JP2015220589A - 通信制御装置、ネットワークシステム、通信制御方法およびプログラム - Google Patents
通信制御装置、ネットワークシステム、通信制御方法およびプログラム Download PDFInfo
- Publication number
- JP2015220589A JP2015220589A JP2014102494A JP2014102494A JP2015220589A JP 2015220589 A JP2015220589 A JP 2015220589A JP 2014102494 A JP2014102494 A JP 2014102494A JP 2014102494 A JP2014102494 A JP 2014102494A JP 2015220589 A JP2015220589 A JP 2015220589A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- terminal
- communication terminal
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 悪意ある者によるサービスの利用を回避し、ネットワーク運用者が安全にサービスを提供でき、他のゲストが安全にサービスを利用できる装置や方法を提供する。【解決手段】 この装置は、通信端末とネットワークに接続された1以上の機器および他の通信端末との通信を制御する通信制御装置で、1以上の機器および他の通信端末への通信を制限する条件を記憶する条件記憶部30と、通信端末からネットワークに接続された1以上の機器および他の通信端末の少なくとも1つへの通信を監視する監視部31と、監視された通信が記憶された条件に適合するか否かを判断する判断部32と、条件に適合すると判断された場合に、1以上の機器および他の通信端末の少なくとも1つまたは全てへの通信を制限する制限部33とを含む。【選択図】 図3
Description
本発明は、通信端末とネットワークに接続された1以上の機器および他の通信端末との通信を制御する通信制御装置、その通信制御装置を含むネットワークシステム、通信制御方法およびその方法をコンピュータに実行させるためのプログラムに関する。
特定のユーザが利用するために構築されたネットワークとは別に、その特定のユーザ以外のユーザ(ゲスト)が利用するためのゲスト向けネットワーク(ゲストネットワーク)が構築されている。これにより、例えば、その会社の社員以外の者でも、ゲストとしてゲストネットワークに接続することで、その会社内においてインターネットやゲストに対して許可されたプリンタ等を利用することができる。
このゲストネットワークでは、キャプティブポータル等のゲスト認証を用い、認証が成功した場合に、そのゲストに対してプリンタ等の利用を許可し、印刷等のサービスを提供している。このため、ゲストネットワークを使用させたいユーザがゲストに対してIDやパスワードを提供し、それらを使用して認証させることで、そのゲストがゲストネットワークの利用を可能にしている。
近年、通信の無線化やモバイル端末の普及に伴い、無線LAN等の無線通信により、このような認証やサービスの提供が行われることが多くなってきている。アクセスポイントは、モバイル端末とゲストネットワーク上のサーバやプリンタ等との間の通信を中継し、上記の認証処理や印刷等のサービスの提供を実現するほか、モバイル端末間の通信も中継する。このようなモバイル端末間の無線LANを使用した通信は、無線LANにおけるLAN内のパケットの折り返し通信と呼ばれている。
ホットスポットシステム等の安価なアクセスポイントを利用したサービスを提供するシステムでは、このような折り返し通信は想定していないため、モバイル端末間での通信が増加すると、サービスの提供に支障が生じる。そこで、安価なアクセスポイントにおける負荷軽減を目的として、この折り返し通信を削減する技術が提案されている(例えば、特許文献1参照)。
従来のシステムでは、悪意ある者がゲストネットワークを利用する端末のIPアドレスを知った場合、そのIPアドレスを詐称してサービスを利用する可能性があり、そのような利用を回避できないという問題があった。また、サービスの利用を許可した者であっても、ゲスト用インターネット接続を介してインターネットへ攻撃的なアクセスを行う可能性があり、ネットワーク運用者が安全にサービスを提供できないという問題もあった。さらに、他のゲストの端末へマルチキャストパケットやブロードキャストパケットを送付し、セキュリティが低い近隣の端末から端末の情報を取得できてしまい、他のゲストが安全にサービスを利用できないという問題もあった。
そこで、悪意ある者によるサービスの利用を回避し、ネットワーク運用者が安全にサービスを提供でき、他のゲストが安全にサービスを利用することができる装置、システムや方法の提供が望まれている。
本発明は、上記課題に鑑み、通信端末とネットワークに接続された1以上の機器および他の通信端末との通信を制御する通信制御装置であって、ネットワークに接続された1以上の機器および他の通信端末への通信を制限する条件を記憶する条件記憶部と、通信端末からネットワークに接続された1以上の機器および他の通信端末の少なくとも1つへの通信を監視する監視部と、監視部により監視された通信が条件記憶部に記憶された条件に適合するか否かを判断する判断部と、判断部により条件に適合すると判断された場合に、通信端末からネットワークに接続された1以上の機器および他の通信端末の少なくとも1つまたは全てへの通信を制限する制限部とを含む、通信制御装置が提供される。
本発明によれば、悪意ある者によるサービスの利用を回避し、ネットワーク運用者が安全にサービスを提供でき、他のゲストが安全にサービスを利用することが可能となる。
