JP2008141352A - ネットワークセキュリティシステム - Google Patents
ネットワークセキュリティシステム Download PDFInfo
- Publication number
- JP2008141352A JP2008141352A JP2006323942A JP2006323942A JP2008141352A JP 2008141352 A JP2008141352 A JP 2008141352A JP 2006323942 A JP2006323942 A JP 2006323942A JP 2006323942 A JP2006323942 A JP 2006323942A JP 2008141352 A JP2008141352 A JP 2008141352A
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- management server
- network management
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 悪意のある不正端末を検出、隔離、修正可能なネットワークを提供するとともに、セキュリティレベルを維持することが可能なネットワークセキュリティシステムを提供することにある。
【解決手段】 端末とネットワーク間に挿入され、これら端末とネットワーク間のパケットを中継するとともに、ネットワーク管理サーバからの設定に基づき、ネットワーク上を流れるパケット情報の検出、およびネットワーク管理サーバへの通知、該当するパケットのフィルタリングを行う複数のセンサーと、複数のセンサーの各々に情報収集及び遮断のためのルールを設定し、複数のセンサーから収集した情報を基に情報漏洩や不正アクセスを検知し、該当するパケットを遮断するようセンサーに通知するネットワーク管理サーバと、このセンサーとネットワーク管理サーバ間はカプセル化されたパケットを利用する。
【選択図】 図1
【解決手段】 端末とネットワーク間に挿入され、これら端末とネットワーク間のパケットを中継するとともに、ネットワーク管理サーバからの設定に基づき、ネットワーク上を流れるパケット情報の検出、およびネットワーク管理サーバへの通知、該当するパケットのフィルタリングを行う複数のセンサーと、複数のセンサーの各々に情報収集及び遮断のためのルールを設定し、複数のセンサーから収集した情報を基に情報漏洩や不正アクセスを検知し、該当するパケットを遮断するようセンサーに通知するネットワーク管理サーバと、このセンサーとネットワーク管理サーバ間はカプセル化されたパケットを利用する。
【選択図】 図1
Description
本発明は、コンピュータネットワークの利用においてネットワークセキュリティに違反した不正なクライアントが送受信するデータを、ネットワーク上でフィルタリングすることで、セキュリティレベルを維持させるためのネットワークセキュリティシステムに関する。
企業内等の内部ネットワークのセキュリティは、外部からの不正パケットを遮断するファイヤーウォールと、内部ネットワークに接続する場合には、端末の認証を行うことや、端末にセキュリティソフトのインストール、ウィルスチェックのためのパターンファイルの更新、端末のオペレーションシステム(OS)矢アプリケーションソフトのセキュリティホールの修正用アップデータの実施を行うことで、守ってきていた。
しかし、この仕組みでは、社内ネットワークに不正な端末(悪意のあるユーザによる)が直接、接続された場合、無防備である場合が多い。
そこで、不正端末それに対応するために、検疫システムと呼ばれる、不正端末検出、排除、修正を行うことが可能なものが登場してきている(特許文献1参照)。検疫システムの実現方法には、概ね以下の3つがある。
そこで、不正端末それに対応するために、検疫システムと呼ばれる、不正端末検出、排除、修正を行うことが可能なものが登場してきている(特許文献1参照)。検疫システムの実現方法には、概ね以下の3つがある。
(1)IEEEE802.1X等の端末認証システムとVirtal LANに対応したネットワーク機器(LANスイッチ)を、内部ネットワークに配備することで、端末がはじめて接続され、認証が完了するまでは、ある特定の検疫用ネットワークにしか接続できない方法があるが、これは全てのLANスイッチを本方式をサポートする装置にしなければならないという問題がある。
(2)DHCP認証システムと連動し、はじめて接続された端末には、検査用ネットワークアドレスを付与し、検査用ネットワークのみに接続できるようにしておくことで、不正端末の接続を防御するシステムがあるが、DHCPを使用せず、最初から不正にネットワークアドレスを設定された端末を排除することはできない。
(3)内部ネットワークに接続する端末に、あらかじめ検疫用ソフトウェアをインストールしておき、検査用サーバとこのソフトウェアが連携して、検疫を行う方法があるが、本方法も検疫用ソフトウェアをインストールしていない端末を排除することは不可能である。
このように上記いずれの端末も、正規の手順やルールに則った検疫システムをパスした後、不正なアクセスを行うことを排除することはできない。
特開2003−37601号公報
このように上記いずれの端末も、正規の手順やルールに則った検疫システムをパスした後、不正なアクセスを行うことを排除することはできないという点で問題があった。
本願は、認証システムやVirtual LAN機能を有していないLANスイッチのネットワークに対して、悪意のある不正端末を検出、隔離、修正可能なネットワークを提供するとともに、一旦検疫された不正ではないと判断された端末が、実際には何らかの不正なプログラムが実装され、不正アクセスを行っていた場合、そのアクセスを送受信パケットから判断して、再度隔離することでセキュリティレベルを維持することが可能なネットワークセキュリティシステムを提供することにある。
本発明の観点は、企業内ネットワークに複数が分散配置され、端末と前記ネットワーク間に挿入され、前記端末と前記ネットワーク間のパケットを中継するとともに、ネットワーク管理サーバからの設定に基づき、前記ネットワーク上を流れるパケット情報の検出、および前記ネットワーク管理サーバへの通知、該当するパケットのフィルタリングを行う複数のセンサーと、前記複数のセンサーの各々に情報収集及び遮断のためのルールを設定し、前記複数のセンサーから収集した情報を基に情報漏洩や不正アクセスを検知し、該当するパケットを遮断するよう前記センサーに通知するネットワーク管理サーバと、前記センサーと前記ネットワーク管理サーバ間は、カプセル化されたパケットを利用することを特徴とするネットワークセキュリティシステムである。
