JP2007104509A - エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム - Google Patents
エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム Download PDFInfo
- Publication number
- JP2007104509A JP2007104509A JP2005294216A JP2005294216A JP2007104509A JP 2007104509 A JP2007104509 A JP 2007104509A JP 2005294216 A JP2005294216 A JP 2005294216A JP 2005294216 A JP2005294216 A JP 2005294216A JP 2007104509 A JP2007104509 A JP 2007104509A
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- area
- global
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】
不正アクセス等の目的の有無やパケットの内容とは無関係に送信元の端末が所属する国乃至地域の単位でパケットの通過の許可又は拒否を行い得るようにし、Webサーバ等の運営者が意図しない不必要な通信トラフィックを画一的に制御でき堅牢で確実な利便性の高いエリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステムを提供する。
【解決手段】
グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールを設定し、該フィルタリングルールと受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの受容又は破棄を行うようにした。
【選択図】 図1
不正アクセス等の目的の有無やパケットの内容とは無関係に送信元の端末が所属する国乃至地域の単位でパケットの通過の許可又は拒否を行い得るようにし、Webサーバ等の運営者が意図しない不必要な通信トラフィックを画一的に制御でき堅牢で確実な利便性の高いエリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステムを提供する。
【解決手段】
グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールを設定し、該フィルタリングルールと受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの受容又は破棄を行うようにした。
【選択図】 図1
Description
本発明は、フィルタリングルールに従ってパケットの選択的通過処理(フィルタリング)を行うパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステムに関する。
従来より、世界的なTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワークであるインターネットにおけるネットワークセキュリティを確保するための技術として、ファイアウォール(防火壁)の技術が知られている。ファイアウォールは、インターネット等の外部ネットワーク(WAN:Wide Area Network)と、企業等の内部ネットワーク(LAN:Local Area Network)やWebサーバ等の公開サーバ用のセグメントである非武装地帯(DMZ:DeMilitarized Zone)との間に配置され、予め決められた条件や基準に基づいて、流入する通信トラフィックを検査してデータ通信を許可するか否かを制御することにより、外部ネットワークから内部ネットワークへの不正アクセス等を阻止するための技術である。ファイヤウォールには、ファイヤウォール専用装置として提供される場合の他、異なるネットワーク間を相互接続するルータ等の一部機能として提供される場合、各端末にインストールするソフトウェアプログラムとして提供される場合等がある。
このようなファイアウォールには種々の方式のものがあるが、そのうち代表的な方式の一つにパケットフィルタリング(パケットの選択的通過処理)型のファイアウォールがある。インターネットは、ネットワーク層(OSI基本参照モデルの3層)にIP(Internet Protocol)を使用し、トランスポート層(OSI基本参照モデルの4層)にTCP/UDP(Transport Control Protocol/User Datagram Protocol)を使用したTCP/IPネットワークであり、通信データを各層毎に所定バイト数にまとめた単位のパケットとして処理されており、パケットフィルタリング型のファイアウォールでは、このパケット毎にその通過を許可するか否かの制御を行うものであり、このような制御は予め定められたフィルタリングルールに従って行われ、一般的なフィルタリングルールでは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルの種類等によってフィルタリングの対象にするパケットが特定され、当該パケットに対し通過の許可又は拒否等の判定がされ、当該パケットの通過の受容又は廃棄が行われるようにされている(例えば、特許文献1〜5参照)。その他、パケットフィルタリング型のファイアウォールでは阻止できない上位層への攻撃等や不正アクセス等を検出するための侵入検知システム(IDS:Intrusion Detection System)や不正侵入検知・防御システム(IDP:Intrusion Detection and Prevention)、不正侵入防止システム(IPS:Intrusion Prevention System)等も知られている(例えば、特許文献6等参照)。
