したときに上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能
(8)上記アドレス登録停止機能および上記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構(例えばスイッチやボタン);なお、上記(3)の機能および(8)の機能の少なくとも一方が端末収容装置2に具備されていればよい。
(9)保守コンソール4(図6参照)に、アドレステーブル2aに登録されたアドレス情報を通知する機能(この機能は、SNMPによって実現してもよい)
(10)保守コンソール4(図6参照)からの指令に基づいて上記アドレス登録停止機能および上記パケット破棄機能を有効または無効とする有効無効機能(この機能は、SNMPによって実現してもよい)
(11)保守コンソール4(図6参照)からアドレステーブル2aへの登録許可が指示された場合に新規アドレスをアドレステーブル2aに登録し 、保守コンソール4(図6参照)からアドレステーブル2aへの登録不許可が指示された場合に上記アドレス登録停止機能を有効にする選択的アドレス登録機能
(12)アドレステーブル2aに登録されたアドレス情報を保守コンソール4(図6参照)、上位端末収容装置および下位の端末収容装置に通知するアドレス情報通知機能
(13)当該端末収容装置が上位端末収容装置および下位の端末収容装置の一方になった場合に、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能
(14)受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、アドレステーブル2aに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、MACアドレスおよびIPアドレスの少なくとも一方が一致しない場合に上記パケット破棄機能によって当該パケットを破棄するパケット破棄機能
(14)上記アドレス登録停止機能および上記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能(例えば機能状態表示ランプ)
(15)端末収容装置2の1つのポートまたは複数のポートに対して、上記アドレス登録停止機能および上記パケット破棄機能を有効または無効に設定する有効無効設定機能
(2)アドレステーブル2aに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能
(3)端末収容装置2に対するコマンド入力により、上記アドレス登録停止機能および上記パケット破棄機能を有効または無効に設定する有効無効設定機能
(4)アドレステーブル2aに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能
(5)アドレステーブル2aに追加登録したアドレス情報の個数が上記追加登録数に達した場合に上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能
(6)設定時間に応じて動作するタイマ
(7)上記アドレス登録停止機能および上記パケット破棄機能が無効に設定されたときから上記設定時間が経過したときに上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能
(8)上記アドレス登録停止機能および上記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構(例えばスイッチやボタン);なお、上記(3)の機能および(8)の機能の少なくとも一方が端末収容装置2に具備されていればよい。
(9)保守コンソール4(図6参照)に、アドレステーブル2aに登録されたアドレス情報を通知する機能(この機能は、SNMPによって実現してもよい)
(10)保守コンソール4(図6参照)からの指令に基づいて上記アドレス登録停止機能および上記パケット破棄機能を有効または無効とする有効無効機能(この機能は、SNMPによって実現してもよい)
(11)保守コンソール4(図6参照)からアドレステーブル2aへの登録許可が指示された場合に新規アドレスをアドレステーブル2aに登録し 、保守コンソール4(図6参照)からアドレステーブル2aへの登録不許可が指示された場合に上記アドレス登録停止機能を有効にする選択的アドレス登録機能
(12)アドレステーブル2aに登録されたアドレス情報を保守コンソール4(図6参照)、上位端末収容装置および下位の端末収容装置に通知するアドレス情報通知機能
(13)当該端末収容装置が上位端末収容装置および下位の端末収容装置の一方になった場合に、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能
(14)受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、アドレステーブル2aに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、MACアドレスおよびIPアドレスの少なくとも一方が一致しない場合に上記パケット破棄機能によって当該パケットを破棄するパケット破棄機能
(14)上記アドレス登録停止機能および上記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能(例えば機能状態表示ランプ)
(15)端末収容装置2の1つのポートまたは複数のポートに対して、上記アドレス登録停止機能および上記パケット破棄機能を有効または無効に設定する有効無効設定機能
以下、本実施形態のLANへの不正アクセス防止方式における共通的な処理および実際の運用時の端末接続処理を図2〜図5に基づいて説明する。なお、本実施形態のLANへの不正アクセス防止方式は、比較的小規模なLAN(端末収容装置2に収容する端末数が数十台程度のLAN)に好適に適用できるように構成されており、接続権限を有する端末のアドレス情報をアドレステーブルの事前登録を行わずに、接続権限を有していない端末からのパケットをL2またはL3の処理で破棄することができるようになっている。
[端末収容装置2におけるコマンド受付処理]