本発明によれば、認証システムやVirtual LAN機能を有していないLANスイッチのネットワークに対して、悪意のある不正端末を検出、隔離、修正可能なネットワークを提供するとともに、一旦検疫された不正ではないと判断された端末が、実際には何らかの不正なプログラムが実装され、不正アクセスを行っていた場合、そのアクセスを送受信パケットから判断して、再度隔離することでセキュリティレベルを維持することが可能なネットワークセキュリティシステムを提供することが可能となる。
以下図面を参照して、本発明の実施の形態を説明する。
(システムの構成)
図1は、本発明の実施形態に関するシステム構成図である。
Internet(1)は、いわゆるインターネットである。
GW(10)は、前記Internet(1)と、社内ネットワーク間にあって、IPプロトコルのパケットの経路制御、アドレス変換、パケット転送機能等を有するネットワーク機器である。
(システムの構成)
図1は、本発明の実施形態に関するシステム構成図である。
Internet(1)は、いわゆるインターネットである。
GW(10)は、前記Internet(1)と、社内ネットワーク間にあって、IPプロトコルのパケットの経路制御、アドレス変換、パケット転送機能等を有するネットワーク機器である。
FW(20)は、上記GW(10)と社内ネットワーク内の内部ネットワーク(40)、SV1(30)間にあって、Internet(1)から送られてくるパケットに対して、あらかじめ決められていルールルに則った検査を行い、不正なパケットに関してはそのパケットを廃棄することで、内部ネットワーク(40)の保護を行うとともに、外部からアクセス可能なSV1(30)に対してのパケットに関しては、そのルールを適用しない公開ポートを持つネットワーク機器であり、一般的にファイヤーウォールと呼ばれている装置である。
SV1(30)は、FW(20)の公開ポートに接続され、社外に公開されているサーバであり、Webサーバやメールサーバなどである。
SW1(50)は、内部ネットワーク(40)に設置され、FW(20)に接続されており、内部ネットワーク(40)とFW(20)間のパケット転送を行うネットワーク機器である。
SW1(50)は、内部ネットワーク(40)に設置され、FW(20)に接続されており、内部ネットワーク(40)とFW(20)間のパケット転送を行うネットワーク機器である。
SV2(60)は、SW1(50)に接続され、社内から許可された端末からのみアクセス可能なサーバであり、社内webサーバや社内共有データベースサーバ、Internetアクセスのためのアドレス変換を行う代理サーバ、クライアントPC等のウィルス検出プログラムのパターンの更新等を管理するなどの機能を有するサーバである。複数台で構築される場合もある。
SW2(70)(70)、SW3(80)は、内部ネットワーク(40)に接続され、社内ネットワークに接続される端末(クライアントPCや部門サーバ、無線LANアクセスポイントなど)をネットワークに接続し、転送機能を有するネットワーク機器である。IEEE802.1Q等のVirtual LAN機能や、認証機能を有している場合や有していない機器がある。
AP1(90)、AP2(100)は、SW2(70)(70)、SW3(80)に接続され、無線LAN端末(PC2(110)、PC4(120))との間で、無線LANを媒体として通信制御を行うネットワーク機器で、一般的には無線LANアクセスポイントと呼ばれる機器である。
SV3(130)、SV4(140)(140)は、SW2(70)(70)、SW3(80)に接続され、社内の部門ごとに設置されるサーバであり、部門内の共有ファイルを蓄積したり、端末のネットワークアドレスの配布を行う機能を提供するコンピュータ機器である。
PC1(150)(150)、PC2(110)、PC3(160)、PC4(120)は、SW2(70)(70)、SW3(80)、AP1(90)、AP2(100)に接続されるクライアント端末であり、一般的にはパーソナルコンピュータと呼ばれる機器である。
NMS(170)(170)は、社内ネットワークの運用管理を行うネットワーク管理サーバであり、ネットワーク運用管理の規則が設定され、その内容を元に、社内ネットワークに分散配置されているネットワークセンサーであるSS1(70A)(70a)、SS2(70b)、SS3(70c)、SS4(80a)、SS5(80b)、SS6(80c)に対して、監視方法やパケット廃棄等の設定を行うとともに、ネットワークセンサーSS1(70A)(70a)、SS2(70b)、SS3(70c)、SS4(80a)、SS5(80b)、SS6(80c)からの情報を元に、セキュリティに関する脅威(不正アクセス)を検出するサーバである。
SS1(70A)(70a)、SS2(70b)、SS3(70c)、SS4(80a)、SS5(80b)、SS6(80c)は、端末と社内ネットワーク間に挿入され、通常はその間のパケットを転送するとともに、NMS(170)(170)からの設定に基づき、該当する情報をNMS(170)(170)へ通知したり、該当するパケットの廃棄、中継の流量制御を行うネットワーク用のセンサー機器である。
(センサー機器のハードウェア構成)
図2は、本発明の実施形態に関するセンサー機器SS1(70A)(70a)、SS2(70b)、SS3(70c)、SS4(80a)、SS5(80b)、SS6(80c)のハードウェア構成図である。代表でSS1(70A)(70a)について詳細に説明する。
図2は、本発明の実施形態に関するセンサー機器SS1(70A)(70a)、SS2(70b)、SS3(70c)、SS4(80a)、SS5(80b)、SS6(80c)のハードウェア構成図である。代表でSS1(70A)(70a)について詳細に説明する。
PMD1(701)、PMD2(702)は、ネットワーク物理媒体固有のインタフェースを行う部分であり、コネクタ、パルストランスや抵抗等から構成される。
PHY1(703)、PHY2(704)は、ネットワーク物理層を制御するインタフェースであり、電気信号からデジタル信号を抽出し、SEL1(705)、LEL2(706)を介して、MAC1(707)、MAC2(708)とSW(709)に対してデジタルデータの入出力を行う回路である。
PHY1(703)、PHY2(704)は、ネットワーク物理層を制御するインタフェースであり、電気信号からデジタル信号を抽出し、SEL1(705)、LEL2(706)を介して、MAC1(707)、MAC2(708)とSW(709)に対してデジタルデータの入出力を行う回路である。
SEL1(705)、LEL2(706)は、PHY1(703)、PHY2(704)からのデジタルデータを、MP(710)からの設定に従いSW(709)とMAC1(707)、MAC2(708)のどちらかに中継する、また、SW(709)とMAC1(707)、SW(709)とMAC2(708)からのデジタルデータからMP(710)からの設定に従い、PHY1(703)、PHY2(704)に中継する回路である。
