JP2012199758A - Quarantine management device, quarantine system, quarantine management method, and program - Google Patents
Quarantine management device, quarantine system, quarantine management method, and program Download PDFInfo
- Publication number
- JP2012199758A JP2012199758A JP2011062265A JP2011062265A JP2012199758A JP 2012199758 A JP2012199758 A JP 2012199758A JP 2011062265 A JP2011062265 A JP 2011062265A JP 2011062265 A JP2011062265 A JP 2011062265A JP 2012199758 A JP2012199758 A JP 2012199758A
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- terminal device
- address
- network
- local address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、検疫管理装置、検疫システム、検疫管理方法、およびプログラムに関する。 The present invention relates to a quarantine management device, a quarantine system, a quarantine management method, and a program.
近年、IPv4のプロトコルが動作するコンピュータネットワークが、企業、団体などにおいて、組織内のローカルエリアネットワーク(以下、LANと略す)として利用されている。この場合、LANにパーソナルコンピュータ(以下、PCと略す)を接続するという行為に対しては、大きく2つのセキュリティリスクが考えられる。 In recent years, computer networks in which the IPv4 protocol operates are used as local area networks (hereinafter abbreviated as “LAN”) in organizations in organizations and organizations. In this case, two security risks can be considered for the act of connecting a personal computer (hereinafter abbreviated as PC) to the LAN.
ひとつ目としては、組織内の情報を盗もうとする者が、故意にLANに侵入するための手段として許可されていないPCをLANに接続するというセキュリティリスクが挙げられる。ふたつ目としては、PCのオペレーティングソフトウェア(以下、「OS」と略す。)、企業の業務または団体活動に用いるソフトウェアプログラム(以下、「ソフトウェア」と略す。)のセキュリティ上の問題点を修正するソフトウェア(以下、「パッチ」と略す。)がPCに適用されていないことによるセキュリティリスクが挙げられる。 The first is a security risk that a person who wants to steal information in an organization connects a PC that is not permitted as a means for deliberately entering the LAN to the LAN. Secondly, software that corrects security problems of PC operating software (hereinafter abbreviated as “OS”) and software programs used for business or group activities (hereinafter abbreviated as “software”). (Hereinafter referred to as “patch”) is a security risk due to not being applied to a PC.
ふたつ目のセキュリティリスクが引き起こす問題としては、コンピュータウイルスへの感染、それによる他のPCへの伝染が挙げられる。また、コンピュータウイルスへの感染が生じた場合は、PCを用いた企業の業務または団体活動が困難になったり、組織内部の情報が外部に漏洩したり、加えて、これらの被害が他の企業または団体に広がったり、と更なる問題が生じてしまう。 The second security risk poses a problem with computer virus infection and its transmission to other PCs. In addition, when a computer virus infection occurs, it becomes difficult for a company to use a PC or conduct group activities, information inside the organization is leaked to the outside, and these damages are caused by other companies. Or it spreads to organizations, causing further problems.
これらのセキュリティリスクへの対策として、組織から許可されていないPCをLANに接続させない、パッチの適用されていないPCをLANに接続させないという制御が必要である。具体的には、PCをLANに接続する際に、ポリシー確認を行い、そのポリシー確認で条件に適合したか、不適合であったかによりPCの接続が制御される。このような制御は、「ネットワーク検疫」、または単に「検疫」と呼ばれることがある。また、PCがポリシー確認で不適合である場合に、このPCをパッチの適用などの目的で接続させるネットワークが存在しており、このようなネットワークは、「検疫ネットワーク」と呼ばれる。 As countermeasures against these security risks, it is necessary to control such that PCs that are not permitted by the organization are not connected to the LAN, and PCs to which patches are not applied are not connected to the LAN. Specifically, when the PC is connected to the LAN, the policy is confirmed, and the connection of the PC is controlled depending on whether the policy confirmation satisfies the condition or not. Such control may be referred to as “network quarantine” or simply “quarantine”. In addition, when a PC is incompatible with policy confirmation, there is a network that connects the PC for the purpose of applying a patch, and such a network is called a “quarantine network”.
ここで、ネットワーク検疫の具体的な方法について、以下に、主な4つの検疫方法を挙げて簡単に説明する。 Here, a specific method of network quarantine will be briefly described below with four main quarantine methods.
(1)DHCP認証による検疫方法
DHCP(Dynamic Host Configuration Protocol)とは、IETF(登録商標) RFC2131(非特許文献1参照)によって定められている規則であり、設定情報をTCP/IPネットワーク上のホストに対して渡すための枠組みを提供する。また、DHCPを用いることにより、再利用可能なネットワークアドレスを自動で割り当てることが可能となる。
(1) Quarantine method by DHCP authentication DHCP (Dynamic Host Configuration Protocol) is a rule defined by IETF (registered trademark) RFC 2131 (see Non-Patent Document 1), and setting information is transmitted to a host on a TCP / IP network. Provides a framework for passing against Further, by using DHCP, a reusable network address can be automatically assigned.
DHCP認証による検疫方法では、まず、DHCPにてネットワークアドレスを自動で割り当てる際に、ネットワークアドレスの要求があったPCに、仮のIPアドレスが割り当てられる。次に、ポリシー確認が行われ、そのポリシー確認の結果に基づいて、当該PCの接続が制御される。 In the quarantine method using DHCP authentication, first, when a network address is automatically assigned by DHCP, a temporary IP address is assigned to a PC that has requested a network address. Next, policy confirmation is performed, and the connection of the PC is controlled based on the result of the policy confirmation.
(2)802.1X認証による検疫方法
802.1X(非特許文献2参照)とは、ネットワークアクセスポイントのポートに基づき接続を制御する方法であり、802.1Xでは、オーセンティケータ、サプリカント、認証サーバと呼ばれる要素が用いられる。
(2) Quarantine method by 802.1X authentication 802.1X (see Non-Patent Document 2) is a method for controlling connection based on a port of a network access point. In 802.1X, an authenticator, a supplicant, An element called an authentication server is used.
ネットワークアクセスポイントは、LANスイッチ、無線LANアクセスポイントなどである。オーセンティケータは、LANに接続される他機器の認証を助けるネットワークアクセスポイントである。サプリカントとは、LANに物理的に接続され、オーセンティケータによる認証を要求する要素である。認証サーバは、Diameter(非特許文献3参照)またはRADIUS(非特許文献4参照)といったプロトコルに基づいて、認証サービスをオーセンティケータに提供する要素である。 The network access point is a LAN switch, a wireless LAN access point, or the like. The authenticator is a network access point that helps authenticate other devices connected to the LAN. A supplicant is an element that is physically connected to a LAN and that requires authentication by an authenticator. The authentication server is an element that provides an authentication service to the authenticator based on a protocol such as Diameter (see Non-Patent Document 3) or RADIUS (see Non-Patent Document 4).
802.1X認証による検疫方法では、まず、802.1X認証が行われる際に、ポリシー確認が行われ、適合した場合は業務用のVLANにPCが接続される。一方、不適合の場合は、検疫ネットワーク用のVLANにPCが接続される。 In the quarantine method based on the 802.1X authentication, first, when the 802.1X authentication is performed, the policy is confirmed, and if it matches, the PC is connected to the business VLAN. On the other hand, in the case of nonconformity, the PC is connected to the VLAN for the quarantine network.
(3)パーソナルファイアウォールによる検疫方法
LANからPCへの侵入を目的としたアクセス及びPCとLANとの通信を、検知、遮断、及び制御する目的で、OSに組み込まれている、またはPCに導入されている「パーソナルファイアウォール」と呼ばれるソフトウェアが、使用される。
(3) Quarantine method by personal firewall Built-in OS or installed in PC for the purpose of detecting, blocking and controlling access for intrusion from LAN to PC and communication between PC and LAN Software called "Personal Firewall" is used.
パーソナルファイアウォールによる検疫方法では、まず、検疫エージェントと呼ばれるソフトウェアがPCに導入される。そして、PCがLANに接続されると、検疫エージェントによりポリシー確認が行われ、適合した場合はPCがLANに接続される。一方、不適合である場合は、パーソナルファイアウォールを用いて通信が制御され、PCはLANに接続できない状態とされる。 In a quarantine method using a personal firewall, first, software called a quarantine agent is installed in a PC. When the PC is connected to the LAN, the policy check is performed by the quarantine agent, and if the PC matches, the PC is connected to the LAN. On the other hand, in the case of incompatibility, communication is controlled using a personal firewall, and the PC cannot be connected to the LAN.
なお、検疫エージェントが未導入のPC(以下、未導入PCと略す)がある場合、それ以外の各PCが、未導入PCに対するパーソナルファイアウォールの通信制御の設定を共有するため、未導入PCとの通信を行わないという動作が実現される。 In addition, when there is a PC in which the quarantine agent has not been installed (hereinafter abbreviated as “unintroduced PC”), since the other PCs share the personal firewall communication control settings for the unintroduced PC, The operation of not performing communication is realized.
(4)検疫ゲートウェイによる検疫方法
管理対象となるLANは、通常、内部ネットワークと外部ネットワークとに分けられる。そして、内部ネットワークと外部ネットワークとの中継地点に配置され、トランスポート層以上で転送処理をしたり、プロトコルを変換したりする機器はゲートウェイ(非特許文献7参照)と呼ばれている。また、端末のセキュリティポリシーへの適合可否に応じて通信の制御を行うファイアウォールをゲートウェイに導入することにより、「検疫ゲートウェイ」が構築される。
(4) Quarantine Method by Quarantine Gateway LANs to be managed are usually divided into an internal network and an external network. A device that is arranged at a relay point between the internal network and the external network and that performs transfer processing at a level higher than the transport layer or converts a protocol is called a gateway (see Non-Patent Document 7). In addition, a “quarantine gateway” is constructed by introducing a firewall that controls communication according to whether the terminal conforms to the security policy.
