JP2008271242A - ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム - Google Patents

ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム Download PDF

Info

Publication number
JP2008271242A
JP2008271242A JP2007112174A JP2007112174A JP2008271242A JP 2008271242 A JP2008271242 A JP 2008271242A JP 2007112174 A JP2007112174 A JP 2007112174A JP 2007112174 A JP2007112174 A JP 2007112174A JP 2008271242 A JP2008271242 A JP 2008271242A
Authority
JP
Japan
Prior art keywords
quarantine
terminal
network
target terminal
quarantined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007112174A
Other languages
English (en)
Inventor
Toshiyuki Sakurai
俊之 櫻井
Naoki Ito
直己 伊藤
Takeshi Shibata
雄 芝田
Tetsuya Abe
哲哉 安部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007112174A priority Critical patent/JP2008271242A/ja
Publication of JP2008271242A publication Critical patent/JP2008271242A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 安価で簡易に構成することができるとともに多様なネットワーク構成に対応できるネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システムを提供する。
【解決手段】 受信したARP要求パケットの送信元の端末である検疫対象端末が正規端末であり且つ検疫前状態であると判定されたときに、自装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成してARP要求パケットの送信元の端末に送信するARP応答パケット生成部135aと、検疫対象端末から検疫サーバ宛ての通信パケットを受信したときに検疫サーバに転送する通信パケット転送部135bと、検疫サーバから検疫対象端末に対する検疫済み通知が送信されたときには、検疫対象端末のARPテーブルを正規のMacアドレスに変更させる検疫済み通知受信部135cとを備える。
【選択図】図1