しかしながら、不正アクセス等の原因の一つともなるOS(Operatting System)やアプリケーションソフトウェアのセキュリティホール(脆弱性)は日々新たに発見され、新種のコンピュータウィルス、スパイウェアによる情報漏洩、Webサイトの改竄、サービス妨害(DoD)攻撃、大量のスパムメール、クラッキングツールの蔓延、自サイトが他サイトへの不正アクセスの踏み台とされる等の被害は後を絶たず、ファイヤウォールやIDS等による対応は、後手からの対処療法的な様相を呈しているのが現状である。インターネットは全世界的ネットワークである上に匿名性も高いため、不正アクセス等の被害があってもその追跡調査は困難である場合が多い。近年では通信インフラが整備され、ブロードバンドや常時接続の環境が普及するに伴い、このような問題は増大傾向にある。特に中小企業や個人等がWebサーバやFTPサーバ、メールサーバ等をインターネット上に公開することも比較的容易となったが、中小企業や個人等ではネットワークセキュリティに対する認識が希薄であったり、システム管理者のスキルが未熟であったりすることが原因で不正アクセス等に対し充分な対応策が講じられていないケースも多い。
他方、不正アクセス等の送信元は我国国内よりも国外の諸外国、特に特定の数カ国である場合が大半であり、また、我国国内の中小企業や個人等がWebサーバ等をインターネット上に公開する場合は我国国内からのみアクセス可能であれば必要充分であることも多いという現状もある。
特開平9−205457号公報
特開平9−270813号公報
特開10−133877号公報
特開2000−78193号公報
特開2003−273936号公報
特開2004−30286号公報
本発明は、上記問題点に鑑みてなされたものであり、不正アクセス等の目的の有無やパケットの内容とは無関係に送信元の端末が所属する国乃至地域の単位でパケットの通過の許可又は拒否を行い得るようにし、Webサーバ等の運営者が意図しない不必要な通信トラフィックを画一的に制御でき堅牢で確実な利便性の高いエリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステムを提供することを目的とする。
上記課題を解決するために、本発明のエリアによるパケットフィルタリング方法は、グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールを設定し、該フィルタリングルールと受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの通過の受容又は廃棄を行うことを特徴とする。なお、本明細書においては、上記本発明のエリアによるパケットフィルタリング方法を単に「エリアフィルタリング」という場合がある。
上記本発明方法におけるグローバルIPアドレスの割り当て地域情報は、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)によって割り当てられたグローバルIPアドレスの地域情報であることが好適である。
また、本発明のファイヤウォール装置は、グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールを設定し、該フィルタリングルールと受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの通過の受容又は廃棄を行うようにしたエリアによるパケットフィルター手段を備えることを特徴とする。なお、本明細書においては、上記本発明のファイヤウォール装置におけるエリアによるパケットフィルター手段のことを単に「エリアフィルター手段」と、また、この「エリアフィルター手段」を備えるファイヤウォール装置、即ち上記本発明のファイヤウォール装置のことを単に「エリアフィルター装置」という場合がある。
前記エリアによるパケットフィルター手段は、グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールが設定されたフィルタリングルール設定部と、該フィルタリングルール設定部から該フィルタリングルールを読み出して、該フィルタリングルールと前記受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの通過を受容又は廃棄するように構成された地域情報に基づくフィルタリング処理部とを備えることが好ましい。
上記本発明装置におけるグローバルIPアドレスの割り当て地域情報は、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)によって割り当てられたグローバルIPアドレスの地域情報であることが好適である。
更に、本発明のファイヤウォールシステムは、前記ファイヤウォール装置を含むファイヤウォールシステムであって、割り当て地域情報を含むグローバルIPアドレスのアドレス範囲リストを地域アドレス管理機関(RIR)のサイトから取得し、該アドレス範囲リストを前記ファイヤウォール装置におけるエリアによるパケットフィルター手段に対応した所定のフォーマットに整形して日付毎に保持すると共に、定期的又は不定期に任意的で、該整形後のアドレス範囲リストを前記ファイヤウォール装置にインターネットを介して配信し、前記フィルタリングルールの更新を行わせしめる配信サーバを備えることを特徴とする。なお、本明細書においては、上記本発明のエリアによるパケットフィルター手段を備えるファイヤウォール装置(即ちエリアフィルター装置)を含むファイヤウォールシステムを単に「エリアフィルターシステム」という場合がある。
本発明によれば、不正アクセス等の目的の有無やパケットの内容とは無関係に、送信元のグローバルIPアドレスからその端末が所属する国乃至地域の単位でパケットの通過の許可又は拒否が行われるので、Webサーバ等の運営者が意図しない不必要な通信トラフィックを画一的に制御でき堅牢で確実な利便性の高いエリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステムを提供することができるという大きな効果を奏する。
以下に本発明の実施の形態を添付図面に基づいて説明するが、図示例は例示的に示されたもので、本発明の技術思想から逸脱しない限り種々の変形が可能なことはいうまでもない。