図2は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するコマンド受付処理を示すフローチャートである。まず、図2のステップS1で端末収容装置2がコマンドを受け付けると、次のステップS2では、当該コマンドの解析を行う。上記ステップS1で受け付けるコマンドとは、上述した端末収容装置2における(1)アドレス登録停止機能および(2)パケット破棄機能の双方を、有効/無効のどちらに設定するかを決定するコマンドであるため、ステップS2の解析の結果が有効であれば、ステップS3のYES(有効)からステップS4に進んで、機能フラグFNKを”1”にセットし、ステップS2の解析の結果が無効であれば、ステップS3のNO(無効)からステップS5に進んで、機能フラグFNKを”0”にセットする。以下、この機能フラグに基づいて、本発明特有の処理が行われることになる。
なお、上記ステップS1の「コマンド受付」は、「オペレータ(運用管理者)による端末収容装置2への直接的なコマンド入力」、「オペレータによる端末収容装置2での有効無効切換機構の切換操作」、「オペレータによる保守コンソール4(図6参照)経由の有効無効指令」の何れかが行われたときに実施されるものとする。
図2は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するコマンド受付処理を示すフローチャートである。まず、図2のステップS1で端末収容装置2がコマンドを受け付けると、次のステップS2では、当該コマンドの解析を行う。上記ステップS1で受け付けるコマンドとは、上述した端末収容装置2における(1)アドレス登録停止機能および(2)パケット破棄機能の双方を、有効/無効のどちらに設定するかを決定するコマンドであるため、ステップS2の解析の結果が有効であれば、ステップS3のYES(有効)からステップS4に進んで、機能フラグFNKを”1”にセットし、ステップS2の解析の結果が無効であれば、ステップS3のNO(無効)からステップS5に進んで、機能フラグFNKを”0”にセットする。以下、この機能フラグに基づいて、本発明特有の処理が行われることになる。
なお、上記ステップS1の「コマンド受付」は、「オペレータ(運用管理者)による端末収容装置2への直接的なコマンド入力」、「オペレータによる端末収容装置2での有効無効切換機構の切換操作」、「オペレータによる保守コンソール4(図6参照)経由の有効無効指令」の何れかが行われたときに実施されるものとする。
[端末収容装置2におけるパケット送受信処理]
図3は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するパケット送受信処理を示すフローチャートである。まず、図3のステップS11で、LANの新規構築時1に接続された端末からのパケットが受信されると、次のステップS12では、当該パケットの送り元アドレス(SA)がアドレステーブル2aに登録されているか否かを検索し、登録有りならばステップS13に進み、登録無しならばステップS14に進む。ステップS13では、当該パケットの送り先アドレス(DA)が「Broadcast」か「unicast」かを判別し、「Broadcast」であればステップS14に進み、「unicast」であればステップS15に進む。ステップS14では、現在の機能フラグのセット状態をチェックし、”0”にセットされていれば(無効であれば)、ステップS16に進んで当該パケットの送り元アドレス(SA)およびポート番号をアドレステーブル2aに登録し、”1”にセットされていれば(有効であれば)、上記ステップS16の処理をスキップして直ちにステップS15に進む。
図3は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するパケット送受信処理を示すフローチャートである。まず、図3のステップS11で、LANの新規構築時1に接続された端末からのパケットが受信されると、次のステップS12では、当該パケットの送り元アドレス(SA)がアドレステーブル2aに登録されているか否かを検索し、登録有りならばステップS13に進み、登録無しならばステップS14に進む。ステップS13では、当該パケットの送り先アドレス(DA)が「Broadcast」か「unicast」かを判別し、「Broadcast」であればステップS14に進み、「unicast」であればステップS15に進む。ステップS14では、現在の機能フラグのセット状態をチェックし、”0”にセットされていれば(無効であれば)、ステップS16に進んで当該パケットの送り元アドレス(SA)およびポート番号をアドレステーブル2aに登録し、”1”にセットされていれば(有効であれば)、上記ステップS16の処理をスキップして直ちにステップS15に進む。
ステップS15では、当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索し、登録有りならばステップS17に進んでアドレステーブルの指定ポートに当該パケットを送信し(送り先が判明した正規パケット受信時の処理形態)、登録無しならばステップS18に進んで現在の機能フラグのセット状態をチェックする。このステップS18のチェックにおいて、”1”にセットされていれば(有効であれば)、ステップS19に進んで当該パケットを破棄し(不正パケット受信時の処理形態)、”0”にセットされていれば(無効であれば)、ステップS20に進んで当該パケットを全ポートに送信する(送り先未定の正規パケット受信時の処理形態)。
次に、本実施形態のLANへの不正アクセス防止方式における実際の運用時の端末接続処理を図4に基づいて説明する。
[LANの新規構築時の端末接続処理]
図4は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施する端末接続処理を示すフローチャートである。まず、図4のステップS21では、LANの新規構築時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”0”にセットする。次のステップS22では、端末収容装置2にLANへの接続権限を有する端末(例えば図1に示す端末3−1,端末3−2)を接続し、次のステップS23では、端末接続時に端末3−1,端末3−2からそれぞれ送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
[LANの新規構築時の端末接続処理]
図4は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施する端末接続処理を示すフローチャートである。まず、図4のステップS21では、LANの新規構築時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”0”にセットする。次のステップS22では、端末収容装置2にLANへの接続権限を有する端末(例えば図1に示す端末3−1,端末3−2)を接続し、次のステップS23では、端末接続時に端末3−1,端末3−2からそれぞれ送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