検疫ゲートウェイによる検疫方法では、まず、内部ネットワークは、PCが物理的に接続できない場所に配置されて保護されているため、内部ネットワークを利用したいPCは外部ネットワークに物理的に接続される。続いて、検疫エージェントが導入されているPCは、検疫エージェントによるポリシー確認を受ける。 In the quarantine method using the quarantine gateway, first, since the internal network is arranged and protected in a place where the PC cannot be physically connected, the PC that wants to use the internal network is physically connected to the external network. Subsequently, the PC in which the quarantine agent is installed receives policy confirmation by the quarantine agent.
そして、ポリシー確認に適合したPCは、検疫エージェントから検疫ゲートウェイに通信を行い、当該PCが有するネットワークアドレスを、通信が許可されるネットワークアドレスとして検疫ゲートウェイのファイアウォールに登録するなどする。この後、検疫ゲートウェイは、PCと内部ネットワークとの接続を可能にする。 Then, the PC that conforms to the policy confirmation communicates from the quarantine agent to the quarantine gateway, and registers the network address of the PC in the firewall of the quarantine gateway as a network address that allows communication. Thereafter, the quarantine gateway enables connection between the PC and the internal network.
一方、ポリシー確認に不適合であったPCが、内部ネットワークに接続しようとした場合は、検疫ゲートウェイにより、その通信が制御され、内部ネットワークはセキュリティリスクから保護されることになる。 On the other hand, when a PC that does not conform to the policy confirmation tries to connect to the internal network, the communication is controlled by the quarantine gateway, and the internal network is protected from security risks.
また、ネットワーク検疫を実現するため、種々のシステムが提案されている(特許文献1〜3参照)。具体的には、特許文献1は、許可されていないPCをLANに接続されないようにする不正接続防止システムを開示している。まず、PCは、固定IPアドレスの設定であれ、DHCPによるIPアドレスの割り当てであれ、IPアドレスを設定する段階において、IPアドレスの重複確認のためGratuitous ARPと呼ばれるARP(Address Resolution Protocol」:非特許文献5参照)のパケットを発信する。このことは、「IPv4アドレスの衝突検出」(非特許文献6)にて規定されている。 Various systems have been proposed to realize network quarantine (see Patent Documents 1 to 3). Specifically, Patent Document 1 discloses an unauthorized connection prevention system that prevents unauthorized PCs from being connected to a LAN. First, whether the PC sets a fixed IP address or assigns an IP address by DHCP, at the stage of setting the IP address, an ARP (Address Resolution Protocol) called Gratuitous ARP is used to confirm IP address duplication. The packet of Reference 5) is transmitted. This is defined in “IPv4 address collision detection” (Non-Patent Document 6).
そして、PCが、固定IPアドレスの設定、DHCPによるIPアドレスの割り当てで、IPアドレスを設定することを阻止する方法としては、PCからのARP要求パケットに対して、偽りのMAC(Media Access Control)アドレスを有するARP応答パケット(以下、「偽装ARP応答」とする)を送信する方法が考えられる。特許文献1に開示された不正接続防止システムでは、この方法を採用する。 As a method for preventing the PC from setting an IP address by setting a fixed IP address or assigning an IP address by DHCP, a false MAC (Media Access Control) is applied to an ARP request packet from the PC. A method of transmitting an ARP response packet having an address (hereinafter referred to as “spoofed ARP response”) is conceivable. The unauthorized connection prevention system disclosed in Patent Document 1 employs this method.
一方、LANへの接続が承認されたPCに対しては、特許文献1に開示された不正接続防止システムは、そのPCのMACアドレスを記憶する承認リスト記憶部を参照することによって、偽装ARP応答を送信しないように動作する。 On the other hand, for a PC that has been approved for connection to the LAN, the unauthorized connection prevention system disclosed in Patent Document 1 refers to an authorization list storage unit that stores the MAC address of the PC, thereby impersonating an ARP response. Works not to send.
また、特許文献2は、設定されたポリシーを満たしていない端末のネットワークへのアクセス制限を実施する不正接続防止システムを開示している。特許文献2に開示された不正接続防止システムは、MACアドレス、IPアドレス等で許可されたクライアント端末以外をネットワークに接続させないアクセス制限を実施する、従来の不正接続防止システム(特許文献1に開示されたシステムを含む)における問題を解決している。
Further,
つまり、従来の不正接続防止装置では、MACアドレス、IPアドレス等で許可されたクライアント端末であれば、必要なエージェントソフトがインストールされていなくても、ネットワークに接続できる点、MACアドレス、IPアドレス等で許可されたクライアント端末であれば、必要なエージェントソフトをアンインストールしても、ネットワークに接続できてしまう点が問題となっている。 In other words, in the conventional unauthorized connection prevention device, if it is a client terminal permitted by a MAC address, an IP address, etc., it can be connected to the network even if the necessary agent software is not installed, the MAC address, the IP address, etc. If the client terminal is permitted by the above, even if the necessary agent software is uninstalled, it can be connected to the network.
特許文献2に開示された不正接続防止システムは、クライアントに必要なエージェントソフトがインストールされていない端末を検知し、必要なエージェントソフトがインストールされていない端末のネットワークへのアクセス制限を実施する。さらに、特許文献2に開示された不正接続防止システムは、クライアントに必要なエージェントソフトがインストールされている端末でも、設定されたポリシーを満たしていない端末に対しては、ネットワークへのアクセス制限を実施する。
The unauthorized connection prevention system disclosed in
特許文献3は、認証装置、認証サーバ、およびDHCPサーバの連携によって検疫を行う検疫システムを開示している。特許文献3において、認証装置は、クライアント端末のネットワークへの接続を検知し、エージェントソフトがインストールされていないクライアント端末については、ゲストネットワークに接続される。また、認証装置は、エージェントソフトがインストールされている端末については、検疫ネットワークに接続させる。
特許文献3に開示された検疫システムによれば、コンピュータウイルスに感染している可能性のあるクライアント端末を、ある一定時間の間、ユーザネットワークに接続させないことが実現される。また、認証装置においては、802.1Xのプロトコルを用いることができるので、認証装置は、認証サーバとクライアント端末との仲立ちを行うことができる。また、認証装置は、DHCPサーバへの指示により、ゲストネットワーク、検疫ネットワーク、ユーザネットワークのIPアドレスの払い出しを行うこともできる。
According to the quarantine system disclosed in
上述した4つの検疫方法は、導入する側の要望および事情などに応じて、適宜選択されて利用される。また、これらの検疫方法に対して、特許文献1〜3に開示されたシステムが、組み合わされ、実際のネットワーク検疫が行われて場合もある。 The above-described four quarantine methods are appropriately selected and used according to the demands and circumstances of the introduction side. In addition, the systems disclosed in Patent Documents 1 to 3 may be combined with these quarantine methods to perform actual network quarantine.
しかしながら、4つの検疫方法および特許文献1〜3に開示されたシステムを用いた場合には、セキュリティの確保が十分でないという問題、導入コストを低減できないという問題、および運用負担が大きいという問題が発生する。以下に説明する。 However, when the four quarantine methods and the systems disclosed in Patent Documents 1 to 3 are used, there are problems that security is not sufficiently secured, introduction cost cannot be reduced, and operation burden is large. To do. This will be described below.
[DHCP認証による検疫方法]、
DHCP認証による検疫方法では、PCに対してIPアドレスが固定IPアドレスで設定されている場合に、検疫を実行することができず、LANへの接続が可能となるため、セキュリティの確保が図られないという問題が発生している。
[Quarantine method by DHCP authentication],
In the quarantine method using DHCP authentication, when the IP address is set to a PC with a fixed IP address, quarantine cannot be executed and connection to the LAN is possible, thus ensuring security. There is no problem.
また、固定IPアドレスによる接続を防止するためには、DHCPスヌーピングと呼ばれる機能を持ったネットワークスイッチを導入するなどの措置が考えられるが、この場合は、別途導入費用がかかり、導入コストが増加してしまう。 In order to prevent connection with a fixed IP address, measures such as introducing a network switch having a function called DHCP snooping may be considered. However, in this case, additional introduction costs are required, which increases the introduction costs. End up.
また、DHCPスヌーピングを利用する場合は、そのネットワークスイッチにtrustedポートの設定が必要となり、また、通信を遮断できるのはネットワークスイッチのポートにおいてである。このため、PC間で高いセキュリティ性を確保するためには、PCが接続される末端のネットワークスイッチがDHCPスヌーピングに対応していることが必要となり、この点からも導入コストが増加してしまう。 In addition, when using DHCP snooping, it is necessary to set a trusted port in the network switch, and it is only at the port of the network switch that communication can be blocked. For this reason, in order to ensure high security between the PCs, it is necessary for the terminal network switch to which the PCs are connected to support DHCP snooping, which also increases the introduction cost.
また、固定IPアドレスを遮断する目的でDHCPスヌーピングが利用されている環境で、例外的に、固定IPアドレスを利用可能な端末を配置することは、実際には、運用上困難と考えられる。さらに、DHCP認証による検疫方法では、接続を求めるPCに検疫ネットワーク用の仮のIPアドレスを割り当てるが、この処理を行うためには、ネットワーク管理者があらかじめ仮のIPアドレスを定めて、DHCPサーバに設定する必要があり、運用負担が大きくなってしまう。 In addition, in an environment where DHCP snooping is used for the purpose of blocking a fixed IP address, it is considered that it is actually difficult to operate a terminal that can use a fixed IP address exceptionally. Furthermore, in the quarantine method based on DHCP authentication, a temporary IP address for the quarantine network is assigned to a PC that requests connection. In order to perform this process, the network administrator defines a temporary IP address in advance and sends it to the DHCP server. It is necessary to set, and the operation burden becomes large.