図1は、本発明のファイヤウォールシステム(エリアフィルターシステム)の全体的な機器構成の一例を概念的に示す説明図である。図2は、本発明のファイヤウォール装置)(エリアフィルター装置)のハードウェア構成の一例を示すブロック図である。図3は、本発明のエリアによるパケットフィルタリング方法(ホワイトリスト型)の一例を示すフローチャートである。図4は、本発明のエリアによるパケットフィルタリング方法(ブラックリスト型)の一例を示すフローチャートである。図5は、本発明システムにおける配信サーバの最新アドレス情報の取得動作の一例を示すフローチャートである。図6は、本発明システムにおけるファイヤウォール装置のフィルタリングルールの更新動作の一例を示すフローチャートである。図中、符号2は本発明のファイヤウォールシステム、符号10は本発明のファイヤウォール装置、符号Wはインターネット、符号LはLAN、符号Pはパケットである。
なお、以下の説明において、アドレスやIPアドレスという用語は特に明示のない限り、グローバルIPアドレスを意味しており、プライベートIPアドレスやドメイン名、MACアドレス、メールアドレス、地理的住所等の意味ではない。また、パケットとしては原則として受信したIPパケットである場合を説明するが、送信元のグローバルIPアドレスをヘッダー情報に有する受信パケットであればよい。
まず、本発明でいう「グローバルIPアドレスの割り当て地域情報」という概念について説明する。グローバルIPアドレスの割り当て地域情報とは、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)によって割り当てられたグローバルIPアドレスの地域情報のことである。
即ち、現在、世界的なTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワークであるインターネットにおいて、グローバルIPアドレスは、世界的にアドレス管理等を行うアドレス管理機関であるICANN/IANA(Internet Corporation for Assigned Names and Numbers:http://www.icann.org/Internet Assigned Numbers Authority:http://www.iana.org)がアドレス範囲(アドレスレンジやアドレスブロックともいう)を地域アドレス管理機関(RIR:Regional Internet Registry)に割り振り、地域アドレス管理機関(RIR)では割り当てられたアドレス範囲を更に分割して、直接にISP(Internet Services Provider)等のLIR(Local Internet Registry:IPアドレス管理指定事業者)に割り当てたり、国別アドレス管理機関(NIR:National Internet Registry)通じてISP(Internet Services Provider)等に割り当てたりしたものをエンドユーザが利用する仕組みとなっている。
地域アドレス管理機関(RIR)には、現在の処、北米地域のARIN(http://www.arin.net)、欧州地域のRIPE NCC(http://www.ripe.net)、アジア太平洋地域のAPNIC(http://www.apnic.net)、南米カリブ海地域のLACNIC(http://lacnic.net)、アフリカ地域のAfriNIC(http://www.afrinic.net)がある。また、国別アドレス管理機関(NIR)には、例えばAPNICの管理下にあるアジア太平洋地域であれば、日本のJPNIC、中国のCNNIC、韓国のKRNIC、台湾のTWNIC、ベトナムのVNNIC、インドネシアのAPJIIがある。
地域アドレス管理機関(RIR)では、ある団体(LIR又はNIR)に割り当てたアドレス範囲について、その管轄RIR名、所属するエリア(国名又は地域名)、開始IPアドレスとその個数、割当開始日、割当方法(再分配の可否)等を管理しており、その割り当て情報をアドレス情報ファイルとして各RIRのWebサイト又はFTPサイト上で公開している。当該情報はRIRの上位機関であるICANN/IANAからも入手可能である。このアドレス情報ファイルのフォーマットは統一されており、例えば無作為に一例を挙げると、
apnic |JP|ipv4|210.196.xxx.xxx| 65536|19990609|allocated
arin |US|ipv4|209.198.xxx.xxx|131072|19980209|allocated
ripencc|DE|ipv4|217.199.xxx.xxx| 32768|20010507|allocated
といった如くのものであり、各欄の意味する処は、
管轄RIR|エリア|ip種別|開始IPアドレス|アドレス数|割当開始日|割当方法
となっている。
apnic |JP|ipv4|210.196.xxx.xxx| 65536|19990609|allocated
arin |US|ipv4|209.198.xxx.xxx|131072|19980209|allocated
ripencc|DE|ipv4|217.199.xxx.xxx| 32768|20010507|allocated
といった如くのものであり、各欄の意味する処は、
管轄RIR|エリア|ip種別|開始IPアドレス|アドレス数|割当開始日|割当方法
となっている。
管轄RIRとは、前述したARIN、RIPE NCC、APNIC、LACNIC、AfriNICの中のいずれの機関が管轄しているかを表している。エリアとは、ISO3166−1規定によるもので、国乃至地域的に区別可能な領域につき、夫々アルファベット2文字のユニークな略語(例えば日本国はJP)で表記したものである。ip種別とは、IPのバージョン、即ちIPv4かIPv6かを表している。開始IPアドレスとは、割り当てられたIPアドレス範囲の最初のIPアドレスを表している。アドレス数とは、割り当てられた指定可能なホストのIPアドレスの数を表している。このアドレス数はCIDR(Classless InterDomain Routing)等のネットマスク表記と相関関係にあり、例えばアドレス数「65536」はCIDR表記なら「/16」、ネットマスク(10進数)表記なら「255.255.0.0」(クラスBネットワーク)であり、アドレス数「131072」はCIDR表記なら「/15」、ネットマスク(10進数)表記なら「255.254.0.0」であり、アドレス数「32768」はCIDR表記なら「/17」、ネットマスク(10進数)表記なら「255.255.128.0」である。割当開始日は、そのアドレスブロックが割り当てられた開始日である。割当方法には、allocatedとassignedがあり、再配分の可否に違いがある。