次のステップS24では、受信した「gratuitous ARPパケット」に基づいて図3に示すパケット送受信処理を実施する。このパケット送受信処理は、ステップS11−ステップS12の登録無し−ステップS14の”0”(無効)−ステップS16という経路で進むので、ステップS16の実行により端末3−1,端末3−2の送り元アドレス(SA)およびポート番号がアドレステーブル2aに登録されることになる。その後、処理はステップS15の登録無し−ステップS18の”0”(無効)−ステップS20という経路で進むので、当該パケットはステップS20で全ポートに送信されることになる。そして、上記パケット送受信処理の終了時には、端末収容装置2内のアドレステーブル2aには、「接続権限を有する全端末のアドレス情報を格納したアドレステーブル」が形成されることになる。
なお、上記のようにして端末のアドレス情報のアドレステーブル2aへの登録が完了した後にアドレス情報登録済みの端末(すなわち、接続権限を有する端末)からパケットが送信されると、処理はステップS11−ステップS12の登録有り−ステップS13のNO−ステップS15と進み、ステップS15で当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索したとき、登録有りであるため、ステップS15の登録有りからステップS17に進むことになり、ステップS17で、アドレステーブルの指定ポートに当該パケットを送信する(送り先が判明した正規パケット受信時の処理形態)。
なお、上記のようにして端末のアドレス情報のアドレステーブル2aへの登録が完了した後にアドレス情報登録済みの端末(すなわち、接続権限を有する端末)からパケットが送信されると、処理はステップS11−ステップS12の登録有り−ステップS13のNO−ステップS15と進み、ステップS15で当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索したとき、登録有りであるため、ステップS15の登録有りからステップS17に進むことになり、ステップS17で、アドレステーブルの指定ポートに当該パケットを送信する(送り先が判明した正規パケット受信時の処理形態)。
[LANへの端末増設時の端末接続処理]
まず、図4のステップS21では、LANへの端末増設時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”0”にセットする。次のステップS22では、端末収容装置2にLANへの接続権限を有する端末(例えば図1に示す端末3−1,端末3−2)を接続し、次のステップS23では、端末接続時に端末3−1,端末3−2からそれぞれ送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
まず、図4のステップS21では、LANへの端末増設時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”0”にセットする。次のステップS22では、端末収容装置2にLANへの接続権限を有する端末(例えば図1に示す端末3−1,端末3−2)を接続し、次のステップS23では、端末接続時に端末3−1,端末3−2からそれぞれ送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
次のステップS24では、受信した「gratuitous ARPパケット」に基づいて図3に示すパケット送受信処理を実施する。このパケット送受信処理では、処理はステップS11−ステップS12の登録無し−ステップS14の”0”(無効)−ステップS16という経路で進むので、ステップS16の実行により端末3−1,端末3−2の送り元アドレス(SA)およびポート番号がアドレステーブル2aに登録されることになる。その後、処理はステップS15の登録無し−ステップS18の”0”(無効)−ステップS20という経路で進むので、当該パケットはステップS20で全ポートに送信されることになる。そして、上記パケット送受信処理の終了時には、端末収容装置2内のアドレステーブル2aには、「既存の接続権限を有する全端末のアドレス情報を集めたアドレステーブル」に、増設した接続権限を有する端末のアドレス情報が追加登録されて、「接続権限を有する全端末のアドレス情報を格納したアドレステーブル」が更新されることになる。
なお、上記のようにして端末のアドレス情報のアドレステーブル2aへの登録が完了した後にアドレス情報登録済みの端末(すなわち、接続権限を有する端末)からパケットが送信されると、処理はステップS11−ステップS12の登録有り−ステップS13のNO−ステップS15と進み、ステップS15で当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索したとき、登録有りであるため、ステップS15の登録有りからステップS17に進むことになり、ステップS17で、アドレステーブルの指定ポートに当該パケットを送信する(送り先未定の正規パケット受信時の処理形態)。
なお、上記のようにして端末のアドレス情報のアドレステーブル2aへの登録が完了した後にアドレス情報登録済みの端末(すなわち、接続権限を有する端末)からパケットが送信されると、処理はステップS11−ステップS12の登録有り−ステップS13のNO−ステップS15と進み、ステップS15で当該パケットの送り先アドレス(DA)がアドレステーブル2aに登録されているか否かを検索したとき、登録有りであるため、ステップS15の登録有りからステップS17に進むことになり、ステップS17で、アドレステーブルの指定ポートに当該パケットを送信する(送り先未定の正規パケット受信時の処理形態)。
[LAN構築後の通常運用時における接続権限を有していない端末の接続時の処理]
図5は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するLAN構築後の通常運用時における接続権限を有していない端末の接続時の処理を示すフローチャートである。まず、図5のステップS31では、接続権限を有していない端末の不正アクセスを防止するために、LAN構築後は、上記端末増設時を除き、LAN1(端末収容装置2)に接続された端末は全て接続権限を有していない端末であると見なすという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”1”にセットして、上記(1)アドレス登録停止機能および(2)パケット破棄機能を有効にしておく。次のステップS32で、端末収容装置2にLANへの接続権限を有していない端末(例えば図1に示す端末33)が接続されると、次のステップS33では、端末接続時に端末3−3から送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