[802.1X認証による検疫方法]
802.1X認証による検疫方法を実行するためには、802.1Xに対応したRADIUS等の認証サーバ、および802.1X認証に対応した機器を導入する必要がある。従って、それら機器を保有していない企業等では、機器の入れ替えが必要となり、導入コストがかかるという問題が発生する。
[Quarantine method using 802.1X authentication]
In order to execute the quarantine method using 802.1X authentication, it is necessary to install an authentication server such as RADIUS that supports 802.1X and a device that supports 802.1X authentication. Therefore, companies that do not have such devices need to replace the devices, which causes a problem of high introduction costs.
また、802.1X認証は、ポート単位で行われる。このため、認証が完了したサプリカントとポートとの間にリピータハブまたは無線LANアクセスポイントなどが存在すると、それらに接続される他のPCからポートを越えてLANへの接続が可能になり、セキュリティの確保が図れないという問題も発生する。この問題は、MACアドレスによる接続の制御を行うなどによって対処可能とも考えられるが、この場合は導入コストおよび運用の手間が増加してしまう。 Further, 802.1X authentication is performed on a port basis. Therefore, if there is a repeater hub or a wireless LAN access point between the supplicant that has been authenticated and the port, it becomes possible to connect to the LAN from the other PC connected to the port through the port. There is also a problem that it cannot be secured. This problem can be dealt with by controlling the connection using the MAC address, but in this case, the introduction cost and the labor of operation increase.
また、802.1X認証による検疫方法を実行するためには、ネットワーク管理者があらかじめ検疫ネットワーク用のVLANを定めて、これを機器に設定する必要があり、この点で運用負担が大きくなっている。また、同様に、特許文献3に開示された検疫システムでは、ネットワーク管理者は、ゲストネットワークを設定する必要があり、特許文献3に開示された検疫システムにおいても運用負担は大きいと言える。
In addition, in order to execute the quarantine method based on 802.1X authentication, it is necessary for the network administrator to define a VLAN for the quarantine network in advance and set it in the device, which increases the operation burden. . Similarly, in the quarantine system disclosed in
[パーソナルファイアウォールによる検疫方法]
パーソナルファイアウォールによる検疫方法では、検疫エージェントが未導入のPCに対するパーソナルファイアウォールの通信制御の設定が、導入済みの他のPCと共有された時点より、未導入のPCは、導入済みの他のPCと通信できなくなる。このため、長時間にわたり未導入のPCがLANに接続されることはない。
[Quarantine method by personal firewall]
In the quarantine method using the personal firewall, the PC that has not yet been installed is connected to the other PC that has not been installed since the setting of communication control of the personal firewall for the PC to which the quarantine agent has not been installed is shared with the other PC that has been installed. Communication is not possible. For this reason, a PC that has not been installed for a long time is not connected to the LAN.
しかしながら、未導入のPCは、一時的ではあるが、ネットワークに接続できるため、セキュリティの確保が十分でないという問題が発生する。また、このことは、特許文献2に開示された不正接続防止システムにおいても同様である。
However, a PC that has not been installed is temporary, but can be connected to a network, so that a problem arises that security is not sufficient. This also applies to the unauthorized connection prevention system disclosed in
[検疫ゲートウェイによる検疫方法]
検疫ゲートウェイを設けて通信を制御するため、複数のゲートウェイを設ける必要があるLANに適用しようとすると、設定が煩雑になり、運用に手間がかかるという問題が発生する。また、内部ネットワークに接続を許可されたPCが、接続を許可されていないPCと同じ外部ネットワークに恒久的に存在し、それらが互いに通信可能な状況となることがある。このような状況下では、内部ネットワークに接続を許可されたPCが、接続を許可されていないPCから、情報セキュリティに関する攻撃を受けやすく、セキュリティの確保が十分でないという問題が発生する。
[Quarantine method by quarantine gateway]
In order to control communication by providing a quarantine gateway, if it is applied to a LAN that needs to be provided with a plurality of gateways, there is a problem that the setting becomes complicated and the operation is troublesome. In addition, a PC that is permitted to connect to the internal network may be permanently present in the same external network as a PC that is not permitted to connect, so that they can communicate with each other. Under such circumstances, there arises a problem that a PC that is permitted to connect to the internal network is susceptible to information security attacks from a PC that is not permitted to connect, and security is not sufficient.
本発明の目的の一例は、上記問題を解消し、セキュリティの確保、導入コストの低減、および運用負担の軽減を図り得る、検疫管理装置、検疫システム、検疫管理方法、およびプログラムを提供することにある。 An example of an object of the present invention is to provide a quarantine management device, a quarantine system, a quarantine management method, and a program that can solve the above-described problems and can ensure security, reduce the introduction cost, and reduce the operation burden. is there.
上記目的を達成するため、本発明の一側面における検疫管理装置は、ネットワークに接続される端末装置を検疫するための検疫管理装置であって、
前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、当該検疫管理装置との通信のために、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させる、アクセス制御部と、
前記リンクローカルアドレスを介して、前記リンクローカルアドレスを取得した前記端末装置が、前記ネットワークを保護するためのエージェントプログラムを導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う、セキュリティポリシー確認部と、
を備え、
前記アクセス制御は、前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、ことを特徴とする。
In order to achieve the above object, a quarantine management apparatus according to one aspect of the present invention is a quarantine management apparatus for quarantining a terminal device connected to a network,
When an ARP request from the terminal device is detected, a duplicate response is transmitted to the terminal device, and only communication on a single link physically and logically is possible for communication with the quarantine management device. An access control unit for acquiring a link local address to be
The terminal device that has acquired the link local address via the link local address determines whether an agent program for protecting the network is installed, and if the result of the determination is, A security policy confirmation unit that confirms whether the security policy conforms;
With
The access control permits the terminal device to obtain an IP address when the security policy is met.
上記目的を達成するため、本発明の一側面における検疫システムは、ネットワークに接続される端末装置と、前記端末装置を検疫するための検疫管理装置とを備え、
前記検疫管理装置は、
前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、当該検疫管理装置との通信のために、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させ、そして、
前記端末装置が、前記リンクローカルアドレスから、前記ネットワークを保護するためのエージェントプログラムを導入している旨を通知すると、前記端末装置に、セキュリティポリシーの適合の可否の確認を行い、
前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、
ことを特徴とする。
In order to achieve the above object, a quarantine system according to an aspect of the present invention includes a terminal device connected to a network, and a quarantine management device for quarantining the terminal device,
The quarantine management device
When an ARP request from the terminal device is detected, a duplicate response is transmitted to the terminal device, and only communication on a single link physically and logically is possible for communication with the quarantine management device. To get the link local address, and
When the terminal device notifies from the link local address that an agent program for protecting the network has been introduced, the terminal device is confirmed as to whether or not security policy conforms,
Permitting the terminal device to obtain an IP address when the security policy is compliant;
It is characterized by that.
また、上記目的を達成するため、本発明の一側面における検疫管理方法は、ネットワークに接続される端末装置を検疫するための方法であって、
(a)前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させる、ステップと、
(b)前記リンクローカルアドレスを介して、前記リンクローカルアドレスを取得した前記端末装置が、前記ネットワークを保護するためのエージェントプログラムを導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う、ステップと、
(c)前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、ステップと、
を有することを特徴とする。
In order to achieve the above object, a quarantine management method according to one aspect of the present invention is a method for quarantining a terminal device connected to a network,
(A) Upon detecting an ARP request from the terminal device, a duplicate response is transmitted to the terminal device to acquire a link local address that enables communication on a single link physically and logically. , Steps and
(B) It is determined whether or not the terminal device that has acquired the link local address has installed an agent program for protecting the network via the link local address. If the security policy conformance is confirmed, step,
(C) permitting the terminal device to obtain an IP address when the security policy conforms; and
It is characterized by having.
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、コンピュータによって、ネットワークに接続される端末装置を検疫するためのプログラムであって、
前記コンピュータに、
(a)前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、前記コンピュータとの通信のために、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させる、ステップと、
(b)前記リンクローカルアドレスを介して、前記リンクローカルアドレスを取得した前記端末装置が、前記ネットワークを保護するためのエージェントプログラムを導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う、ステップと、
(c)前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、ステップと、
を実行させることを特徴とする。
Furthermore, in order to achieve the above object, a program according to one aspect of the present invention is a program for quarantining a terminal device connected to a network by a computer,
In the computer,
(A) Upon detecting an ARP request from the terminal device, a duplicate response is transmitted to the terminal device, and only communication on a single link physically and logically is performed for communication with the computer. Getting the link-local address to be enabled, and
(B) It is determined whether or not the terminal device that has acquired the link local address has installed an agent program for protecting the network via the link local address. If the security policy conformance is confirmed, step,
(C) permitting the terminal device to obtain an IP address when the security policy conforms; and
Is executed.
以上のように、本発明における、検疫管理装置、検疫システム、検疫管理方法、およびプログラムによれば、セキュリティの確保、導入コストの低減、および運用負担の軽減を図ることができる。 As described above, according to the quarantine management device, the quarantine system, the quarantine management method, and the program according to the present invention, security can be ensured, introduction cost can be reduced, and operation burden can be reduced.
(発明の概要)
PCなどの端末装置は、IPv4を用いたローカルエリアネットワークであるLANに、接続されると、まず、固定値(以下、固定IPアドレスと呼ぶ)によるIPアドレスの設定、または、DHCPによるIPアドレスの割り当てを行うため、ARP要求を発信する。
(Summary of Invention)
When a terminal device such as a PC is connected to a LAN that is a local area network using IPv4, first, an IP address is set by a fixed value (hereinafter referred to as a fixed IP address) or an IP address by DHCP is set. In order to perform allocation, an ARP request is transmitted.
本発明における検疫管理装置は、ARP要求を受信すると、予め識別情報が登録されている端末からの要求かどうかを判定し、登録されていない端末からの要求の場合は、通信制限を行うため、端末にリンクローカルアドレス(以下、LLアドレスと略す)を設定させる。 When the quarantine management apparatus in the present invention receives an ARP request, it determines whether the request is from a terminal in which identification information is registered in advance, and in the case of a request from a terminal that is not registered, in order to restrict communication, A terminal is set with a link local address (hereinafter abbreviated as LL address).
