JP2008244808A - Communication security system and communication security device - Google Patents
Communication security system and communication security device Download PDFInfo
- Publication number
- JP2008244808A JP2008244808A JP2007082123A JP2007082123A JP2008244808A JP 2008244808 A JP2008244808 A JP 2008244808A JP 2007082123 A JP2007082123 A JP 2007082123A JP 2007082123 A JP2007082123 A JP 2007082123A JP 2008244808 A JP2008244808 A JP 2008244808A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- communication
- router
- security
- arp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、IP(Internet Protocol)ネットワークに関し、詳しくはIPネットワークにおけるセキュリティ処理を実行する通信セキュリティシステム及び通信セキュリティ装置に関する。 The present invention relates to an IP (Internet Protocol) network, and more particularly to a communication security system and a communication security apparatus that execute security processing in an IP network.
複数のコンピュータ間で情報通信が行えるように接続されたIPネットワーク(以下、単にネットワークと呼ぶ。)では、非常に高い利便性を有する一方、悪意のあるユーザによるコンピュータウィルスの感染行為や不正なアクセスといった攻撃の危険に常にさらされている。このような不当な攻撃に対抗するには、例えば、ネットワーク上に接続された端末装置やサーバ装置にコンピュータウィルスや不正なアクセスを検出するソフトウェアをインストールなどしてセキュリティ機能を高める必要がある。このようなソフトウェアは、新たなコンピュータウィルスや新たな不正なアクセス手法に対抗するために、常に最新のソフトウェアを導入する必要がある。 In an IP network (hereinafter simply referred to as a network) connected so that information communication can be performed between a plurality of computers, it has a very high level of convenience, while a malicious user is infected with a computer virus or illegal access. Is always exposed to the danger of such attacks. In order to counter such an unfair attack, for example, it is necessary to enhance the security function by installing software for detecting computer viruses or unauthorized access in a terminal device or server device connected on the network. In order to counter new computer viruses and new unauthorized access methods, it is necessary to always install the latest software.
さらに、セキュリティを強化するためには、ネットワーク上に、例えば、許可されていないパケットを破棄する機能といった何らかのセキュリティ機能を導入する必要がある。このようなネットワーク上に導入されるセキュリティ機能は、ルータやスイッチ、通信経路の間に挟み込むブリッジ型の機器などに実装されることになる(例えば、特許文献1参照。)。このような、ネットワーク上に導入されるセキュリティ機能も、新たな攻撃手法に対抗するために常に最新の機能を追加していく必要がある。
しかしながら、特許文献1で開示されている手法のように、ルータやスイッチ、ブリッジ型の機器にセキュリティ機能を実装させる場合、新たなセキュリティ機能を実装させるのに際し、ネットワークの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えなどの作業が必要となり、非常に煩わしい作業を強いられてしまうとともに、コストを増大させてしまうといった問題がある。
However, when a security function is implemented in a router, switch, or bridge-type device as in the method disclosed in
そこで、本発明は、上述した実情に鑑みて提案されたものであり、ネットワークへの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えといった作業をすることなく、ネットワーク上におけるセキュリティ機能を容易に追加することができ、コストを低減することができる通信セキュリティシステム及び通信セキュリティ装置を提供することを目的とする。 Therefore, the present invention has been proposed in view of the above-described circumstances, and can be performed on the network without performing work such as design change to the network, change of the network wiring, and replacement of existing equipment connected to the network. It is an object of the present invention to provide a communication security system and a communication security device that can easily add a security function and reduce costs.
本発明の通信セキュリティシステムは、内部ネットワークと外部ネットワークとを相互接続し、所定のルーティング規則に基づきパケットを転送するルータと、前記内部ネットワークに分岐して接続される通信セキュリティ装置とを備える通信セキュリティシステムであって、前記通信セキュリティ装置が、前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、前記ルータとパケット通信を行うルータ通信手段と、前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段とを有することで、上述の課題を解決する。 A communication security system according to the present invention includes a router that interconnects an internal network and an external network, forwards a packet based on a predetermined routing rule, and a communication security device that is branched and connected to the internal network. The communication security device is a terminal communication unit that performs packet communication with a terminal device connected to the internal network, a router communication unit that performs packet communication with the router, the terminal communication unit, and the router communication. The above-mentioned problem is solved by having security processing means for executing security processing for judging the validity of the packet acquired by each packet communication by the means.
また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記ルータに設定されている所定のルーティング規則を、前記外部ネットワークから前記内部ネットワークへのパケット通信に際し、当該通信セキュリティ装置にパケットが転送されるよう変更するルーティング規則変更手段を有し、前記ルータが、前記ルーティング規則変更手段によって前記ルーティング規則が変更されたことに応じて、前記内部ネットワークへ送信するパケットを前記通信セキュリティ装置に転送する。そして、前記端末装置のルーティング規則を、前記内部ネットワークから前記外部ネットワークへのパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるよう設定することで、上述の課題を解決する。 In the communication security system of the present invention, when the communication security device performs a packet communication from the external network to the internal network according to a predetermined routing rule set in the router, the packet is transferred to the communication security device. Routing rule changing means for changing the routing rule, and the router forwards a packet to be transmitted to the internal network to the communication security device in response to the routing rule being changed by the routing rule changing means. . Then, the above-mentioned problem is solved by setting the routing rule of the terminal device so that the packet is transferred to the communication security device in the packet communication from the internal network to the external network.
また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記内部ネットワーク上に存在するルータのIPアドレスを記載したアドレステーブルを記憶した記憶手段と、前記記憶手段に記憶されているアドレステーブルを参照し、前記アドレステーブルに記載されている全てのルータに対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう指示する停止指示手段と、前記ルータに対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信するARP処理手段とを有する。そして、前記ルータが、前記停止指示手段による指示に応じて、ARP応答パケットを返信する機能停止させることで、上述の課題を解決する。 In the communication security system of the present invention, the communication security apparatus includes a storage unit storing an address table that describes an IP address of a router existing on the internal network, and an address table stored in the storage unit. The stop instruction means for instructing all routers described in the address table to stop the function of returning the ARP response packet as a response to the ARP request packet, and the ARP request packet for the router. ARP processing means for generating an ARP response packet for the ARP request packet in response to the reception and returning the ARP response packet to the transmission source of the ARP request packet. The router solves the above-mentioned problem by stopping the function of returning an ARP response packet in response to an instruction from the stop instruction unit.