図5は第1実施形態のLANへの不正アクセス防止方式において端末収容装置で実施するLAN構築後の通常運用時における接続権限を有していない端末の接続時の処理を示すフローチャートである。まず、図5のステップS31では、接続権限を有していない端末の不正アクセスを防止するために、LAN構築後は、上記端末増設時を除き、LAN1(端末収容装置2)に接続された端末は全て接続権限を有していない端末であると見なすという前提で、図2に示すコマンド受付処理によって機能フラグFNKを”1”にセットして、上記(1)アドレス登録停止機能および(2)パケット破棄機能を有効にしておく。次のステップS32で、端末収容装置2にLANへの接続権限を有していない端末(例えば図1に示す端末33)が接続されると、次のステップS33では、端末接続時に端末3−3から送信される「gratuitous ARPパケット」を端末収容装置2が受信する。それにより、「gratuitous ARPパケット」で通知されたMACアドレスを有する端末が接続されたことを端末収容装置2が検知することになる。
次のステップS34では、受信した「gratuitous ARPパケット」に基づいて図3に示すパケット送受信処理を実施する。このパケット送受信処理では、処理はステップS11−ステップS12の登録無し−ステップS14の”1”(有効)という経路で進むため、ステップS16がスキップされることになり、端末3−3の送り元アドレス(SA)およびポート番号がアドレステーブル2aに登録されることが阻止される。その後、処理はステップS15の登録無し−ステップS18の”1”(有効)−ステップS19という経路で進むので、当該パケットはステップS19で破棄されることになる。その結果、所望の通りにLANへの接続権限を有していない端末33のLAN1へのアクセスを禁止することができる。
本実施形態のLANへの不正アクセス防止方式によれば、端末収容装置2は、(1)アドレス登録停止機能と、(2)パケット破棄機能とを具備しているので、接続権限を有する端末のみを接続する前提のLANの新規構築時には、(1)アドレス登録停止機能を無効にして、接続した全ての端末のアドレス情報を前記アドレステーブル2aに登録しておき、通常運用時には(1)アドレス登録停止機能を有効にしておくとともに、接続権限を有する端末を増設するときに限り、(1)アドレス登録停止機能を無効にして、当該端末のアドレス情報(例えばMACアドレス、IPアドレスの少なくとも一方)をアドレステーブル2aに追加登録するように運用することにより、(1)アドレス登録停止機能を有効にしている間に接続権限を有していない端末がLAN1に接続された場合には、接続権限を有していない端末のアドレス情報はアドレステーブル2aに追加登録されないので、接続権限を有していない端末からLAN1経由で送信されるパケットに含まれるアドレス情報はアドレステーブル2aに登録されていないものとなるため、そのパケットは(2)パケット破棄機能によって破棄されることになる。したがって、接続権限を有する端末のアドレス情報をアドレステーブルに事前登録しておく必要が無くなるとともに、アドレス情報(MACアドレスやIPアドレス)をフィルタとして使用することにより接続権限を有していない端末からのパケットをL2またはL3の処理で破棄できるため、運用管理者の負担を軽減するとともにLANの入口で接続権限を有していない端末の不正アクセスを防止し得る、LANへの不正アクセス防止方式を提供することができる。
また、本実施形態のLANへの不正アクセス防止方式によれば、オペレータによる端末収容装置2への直接的なコマンド入力、または、オペレータによる端末収容装置2での有効無効切換機構の切換操作により、(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効に設定することができるので、LANの新規構築時には無効に設定して接続権限を有する端末のアドレス情報のアドレステーブル2aへの登録を行い、通常運用時には有効に設定してアドレス情報の登録を阻止し、接続権限を有する端末の増設時には無効に設定して接続権限を有する端末のアドレス情報のアドレステーブル2aへの登録を行う、一連の作業を極めて簡単に行うことができるようになり、オペレータの負担を軽減することができる。
また、本実施形態のLANへの不正アクセス防止方式に用いる端末収容装置2は、(14)上記アドレス登録停止機能および上記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能(例えば機能状態表示ランプ)を備えるので、オペレータが端末収容装置2で各種入力操作を行う際には、現在の(1)アドレス登録停止機能および(2)パケット破棄機能の有効/無効を容易に認知し得るようになり、端末収容装置をオペレータが操作する際の作業性が向上する。
また、本実施形態のLANへの不正アクセス防止方式に用いる端末収容装置2は、(14)上記アドレス登録停止機能および上記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能(例えば機能状態表示ランプ)を備えるので、オペレータが端末収容装置2で各種入力操作を行う際には、現在の(1)アドレス登録停止機能および(2)パケット破棄機能の有効/無効を容易に認知し得るようになり、端末収容装置をオペレータが操作する際の作業性が向上する。
なお、上記第1実施形態においては、「端末増設時には接続権限を有する端末のみをLAN1(端末収容装置2)に接続するという前提」を用いているが、「端末増設時に、接続権限を有する端末に加えて、接続権限を有していない端末が不正に接続される可能性」もあるので、その対策として、「端末増設時には、増設台数や増設作業を行う設定時間が予め分かっていること」を利用して、上述した(4)アドレステーブル2aに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能、(5)アドレステーブル2aに追加登録したアドレス情報の個数が上記追加登録数に達した場合に上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能、(6)設定時間に応じて動作するタイマ、(7)上記アドレス登録停止機能および上記パケット破棄機能が無効に設定されたときから上記設定時間が経過したときに上記アドレス登録停止機能および上記パケット破棄機能を有効にする有効化機能、を併用することが、不正アクセス防止機能を向上させる上で好ましい。