Description

本発明は、検疫ネットワークを利用してLAN等のネットワークを監視するネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システムに関するものである。
従来、社内LANなどのネットワークをコンピュータウィルス、ワーム等の不正プログラムから保護するために利用される、検疫ネットワークという技術がある。
検疫ネットワークとは、保護対象のネットワーク(以下、「対象ネットワーク」とする)とは隔離されて存在する物理的、もしくは論理的なネットワークであり、対象ネットワークに接続しようとするコンピュータを一旦強制的に接続させ、このコンピュータのOS(オペレーティングシステム)やウィルス対策ソフトのバージョンが最新のものであるか否かを判断することによりセキュリティ対策の基準を満たしているかを確認し、確認の結果問題がない場合にこのコンピュータの対象ネットワークへの接続を許可するものである。
検疫ネットワークを利用したネットワーク監視技術として、以下に挙げる方式を利用したシステムがある。これらを図9〜図13を参照して説明する。
(1)認証VLAN型方式
認証VLAN型方式を利用したネットワーク監視システムは、図9に示すように、対象ネットワークである社内LAN100と検疫ネットワーク200との接続部分に認証VLAN(Virtual Local Area Network:仮想LAN)に対応したエッジスイッチであるスイッチ300を設置し、社内LAN100と検疫ネットワーク200とを別のVLAN(VLAN#1とVLAN#2)として設定することにより構成される。
このネットワーク監視システムにおいて、外部からクライアント端末400が社内LAN100に接続しようとすると、まずスイッチ300のポートに接続され、スイッチ300よりこのポートが検疫ネットワーク200のVLAN#1に接続される。
このようにしてクライアント端末400がVLAN#1に接続されると、検疫ネットワーク200内の検疫サーバ201においてクライアント端末400のセキュリティ対策の基準が満たされているかが確認される。
検疫サーバ201においてクライアント端末400のセキュリティ対策の基準が満たされていることが確認されると、スイッチ300によりクライアント端末400の接続が社内LAN100のVLAN#2へ切り替えられ、クライアント端末400から社内LAN100のVLAN#2への接続が可能になる。
このネットワーク監視システムは、ユーザ認証を行った上で社内LAN100から切り離された検疫ネットワーク200に接続するので極めて安全性は高いが、クライアントのコンピュータが接続する全てのスイッチ300を認証VLANに対応させる必要があり、非常に高価であるという難点がある。
(2)認証DHCP型方式
認証DHCP型方式を利用したネットワーク監視システムは、図10に示すように、社内LANの中の社内サブネット110とは隔離された検疫用サブネット120内の検疫サーバ202にDHCP機能を設けることにより構成される。
このネットワーク監視システムにおいて、外部からクライアントのクライアント端末400が社内LAN100に接続しようとすると、DHCP機能を有する検疫サーバ202により検疫用サブネット120のみに接続可能なIPアドレスとゲートウェイアドレスがこのクライアント端末400に割り当てられてクライアント端末400が検疫用サブネット120に接続される。
このようにしてクライアント端末400が検疫用サブネット120に接続されると、検疫用サブネット120内の検疫サーバ202においてクライアント端末400のセキュリティ対策の基準が満たされているかが確認される。
検疫サーバ202においてクライアント端末400のセキュリティ対策の基準が満たされていることが確認されると、社内サブネット110に接続可能なIPアドレスとゲートウェイアドレスが再度クライアント端末400に割り当てられてクライアント端末400の社内サブネット110への接続が可能になる。
このネットワーク監視システムは、認証スイッチ方式のようにネットワーク機器を変更する必要がなく、DHCPサーバの機能で対応可能であるが、社内LAN100に接続可能な固定IPアドレスが設定された端末の検疫を行うことができず、これらの端末には別途対策が必要であるという欠点がある。
(3)ゲートウェイ型方式
ゲートウェイ方式を利用したネットワーク監視システムは、図11に示すように、社内LAN内の各種サーバ111、112が接続されたサブネット110とクライアント端末400が接続されたサブネット120との間に検疫用のゲートウェイである検疫用アプライアンス500を設置することにより構成される。
このネットワーク監視システムにおいて、クライアント端末400がサーバ111、112のいずれかにアクセスしようとすると、検疫用アプライアンス500によりこのクライアント端末400が検疫前であるか否かが判定され、検疫前であると判定されると検疫用アプライアンス500からクライアント端末400に対してOSやウィルス対策ソフトのバージョンの情報が要求される。
この要求に応答してクライアント端末400からOSやウィルス対策ソフトのバージョンの情報が送信されると、この情報に基づいて検疫用アプライアンス500においてクライアント端末400のセキュリティ対策の基準が満たされているかが確認される。
検疫用アプライアンス500においてクライアント端末400のセキュリティ対策の基準が満たされていることが確認されると、クライアント端末400のサーバ111、112への接続が許可される。
このネットワーク監視システムは、ネットワーク機器の構成を変更する必要がなく、固定IPアドレスが設定された端末にも適用できるが、サブネット間に設置されたゲートウェイを検疫用アプライアンスとして用いるため同一サブネット内のクライアント端末間の通信を制限することができず、クライアント端末400が接続しようとするサブネット内に接続要求先のサーバ等が設置されている場合には、このクライアント端末の検疫を行うことができないという問題がある。
(4)パーソナルファイアウォール型方式
パーソナルファイアウォール型方式を利用したネットワーク監視システムは、図12に示すように、社内LAN100内に検疫サーバ114が設置され、この社内LAN100に接続しようとするクライアント端末400にパーソナルファイアウォール機能が設けられることにより構成される。このパーソナルファイアウォール機能は、クライアント端末400が社内LAN100に接続しようとしたときに、検疫サーバ114のみに接続可能になるように設定されている。
このネットワーク監視システムにおいて、クライアント端末400が社内LANに接続しよとすると、クライアント端末400に設けられたパーソナルファイアウォール機能によりクライアント端末400が検疫サーバ114に接続される。
検疫サーバ114ではクライアント端末400のセキュリティ対策の基準が満たされているかが確認され、基準が満たされていることが確認されると、検疫サーバ114からクライアント端末400のパーソナルファイアウォールに対して、検疫サーバ114のみに接続可能な状態から社内LAN100内に接続可能な状態に変更する指示が送信される。
この指示により、クライアント端末400は社内LAN100への接続が可能になる。
このネットワーク監視システムは、ネットワーク機器の構成を変更する必要がなく、固定IPアドレスが設定された端末にも適用でき、同一サブネット内のクライアント端末に対しても適用できるが、このシステムに対応したパーソナルファイアウォール機能が搭載されていない端末の検疫を行うことができないという欠点がある。
このような方式により検疫ネットワークを利用して対象ネットワークに接続しようとするコンピュータを監視することにより、対象ネットワークにコンピュータウィルスやワームに感染したコンピュータが接続されることを防止することができるが、いずれの方式にも上述したように欠点がある。
これらの欠点を解決するため、特許文献1に記載の技術を利用した方式(5)がある。
この特許文献1の技術を利用したネットワーク監視システムは、対象ネットワーク内に監視装置と、検疫ネットワークとして機能する検疫サーバとを設置することにより、対象ネットワークを監視するものである。
特許文献1の技術には3のつ実施形態があり、第1の実施形態では対象ネットワークのサブネット毎に検疫サーバの機能を有する監視装置を設置し、外部からクライアント端末が対象ネットワークに接続しようとすると、監視装置においてこの端末が検疫前であるか検疫済みであるかが判定され、検疫前の端末はこの監視装置以外に接続できないように制御され、この監視装置で検疫処理が行われた後対象ネットワークへの接続が可能になるものである。
また、第2の実施形態では、サブネット毎に監視装置および検疫サーバを設置し、外部からクライアント端末が対象ネットワークに接続しようとすると、監視装置においてこの端末が検疫前であるか検疫済みであるかが判定され、さらに監視装置において検疫前の端末は検疫サーバ以外に接続できないように制御され、検疫サーバで検疫処理が行われた後対象ネットワークへの接続が可能になるものである。