図1は、本実施形態の通信制御装置を含むネットワークシステムの構成例を示した図である。ネットワークシステムは、無線LAN等により無線通信を行う通信端末10、11と、通信端末10、11との間で無線通信を行うアクセスポイント(AP)12と、通信制御装置としてのネットワークスイッチ13を含む。また、ネットワークシステムは、ゲスト向けサーバ14と、DHCP(Dynamic Host Configuration Protocol)/DHCPv6サーバ15と、インターネット回線接続機器16とを含む。
AP12とネットワークスイッチ13、ネットワークスイッチ13とゲスト向けサーバ14並びにDHCP/DHCPv6サーバ15およびインターネット回線接続機器16は、有線LANにより接続されている。インターネット回線接続機器16は、通信端末10、11等をインターネット17へ接続する。
通信端末10、11は、無線通信を行うことができる端末であれば、いかなる端末であってもよい。例えば、ノートPC、タブレットPC、スマートフォン、PDA(Personal Digital Assistant)、携帯型ゲーム機、デジタルカメラ等を挙げることができる。無線通信は、無線LANに限られるものではなく、Bluetooth(登録商標)や赤外線通信等であってもよい。
通信端末10、11は、無線通信を行うため、図示しない送受信機と、アンテナとを備える。送受信機は、電磁波にパケットと呼ばれる情報を乗せ、アンテナへ出力し、アンテナから送信する。また、送受信機は、アンテナによってパケットを乗せた電磁波を受信し、電磁波からパケットを取り出す。このようにして、通信端末10、11は、AP12との間でパケットのやりとりを行うことで通信を行う。
通信端末10、11から送信されるパケットとしては、ゲスト向けサーバ14に対する処理要求や、DHCP/DHCPv6サーバ15に対するアドレス割り当て要求等を挙げることができる。また、パケットとしては、インターネット回線接続機器16に対するインターネット接続要求も挙げることができる。
AP12は、例えば、一定期間毎にビーコンと呼ばれる無線ネットワークを識別するための識別情報(ESSID)を含むパケットを送信する。また、AP12は、通信端末10、11から受信した認証情報を受信し、認証処理を実行する。この認証処理により認証が成功した通信端末10、11のみを接続し、有線LANに接続されるゲスト向けサーバ14等の利用を可能にする。
ゲスト向けサーバ14は、ファイルサーバ、メールサーバ、動画ファイルを提供する動画サーバ、プリントサーバ等を挙げることができる。また、ゲスト向けサーバ14は、上記のサーバに限定されるものではなく、プリンタ、MFP(Multi-Function Peripheral)、ファックス装置、コピー機、スキャナ、プロジェクタ、電子黒板等であってもよい。各機器がもつ機能についてはよく知られた機能であるため、ここでは詳述しない。
DHCP/DHCPv6サーバ15は、アドレス情報としてのIPアドレスの割り当て要求を受け付け、IPアドレスを各機器に対して割り当てる。また、DHCP/DHCPv6サーバ15は、IPアドレスを割り当てた機器が通信を切断したことを受けて、そのIPアドレスを回収する。回収したIPアドレスは、割り当て要求を受け付けた場合に、再使用される。ここで、DHCPは、DHCPv4であり、IPv4とともに用いられるプロトコルで、DHCPv6は、IPv6とともに用いられるプロトコルである。これらのプロトコルは、IPアドレス等の必要な情報を自動的に割り当てるプロトコルである。
インターネット回線接続機器16は、有線LANとインターネット17とを接続するための機器である。インターネット回線接続機器16としては、例えば、ハブ、スイッチ、ルータ等を挙げることができる。
図1に示すネットワークシステムは、2つの通信端末10、11、AP12、ゲスト向けサーバ14、DHCP/DHCPv6サーバ15、インターネット回線接続機器16からなる構成に限られるものでない。したがって、通信端末10、11は、1台もしくは3台以上であってもよいし、AP12も2台以上であってもよいし、ゲスト向けサーバ14等が2台以上設けられていてもよい。また、ネットワークシステムには、その他の機器が含まれていてもよい。
このネットワークシステムは、通信端末10、11に対してゲストネットワーク機能を提供し、悪意ある利用を回避する等のセキュリティ機能を備えたシステムである。この機能を実現するために、このネットワークシステムは、ネットワークスイッチ13を備える。このネットワークスイッチ13について、以下に詳細に説明する。
図2は、ネットワークスイッチ13のハードウェア構成を例示した図である。ネットワークスイッチ13は、ハードウェアとして、CPU20、ROM21、RAM22、フラッシュメモリ23、複数のネットワークI/F24を備えている。ROM21は、ネットワークスイッチ13を起動させるためのプログラムや他のハードウェアの試験を行うプログラム等を記憶する。RAM22は、CPU20が処理を行う際の作業領域を提供する。また、RAM22は、CPU20により作成されたテーブル等を保持する。
フラッシュメモリ23は、ネットワークスイッチ13の機能を実現するためのプログラムを記憶する。この機能の詳細については後述する。CPU20は、ROM21からプログラムを読み出し実行して、ネットワークスイッチ13を起動させ、各ハードウェアが正常に動作するかを試験する。また、CPU20は、フラッシュメモリ23からプログラムを読み出し実行し、所望の機能を実現する。その際、CPU20は、RAM22上にテーブル等を作成し、その作成したテーブルを参照して処理を実行する。