また、上記第1実施形態のLANシステムでは1台の端末収容装置を用いているが、端末収容装置2に対して上位端末収容装置および下位端末収容装置を設けてもよい。その場合、端末収容装置2は、アドレステーブル2aに登録されたアドレス情報を上位端末収容装置および下位端末収容装置に通知するアドレス情報通知機能を備え、位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えるから、端末収容装置2、上位端末収容装置および下位端末収容装置から成る複数段の端末収容装置で構成されたLANシステムにおいて、端末収容装置2のアドレステーブル2aに登録されたアドレス情報を複数段の端末収容装置で共有することにより、他の端末収容装置への端末の移動や、端末の配置替えの場合に、新たに接続した上位端末収容装置または下位端末収容装置において、(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効とする処理を要することなく、LANに接続されたアクセス権限を有する端末のアドレス情報を上位端末収容装置または下位端末収容装置のアドレステーブルに登録することが可能になり、オペレータの負担を軽減することができる。
また、上記第1実施形態においては、端末収容装置2は、受信したパケットのアドレス情報であるMACアドレス(SAアドレス)とアドレステーブルに登録されたアドレス情報であるMACアドレス(SAアドレス)とを比較するようにしたが、受信したパケットのアドレス情報であるMACアドレス(SAアドレス)およびIPアドレスとアドレステーブルに登録されたアドレス情報であるMACアドレス(SAアドレス)およびIPアドレスとを比較して、両者の2種類のアドレス情報が一致しない場合に(2)パケット破棄機能によって当該パケットを破棄するようにすれば、接続権限を有していない端末の不正アクセスをさらに確実に防止し得るようになる。
また、上記第1実施形態においては、複数(上記の場合、全部)のポートに対して(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効に設定するようにしたが、端末収容装置の1つのポートまたは複数(全部を除く)のポートに対して(1)アドレス登録停止機能および(2)パケット破棄機能を有効または無効に設定するようにすれば、少数の端末を前記LANに増設する場合にも、多数の端末を前記LANに増設する場合にも対応可能になり、端末増設時の作業性が向上する。
[第2実施形態]
図6(a)は本発明の第1実施形態のLANへの不正アクセス防止方式の実施に用いるLANシステムの構成を例示するシステム図であり、図6(b)は上記LANシステムの端末収容装置に内蔵されるアドレステーブルを例示する図である。本実施形態のLANシステムは、図1に示す第1実施形態のLANシステムに保守コンソール4を追加したものであり、それ以外の部分は上記第1実施形態と同様に構成する。
図6(a)は本発明の第1実施形態のLANへの不正アクセス防止方式の実施に用いるLANシステムの構成を例示するシステム図であり、図6(b)は上記LANシステムの端末収容装置に内蔵されるアドレステーブルを例示する図である。本実施形態のLANシステムは、図1に示す第1実施形態のLANシステムに保守コンソール4を追加したものであり、それ以外の部分は上記第1実施形態と同様に構成する。
上記保守コンソール4は、LAN1の管理やメンテナンス等に用いる監視装置であり、以下に列挙するような本発明特有の各種機能や構成要素を有している。
(a)端末収容装置2から通知された当該端末のアドレス情報に基づき、端末収容装置2における上記アドレス登録停止機能および上記パケット破棄機能を有効または無効とする有効無効指令機能(この機能は、SNMPによって実現してもよい)
(b)LAN1への接続権限を有する端末のアドレス情報を格納したアドレス情報リスト(図示せず)
(c)端末収容装置2から受信した当該端末のアドレス情報がアドレス情報リストに格納されているか否かを検索する検索機能
(d)当該端末のアドレス情報がアドレス情報リストに格納されている場合は端末収容装置2に当該端末のアドレス情報のアドレステーブル2aへの登録許可を指示し端末のアドレス情報がアドレス情報リストに格納されていない場合は端末収容装置2に当該端末のアドレス情報のアドレステーブル2aへの登録不許可を指示する登録許可不許可指示機能
(a)端末収容装置2から通知された当該端末のアドレス情報に基づき、端末収容装置2における上記アドレス登録停止機能および上記パケット破棄機能を有効または無効とする有効無効指令機能(この機能は、SNMPによって実現してもよい)
(b)LAN1への接続権限を有する端末のアドレス情報を格納したアドレス情報リスト(図示せず)
(c)端末収容装置2から受信した当該端末のアドレス情報がアドレス情報リストに格納されているか否かを検索する検索機能
(d)当該端末のアドレス情報がアドレス情報リストに格納されている場合は端末収容装置2に当該端末のアドレス情報のアドレステーブル2aへの登録許可を指示し端末のアドレス情報がアドレス情報リストに格納されていない場合は端末収容装置2に当該端末のアドレス情報のアドレステーブル2aへの登録不許可を指示する登録許可不許可指示機能
上記第1実施形態では、端末収容装置2を用いて、オペレータが(1)アドレス登録停止機能および(2)パケット破棄機能の有効/無効の設定を含む各種操作を行うようにしているが、本実施形態では、オペレータが保守コンソール4経由で端末収容装置2に対して上記指令等を送出するようにシステム構成を変更している。そのため、上述した第1実施形態の図2〜図5における処理は、以下のように変更されることになる。
(イ)図2のステップS1、図4のステップS21および図5のステップS31は、オペレータによる保守コンソール4経由の指令によって実施される。
(ロ)図3のステップS12の「当該パケットの送り元アドレス(SA)がアドレステーブル2aに登録されているか否かの検索」は、「アドレステーブル2aの代わりに保守コンソール4のアドレス情報リストを用いて実施される。
(ハ)図3のステップS16の「当該パケットの送り元アドレス(SA)およびポート番号のアドレステーブル2aへの登録」は、当該端末のアドレス情報が保守コンソール4のアドレス情報リストに格納されている場合に発せられる「アドレステーブル2aへの登録許可指令」を端末収容装置2が受信した場合に実施される。