MAC1(707)、MAC2(708)は、媒体アクセス制御を行う部分であり、MP(710)からのパケットをSEL1(705)、LEL2(706)経由で、PHY1(703)、PHY2(704)に送信し、PHY1(703)、PHY2(704)からSEL1(705)、LEL2(706)経由で受信したデジタル信号をパケット化しMP(710)へ送信する回路である。
SW(709)は、PHY1(703)、PHY2(704)からSEL1(705)、LEL2(706)経由で受信したデジタル信号をパケット化し、そのパケットを中継、遮断をあらかじめMP(710)より設定されたルールに従い、中継、遮断を実行する回路である。
MP(710)は、ROM内のプログラムに基づきMAC1(707)、MAC2(708)との間のパケット送受信制御、SW(709)の送受信制御を行うマイクロプロセッサである。
NVRAM(720)は、プログラムや設定情報を保持する不揮発性のメモリである。
RAM(730)は、送受信するパケットのバッファやプログラム動作の作業エリア、送受信パケットから得られる情報の蓄積等を行う揮発性のメモリである。
PS(740)は、SS1(70A)(70a)内部に電源を供給する電源回路である。なお、上記のハードウェア構成の内、PS(740)とPMD1(701)、PMD2(702)の一部以外は、1個のICに統合することも可能である。
RAM(730)は、送受信するパケットのバッファやプログラム動作の作業エリア、送受信パケットから得られる情報の蓄積等を行う揮発性のメモリである。
PS(740)は、SS1(70A)(70a)内部に電源を供給する電源回路である。なお、上記のハードウェア構成の内、PS(740)とPMD1(701)、PMD2(702)の一部以外は、1個のICに統合することも可能である。
(正常なPCがネットワークアクセスできるようになるまでの手順:検疫なし)
図3は、本発明の実施形態において検疫がない企業内ネットワークPCの接続手順である。検疫がない企業内ネットワークにPCを接続する手順は、
1.物理的に企業内LANに接続する(S31)。
2.DHCPサーバに対して、ネットワークアドレスを要求する(S32)。その際、PCの物理アドレスや使用者の認証等が行われる場合もある。
3.DHCPサーバがPCに対して、ネットワークアドレスを送付し、PCはネットワークアドレスを獲得する(S33)。
4.ネットワークアドレスを獲得したPCは、企業内ネットワークにアクセス可能となる(S34)。
(正常なPCがネットワークアクセスできるようになるまでの手順:検疫あり)
図4は、本発明の実施形態において検疫ネットワークが行われる場合であり、上述の検疫がない場合と以下の手順が異なっている。
3.DHCPサーバより暫定的なネットワークアドレスが付与される(S43)。
4.検疫サーバへPCがアクセスし、サーバからPC内の情報が、企業内ネットワークアクセスのセキュリティポリシーに合っているかどうかが検査され、もし、合っていなければ、治療が行われる(S44)。
5.検査に合格したPCに対して、正しいネットワークアドレスが付与される(S45)。
(悪意のPCがネットワークアクセスできるようになるまでの手順:検疫なし)
図5は、本発明の実施形態において検疫ネットワークがない企業内ネットワークに、悪意のある操作者がPCを企業内ネットワークに接続する場合の手順である。
この場合、DHCPサーバへアクセスすることなく、静的にネットワークアドレスを付加することで、その他の認証システムが存在しない場合、企業内ネットワークへアクセス可能となる。
図3は、本発明の実施形態において検疫がない企業内ネットワークPCの接続手順である。検疫がない企業内ネットワークにPCを接続する手順は、
1.物理的に企業内LANに接続する(S31)。
2.DHCPサーバに対して、ネットワークアドレスを要求する(S32)。その際、PCの物理アドレスや使用者の認証等が行われる場合もある。
3.DHCPサーバがPCに対して、ネットワークアドレスを送付し、PCはネットワークアドレスを獲得する(S33)。
4.ネットワークアドレスを獲得したPCは、企業内ネットワークにアクセス可能となる(S34)。
(正常なPCがネットワークアクセスできるようになるまでの手順:検疫あり)
図4は、本発明の実施形態において検疫ネットワークが行われる場合であり、上述の検疫がない場合と以下の手順が異なっている。
3.DHCPサーバより暫定的なネットワークアドレスが付与される(S43)。
4.検疫サーバへPCがアクセスし、サーバからPC内の情報が、企業内ネットワークアクセスのセキュリティポリシーに合っているかどうかが検査され、もし、合っていなければ、治療が行われる(S44)。
5.検査に合格したPCに対して、正しいネットワークアドレスが付与される(S45)。
(悪意のPCがネットワークアクセスできるようになるまでの手順:検疫なし)
図5は、本発明の実施形態において検疫ネットワークがない企業内ネットワークに、悪意のある操作者がPCを企業内ネットワークに接続する場合の手順である。
この場合、DHCPサーバへアクセスすることなく、静的にネットワークアドレスを付加することで、その他の認証システムが存在しない場合、企業内ネットワークへアクセス可能となる。
(悪意のPCがネットワークアクセスできるようになるまでの手順:検疫あり)
図6は、本発明の実施形態において検疫ネットワークを有する企業内ネットワークに対して接続する手順である。
検疫ネットワークを有する企業内ネットワークに対して、上述図5と同様な悪意のPCを企業内ネットワークに接続する場合、
2.ネットワークアドレスを静的に設定したPCを、検疫ネットワークにのみ接続できるよう、他のネットワークには接続できないよう、強制的に設定する(S62)。検疫サーバでは、PCの内部情報を検査し、問題があれば治療を行う。
3.検査に合格したPCに対しては、企業内ネットワークへのアクセスを許可するよう、ネットワーク側で設定変更を行う(S63)。という手順が実行される。
(パケットフォーマット)
図7は、本発明の実施形態に関するPC(150)、SS(70a)、NMS(170)(170)間のパケットフォーマットである。
本実施形態におけるパケットフォーマットは、SA(81a):送信元ネットワークアドレス、DA(82a):あて先ネットワークアドレス、Data(83a)とからなる。実際には、ネットワーク制御用のヘッダ、誤り検出のためのフィールド、メディアクセス制御層用のヘッダなどがあるが、ここでは説明を割愛する。
図6は、本発明の実施形態において検疫ネットワークを有する企業内ネットワークに対して接続する手順である。
検疫ネットワークを有する企業内ネットワークに対して、上述図5と同様な悪意のPCを企業内ネットワークに接続する場合、
2.ネットワークアドレスを静的に設定したPCを、検疫ネットワークにのみ接続できるよう、他のネットワークには接続できないよう、強制的に設定する(S62)。検疫サーバでは、PCの内部情報を検査し、問題があれば治療を行う。