従って、このようなグローバルIPアドレスの割り当て情報から、ある特定のグローバルIPアドレスがどこの国乃至地域(エリア)に割り当てられているアドレスであるかを判別できるので、あるパケットのヘッダー情報に含まれる送信元アドレスから当該パケットがどこの国乃至地域(エリア)を発信源とするものであるかを判定できるのである。
図1は、本発明のファイヤウォールシステム(エリアフィルターシステム)2の全体的な機器構成の一例を概念的に示す説明図である。本発明システム2は、本発明のファイヤウォール装置(エリヤフィルター装置)10を含むシステムであり、本発明装置10の上流側にルータ20、下流側にスイッチ22が配置され、これらを介してWebサーバ等の公開サーバ24がインターネットWに接続されている。なお、図示例では内部ネットワークLに公開サーバ24が配置されている場合を示したが、公開サーバ用のセグメントとしての非武装地帯(DMZ)に配置されるようにしてもよい。
本発明システム2は配信サーバ30を含み、インターネットWを介して、本発明装置10と通信可能であると共にアドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)のサーバ40とも通信可能とされている。配信サーバ30は、割り当て地域情報を含むグローバルIPアドレスのアドレス範囲リストをアドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)のサイトから取得し、該アドレス範囲リストを前記ファイヤウォール装置におけるエリアによるパケットフィルター手段に対応した所定のフォーマットに整形して日付毎に保持すると共に、定期的又は不定期に任意で、該整形後のアドレス範囲リストを前記ファイヤウォール装置にインターネットを介して配信し、本発明装置10におけるフィルタリングルールの更新を行うためのものである。また、本発明装置10からのアラートメールやログを受け取るための管理端末26を内部ネットワークL又はインターネットWを介して適宜設けるようにしてもよい。
ルータ20は、公知のいわゆるセキュリティルータであり、インターネットWと内部ネットワークLとの境界に設けられている。必要に応じて、NAT(Network Address Translator)やIPマスカレード等を利用する。また、公開サーバ24の種類(WebサーバかFTPサーバかメールサーバか等々)に応じて各ポートの開閉を行い、一般的なパケットフィルタリングを行うように設定される。スイッチ22は、公知のいわゆるレイヤ2スイッチやレイヤ3スイッチ或いはレイヤ4スイッチであり、必要に応じて設ければよく、特に限定されない。
図2は、本発明のファイヤウォール装置(エリヤフィルター装置)10のハードウェア構成の一例を示すブロック図である。本発明装置10は、その筐体内に、CPU(Central Processing Unit)11とRAM(Random Access Memory)12とROM(Read Only Memory)13と入力ネットワークインターフェイス14と出力ネットワークインターフェイス16と補助記憶装置18とを備え、夫々がバス17に接続されている。なお、必要に応じて制御用のRS232CポートやUSBポート等を設けてもよい。
CPU11は、演算・制御を行う中央処理装置であり、その種類等に特段の制限はないが、本発明装置10に求められる性能等に応じて適宜選択される。RAM12は、メインメモリ(主記憶装置)であり、メモリ容量等は本発明装置10に求められる性能等に応じて適宜選択される。ROM13はのファームウェア等を記憶しておくための読み出し専用の記憶装置である。
入力ネットワークインターフェイス14は、LANケーブル等の伝送路に接続されてパケットPが入力されるパケット入力部である。図示例では、伝送路を介してルータ20に接続されており、ルータ20を通過したパケットPが入力されるようになっている。また、出力ネットワークインターフェイス16は、LANケーブル等の伝送路に接続されてパケットPが出力されるパケット出力部である。図示例では、伝送路を介してスイッチ22に接続されており、本発明装置10によってエリアフィルタリングされたパケットPがスイッチ22に向けて出力されるようになっている。なお、入力ネットワークインターフェイス14及び出力ネットワークインターフェイス16は有線でもよいし無線でもよい。
補助記憶装置18としてはハードディスクやフラッシュメモリ等を利用できる。補助記憶装置18には、OS100と、その管理下で動作するソフトウェアプログラムとしてのエリアによるパケットフィルター手段(エリヤフィルター手段)110が設けられ、必要に応じて公知のIDSやIDP等のその他の不正判別手段120が設けられる。OS100としては特に限定されないが、各種Linuxや各種BSD等のUNIX(登録商標)系OSを好適に用いることができる。
エリアによるパケットフィルター手段(エリヤフィルター手段)110は、フィルタリング処理部112とフィルタリングルール設定部114とからなる。フィルタリング処理部112としては、パケットフィルタリング機能を備えるソフトウェアプログラムであれば特に限定はないが、例えば、Linux系OSであればipchains、iptables等、BSD系OSであればipfw等がある。フィルタリングルール設定部114は、上記フィルタリング処理部112に対するフィルタリングルールを設定したルールファイルである。即ち、上記フィルタリング処理部112に応じた書式(フォーマット)で、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)のサイトから取得した割り当て地域情報を含むグローバルIPアドレスのアドレス範囲リストに基づいて、ホワイトリスト(パケットの通過許可アドレス一覧表)又はブラックリスト(パケットの拒否アドレス一覧表)として作成したものである。
例えば、日本国内の端末からのみ公開サーバ24にアクセス可能としたい場合であれば、送信元のグローバルIPアドレスの割り当て地域情報(エリア)が日本国(JP)であるパケットのみを通過許可し(ホワイトリスト)、その他のエリアに属するグローバルIPアドレスを送信元とするパケットは全て通過拒否(パケット廃棄)するようにフィルタリングルールを設定すればよい。これによれば、許可地域(例えば日本国)にある端末60のみが公開サーバ24にアクセス可能となり、その他の地域は全て禁止地域となるので、禁止地域にある端末50からは公開サーバ24にアクセス不能となる。