複数のネットワークI/F24は、各機器と1つずつ接続し、各機器との通信を可能にする。複数のネットワークI/F24は、接続口としてのポートを提供し、各ポートにケーブル等が差し込まれ、各機器と接続される。CPU20、ROM21、RAM22、フラッシュメモリ23、複数のネットワークI/F24は、バス25により互いに情報等のやりとりを可能にしている。
ネットワークスイッチ13は、機器からの接続要求があった場合、その機器を一意に識別するための端末識別情報としてMAC(Media Access Control)アドレスを、その接続要求から取得する。そして、MACアドレステーブルと呼ばれるテーブルを作成し、その内にポートを識別するためのポート番号に対応付けて記憶する。このようにして、MACアドレステーブルは、ネットワークスイッチ13に接続されるすべての機器のMACアドレスとポート番号とを対応付けて作成され、記憶される。これにより、宛先MACアドレスが指定されたパケットを、そのMACアドレスに対応するポート番号へ出力することで、目的の機器へパケットを送信することができる。
ネットワークスイッチ13は、パケットのやりとりを制御するだけではなく、悪意ある利用を回避する等のセキュリティ機能も提供する。このため、ネットワークスイッチ13は、それを実現するための各機能部を備える。なお、この機能は、上述したように、フラッシュメモリ23に記憶されたプログラムをCPU20が読み出し実行することにより実現される。図3は、ネットワークスイッチ13の機能ブロック図である。
ネットワークスイッチ13は、条件記憶部30と、監視部31と、判断部32と、制限部33とを備える。条件記憶部30は、ネットワーク、ここではゲスト向けのネットワークであるため、ゲストネットワークに接続された1以上の機器および他の通信端末への通信を制限する条件を記憶する。制限する条件の詳細については後述するが、一例として、DHCP/DHCPv6サーバ15により割り当てられたIPアドレスとMACアドレスとの組が一致しない場合を挙げることができる。一致しない場合、IPアドレスを詐称し、悪意でゲストネットワーク上の機器やインターネットを利用しようとしていることが想定されるからである。
監視部31は、通信端末からゲストネットワークに接続された1以上の機器および他の通信端末の少なくとも1つへの通信を監視する。判断部32は、監視部31により監視された通信が条件記憶部30に記憶された条件に適合するか否かを判断する。監視部31は、通信端末からパケットが送信された場合、そのパケットの情報を判断部32に通知する。判断部32は、通知された情報に基づき、条件に適合するかどうかを判断する。条件は、1つに限られないので、判断部32は、いずれかの条件に適合するかを判断し、適合する場合、どの条件に適合するかを判断する。
制限部33は、判断部32が条件に適合すると判断した場合に、ゲストネットワークに接続された1以上の機器および他の通信端末の少なくとも1つまたは全てへの通信を制限する。制限部33は、当該1以上の機器および他の通信端末の少なくとも1つまたは全てへ送信するポートに、上記通信端末から送信されたパケットを出力せず、そのパケットを無視する、あるいは破棄する等の処理を実行する。この処理は一例であるので、制限部33が行う処理はこれに限られるものではない。
ネットワークシステムおよびネットワークスイッチ13が具体的にどのような処理を行い、どのような機能を有するかについて、図を参照しながら詳細に説明する。まず、図4を参照して、通信端末10、11がゲストネットワークに接続する処理について説明する。この処理は、一般によく知られている無線LAN接続と同様であるため、簡単に説明する。
AP12は、一定期間毎にビーコンを送信する。通信端末10、11は、ゲストネットワークを識別するための識別子としてESSIDが登録され、保持しており、そのESSIDが、AP12が含まれるネットワークのESSIDと一致するかどうかを問い合わせる。AP12は、その問い合わせに対して一致する場合、一致する旨の応答を返す。通信端末10、11は、ユーザIDやパスワード等の認証情報を、AP12へ送信し、AP12が認証を行う。通信端末10、11がその認証に成功した場合、通信端末10、11は、ゲストネットワークへの接続が可能となる。
ゲストネットワークに接続された機器は、DHCP/DHCPv6サーバ15によってIPアドレスが割り当てられる。したがって、AP12、ゲスト向けサーバ14、インターネット回線接続機器16も、ゲストネットワークに接続した際、IPアドレスが割り当てられる。また、ゲストネットワークに接続した通信端末10、11にも、IPアドレスが割り当てられる。
通信端末10、11は、ゲストネットワークに接続した際、DHCP/DHCPv6サーバ15へ接続し、IPアドレスの付与を要求する。この要求に応答して、DHCP/DHCPv6サーバ15がIPアドレスを割り当て、そのIPアドレスの情報を返信する。通信端末10、11からDHCP/DHCPv6サーバ15への通信経路は、無線チャネル40、AP12、有線チャネル41、ネットワークスイッチ13、有線チャネル42となる。
ネットワークスイッチ13は、通信端末10、11からIPアドレスの付与を要求する際に送信したパケットに含まれるMACアドレスを用い、MACアドレステーブルを作成する。また、ネットワークスイッチ13は、そのMACアドレスと、DHCP/DHCPv6サーバ15が割り当てたIPアドレスとを対応付けて記憶する。このMACアドレスとIPアドレスとを対応付けた情報は、通信を制限する条件に適合するかどうかを判断するために利用される。このため、ネットワークスイッチ13は、これら識別情報を記憶するための情報記憶部を備えることができる。