3.検査に合格したPCに対しては、企業内ネットワークへのアクセスを許可するよう、ネットワーク側で設定変更を行う(S63)。という手順が実行される。
(パケットフォーマット)
図7は、本発明の実施形態に関するPC(150)、SS(70a)、NMS(170)(170)間のパケットフォーマットである。
本実施形態におけるパケットフォーマットは、SA(81a):送信元ネットワークアドレス、DA(82a):あて先ネットワークアドレス、Data(83a)とからなる。実際には、ネットワーク制御用のヘッダ、誤り検出のためのフィールド、メディアクセス制御層用のヘッダなどがあるが、ここでは説明を割愛する。
パケットフォーマットには2種あり、Format−Aは、通常のパケットである。Format−Bは、PCが企業内アクセスが許可されるまでのSS(70a)とNMS(170)(170)間のパケットフォーマットであり、オリジナルのパケット(Format−A)に、OSA(81b)、ODA(82b)を付加した構成で、OSA(81b)とODA(82b)には、SS(70a)とNMS(170)(170)のネットワークアドレスがセットされる。
なお、個々のパケットは以下の構成となっている。
(1)悪意のある端末PC(150)(アドレス[A])が、社内ネットワークSVR(180)(アドレス[D])へアクセスしようとする場合のパケットフォーマットである。
(1)悪意のある端末PC(150)(アドレス[A])が、社内ネットワークSVR(180)(アドレス[D])へアクセスしようとする場合のパケットフォーマットである。
(2)SS(70a)は、(1)のパケットを受信後、その端末のメディアクセス制御層のアドレスとネットワークアドレスをData2(83c)に格納し、正当な端末であるかどうかをNMS(170)(170)へ問い合わせる。SA(81a)はSS(70a)のネットワークアドレス[B]。DA(82a)は、NMS(170)(170)のネットワークアドレス[C]である。
(3)NMS(170)(170)は、(2)の問い合わせに対して、PC(150)のアドレスを検査し、検疫済みかどうかをData3(83d)にセットし、ある決められた暗号化手順により、Data3(83d)を暗号化し、SA(81a)にNMS(170)(170)のネネットワークアドレス[C]、DA(82a)にSS(70a)のネットワークアドレス[B]をセットしたパケットを送信する。
(4)NMS(170)(170)がPC(150)に対して、検疫を行うための情報問い合わせパケットである。OSA(81b)部より後ろは全て暗号化され、SA(81a):NMS(170)(170)[C]、DA(82a):SS(70a)[B]のネットワークアドレスをセットする。
(5)(4)のパケットのSA(81a)、DA(82a)を削除後、ODA(82b)以降を復号化し、OSA(81b)、ODA(82b)をSA(81a)、DA(82a)に入れたパケットである。
(6)(5)のパケットに対する応答であり、SA(81a)はPC(150)のネットワークアドレス[A]、DA(82a)はNMS(170)(170)のネットワークアドレス[C]である。
(7)(6)のパケットに対して、SA(81a):SS(70a)のネットワークアドレス[B]、DA(82a):NMS(170)(170)のネットワークアドレス[C]を付加したものである。(6)のパケットは暗号化されている。
(8)検疫が終了したことを示すパケットであり、SA(81a):NMS(170)(170)のネットワークアドレス[C]、DA(82a):SS(70a)のネットワークアドレス[B]を入れ、Data1(83b)には、PC(150)のネットワークアドレス[A]が、企業内ネットワークアクセス可能となったことを通知するデータが格納されている。Data1(83b)は暗号化されている。
(9)ネットワークアクセス可能となったあとの、PC(150)がSVR(180)へアクセスし、その応答パケットである。SA(81a):SVR(180)のネットワークアドレス[D]、DA(82a):PC(150)のネットワークアドレス[A]である。SS(70a)は、アドレスの付加等を行わず、中継を行う。
(企業内ネットワークアクセス許可後の異常検出・検出後のパケット中継処理決定手順)
図8は、本発明の実施形態に関する企業内ネットワークアクセス許可後の異常検出・検出後のパケット中継処理決定手順を示すフローチャートである。
(本発明の第1の実施形態)
本発明は、企業内のネットワークのセキュリティを向上させるためのもので、システム構成としては、図1に示すシステム構成を対象としている。
Internet(1)と企業内ネットワークの間のパケット送受信を行うゲートウェイ装置(GW(10))と、Internet(1)からの不正アクセスを防御するためのFW(20)と、外部に公開されているサーバ(企業の公開ホームページが実装されているWebサーバやメールサーバなど)であるSV1(30)と、階層構造化されたスイッチネットワークを構成するSW1(50)、SW2(70)(70)、SW3(80)と、企業内のネットワークに流れているパケットを検出、分析、排除を行うSS1(70A)〜6(70a〜70cと80a〜80c)、そのSS1(70A)〜6(70a〜70cと80a〜80c)に対して、管理や情報収集制御、中継動作制御等を行う管理サーバ(NMS(170)(170))、端末(PC1(150)(150)、PC2(110)、PC3(160)、PC4(120))、部門サーバ(SV3(130)、SV4(140)(140))、無線LANのアクセスポイントであるAP1(90)、AP2(100)などから構成されている。
図8は、本発明の実施形態に関する企業内ネットワークアクセス許可後の異常検出・検出後のパケット中継処理決定手順を示すフローチャートである。
(本発明の第1の実施形態)
本発明は、企業内のネットワークのセキュリティを向上させるためのもので、システム構成としては、図1に示すシステム構成を対象としている。
Internet(1)と企業内ネットワークの間のパケット送受信を行うゲートウェイ装置(GW(10))と、Internet(1)からの不正アクセスを防御するためのFW(20)と、外部に公開されているサーバ(企業の公開ホームページが実装されているWebサーバやメールサーバなど)であるSV1(30)と、階層構造化されたスイッチネットワークを構成するSW1(50)、SW2(70)(70)、SW3(80)と、企業内のネットワークに流れているパケットを検出、分析、排除を行うSS1(70A)〜6(70a〜70cと80a〜80c)、そのSS1(70A)〜6(70a〜70cと80a〜80c)に対して、管理や情報収集制御、中継動作制御等を行う管理サーバ(NMS(170)(170))、端末(PC1(150)(150)、PC2(110)、PC3(160)、PC4(120))、部門サーバ(SV3(130)、SV4(140)(140))、無線LANのアクセスポイントであるAP1(90)、AP2(100)などから構成されている。