また例えば、日本国外のA国、B国、C国等があり、そのうちC国の端末からのみ公開サーバ24にアクセス不能としたい場合であれば、送信元のグローバルIPアドレスの割り当て地域情報(エリア)がC国であるパケットの通過を全て拒否(パケット廃棄)し(ブラックリスト)、その他のエリアに属するグローバルIPアドレスを送信元とするパケットは通過許可するようにフィルタリングルールを設定すればよい。これによれば、禁止地域(例えばC国)にある端末50のみが公開サーバ24にアクセス不能となり、その他の地域は全て許可地域となるので、許可地域にある端末60からは公開サーバ24にアクセス可能である。
なお、フィルタリングルールはポート番号毎に設定可能であり、例えば複数の公開サーバ24として、Webサーバ(80番ボート)とFTPサーバ(21番ポート)とSMTPサーバ(25番ポート)とDNSサーバ(53番ポート)とがあるような場合はポート番号毎に夫々別々に本発明装置10におけるエリヤフィルター手段110を適用することもできる。
また、フィルタリングルールの適用にあたっては、ユーザ(管理者)は国又は地域の名称(エリア名)を選択すればそのエリアに割り当てられている全てのグローバルIPアドレスを自動的に適用できるように構成される(この点については後述する)。
更に、前記のように日本国内の端末からのみアクセス可能としたり、特定の国乃至地域の端末からのアクセスを全て拒否した場合でも、別途VPN(Viertual Private Network)等の技術を用いれば、禁止地域内であっても特定の海外支社等の端末からのアクセスだけは本発明装置10におけるエリヤフィルター手段110の適用外とすることも可能であるので、エリアによる画一的なパケットフィルタリングを行うことによる不都合は少ない。
図3は、本発明のエリアによるパケットフィルタリング方法(ホワイトリスト型)の一例を示すフローチャートである。上述した本発明のファイヤウォール装置(エリヤフィルター装置)10の入力ネットワークインターフェイス14にパケットPが入力されると、エリアによるパケットフィルター手段(エリヤフィルター手段)110がこれを取得する(ステップ200)。パケットPのヘッダ情報を抽出して、フィルタリングルールで指定された(フィルタリングの対象とされた)アプリケーション(宛先ポート番号)か否かを判定する(ステップ201)。該当しない場合は、そのままパケットPを通過させ(ステップ202)、公開サーバ24へ送信するか、又は、必要であればIDSやIDP等のその他の不正判別手段120に転送する(ステップ205)。他方、該当する場合は、パケットPがフィルタリングルールで許可された送信元アドレス(即ちエリア)であるか否かを判定する(ステップ203)。それが許可されたアドレス(エリア)ならばパケットPを通過させ(ステップ204)、公開サーバ24へ送信するか、又は、必要であればIDSやIDP等のその他の不正判別手段120に転送する(ステップ205)。
パケットPが許可されていない送信元アドレス(即ちエリア)からのものである場合は、このパケットPを廃棄(ドロップ)する(ステップ206)。廃棄した場合は、ログファイルへ不正ログとして情報を補助記憶装置18に記録する(ステップ207)。このログ記録は、Linux系OSやBSD系OSでは標準的に実装されているプログラムであるSYSLOGによればよい。記録されたログは、ログ転送の設定状態(転送先のログサーバが設定されているかどうか等)を確認し(ステップ208)、設定されているならば、そのログサーバにログを転送する(ステップ209)。このログサーバは図示例では管理端末26でSYSLOGデーモンを動作させている。他方、設定されていない場合はステップ209をスキップする。
アラートメールの設定状態(アラートメールを送信するホストのメールアドレスが設定されているかどうか等)を確認し(ステップ210)、設定されているならば、記録された不正ログから送信元グローバルIPアドレスを抽出して、WHOISを実行し、当該アドレスの使用元を検索し記録する(ステップ212)。指定されているメールアドレスへ不正ログの情報及び当該アドレスの使用元情報を記録したアラートメールを作成して送信する(ステップ213)。アラートメールを送信するホストは図示例では管理端末26である。他方、設定されていない場合は何もしないで処理を終了する(S211)。
以上の処理をパケット毎に繰り返すことにより、ホワイトリスト型のエリアフィルタリングが可能である。次に、ブラックリスト型のエリアフィルタリングについて説明する。図4は、本発明のエリアによるパケットフィルタリング方法(ブラックリスト型)の一例を示すフローチャートである。ホワイトリスト型(図3)とブラックリスト型(図4)の違いは、ホワイトリスト型ではフィルタリングルールで許可された送信元アドレス(エリア)であるか否かを判定しているのに対し(図3、ステップ203)、ブラックリスト型では、フィルタリングルールで禁止された送信元アドレス(エリア)であるか否かを判定している点にある(図4、ステップ303)。従って、以下の説明では重複した説明を省略している。
即ち、前述した本発明装置10の入力ネットワークインターフェイス14にパケットPが入力されると、エリヤフィルター手段110がこれを取得し(ステップ300)、パケットPのヘッダ情報を抽出して、フィルタリングルールで指定されたアプリケーション(宛先ポート番号)か否かを判定する(ステップ301)。該当しない場合は、そのままパケットPを通過させ(ステップ302)、公開サーバ24へ送信するか、又は、必要であればIDSやIDP等のその他の不正判別手段120に転送する(ステップ305)。他方、該当する場合は、パケットPがフィルタリングルールで禁止された送信元アドレス(即ちエリア)であるか否かを判定する(ステップ303)。それが禁止されていないアドレス(エリア)ならばパケットPを通過させ(ステップ304)、公開サーバ24へ送信するか、又は、必要であればIDSやIDP等のその他の不正判別手段120に転送する(ステップ205)。