また、第3の実施形態では、図13に示すように、サブネット110、120毎に監視装置115、116が設置されるとともにこれらのサブネット110、120とルータ500、510で接続された1のサブネット130に検疫サーバ114が設置されて構成される。
このネットワーク監視システムにおいて、外部からクライアント端末400が対象ネットワークのサブネット110に接続しようとすると、まず監視装置115においてこのクライアント端末400が検疫前であるか検疫済みであるかが判定され、検疫前であると判定されるとクライアント端末400に代理ARP応答パケットが送信されることによりクライアント端末400の通信が妨害され、ルータ500以外には接続できないように制御される。
ルータ500は、検疫前の端末は検疫サーバ114以外には接続できないように予め設定されており、クライアント端末400は強制的に検疫サーバ114に接続されることにより検疫処理が行われ、検疫処理後に対象ネットワークへの接続が可能になる。
この特許文献1の技術により、認証VLAN、認証DHCP、検疫用ゲートウェイ、またはパーソナルファイアウォールを利用することなく検疫処理を行い、固定IPアドレスが設定された端末の監視、同一サブネット内のクライアント端末の監視も可能になる。
特開2006−352719号公報
しかし、上述した特許文献1の第1の実施形態および第2の実施形態におけるネットワーク監視システムは、サブネット毎に検疫機能を有する監視装置を設置する必要があるため、非常に高価であるとともにネットワーク構成の自由度が低いという問題がある。
また、第3の実施形態におけるネットワーク監視システムは、対象ネットワーク内のすべてのルータの制御を検疫サーバ側から行うことができるようにする必要がああるためルータの設定を変更する権限も必要であり、ネットワーク構成の自由度が低いという問題がある。
よって本発明の目的は、安価で簡易に構成することができるとともに多様なネットワーク構成に対応できるネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システムを提供することである。
上記課題を解決するための本発明のネットワーク監視装置は、監視対象のネットワークに接続を要求する検疫対象端末のセキュリティ対策状況に基づいて、予め設定されたセキュリティ対策基準をこの検疫対象端末が満たしているか否かを確認する検疫処理を行う検疫サーバに前記ネットワークを介して接続されたものであり、前記ネットワークへの通信が許可された正規端末毎の識別情報と、前記検疫サーバにおいて前記セキュリティ対策基準が満たされていると判定された検疫済み状態であるかまたは前記検疫処理が行われていない検疫前状態であるかを示す前記正規端末毎の検疫ステータス情報とを記憶する正規端末リスト記憶部と、前記ネットワークを介して、前記検疫対象端末から自装置以外の装置を応答要求先とするARP要求パケットを受信したときに、前記検疫対象端末が前記正規端末か否かを前記正規端末リスト記憶部に記憶された識別情報を基に判断するアクセス権判定部と、前記アクセス権判定部において前記検疫対象端末が正規端末であると判定されたときに、前記検疫対象端末が検疫済み状態であるか検疫前状態であるかを前記正規端末リスト記憶部に記憶された検疫ステータス情報に基づいて判定する検疫ステータス判定部と、前記検疫ステータス判定部において前記検疫対象端末が検疫前状態であると判定されたときに、自装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成して、前記応答要求先の装置が生成したARP応答パケットが送信された後に前記検疫対象端末に送信し、前記検疫対象端末のARPテーブルを書き換えさせるARP応答パケット生成部と、前記ARP応答パケット生成部から前記代理ARP応答パケットにより自装置のMacアドレスを送信したことに応答して前記検疫対象端末から前記検疫サーバ宛ての通信パケットを受信したときに、この通信パケットを前記検疫サーバに転送する通信パケット転送部と、前記通信パケット転送部から前記検疫サーバに前記通信パケットを転送した後、前記検疫サーバから前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知が送信されたときには、前記ARP要求パケットの応答要求先の端末のMacアドレスを前記検疫対象端末に送信して前記検疫対象端末のARPテーブルを変更させる検疫済み通知受信部と、前記検疫サーバから前記検疫済み通知が送信されたときに、前記正規端末リスト記憶部の前記検疫対象端末の検疫ステータス情報を検疫済み状態に変更する検疫ステータス変更部とを備えることを特徴とする。
また、このネットワーク監視装置の前記セキュリティ対策状況は、前記検疫対象端末で用られているOSのパッチ適用状況、およびセキュリティ対策ソフトのバージョンの状況としてもよい。
また、このネットワーク監視装置の前記正規端末リスト記憶部の検疫ステータス情報において検疫済み状態であると記憶された情報は、該当する正規端末における最終検疫時から所定時間が経過したとき、OSの新たなパッチが提供されたとき、またはウィルス対策ソフトの新たなバージョンが提供されたときに検疫前状態に変更されるようにしてもよい。
また、本発明のネットワーク監視用プログラムは、監視対象のネットワークに接続を要求する検疫対象端末のセキュリティ対策状況に基づいて、予め設定されたセキュリティ対策基準をこの検疫対象端末が満たしているか否かを確認する検疫処理を行う検疫サーバに前記ネットワークを介して接続されたネットワーク監視装置に、前記ネットワークへの通信が許可された正規端末毎の識別情報と、前記検疫サーバにおいて前記セキュリティ対策基準が満たされていると判定された検疫済み状態であるかまたは前記検疫処理が行われていない検疫前状態であるかを示す前記正規端末毎の検疫ステータス情報とを記憶する機能と、前記ネットワークを介して、前記検疫対象端末から前記ネットワーク監視装置以外の装置を応答要求先とするARP要求パケットを受信したときに、前記検疫対象端末が前記正規端末か否かを前記識別情報を基に判断する機能と、前記検疫対象端末が正規端末であると判定されたときに、前記検疫対象端末が検疫済み状態であるか検疫前状態であるかを前記検疫ステータス情報に基づいて判定する機能と、前記検疫対象端末が検疫前状態であると判定されたときに、前記ネットワーク監視装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成して、前記応答要求先の装置が生成したARP応答パケットが送信された後に前記検疫対象端末に送信し、前記検疫対象端末のARPテーブルを書き換えさせる機能と、前記代理ARP応答パケットにより前記ネットワーク監視装置のMacアドレスを送信したことに応答して前記検疫対象端末から前記検疫サーバ宛ての通信パケットを受信したときに、この通信パケットを前記検疫サーバに転送する機能と、前記検疫サーバに前記通信パケットを転送した後、前記検疫サーバから前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知が送信されたときには、前記ARP要求パケットの応答要求先の端末のMacアドレスを前記検疫対象端末に送信して前記検疫対象端末のARPテーブルを変更させる機能と、前記検疫サーバから前記検疫済み通知が送信されたときに、前記検疫対象端末の前記検疫ステータス情報を検疫済み状態に変更する機能とを実行させることを特徴とする。
また、本発明のネットワーク監視システムは、監視対象のネットワークに接続を要求する検疫対象端末の監視を行うネットワーク監視装置と、前記検疫対象端末のセキュリティ対策に関する検疫処理を行う検疫サーバとが前記ネットワークを介して接続されたものであり、前記ネットワーク監視装置は、前記ネットワークへの通信が許可された正規端末毎の識別情報と、前記検疫サーバにおいて前記セキュリティ対策基準が満たされていると判定された検疫済み状態であるかまたは前記検疫処理が行われていない検疫前状態であるかを示す前記正規端末毎の検疫ステータス情報とを記憶する正規端末リスト記憶部と、前記ネットワークを介して、前記検疫対象端末から自装置以外の装置を応答要求先とするARP要求パケットを受信したときに、前記検疫対象端末が前記正規端末か否かを前記正規端末リスト記憶部に記憶された識別情報を基に判断するアクセス権判定部と、前記アクセス権判定部において前記検疫対象端末が正規端末であると判定されたときに、前記検疫対象端末が検疫済み状態であるか検疫前状態であるかを前記正規端末リスト記憶部に記憶された検疫ステータス情報に基づいて判定する検疫ステータス判定部と、前記検疫ステータス判定部において前記検疫対象端末が検疫前状態であると判定されたときに、自装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成して、前記応答要求先の装置が生成したARP応答パケットが送信された後に前記検疫対象端末に送信し、前記検疫対象端末のARPテーブルを書き換えさせるARP応答パケット生成部と、前記ARP応答パケット生成部から前記代理ARP応答パケットにより自装置のMacアドレスを送信したことに応答して前記検疫対象端末から前記検疫サーバ宛ての通信パケットを受信したときに、この通信パケットを前記検疫サーバに転送する通信パケット転送部と、前記通信パケット転送部から前記検疫サーバに前記通信パケットを転送した後、前記検疫サーバから前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知が送信されたときには、前記ARP要求パケットの応答要求先の端末のMacアドレスを前記検疫対象端末に送信して前記検疫対象端末のARPテーブルを変更させる検疫済み通知受信部と、前記検疫サーバから前記検疫済み通知が送信されたときに、前記正規端末リスト記憶部の前記検疫対象端末の検疫ステータス情報を検疫済み状態に変更する検疫ステータス変更部とを備え、前記検疫サーバは、前記通信パケット転送部から前記通信パケットを受信したときに、前記検疫対象端末からセキュリティ対策状況を取得し、前記検疫対象端末が予め設定されたセキュリティ対策基準を満たしているか否かを確認する検疫手段と、前記検疫手段により前記検疫対象端末が前記セキュリティ対策基準を満たしていることが確認されたときに、前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知を生成して、前記検疫済み通知受信部および前記検疫ステータス変更部に送信する検疫済み通知送信部とを備えることを特徴とする。