SS1(70A)〜6(70a〜70cと80a〜80c)は、ネットワークのインタフェースを最低2個有しており、PC1(150)(150)、PC3(160)とSW1(50)間や、AP1(90)、AP2(100)とSW2(70)(70)、SW3(80)間、SV3(130)、SV4(140)(140)とSW2(70)(70)、SW3(80)間等に配置する。PC1(150)〜4(150、110、160、120)が、企業内ネットワークやInternet(1)にアクセスする際には、このSS1(70A)〜6(70a〜70cと80a〜80c)を経由してアクセスするように、配置しておく。
SS1(70A)〜6(70a〜70cと80a〜80c)は、性能によっては、SW1(50)とSW2(70)(70)の間においても良いし、また、SW2(70),3内にその機能を持たせても良い。
次に、SS1(70A)〜6(70a〜70cと80a〜80c)内のパケット送受信の動作を、図2を元に説明する。
SS1(70A)〜6(70a〜70cと80a〜80c)に向けて送信されたパケットは、PMD1(701)、PHY1(703)、SEL1(705)を経由して、MAC1(707)に受信される。MAC1(707)で受信したパケットは、MP(710)の制御に基づいて、RAM(730)に書き込まれる。NVRAM(720)に書かれているプログラムに従い、その受信したパケットのアドレスやデータなどの各フィールドが検査される。検査結果、遮断・通過がMP(710)により判断され、遮断と判断された場合には、RAM(730)内のパケットバッファをリリースする。通過と判断された場合には、RAM(730)内のパケットバッファを読み出し、MAC2(708)へ送信要求をMP(710)より行う。MAC2(708)では、メディアクセスを行い、SEL2(706)、PHY2(704)、PMD2(702)を経由して、パケットが送信される。
SS1(70A)〜6(70a〜70cと80a〜80c)に向けて送信されたパケットは、PMD1(701)、PHY1(703)、SEL1(705)を経由して、MAC1(707)に受信される。MAC1(707)で受信したパケットは、MP(710)の制御に基づいて、RAM(730)に書き込まれる。NVRAM(720)に書かれているプログラムに従い、その受信したパケットのアドレスやデータなどの各フィールドが検査される。検査結果、遮断・通過がMP(710)により判断され、遮断と判断された場合には、RAM(730)内のパケットバッファをリリースする。通過と判断された場合には、RAM(730)内のパケットバッファを読み出し、MAC2(708)へ送信要求をMP(710)より行う。MAC2(708)では、メディアクセスを行い、SEL2(706)、PHY2(704)、PMD2(702)を経由して、パケットが送信される。
MP(710)が何らかの要因で動作できなくなった場合や、NMS(170)(170)より検出のみを行い、パケット遮断は行わないという設定がされた場合には、SEL1(705)、SEL2(706)は、受信パケットはMAC1(707)、MAC2(708)とSW(709)両方に出力し、送信はSW(709)からのみのパケットをPHY1(703)、PHY2(704)へ転送するよう動作する。
低コスト化する場合には、SEL1(705)、SEL2(706)、W(709)を省いた構成も可能である。
企業内に、悪意を持ったユーザの端末(ここでは、PC1(150)(150))が、他部門のサーバ(SV4(140)(140))にアクセスしようとした場合に、どう防御するのかを、図3から図8を使って説明する。
企業内に、悪意を持ったユーザの端末(ここでは、PC1(150)(150))が、他部門のサーバ(SV4(140)(140))にアクセスしようとした場合に、どう防御するのかを、図3から図8を使って説明する。
企業内の内部ネットワークでは、接続される端末が正当なものかどうかを検出する手段として、DHCP(Dynamic Host Configuration Protocol)を使って行う場合が多い。あらかじめ、端末のメディアアクセス用のアドレス(一般的にはMACアドレスと呼ばれる)を登録しておき、そのアドレス以外の端末に対しては、ネットワークアドレス(一般的にはIPアドレス)を付与させないことで、内部ネットワークにアクセスさせない仕組みがある。
また、それに認証をあわせた仕組みを組み合わせることで、操作者自身の検査を行うことも可能である。しかし、この仕組みでは、悪意のユーザは、DHCPによるアドレス獲得ではなく、静的にネットワークアドレスを設定してしまうと、SW1(50)にMACアドレスのフィルタリング機能が無い限り、内部ネットワークアクセスを止めることができない(図5)。SV4(140)では、PC1(150)からのアクセスに対して、認証が必要となっていたとしても、何らかの手段によって、ユーザIDやパスワードを入手されてしまうと、アクセス可能となってしまう。
検疫システムを有しているネットワークにおいても、DHCPの仕組みを利用した検知では、同様の問題が発生する。そこで、検疫システムに認証機能を有し、Virtual LANにより、検疫されないPCには、内部ネットワークアクセスを禁止できるSWとすると、認証されない限り内部ネットワークにアクセスできず、Virtual LANが正しく設定されていれば、他部門のSVRに対してアクセスすることはできない。しかし、この仕組みを構築するためには、全ての企業内のSWにその機能をもたせる必要があり、現状のSWがその機能をササポートしていなかった場合、装置交換を行う必要がある。また、一旦、正しく認証されてしまうと、同一Virtual LANグループ内には、自由にアクセス出来てしまう恐れがある。
本発明では、PC1(150)とSW2(70)間に、SS1(70A)(70a)を挿入することで、これらの課題を解決できる。
PC1(150)が、内部ネットワークに物理的に接続を行う。その際、ネットワークアドレスは静的に設定(アドレス[A])されており、DHCPの仕組みを利用しない不正な端末である。そのPC1(150)が、他部門のサーバであるSV4(140)(アドレス[D])へアクセスするパケットを送信する。そのパケットは、図7の(1)の構成をとっていたとする。(1)パケットを受信したSS1(70A)(70a)は、そのメディアアクセス用アドレスと、[A]のアドレスを取り出し、NMS(170)に対して、(2)のパケットで問い合わせを行う。
PC1(150)が、内部ネットワークに物理的に接続を行う。その際、ネットワークアドレスは静的に設定(アドレス[A])されており、DHCPの仕組みを利用しない不正な端末である。そのPC1(150)が、他部門のサーバであるSV4(140)(アドレス[D])へアクセスするパケットを送信する。そのパケットは、図7の(1)の構成をとっていたとする。(1)パケットを受信したSS1(70A)(70a)は、そのメディアアクセス用アドレスと、[A]のアドレスを取り出し、NMS(170)に対して、(2)のパケットで問い合わせを行う。