パケットPが禁止されている送信元アドレス(即ちエリア)からのものである場合は、このパケットPを廃棄する(ステップ306)。廃棄した場合は、ログファイルへ不正ログとして情報を補助記憶装置18に記録し(ステップ307)、ログ転送の設定状態を確認し(ステップ308)、設定されているならば、そのログサーバにログを転送する(ステップ309)。他方、設定されていない場合はステップ209をスキップする。
アラートメールの設定状態を確認し(ステップ310)、設定されているならば、記録された不正ログから送信元グローバルIPアドレスを抽出して、WHOISを実行し、当該アドレスの使用元を検索及び記録し(ステップ312)、指定されているメールアドレスへ不正ログの情報及び当該アドレスの使用元情報を記録したアラートメールを作成して送信する(ステップ313)。他方、設定されていない場合は何もしないで処理を終了する(S311)。以上の処理をパケット毎に繰り返すことにより、ブラックリスト型のエリアフィルタリングが可能である。
次に、本発明システム2における配信サーバ30について説明する。配信サーバ30のハードウェア構成は一般的なサーバコンピュータと同様であり、インターネットWに適宜接続されている。図5は、本発明システム2における配信サーバ30の最新アドレス情報の取得動作の一例を示すフローチャートであり、配信サーバ30上で動作するソフトウェアプログラムであるアドレス取得手段(不図示)によって行われる。
まず、配信サーバ30では、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)のサイトから最新の割り当て地域情報を含むグローバルIPアドレスのアドレス範囲リストが記録されたアドレス情報ファイルをダウンロードする(ステップ400)。
アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)から得られるアドレス情報ファイルは、前述した如く、例えば
apnic |JP|ipv4|210.196.xxx.xxx| 65536|19990609|allocated
というような形式のリストの羅列であり、エリア別にも分けられてもいないので、これをIPアドレス/ネットマスクの形式に変換するのである。上記例で言えば、開始アドレス210.196.xxx.xxxからアドレス数が65536個であるので、CIDR表記で210.196.xxx.xxx/16と変換した上で、エリアはJPなので日本国に対応したエリアファイルに保存する。
apnic |JP|ipv4|210.196.xxx.xxx| 65536|19990609|allocated
というような形式のリストの羅列であり、エリア別にも分けられてもいないので、これをIPアドレス/ネットマスクの形式に変換するのである。上記例で言えば、開始アドレス210.196.xxx.xxxからアドレス数が65536個であるので、CIDR表記で210.196.xxx.xxx/16と変換した上で、エリアはJPなので日本国に対応したエリアファイルに保存する。
なお、このように各国別に全てのグローバルIPアドレスが列挙されたエリアファイルを用意することで、本発明装置10のユーザ(管理者)は国又は地域の名称(エリア名)を選択すれば、このエリアファイルに基づいてそのエリアに割り当てられている全てのグローバルIPアドレスを自動的に適用できるので、ユーザ(管理者)は具体的なグローバルIPアドレスを意識する必要は無く、極めて利便性の高いものとなる。
保存された各エリアファイルのアドレス記述フォーマットのチェックを行い(ステップ402)、正常なフォーマットか否かを判定する(ステップ403)。正常でないならば、処理を中断して(ステップ404)、最初から再度繰り返すようにする。正常ならば、当該処理の日付からバージョン情報ファイルを自動生成し(ステップ405)、各エリアファイルとバージョン情報ファイルをアーカイブして圧縮する(ステップ406)。このアーカイブと圧縮は常法により行えばよく特に限定はないが、例えばLinux系OSやBSD系OSではアーカイブはTAR等、圧縮はGZIP等のプログラムによればよい。アーカイブされ圧縮された各エリアファイル及びバージョン情報ファイルを含む圧縮アーカイブファイルは更に暗号化して(ステップ407)、この暗号化ファイルを所定のファイル名に変更して(ステップ408)、本発明装置10が配信サーバ30にアクセスして当該暗号化ファイルをダウンロード可能なように所定のパス(ディレクトリ)に移動せしめる(ステップ409)。なお、この暗号化は秘密鍵暗号方式でも公開鍵暗号方式でもよいし両者を組み合わせてもよい。
図6は、本発明システム2におけるファイヤウォール装置(エリアフィルター装置)10のフィルタリングルールの更新動作の一例を示すフローチャートであり、本発明装置10上で動作するソフトウェアプログラムであるルール更新手段(不図示)によって行われる。まず、本発明装置10では、定期的又は不定期に任意で、指定された配信サーバ30にインターネットWを介して接続し(ステップ500)、既にダウンロード済みの暗号化ファイルと配信サーバ30からダウンロードしようとする暗号化ファイルとを比較して新しいものか否かを判定する(ステップ501)。新しいものでないか同じであるならば、処理を中断し(ステップ502)、後日又は時間をおいて最初から再度繰り返すようにする。
新しいものであるならば、当該暗号化ファイルのダウンロードを実行する(ステップ503)。そして、暗号化ファイルの復号化を実行し(ステップ504)、復号化に成功したか否かを判定する(ステップ505)。成功していない場合は処理を中断し(ステップ506)、最初から再度繰り返すようにする。成功した場合は、暗号化されていない圧縮アーカイブファイルが生成されているはずなので、当該圧縮アーカイブファイルの展開及び解凍を実行し(ステップ507)、展開及び解凍に成功したか否かを判定する(ステップ508)。成功していない場合は処理を中断し(ステップ509)、最初から再度繰り返すようにする。成功した場合は、アーカイブも圧縮もされていないエリアファイルとバージョン情報ファイルが生成されているはずなので、各エリアファイルのアドレス記述フォーマットのチェックを行い(ステップ510)、正常なファーマットか否かを判定する(ステップ511)。正常でないならば、処理を中断し(ステップ512)、最初から再度繰り返すようにする。