また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記内部ネットワーク上に存在するルータを検索し、前記記憶手段に記憶させるアドレステーブルを生成するテーブル生成手段を有することで、上述の課題を解決する。 Further, the communication security system according to the present invention includes the table generation means for searching for a router existing on the internal network and generating an address table to be stored in the storage means. To solve.
また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記端末装置のルーティング規則を、前記内部ネットワーク内におけるパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるように設定するとともに、前記内部ネットワークに接続された全ての端末装置に対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう設定する。そして、前記通信セキュリティ装置のARP処理手段が、前記内部ネットワーク内のパケット通信において、前記端末装置に対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信することで、上述の課題を解決する。 In the communication security system of the present invention, the communication security device sets a routing rule of the terminal device so that a packet is transferred to the communication security device in packet communication in the internal network. All terminal devices connected to the internal network are set to stop the function of returning an ARP response packet that is a response to the ARP request packet. Then, the ARP processing means of the communication security device generates an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the terminal device in packet communication within the internal network, and generates an ARP request The above-mentioned problem is solved by returning the packet to the transmission source.
また、本発明の通信セキュリティ装置は、内部ネットワークと外部ネットワークとを相互接続し、所定のルーティング規則に基づきパケットを転送するルータと、前記内部ネットワークに分岐して接続される通信セキュリティ装置とを備える通信セキュリティシステムの前記通信セキュリティ装置であって、前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、前記ルータとパケット通信を行うルータ通信手段と、前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段とを有することで、上述の課題を解決する。 The communication security device of the present invention includes a router that interconnects an internal network and an external network, forwards a packet based on a predetermined routing rule, and a communication security device that is branched and connected to the internal network. The communication security apparatus of the communication security system, wherein terminal communication means for performing packet communication with a terminal device connected to the internal network, router communication means for performing packet communication with the router, the terminal communication means, the router Having the security processing means for executing the security processing for judging the validity of the packet acquired by each packet communication by the communication means solves the above-mentioned problem.
本発明によれば、ネットワークの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えといた作業をすることなく、ネットワーク上におけるセキュリティ機能を容易に追加することを可能とし、コストを低減することを可能とする。 According to the present invention, it is possible to easily add a security function on a network without performing a work such as a network design change, a network wiring change, or replacement of an existing device connected to the network, Costs can be reduced.
また、本発明によれば、セキュリティ処理手段によるセキュリティ処理を、パケットに確実に施すことが可能となる。 Further, according to the present invention, it is possible to reliably perform security processing on the packet by the security processing means.
また、本発明によれば、セキュリティ機能のすり抜けを防止することを可能とするとともに、通信セキュリティ装置を経由するようにパケットを誘導することを可能とする。 In addition, according to the present invention, it is possible to prevent a security function from passing through and to guide a packet to pass through a communication security device.
また、本発明によれば、記憶手段に記憶させるアドレステーブルを生成する際に、ユーザに要する労力を大幅に削減することが可能となる。 Further, according to the present invention, it is possible to greatly reduce the labor required for the user when generating the address table to be stored in the storage means.
また、本発明によれば、内部ネットワーク内においてもセキュリティ処理を確実に施すことが可能となる。 Further, according to the present invention, security processing can be reliably performed even in the internal network.
以下、本発明の実施の形態について図面を参照して説明する。まず、図1を用いて、本発明の実施の形態として示す通信セキュリティシステムについて説明をする。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. First, a communication security system shown as an embodiment of the present invention will be described with reference to FIG.