NMS(170)では、PC1(150)が登録されていた端末であるか否かを(3)のパケットでSS1(70A)(70a)に通知する。アドレスだけで不正かどうかは、分からない場合には、NMS(170)は、(4)のパケットを使用して、PC1(150)の内部情報を読み出す。SS1(70A)(70a)では、NMS(170)からのパケットであることから、それを受信し、そのパケットフォーマットから、[B][C]のヘッダを削除して、PC1(150)に(5)のパケットを送信する。
PC1(150)はそのパケットの応答を(6)のパケットでNMS(170)に送信する。SS1(70A)(70a)では、(6)のパケットに、あて先[C]、送信元[B]のヘッダ情報を付加した(7)パケットを送信する。(4)から(7)を繰り返すことで、PC1(150)が正しい端末であるとなった後、NMS(170)はSS1(70A)に対して、PC1(150)の中継ルールを(8)のパケットで通知する。
その後、PC1(150)がSV4(140)に対してアクセスし、その中継が許可されていれば、(1)のパケットはそのまま中継し、またその応答の(9)のパケットもそのまま中継する。中継ルールとして、PC1(150)からSV4(140)へのアクセスは破棄となっていた場合には、(1)のパケットはSS1(70A)(70a)にて破棄する。
企業内ネットワークアクセス許可後の異常検出・検出後のパケット中継処理決定手順を図8を元に説明する。
1(S81):図7の(8)パケットを使って、NMS(170)からSS1(70A)(70a)に対して、中継ルールの設定が行われる。中継ルールには、ファイヤーウォールと同様の、アドレスやプロトコル、流量、データの内容、それぞれの組み合わせによる遮断、通過ルールの設定方法以外に、アノーマリ方と呼ばれる、不正アクセスの通信パターンを指定する場合があり、いずれも、SS1(70A)(70a)は対応可能である。中継、遮断ルールには、そのルールに該当するパケットを検出した際の、適応ルールも設定される。この適用ルールには、検出後、その送信元アドレスのパケットを全て破棄、該当パケットのみ破棄、該当パケットのみ中継、中継レートを抑制して中継、等があり、これらを組み合わせた適用ルールも設定できる。
また、中継ルールは、随時見直し、アップデートされる仕組みを有する。
2(S82):SS1(70A)(70a)は、受信パケットをキャプチャし、指定された中継ルールとの比較を行う。
3(S83): 比較結果、中継ルールに違反したパケットを検出したかどうかを検証し、違反が発見されれば、4(S84)のプロセスに進み、発見できなければ、2(S82)の受信パケットの検査処理に戻る。
1(S81):図7の(8)パケットを使って、NMS(170)からSS1(70A)(70a)に対して、中継ルールの設定が行われる。中継ルールには、ファイヤーウォールと同様の、アドレスやプロトコル、流量、データの内容、それぞれの組み合わせによる遮断、通過ルールの設定方法以外に、アノーマリ方と呼ばれる、不正アクセスの通信パターンを指定する場合があり、いずれも、SS1(70A)(70a)は対応可能である。中継、遮断ルールには、そのルールに該当するパケットを検出した際の、適応ルールも設定される。この適用ルールには、検出後、その送信元アドレスのパケットを全て破棄、該当パケットのみ破棄、該当パケットのみ中継、中継レートを抑制して中継、等があり、これらを組み合わせた適用ルールも設定できる。
また、中継ルールは、随時見直し、アップデートされる仕組みを有する。
2(S82):SS1(70A)(70a)は、受信パケットをキャプチャし、指定された中継ルールとの比較を行う。
3(S83): 比較結果、中継ルールに違反したパケットを検出したかどうかを検証し、違反が発見されれば、4(S84)のプロセスに進み、発見できなければ、2(S82)の受信パケットの検査処理に戻る。
4(S84): 違反内容に基づいた適用ルールを読み出す。
5,6(S85,S86):適用ルールが、遮断であった場合、中継処理を停止させる。
5,7(S85,S87):適用ルールが、限定されたパターンのみ中継動作となっていた場合、そのルールを、中継処理に設定する。
8(S88): 不正検出したこと、その内容をNMS(170)へ送信する。
これによって、不正な動作を検出し、企業内ネットワークの内部からの不正アクセスを防止し、不正パケットの保存を行うことが可能となる。
SS1(70A)は、PC1(150)に対しては、送信元アドレスにSS1(70A)自身のアドレスをセットしたパケットは送信しないことで、PC1(150)にその存在を検出できなくし、SS1(70A)に対する内部からの攻撃をできなくできる。
5,6(S85,S86):適用ルールが、遮断であった場合、中継処理を停止させる。
5,7(S85,S87):適用ルールが、限定されたパターンのみ中継動作となっていた場合、そのルールを、中継処理に設定する。
8(S88): 不正検出したこと、その内容をNMS(170)へ送信する。
これによって、不正な動作を検出し、企業内ネットワークの内部からの不正アクセスを防止し、不正パケットの保存を行うことが可能となる。
SS1(70A)は、PC1(150)に対しては、送信元アドレスにSS1(70A)自身のアドレスをセットしたパケットは送信しないことで、PC1(150)にその存在を検出できなくし、SS1(70A)に対する内部からの攻撃をできなくできる。
また、同様にNMS(170)からのパケットで、SS1(70A)宛のパケットは、単純なアドレス比較のみで破棄することで、外部からも見えなくすることができる。
また、NMS(170)とSS1(70A)間のパケットを、暗号化し、かつ、パケットデータのハッシュ値を持たせたパケットとすることで、SS1(70A)に対する中継動作ルール等の設定の盗聴や改竄から防ぐ仕組みを設けることができる。
SS1(70A)は、PC1(150)から受信するパケットの単位時間当たりのデータ量(X bit/sec)を監視している。また、SS1(70A)は、NMS(170)より、単位時間当たりの最大データ量(Y bit/sec)が設定されている。また、X=>Yとなった場合の、制御方法もNMS(170)からSS1(70A)に設定されている。例えば、越えた部分(X−Y)のパケットを破棄する、超えないように中継パケット送出時間の間隔を調整し、Yに抑える。ある一定時間、PC1(150)から受信したパケットの中継を停止させる。などが設定される。単位時間当たりの最大データ量は、複数の値が設定でき、Y1 bit/secでは、越えた部分を破棄する、Y2 bit/secの場合には、全ての受信パケットを破棄するといった設定も可能である。
