JP2007300307A - セキュリティ通信装置、通信ネットワークシステムおよびプログラム - Google Patents

セキュリティ通信装置、通信ネットワークシステムおよびプログラム Download PDF

Info

Publication number
JP2007300307A
JP2007300307A JP2006125401A JP2006125401A JP2007300307A JP 2007300307 A JP2007300307 A JP 2007300307A JP 2006125401 A JP2006125401 A JP 2006125401A JP 2006125401 A JP2006125401 A JP 2006125401A JP 2007300307 A JP2007300307 A JP 2007300307A
Authority
JP
Japan
Prior art keywords
packet
communication device
security communication
relay
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006125401A
Other languages
English (en)
Inventor
Teruko Fujii
照子 藤井
Yasuhisa Tokiniwa
康久 時庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006125401A priority Critical patent/JP2007300307A/ja
Publication of JP2007300307A publication Critical patent/JP2007300307A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ワーム等がローカルネットワークシステム全体に広がる危険性を軽減することができるとともに、広域ネットワークへのワーム等の拡散の危険性を軽減することができるセキュリティ通信装置を得る。
【解決手段】外側ポート13と内側ポート14との間のパケットの中継を実施する中継手段15と、内部セグメントから外部セグメントに中継するパケットを中継手段15から受け取り、当該パケットが攻撃パケットであるか否かを検出するパケット精査手段16と、内部セグメントから外部セグメントに中継するパケットが攻撃パケットであることをパケット精査手段16により検出した場合、警報の制御パケットを他のセキュリティ通信装置に対して送信する警報通信手段と、他のセキュリティ通信装置から警報の制御パケットを受信した場合、中継手段15におけるパケットの中継を停止する中継停止手段と、を備える。
【選択図】 図3