図1に示すように、通信セキュリティシステムは、ルータ20を介して内部ネットワークであるLAN(Local Area Network)40と外部ネットワークであるIP(Internet Protocol)ネットワーク50とが相互に接続されている。LAN40には、複数の端末装置5n(nは、自然数)とセキュリティゲートウェイ装置10が分岐して接続されている。また、IPネットワーク50には、サーバ装置30が接続されている。
As shown in FIG. 1, in the communication security system, a LAN (Local Area Network) 40 that is an internal network and an IP (Internet Protocol)
このような構成の通信セキュリティシステムは、内部ネットワークであるLAN40に接続された端末装置5nと、外部ネットワークであるIPネットワーク50に接続されたサーバ装置30とが相互にパケット通信をすることができる。
In the communication security system having such a configuration, the
このとき、端末装置5nからLAN40外へと送信されるパケットが、必ずセキュリティゲートウェイ装置10を通過し、サーバ装置30からLAN40内へと送信されるパケットが、必ずセキュリティゲートウェイ装置10を通過するように、端末装置5n、ルータ20に対するルーティング規則を変更する。端末装置5nに対するルーティング規則の変更は、ユーザにより手動で実行され、ルータ20に対するルーティング規則の変更は、セキュリティゲートウェイ装置10によって実行される。
At this time, a packet transmitted from the
ルーティング規則の変更により、図1に示すように、端末装置5nから送信されたパケットPT1は、LAN40に接続されたセキュリティゲートウェイ装置10に一旦転送されてから、ルータ20を経由してIPネットワーク50を介してサーバ装置30へと到達する。また、サーバ装置30から送信されたパケットPT2は、IPネットワーク50を介してルータ20を経由し、LAN40に接続されたセキュリティゲートウェイ装置10に一旦転送されてから端末装置5nへと到達する。
Due to the change of the routing rule, the packet PT1 transmitted from the
続いて、図2を用いてセキュリティゲートウェイ装置10の構成について説明をする。セキュリティゲートウェイ装置10は、通信インターフェース11と、通信制御部12と、セキュリティ機能部13と、ルーティング処理部14と、ルータ情報リスト記憶部15と、ARP(Address Resolution Protocol)処理部16と、自動設定機能部17と、セキュリティ機能管理部18と、設定情報記憶部19aと、ログ記録部19bとを備えている。このようなセキュリティゲートウェイ装置10は、一本のLANケーブルにてLAN40に接続される。
Next, the configuration of the
通信インターフェース11は、LAN40と通信制御部12とのパケットの受け渡しを中継する。
The
通信制御部12は、通信インターフェース11から受け取ったパケットの種類(ARPパケット、IPパケット)をチェックする。通信制御部12は、ARPパケットであればARP処理部16に受け渡し、IPパケットであればセキュリティ機能部13に受け渡す。また、通信制御部12は、ルーティング処理部14、ARP処理部16から受け取ったパケットを通信インターフェース11に受け渡す。
The
セキュリティ機能部13は、通信制御部12から受け取ったパケットに対してフィルタリングや暗号化など、パケットの正当性を判断する所定のセキュリティ処理を施す。セキュリティ機能部13が施すセキュリティ処理は、単一のセキュリティ処理であってもよいし、複数のセキュリティ処理であってもよく、当該セキュリティゲートウェイ装置10に実装されたセキュリティ機能に応じて施されるセキュリティ処理が決まる。セキュリティ機能部13は、セキュリティ処理を施したパケットをルーティング処理部14に受け渡す。
The
このセキュリティ機能部13によるセキュリティ機能は、ソフトウェアとして実装させることもできるし、外付けのハードウェアとして実装させることもできる。つまり、セキュリティゲートウェイ装置10のセキュリティ機能の実装は、セキュリティ機能部13の機能を変更するだけで可能となるため、LAN40に接続された当該セキュリティゲートウェイ装置10を取り外すことなく極めて容易に実装、削除といった変更をすることができる。
The security function by the
また、セキュリティ機能部13は、セキュリティ機能管理部18から設定変更命令を受けた場合には、設定情報記憶部19aに記憶されている設定情報の変更を行い、ログ参照命令を受けた場合には、ログ記録部19bに記録されているログ情報をセキュリティ機能管理部18に報告する。
When the
設定情報記憶部19aに記憶されている設定情報、ログ記録部19bに記録されているログ情報は、当該セキュリティゲートウェイ装置10に実装されているセキュリティ機能に依存する。例えば、セキュリティ機能としてファイアウォール機能を実装している場合には、設定情報記憶部19a、ログ記録部19bには、フィルタリング設定、フィルタリングしたパケットのログ情報がそれぞれ記憶、記録され、トレースバック機能を実装している場合にはマネージャ装置のIPアドレス設定、パケットの通過ログがそれぞれ記憶、記録される。
The setting information stored in the setting
ルーティング処理部14は、セキュリティ機能部13、自動設定機能部17、セキュリティ機能管理部18から受け取ったパケットの宛先IPアドレスをチェックする。
The
ルーティング処理部14は、例えば、パケットの宛先IPアドレスが、当該セキュリティゲートウェイ装置10自身のものであり、且つ宛先ポート番号が自動設定機能部17で使用しているものであれば、自動設定機能部17にパケットを受け渡す。また、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10自身のものであり、且つ宛先ポート番号がセキュリティ機能管理部18で使用しているものであれば、セキュリティ機能管理部18にパケットを受け渡す。また、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10自身のものでなければ、保持しているルーティングテーブルに従ってパケットの転送先IPアドレスを決定し、通信制御部12に受け渡す。
For example, if the destination IP address of the packet is that of the
ルータ情報リスト記憶部15は、LAN40上に存在するルータの所在を示すアドレステーブルであるルータ情報リストを記憶している。図3にルータ情報リストの一例を示す。図3に示すように、ルータ情報リストは、LAN40上にあるルータ(複数を設定可能)20のIPアドレスと、機種情報と、リモートからルータの設定を変更する場合のログイン情報としてログインID、パスワードとを保持している。これらのルータ情報リストは、ユーザによってあらかじめ登録される。
The router information list storage unit 15 stores a router information list that is an address table indicating the location of a router existing on the
また、IPv6(Internet Protocol Version 6)環境であれば、LAN40上に存在するルータを検索し、ルータ情報リストを自動的に生成してルータ情報リスト記憶部15に記憶させることもできる。これにより、ユーザによる初期設定に要する労力を大幅に削減することができる。
In an IPv6 (Internet Protocol Version 6) environment, a router existing on the
ARP処理部16は、通信制御部12からARPリクエストパケットを受け取った場合、ARPリクエストパケットのターゲットIPアドレスをチェックする。ARP処理部16は、ターゲットIPアドレスが、ルータ情報リスト記憶部15に記憶されているルータ情報リストに登録されているルータ20のものであるか、当該セキュリティゲートウェイ装置10自身のものである場合、当該セキュリティゲートウェイ装置10のMAC(Media Access Control address)アドレスを書き込んだARPリプライパケットを生成し、通信制御部12に受け渡す。
When receiving the ARP request packet from the
自動設定機能部17は、当該セキュリティゲートウェイ装置10のユーザが指示したタイミングで動作を開始してルータ20に対する各種設定を自動的に行う。動作が開始されると、自動設定機能部17は、ルータ情報リスト記憶部15に記憶されているルータ情報リストを参照し、各ルータ20にアクセスするための通信パケットを生成し、ルーティング処理部14に受け渡す。また、自動設定機能部17は、ルータ20からの応答パケットをルーティング処理部14から受け取る。この自動設定機能部17による、ルータ20に対する各種設定処理については後で詳細に説明をする。