PC1(150)が、不正プログラムがインストールされ、社内のサーバSV2(60)にDoS攻撃等の異常トラフィックのパケットを発行した場合、SS1(70A)では、受信データ量が、閾値Y2を越えたことを検知し、SS1(70A)では、PC1(150)からの受信パケットを全て破棄する。これによって、PC1(150)からSV2(60)に対する大きなトラフィックを抑えることができ、SV2(60)のサービス停止、他の正常なトラフィックの保護等が可能となる。
この仕組みにより、従来、VoIP技術を使ったIP電話等遅延や帯域不足に敏感なトラフィックを保護するために、データ通信と異なるネットワークを構築していたが、同一ネットワークに接続できるようになる。
なお、大量のパケットが送られてきた場合、データ量の監視処理が、MP(710)の処理能力を超えてしまうと、MP(710)の動作が不能となる場合があるが、SS1(70A)内のSWによりデータ量の監視を行わせることで、MP(710)には処理能力は不要となり、SS1(70A)自体がサービス停止になることを防ぐことが可能である。
(他の実施形態)
センサーで実現する機能は、端末とLANスイッチ間のみではなく、LANスイッチとLANスイッチ間に置くことも可能である。
また、スイッチ自身や、無線LANのアクセスポイントに、SS1(70a)の機能を実装することもできる。
NMS(170)は、内部ネットワークのみならず、企業内ネットワークのセキュリティを管理、監視するサービスを提供する事業者に、NMSを置くことも可能である。
センサー自身は、小型化が可能であり、LANケーブルの一部や中継コネクタとして実現可能である。
センサー経由されないアクセスに関しては、PCとSW間以外に、さらに、SWとSWの間にも、センサーを配備し、初期のセンサーとNMS間のパケットを監視し、そのやり取りが行われていないまま、流れてきたパケットに関しては、中継しないようにすることで、防止することができる。
センサーで実現する機能は、端末とLANスイッチ間のみではなく、LANスイッチとLANスイッチ間に置くことも可能である。
また、スイッチ自身や、無線LANのアクセスポイントに、SS1(70a)の機能を実装することもできる。
NMS(170)は、内部ネットワークのみならず、企業内ネットワークのセキュリティを管理、監視するサービスを提供する事業者に、NMSを置くことも可能である。
センサー自身は、小型化が可能であり、LANケーブルの一部や中継コネクタとして実現可能である。
センサー経由されないアクセスに関しては、PCとSW間以外に、さらに、SWとSWの間にも、センサーを配備し、初期のセンサーとNMS間のパケットを監視し、そのやり取りが行われていないまま、流れてきたパケットに関しては、中継しないようにすることで、防止することができる。
NMSでは、全てのセンサーの監視状況を収集し、不正アクセス(未知のウィルスや乗っ取り、ボットネト等に犯されたPC)のパケットの流れ方を学習することで、過去に発生した不正アクセスに類似したパケットの流れを検知、排除できる仕組みをもつネットワークセキュリティを提供できる。
1…インターネット網
10…ゲートウェイ
20…FW
30,60,130,140…サーバ
40…内部ネットワーク
50,70,80…ネットワーク機器
79a,70b,70c,80a,80b,80c…ネットワークセンサー
110,120,150,160…パーソナルコンピュータ
90,100…アクセスポイント
170…ネットワークマネージメントサーバ
10…ゲートウェイ
20…FW
30,60,130,140…サーバ
40…内部ネットワーク
50,70,80…ネットワーク機器
79a,70b,70c,80a,80b,80c…ネットワークセンサー
110,120,150,160…パーソナルコンピュータ
90,100…アクセスポイント
170…ネットワークマネージメントサーバ
Claims (5)
- 企業内ネットワークに複数が分散配置され、端末と前記ネットワーク間に挿入され、前記端末と前記ネットワーク間のパケットを中継するとともに、ネットワーク管理サーバからの設定に基づき、前記ネットワーク上を流れるパケット情報の検出、および前記ネットワーク管理サーバへの通知、該当するパケットのフィルタリングを行う複数のセンサーと、
前記複数のセンサーの各々に情報収集及び遮断のためのルールを設定し、前記複数のセンサーから収集した情報を基に情報漏洩や不正アクセスを検知し、該当するパケットを遮断するよう前記センサーに通知するネットワーク管理サーバと、
前記センサーと前記ネットワーク管理サーバ間は、カプセル化されたパケットを利用する
ことを特徴とするネットワークセキュリティシステム。 - 前記ネットワーク管理サーバは、DHCPサーバあるいは認証機器と連動し正規のクライアントのネットワークアドレスをリストアップするとともに、
前記センサーは、下位ネットワークから受信したパケットのネットワークアドレスを前記ネットワーク管理サーバに通知し、
前記ネットワーク管理サーバは、前記センサーから送られてきたネットワークアドレスが、先のリストに存在しない場合、ある決められたパケットのみ、元のパケットに、前記センサーのアドレスと前記ネットワーク管理サーバのアドレスを付加したカプセル化パケットを生成し、前記ネットワーク管理サーバへ送信するとともに、
前記ネットワーク管理サーバは、前記センサーから送信された前記カプセル化パケットの元パケットの送信端末に対する内部のソフトウェア構成を確認し、この確認結果をもとにプログラムのアップデートを行う検疫システムを動作させる
ことを特徴とする請求項1に記載のネットワークセキュリティシステム。 - 前記センサー自身のネットワークアドレスは、前記ネットワーク管理サーバのみで管理し、
前記センサーでは、自分宛のパケットの送信元アドレスが登録されているネットワーク管理サーバのアドレスと一致しなかった場合、前記パケットを破棄する
ことを特徴とする請求項1に記載のネットワークセキュリティシステム。 - 前記センサーと前記ネットワーク管理サーバ間の通信は、暗号化とともに、ハッシュによるパケット情報が設定される
ことを特徴とする請求項1に記載のネットワークセキュリティシステム。 - 前記センサーは、前記下位ネットワークからのパケット流量を監視し、あらかじめ前記ネットワーク管理サーバにて決められた流量を超えた場合、前記パケット転送間隔を前記あらかじめ決められた流量になるように制御する
ことを特徴とする請求項2に記載のネットワークセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006323942A JP2008141352A (ja) | 2006-11-30 | 2006-11-30 | ネットワークセキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006323942A JP2008141352A (ja) | 2006-11-30 | 2006-11-30 | ネットワークセキュリティシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008141352A true JP2008141352A (ja) | 2008-06-19 |