また、このネットワーク監視システムは、前記ネットワークに接続された正規端末を管理する管理サーバをさらに備え、前記ネットワーク監視装置は、前記ネットワークに接続された複数の正規端末に設けられ、前記管理サーバは、前記ネットワークに接続された前記複数の正規端末の中から選択した任意の台数の正規端末に設けられたネットワーク監視装置の機能を有効にする監視装置選択部と、前記監視装置選択部により選択された正規端末が前記ネットワークから切断されたときに他の正規端末に設けられたネットワーク監視装置の機能を有効にする監視装置変更部とを備えるようにしてもよい。
本発明のネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システムによれば、安価で簡易に構成することができるとともに多様なネットワーク構成に対応してネットワークの監視を行うことができる。
〈第1実施形態〉
本発明の第1実施形態においては、対象ネットワークである社内ネットワークのサブネット毎にネットワーク監視装置としてのアクセス制御装置を設置し、中間者攻撃(man-in-the-middle attack)の動作を利用することにより、この社内ネットワークを監視するネットワーク監視システムについて説明する。
中間者攻撃とは、通信している2者のユーザの間に第三者が介在し、通信内容を取得したり、制御したりすることである。
《第1実施形態によるネットワーク監視システムの構成》
本実施形態によるネットワーク監視システムとして構築された社内ネットワーク1の構成を図1を参照して説明する。
本実施形態における社内ネットワーク1は、第1サブネット10と第2サブネット20とがルータ30により接続されて構成されている。
第1サブネット10には、この社内ネットワーク1へのアクセス権を有し後述する検疫処理済みの正規端末A11と、社内の業務で利用される第1業務サーバ12と、社内ネットワークを監視するアクセス制御装置13とが接続され、第2サブネット20には、社内ネットワーク1に接続される端末のセキュリティ対策状況に関する検疫を行う検疫サーバ21と、社内の業務で利用される第2業務サーバ22とが接続されている。
アクセス制御装置13は、外部の端末からのアクセスが可能なサブネット毎に設けられ、図2に示すように、正規端末リスト記憶部131と、アクセス権判定部132と、検疫ステータス判定部133と、パケット種別解析部134と、中間者攻撃処理部135とを有する。
正規端末リスト記憶部131は、社内ネットワーク1に接続が許可された正規端末のMacアドレス、またはMacアドレスとIPアドレスとの組み合わせを識別情報と、これらの正規端末に対する検疫処理が実行された「検疫済み」であるか実行されていない「検疫前」であるかを示す検疫ステータスの情報と、「検疫済み」の場合の最終検疫時間とを示す正規端末リストを記憶する。
正規端末リスト記憶部131に記憶されている正規端末リストの一例を、図3に示す。
図3の正規端末リストにおいては、正規端末として端末A〜Dが記憶されており、このうち端末A、端末B、および端末Dは動的にIPアドレスが振られるDHCP(Dynamic Host Configuration Protocol)環境下で使用される正規端末であり、これらの正規端末の識別情報としてMacアドレスとIPとの組み合わせが記憶され、端末Cは固定IPアドレスが振られている環境下で使用される正規端末であり、この正規端末の識別情報としてMacアドレスが記憶されている。
またこれらの検疫ステータスは、端末Aおよび端末Dは「検疫済み」であり端末Aの最終検疫時間は2007年3月20日、端末Dの最終検疫時間は2007年3月29日であり、また、端末Bおよび端末Cは「検疫前」として記憶されている。
アクセス権判定部132は、社内ネットワーク1に接続を要求する端末がこの社内ネットワーク1へのアクセス権を有する正規端末か、アクセス権を有さない不正端末であるかを、正規端末リスト記憶部131に記憶された正規端末リストを参照して判定する。
検疫ステータス判定部133は、アクセス権判定部132において正規端末であると判定された端末の検疫処理が実行済みであるか否かを示す検疫ステータス情報を正規端末リストから取得し、「検疫済み」であるか、「検疫前」であるかを判定する。
パケット種別解析部134は、受信したパケットのプロトコル種別がARPであるか否かを判定し、プロトコル種別がARPであると判定したときにさらに、オペレーション種別が“要求”であるか否かを判定する。
中間者攻撃処理部135は、ARP応答パケット生成部135aと、通信パケット転送部135bと、検疫済み通知受信部135cと、検疫ステータス変更部135dとを有する。
ARP応答パケット生成部135aは、受信したパケットがARP要求パケットであるとパケット種別解析部134で判定されたときに、受信したARP要求パケットに対してアクセス制御装置13のMacアドレスを送信元アドレスとする代理ARP応答パケットを生成し、応答要求先の装置が生成したARP応答パケットが送信された後にARP要求パケットの送信元の端末に送信してARPテーブルを書き換えさせる。
通信パケット転送部135bは、受信したパケットがARP要求パケットではないとパケット種別解析部134で判定されたときに、検疫サーバ21宛てのパケットのみを検疫サーバ21に転送する。
検疫済み通知受信部135cは、検疫サーバ21にパケットを転送したことにより検疫サーバ21から後述する検疫済み通知を受信したときに、代理ARP応答パケットで書き換えさせた送信元の端末のARPテーブルのルータ30のMacアドレスを元に戻すように指示する。
検疫ステータス変更部135dは、検疫サーバ21から検疫済み通知を受信したときに、正規端末リスト記憶部131の正規端末リスト中の該当正規端末の検疫ステータス情報を「検疫前」から「検疫済み」に変更させる。
《第1実施形態によるネットワーク監視システムの動作》
本実施形態におけるネットワーク監視システムの動作として、社内ネットワーク1に接続が許可されている正規端末B14および社内ネットワーク1に接続が許可されていない不正端末X15から、第1サブネット10を介して第2サブネット内の第2業務サーバ22に接続が要求されたときの動作について、図4および図5を参照して説明する。
図4は、各装置間のパケットの送受信の動作を示すシーケンス図であり、図5は、アクセス制御装置13の動作を示すフローチャートである。
端末B14から、社内ネットワーク1内の第1サブネット10を介して第2サブネット20内の第2業務サーバ22に接続が要求されると、まず、端末B14が第1サブネット10と第2サブネット20とを接続しているルータ30のMacアドレスを取得するため、ルータ30のMacアドレスを要求するARP要求パケットが端末B14から第1サブネット10内にブロードキャスト通信により送信される(S1)。
このARP要求パケットは、アクセス制御装置13およびルータ30で受信される(S2、S3)。
ルータ30では、受信されたARP要求パケットが自装置宛てのものであると判断され、ルータ30のMacアドレスを送信元アドレスとするARP応答パケットが生成され、端末B14宛てにユニキャスト通信により送信される(S4)。
端末B14では、受信したARP応答パケットからルータ30のMacを取得し、ARPテーブルに格納される(S5)。
アクセス制御装置13では、ステップS2においてARP要求パケットが受信されると、図5のフローチャートのステップS21〜S26の処理が行われる。
まず、アクセス権判定部132において受信されたARP要求パケットが解析され、このARP要求パケットの送信元の端末B14が社内ネットワーク1へのアクセス権を有する正規端末であるか否かが判定される(S21、S22)。
端末B14が正規端末であるか否かの判定は、アクセス権判定部132に予め記憶されている正規端末リストに基づいて行われる。
ここでは端末B14が正規端末であると判定され(S22の「YES」)、さらに検疫ステータス判定部133においてこの正規端末B14が検疫済みであるか否かが判定される(S23)。
正規端末B14が検疫済であるか否かの判定は、正規端末リスト記憶部131に記憶されている正規端末毎の検疫ステータス情報が「検疫済み」か「検疫前」かを識別する情報に基づいて行われる。
ここでは正規端末B14は検疫前であると判定され(S23の「NO」)、さらにパケット種別解析部134において、受信したパケットのプロトコル種別がARPであるか否かが判定される(S24)。
ここでは受信したパケットのプロトコル手段がARPであると判定され(S24の「YES」)、さらにパケット種別解析部134においてこのARPパケットのオペレーション種別が“要求”であるか否かが判定される(S25)。
ここでは受信したパケットのオペレーション種別が“要求”であると判定され(S25の「YES」)、中間者攻撃処理部135により中間者攻撃が開始される(S26)。
中間者攻撃処理部135において中間者攻撃が開始されると、図4に戻り、受信したARP要求パケットに対してアクセス制御装置13のMacアドレスを送信元アドレスとする代理ARP応答パケットがARP応答パケット生成部135aで生成され、ルータ30から正規端末B14に送信されたARP応答パケットよりワンテンポ遅れたタイミングで正規端末B14宛てに送信される(S6)。
正規端末B14では、ARPテーブルに格納されているルータ30のMacアドレスが、アクセス制御装置13から受信された代理ARP応答パケットによりアクセス制御装置13のMacアドレスに書き換えられる(S7)。
正規端末B14のARPテーブルに格納されたルータ30のMacアドレスが書き換えられると、アクセス制御装置13による正規端末B14とルータ30との通信への割り込みが行われる。
正規端末B14では、書き換えられたアクセス制御装置13のMacアドレスがルータ30のMacアドレスであると誤認識され、アクセス制御装置13のMacアドレス宛てに通信パケットが送信される。
正規端末B14からアクセス制御装置13のMacアドレス宛てに通信パケットが送信されると(S8)、アクセス制御装置13で受信される。
アクセス制御装置13では、通信パケットが受信されると図5のステップS21に戻り、ステップS21〜S24の処理が行われる。
アクセス制御装置13で受信された通信パケットは、アクセス権判定部132において正規端末B14から送信されたものであると判定された後(S22)、検疫ステータス判定部133において送信元の端末B14が検疫前であると判定され(S23の「NO」)、さらにパケット種別解析部134においてプロトコルがARPではないと判定され(S24の「NO」)、中間者攻撃処理部135の通信パケット転送部135bに送出される。
通信パケット転送部135bには、図4に示すようなIPレイヤ3より上の情報で示されたACL(アクセスコントロールリスト)が記憶されており、検疫前の端末は、検疫サーバ21に対するアクセスのみが「許可」に設定され、第1業務サーバ12、第2業務サーバ22、およびルータ30に対するアクセスは「不許可」に設定されている。
ここで、検疫サーバ21のアドレスを正規端末B14がFQDN(Fully Qualified Domain Name)で記憶しているときには、DNS(Domain Name System)に対するアクセスも「許可」するように設定する必要がある。
この設定に基づいて、通信パケット転送部135bにおいて受信した通信パケットが検疫サーバ21宛てのパケットであると判定されると(S27の「YES」)、通信パケットが検疫サーバ21に転送される(S28および図4のS9)。
図4に戻り、通信パケットが検疫サーバ21に転送されると、検疫サーバ21から正規端末B14に、OSに適用されているパッチの一覧、ウィルス対策ソフトのウィルス定義ファイルのバージョン、ログイン名、パスワード等のセキュリティ関連情報が要求され(S10)、この要求に応じて正規端末B14からこれらの情報が検疫サーバ21に送信される(S11)。
検疫サーバ21において、受信されたセキュリティ関連情報に基づいて行われる検疫処理の動作を図5のフローチャートを参照して説明する。
検疫サーバ21では、送信された正規端末B14のOSに適用されているパッチやウィルス対策ソフトのバージョンの状況が最新のものであるかが判断されることによりセキュリティ対策の基準を満たしているかが確認され(S41)、また、ログイン名、パスワードが通信要求先の端末との通信が許可されたユーザのものであるか等が判断され、これらの結果から正規端末B14の社内ネットワーク1への接続を許可するか否かが判断される。
検疫サーバ21において正規端末B14の社内ネットワーク1への接続を許可すると判断されたときには、検疫処理が終了したことを示す検疫済み通知が生成され、アクセス制御装置13の検疫済み通知受信部135cおよび検疫ステータス変更部135dに送信される(S42、図4のS12)。
検疫サーバ21において正規端末B14の社内ネットワーク1への接続を許可しないと判断されたときには、最新版のOSパッチおよびウィルス定期ファイルを適用する指示がアクセス制御装置13に送信される(S43)。
図5に戻り、検疫済み通知受信部135cで検疫済み通知が受信されると(S29の「YES」)、正規端末B14のARPテーブルに格納されたアクセス制御装置13のMacアドレスをルータ30のMacアドレスに戻す要求が生成され、正規端末B14にユニキャスト通信にて送信される(図4のS13)。
正規端末B14では、受信した要求に従ってARPテーブルに格納されたアクセス制御装置13のMacアドレスがルータ30のMacアドレスに再度書き換られる(S14)。
正規端末B14のARPテーブルに格納されたMacアドレスがルータ30のMacアドレスに戻されることにより、アクセス制御装置13による中間者攻撃が停止されて(図5のS30)、正規端末B14と、ルータ30、第1業務サーバ12、第2業務サーバ22との接続が可能となる(S15)。
また、検疫ステータス変更部135dで検疫済み通知が受信されると、正規端末B14が検疫済みである情報が正規端末リスト記憶部131に送出され、正規端末リストの正規端末B14の検疫ステータス情報が「検疫済み」に変更されて記憶される(S31)。
図5のステップS43において、検疫サーバ21から最新版のOSパッチおよびウィルス定期ファイルを適用する指示が送信されたときには当該正規端末が最新版のOSパッチおよびウィルス定義ファイルを取得するための端末(図示せず)に接続され、適用処理が行われることにより、検疫サーバ21でセキュリティ対策の基準を満たしていると判定され当該正規端末の社内ネットワーク1への接続が許可され、ステップS42に移る。
上記のステップS21〜S31の処理は、当該通信が終了するまで繰り返される(S32)。
正規端末B14が検疫済みの端末として正規端末リスト記憶部131に記憶されることにより、以降に正規端末B14から社内ネットワーク1内の端末にパケットが送信されときにはステップS23において検疫済みであると判定され(S23の「YES」)、中間者攻撃や検疫処理は行われずに通常の通信が可能になる。
次に、社内ネットワーク1に接続が許可されていない不正端末X15から第1サブネット10を介して第2サブネット内の第2業務サーバ22に接続が要求されたときの動作について、図7および図5を参照して説明する。
図7において、端末X15から社内ネットワーク1内の第1サブネット10を介して第2サブネット20内の第2業務サーバ22に接続が要求されたときのステップS51〜S55の処理は、図4のステップS1〜S5の処理と同様であるため、詳細な説明は省略する。
アクセス制御装置13では、不正端末X15からARP要求パケットを受信すると、図5のステップS22において端末X15は社内ネットワーク1へのアクセス権を有さない不正端末であるとアクセス権判定部132で判定される(S22の「NO」)。
ステップS22においてアクセス権判定部132で端末X15が不正端末であると判定されると、存在しない偽のMacアドレスを送信元MacアドレスとしたARP応答パケットがアクセス権判定部132において生成されて、ルータ30から不正端末X15に送信されたARP応答パケットよりワンテンポ遅れたタイミングで、ユニキャスト通信により不正端末X15に送信される(S56)。
不正端末X15では、ARPテーブルに格納されているルータ30のMacアドレスが、アクセス制御装置13から受信された偽のARP応答パケットによりアクセス制御装置13のMacアドレスに書き換えられる(S57)。
また、アクセス権判定部132では、不正端末になりすまして存在しない偽のMacアドレスを送信元アドレスとするARP応答パケットがブロードキャスト通信により第1サブネット10内のすべての端末に送信される(S58)。
ルータ30などの第1サブネット10内の装置では、ARPテーブルに格納されている不正端末X15のMacアドレスが、アクセス制御装置13から受信された偽のARP応答パケットにより偽のMacアドレスに書き換えられ(S59)、不正端末X15の社内ネットワーク1への接続が排除される。
この偽のARP応答パケットをブロードキャスト通信で送信するのは、ステップS21において不正端末X15からブロードキャスト通信によりARP要求パケットが送信されたときに第1サブネット10内のすべての端末において不正端末のIPアドレスとMacアドレスの組み合わせによる識別情報をそれぞれのARPテーブルに記憶しているため、これらの端末のARPテーブルの情報を書き換えなければ不正端末X15とのすべての通信を排除することができないためである。
本実施形態においては、ステップS22において送信元の端末が正規端末であるか否かを判定したが、ここでは正規端末か不正端末かは判定せずにステップS23に進み、検疫済みかどうかのみを判定するようにしてもよい。
また、本実施形態においては、図5のステップS41において検疫サーバ21において正規端末B14の社内ネットワーク1への接続を許可しないと判断されたときに、最新版のOSパッチおよびウィルス定期ファイルを適用する指示を送信したが、ここで何も指示をせず、処理を終了するようにしてもよい。
また、ステップS31で正規端末リスト記憶部131に記憶された、正規端末B14の「検疫済み」の情報は、正規端末リスト記憶部131に設けられたタイマー(図示せず)により正規端末リストの最終検疫時間から予め設定された時間(例えば数時間)が経過したと判断されたとき、OSの新たなパッチが提供されたとき、または、ウィルス対策ソフトの新たなバージョンが提供されたときになどに「検疫前」の状態に戻され、この後に正規端末B14からARP要求パケットが受信されたときには再度中間者攻撃および検疫処理が行われるように設定してもよい。
本発明の第1実施形態によれば、従来のネットワーク監視技術の認証VLAN型方式のように専用のスイッチを設置する必要がなく、安価に構成することができる。
また、本発明の第1実施形態によれば、従来のネットワーク監視技術の認証DHCP型方式のように監視対象の端末に対するIPアドレスの設定方法に制限がなく、固定IPアドレスが設定された端末の監視にも適用することができる。
また、本発明の第1実施形態によれば、従来のネットワーク監視技術のゲートウェイ型方式ように異なるサブネット間に限定されず、同一サブネット内の端末の監視にも適用することができる。
また、本発明の第1実施形態によれば、従来のネットワーク監視技術のパーソナルファイアウォール型方式のように監視対象の端末に専用のソフトウェアをインストールしておく必要がない。
また、本発明の第1実施形態によれば、アクセス制御装置が仮想的なルータとして機能するため、特許文献1のネットワーク監視技術のようにサブネット間のルータの制御を検疫サーバ側から行うことができるようにする必要がなく、ネットワーク構成の変更にも柔軟に対応することができる。
〈第2実施形態〉
本発明の第2実施形態においては、対象ネットワークである社内ネットワークのサブネット内に接続されている端末のうちの1台をアクセス制御装置として機能させ、中間者攻撃の動作を利用することにより、この社内ネットワークを監視するネットワーク監視システムについて説明する。
《第2実施形態によるネットワーク監視システムの構成》
本実施形態によるネットワーク監視システムとして構築された社内ネットワーク2の構成を図8を参照して説明する。
本実施形態における社内ネットワーク2は、第1サブネット10と第2サブネット20とがルータ30により接続されて構成されている。
第1サブネット10には、この社内ネットワーク2へのアクセス権を有し検疫処理済みの正規端末E16と、正規端末F17と、正規端末G18とが接続されており、第2サブネット20には、社内ネットワーク2に接続される端末のセキュリティ対策状況に関する検疫を行う検疫サーバ21と、社内ネットワーク2に接続されている中から選択した端末にアクセス制御機能を実行させるための管理を行うエージェント管理サーバ23とが接続されている。
正規端末E16〜G18には、第1実施形態のアクセス制御装置が有する、ネットワークへの通信が許可された正規端末の識別情報を記憶する正規端末リスト記憶機能と、パケットを受信したときにこのパケットの送信元の端末が正規端末か否かを正規端末リスト記憶機能で記憶された識別情報を基に判断するアクセス権判定機能と、アクセス権判定機能で要求元の端末が正規端末であると判断されたときに正規端末リストの情報に基づいて検疫済みであるか検疫前であるかを判定する検疫ステータス判定機能と、受信したパケットを解析してこのパケットがARP要求であるか否かを判定するパケット種別解析機能と、受信したパケットがARP要求であると判定されたときに中間者攻撃を利用して検疫処理を行わせる中間者攻撃処理機能とがプログラム化して組み込まれている。
《第2実施形態によるネットワーク監視システムの動作》
本実施形態におけるネットワーク監視システムの動作として、社内ネットワーク2に接続が許可されている正規端末H19から、第1サブネット10内の正規端末16E〜18Gのいずれかに接続が要求されたときの動作について説明する。
本実施形態における社内ネットワーク2では、第1サブネット10内に接続されている正規端末16E〜18Gの中からアクセス制御を行わせるエージェント端末がエージェント管理サーバ23により任意に選択されてアクセス制御指示が送信されることにより、選択されたエージェント端末でアクセス制御が行われる。
本実施形態においては、エージェント管理サーバ23によりエージェント端末として正規端末E16が選択されてアクセス制御指示が送信され、正規端末E16においてアクセス制御が行われているものとする。
正規端末H19から第1サブネット10内の端末への接続が要求されると、エージェント端末である正規端末E16によりアクセス制御が行われ、検疫サーバ21により検疫処理が行われる。
エージェント端末である正規端末E16により行われるアクセス制御処理は、第1実施形態のアクセス制御装置13によるアクセス制御処理と同様であるため、詳細な説明は省略する。
エージェント端末である正規端末E16には、現在社内ネットワークに接続されている正規端末の識別情報の一覧がエージェント管理サーバ23から取得されており、定期的にこれらの接続されている正規端末と通信されることにより社内ネットワークへの接続が継続されているか否かが監視される。
ここで、エージェント端末としてアクセス制御を行っていた正規端末E16が電源の切断などにより社内ネットワークから切り離されると、エージェント管理サーバ23において正規端末E16からのポーリングがなくなり正規端末E16がネットワークから切り離されたことが認識され、別の端末がエージェント端末として選択される。
ここでは、正規端末F17が新たなエージェント端末としてエージェント管理サーバ23により選択され、この正規端末F17によりアクセス制御処理が行われるように切り替えられたものとする。
以上の第2実施形態によれば、第1実施形態と同様の効果を得ることができるとともに、専用のアクセス制御装置を設置することなく、アクセス制御機能を有する正規端末がサブネット内に1台でも接続されていればアクセス制御を実行することが可能であり、また、アクセス制御機能を有する正規端末が複数台接続されているときには、アクセス制御を行っていた端末の接続が対象ネットワークから切り離されても他の端末に切り替えてアクセス制御を継続することが可能であり、安定した監視制御を行うことができる。
本発明の第1実施形態によるネットワーク監視システムの構成を示す全体図である。 本発明の第1実施形態によるネットワーク監視システムのアクセス制御装置の構成を示すブロック図である。 本発明の第1実施携帯によるネットワーク監視システムのアクセス制御装置の正規端末リスト記憶部に記憶されている正規端末リストの一例である。 本発明の第1実施形態によるネットワーク監視システムの動作を示すシーケンス図である。 本発明の第1実施形態によるネットワーク監視システムに正規端末から接続要求されたときのアクセス制御装置の動作を示すフローチャートである。 本発明の第1実施形態によるネットワーク監視システムの検疫サーバの動作を示すフローチャートである。 本発明の第1実施形態によるネットワーク監視システムに不正端末から接続要求されたときのアクセス制御装置の動作を示すシーケンス図である。 本発明の第2実施形態によるネットワーク監視システムの構成を示す全体図である。 従来のネットワーク監視システム(1)の構成を示す全体図である。 従来のネットワーク監視システム(2)の構成を示す全体図である。 従来のネットワーク監視システム(3)の構成を示す全体図である。 従来のネットワーク監視システム(4)の構成を示す全体図である。 従来のネットワーク監視システム(5)の構成を示す全体図である。
符号の説明
11…正規端末A
14…正規端末B
15…不正端末X
16…正規端末E
17…正規端末F
18…正規端末G
19…正規端末H
1…社内ネットワーク
2…社内ネットワーク
10…第1サブネット
12…第1業務サーバ
13…アクセス制御装置
20…第2サブネット
21…検疫サーバ
22…第2業務サーバ
23…エージェント管理サーバ
30…ルータ
131…正規端末リスト記憶部
132…アクセス権判定部
133…検疫ステータス判定部
134…パケット種別解析部
135…中間者攻撃処理部
135a…ARP応答パケット生成部
135b…通信パケット転送部
135c…検疫済み通知受信部
135d…検疫ステータス変更部

Claims (6)

  1. 監視対象のネットワークに接続を要求する検疫対象端末のセキュリティ対策状況に基づいて、予め設定されたセキュリティ対策基準をこの検疫対象端末が満たしているか否かを確認する検疫処理を行う検疫サーバに前記ネットワークを介して接続されたネットワーク監視装置において、
    前記ネットワークへの通信が許可された正規端末毎の識別情報と、前記検疫サーバにおいて前記セキュリティ対策基準が満たされていると判定された検疫済み状態であるかまたは前記検疫処理が行われていない検疫前状態であるかを示す前記正規端末毎の検疫ステータス情報とを記憶する正規端末リスト記憶部と、
    前記ネットワークを介して、前記検疫対象端末から自装置以外の装置を応答要求先とするARP要求パケットを受信したときに、前記検疫対象端末が前記正規端末か否かを前記正規端末リスト記憶部に記憶された識別情報を基に判断するアクセス権判定部と、
    前記アクセス権判定部において前記検疫対象端末が正規端末であると判定されたときに、前記検疫対象端末が検疫済み状態であるか検疫前状態であるかを前記正規端末リスト記憶部に記憶された検疫ステータス情報に基づいて判定する検疫ステータス判定部と、
    前記検疫ステータス判定部において前記検疫対象端末が検疫前状態であると判定されたときに、自装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成して、前記応答要求先の装置が生成したARP応答パケットが送信された後に前記検疫対象端末に送信し、前記検疫対象端末のARPテーブルを書き換えさせるARP応答パケット生成部と、
    前記ARP応答パケット生成部から前記代理ARP応答パケットにより自装置のMacアドレスを送信したことに応答して前記検疫対象端末から前記検疫サーバ宛ての通信パケットを受信したときに、この通信パケットを前記検疫サーバに転送する通信パケット転送部と、
    前記通信パケット転送部から前記検疫サーバに前記通信パケットを転送した後、前記検疫サーバから前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知が送信されたときには、前記ARP要求パケットの応答要求先の端末のMacアドレスを前記検疫対象端末に送信して前記検疫対象端末のARPテーブルを変更させる検疫済み通知受信部と、
    前記検疫サーバから前記検疫済み通知が送信されたときに、前記正規端末リスト記憶部の前記検疫対象端末の検疫ステータス情報を検疫済み状態に変更する検疫ステータス変更部と
    を備えることを特徴とするネットワーク監視装置。
  2. 前記セキュリティ対策状況は、前記検疫対象端末で用られているOSのパッチ適用状況、およびセキュリティ対策ソフトのバージョンの状況である
    ことを特徴とする請求項1に記載のネットワーク監視装置。
  3. 前記正規端末リスト記憶部の検疫ステータス情報において検疫済み状態であると記憶された情報は、該当する正規端末における最終検疫時から所定時間が経過したとき、OSの新たなパッチが提供されたとき、またはウィルス対策ソフトの新たなバージョンが提供されたときに検疫前状態に変更される
    ことを特徴とする請求項1または2に記載のネットワーク監視装置。
  4. 監視対象のネットワークに接続を要求する検疫対象端末のセキュリティ対策状況に基づいて、予め設定されたセキュリティ対策基準をこの検疫対象端末が満たしているか否かを確認する検疫処理を行う検疫サーバに前記ネットワークを介して接続されたネットワーク監視装置に、
    前記ネットワークへの通信が許可された正規端末毎の識別情報と、前記検疫サーバにおいて前記セキュリティ対策基準が満たされていると判定された検疫済み状態であるかまたは前記検疫処理が行われていない検疫前状態であるかを示す前記正規端末毎の検疫ステータス情報とを記憶する機能と、
    前記ネットワークを介して、前記検疫対象端末から前記ネットワーク監視装置以外の装置を応答要求先とするARP要求パケットを受信したときに、前記検疫対象端末が前記正規端末か否かを前記識別情報を基に判断する機能と、
    前記検疫対象端末が正規端末であると判定されたときに、前記検疫対象端末が検疫済み状態であるか検疫前状態であるかを前記検疫ステータス情報に基づいて判定する機能と、
    前記検疫対象端末が検疫前状態であると判定されたときに、前記ネットワーク監視装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成して、前記応答要求先の装置が生成したARP応答パケットが送信された後に前記検疫対象端末に送信し、前記検疫対象端末のARPテーブルを書き換えさせる機能と、
    前記代理ARP応答パケットにより前記ネットワーク監視装置のMacアドレスを送信したことに応答して前記検疫対象端末から前記検疫サーバ宛ての通信パケットを受信したときに、この通信パケットを前記検疫サーバに転送する機能と、
    前記検疫サーバに前記通信パケットを転送した後、前記検疫サーバから前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知が送信されたときには、前記ARP要求パケットの応答要求先の端末のMacアドレスを前記検疫対象端末に送信して前記検疫対象端末のARPテーブルを変更させる機能と、
    前記検疫サーバから前記検疫済み通知が送信されたときに、前記検疫対象端末の前記検疫ステータス情報を検疫済み状態に変更する機能と
    を実行させるためのネットワーク監視用プログラム。
  5. 監視対象のネットワークに接続を要求する検疫対象端末の監視を行うネットワーク監視装置と、前記検疫対象端末のセキュリティ対策に関する検疫処理を行う検疫サーバとが前記ネットワークを介して接続されたネットワーク監視システムにおいて、
    前記ネットワーク監視装置は、
    前記ネットワークへの通信が許可された正規端末毎の識別情報と、前記検疫サーバにおいて前記セキュリティ対策基準が満たされていると判定された検疫済み状態であるかまたは前記検疫処理が行われていない検疫前状態であるかを示す前記正規端末毎の検疫ステータス情報とを記憶する正規端末リスト記憶部と、
    前記ネットワークを介して、前記検疫対象端末から自装置以外の装置を応答要求先とするARP要求パケットを受信したときに、前記検疫対象端末が前記正規端末か否かを前記正規端末リスト記憶部に記憶された識別情報を基に判断するアクセス権判定部と、
    前記アクセス権判定部において前記検疫対象端末が正規端末であると判定されたときに、前記検疫対象端末が検疫済み状態であるか検疫前状態であるかを前記正規端末リスト記憶部に記憶された検疫ステータス情報に基づいて判定する検疫ステータス判定部と、
    前記検疫ステータス判定部において前記検疫対象端末が検疫前状態であると判定されたときに、自装置のMacアドレスを送信元アドレスとした代理ARP応答パケットを生成して、前記応答要求先の装置が生成したARP応答パケットが送信された後に前記検疫対象端末に送信し、前記検疫対象端末のARPテーブルを書き換えさせるARP応答パケット生成部と、
    前記ARP応答パケット生成部から前記代理ARP応答パケットにより自装置のMacアドレスを送信したことに応答して前記検疫対象端末から前記検疫サーバ宛ての通信パケットを受信したときに、この通信パケットを前記検疫サーバに転送する通信パケット転送部と、
    前記通信パケット転送部から前記検疫サーバに前記通信パケットを転送した後、前記検疫サーバから前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知が送信されたときには、前記ARP要求パケットの応答要求先の端末のMacアドレスを前記検疫対象端末に送信して前記検疫対象端末のARPテーブルを変更させる検疫済み通知受信部と、
    前記検疫サーバから前記検疫済み通知が送信されたときに、前記正規端末リスト記憶部の前記検疫対象端末の検疫ステータス情報を検疫済み状態に変更する検疫ステータス変更部とを備え、
    前記検疫サーバは、
    前記通信パケット転送部から前記通信パケットを受信したときに、前記検疫対象端末からセキュリティ対策状況を取得し、前記検疫対象端末が予め設定されたセキュリティ対策基準を満たしているか否かを確認する検疫手段と、
    前記検疫手段により前記検疫対象端末が前記セキュリティ対策基準を満たしていることが確認されたときに、前記検疫対象端末が前記セキュリティ対策基準を満たしていることを示す検疫済み通知を生成して、前記検疫済み通知受信部および前記検疫ステータス変更部に送信する検疫済み通知送信部と
    を備えることを特徴とするネットワーク監視システム。
  6. 前記ネットワークに接続された正規端末を管理する管理サーバをさらに備え、
    前記ネットワーク監視装置は、前記ネットワークに接続された複数の正規端末に設けられ、
    前記管理サーバは、
    前記ネットワークに接続された前記複数の正規端末の中から選択した任意の台数の正規端末に設けられたネットワーク監視装置の機能を有効にする監視装置選択部と、
    前記監視装置選択部により選択された正規端末が前記ネットワークから切断されたときに他の正規端末に設けられたネットワーク監視装置の機能を有効にする監視装置変更部と、
    を備えることを特徴とする請求項5に記載のネットワーク監視システム。
JP2007112174A 2007-04-20 2007-04-20 ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム Pending JP2008271242A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007112174A JP2008271242A (ja) 2007-04-20 2007-04-20 ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007112174A JP2008271242A (ja) 2007-04-20 2007-04-20 ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム

Publications (1)

Publication Number Publication Date
JP2008271242A true JP2008271242A (ja) 2008-11-06

Family

ID=40050154

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007112174A Pending JP2008271242A (ja) 2007-04-20 2007-04-20 ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム

Country Status (1)

Country Link
JP (1) JP2008271242A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010136014A (ja) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Macアドレス自動認証システム
JP2011035535A (ja) * 2009-07-30 2011-02-17 Pfu Ltd 通信遮断装置、サーバ装置、方法およびプログラム
JP2012010235A (ja) * 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
US8897142B2 (en) 2010-04-08 2014-11-25 Pfu Limited Communication monitoring device
KR101584763B1 (ko) * 2015-02-09 2016-01-12 (주)넷맨 불법 공유기 및 네트워크 주소 변환 기기 탐지를 위한 정보 수집 방법
WO2016047105A1 (ja) * 2014-09-25 2016-03-31 日本電気株式会社 通信制御装置、通信制御方法、通信制御プログラムが格納された記録媒体、及び、情報システム
WO2018181255A1 (ja) * 2017-03-28 2018-10-04 パナソニックIpマネジメント株式会社 不正パケット対策装置、システム、方法及びプログラム
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法
JP2020028068A (ja) * 2018-08-15 2020-02-20 日本電信電話株式会社 通信システム及び通信方法

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010136014A (ja) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Macアドレス自動認証システム
JP2011035535A (ja) * 2009-07-30 2011-02-17 Pfu Ltd 通信遮断装置、サーバ装置、方法およびプログラム
US8732469B2 (en) 2009-07-30 2014-05-20 Pfu Limited Communication cutoff device, server device and method
US8897142B2 (en) 2010-04-08 2014-11-25 Pfu Limited Communication monitoring device
JP2012010235A (ja) * 2010-06-28 2012-01-12 Alaxala Networks Corp パケット中継装置及びネットワークシステム
WO2016047105A1 (ja) * 2014-09-25 2016-03-31 日本電気株式会社 通信制御装置、通信制御方法、通信制御プログラムが格納された記録媒体、及び、情報システム
JPWO2016047105A1 (ja) * 2014-09-25 2017-06-08 日本電気株式会社 通信制御装置、通信制御方法、通信制御プログラム、及び、情報システム
US10367848B2 (en) 2014-09-25 2019-07-30 Nec Corporation Transmitting relay device identification information in response to broadcast request if device making request is authorized
KR101584763B1 (ko) * 2015-02-09 2016-01-12 (주)넷맨 불법 공유기 및 네트워크 주소 변환 기기 탐지를 위한 정보 수집 방법
WO2018181255A1 (ja) * 2017-03-28 2018-10-04 パナソニックIpマネジメント株式会社 不正パケット対策装置、システム、方法及びプログラム
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法
JP2020028068A (ja) * 2018-08-15 2020-02-20 日本電信電話株式会社 通信システム及び通信方法
WO2020036160A1 (ja) * 2018-08-15 2020-02-20 日本電信電話株式会社 通信システム及び通信方法
JP7063185B2 (ja) 2018-08-15 2022-05-09 日本電信電話株式会社 通信システム及び通信方法
US11805098B2 (en) 2018-08-15 2023-10-31 Nippon Telegraph And Telephone Corporation Communication system and communication method

Similar Documents

Publication Publication Date Title
US7124197B2 (en) Security apparatus and method for local area networks
US10375110B2 (en) Luring attackers towards deception servers
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
US7448076B2 (en) Peer connected device for protecting access to local area networks
US8707395B2 (en) Technique for providing secure network access
US7827607B2 (en) Enhanced client compliancy using database of security sensor data
US8510803B2 (en) Dynamic network access control method and apparatus
US7474655B2 (en) Restricting communication service
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
US11632399B2 (en) Secure administration of a local communication network comprising at least one communicating object
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
US8161162B1 (en) Remote computer management using network communications protocol that enables communication through a firewall and/or gateway
US20240129275A1 (en) Systems, Methods And Apparatus For Local Area Network Isolation
US20130262650A1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
EP3989509A1 (en) Method for realizing network dynamics, system, terminal device and storage medium
US20230344798A1 (en) Roaming dns firewall
EP1588261A1 (en) Security apparatus and method for protecting access to local area networks
Natarajan Different Possibilities of DHCP Attacks and Their Security Features
Kim et al. A host protection framework against unauthorized access for ensuring network survivability
Phelps SANS GCFW PRACTICAL ASSIGNMENT version 1.8 GIAC ENTERPRISES

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090602

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091013