Description

本発明は、セキュリティ通信装置、通信ネットワークシステムおよびプログラムに関するものである。
従来のセキュリティ通信装置は、広域ネットワークからの攻撃からローカルネットワークを守ることを目的としており、例えばファイアウォール等である。このようなセキュリティ通信装置は、ローカルネットワークをDMZ(Demilitarized Zone)と呼ばれるローカルネットワークの外部に公開する装置を集めたセグメントとそれ以外とに分け、それぞれを分離することで、DMZにワーム等が侵入しても、それ以外のセグメントにワーム等が拡散するのを防止している(例えば、非特許文献1)。
郷間 佳市郎著「日経NETWORK 2004.5」日経BP社,2004年4月22日、P105〜109
ところで、前述したような従来のセキュリティ通信装置は、広域ネットワークの攻撃からローカルネットワークを守るものであるため、広域ネットワークとローカルネットワークの接続点において、DMZとその他のセグメントとに分離する必要がある。そのため、ローカルネットワークの物理的構成に制約が発生するという問題がある。
更に、これまでワーム等のローカルエリアネットワークへの侵入は、接続された広域ネットワークからの危険性が重要視されてきたが、近年のモバイル端末の普及に伴い、外部に持ち出されて感染したモバイル端末からの侵入が増加している。
しかしながら、モバイル端末は、一般にローカルネットワークの末端で使用されるものであるので、モバイル端末を接続するセグメントをDMZとして予め広域ネットワークとの接続点で分離することは困難であるという問題点がある。
本発明は、上記に鑑みてなされたものであって、ワーム等がローカルネットワークシステム全体に広がる危険性を軽減することができるとともに、広域ネットワークへのワーム等の拡散の危険性を軽減することができるセキュリティ通信装置、通信ネットワークシステムおよびプログラムを得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明のセキュリティ通信装置は、外部セグメントに対してパケットを送受信する通信ポートである外側ポートと、内部セグメントに対してパケットを送受信する通信ポートである内側ポートと、前記外側ポートと前記内側ポートとの間の前記パケットの中継を実施する中継手段と、前記内部セグメントから前記外部セグメントに中継する前記パケットを前記中継手段から受け取り、当該パケットが攻撃パケットであるか否かを検出するパケット精査手段と、前記内部セグメントから前記外部セグメントに中継する前記パケットが前記攻撃パケットであることを前記パケット精査手段により検出した場合、警報の制御パケットを他のセキュリティ通信装置に対して送信する警報通信手段と、前記他のセキュリティ通信装置から前記警報の制御パケットを受信した場合、前記中継手段における前記パケットの中継を停止する中継停止手段と、を備えることを特徴とする。
この発明によれば、ローカルネットワークシステム内における物理的な位置に関係なく、セグメントをセキュリティ通信装置で効果的に分離することにより、ワーム等がローカルネットワークシステム全体に広がる危険性を軽減することができ、また、ローカルネットワークシステム内部にワーム等が侵入した場合は全ての中継を停止しているため、1つの異常が検出されると、以後、統計的に検出される異常パケットを取りこぼすことなくセキュリティ通信装置で廃棄するので、広域ネットワークへのワーム等の拡散の危険性を軽減することができる、という効果を奏する。
以下に、本発明にかかるセキュリティ通信装置、通信ネットワークシステムおよびプログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
[第1の実施の形態]
本発明の第1の実施の形態を図1ないし図8に基づいて説明する。本実施の形態はセキュリティ通信装置としてパーソナルコンピュータを主体に構成されているファイアウォールを適用した例である。
図1は、本発明の第1の実施の形態にかかるセキュリティ通信装置を含むローカルネットワークシステム1の構成を示す模式図である。図1に示すように、本実施の形態のセキュリティ通信装置を含む通信ネットワークシステムであるローカルネットワークシステム1は、インターネットやイントラネット等の広域ネットワーク70と通信するPCなどの端末61〜64や、広域ネットワーク70および端末61〜64と通信する各種サーバ51,52を、それぞれ中継装置41〜44を介して接続した構成となっている。なお、中継装置41〜44は、パケットをレイヤ2またはレイヤ3で中継するものである。
加えて、図1に示すように、本実施の形態のローカルネットワークシステム1には、広域ネットワーク70からの不正なアクセスによるデータ漏洩や改ざん、システムダウンなどを防ぐために広域ネットワーク70に対するデータの出入り口である中継装置41の上流側に設置される第1のセキュリティ通信装置であるセキュリティ通信装置21と、セキュリティ通信装置21の下流に位置して各種サーバ51,52が設置された重要セグメントのデータの出入り口である中継装置42の上流側に設置される第2のセキュリティ通信装置セキュリティ通信装置22とが備えられている。
なお、セキュリティ通信装置21とセキュリティ通信装置22との間は、IPsecを利用したネットワークによって接続されており、その通信モードはトンネルモードである(以下、IPsecトンネル30と称する)。IPsecは、暗号通信を行なうための規格であって、トンネルモードは、IPパケット全体を暗号化するものである。このようにすることにより、送信元のセキュリティ通信装置でIPのヘッダを含めたIPパケット全体を暗号化してペイロード(送信データ)とした上で、新たにIPヘッダをつけて送信することになる。受信元のセキュリティ通信装置は、それを復号化し、宛先ホストに転送することになる。このように個々のセキュリティ通信装置で処理を行なうことで、パケットの最終の宛先IPアドレスも隠蔽することができる。