The automatic
セキュリティ機能管理部18は、ルーティング処理部14から受け取ったパケットの内容に応じた処理を実行する。セキュリティ機能管理部18は、パケットに設定変更要求が含まれている場合、セキュリティ機能部13に対して設定変更命令を発行する。
The security
また、セキュリティ機能管理部18は、パケットにログ参照要求が含まれている場合、セキュリティ機能部13に対してログ参照命令を発行し、セキュリティ機能部13からログの報告を受け取る。セキュリティ機能管理部18は、ログの報告を受け取ると適切な応答パケットを生成してルーティング処理部14に受け渡す。
Further, when a log reference request is included in the packet, the security
続いて、図4に示すフローチャートを用いて、セキュリティゲートウェイ装置10の自動設定機能部17によるルータ20に対する自動設定処理動作について説明をする。この自動設定機能部17による自動設定処理は、ルータ情報リスト記憶部15に記憶されているルータ情報リストに登録されている全てのルータ20に対してアクセスがなされ、自動的に設定変更が実行されるものである。
Next, the automatic setting processing operation for the
まず、ステップS1において、自動設定機能部17は、変数iに1を代入する(i=1)。
First, in step S1, the automatic
ステップS2において、自動設定機能部17は、ルータ情報リストを参照し、i番目のルータ20にアクセスをする。
In step S <b> 2, the automatic
ステップS3において、自動設定機能部17は、i番目のルータ20のルーティング規則を変更する。
In step S <b> 3, the automatic
通常、ルータ20が、LAN40内の端末装置5nのIPアドレス宛のパケットを受け取った場合、直接宛先IPアドレスにパケットを転送するようにルーティング規則が設定されている。ステップS3では、この設定を変更し、ルータ20がLAN40内の端末装置5nのIPアドレス宛のパケットを受け取った場合に、当該セキュリティゲートウェイ装置10に転送するようにルーティング規則を変更する。
Normally, when the
これにより、サーバ装置30からLAN40内への端末装置5nに対して送信されたパケットを必ずセキュリティゲートウェイ装置10を経由させることができるため、セキュリティ機能部13による所定のセキュリティ処理を、当該パケットに確実に施すことができる。
As a result, since the packet transmitted from the
一方、上述したように、端末装置5nのルーティング規則は、ユーザによる手動によって変更されており、端末装置5nからLAN40外のサーバ装置30に対して送信されたパケットを必ずセキュリティゲートウェイ装置10を経由させることができるため、同様にセキュリティ機能部13による所定のセキュリティ処理を当該パケットに確実に施すことができる。
On the other hand, as described above, the routing rules of the
このように、セキュリティゲートウェイ装置10は、変更されたルーティング規則によって経由されたパケットにセキュリティ処理を施すものであって、いわゆるプロキシなどとは異なるものである。
As described above, the
ステップS4において、自動設定機能部17は、ルータ20のARP応答機能をオフ(OFF)にする。具体的には、ルータ20の種類によって、ARP応答機能のみをオフにできるもの、ARP機能全体をオフにできるもの、ARP機能をオフできないものの3種類が考えられる。
In step S4, the automatic
したがって、ARP応答機能のみをオフにできるルータ20は、そのままオフにする。ARP応答機能のみをオフにできないものの、ARP機能全体をオフにできるルータ20の場合には、ARP機能全体をオフにし、同時にセキュリティゲートウェイ装置10のIPアドレスとMACアドレスをルータ20のARPテーブルに静的に設定する。ARP機能をオフできないルータ20の場合には、本ステップS4において何も実行しない。
Therefore, the
このステップS4の処理は、端末装置5nに設定されたルーティング規則の設定ミスや悪意あるユーザの操作などにより、端末装置5nから送信されるパケットをセキュリティゲートウェイ装置10を経由させずに直接ルータ20に到達させてしまうといった事態に対処するための処理である。このように、ルータ20のARP応答機能をオフにすると、端末装置5nからARPリクエストパケットが送信されても、ルータ20のMACアドレスを書き込んだARPリプライパケットを返信することがないため、端末装置5nと直接ルータ20との通信リンクが確立されてしまうことを回避することができ、セキュリティ機能のすり抜けを防止することができる。
Processing in step S4, by an operation of setting errors and malicious user routing rules set in the
ステップS5において、自動設定機能部17は、MACアドレスフィルタの設定を行う。具体的には、自動設定機能部17は、ルータ20が有するMACアドレスフィルタ機能をオン(ON)にし、セキュリティゲートウェイ装置10の有するMACアドレス以外の通信を受け付けないように設定する。
In step S5, the automatic
このステップS5の処理は、セキュリティ機能のすり抜けをさらに強固に防止するための処理である。例えば、悪意のあるユーザによって何らかの手法によりルータ20のMACアドレスが取得されてしまっている場合、このようにMACアドレスフィルタの設定を行うことで、端末装置5nから直接ルータ20に対して行われるアクセスを拒絶することができる。
The process of step S5 is a process for more firmly preventing a security function from passing through. For example, when the MAC address of the
ステップS6において、自動設定機能部17は、全てのルータ20に対してステップS1〜ステップS5までの自動設定処理を実行したかどうかを判断する。自動設定機能部17は、ルータ情報リストを参照し、全てのルータ20に対して設定処理を実行した場合には、処理を終了する一方、まだ設定をしていないルータ20が存在する場合には、ステップS7へと処理を進める。
In step S6, the automatic
ステップS7において、自動設定機能部17は、変数iを1インクリメントしてステップS2からの処理を繰り返す。
In step S7, the automatic
このようにして、セキュリティゲートウェイ装置10の自動設定機能部17は、LAN40上に存在しルータ情報リストに登録された全てのルータ20のルーティング規則を、LAN40内の端末装置5nのIPアドレス宛のパケットを必ずセキュリティゲートウェイ装置10を経由するように変更する。これにより、IPネットワーク50上に存在するサーバ装置30などから送信されるLAN40内の端末装置5n宛のパケットは、必ずセキュリティゲートウェイ装置10を通過するため、セキュリティゲートウェイ装置10にセキュリティ機能部13により実装されたセキュリティ機能によってセキュリティ処理が施されることになる。
In this way, the automatic
また、セキュリティゲートウェイ装置10の自動設定機能部17は、ARP応答機能をオフにし、MACアドレスフィルタの設定をオンにすることで、端末装置5nに設定されたルーティング規則の設定ミスや悪意あるユーザによる操作によって端末装置5nから直接ルータ20へとパケット通信を行われてしまうことを回避できるため、セキュリティゲートウェイ装置10によるセキュリティ処理のすり抜けを防止することができる。
The automatic
続いて、図5に示すフローチャートを用いて、セキュリティゲートウェイ装置10が、LAN40からパケットを受け取った際の処理動作について説明をする。
Next, the processing operation when the
ステップS11において、セキュリティゲートウェイ装置10は、LAN40から通信インターフェース11を介してパケットを受信する。
In step S <b> 11, the
ステップS12において、パケットを受信したことに応じて、通信制御部12は、受信したパケットがARPリクエストパケットかどうかを判断する。通信制御部12は、受信したパケットがARPリクエストパケットだった場合、ステップS13へと処理を進める一方、ARPリクエストパケットでなかった場合、ステップS16へと処理を進める。
In step S12, in response to receiving the packet, the