正常ならば、バージョン情報ファイルと既存のバージョンとの比較を行い(ステップ513)、新しいバージョンでないなら、後日又は時間をおいて最初から再度繰り返すようにする。新しいバージョンならば、既存のエリアファイルを上書き更新する(ステップ516)。そして、現在使用しているエリア毎のフィルタリングルールを識別(許可か拒否か、ボート番号によって異なる設定をしているか等)し、新しいバージョンのエリアファイルに基づいて、新たなフィルタリングルールを再作成する(ステップ517)。最後に、エリアによるパケットフィルター手段(エリヤフィルター手段)110の再起動を行い、フィルタリングルールの更新が完了する(ステップ518)。
このようにして、本発明によれば、不正アクセス等の目的の有無やパケットの内容とは無関係に、送信元のグローバルIPアドレスからその端末が所属する国乃至地域の単位でパケットの通過の許可又は拒否が行われるので、Webサーバ等の運営者が意図しない不必要な通信トラフィックを画一的に制御でき堅牢で確実な利便性の高いエリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステムを提供することができるという大きな効果を奏する。
2:本発明のファイヤウォールシステム(エリアフィルターシステム)、10:本発明のファイヤウォール装置(エリヤフィルター装置)、14:入力ネットワークインターフェイス、16:出力ネットワークインターフェイス、17:バス、18:補助記憶装置、20:ルータ、22:スイッチ、24:公開サーバ、26:管理端末、30:配信サーバ、40:アドレス管理機関(ICANN/IANA,RIR)のサーバ、50:禁止地域の端末、60:許可地域の端末、110:エリヤフィルター手段、112:フィルタリング処理部、114:フィルタリングルール設定部、120:その他の不正判別手段、L:内部ネットワーク、P:パケット、W:インターネット。
Claims (6)
- グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールを設定し、該フィルタリングルールと受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの受容又は廃棄を行うことを特徴とするエリアによるパケットフィルタリング方法。
- 前記グローバルIPアドレスの割り当て地域情報は、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)によって割り当てられたグローバルIPアドレスの地域情報であることを特徴とする請求項1記載のエリアによるパケットフィルタリング方法。
- グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールを設定し、該フィルタリングルールと受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの受容又は廃棄を行うようにしたエリアによるパケットフィルター手段を備えることを特徴とするファイヤウォール装置。
- 前記エリアによるパケットフィルター手段は、グローバルIPアドレスの割り当て地域情報に基づいてフィルタリングルールが設定されたフィルタリングルール設定部と、該フィルタリングルール設定部から該フィルタリングルールを読み出して、該フィルタリングルールと前記受信パケットにおける送信元のグローバルIPアドレスとを照合して、該受信パケットの通過の許可又は拒否を判定し、該受信パケットの受容又は廃棄を行うように構成された地域情報に基づくフィルタリング処理部とを備えることを特徴とする請求項3記載のァイヤウォール装置。
- 前記グローバルIPアドレスの割り当て地域情報は、アドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)によって割り当てられたグローバルIPアドレスの地域情報であることを特徴とする請求項3又は4記載のファイヤウォール装置。
- 請求項3〜5のいずれか1項記載のファイヤウォール装置を含むファイヤウォールシステムであって、割り当て地域情報を含むグローバルIPアドレスのアドレス範囲リストをアドレス管理機関(ICANN/IANA)又は地域アドレス管理機関(RIR)のサイトから取得し、該アドレス範囲リストを前記ファイヤウォール装置におけるエリアによるパケットフィルター手段に対応した所定のフォーマットに整形して日付毎に保持すると共に、定期的又は不定期に任意で、該整形後のアドレス範囲リストを前記ファイヤウォール装置にインターネットを介して配信し、前記フィルタリングルールの更新を行わせしめる配信サーバを備えることを特徴とするファイヤウォールシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005294216A JP2007104509A (ja) | 2005-10-06 | 2005-10-06 | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005294216A JP2007104509A (ja) | 2005-10-06 | 2005-10-06 | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007104509A true JP2007104509A (ja) | 2007-04-19 |
Family
ID=38030973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005294216A Pending JP2007104509A (ja) | 2005-10-06 | 2005-10-06 | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007104509A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016136735A (ja) * | 2011-06-27 | 2016-07-28 | マカフィー, インコーポレイテッド | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 |