ここで、IPv4における「LLアドレス」とは、169.254.0.0/16で表記(CIDR表記)される範囲のアドレス(参照文献1)のことである。「IPv4リンクローカルアドレスの割り当ての方法(参照文献2)」には、DHCPサーバが見つからない等、IPアドレスの設定主体が存在しない状況で、PCが自発的に169.254.1.0 〜 169.254.254.255 の範囲からランダムにIPアドレスを選び、PC自身に割り当てることができると、定義されている。
[参照文献1]
“IETF RFC 3330”、pp.2-3、2002年9月、Special-Use IPv4 Addresses、<URL:http://tools.ietf.org/html/rfc3330>
[参考文献2]
“IETF RFC 3927”、2005年5月、Dynamic Configuration of IPv4 Link-Local Addresses、<URL:http://tools.ietf.org/html/rfc3927>
Here, the “LL address” in IPv4 is an address (reference document 1) in a range expressed by 169.254.0.0/16 (CIDR notation). The “IPv4 link local address allocation method (reference document 2)” includes a range of 169.254.1.0 to 169.254.254.255 in which the PC voluntarily exists in a situation where there is no DHCP address setting entity such as a DHCP server not found. It is defined that an IP address can be randomly selected from and assigned to the PC itself.
[Reference 1]
“IETF RFC 3330”, pp.2-3, September 2002, Special-Use IPv4 Addresses, <URL: http: //tools.ietf.org/html/rfc3330>
[Reference 2]
“IETF RFC 3927”, May 2005, Dynamic Configuration of IPv4 Link-Local Addresses, <URL: http: //tools.ietf.org/html/rfc3927>
そして、検疫管理装置は、LLアドレスが設定された端末装置に対して、LLアドレスを介して、検疫エージェンの有無を確認する。確認の結果、端末装置に検疫エージェントが導入されている場合は、検疫管理装置は、端末装置に、セキュリティポリシーに関する情報を送信する。 Then, the quarantine management apparatus checks the presence / absence of a quarantine agent via the LL address with respect to the terminal apparatus for which the LL address is set. If the quarantine agent is installed in the terminal device as a result of the confirmation, the quarantine management device transmits information on the security policy to the terminal device.
情報を受信した端末装置は、受信した情報に基づいて、例えば、LANへの接続許可を取得するための正当性があるかどうか、パッチが適用されているかどうか、ウイルス対策ソフトに最新のパターンファイルが適用されているかどうか、といった条件を確認する。続いて、条件の確認(以下、「ポリシー確認」と呼ぶ。)が終了すると、端末装置は、ポリシー確認の結果を検疫管理装置に応答する。 Based on the received information, the terminal device that received the information, for example, whether there is a legitimacy for obtaining permission to connect to the LAN, whether a patch is applied, the latest pattern file in the antivirus software, Check whether the condition is applied. Subsequently, when the condition confirmation (hereinafter referred to as “policy confirmation”) is completed, the terminal device responds to the quarantine management apparatus with the result of the policy confirmation.
応答を受けた検疫管理装置は、応答を行った端末装置の識別情報を登録する。その後、端末装置は、再度、固定IPアドレスの設定及びDHCPによるIPアドレスの割り当てを行う。この場合も、検疫管理装置は、端末装置からARP要求を受信するが、今回は、識別情報が登録されているため、端末装置の通信制限を行うことはない。結果、端末装置は、LANを利用するためのグローバルIPアドレス、またはプライベートIPアドレスを取得することができる。 The quarantine management apparatus that has received the response registers the identification information of the terminal apparatus that has made the response. Thereafter, the terminal device again sets a fixed IP address and assigns an IP address by DHCP. In this case as well, the quarantine management apparatus receives an ARP request from the terminal device, but since the identification information is registered this time, communication of the terminal device is not restricted. As a result, the terminal device can acquire a global IP address or a private IP address for using the LAN.
また、LANに接続してきた端末装置に検疫エージェントが導入されていない場合も、検疫管理装置は、そのARP要求を受信すると、識別情報が登録されていないため、この端末装置にLLアドレスを設定させる。但し、この場合は、端末装置に検疫エージェントが導入されていないので、検疫管理装置が、端末装置にセキュリティポリシーに関する情報を送信することはない。結果、端末装置は、固定IPアドレスの設定またはDHCPによるIPアドレスの割り当てを行なえず、この端末装置と、IPアドレスを取得した端末装置との通信は遮断される。 Even when a quarantine agent is not installed in a terminal device connected to the LAN, when the quarantine management device receives the ARP request, the quarantine management device causes the terminal device to set an LL address because identification information is not registered. . However, in this case, since the quarantine agent is not installed in the terminal device, the quarantine management device does not transmit information on the security policy to the terminal device. As a result, the terminal device cannot set a fixed IP address or assign an IP address by DHCP, and communication between this terminal device and the terminal device that acquired the IP address is blocked.
このように、本発明では、IPv4のLLアドレスが、プライベートアドレスと異なり、単一のLAN内での通信には使えるが、ルーティングができないという性質を利用してセキュリティの確保が図られている。つまり、本発明では、LLアドレスを持つ端末装置が、ルーターを越えて別のサーバまたはPCなどの機器に接続することはできないという性質を利用する。そして、検疫ネットワークとしてリンクローカルアドレスを用いることで、企業の業務、および団体活動で用いるLANを、検疫ネットワークから保護している。 Thus, in the present invention, unlike the private address, the IPv4 LL address can be used for communication within a single LAN, but security is ensured by utilizing the property that routing is not possible. In other words, the present invention uses the property that a terminal device having an LL address cannot connect to another server or a device such as a PC across a router. Then, by using a link local address as a quarantine network, the LAN used for business operations and group activities is protected from the quarantine network.
(実施の形態)
以下、本発明の実施の形態における、検疫システム、検疫管理装置、検疫管理方法、及びプログラムについて、図1〜図5を参照しながら説明する。
(Embodiment)
Hereinafter, a quarantine system, a quarantine management apparatus, a quarantine management method, and a program according to an embodiment of the present invention will be described with reference to FIGS.
[システム構成及び装置構成]
最初に、本発明の実施の施の形態における検疫システム10および検疫管理装置1の構成について説明する。図1は、本発明の実施の形態における検疫システム及び検疫管理装置の構成を示すブロック図である。
[System configuration and device configuration]
First, the configuration of the
図1に示すように、本実施の形態1における検疫システム10は、ネットワーク2に接続される端末装置3および7と、これら端末装置を検疫するための検疫管理装置1とを備えている。ネットワーク2は、ローカルエリアネットワークであり、以下「LAN」2と表記する。検疫管理装置1、端末装置3および7は、LAN2に接続される。また、本実施の形態では、LAN2は、IPv4を用いたネットワークである。さらに、LAN2は、通信機器8を介して外部ネットワーク9に接続されている。
As shown in FIG. 1, a
端末装置3および7は、本実施の形態では、PCである。以下、それぞれ、「PC」3、「PC」7と表記する。また、図1に示されているPCのうち、PC3には、LAN2を保護するためのエージェントプログラム(以下「検疫エージェント」とする。)5が導入されているとする。一方、PC7には、検疫エージェントは導入されていないとする。
The
検疫エージェント5は、検疫管理装置1から、セキュリティポリシーを規定する条件情報を受信すると、PCがセキュリティポリシーに適合しているかどうかを確認し、適合の可否を応答する。また、検疫エージェント5は、導入されている場合は、その存在を応答する機能も有している。さらに、検疫エージェント5は、PCに対してIPアドレスの再設定を指示する機能も有している。
When the
通信機器8は、LAN2と外部ネットワーク9との中継点となるルーターなどのネットワーク機器である。また、通信機器8は、LLアドレスからの通信をLAN2の外部にルーティングしない機能と、LLアドレスからの通信をLAN2の内部の異なるサブネットにルーティングしない機能とを有する。
The communication device 8 is a network device such as a router serving as a relay point between the
また、図1に示すように、検疫管理装置1は、主に、アクセス制御部11と、セキュリティポリシー確認部12とを備えている。アクセス制御部11は、PCからのARP要求を検知すると、PCに重複応答を送信して、検疫管理装置1との通信のために、LLアドレスを取得させる。LLアドレスは、物理的及び論理的に単一のリンク上にある、サーバ、端末、機器等との通信のみを可能にするアドレスであり、本実施の形態では、IPv4で規定されたリンクローカルアドレスである。
As shown in FIG. 1, the quarantine management apparatus 1 mainly includes an
セキュリティポリシー確認部12は、LLアドレスを介して、LLアドレスを取得したPCが、検疫エージェント5を導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う。また、セキュリティポリシー確認部12は、確認の結果をアクセス制御部11に通知する。
The security
そして、アクセス制御部11は、セキュリティポリシーが適合していると通知された場合は、PCに対して、IPアドレスの取得を許可する。一方、アクセス制御部11は、セキュリティポリシーが適合していないと通知された場合は、PCに対して、IPアドレスの取得を許可しない。
If the
このように、本実施の形態では、LAN2に接続しようとするPCは、固定IPアドレスの設定、およびDHCPによるIPアドレスの割り当てのいずれを行うにせよ、検疫管理装置1によって、LLアドレスにより構成されるサブネットに接続される。このため、LAN2におけるセキュリティが確実に確保される。また、検疫管理装置1のみをネットワーク上に構築するだけでよく、導入コストの低減が図られる。さらに、ネットワーク管理者が手動で設定しなければならない項目はなく、運用負担の軽減も図られる。
As described above, in this embodiment, the PC to be connected to the
また、本実施の形態では、検疫管理装置1は、アクセス制御部11およびセキュリティポリシー確認部12に加えて、ネットワークインタフェース13および14と、承認リスト記憶部4と、ポリシー記憶部6とを備えている。
In the present embodiment, the quarantine management apparatus 1 includes network interfaces 13 and 14, an approval list storage unit 4, and a
ネットワークインタフェース13は、LLアドレスとの通信に利用される。一方、ネットワークインタフェース14は、LAN2への接続が許可されているPC等の端末装置との通信に利用される。ネットワークインタフェース14には、ルーティング可能なIPアドレスが付与されている。
The
ポリシー記憶部6は、セキュリティポリシーを規定する条件情報を格納している。本実施の形態では、セキュリティポリシー確認部12は、ポリシー記憶部6に格納されている条件情報をPCに送信し、PCの検疫エージェント5にセキュリティポリシーに適合しているかどうかを判定させる。また、セキュリティポリシー確認部12は、判定結果を受信し、それに基づいて、セキュリティポリシーの適合の可否を確認する。
The
また、承認リスト記憶部4は、LAN2への接続が許可されているPC等の端末装置の識別情報を格納している。端末装置の識別情報としては、MACアドレス、IPアドレス等が挙げられる。
The approval list storage unit 4 stores identification information of terminal devices such as PCs that are permitted to connect to the
さらに、本実施の形態では、アクセス制御部11は、PCからのARP要求を検知した場合に、まず、承認リスト記憶部4に記憶されている識別情報に基づいて、PCが予め登録されているかどうかを判定する。さらに、アクセス制御部11は、ARP要求の送信元のアドレスがLLアドレスの範囲内であるかどうかも判定する。そして、判定の結果、PCが予め登録されておらず、且つ、LLアドレスの範囲内でない場合に、PCに、重複応答を送信する。
Furthermore, in this embodiment, when the
[検疫システムおよび管理装置の動作]
次に、本発明の実施の形態1における検疫システム10および検疫管理装置1の動作について図2〜図5を用いて説明する。以下の説明においては、適宜図1を参酌する。また、本実施の形態では、検疫管理装置1を動作させることによって、検疫管理方法が実施される。よって、本実施の形態における検疫管理方法の説明は、以下の検疫管理装置1の動作説明に代える。
[Operation of quarantine system and management device]
Next, operations of the
まず、図2、図3、図4を用いて、検疫管理装置1およびPC3の処理について、以下に説明する。図2は、本発明の実施の形態における検疫管理装置の動作を示すフロー図である。図3は、本発明の実施の形態において検疫対象となる端末装置の動作を示すフロー図である。図4は、本発明の実施の形態における検疫システムの動作を示すシーケンス図であり、端末装置に検疫エージェントが導入されている場合を示している。また、図4においては、図2に示した各ステップと図3に示した各ステップとの連携状態、および必要とされる待ち時間が、図示されている。
First, processing of the quarantine management apparatus 1 and the
図2〜図4に示すように、まず、PC3は、LAN2に接続されると、IPアドレスの設定を開始する。そして、PC3は、DHCPの設定があるかどうかを判定する(図3のステップS20)。ステップS20の判定の結果、DHCPの設定がある場合、PC3は、DHCPサーバと通信を行い、DHCPサーバよりIPアドレスの提示を受ける(図3のステップS21)。続いて、PC3はDHCPが提示したIPアドレスについての重複を確認するため、Gratuitous ARPを送信する(図3のステップS22)。
As shown in FIGS. 2 to 4, first, when the
一方、ステップS20の判定の結果、PC3にDHCPの設定がなく、PC3が固定IPアドレスの設定を保持している場合、PC3は、固定IPアドレスの設定でGratuitous ARPを送信する(図3のステップS23)。なお、運用上、固定IPアドレスにLLアドレスは設定されていないものとする。
On the other hand, as a result of the determination in step S20, if the
次に、PC3は、ステップA22またはA23でGratuitous ARPを送信した後は、設定された時間W1(最大値:time A)の間(図4参照)、IPアドレスの重複を知らせる応答を待っている状態となる。
Next, after transmitting Gratuitous ARP in Step A22 or A23, the
続いて、図2に示すように、検疫管理装置1は、図3に示すステップS22またはステップS23で発信されたGratuitous ARPを受信する(図2のステップS10)。そして、検疫管理装置1(アクセス制御部11)は、Gratuitous ARPによって重複の有無の確認対象となっているIPアドレスがLLアドレスの範囲にあるかどうかを判定する(図2のステップS11)。LAN2に接続された端末装置は、PC3であるので、ステップS11では、LLアドレスの範囲ではないと判定される。
Subsequently, as shown in FIG. 2, the quarantine management apparatus 1 receives the gratuitous ARP transmitted in step S22 or step S23 shown in FIG. 3 (step S10 in FIG. 2). Then, the quarantine management apparatus 1 (access control unit 11) determines whether or not the IP address that is the target of confirmation of duplication is in the range of the LL address by Gratuitous ARP (step S11 in FIG. 2). Since the terminal device connected to the
ステップS11においてLLアドレスの範囲でないと判定されているので、検疫管理装置1は、承認リスト記憶部4の識別情報にPC3に該当する情報が存在しているかどうかを、具体的には、Gratuitous ARPのMACアドレスが存在しているかどうかを判定する(ステップS17)。今回は、該当する情報がないので、検疫管理装置1は、PC3に対して通信制限を行うため、偽装ARPによる重複応答を送信する(図2のステップS18)。なお、ステップS18は、上述の特許文献1に開示された処理に準じて実行することができる。また、ステップS18が実行されると、検疫管理装置1における処理は一旦終了する。
Since it is determined in step S11 that it is not in the range of the LL address, the quarantine management apparatus 1 determines whether or not the information corresponding to the
ステップS18が実行され、検疫管理装置1よりIPアドレスの重複応答が送信されると、PC3は、重複の応答ありと判断する(図3のステップS24)。そして、PC3は、LLアドレスを選択し、選択したLLアドレスからGratuitous ARPを送信する(図3のステップS26)。なお、ステップS26における「LLアドレスの選択」は、発明の概要において述べた「IPv4リンクローカルアドレスの割り当ての方法(参照文献2)」に準じて実行される。
When step S18 is executed and an IP address duplication response is transmitted from the quarantine management apparatus 1, the
次に、ステップS26が実行されると、検疫管理装置1は、ステップS26で送信されたGratuitous ARPを受信する(図2のステップS10)。そして、検疫管理装置1(アクセス制御部11)は、再度、Gratuitous ARPによって重複の有無の確認対象となっているIPアドレスがLLアドレスの範囲にあるかどうかを判定する(ステップS11)。この場合は、確認対象となっているIPアドレスは、LLアドレスの範囲にあるため、検疫管理装置1は、ステップS17およびS18を実行せず、IPアドレスが重複しているという応答がなされることはない。 Next, when step S26 is executed, the quarantine management apparatus 1 receives the gratuitous ARP transmitted in step S26 (step S10 in FIG. 2). Then, the quarantine management apparatus 1 (access control unit 11) again determines whether or not the IP address that is the target of confirmation of duplication by Gratuitous ARP is within the LL address range (step S11). In this case, since the IP address to be confirmed is within the range of the LL address, the quarantine management apparatus 1 does not execute Steps S17 and S18, and a response that the IP address is duplicated is made. There is no.
次に、PC3は、LLアドレスについてのGratuitous ARPの送信後(図3のステップS26の実行後)、設定された時間W2(最大値:time A)の間(図4参照)、IPアドレスの重複を知らせる応答を待っている状態となる。設定されている時間内に応答がないため、PC3は、応答なしと判断する(図3のステップS27)。そして、PC3は、自身のIPアドレスにLLアドレスを設定する(図3のステップS28)。
Next, after transmitting Gratuitous ARP for the LL address (after execution of step S26 in FIG. 3), the
また、ステップS11において、検疫管理装置1は、受信したGratuitous ARPがLLアドレスの範囲にあると判断しているので、PC3においてLLアドレスが設定されるのに十分と考えられる時間W3(最大値:time B)が経過するまで待機状態となる(図4参照)。そして、時間の経過後、検疫管理装置1(セキュリティポリシー確認部12)は、ステップS11で判定対象となったLLアドレスに対して、検疫エージェント5の存在の有無を確認するパケットを送信する(図2のステップS12)。
In step S11, since the quarantine management apparatus 1 determines that the received gratuitous ARP is in the range of the LL address, the time W3 (maximum value: considered to be sufficient for the
次に、ステップS12が実行されると、PC3は、検疫エージェントの有無確認を受信し(図3のステップS29)、検疫エージェントが導入されているかどうかを判定する(図3のステップS30)。ステップS30では、検疫エージェントは導入されていると判定されるので、PC3は検疫エージェント5が導入されていることを知らせる応答を行う(図3のステップS31)。
Next, when step S12 is executed, the
検疫管理装置1は、ステップS12において、検疫エージェントの存在の有無を確認するパケットを送信した後、設定された時間W4(最大値:time C)の間(図4参照)、応答を待っている状態となる。そして、設定された時間の経過後、検疫管理装置1(セキュリティポリシー確認部12)は、検疫エージェントの存在を知らせる応答を受信したかどうか判定する(図2のステップS13)。ステップS13では、受信していると判定されるので、検疫管理装置1は、ポリシー記憶部6に格納されている条件情報を、PC3に送信する(図2のステップS14)。
In step S12, the quarantine management apparatus 1 transmits a packet for confirming the presence / absence of the quarantine agent, and then waits for a response for a set time W4 (maximum value: time C) (see FIG. 4). It becomes a state. Then, after the set time has elapsed, the quarantine management apparatus 1 (security policy confirmation unit 12) determines whether or not a response notifying the presence of the quarantine agent has been received (step S13 in FIG. 2). In step S13, since it is determined that it has been received, the quarantine management apparatus 1 transmits the condition information stored in the
PC3が、ステップS31の実行後に、条件情報を受信すると(図3のステップS32)、検疫エージェント5は、PC3がセキュリティポリシーに適合しているかどうかを確認する(ステップS33)。確認の結果、PC3がセキュリティポリシーに適合している場合は、PC3は、検疫管理装置1に対して、ポリシーOKを応答する(図3のステップS34)。
When the
検疫管理装置1は、ステップS14の実行後に、PC3から、セキュリティポリシーの適合の確認結果を受信すると、セキュリティポリシーがOKであるかどうかを確認する(図2のステップS15)。ステップS15の確認の結果、セキュリティポリシーがOKであった場合は、検疫管理装置1(アクセス制御部11)は、承認リスト記憶部4に、PC3の識別情報を登録し(ステップS16)、その後、処理を一旦終了する。一方、ステップS15の確認の結果、セキュリティポリシーがNGであった場合は、PC3のIPアドレスはLLアドレスのままの状態で、検疫管理装置1における処理は終了する。
When the quarantine management apparatus 1 receives a security policy conformity confirmation result from the
また、PC3は、ステップS34によってポリシーOKの応答を行った後、検疫管理装置1で識別情報が登録されるのに十分と考えられる時間W5(time D)の間(図4参照)、待機状態となる。そして、時間が経過した後、PC3は、IPアドレスの再設定を行うため、再度、図3に示すステップS20〜S23を実行する。
The
ステップS20〜S23が実行されると、検疫管理装置1は、上記のステップS22またはステップS23で発信されたGratuitous ARPを受信し(図2のステップS10)、図2に示した各ステップを再び実行する。この場合は、検疫管理装置1は、ステップS11において、LLアドレスの範囲ではないと判定するので、承認リスト記憶部4に識別情報が登録されていないかどうかを判定する(図2のステップS17)。今回は、承認リスト記憶部4にPC3の識別情報が登録されているので、検疫管理装置1は、通信制限を実施することなく(ステップS18を実行することなく)、処理を終了する。
When steps S20 to S23 are executed, the quarantine management apparatus 1 receives the gratuitous ARP transmitted in step S22 or step S23 described above (step S10 in FIG. 2), and executes each step shown in FIG. 2 again. To do. In this case, since the quarantine management apparatus 1 determines in step S11 that it is not in the range of the LL address, it determines whether or not the identification information is registered in the approval list storage unit 4 (step S17 in FIG. 2). . Since the identification information of the
ステップS16の実行後に、ステップS22またはS23を実行したPC3は、Gratuitous ARPの送信後、設定された時間W6(最大値:time A)の間(図4参照)、IPアドレスの重複を知らせる応答を待っている状態となる。今回は、設定された時間内に応答がないため、PC3は、応答なしと判断する(図3のステップS24)。そして、PC3は、IPアドレスとして、DHCPによって提示されたIPアドレス、または固定IPアドレスを設定する(図3のステップS25)。
After the execution of step S16, the
以上、説明したように、PC3は、一旦、LLアドレスにより構成されるサブネットに接続されるが、その後、検疫エージェントが導入済みであり、セキュリティポリシーが適合するため、LAN2に接続される。
As described above, the
続いて、図2、図3、図5を用いて、検疫管理装置1およびPC7の処理について、以下に説明する。また、PC7には上述したように検疫エージェントが導入されていないことから、以下の説明では「未導入PC7」と表記する。図5は、本発明の実施の形態における検疫システムの動作を示すシーケンス図であり、端末装置に検疫エージェントが導入されていない場合を示している。また、図5においては、図2に示した各ステップと図3に示した各ステップとの連携状態および必要とされる待ち時間が、図示されている。
Subsequently, processing of the quarantine management apparatus 1 and the
図2、図3および図5に示すように、まず、未導入PC7は、LAN2に接続されると、IPアドレスの設定を開始する。そして、未導入PC7は、DHCPの設定があるかどうかを判定する(図3のステップS20)。ステップS20の判定の結果、DHCPの設定がある場合、未導入PC7は、DHCPサーバと通信を行い、DHCPサーバよりIPアドレスの提示を受ける(図3のステップS21)。続いて、未導入PC7は、DHCPサービスが提示したIPアドレスについての重複を確認するため、Gratuitous ARPを送信する(図3のステップS22)。
As shown in FIGS. 2, 3, and 5, first, the
一方、ステップS20の判定の結果、PC7にDHCPの設定がなく、未導入PC7が固定IPアドレスの設定を保持している場合、未導入PC7は、固定IPアドレスの設定でGratuitous ARPを送信する(図3のステップS23)。
On the other hand, if the result of determination in step S20 is that there is no DHCP setting in the
次に、未導入PC7は、ステップA22またはA23でGratuitous ARPを送信した後は、設定された時間V1(最大値:time A)の間(図5参照)、IPアドレスの重複を知らせる応答を待っている状態となる。
Next, after transmitting Gratuitous ARP in Step A22 or A23, the
続いて、図2に示すように、検疫管理装置1は、図3に示すステップS22またはステップS23で発信されたGratuitous ARPを受信する(図2のステップS10)。そして、検疫管理装置1(アクセス制御部11)は、Gratuitous ARPによって重複の有無の確認対象となっているIPアドレスがLLアドレスの範囲にあるかどうかを判定する(図2のステップS11)。LAN2に接続された端末装置は、未導入PC7であるので、ステップS11では、LLアドレスの範囲ではないと判定される。
Subsequently, as shown in FIG. 2, the quarantine management apparatus 1 receives the gratuitous ARP transmitted in step S22 or step S23 shown in FIG. 3 (step S10 in FIG. 2). Then, the quarantine management apparatus 1 (access control unit 11) determines whether or not the IP address that is the target of confirmation of duplication is in the range of the LL address by Gratuitous ARP (step S11 in FIG. 2). Since the terminal device connected to the
ステップS11においてLLアドレスの範囲でないと判定されているので、検疫管理装置1は、承認リスト記憶部4の識別情報に未導入PC7に該当する識別情報が存在しているかどうかを判定する(ステップS17)。今回は、該当する情報がないので、検疫管理装置1は、未導入PC7に対して通信制限を行うため、偽装ARPによる重複応答を送信する(図2のステップS18)。
Since it is determined in step S11 that it is not in the range of the LL address, the quarantine management apparatus 1 determines whether the identification information corresponding to the
ステップS18が実行され、検疫管理装置1よりIPアドレスの重複応答が送信されると、未導入PC7は、重複の応答ありと判断する(図3のステップS24)。そして、未導入PC7は、LLアドレスを選択し、選択したLLアドレスからGratuitous ARPを送信する(図3のステップS26)。
When step S18 is executed and an IP address duplication response is transmitted from the quarantine management apparatus 1, the
次に、ステップS26が実行されると、検疫管理装置1は、ステップS26で送信されたGratuitous ARPを受信する(図2のステップS10)。そして、検疫管理装置1は、再度、Gratuitous ARPによって重複の有無の確認対象となっているIPアドレスがLLアドレスの範囲にあるかどうかを判定する(ステップS11)。この場合は、確認対象となっているIPアドレスは、LLアドレスの範囲にあるため、検疫管理装置1は、ステップS17およびS18を実行せず、IPアドレスが重複しているという応答がなされることはない。 Next, when step S26 is executed, the quarantine management apparatus 1 receives the gratuitous ARP transmitted in step S26 (step S10 in FIG. 2). Then, the quarantine management apparatus 1 again determines whether or not the IP address that is the target of confirmation of duplication by Gratuitous ARP is within the range of the LL address (step S11). In this case, since the IP address to be confirmed is within the range of the LL address, the quarantine management apparatus 1 does not execute Steps S17 and S18, and a response that the IP address is duplicated is made. There is no.
次に、未導入PC7は、LLアドレスについてのGratuitous ARPの送信後(図3のステップS26の実行後)、設定された時間V2(最大値:time A)の間(図5参照)、IPアドレスの重複を知らせる応答を待っている状態となる。設定されている時間内に応答がないため、未導入PC7は、応答なしと判断する(図3のステップS27)。そして、未導入PC7は、自身のIPアドレスにLLアドレスを設定する(図3のステップS28)。
Next, the
また、ステップS11において、検疫管理装置1は、受信したGratuitous ARPがLLアドレスの範囲であると判断しているので、未導入PC7においてLLアドレスが設定されるのに十分と考えられる時間V3(time B)が経過するまで待機状態となる(図5参照)。そして、時間の経過後、検疫管理装置1(セキュリティポリシー確認部12)は、ステップS11で判定対象となったLLアドレスに対して、検疫エージェント5の存在の有無を確認するパケットを送信する(図2のステップS12)。
In step S11, since the quarantine management apparatus 1 determines that the received gratuitous ARP is within the range of the LL address, the time V3 (time that is considered sufficient for setting the LL address in the non-installed PC 7) It will be in a standby state until B) elapses (see FIG. 5). Then, after the elapse of time, the quarantine management apparatus 1 (security policy confirmation unit 12) transmits a packet for confirming the existence of the
次に、ステップS12が実行されると、未導入PC7は、検疫エージェントの有無確認を受信する(図3のステップS29)。但し、未導入PC7には、検疫エージェントが導入されていないため、未導入PC7は、検疫エージェントの存在の有無を確認するパケットに正しく応答ができない。よって、図3のステップS30の判定はYesとなり、未導入PC7のIPアドレスは、LLアドレスのままの状態で、未導入PC7における処理は終了する。
Next, when step S12 is executed, the
検疫管理装置1は、ステップS12において、検疫エージェントの存在の有無を確認するパケットを送信した後、設定された時間V4(最大値:time C)の間(図5参照)、応答を待っている状態となる。そして、設定された時間の経過後、検疫管理装置1(セキュリティポリシー確認部12)は、検疫エージェントの存在を知らせる応答を受信したかどうか判定する(図2のステップS13)。この場合のステップS13では、受信していないと判定されるので、検疫管理装置1における処理は終了する。 In step S12, the quarantine management apparatus 1 transmits a packet for confirming the presence or absence of the quarantine agent, and then waits for a response for a set time V4 (maximum value: time C) (see FIG. 5). It becomes a state. Then, after the set time has elapsed, the quarantine management apparatus 1 (security policy confirmation unit 12) determines whether or not a response notifying the presence of the quarantine agent has been received (step S13 in FIG. 2). In step S13 in this case, since it is determined that it has not been received, the processing in the quarantine management apparatus 1 ends.
以上、説明したように、PC7には、検疫エージェントが導入されていないため、LLアドレスにより構成されるサブネットに接続された場合は、その状態が維持され、PC3が接続しているサブネットに接続されることはない。よって、PC7によってPC3が攻撃される可能性は極めて小さくなっている。
As described above, since the quarantine agent is not installed in the
[実施の形態における効果]
本実施の形態によれば、以下の第1の効果〜第5の効果までを得ることができる。
[第1の効果]
本実施の形態によれば、固定IPアドレスが設定されたPCに対しても検疫を行うことができ、ネットワークにおけるセキュリティ性を高めることができる。これは、固定IPアドレスの設定であれ、DHCPによるIPアドレスの割り当てであれ、本実施の形態では、LAN2に接続しようとするPCは、検疫管理装置1により、まずLLアドレスのサブネットに接続されるからである。
[Effects of the embodiment]
According to the present embodiment, the following first effect to fifth effect can be obtained.
[First effect]
According to the present embodiment, it is possible to perform quarantine even for a PC for which a fixed IP address is set, and security in the network can be improved. In this embodiment, regardless of whether a fixed IP address is set or an IP address is assigned by DHCP, the PC to be connected to the
[第2の効果]
本実施の形態によれば、ネットワーク上に、導入済みのDHCPサーバが存在していても、ネットワーク管理者はDHCPサービスの設定を行う必要がなく、運用負担は軽減される。即ち、DHCP認証による検疫方法を行う場合、検疫を行うために通信を行う必要があり、仮のIPアドレスを付与する必要があった。また、仮のIPアドレスを付与するためには、ネットワーク管理者がDHCPサーバに設定を行う必要がある。これに対して、本実施の形態によれば、通信を行うためにIPアドレスの代わりにLLアドレスが設定され、DHCPサービスの設定を行う必要がないので、上述したように運用負担が軽減される。
[Second effect]
According to this embodiment, even if there is an installed DHCP server on the network, the network administrator does not need to set up the DHCP service, and the operation burden is reduced. That is, when performing the quarantine method by DHCP authentication, it is necessary to perform communication for performing the quarantine, and it is necessary to assign a temporary IP address. In order to assign a temporary IP address, the network administrator needs to make settings on the DHCP server. On the other hand, according to the present embodiment, the LL address is set instead of the IP address for communication, and it is not necessary to set the DHCP service, so that the operation burden is reduced as described above. .
[第3の効果]
本実施の形態では、検疫エージェントが未導入のPCがLANに接続されても、この未導入PCに対して、プライベートIPアドレスまたはグローバルIPアドレスによるLANを利用できる時間が与えられないようにでき、セキュリティ性が高められる。つまり、パーソナルファイアウォールによる検疫方法では、未導入PCが接続された場合、未導入PCはネットワークに一定時間接続でき、この点が問題となっている。これに対して、本実施の形態では、全てのPCはLLアドレスで構成される検疫ネットワークに接続され、その状態でセキュリティポリシーの適否が確認されるので、従来のような問題が発生することはない。また、LLアドレスしか取得できないPCが、LAN上の他のPCと接続したり、ルーターを越えて外部ネットワークにある端末装置等と通信したり、といったことは生じえない。
[Third effect]
In the present embodiment, even when a PC in which a quarantine agent has not been installed is connected to the LAN, it is possible to prevent the non-installed PC from being given time to use the LAN based on the private IP address or global IP address. Security is improved. That is, in the quarantine method using a personal firewall, when an unintroduced PC is connected, the unintroduced PC can be connected to the network for a certain time, which is a problem. On the other hand, in this embodiment, all PCs are connected to a quarantine network composed of LL addresses, and the suitability of the security policy is confirmed in that state. Absent. Also, a PC that can acquire only the LL address cannot be connected to another PC on the LAN or communicate with a terminal device or the like in an external network beyond a router.
[第4の効果]
本実施の形態では、ネットワークスイッチの機能に依存しないため、導入コストの低減が図られる。つまり、802.1X認証による検疫方法では、802.1Xに対応したRADIUS等の認証サーバ、802.1X認証に対応した機器を導入しなければならず、導入コストが高いという問題が生じていたが、本実施の形態では、このような構成は必要なく、検疫管理装置をLAN上に設置すれば良いだけであるため、導入コストの低減が図られる。
[Fourth effect]
In this embodiment, since it does not depend on the function of the network switch, the introduction cost can be reduced. That is, in the quarantine method based on 802.1X authentication, an authentication server such as RADIUS corresponding to 802.1X and a device compatible with 802.1X authentication have to be introduced, resulting in a problem that the introduction cost is high. In this embodiment, such a configuration is not necessary, and the quarantine management device only has to be installed on the LAN, so that the introduction cost can be reduced.
また、本実施の形態では、DHCP認証による検疫方法でのDHCPスヌーピング、802.1X認証による検疫方法での通信の遮断、といった制御をネットワークスイッチのポートで行う必要がない。このため、本実施の形態によれば、制御に対応するネットワークスイッチの配置箇所を意識することなく、ネットワークを構築できる。 Further, in the present embodiment, it is not necessary to perform control such as DHCP snooping in the quarantine method based on DHCP authentication and blocking of communication in the quarantine method based on 802.1X authentication on the port of the network switch. For this reason, according to the present embodiment, a network can be constructed without being aware of the location of the network switch corresponding to the control.
[第5の効果]
本実施の形態によれば、検疫ネットワークのIPアドレスの設定に関して、手動による設定が行われないため、人為的な設定の間違いが介在する可能性を低減でき、加えて、検疫ネットワークの設定において、ネットワーク管理者の負担を軽減できる。
[Fifth effect]
According to the present embodiment, the manual setting is not performed for the setting of the IP address of the quarantine network, so that it is possible to reduce the possibility of an artificial setting error, and in addition, in the setting of the quarantine network, The burden on the network administrator can be reduced.
つまり、DHCP認証による検疫方法、802.1X認証による検疫方法、上記特許文献3に開示された検疫方法では、セキュリティポリシーの適否の確認において、不適合となったPCは、検疫ネットワークに接続されることとなる。そして、この場合、DHCP認証による検疫方法では、検疫ネットワーク用のサブネットのIPアドレスを用意する必要がある。また、802.1X認証による検疫方法及び上記特許文献3に開示された検疫方法では、検疫ネットワーク用のVLANのIPアドレスを用意する必要がある。
In other words, in the quarantine method using DHCP authentication, the quarantine method using 802.1X authentication, and the quarantine method disclosed in
このような検疫ネットワーク用のIPアドレスは、ネットワーク管理者によって設定および管理される必要があり、ネットワーク管理者にとって負担であり、また、人為的な設定の間違いが介在する可能性がある。これに対して、本発明では、LLアドレスを検疫ネットワークのIPアドレスとして用いるので、手動による設定が必要ない。従って、ネットワーク管理者における負担が軽減されると共に、人為的な設定の間違いが介在する可能性も低減される。 Such an IP address for the quarantine network needs to be set and managed by the network administrator, which is a burden on the network administrator, and there is a possibility that an artificial setting error may be involved. In contrast, in the present invention, since the LL address is used as the IP address of the quarantine network, manual setting is not necessary. Therefore, the burden on the network administrator is reduced, and the possibility that an artificial setting error may be reduced.
本実施の形態におけるプログラムは、コンピュータに、図2に示すステップS11〜S16を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における検疫管理装置1と検疫管理方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、アクセス制御部11、セキュリティポリシー確認部12として機能し、処理を行なう。また、本実施の形態ではコンピュータに備えられたハードディスク等の記憶装置が、承認リスト記憶部4およびポリシー記憶部6として機能する。
The program in the present embodiment may be a program that causes a computer to execute steps S11 to S16 shown in FIG. By installing and executing this program on a computer, the quarantine management apparatus 1 and the quarantine management method in the present embodiment can be realized. In this case, a central processing unit (CPU) of the computer functions as the
ここで、実施の形態におけるプログラムを実行することによって、検疫装置を実現するコンピュータについて図6を用いて説明する。図6は、本発明の実施の形態における検疫管理装置1を実現するコンピュータの一例を示すブロック図である。 Here, a computer that realizes the quarantine apparatus by executing the program according to the embodiment will be described with reference to FIG. FIG. 6 is a block diagram illustrating an example of a computer that implements the quarantine management apparatus 1 according to the embodiment of the present invention.
図6に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インタフェース114と、表示コントローラ115と、データリーダ/ライタ116と、通信インタフェース117とを備える。このうち、通信インタフェース117は、ネットワークインタフェース13及び14として機能する。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
As shown in FIG. 6, the
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インタフェース117を介して接続されたインターネット上で流通するものであっても良い。
The
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インタフェース114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インタフェース117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
Specific examples of the
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
Specific examples of the
本発明は、組織内の情報を盗もうとする者が、故意にLANに侵入するための手段として許可されていない端末装置をLANに接続するというリスクからの防御に適用できる。 INDUSTRIAL APPLICABILITY The present invention can be applied to defense against the risk that a person who wants to steal information in an organization connects a terminal device that is not permitted as a means for intentionally entering the LAN to the LAN.
また、本発明は、PCのオペレーティングソフトウェアや企業の業務や団体活動に用いるソフトウェアプログラムのセキュリティ上の問題点を修正するソフトウェアをPCに適用していないことによる問題の解消に適用できる。結果、コンピュータウイルスへの感染、他のPCへの伝染、これらを原因とした、企業業務または団体活動の停止、組織内部の情報の外部への漏洩、他企業または団体への被害の拡大、といったリスクの防御が図られる。 The present invention can also be applied to solving problems caused by not applying to a PC software that corrects security problems in PC operating software and software programs used in business operations and corporate activities. As a result, infection with computer viruses, infection to other PCs, suspension of business operations or group activities, leakage of information inside the organization to the outside, expansion of damage to other companies or groups, etc. Risk protection is planned.
さらに、本発明は、既存のLAN、既存のネットワーク機器、既存のDHCPシステム等を保有する企業および団体が、少ない労力と費用でネットワーク検疫システムを導入する際の助けとなる。 Furthermore, the present invention helps companies and organizations that have existing LANs, existing network devices, existing DHCP systems, etc. to introduce a network quarantine system with less effort and cost.
1 検疫管理装置
2 LAN
3 端末装置(PC)
4 承認リスト記憶部
5 検疫エージェント
6 ポリシー記憶部
7 端末装置(未導入PC)
8 通信機器
9 外部ネットワーク
10 検疫システム
11 アクセス制御部
12 セキュリティポリシー確認部
13、14 ネットワークインタフェース
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インタフェース
115 表示コントローラ
116 データリーダ/ライタ
117 通信インタフェース
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
1
3 Terminal equipment (PC)
4 Approval
8 Communication Equipment 9
112
Claims (10)
前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、当該検疫管理装置との通信のために、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させる、アクセス制御部と、
前記リンクローカルアドレスを介して、前記リンクローカルアドレスを取得した前記端末装置が、前記ネットワークを保護するためのエージェントプログラムを導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う、セキュリティポリシー確認部と、
を備え、
前記アクセス制御は、前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、ことを特徴とする検疫管理装置。 A quarantine management device for quarantining terminal devices connected to a network,
When an ARP request from the terminal device is detected, a duplicate response is transmitted to the terminal device, and only communication on a single link physically and logically is possible for communication with the quarantine management device. An access control unit for acquiring a link local address to be
The terminal device that has acquired the link local address via the link local address determines whether an agent program for protecting the network is installed, and if the result of the determination is, A security policy confirmation unit that confirms whether the security policy conforms;
With
The access control permits the terminal device to obtain an IP address when the security policy conforms, wherein the quarantine management device is characterized in that:
前記アクセス制御部が、前記端末装置に、IPv4で規定されたリンクローカルアドレスを取得させる、請求項1に記載の検疫管理装置。 The network is a network using IPv4;
The quarantine management apparatus according to claim 1, wherein the access control unit causes the terminal device to acquire a link local address defined by IPv4.
請求項1または2に記載の検疫管理装置。 When the access control unit detects an ARP request from the terminal device, whether the terminal device is registered in advance and whether the source address of the ARP request is within the range of the link local address If the result of the determination is not registered in advance and not within the range, the duplicate response is transmitted to the terminal device.
The quarantine management apparatus according to claim 1 or 2.
前記検疫管理装置は、
前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、当該検疫管理装置との通信のために、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させ、そして、
前記端末装置が、前記リンクローカルアドレスから、前記ネットワークを保護するためのエージェントプログラムを導入している旨を通知すると、前記端末装置に、セキュリティポリシーの適合の可否の確認を行い、
前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、
ことを特徴とする検疫システム。 A terminal device connected to the network, and a quarantine management device for quarantining the terminal device;
The quarantine management device
When an ARP request from the terminal device is detected, a duplicate response is transmitted to the terminal device, and only communication on a single link physically and logically is possible for communication with the quarantine management device. To get the link local address, and
When the terminal device notifies from the link local address that an agent program for protecting the network has been introduced, the terminal device is confirmed as to whether or not security policy conforms,
Permitting the terminal device to obtain an IP address when the security policy is compliant;
Quarantine system characterized by that.
(a)前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させる、ステップと、
(b)前記リンクローカルアドレスを介して、前記リンクローカルアドレスを取得した前記端末装置が、前記ネットワークを保護するためのエージェントプログラムを導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う、ステップと、
(c)前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、ステップと、
を有することを特徴とする検疫管理方法。 A method for quarantining a terminal device connected to a network,
(A) Upon detecting an ARP request from the terminal device, a duplicate response is transmitted to the terminal device to acquire a link local address that enables communication on a single link physically and logically. , Steps and
(B) It is determined whether or not the terminal device that has acquired the link local address has installed an agent program for protecting the network via the link local address. If the security policy conformance is confirmed, step,
(C) permitting the terminal device to obtain an IP address when the security policy conforms; and
A quarantine management method characterized by comprising:
前記(a)のステップで、IPv4で規定されたリンクローカルアドレスを取得させる、請求項5に記載の検疫管理方法。 The network is a network using IPv4;
6. The quarantine management method according to claim 5, wherein a link local address defined by IPv4 is acquired in the step (a).
請求項5または6に記載の検疫管理方法。 In the step (a), when an ARP request from the terminal device is detected, whether the terminal device is registered in advance and the transmission source address of the ARP request are within the range of the link local address. It is determined whether or not, if the result of determination is not registered in advance and not within the range, the duplicate response is transmitted to the terminal device,
The quarantine management method according to claim 5 or 6.
前記コンピュータに、
(a)前記端末装置からのARP要求を検知すると、前記端末装置に重複応答を送信して、前記コンピュータとの通信のために、物理的及び論理的に単一のリンク上での通信のみを可能にするリンクローカルアドレスを取得させる、ステップと、
(b)前記リンクローカルアドレスを介して、前記リンクローカルアドレスを取得した前記端末装置が、前記ネットワークを保護するためのエージェントプログラムを導入しているかどうかを判定し、判定の結果、導入している場合に、セキュリティポリシーの適合の可否の確認を行う、ステップと、
(c)前記セキュリティポリシーが適合している場合に、前記端末装置に対して、IPアドレスの取得を許可する、ステップと、
を実行させるプログラム。 A program for quarantine a terminal device connected to a network by a computer,
In the computer,
(A) Upon detecting an ARP request from the terminal device, a duplicate response is transmitted to the terminal device, and only communication on a single link physically and logically is performed for communication with the computer. Getting the link-local address to be enabled, and
(B) It is determined whether or not the terminal device that has acquired the link local address has installed an agent program for protecting the network via the link local address. If the security policy conformance is confirmed, step,
(C) permitting the terminal device to obtain an IP address when the security policy conforms; and
A program that executes
前記(a)のステップで、IPv4で規定されたリンクローカルアドレスを取得させる、請求項8に記載のプログラム。 The network is a network using IPv4;
The program according to claim 8, wherein in the step (a), a link local address defined by IPv4 is acquired.
請求項8または9に記載のプログラム。 In the step (a), when an ARP request from the terminal device is detected, whether the terminal device is registered in advance and the transmission source address of the ARP request are within the range of the link local address. It is determined whether or not, if the result of determination is not registered in advance and not within the range, the duplicate response is transmitted to the terminal device,
The program according to claim 8 or 9.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011062265A JP2012199758A (en) | 2011-03-22 | 2011-03-22 | Quarantine management device, quarantine system, quarantine management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011062265A JP2012199758A (en) | 2011-03-22 | 2011-03-22 | Quarantine management device, quarantine system, quarantine management method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012199758A true JP2012199758A (en) | 2012-10-18 |
Family
ID=47181540
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011062265A Withdrawn JP2012199758A (en) | 2011-03-22 | 2011-03-22 | Quarantine management device, quarantine system, quarantine management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012199758A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016174255A (en) * | 2015-03-17 | 2016-09-29 | キヤノンマーケティングジャパン株式会社 | Network system, dhcp server, network control method and program |
-
2011
- 2011-03-22 JP JP2011062265A patent/JP2012199758A/en not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016174255A (en) * | 2015-03-17 | 2016-09-29 | キヤノンマーケティングジャパン株式会社 | Network system, dhcp server, network control method and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5367936B2 (en) | Method, apparatus, and network architecture for implementing security policies using isolated subnets | |
US9363285B2 (en) | Communication system, network for qualification screening/setting, communication device, and network connection method | |
JP2006262141A (en) | Ip address applying method, vlan changing device, vlan changing system and quarantine processing system | |
WO2009087702A1 (en) | Virtual machine execution program, user authentication program and information processor | |
JP2005318584A (en) | Method and apparatus for network security based on device security status | |
JP2005165561A (en) | Network connection control program, network connection control method and network connection controller | |
JP6052692B1 (en) | Security management method, program, and security management system | |
JP2008271242A (en) | Network monitor, program for monitoring network, and network monitor system | |
JP4636345B2 (en) | Security policy control system, security policy control method, and program | |
JP4713186B2 (en) | Network monitoring method and network monitoring system | |
JP2006352719A (en) | Apparatus, method for monitoring network, network system, network monitoring method and network communication method | |
JP4895793B2 (en) | Network monitoring apparatus and network monitoring method | |
KR200427501Y1 (en) | Network security system based on each terminal connected to network | |
JP2012199758A (en) | Quarantine management device, quarantine system, quarantine management method, and program | |
JP5321256B2 (en) | Quarantine network system, access management apparatus, access management method, and access management program | |
JP4651610B2 (en) | Security system and security countermeasure method | |
CN111917736B (en) | Network security management method, computing device and readable storage medium | |
JP4290526B2 (en) | Network system | |
JP4418211B2 (en) | Network security maintenance method, connection permission server, and connection permission server program | |
US20230344798A1 (en) | Roaming dns firewall | |
JP2011004135A (en) | Network supervising system, network supervising server, and network supervising program | |
JP2009259041A (en) | Server device and security control method | |
KR101174305B1 (en) | Method for controlling activity of host in applying internet protocol version 6 network | |
JP2006197518A (en) | Network management method and network management system | |
JP5032246B2 (en) | System and control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140603 |