ステップS13において、ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、当該セキュリティゲートウェイ装置10のものであるのかどうかを判断する。ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、当該セキュリティゲートウェイ装置10のものである場合、ステップS15へと処理を進める一方、そうでない場合、ステップS14へと処理を進める。
In step S <b> 13, the
ステップS14において、ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、ルータ情報リスト記憶部15に記憶されているルータ情報リストに含まれているかどうかを判断する。ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、ルータ情報リストに含まれている場合、ステップS15へと処理を進める一方、含まれていない場合、処理を終了する。
In step S <b> 14, the
ステップS15において、ARP処理部16は、当該セキュリティゲートウェイ装置10自身のMACアドレスを書き込んだARPリプライパケットを生成してARPリクエストパケットの送信元に送り返す。
In step S15, the
このステップS15の処理は、端末装置5nに設定されたルーティング規則の設定ミスなどにより、端末装置5nから送信されるパケットがセキュリティゲートウェイ装置10を経由せずに直接ルータ20に到達してしまう場合に、端末装置5nから送信されるパケットをセキュリティゲートウェイ装置10を経由するように誘導させるための処理である。
Processing in step S15, due misconfigured routing rules set in the
上述した図4のフローチャートのステップS4において、ルータ20のARP応答機能をオフにした上で、セキュリティゲートウェイ装置10は、端末装置5nからブロードキャストされたルータ20のIPアドレスが書き込まれたARPリクエストを受け取ったことに応じて、自身のMACアドレスを書き込んだARPリプライパケットを送信元の端末装置5nに返信する。これにより、端末装置5nが、ルータ20に対してパケットを送信するようにしても、必ずセキュリティゲートウェイ装置10を経由するようにパケットを誘導することができる。
In step S4 in the flowchart of FIG. 4 described above, on turning off the ARP response function of the
これにより、セキュリティゲートウェイ装置10は、設定ミスをしている端末装置5nのMACアドレスとIPアドレスとを検出することができるため、メールなどの手段によりシステム管理者へと通知することができる。
As a result, the
ステップS16において、セキュリティ機能部13は、所定のセキュリティ処理を施す。
In step S16, the
ステップS17において、セキュリティ機能部13は、ステップS16のセキュリティ処理においてパケットが破棄されたかどうかを判断する。セキュリティ機能部13は、パケットが破棄された場合、処理を終了する一方、破棄されなかった場合、ステップS18へと処理を進める。
In step S17, the
ステップS18において、ルーティング処理部14は、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10のものであるかどうかを判断する。ルーティング処理部14は、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10のものである場合、ステップS19へと処理を進める一方、そうでない場合、ステップS20へと処理を進める。
In step S <b> 18, the
ステップS19において、ルーティング処理部14は、パケットに含まれるポート番号を元に適切なアプリケーションを選択し、アプリケーションによる処理を行う。例えば、アプリケーションには、上述した自動設定機能部17やセキュリティ機能管理部18などがあり、処理の詳細はアプリケーションに依存する。
In step S19, the
ステップS20において、ルーティング処理部14は、ルーティング処理を実行し、適切な転送先を決定する。
In step S20, the
セキュリティゲートウェイ装置10内では、ルーティング規則として外部ネットワークのアドレスとルータ20のIPアドレスが紐付けられているため、当該セキュリティ装置10を経由して所定のセキュリティ処理を施された外部ネットワーク宛のパケットは、目的のルータ20へと転送される。つまり、セキュリティゲートウェイ装置10は、いわゆるプロキシなどと異なる処理動作を実行することになる。
In the
ステップS21において、ルーティング処理部14は、通信制御部12を介し、決定された転送先へパケットを転送する。
In step S <b> 21, the
このようにして、セキュリティゲートウェイ装置10は、LAN40を介して受信されたパケットがARPリクエストパケットだった場合、LAN40外のIPアドレス宛のパケットだった場合に応じて、それぞれ適切な処理を実行する。
In this way, the
上述した通信セキュリティシステムでは、内部ネットワークであるLAN40上の端末装置5nと、外部ネットワークであるIPネットワーク50上のサーバ装置30とが、ルータ20を介してパケット通信する場合に、LAN40上に分岐するように接続されたセキュリティゲートウェイ装置10を必ず経由させることで、確実にセキュリティ処理を施すようにしていた。
In the communication security system described above, when the
これを、内部ネットワークであるLAN40内にも適用し、LAN40内における端末装置5n間のパケット通信において、セキュリティゲートウェイ装置10を必ず経由させることで確実にセキュリティ処理を施すこともできる。
This can also be applied to the
具体的には、内部ネットワークであるLAN40内における端末装置5n間のパケット通信におけるルーティング規則を、必ずセキュリティゲートウェイ装置10にパケットが転送されるように設定するとともに、LAN40に接続された全ての端末装置5nに対して、ARPリクエストパケットに対応する応答であるARPリプライパケットを返信する機能を停止させるように設定する。なお、セキュリティゲートウェイ装置10は、LAN40上に存在するルータ20のリストであるルータ情報リストと同様に、LAN40上に存在する端末装置5nに関するリストを保持している。
Specifically, the routing rule in the packet communication between the
このように、端末装置5nのARP応答機能をオフにすると、別の端末装置5nからARPリクエストパケットが送信されても、当該端末装置5nのMACアドレスを書き込んだARPリプライパケットを返信することがないため、ルーティング規則の設定ミスや悪意のあるユーザによって操作されたとしても、端末装置5n間で直接、通信リンクが確立されてしまうことを回避することができ、セキュリティ機能のすり抜けを防止することができる。
Thus, when the ARP response function of the
また、セキュリティゲートウェイ装置10のARP処理部16は、LAN40内のパケット通信において、端末装置5nに対するARPリクエストパケットを受信したことに応じて、ARPリクエストパケットに対するARPリプライパケットを生成し、ARPリクエストパケットの送信元であたる端末装置5nに返信する。
Further, the
これにより、ルーティング規則に設定ミスなどがあった場合でも、端末装置5nが、別の端末装置5nに対してパケットを送信するようにしても、必ずセキュリティゲートウェイ装置10を経由するようにパケットを誘導することができる。
As a result, even if there is a setting error in the routing rule, even if the
[セキュリティ機能;トレースバック機能]
セキュリティゲートウェイ装置10に実装されるセキュリティ機能の一つとして、トレースバック機能がある。トレースバック機能の方式には、いくつかの方式が既知となっているが、ここでは、一例として、ダイジェスト方式と呼ばれるトレースバック機能をセキュリティゲートウェイ装置10に実装したトレースバックシステムについて説明をする。
[Security function; Traceback function]
One security function implemented in the
まず、図6を用いて、トレースバック機能を導入した通信セキュリティシステムであるトレースバックシステムの構成について説明をする。 First, the configuration of a traceback system, which is a communication security system incorporating a traceback function, will be described with reference to FIG.