(イ)図2のステップS1、図4のステップS21および図5のステップS31は、オペレータによる保守コンソール4経由の指令によって実施される。
(ロ)図3のステップS12の「当該パケットの送り元アドレス(SA)がアドレステーブル2aに登録されているか否かの検索」は、「アドレステーブル2aの代わりに保守コンソール4のアドレス情報リストを用いて実施される。
(ハ)図3のステップS16の「当該パケットの送り元アドレス(SA)およびポート番号のアドレステーブル2aへの登録」は、当該端末のアドレス情報が保守コンソール4のアドレス情報リストに格納されている場合に発せられる「アドレステーブル2aへの登録許可指令」を端末収容装置2が受信した場合に実施される。
本実施形態のLANへの不正アクセス防止方式によれば、上記第1実施形態と同様の効果が得られる上に、以下の効果が得られる。すなわち、端末収容装置2に対して上位端末収容装置および下位端末収容装置を設けて複数段の端末収容装置によって構築した比較的大規模なLANシステムにおいて、同時に複数の端末収容装置において端末の増設作業を行う場合には、オペレータは、保守コンソール4において同時に複数の端末収容装置に対する指令等の操作を行うことができるので、オペレータの負担を大幅に軽減することができるようになる。
1 LAN(IPサブネットワーク)
2 端末収容装置
3 端末
3−1,3−2 LAN1への接続権限を有する端末
3−3 LAN1への接続権限を有していない端末
4 保守コンソール(監視装置)
2 端末収容装置
3 端末
3−1,3−2 LAN1への接続権限を有する端末
3−3 LAN1への接続権限を有していない端末
4 保守コンソール(監視装置)
Claims (12)
- LAN上に設置される端末収容装置と、該端末収容装置に接続される少なくとも1つの端末とを備えるLANへの不正アクセスを防止する方式であって、
前記端末収容装置は、端末のアドレス情報の前記アドレステーブルへの登録を停止するアドレス登録停止機能と、前記アドレステーブルに登録されていないアドレス情報を有するパケットを受信した場合に当該パケットを破棄するパケット破棄機能とを具備することを特徴とするLANへの不正アクセス防止方式。 - 前記端末収容装置に対するコマンド入力により、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定することを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記端末収容装置はさらに、前記アドレステーブルに追加登録可能なアドレス情報の追加登録数を設定する追加登録数設定機能と、前記アドレステーブルに追加登録したアドレス情報の個数が前記追加登録数に達した場合に前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記端末収容装置はさらに、設定時間に応じて動作するタイマと、前記アドレス登録停止機能および前記パケット破棄機能が無効に設定されたときから前記設定時間が経過したときに前記アドレス登録停止機能および前記パケット破棄機能を有効にする有効化機能とを備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能を有効および無効の一方から他方へ切り換える有効無効切換機構を備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記LANはさらに、当該LANを管理する監視装置を備え、該監視装置は、前記端末収容装置から通知された当該端末のアドレス情報に基づき、前記端末収容装置における前記アドレス登録停止機能および前記パケット破棄機能を有効または無効とする有効無効指令機能を備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記監視装置は、当該LANへの接続権限を有する端末のアドレス情報を格納したアドレス情報リストと、前記端末収容装置から受信した当該端末のアドレス情報が前記アドレス情報リストに格納されているか否かを検索する検索機能と、当該端末のアドレス情報が前記アドレス情報リストに格納されている場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録許可を指示し端末のアドレス情報が前記アドレス情報リストに格納されていない場合は前記端末収容装置に当該端末のアドレス情報の前記アドレステーブルへの登録不許可を指示する登録許可不許可指示機能とを備えることを特徴とする請求項6記載のLANへの不正アクセス防止方式。
- 前記端末収容装置は、前記監視装置から前記アドレステーブルへの登録許可が指示された場合に新規アドレスを前記アドレステーブルに登録し、前記監視装置から前記アドレステーブルへの登録不許可が指示された場合に前記アドレス登録停止機能を有効にすることを特徴とする請求項7記載のLANへの不正アクセス防止方式。
- 前記端末収容装置は、前記アドレステーブルに登録されたアドレス情報を上位端末収容装置および下位端末収容装置にそれぞれ通知するアドレス情報通知機能を備え、前記上位端末収容装置および下位端末収容装置のそれぞれは、通知されたアドレス情報に基づいて自己のアドレステーブルを更新するアドレステーブル更新機能を備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記端末収容装置は、受信したパケットのアドレス情報であるMACアドレスおよびIPアドレスと、前記アドレステーブルに登録されたアドレス情報であるMACアドレスおよびIPアドレスとの比較時に、両者のアドレス情報が一致しない場合に前記パケット破棄機能によって当該パケットを破棄することを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記端末収容装置は、前記アドレス登録停止機能および前記パケット破棄機能の状態が有効であるか無効であるかを表示する機能状態表示機能を備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