Family
ID=39602400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006323942A Pending JP2008141352A (ja) | 2006-11-30 | 2006-11-30 | ネットワークセキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008141352A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012529795A (ja) * | 2009-06-08 | 2012-11-22 | 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 |
| US9386039B2 (en) | 2011-01-25 | 2016-07-05 | Nec Corporation | Security policy enforcement system and security policy enforcement method |
| JP2017069614A (ja) * | 2015-09-28 | 2017-04-06 | 富士通株式会社 | ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法 |
| JP2017084296A (ja) * | 2015-10-30 | 2017-05-18 | 日本電信電話株式会社 | 検知方法及び検知システム |
-
2006
- 2006-11-30 JP JP2006323942A patent/JP2008141352A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012529795A (ja) * | 2009-06-08 | 2012-11-22 | 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 | 3要素ピア認証信頼可能ネットワークアクセスアーキテクチャーに適するアクセス制御方法 |
| US8719897B2 (en) | 2009-06-08 | 2014-05-06 | China Iwncomm Co., Ltd. | Access control method for tri-element peer authentication credible network connection structure |
| US9386039B2 (en) | 2011-01-25 | 2016-07-05 | Nec Corporation | Security policy enforcement system and security policy enforcement method |
| JP2017069614A (ja) * | 2015-09-28 | 2017-04-06 | 富士通株式会社 | ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法 |
| JP2017084296A (ja) * | 2015-10-30 | 2017-05-18 | 日本電信電話株式会社 | 検知方法及び検知システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| US8256003B2 (en) | Real-time network malware protection | |
| US6892241B2 (en) | Anti-virus policy enforcement system and method | |
| JP4195480B2 (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
| JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| US8726384B2 (en) | Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such | |
| US20040083388A1 (en) | Method and apparatus for monitoring data packets in a packet-switched network | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP4984531B2 (ja) | サーバ監視プログラム、中継装置、サーバ監視方法 | |
| JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
| US20080235800A1 (en) | Systems And Methods For Determining Anti-Virus Protection Status | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
| JP2011035535A (ja) | 通信遮断装置、サーバ装置、方法およびプログラム | |
| JP2008141352A (ja) | ネットワークセキュリティシステム | |
| US20050259657A1 (en) | Using address ranges to detect malicious activity | |
| CN113115314B (zh) | 一种4g移动通信网络hss信令防护方法及装置 | |
| JP4823728B2 (ja) | フレーム中継装置及びフレーム検査装置 | |
| KR100722720B1 (ko) | 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법 | |
| JP3790486B2 (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
| KR101977612B1 (ko) | 네트워크관리장치 및 방법 | |
| KR20120000942A (ko) | 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법 | |
| JP4039361B2 (ja) | ネットワークを用いた分析システム | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 |