図6に示すように、トレースバック機能を導入した通信セキュリティシステムであるトレースバックシステムは、LAN40A、40B、40Cが、それぞれルータ20A、20B、20Cを介してIPネットワーク50に接続されている。
As shown in FIG. 6, in a traceback system that is a communication security system in which a traceback function is introduced,
LAN40A上には、エンドユーザが使用する複数の端末装置5n(nは、自然数)と、トレースバック機能を実装したセキュリティゲートウェイ装置10Aとが接続されている。同様に、LAN40B上には、エンドユーザが使用する複数の端末装置5nと、トレースバック機能を実装したセキュリティゲートウェイ装置10Bとが接続されている。
On the
LAN40C上には、エンドユーザに利用されるファイルサーバ装置30Cと、トレースバックシステムの動作の中心となるトレースバックマネージャ装置31とが接続されている。また、ルータ20Cのミラーポートには、IDS(Intrusion Detection System)32が接続されている。IDS32は、LAN40Cの外部からファイルサーバ装置30Cに送信されるパケットを監視し、攻撃パケットが通過した場合に即座に攻撃パケットを検知することができる。
On the
セキュリティゲートウェイ装置10A、10Bは、トレースバック機能を実装しており、以下に示す2つの処理を実行する。
The
まず、セキュリティゲートウェイ装置10A、10Bは、1つ目の処理として、通過パケットを記録する処理を実行する。セキュリティゲートウェイ装置10A、10Bは、LAN40A、40B上の端末装置5nやルータ20A、20Bからそれぞれ送信された全てのパケットの記録を行う。この処理は、図2を用いて説明したセキュリティ機能部13によって、図5に示したフローチャートのステップS16のタイミングで実行される。
First, the
通過記録は、図2に示したログ記録部19bに記録される。なお、ログ記録部19bに記録するログは、Hash関数を用いてパケットからHash値を計算し、それを記録することで記録量を低減させるようにしてもよい。
The passing record is recorded in the
続いて、セキュリティゲートウェイ装置10A、10Bは、2つ目の処理として、パケットの通過確認メッセージへの応答を行う処理を実行する。この処理は、図2を用いて説明したセキュリティ機能管理部18とセキュリティ機能部13とによって実行される。
Subsequently, as a second process, the
図7に示すフローチャートを用いて、トレースバックシステムの2つ目の処理であるパケットの通過確認メッセージへの応答処理動作について説明をする。 With reference to the flowchart shown in FIG. 7, the response processing operation to the packet passage confirmation message, which is the second processing of the traceback system, will be described.
まず、セキュリティゲートウェイ装置10A、10Bは、トレースバックマネージャ装置31から送信されるパケットの通過確認メッセージを受信すると(ステップS31)、セキュリティ機能部13により、ログ記録部19bを参照して通過確認メッセージ内で指定されたパケットが記録されているかどうかを確認する(ステップS32、ステップS33)。
First, when the
次に、セキュリティ機能部13は、通過確認メッセージ内で指定されたパケットがログ記録部19bに記録されていれば、そのパケットが通過したことになるため、送信元のIPアドレスやMACアドレスを書き込んだ通過記録があることを示す通過応答メッセージを生成して(ステップS34)、トレースバックマネージャ装置31に送信する(ステップS36)。逆に、セキュリティ機能部13は、通過確認メッセージ内で指定されたパケットがログ記録部19bに記録されていなければ通過記録がないことを示す通過応答メッセージを生成して(ステップS35)、トレースバックマネージャ装置31に送信する(ステップS36)。
Next, if the packet designated in the passage confirmation message is recorded in the
続いて、図8を用いて、トレースバックマネージャ装置31の構成について説明をする。図8に示すようにトレースバックマネージャ装置31は、LAN40Cに接続された通信インターフェース33と、通信制御部34と、トレースバック処理部35と、セキュリティゲートウェイ装置情報記憶部36とを備えている。
Next, the configuration of the
次に、図9に示すフローチャートを用いて、トレースバックマネージャ装置31の処理動作について説明をする。
Next, the processing operation of the
まず、トレースバックマネージャ装置31は、IDS32からトレースバック要求メッセージを受け取ると(ステップS41)、セキュリティゲートウェイ装置情報記憶部36に登録されている全てのセキュリティゲートウェイ装置10A、10Bに対して通過確認メッセージを送信する(ステップS42)。
First, when the
このとき、トレースバック要求メッセージに、攻撃パケットが書き込まれているとすると、トレースバックマネージャ装置31は、通過確認メッセージにも、その攻撃パケットを書き込んで送信する。
At this time, if an attack packet is written in the traceback request message, the
トレースバックマネージャ装置31は、通過確認メッセージ送信後、全てのセキュリティゲートウェイ装置10A、10Bから通過応答メッセージを受け取る(ステップS43)。その後、受け取った通過応答メッセージのうち通過記録ありとなっている通過応答メッセージに書き込まれているIPアドレスとMACアドレスとを取り出す(ステップS44)。これにより、攻撃パケットを送信してきた端末装置5nが特定される。
The
その後、トレースバックマネージャ装置31は、攻撃に対する対処処理を実行する(ステップS45)。攻撃に対する対処処理としては、例えば、攻撃記録としてログを残したり、ネットワーク管理者にメールなどの手段で通知したり、ファイアウォールなどと連携して攻撃パケットを送信してきた端末装置5nの通信を遮断することなどが考えられる。
Thereafter, the
次に、図10に示すタイミングチャートを用いてトレースバックシステムにおいて、攻撃パケットが送信されてから動作が完了するまでの処理動作について説明をする。 Next, processing operations from when an attack packet is transmitted until the operation is completed in the traceback system will be described using the timing chart shown in FIG.