- 前記端末収容装置の1つのポートまたは複数のポートに対して、前記アドレス登録停止機能および前記パケット破棄機能を有効または無効に設定する有効無効設定機能を備えることを特徴とする請求項1記載のLANへの不正アクセス防止方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005143565A JP2006324723A (ja) | 2005-05-17 | 2005-05-17 | Lanへの不正アクセス防止方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005143565A JP2006324723A (ja) | 2005-05-17 | 2005-05-17 | Lanへの不正アクセス防止方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006324723A true JP2006324723A (ja) | 2006-11-30 |
Family
ID=37544107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005143565A Pending JP2006324723A (ja) | 2005-05-17 | 2005-05-17 | Lanへの不正アクセス防止方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006324723A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009008076A1 (ja) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | 認証システム、端末認証装置および認証処理プログラム |
| JP2009118116A (ja) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Ponシステムの局側装置及びフレーム処理方法 |
| WO2012014931A1 (ja) * | 2010-07-27 | 2012-02-02 | パナソニック株式会社 | 通信制御装置、通信システム及びプログラム |
| CN108156092A (zh) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
| JP2019041369A (ja) * | 2017-08-25 | 2019-03-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 通信保護装置、制御方法、および、プログラム |
| JP2019080310A (ja) * | 2017-09-29 | 2019-05-23 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 強化されたスマートプロセス制御スイッチのポートロックダウン |
| US11606334B2 (en) | 2017-08-25 | 2023-03-14 | Panasonic Intellectual Property Corporation Of America | Communication security apparatus, control method, and storage medium storing a program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09191316A (ja) * | 1996-01-10 | 1997-07-22 | Toshiba Corp | コンセントレータ |
| JPH1155302A (ja) * | 1997-08-05 | 1999-02-26 | Hitachi Cable Ltd | スイッチングハブ |
| JP2002141916A (ja) * | 2000-10-31 | 2002-05-17 | Hitachi Cable Ltd | ネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置 |
| JP2003060659A (ja) * | 2001-08-09 | 2003-02-28 | Fujikura Ltd | Macブリッジ |
| WO2005036831A1 (ja) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | フレーム中継装置 |
-
2005
- 2005-05-17 JP JP2005143565A patent/JP2006324723A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09191316A (ja) * | 1996-01-10 | 1997-07-22 | Toshiba Corp | コンセントレータ |
| JPH1155302A (ja) * | 1997-08-05 | 1999-02-26 | Hitachi Cable Ltd | スイッチングハブ |
| JP2002141916A (ja) * | 2000-10-31 | 2002-05-17 | Hitachi Cable Ltd | ネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置 |
| JP2003060659A (ja) * | 2001-08-09 | 2003-02-28 | Fujikura Ltd | Macブリッジ |
| WO2005036831A1 (ja) * | 2003-10-07 | 2005-04-21 | Fujitsu Limited | フレーム中継装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5018883B2 (ja) * | 2007-07-11 | 2012-09-05 | 富士通株式会社 | 認証システム、端末認証装置および認証処理プログラム |
| WO2009008076A1 (ja) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | 認証システム、端末認証装置および認証処理プログラム |
| US8312513B2 (en) | 2007-07-11 | 2012-11-13 | Fujitsu Limited | Authentication system and terminal authentication apparatus |
| JP2009118116A (ja) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Ponシステムの局側装置及びフレーム処理方法 |
| US9100433B2 (en) | 2010-07-27 | 2015-08-04 | Panasonic Intellectual Property Management Co., Ltd. | Communications control device, communications system, and program |
| JP2012029222A (ja) * | 2010-07-27 | 2012-02-09 | Panasonic Electric Works Co Ltd | 通信制御装置、通信システム及びプログラム |
| CN103026685A (zh) * | 2010-07-27 | 2013-04-03 | 松下电器产业株式会社 | 通信控制装置、通信系统以及程序 |
| EP2600567A4 (en) * | 2010-07-27 | 2015-06-10 | Panasonic Ip Man Co Ltd | COMMUNICATION CONTROL DEVICE, COMMUNICATION SYSTEM, AND PROGRAM |
| WO2012014931A1 (ja) * | 2010-07-27 | 2012-02-02 | パナソニック株式会社 | 通信制御装置、通信システム及びプログラム |
| JP2019041369A (ja) * | 2017-08-25 | 2019-03-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 通信保護装置、制御方法、および、プログラム |
| JP7045247B2 (ja) | 2017-08-25 | 2022-03-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信保護装置、制御方法、および、プログラム |
| US11606334B2 (en) | 2017-08-25 | 2023-03-14 | Panasonic Intellectual Property Corporation Of America | Communication security apparatus, control method, and storage medium storing a program |
| JP2019080310A (ja) * | 2017-09-29 | 2019-05-23 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 強化されたスマートプロセス制御スイッチのポートロックダウン |
| JP2019092149A (ja) * | 2017-09-29 | 2019-06-13 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | プロセス制御スイッチの中毒防止 |
| US11595396B2 (en) | 2017-09-29 | 2023-02-28 | Fisher-Rosemount Systems, Inc. | Enhanced smart process control switch port lockdown |
| JP7414391B2 (ja) | 2017-09-29 | 2024-01-16 | フィッシャー-ローズマウント システムズ,インコーポレイテッド | 強化されたスマートプロセス制御スイッチのポートロックダウン |
| CN108156092A (zh) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
| US8707395B2 (en) | Technique for providing secure network access | |
| US7558266B2 (en) | System and method for restricting network access using forwarding databases | |
| JP2006324723A (ja) | Lanへの不正アクセス防止方式 | |
| US8209529B2 (en) | Authentication system, network line concentrator, authentication method and authentication program | |
| WO2014043032A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| JP2014147120A (ja) | 制御装置、制御方法、及び通信システム | |
| US9319276B2 (en) | Client modeling in a forwarding plane | |
| JP2007053703A (ja) | フィルタリング装置 | |
| US20170339155A1 (en) | Device blocking tool | |
| US11102172B2 (en) | Transfer apparatus | |
| JP6616733B2 (ja) | ネットワークシステムおよびサーバ装置 | |
| CN102014174B (zh) | 网络接入方法及网络设备 | |
| JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| Cisco | Configuring IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring the IP Permit List | |
| Cisco | Configuring IP Permit List |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070613 |
|
| A621 | Written request for application examination |
Effective date: 20080304 Free format text: JAPANESE INTERMEDIATE CODE: A621 |
|
| A977 | Report on retrieval |
Effective date: 20100618 Free format text: JAPANESE INTERMEDIATE CODE: A971007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101109 |