図5を参照して、接続後、ゲストネットワーク上の機器やインターネット17を利用する処理について説明する。通信端末10は、図4に示したように、ゲストとして接続し、ゲストネットワーク上の機器等の利用を認められた端末である。このため、通信端末10は、DHCP/DHCPv6サーバ15により割り当てられたIPアドレスを用いて、ゲスト向けサーバ14等に接続し、そのゲスト向けサーバ14等を利用することができる。通信端末10からの通信経路は、無線チャネル40、AP12、有線チャネル41、ネットワークスイッチ13、有線チャネル43または有線チャネル44となる。
通信端末10は、ゲスト向けサーバ14へ接続した場合、ゲスト向けサーバ14が提供するサービス、例えば印刷を実行させることができる。この場合、通信端末10は、印刷する画像データ等をパケットとしてゲスト向けサーバ14へ送信し、その画像データ等の画像を印刷出力させることができる。また、通信端末10は、インターネット回線接続機器16へ接続した場合、インターネット回線接続機器16を介してインターネット17へアクセスし、インターネット17上のサービスを利用することができる。
ここでは、ゲスト向けサーバ14を印刷装置として説明したが、ファイルサーバや動画サーバ等のゲスト向けサーバを追加し、ファイルや動画を参照することも可能である。
図6を参照して、接続後、ゲストネットワーク上の機器やインターネット17の利用を制限する処理について説明する。通信端末10は、ゲストとして接続し、ゲストネットワーク上の機器等の利用を認められた端末であるが、通信端末50は、その利用を認められていない端末である。しかしながら、何らかの理由により、通信端末50のユーザが、通信端末10のIPアドレスを取得した場合、IPアドレスを詐称してゲストネットワークへアクセスすることが可能となる。
図6では、通信端末50が、通信端末10に割り当てられた「192.168.0.100」というIPアドレスを用い、ゲストネットワークに接続している。通信端末50は、無線チャネル40、AP12、有線チャネル41を介してネットワークスイッチ13へアクセスすることができる。ネットワークスイッチ13には、通信を制限する条件として、IPアドレスとMACアドレスとの組が一致しない場合に制限するという条件が設定されている。
通信端末50からの通信は、IPアドレスが通信端末10に割り当てられたIPアドレスで、MACアドレスが通信端末50のMACアドレスで行われている。このような組は、ネットワークスイッチ13に記憶されていないので、ネットワークスイッチ13は、一致しないと判断し、その通信を制限する。図6に示す実施形態では、通信端末50からのパケットは受け付けないようにし、通信端末50からの通信を制限した旨をログとして記録する。このため、ネットワークスイッチ13は、制限した端末を特定する端末情報を記録する端末記録部を備えることができる。端末情報としては、端末識別情報としてのMACアドレスを用いることができる。MACアドレスは一例であるので、端末を識別できれば、端末名等のいかなる情報であってもよい。
ネットワークスイッチ13は、その後の処理において、記録されたログを参照し、記録されたMACアドレスをもつ通信端末50からの接続要求があった場合、無視する等の対応を行うことができる。
この場合のネットワークスイッチ13が行う処理を、図7に示すフローチャートを参照して詳細に説明する。ステップ700から処理を開始し、ステップ710では、監視部31が通信端末からの通信を監視する。この通信では、通信端末がゲスト向けサーバ14あるいはインターネット回線接続機器16への接続を要求するパケットを送信している。監視部31は、そのパケットの判断部32へ通知する。パケットの情報としては、パケットに含まれるMACアドレスやIPアドレス等を挙げることができる。
ステップ720では、判断部32が、ログに記録された通信端末かどうかを判断する。ログには、通信を制限する通信端末のMACアドレスの情報が記録されているため、それを参照し、通知されたMACアドレスに一致するものがあるかどうかにより判断する。記録された通信端末である場合、ステップ750へ進み、記録されていない場合は、ステップ730へ進む。
ステップ730では、判断部32が、通知された情報と、識別情報記憶部に記憶された識別情報とを用い、MACアドレスとIPアドレスの組が一致しないかどうかを判断する。一致すると判断された場合は、ステップ710へ戻り、一致しないと判断された場合は、ステップ740へ進み、その通信端末の情報をログとして記録する。
ステップ750では、制限部33が、その通信端末からのパケットを無視し、その通信端末からの通信を制限する。ステップ760では、全ての通信端末が通信を切断したかを判断する。1つでも切断していない通信端末がある場合、ステップ710へ戻り、同様の処理を行う。これに対し、全ての通信端末が通信を切断した場合は、ステップ770へ進み、処理を終了する。
なお、MACアドレスとIPアドレスの組が一致する通信端末については、制限部33は、ゲストネットワーク上の機器や他の通信端末との通信を許可し、サービスを利用させる。サービスは、上述したように、印刷等であり、通信端末から印刷データを送信し、ゲストネットワーク上に機器に印刷を実行させることができる。
通信を制限する必要がある場合として、上記のIPアドレスを詐称する場合のほか、攻撃相手や攻撃先を発見する目的でマルチキャスト通信やブロードキャスト通信を行う場合がある。ゲストネットワークへの接続は、ゲストネットワーク上の機器やインターネット17の利用を目的とし、他の通信端末や機器の発見や他のサービスの発見を目的とはしていない。それであるのに、他の通信端末等の発見を目的としたマルチキャスト通信やブロードキャスト通信は、悪意をもって通信を行っているものとみなすことができる。
図8を参照して、このような場合の他の通信端末や他の機器への接続を制限する処理について説明する。ゲストネットワークに接続する通信端末は、ゲストネットワークへの接続を許可された通信端末10、51である。通信端末10、51は、ゲストネットワークへの接続が許可され、ゲストネットワーク上の特定の機器の利用が可能とされている。通信端末51のユーザは、悪意をもってゲストネットワークに接続する他の通信端末、図8では通信端末10を発見し、許可されていない機器、図8ではインターネット回線接続機器16を発見しようとしている。なお、ゲスト向けサーバ14およびDHCP/DHCPv6サーバ15については、上記の特定の機器として、通信端末51に対して接続が許可されている。
通信端末51が無線チャネル40、AP12、有線チャネル41を介してネットワークスイッチ13へマルチキャストパケットまたはブロードキャストパケットを送信する。ネットワークスイッチ13は、条件記憶部30に、通信を制限する条件として、マルチキャストパケットまたはブロードキャストパケットを送信する場合に制限するという条件を記憶している。このため、監視部31は、通信端末から送信されたパケットの情報を判断部32に通知し、判断部32は、その情報を参照し、そのパケットがマルチキャストパケット等かどうかを判断する。ここでは、判断部32は、通信端末51からのパケットは、マルチキャストパケット等であると判断する。
制限部33は、判断部32の判断結果に基づき、許可していない通信端末10やインターネット回線接続機器16への接続要求を受け付けず、無視する。このため、許可されたゲスト向けサーバ14およびDHCP/DHCPv6サーバ15へはパケットが到達するが、許可されていない通信端末10やインターネット回線接続機器16へはパケットが到達しない。これにより、通信端末51が他の通信端末や機器、サービスを発見するのを阻止することができる。
この場合のネットワークスイッチ13が行う処理を、図9に示すフローチャートを参照して詳細に説明する。通信端末が無線チャネル40、AP12、有線チャネル41を介してネットワークスイッチ13へパケットを送信したこと受けて、この処理をステップ900から開始する。ステップ910では、監視部31が通信端末からの通信を監視する。監視部31は、通信端末から送信されたパケットの情報を判断部32に通知する。
ステップ920では、判断部32が、通知された情報に基づき、そのパケットがマルチキャストパケットまたはブロードキャストパケットであるかどうかを判断する。マルチキャストパケットまたはブロードキャストパケットは、宛先のIPアドレスがマルチキャストアドレスまたはブロードキャストアドレスという、通常のIPアドレスとは異なる特殊なアドレスになっている。このため、判断部32は、このような特殊なアドレスを含むパケットかどうかを確認することにより、マルチキャストパケット等かどうかを判断することができる。
マルチキャストパケット等でないと判断された場合、ステップ910へ戻り、マルチキャストパケット等であると判断された場合、ステップ930へ進む。 ステップ930では、制限部33が、その通信端末からのパケットを無視し、その通信端末からの通信を制限する。ここでは、ゲスト向けサーバ14およびDHCP/DHCPv6サーバ15との通信は許可されているので、それらの機器との通信は行うことができ、その他の機器との通信が制限される。
ステップ940では、全ての通信端末が通信を切断したかを判断する。1つでも切断していない通信端末がある場合、ステップ910へ戻り、同様の処理を行う。これに対し、全ての通信端末が通信を切断した場合は、ステップ950へ進み、処理を終了する。なお、マルチキャストパケットまたはブロードキャストパケットを送信していない通信端末については、制限部33は、ゲスト向けサーバ14およびDHCP/DHCPv6サーバ15以外の機器との通信も許可し、サービスを利用させる。
ゲストネットワークへの接続を許可された通信端末がマルチキャストまたはブロードキャストではなく、ユニキャストで悪意をもってパケットを送信する場合も考えられる。例えば、メールアドレスを特定するために、少しずつアドレスを変えて大量のメールを送信する場合等である。
図10を参照して、このような悪意あるパケットを送信する通信端末52による通信を制限する処理について説明する。悪意あるパケットかどうかは、これまでに知られた侵入検知システム(IDS)や侵入防止システム(IPS)と呼ばれるセキュリティシステムで利用されている技術を採用することができる。
IDSは、通信回線を監視し、ゲストネットワークへの侵入を検知し、管理者に通報するシステムで、パケットを分析し、パターン照合して悪意あるパケットを検出する。IPSは、侵入を検知した場合に接続の遮断等をリアルタイムに行うシステムで、パケットの特徴的なパターンに該当する接続を検知し、それを遮断し、管理者へ通知し、ログを記録する。
悪意あるパケットとして疑わしい具体的な例としては、単位時間当たりのDNS(Domain Name System)への参照数が通信端末としては非常に多い場合、単位時間当たりのメールサーバ接続回数が非常に多い場合等を挙げることができる。DNS参照数が非常に多い場合、不正にIPアドレスを取得していると考えられるからである。メールサーバ接続回数が非常に多い場合、大量にメールを送り付け、メールサーバを停止させたり、有効なメールアドレスを収集しようとしたりしていると考えられるからである。そのほか、pingパケットを複数のIPアドレスに大量に送付している場合も挙げることができる。pingパケットによりノードの到達性を確認し、接続可能なルートを知ろうとしていると考えられるからである。
そのようなパケットによる通信は、悪意ある者からの攻撃と考えることができる。しかしながら、攻撃であると断定することはできないため、攻撃と疑わしい通信とされる。このような疑わしい通信は、ゲストネットワークから分離し、しばらく通信を行ってみて、攻撃かどうかを判断することができる。
そこで、条件記憶部30には、このような攻撃が疑わしい場合を、通信を制限する条件として設定する。具体的には、通信端末から単位時間に送信される情報、すなわちパケットの数が閾値以上である場合を疑わしい場合として設定することができる。そして、しばらく通信を行ってみて、攻撃かどうかを判断するために、通信応答部を設ける。通信応答部は、専用の仮想サブネットにパケットを誘導する機能を持たせたものを利用することができる。仮想サブネットへはトンネリングしてアクセスし、仮想サブネット内で通信を分析し、分析結果を報告することができる。
仮想サブネットには、擬似的な応答を返すDNSサーバや、接続要求を受け取ったらその受信ポートに応じた擬似的な応答を返す仮想サーバを設けることができる。これにより、その通信端末がどのような攻撃をしているかを判断し、ログに記録する機能を持たせることができる。図10では、通信応答部として、仮想サブネット60が設けられている。なお、仮想サブネット60は、図10ではネットワークスイッチ13の外部に設けられているが、これに限られるものではなく、DNSサーバや仮想サーバの機能をネットワークスイッチ13内に備えるものであってもよい。
具体的な処理は、監視部31で通信を監視し、パケットの情報を判断部32へ通知する。判断部32は、大量のパケットが同じ通信端末から特定の宛先に向けて送信されている場合、攻撃と疑わしい通信と判断し、制限部33が、仮想サブネット60に接続する。
仮想サブネット60は、どのようなDNS名前解決を行っているかを判別し、どのようなポートへどのようなアクセスを行っているかをログに記録する。必要な情報が一定時間取得することができた後は、通信端末52からの接続はすべて遮断し、通信端末52をゲストネットワークから外す。
ネットワークスイッチ13が行う処理を、図11に示すフローチャートを参照して詳細に説明する。通信端末が無線チャネル40、AP12、有線チャネル41を介してネットワークスイッチ13へパケットを送信したことを受けて、この処理をステップ1100から開始する。ステップ1110では、監視部31が通信端末からの通信を監視する。監視部31は、通信端末から送信されたパケットの情報を判断部32に通知する。
ステップ1120では、判断部32が、通知された情報に基づき、攻撃と疑わしい通信かどうかを判断する。疑わしくないと判断された場合、ステップ1110へ戻り、疑わしいと判断された場合、ステップ1130へ進み、制限部33が、その通信端末をゲストネットワークから分離する。そして、ステップ1140で、その通信端末を仮想サブネット60に接続する。
ステップ1150では、仮想サブネット60で一定時間ログに記録し、そのログを参照して悪意あるパケットによる通信かどうかを判断する。悪意ある通信かどうかは、上記のような、単位時間当たりのDNSへの参照数が通信端末としては非常に多いかどうか等により判断する。非常に多いかどうかは、例えば、閾値を設け、その閾値以上であるかどうかにより判断することができる。
悪意あるパケットによる通信でない場合、ステップ1160へ進み、ゲストネットワークの利用を許可し、ステップ1110へ戻る。悪意あるパケットによる通信の場合、ステップ1170へ進む。
ステップ1170では、通信端末を特定する情報と、どのような通信であったかという通信の内容をログとして記録する。通信端末を特定する情報としては、MACアドレス等が、通信の内容については、例えば、単位時間当たりのDNSへの参照数等が記録される。ステップ1180では、通信端末を特定する情報を、ブラックリストに登録し、通信端末からAP12への接続を、AP12において遮断する。そして、ステップ1190へ進み、全ての通信端末が通信を切断したかを判断する。1つでも切断していない通信端末がある場合、ステップ1110へ戻り、同様の処理を行う。これに対し、全ての通信端末が通信を切断した場合は、ステップ1200へ進み、処理を終了する。
この場合も、攻撃ではないと判断された通信端末については、制限部33は、ゲストネットワーク上の機器や他の通信端末との通信を許可し、サービスを利用させる。
図10および図11に示した例では、仮想サブネット60を設けたが、仮想サブネット60を設けず、攻撃と疑わしい通信端末から送信されたパケットを無視し、また、破棄することも可能である。
これまで3つの条件を設定し、その条件に適合するかどうかを判断し、通信を制限する例を示してきた。これらの条件は、ゲストネットワークのセキュリティを確保するために必要な条件の例であり、必要な条件であれば、その他の条件であってもよい。また、条件に適合する通信端末が通信可能な機器および利用可能なサービスは、ネットワーク運用者や管理者が条件に応じて設定することができる。
通信端末からの通信を制限した場合、システム管理者にその通信端末の通信を制限した旨を通知し、また、その通信端末へ警告を表す情報を送信してその画面に表示させ、注意を促すことができる。このため、ネットワークスイッチ13は、そのような通知を行うために通知部をさらに備えることができる。
これまで本発明を、通信制御装置、ネットワークシステムおよび通信制御方法として上述した実施の形態をもって説明してきた。しかしながら、本発明は上述した実施の形態に限定されるものではなく、他の実施の形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができるものである。また、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。したがって、通信制御装置を備える情報処理装置、通信制御方法をコンピュータに実行させるためのプログラムやそのプログラムが記録された記録媒体としても提供することができるものである。
10、11…通信端末、12…AP、13…ネットワークスイッチ、14…ゲスト向けサーバ、15…DHCP/DHCPv6サーバ、16…インターネット回線接続機器、17…インターネット、20…CPU、21…ROM、22…RAM、23…フラッシュメモリ、24…ネットワークI/F、25…バス、30…条件記憶部、31…監視部、32…判断部、33…制限部、40…無線チャネル、41〜44…有線チャネル、50〜52…通信端末、60…仮想サブネット
Claims (10)
- 通信端末とネットワークに接続された1以上の機器および他の通信端末との通信を制御する通信制御装置であって、
前記ネットワークに接続された前記1以上の機器および他の通信端末への通信を制限する条件を記憶する条件記憶部と、
前記通信端末から前記ネットワークに接続された前記1以上の機器および他の通信端末の少なくとも1つへの通信を監視する監視部と、
前記監視部により監視された前記通信が前記条件記憶部に記憶された前記条件に適合するか否かを判断する判断部と、
前記判断部により前記条件に適合すると判断された場合に、前記ネットワークに接続された前記1以上の機器および他の通信端末の少なくとも1つまたは全てへの通信を制限する制限部とを含む、通信制御装置。 - 前記通信端末を一意に識別するための端末識別情報と、前記通信端末に割り当てられたアドレス情報とを対応付けて記憶する情報記憶部をさらに含み、
前記判断部は、前記通信端末の端末識別情報とアドレス情報とが前記情報記憶部に記憶されている端末識別情報とアドレス情報とに一致しない場合に、前記条件に適合すると判断し、
前記制限部は、前記ネットワークに接続された前記1以上の機器および他の通信端末の全てへの通信を制限する、請求項1に記載の通信制御装置。 - 前記判断部により前記条件に適合すると判断された通信端末を特定する端末情報を記録する端末記録部をさらに含み、
前記通信制御装置は、前記端末記録部に記録された前記端末情報により特定される通信端末からの通信を、前記判断部により判断することなく制限する、請求項2に記載の通信制御装置。 - 前記判断部は、前記通信端末からの通信がマルチキャスト通信またはブロードキャスト通信である場合に、前記条件に適合すると判断し、
前記制限部は、前記ネットワークに接続された前記1以上の機器のうち指定された少なくとも1つ機器への通信のみに制限する、請求項1に記載の通信制御装置。 - 前記判断部は、前記通信端末から単位時間に送信される情報の数が閾値以上である場合に、前記条件に適合すると判断し、
前記制限部は、前記ネットワークに接続された前記1以上の機器および他の通信端末の全てへの通信を制限する、請求項1に記載の通信制御装置。 - 前記通信端末からの通信に対して応答する通信応答部をさらに含み、
前記判断部は、前記通信端末から単位時間に送信される情報の数が閾値以上である場合に、前記条件に適合すると判断し、
前記制限部は、前記ネットワークに接続された前記1以上の機器および他の通信端末の全てへの通信を制限し、前記通信端末と前記通信応答部とを接続し、該通信応答部に応答させる、請求項1に記載の通信制御装置。 - 前記通信端末からの通信を制限した旨の通知を行う通知部をさらに含む、請求項1〜6のいずれか1項に記載の通信制御装置。
- 通信端末とネットワークに接続された1以上の機器および他の通信端末との通信を制御する通信制御装置を含むネットワークシステムであって、前記通信制御装置が、
前記ネットワークに接続された前記1以上の機器および他の通信端末への通信を制限する条件を記憶する条件記憶部と、
前記通信端末から前記ネットワークに接続された前記1以上の機器および他の通信端末の少なくとも1つへの通信を監視する監視部と、
前記監視部により監視された前記通信が前記条件記憶部に記憶された前記条件に適合するか否かを判断する判断部と、
前記判断部により前記条件に適合すると判断された場合に、前記ネットワークに接続された前記1以上の機器および他の通信端末の少なくとも1つまたは全てへの通信を制限する制限部とを含む、ネットワークシステム。 - 通信端末とネットワークに接続された1以上の機器および他の通信端末との通信を制御する通信制御装置により実行される通信制御方法であって、前記通信制御装置が、前記ネットワークに接続された前記1以上の機器および他の通信端末への通信を制限する条件を記憶する条件記憶部を含み、
前記通信制御方法が、
前記通信端末から前記ネットワークに接続された前記1以上の機器および他の通信端末の少なくとも1つへの通信を監視するステップと、
監視された前記通信が前記条件記憶部に記憶された前記条件に適合するか否かを判断するステップと、
前記条件に適合すると判断された場合に、前記ネットワークに接続された前記1以上の機器および他の通信端末の少なくとも1つまたは全てへの通信を制限するステップとを含む、通信制御方法。 - 請求項9に記載の通信制御方法をコンピュータに実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014102494A JP2015220589A (ja) | 2014-05-16 | 2014-05-16 | 通信制御装置、ネットワークシステム、通信制御方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014102494A JP2015220589A (ja) | 2014-05-16 | 2014-05-16 | 通信制御装置、ネットワークシステム、通信制御方法およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015220589A true JP2015220589A (ja) | 2015-12-07 |
Family
ID=54779657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014102494A Pending JP2015220589A (ja) | 2014-05-16 | 2014-05-16 | 通信制御装置、ネットワークシステム、通信制御方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015220589A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10298454B2 (en) | 2014-11-25 | 2019-05-21 | Ricoh Company, Ltd. | Communication path switching apparatus, method for controlling communication path switching apparatus, and computer program product |
-
2014
- 2014-05-16 JP JP2014102494A patent/JP2015220589A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10298454B2 (en) | 2014-11-25 | 2019-05-21 | Ricoh Company, Ltd. | Communication path switching apparatus, method for controlling communication path switching apparatus, and computer program product |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10511620B2 (en) | Detection of vulnerable devices in wireless networks | |
US9003527B2 (en) | Automated method and system for monitoring local area computer networks for unauthorized wireless access | |
US7216365B2 (en) | Automated sniffer apparatus and method for wireless local area network security | |
US7970894B1 (en) | Method and system for monitoring of wireless devices in local area computer networks | |
US20120023552A1 (en) | Method for detection of a rogue wireless access point | |
US20150040194A1 (en) | Monitoring of smart mobile devices in the wireless access networks | |
US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
TWI506472B (zh) | 網路設備及其防止位址解析協定報文攻擊的方法 | |
WO2015074367A1 (zh) | 一种检测非法无线接入点的方法、装置及系统 | |
JPWO2007007546A1 (ja) | 端末、セキュリティ設定方法、及びそのプログラム | |
JP6737610B2 (ja) | 通信装置 | |
KR101001900B1 (ko) | Arp 공격 감지 방법 및 이를 이용한 시스템 | |
JP6616733B2 (ja) | ネットワークシステムおよびサーバ装置 | |
US9686311B2 (en) | Interdicting undesired service | |
JP2013078109A (ja) | ホストデバイスを物理的に保護するための方法、システム及びプログラム | |
US10098161B2 (en) | Information processing apparatus and non-transitory computer readable medium | |
JP2007266931A (ja) | 通信遮断装置、通信遮断プログラム | |
Huang et al. | A whole-process WiFi security perception software system | |
JP7127885B2 (ja) | 無線通信装置、及び不正アクセス防止方法 | |
JP2015220589A (ja) | 通信制御装置、ネットワークシステム、通信制御方法およびプログラム | |
JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
JP2006217198A (ja) | 複数のレイヤ2機能を備える無線基地局 | |
KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
WO2014132774A1 (ja) | ノード情報検出装置、ノード情報検出方法、及びプログラム |