まず、ウィルス感染などにより攻撃パケットを送信する機能を与えられてしまった端末装置5nが、ファイルサーバ装置30Cに対して攻撃パケットP1を送信する。
First, the
セキュリティゲートウェイ装置10Aは、受け取った全てのパケットをログ記録部19bに記録するため、この攻撃パケットP1を受け取った場合にもログとしてログ記録部19bに記録し、ルータ20Aに転送する。ルータ20A、20Cも順次、攻撃パケットP1を転送して、宛先であるファイルサーバ装置30Cに到達させる。
Since the
ルータ20Cは、攻撃パケットP1を受け取った際、ファイルサーバ装置30Cに攻撃パケットP1を転送する一方、ミラーポートに接続されているIDS32に対して攻撃パケットP1のコピーパケットP2を送信する。
When the router 20C receives the attack packet P1, the router 20C transfers the attack packet P1 to the
攻撃パケットP1のコピーパケットP2を受け取ったIDS32は、攻撃であることを検知して、直ちにトレースバック要求メッセージP3をルータ20Cを経由させてトレースバックマネージャ装置31に送信する。このトレースバック要求メッセージP3は、コピーパケットP2が書き込まれて送信される。
The
トレースバックマネージャ装置31は、トレースバック要求メッセージP3を受け取ると、ルータ20C、ルータ20Aを経由させてセキュリティゲートウェイ装置10Aに通過確認メッセージP4を送信する。この通過確認メッセージP4は、コピーパケットP2が書き込まれて送信される。なお、図10では図示していないが、実際には、その他の全てのセキュリティゲートウェイ装置10Bにもそれぞれ通過確認メッセージP4が送信されることになる。
Upon receipt of the traceback request message P3, the
セキュリティゲートウェイ装置10Aは、通過確認メッセージP4に書き込まれているコピーパケットP2と同じパケットが通過していないかどうか、ログ記録部19bを参照してチェックをする。攻撃パケットP1が、ログ記録部19bに記録されている場合、コピーパケットP2と攻撃パケットP1とは全く同じパケットであることから、通過記録ありと判断される。
The
セキュリティゲートウェイ装置10Aは、通過記録を確認すると、通過記録ありを示す通過応答メッセージP5をルータ20A、ルータ20Cを経由させてトレースバックマネージャ装置31に送信する。この通過応答メッセージP5には、ログに基づいて攻撃パケットP1を送信してきた端末装置5nのIPアドレスとMACアドレスとが書き込まれて送信される。
Upon confirming the passage record, the
トレースバックマネージャ装置31は、通過応答メッセージP5を受け取ると、これに書き込まれているIPアドレスとMACアドレスとを取り出し、ログ記録部19bへのログの記録、管理者への通知、ファイアウォールなどへの端末装置5nの通信遮断要求を送信するなど、攻撃対処処理を実行する。
Upon receiving the passage response message P5, the
このようにして、トレースバック機能を実装したセキュリティゲートウェイ装置10A、10Bは、トレースバックマネージャ装置31、IDS32と連携して、攻撃パケットに対して攻撃対処処理、つまりセキュリティ処理を実行することができる。
In this way, the
このように、通信セキュリティシステムは、セキュリティ機能を実装したセキュリティゲートウェイ装置10をLAN40に分岐するように接続させることで、ネットワークの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えといた作業をすることなく、ネットワーク上におけるセキュリティ機能を容易に追加することができ、コストを低減することができる。
As described above, the communication security system connects the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
5n 端末装置
10 セキュリティゲートウェイ装置
13 セキュリティ機能部
14 ルーティング処理部
15 ルータ情報リスト記憶部
16 ARP(Address Resolution Protocol)処理部
17 自動設定機能部
18 セキュリティ機能管理部
20 ルータ
30 サーバ装置
31 トレースバックマネージャ装置
40 LAN(Local Area Network)
50 IP(Internet Protocol)ネットワーク
5 n
50 IP (Internet Protocol) network
Claims (6)
前記通信セキュリティ装置は、前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、
前記ルータとパケット通信を行うルータ通信手段と、
前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段とを有すること
を特徴とする通信セキュリティシステム。 A communication security system comprising a router that interconnects an internal network and an external network, forwards a packet based on a predetermined routing rule, and a communication security device that is branched and connected to the internal network,
The communication security device comprises a terminal communication means for performing packet communication with a terminal device connected to the internal network;
Router communication means for performing packet communication with the router;
A communication security system comprising: security processing means for executing security processing for judging validity of a packet acquired by each packet communication by the terminal communication means and the router communication means.
前記ルータは、前記ルーティング規則変更手段によって前記ルーティング規則が変更されたことに応じて、前記内部ネットワークへ送信するパケットを前記通信セキュリティ装置に転送し、
前記端末装置のルーティング規則を、前記内部ネットワークから前記外部ネットワークへのパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるよう設定すること
を特徴とする請求項1記載の通信セキュリティシステム。 The communication security device includes a routing rule changing means for changing a predetermined routing rule set in the router so that a packet is transferred to the communication security device in packet communication from the external network to the internal network. Have
The router forwards a packet to be transmitted to the internal network to the communication security device in response to the routing rule being changed by the routing rule changing means,
The communication security system according to claim 1, wherein the routing rule of the terminal device is set so that the packet is transferred to the communication security device during packet communication from the internal network to the external network.