ここで、セキュリティ通信装置21,22について詳述する。図2は、セキュリティ通信装置21,22のハードウェア構成を示すブロック図である。セキュリティ通信装置21,22は、一般にSGW(Secure GateWay:セキュア ゲートウェイ)と呼ばれているものであって、例えばパーソナルコンピュータやワークステーションを主体に構成されている。図2に示すように、このようなセキュリティ通信装置21,22は、コンピュータの主要部であって各部を集中的に制御するCPU(Central Processing Unit)2を備えている。このCPU2には、BIOSなどを記憶した読出し専用メモリであるROM(Read Only Memory)3と、各種データを書換え可能に記憶するRAM(Random Access Memory)4とがバス5で接続されている。
さらにバス5には、各種のプログラム等を格納するHDD(Hard Disk Drive)6と、配布されたプログラムであるコンピュータソフトウェアを読み取るための機構としてCD(Compact Disc)−ROM7を読み取るCD−ROMドライブ8と、セキュリティ通信装置21,22とネットワーク9(例えば、広域ネットワーク70)などとの通信を司る通信制御装置10と、各種操作指示を行うキーボードやマウスなどの入力装置11と、各種情報を表示するCRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)などの表示装置12とが図示しないI/Oを介して接続されている。
RAM4は、各種データを書換え可能に記憶する性質を有していることから、CPU2の作業エリアとして機能してバッファ等の役割を果たす。
図2に示すCD−ROM7は、この発明の記憶媒体を実施するものであり、OS(Operating System)や各種のプログラムが記憶されている。CPU2は、CD−ROM7に記憶されているプログラムをCD−ROMドライブ8で読み取り、HDD6にインストールする。
なお、記憶媒体としては、CD−ROM7のみならず、DVDなどの各種の光ディスク、各種光磁気ディスク、フレキシブル・ディスクなどの各種磁気ディスク等、半導体メモリ等の各種方式のメディアを用いることができる。また、通信制御装置10を介してインターネットなどの広域ネットワーク70からプログラムをダウンロードし、HDD6にインストールするようにしてもよい。この場合に、送信側のサーバでプログラムを記憶している記憶装置も、この発明の記憶媒体である。なお、プログラムは、所定のOS(Operating System)上で動作するものであってもよいし、その場合に後述の各種処理の一部の実行をOSに肩代わりさせるものであってもよいし、所定のアプリケーションソフトやOSなどを構成する一群のプログラムファイルの一部として含まれているものであってもよい。
このシステム全体の動作を制御するCPU2は、このシステムの主記憶として使用されるHDD6上にロードされたプログラムに基づいて各種処理を実行する。
次に、セキュリティ通信装置21,22のHDD6にインストールされている各種のプログラムがCPU2に実行させる機能のうち、本実施の形態のセキュリティ通信装置21,22が備える特長的な機能について説明する。
図3は、セキュリティ通信装置21,22の機能構成を示すブロック図である。図3に示すように、セキュリティ通信装置21,22は、外部セグメントに対してパケットを送受信する通信ポートである外側ポート13と、内部セグメントに対してパケットを送受信する通信ポートである内側ポート14とを備えている。また、セキュリティ通信装置21,22は、セキュリティ通信プログラムに従うことにより、中継手段である中継部15と、パケット精査手段であるパケット精査部16と、パケット認証部17と、制御部18とを備えている。
中継部15は、外側ポート13または内側ポート14で受信したパケットをパケット精査部16に送信し、後述するパケット精査部16での精査結果に異常ないと判断されたパケットを内側ポート14または外側ポート13に送信する中継機能を有するものである。
パケット精査部16は、中継部15から受け取ったパケットの内容を精査して異常があるか否かを確認し、精査結果を中継部15に送信するパケット精査機能を有するものである。なお、パケットの精査は、単にパケットの内容のみで判断されるだけでなく、特定の特徴をもつパケットが規定値以上受信されたといった統計的な手法でも判断される。
パケット認証部17は、セキュリティ通信装置自身宛のパケットの送信元アドレスの詐称があるか否かを確認して、異常がなければ後述する制御部18に送信する制御パケット認証機能を有するものである。
制御部18は、パケット認証部17から渡されたパケットの内容に従って中継部15の動作を制御する制御機能を有するものである。
ここで、セキュリティ通信装置21,22における通常状態のパケット処理の動作について説明する。図4はローカルネットワークシステム1における通常状態のパケットの流れを示す模式図、図5はセキュリティ通信装置21,22におけるパケットの流れを示す模式図である。図4に示すように、端末61がサーバ52宛のパケット81を送信すると、中継装置43および中継装置41を経由して、セキュリティ装置22に到達することになる。セキュリティ装置22に到達したパケット81は、図5に示すように、外側ポート13から中継部15を通って、パケット精査部16に渡される。パケット81を渡されたパケット精査部16では、パケット81の内容を精査して異常があるか否かを確認する。パケット精査部16でパケット81に異常ないと判断されると、パケット81は再び中継部15を通って内側ポート14から中継装置42を経由して、サーバ52に送信される。なお、ここでは端末61からサーバ52宛のパケット81について説明したが、端末61から広域ネットワーク70宛のパケット82、端末61から広域ネットワーク70宛のパケット82、について説明したが、サーバ51から広域ネットワーク70宛のパケット83についても同様に中継される。
一方、図4に示すような広域ネットワーク70からの攻撃パケットである異常パケット91によるローカルネットワークシステム1に対する攻撃があった場合には、図5に示すように、異常パケット91は、外側ポート13から中継部15を通って、パケット精査部16に渡される。異常パケット91を渡されたパケット精査部16では、異常パケット91の内容を精査して異常があるか否かを確認する。パケット精査部16は、異常パケット91に異常を検出し、異常パケット91が外側ポート13から受信されていることを確認すると、異常パケット91を廃棄する。尚、異常については、受信した異常パケット91の内容で判断される場合だけでなく、異常パケット91が規定数受信されることによって統計的に判断される場合もある。これにより、広域ネットワーク70からの不正なアクセスなどを防止することができる。
次に、外部に持ち出されてワームに感染した端末61をローカルエリアネットワークに接続した場合について検討する。なお、ワームは、自分自身の力でネットワークを経由してコンピュータの間を移動し、他のコンピュータに感染していくコンピュータウイルスである。
ここで、図6はローカルエリアネットワークシステム1におけるワーム侵入時のパケットの流れを示す模式図、図7はセキュリティ通信装置21におけるパケットの流れを示す模式図、図8はセキュリティ通信装置22におけるパケットの流れを示す模式図である。図6に示すように、外部に持ち出されてワームに感染した端末61がローカルネットワークシステム1に接続されると、端末61が感染しているワームは次の感染先を見つけるための攻撃パケットである異常パケット92〜93の送信を多数の宛先に向かって開始する。
ところで、このような異常パケット92〜93は、宛先によりセキュリティ通信装置21およびセキュリティ通信装置22を通過することになる。ここで、セキュリティ通信装置21,22において受信される異常パケット92〜93の数はネットワーク構成により異なる。統計的に異常を検出しなければならないワーム等がローカルネットワークシステム1に侵入してからセキュリティ通信装置21,22が異常を検出するまでの時間は、異常パケット92〜93の受信数が多いほど短い。つまり、セキュリティ通信装置21とセキュリティ通信装置22では、異常を検出するタイミングにずれが生じる。ここでは、上流のセキュリティ通信装置21が下流のセキュリティ通信装置22より先に異常を検出する場合の動作について説明する。
図7に示すように、異常パケット93を受信したセキュリティ通信装置21では、まず、内側ポート14で受信した異常パケット93は、中継部15を通ってパケット精査部16に到達する。パケット精査部16では、異常パケット93の精査を実施する。このとき、パケットに異常があるか否かの確認は、受信した異常パケット93の内容で判断される場合だけでなく、異常パケット93が規定数受信されることによって統計的に判断される場合もある。パケット精査部16で異常が検出されると、パケット精査部16は異常パケット93が内側ポート14から受信されたことを確認し、異常パケット93を廃棄すると共に、制御部18に対してローカルネットワークシステム1へのワーム侵入を通知する内部信号である警告信号201を送信する。更に、パケット精査部16は、異常検出以降においては、中継部15から渡されるパケットは全て廃棄する。制御部18は、パケット精査部16からの警告信号201を受けて、上流のセキュリティ通信装置21から下流のセキュリティ通信装置22に対してワーム等の侵入を警告するとともに緊急モードへの移行を通知する制御パケット101をパケット認証部17に送信依頼する。パケット認証部17は、制御パケット101に認証のためのパケット変換、即ち、IPsecパケットにカプセリング化して認証付制御パケット301として内側ポート14から送信する。ここに、警報通信手段の機能が実行される。これにより、制御パケット101をIPsecでカプセリングしてセキュリティ通信装置21が送信した制御パケットであることを認証可能にした制御パケットである認証付制御パケット301は、図6に示すIPsecトンネル30を通って下流のセキュリティ通信装置22に送信される。ここに、制御パケット認証手段の機能が実行される。
一方、IPsecトンネル30から制御パケット101を受信、即ち、図8に示すように認証付制御パケット301を外側ポート13から受信した下流のセキュリティ通信装置22は、認証付制御パケット301をパケット認証部17に渡す。パケット認証部17では、認証付制御パケット301の認証を実施し、送信元アドレスの詐称がないことを確認すると、制御パケット101に再変換、即ち、IPsecパケットのデカプセリングを行い、その結果得られる制御パケット101を制御部18に送信する。制御部16は緊急モードへの移行を通知する制御パケット101を受け取ると、中継停止を指示する内部信号である中継停止指示信号202をパケット精査部16に対して送信する。ここに、中継停止手段の機能が実行される。以後、パケット精査部16では中継部15から渡されるパケットを全て廃棄するようになり、結果として異常パケット92も廃棄されることになる。
次に、下流のセキュリティ通信装置22が上流のセキュリティ通信装置21より先に異常を検出する場合の動作について説明する。この場合、下流のセキュリティ通信装置22は、上流のセキュリティ通信装置21が異常を検出するまで、セキュリティ通信装置21が広域ネットワーク70から異常パケット91を受信した場合と同様の動作(図5参照)を実施する。そして、セキュリティ通信装置21が異常を検出すると、以後、セキュリティ通信装置21が先に異常を検出した場合と同様の動作を行う。
このように本実施の形態によれば、上流のセキュリティ通信装置21は、下流セグメントでのウイルス汚染を検知すると、広域ネットワーク70への全てのパケット出力を停止し、更に、IPsecトンネル30を使って、下流のセキュリティ通信装置22に緊急モードへの移行を通知する制御パケットを送信する。下流のセキュリティ通信装置22では、緊急モードへの移行を通知する制御パケットを受信すると、IPsecトンネル30がある側、つまり、上流からIPsec以外で受信されるパケットは破棄し、IPsecトンネル30を通るパケットのみを制御パケットとして制御部16に渡す。これにより、モバイル端末の接続等によりローカルネットワークシステム1の内部にワーム等が侵入した場合、広域ネットワーク70との接続点に設置された上流のセキュリティ通信装置21で異常を検出すると、ローカルネットワークシステム1内に設置されている下流のセキュリティ通信装置22に警告を行って、中継パケット数が少ない位置に置かれている下流のセキュリティ通信装置22が異常を検出できなくても攻撃パケットと疑われるパケットの受信を停止するようにしているので、ワーム等がローカルネットワークシステム1全体に広がる危険性を軽減できる。
また、広域ネットワーク70からの攻撃では異常パケットを検出しても中継を継続するが、ローカルネットワークシステム1内部にワーム等が侵入した場合は全ての中継を停止しているため、1つの異常が検出されると、以後、統計的に検出される異常パケットを取りこぼすことなくセキュリティ通信装置21,22で廃棄するので、広域ネットワーク70へのワームの拡散の危険性を軽減できる。
さらに、異常を先に検出したセキュリティ通信装置21または22が送信する警告はIPsecのパケットで送信元アドレスを認証しているので、悪意のある端末がセキュリティ通信装置21または22に不正な警告を送信してセキュリティ通信装置21または22の中継を停止する、なりすまし攻撃を回避できる。
なお、本実施の形態においては、ワーム等が生成する異常パケットとセキュリティ通信装置21,22間で通信される制御パケットを確実に区別するために、制御パケットの送信にIPsecトンネルを用いたが、パケットにタグと呼ばれるヘッダを付加してVLAN(Virtual LAN)情報を格納するVLANタグを用いても同様の効果を得ることができる。
[第2の実施の形態]
次に、本発明の第2の実施の形態を図9ないし図11に基づいて説明する。なお、前述した第1の実施の形態と同じ部分は同じ符号で示し説明も省略する。
第1の実施の形態では、異常を検出した場合、ワーム等が侵入したセグメントからの全てのパケットを廃棄するようにしたが、本実施の形態は、ワーム等が侵入したセグメントから広域ネットワーク70宛のパケットは廃棄し、正常なセグメントと広域ネットワーク70が通信するパケットについてはIPsecトンネルを用いて通信可能とするものである。
ここで、図9は本発明の第2の実施の形態にかかるローカルエリアネットワークシステム1におけるワーム侵入時のパケットの流れを示す模式図、図10はセキュリティ通信装置21におけるパケットの流れを示す模式図、図11はセキュリティ通信装置22におけるパケットの流れを示す模式図である。なお、ワーム等が侵入していない場合の動作は、第1の実施の形態と全く同じであるので、端末61がワーム等に感染したときの動作について説明する。
図9に示すように、外部に持ち出されてワームに感染した端末61がローカルネットワークシステム1に接続されると、端末61が感染しているワームは次の感染先を見つけるための攻撃パケットである異常パケット92〜93の送信を多数の宛先に向かって開始する。端末61が異常パケット92〜93を送信開始してから、セキュリティ通信装置21のパケット精査部16が異常を検出するまでの動作は第1の実施の形態と全く同様である。
図10に示すように、異常パケット93を受信したセキュリティ通信装置21では、まず、内側ポート14で受信した異常パケット93は、中継部15を通ってパケット精査部16に到達する。そして、パケット精査部16で異常が検出されると、パケット精査部16は異常パケット93が内側ポート14から受信されたことを確認し、異常パケット93を廃棄すると共に、制御部18に対してローカルネットワークシステム1へのワーム侵入を通知する内部信号である警告信号201を送信する。更に、パケット精査部16は、図10に示すように、異常検出以降においては、中継部15から渡されるパケットのうち、外側ポート13で受信されるサーバ51と広域ネットワーク70間で通信されるパケット83は、パケット認証部17に送信を依頼し、内側ポート14で受信される端末61から広域ネットワーク70宛のパケット82は廃棄する。パケット精査部16からパケット83の送信を依頼されたパケット認証部17は、パケット83を、セキュリティ通信装置21が中継したことを認証可能なように変換、即ち、IPsecパケットにカプセリング化して認証付データパケット302aを作成し、内側ポート14から送信する。ここに、認証中継手段の機能が実行される。これにより、パケット83は、図9のIPsecトンネル30を使って下流のセキュリティ通信装置22に送信される。
また、警告信号201を受け取った制御部18は、上流のセキュリティ通信装置21から下流のセキュリティ通信装置22に対してワーム等の侵入を警告するとともに緊急モードへの移行を通知する制御パケット101をパケット認証部17に送信依頼する。パケット認証部17は、制御パケット101に認証のためのパケット変換、即ち、IPsecパケットにカプセリング化して認証付制御パケット301として内側ポート14から送信する。ここに、認証中継手段の機能が実行される。これにより、制御パケット101は、図9のIPsecトンネル30を使って下流のセキュリティ通信装置22に送信される。
さらに、内側ポート14で受信された認証付データパケット302bは、パケット認証部17に渡される。パケット認証部17では、認証付データパケット302bの認証を実施し、送信元アドレスの詐称がないことを確認すると、パケット83に再変換、即ち、IPsecパケットのデカプセリングを行い、その結果得られるパケット83を中継部15に送信依頼して外側ポート13から送信する。これにより、パケット83は図9のIPsecトンネル30を使って下流のセキュリティ通信装置22から送信され、広域ネットワーク70に中継される。
一方、IPsecトンネル30から制御パケット101を受信、即ち、図11に示すように認証付制御パケット301を外側ポート13から受信した下流のセキュリティ通信装置22は、認証付制御パケット301をパケット認証部17に渡す。パケット認証部17では、認証付制御パケット301の認証を実施し、送信元アドレスの詐称がないことを確認すると、制御パケット101に再変換、即ち、IPsecパケットのデカプセリングを行い、その結果得られる制御パケット101を制御部18に送信する。制御部16は緊急モードへの移行を通知する制御パケット101を受け取ると、中継停止を指示する内部信号である中継停止指示信号202をパケット精査部16に対して送信する。以後、パケット精査部16では、中継部15から渡されるパケットのうち、外側ポート13から受信されたパケットを全て廃棄するようになり、結果として異常パケット92も廃棄されることになる。また、パケット精査部16では、中継部15から渡されるパケットのうち、内側ポート14から受信されたサーバ51から送信されたパケット83は、パケット認証部17に送信依頼する。パケット認証部17では、受け取ったパケット83を、セキュリティ通信装置22が中継したことを認証可能なように変換、即ち、IPsecパケットにカプセリング化して認証付データパケット302bを作成し、外側ポート13から送信する。ここに、認証中継手段の機能が実行される。これにより、パケット83は図9のIPsecトンネル30を使って上流のセキュリティ通信装置21に送信される。
さらに、外側ポート13で受信されたセキュリティ通信装置21から送信された認証付データパケット302aは、パケット認証部17に渡される。パケット認証部17では、認証付データパケット302aの認証を実施し、送信元アドレスの詐称がないことを確認すると、パケット83に再変換、即ち、IPsecパケットのデカプセリングを行い、その結果得られるパケット83を中継部13に送信依頼して内側ポート14から送信する。ここに、認証中継手段の機能が実行される。これにより、パケット83は図9のIPsecトンネル30を使って上流のセキュリティ通信装置21に受信され、サーバ51に中継される。
このように本実施の形態によれば、モバイル端末の接続等によりローカルネットワークシステム1の内部にワーム等が侵入した場合、広域ネットワーク70との接続点に設置された上流のセキュリティ通信装置21で異常を検出すると、ローカルネットワークシステム1内に設置されている下流のセキュリティ通信装置22に警告を行って、中継パケット数が少ない位置に置かれている下流のセキュリティ通信装置22が異常を検出できなくても攻撃パケットと疑われるパケットの受信を停止するようにしているので、ワーム等がローカルネットワークシステム1全体に広がる危険性を軽減できる。
また、広域ネットワーク70からの攻撃では異常パケットを検出しても中継を継続するが、ローカルネットワークシステム1内部にワーム等が侵入した場合は、ワーム等に感染した端末とセキュリティ通信装置を介さずに直接通信可能であり、ワーム等に感染した疑いがある全ての端末と広域ネットワーク70との中継を停止しているため、広域ネットワーク70へのワームの拡散の危険性を軽減できる。
さらに、上流のセキュリティ通信装置21と下流のセキュリティ通信装置22の間のセグメントにワーム等が侵入した場合、IPsecトンネル30を用いて継続するので、ワーム等によるアドレス詐称で攻撃パケットが広域ネットワーク70や下流のセキュリティ通信装置22の内側のサーバ51,52に送信される心配がなく、通信を継続できるといった効果がある。
さらにまた、サーバ51,52と広域ネットワーク70間の中継は、通常時にはIPsecトンネル30を用いずに中継しているので、通常時にIPsecによる処理による中継遅延が発生しないといった効果がある。
また、セキュリティ通信装置21が送信する警告はIPsecのパケットで送信元アドレスを認証しているので、悪意のある端末がセキュリティ通信装置に不正な警告を送信してセキュリティ通信装置の中継を停止する、なりすまし攻撃を回避できる。
なお、本実施の形態においては、ワーム等が生成する異常パケットとセキュリティ通信装置21,22間で通信される制御パケットおよび認証付データパケットを確実に区別するために、IPsecトンネルを用いたが、パケットにタグと呼ばれるヘッダを付加してVLAN(Virtual LAN)情報を格納するVLANタグを用いても同様の効果を得ることができる。
なお、各実施の形態においては、セキュリティ通信装置21,22としてパーソナルコンピュータを主体に構成されているファイアウォールを適用した例について説明したが、これに限るものではなく、例えばファイアウォール機能を備えているブロードバンドルータやL2スイッチ、L3スイッチなどに適用することも可能である。
以上のように、本発明にかかるセキュリティ通信装置、通信ネットワークシステムおよびプログラムは、外部に持ち出されて感染したモバイル端末から侵入したワーム等のローカルネットワークシステム全体に広がる危険性の軽減、および、広域ネットワークへのワームの拡散の危険性の軽減に有用であり、特に、パーソナルコンピュータを主体に構成されているファイアウォールや、ファイアウォール機能を備えているブロードバンドルータやL2スイッチ、L3スイッチなどに適している。
本発明の第1の実施の形態にかかるセキュリティ通信装置を含むローカルネットワークシステムの構成を示す模式図である。 セキュリティ通信装置のハードウェア構成を示すブロック図である。 セキュリティ通信装置の機能構成を示すブロック図である。 ローカルネットワークシステムにおける通常状態のパケットの流れを示す模式図である。 セキュリティ通信装置におけるパケットの流れを示す模式図である。 ローカルエリアネットワークシステムにおけるワーム侵入時のパケットの流れを示す模式図である。 セキュリティ通信装置におけるパケットの流れを示す模式図である。 セキュリティ通信装置におけるパケットの流れを示す模式図である。 本発明の第2の実施の形態にかかるローカルエリアネットワークシステムにおけるワーム侵入時のパケットの流れを示す模式図である。 セキュリティ通信装置におけるパケットの流れを示す模式図である。 セキュリティ通信装置におけるパケットの流れを示す模式図である。
符号の説明
1 通信ネットワークシステム
13 外側ポート
14 内側ポート
15 中継手段
16 パケット精査手段
21 セキュリティ通信装置、第1のセキュリティ通信装置
22 セキュリティ通信装置、第2のセキュリティ通信装置
70 広域ネットワーク

Claims (14)

  1. 外部セグメントに対してパケットを送受信する通信ポートである外側ポートと、
    内部セグメントに対してパケットを送受信する通信ポートである内側ポートと、
    前記外側ポートと前記内側ポートとの間の前記パケットの中継を実施する中継手段と、
    前記内部セグメントから前記外部セグメントに中継する前記パケットを前記中継手段から受け取り、当該パケットが攻撃パケットであるか否かを検出するパケット精査手段と、
    前記内部セグメントから前記外部セグメントに中継する前記パケットが前記攻撃パケットであることを前記パケット精査手段により検出した場合、警報の制御パケットを他のセキュリティ通信装置に対して送信する警報通信手段と、
    前記他のセキュリティ通信装置から前記警報の制御パケットを受信した場合、前記中継手段における前記パケットの中継を停止する中継停止手段と、
    を備えることを特徴とするセキュリティ通信装置。
  2. 前記警報通信手段により送信される前記警報の制御パケットと前記攻撃パケットとを区別するため、前記警報の制御パケットの送信元アドレスを認証する制御パケット認証手段を備える、
    ことを特徴とする請求項1記載のセキュリティ通信装置。
  3. 前記制御パケット認証手段は、暗号通信を行なうための規格であるIPsecの通信モードをトンネルモードとしたIPsecトンネルを用いる、
    ことを特徴とする請求項2記載のセキュリティ通信装置。
  4. 前記制御パケット認証手段は、前記パケットにタグと呼ばれるヘッダを付加してVLAN(Virtual LAN)情報を格納するVLANタグを用いる、
    ことを特徴とする請求項2記載のセキュリティ通信装置。
  5. 前記中継停止手段により前記中継手段における前記パケットの中継を停止した場合、前記警報の制御パケットが送信されたセグメントに対するパケットの送信元アドレスを前記制御パケット認証手段で認証可能な中継用の制御パケットに変換して送信するとともに、前記中継用の制御パケットを元のパケットに戻して中継する認証中継手段を更に備える、
    ことを特徴とする請求項1ないし4のいずれか一記載のセキュリティ通信装置。
  6. 前記認証中継手段は、暗号通信を行なうための規格であるIPsecの通信モードをトンネルモードとしたIPsecトンネルを用いる、
    ことを特徴とする請求項5記載のセキュリティ通信装置。
  7. 前記認証中継手段は、前記パケットにタグと呼ばれるヘッダを付加してVLAN(Virtual LAN)情報を格納するVLANタグを用いる、
    ことを特徴とする請求項5記載のセキュリティ通信装置。
  8. 広域ネットワークへの接続点に設置される第1のセキュリティ通信装置と、この第1のセキュリティ通信装置の下流に設けられていて、セグメントの出入り口に設置される第2のセキュリティ通信装置と、を備えた通信ネットワークシステムにおいて、
    前記第1のセキュリティ通信装置と前記第2のセキュリティ通信装置との間で送受信されるパケットの送信者を保証するセキュリティ通信手段と、
    前記第1のセキュリティ通信装置が攻撃パケットを検出した場合、前記セキュリティ通信手段により前記第2のセキュリティ通信装置に対して警報の制御パケットを送信し、前記第2のセキュリティ通信装置に前記セグメントへの前記パケットの中継を停止させる中継停止手段と、
    を備えることを特徴とする通信ネットワークシステム。
  9. 前記中継停止手段により前記第2のセキュリティ通信装置に前記セグメントへの前記パケットの中継を停止させた場合、前記第1のセキュリティ通信装置と前記第2のセキュリティ通信装置との間における前記パケットの送受信を前記セキュリティ通信手段を用いて行う変換中継手段を更に備える、
    ことを特徴とする請求項8記載の通信ネットワークシステム。
  10. 前記セキュリティ通信手段は、暗号通信を行なうための規格であるIPsecの通信モードをトンネルモードとしたIPsecトンネルを用いる、
    ことを特徴とする請求項8または9記載の通信ネットワークシステム。
  11. 前記セキュリティ通信手段は、前記パケットにタグと呼ばれるヘッダを付加してVLAN(Virtual LAN)情報を格納するVLANタグを用いる、
    ことを特徴とする請求項8または9記載の通信ネットワークシステム。
  12. 外部セグメントに対してパケットを送受信する通信ポートである外側ポートと内部セグメントに対してパケットを送受信する通信ポートである内側ポートとの間の前記パケットの中継を実施する中継機能と、
    前記内部セグメントから前記外部セグメントに中継する前記パケットを前記中継機能から受け取り、当該パケットが攻撃パケットであるか否かを検出するパケット精査機能と、
    前記内部セグメントから前記外部セグメントに中継する前記パケットが前記攻撃パケットであることを前記パケット精査機能により検出した場合、警報の制御パケットを他のセキュリティ通信装置に対して送信する警報通信機能と、
    前記他のセキュリティ通信装置から前記警報の制御パケットを受信した場合、前記中継機能における前記パケットの中継を停止する中継停止機能と、
    をコンピュータに実行させることを特徴とするプログラム。
  13. 前記警報通信機能により送信される前記警報の制御パケットと前記攻撃パケットとを区別するため、前記警報の制御パケットの送信元アドレスを認証する制御パケット認証機能をコンピュータに実行させる、
    ことを特徴とする請求項12記載のプログラム。
  14. 前記中継停止機能により前記中継機能における前記パケットの中継を停止した場合、前記警報の制御パケットが送信されたセグメントに対するパケットの送信元アドレスを前記制御パケット認証機能で認証可能な中継用の制御パケットに変換して送信するとともに、前記中継用の制御パケットを元のパケットに戻して中継する認証中継機能を更にコンピュータに実行させる、
    ことを特徴とする請求項12または13記載のプログラム。
JP2006125401A 2006-04-28 2006-04-28 セキュリティ通信装置、通信ネットワークシステムおよびプログラム Pending JP2007300307A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006125401A JP2007300307A (ja) 2006-04-28 2006-04-28 セキュリティ通信装置、通信ネットワークシステムおよびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006125401A JP2007300307A (ja) 2006-04-28 2006-04-28 セキュリティ通信装置、通信ネットワークシステムおよびプログラム

Publications (1)

Publication Number Publication Date
JP2007300307A true JP2007300307A (ja) 2007-11-15

Family

ID=38769444

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006125401A Pending JP2007300307A (ja) 2006-04-28 2006-04-28 セキュリティ通信装置、通信ネットワークシステムおよびプログラム

Country Status (1)

Country Link
JP (1) JP2007300307A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101286015B1 (ko) * 2011-03-30 2013-08-23 주식회사 윈스테크넷 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101286015B1 (ko) * 2011-03-30 2013-08-23 주식회사 윈스테크넷 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법

Similar Documents

Publication Publication Date Title
US10601780B2 (en) Internet isolation for avoiding internet security threats
US7797436B2 (en) Network intrusion prevention by disabling a network interface
US11743297B2 (en) Systems and methods for providing network security using a secure digital device
TWI458308B (zh) 網路周邊設備、計算系統及傳遞資料的方法
KR101026558B1 (ko) 네트워크 방화벽을 구현하기 위한 다층 기반 방법
US7827602B2 (en) Network firewall host application identification and authentication
JP4572089B2 (ja) マルチレイヤーファイアウォールアーキテクチャ
US7313618B2 (en) Network architecture using firewalls
US8595835B2 (en) System to enable detecting attacks within encrypted traffic
JP5911893B2 (ja) 論理装置、処理方法及び処理装置
US7240193B2 (en) Systems and methods that provide external network access from a protected network
US7503069B2 (en) Network traffic intercepting method and system
US8045550B2 (en) Packet tunneling
US20090282483A1 (en) Server based malware screening
JP2008271339A (ja) セキュリティゲートウェイシステムとその方法およびプログラム
US7401353B2 (en) Detecting and blocking malicious connections
US7263609B1 (en) Method and apparatus for packet quarantine processing over a secure connection
Ling-Fang The firewall technology study of network perimeter security
JP2007300307A (ja) セキュリティ通信装置、通信ネットワークシステムおよびプログラム
KR101977612B1 (ko) 네트워크관리장치 및 방법
CN111163103B (zh) 由计算设备执行的风险控制方法、装置、计算设备、介质
KR101639428B1 (ko) 보드기반 단방향 통신제어 시스템
JP2002199025A (ja) ネットワーク防御装置
Richards System Insecurity-Firewalls