JP2016532381A (ja) * | 2013-08-14 | 2016-10-13 | ダニエル チエン | 疑わしいネットワーク通信の評価 |
JP2017215815A (ja) * | 2016-05-31 | 2017-12-07 | 大日本印刷株式会社 | 不正申込防止システム、申込登録サーバー、不正申込防止方法及びプログラム |
CN114826680A (zh) * | 2022-03-30 | 2022-07-29 | 北京经纬恒润科技股份有限公司 | 车载数据处理方法及装置 |
-
2005
- 2005-10-06 JP JP2005294216A patent/JP2007104509A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016136735A (ja) * | 2011-06-27 | 2016-07-28 | マカフィー, インコーポレイテッド | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 |
JP2016532381A (ja) * | 2013-08-14 | 2016-10-13 | ダニエル チエン | 疑わしいネットワーク通信の評価 |
JP2017215815A (ja) * | 2016-05-31 | 2017-12-07 | 大日本印刷株式会社 | 不正申込防止システム、申込登録サーバー、不正申込防止方法及びプログラム |
CN114826680A (zh) * | 2022-03-30 | 2022-07-29 | 北京经纬恒润科技股份有限公司 | 车载数据处理方法及装置 |
CN114826680B (zh) * | 2022-03-30 | 2023-07-07 | 北京经纬恒润科技股份有限公司 | 车载数据处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Davies et al. | IPv6 transition/co-existence security considerations | |
US11271902B2 (en) | Methods and systems for efficient encrypted SNI filtering for cybersecurity applications | |
Durdağı et al. | IPV4/IPV6 security and threat comparisons | |
US8245298B2 (en) | Port scanning method and device, port scanning detection method and device, port scanning system, computer program and computer program product | |
US20150058916A1 (en) | Detecting encrypted tunneling traffic | |
EP2667566A2 (en) | Network service zone locking | |
JP2004362590A (ja) | ネットワークファイアウォールを実装するための多層ベースの方法 | |
Gont | Implementation advice for ipv6 router advertisement guard (ra-guard) | |
Žagar et al. | Security aspects in IPv6 networks–implementation and testing | |
Gilad et al. | Fragmentation considered vulnerable: blindly intercepting and discarding fragments | |
GB2583112A (en) | Efficient protection for an IKEv2 device | |
Feng et al. | {Off-Path} Network Traffic Manipulation via Revitalized {ICMP} Redirect Attacks | |
Gont et al. | Security implications of IPv6 on IPv4 networks | |
JP2007104509A (ja) | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム | |
Convery et al. | Ipv6 and ipv4 threat comparison and best-practice evaluation (v1. 0) | |
Khurana | A security approach to prevent ARP poisoning and defensive tools | |
US8590031B2 (en) | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server | |
Bilski | From IPv4 to IPv6–data security in the transition phase | |
Achi et al. | Network security approach for digital forensics analysis | |
Najjar et al. | IPv6 change threats behavior | |
Shah et al. | Security Issues in Next Generation IP and Migration Networks | |
Chasser | Security concerns in IPv6 and transition networks | |
Oloyede et al. | Firewall Approach to Computer Network Security: Functional Viewpoint | |
Gont et al. | DHCPv6-Shield: Protecting against Rogue DHCPv6 Servers | |
Radwan | Using IPSec in IPv6 Security |