前記記憶手段に記憶されているアドレステーブルを参照し、前記アドレステーブルに記載されている全てのルータに対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう指示する停止指示手段と、
前記ルータに対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信するARP処理手段とを有し、
前記ルータは、前記停止指示手段による指示に応じて、ARP応答パケットを返信する機能停止させること
を特徴とする請求項2記載の通信セキュリティシステム。 The communication security device includes a storage unit that stores an address table that describes an IP address of a router existing on the internal network;
Stop referring to the address table stored in the storage means and instructing all routers described in the address table to stop the function of returning an ARP response packet as a response to the ARP request packet Indicating means;
ARP processing means for generating an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the router and returning the ARP request packet to the transmission source of the ARP request packet;
The communication security system according to claim 2, wherein the router stops the function of returning an ARP response packet in response to an instruction from the stop instruction unit.
を特徴とする請求項3記載の通信セキュリティシステム。 The communication security system according to claim 3, wherein the communication security apparatus includes a table generation unit that searches for a router existing on the internal network and generates an address table to be stored in the storage unit.
前記内部ネットワークに接続された全ての端末装置に対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう設定し、
前記通信セキュリティ装置のARP処理手段は、前記内部ネットワーク内のパケット通信において、前記端末装置に対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信すること
を特徴とする請求項1記載の通信セキュリティシステム。 The routing rule of the terminal device is set so that the packet is transferred to the communication security device during packet communication in the internal network,
For all terminal devices connected to the internal network, set to stop the function of returning an ARP response packet that is a response to the ARP request packet,
The ARP processing means of the communication security device generates an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the terminal device in packet communication within the internal network, and 2. The communication security system according to claim 1, wherein a reply is made to the transmission source.
前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、
前記ルータとパケット通信を行うルータ通信手段と、
前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段とを有すること
を特徴とする通信セキュリティ装置。 The communication security device of a communication security system comprising: a router that interconnects an internal network and an external network and forwards packets based on a predetermined routing rule; and a communication security device that is branched and connected to the internal network. And
Terminal communication means for performing packet communication with a terminal device connected to the internal network;
Router communication means for performing packet communication with the router;
A communication security apparatus comprising: security processing means for executing security processing for judging validity of a packet acquired by each packet communication by the terminal communication means and the router communication means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007082123A JP4899973B2 (en) | 2007-03-27 | 2007-03-27 | Communication security system and communication security device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007082123A JP4899973B2 (en) | 2007-03-27 | 2007-03-27 | Communication security system and communication security device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008244808A true JP2008244808A (en) | 2008-10-09 |
JP4899973B2 JP4899973B2 (en) | 2012-03-21 |
Family
ID=39915603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007082123A Expired - Fee Related JP4899973B2 (en) | 2007-03-27 | 2007-03-27 | Communication security system and communication security device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4899973B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019096150A (en) * | 2017-11-24 | 2019-06-20 | オムロン株式会社 | Security monitoring device |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005079706A (en) * | 2003-08-28 | 2005-03-24 | Nec Corp | System and apparatus for preventing illegal connection to network |
JP2006050152A (en) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense object terminal, defense object program, and defense object method |
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
-
2007
- 2007-03-27 JP JP2007082123A patent/JP4899973B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005079706A (en) * | 2003-08-28 | 2005-03-24 | Nec Corp | System and apparatus for preventing illegal connection to network |
JP2006050152A (en) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense object terminal, defense object program, and defense object method |
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019096150A (en) * | 2017-11-24 | 2019-06-20 | オムロン株式会社 | Security monitoring device |
JP7006178B2 (en) | 2017-11-24 | 2022-01-24 | オムロン株式会社 | Security monitoring device |
US11397806B2 (en) | 2017-11-24 | 2022-07-26 | Omron Corporation | Security monitoring device |
Also Published As
Publication number | Publication date |
---|---|
JP4899973B2 (en) | 2012-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Beale et al. | Wireshark & Ethereal network protocol analyzer toolkit | |
CA2672528C (en) | Method and apparatus for detecting port scans with fake source address | |
JP5029701B2 (en) | Virtual machine execution program, user authentication program, and information processing apparatus | |
US8234705B1 (en) | Contagion isolation and inoculation | |
EP2469787B1 (en) | Method and device for preventing network attacks | |
JP4195480B2 (en) | An apparatus and method for managing and controlling the communication of a computer terminal connected to a network. | |
US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
US20070091902A1 (en) | Securely managing network element state information in transport-layer associations | |
WO2005109797A1 (en) | Network attack combating method, network attack combating device and network attack combating program | |
JP2006074705A (en) | Device for controlling communication service | |
US8234503B2 (en) | Method and systems for computer security | |
JP4245486B2 (en) | Network unauthorized connection prevention method and apparatus | |
Mehner et al. | No need to marry to change your name! attacking profinet io automation networks using dcp | |
JP2005193590A (en) | Printing device | |
WO2015136842A1 (en) | Network management device, network system, network management method, and recording medium | |
JP4899973B2 (en) | Communication security system and communication security device | |
US20240056421A1 (en) | Gateway, Specifically for OT Networks | |
JP2006277633A (en) | Computer network with function of guaranteeing security, method for guaranteeing security, and program | |
JP4418211B2 (en) | Network security maintenance method, connection permission server, and connection permission server program | |
JP2007102747A (en) | Packet detector, message detection program, shutdown program of unauthorized e-mail | |
JP2007208575A (en) | Unauthorized traffic managing device and system | |
JP4710889B2 (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program | |
TWI709309B (en) | Network management device and network management method thereof | |
KR102628441B1 (en) | Apparatus and method for protecting network | |
JP3836472B2 (en) | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110411 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110510 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110711 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110823 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111114 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111206 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111219 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150113 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |