JP2017188763A - ネットワーク疎通確認システムおよびネットワーク疎通確認方法 - Google Patents
ネットワーク疎通確認システムおよびネットワーク疎通確認方法 Download PDFInfo
- Publication number
- JP2017188763A JP2017188763A JP2016075639A JP2016075639A JP2017188763A JP 2017188763 A JP2017188763 A JP 2017188763A JP 2016075639 A JP2016075639 A JP 2016075639A JP 2016075639 A JP2016075639 A JP 2016075639A JP 2017188763 A JP2017188763 A JP 2017188763A
- Authority
- JP
- Japan
- Prior art keywords
- communication confirmation
- packet
- network
- password
- confirmation packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図10に示すように、IPネットワーク10は、エンドツーエンド(end to end)間を結ぶルート(経路)内に複数のルータ11,12,13,14と、ルータ12とルータ13との間に設置されたFW15と、を有し、エンドツーエンド間でIPパケットを中継する。FW15は、FWの設定(アクセスリスト)に従って、ファイアウォールを開け閉め(パケットを通過させる/通過させない)する。また、ネットワーク管理者16は、疎通確認用パケットを送信する。ネットワーク管理者16は、ルート内のFW15のアドレス(存在場所)を把握している。
ルート内にFW15が存在する場合には、(A)FW15の存在個所を特定の上、(B)区間を区切ってパケット送信を行う方法と、(C) アクセスリストをパケット通過に設定した後に、疎通確認用のパケット送信を実行し、終了後、アクセスリストをパケット通過させない設定に操作する方法とがある。上記いずれの方法を採っても、ルート内にFW15が存在する場合には、被疑個所の特定に時間がかかるという課題がある。
また、当該疎通確認用パケットに付与されたパスワードを活用して認証を実行しているため、パケット詐称に対する耐性を備えることができる。
図1は、本発明の実施形態に係るネットワーク疎通確認システムを示す構成図である。
図1に示すように、ネットワーク疎通確認システム100は、疎通確認用パケット送信部110と、FW120に備えられた疎通確認用エージェント130と、認証サーバ140と、を備える。ネットワーク疎通確認システム100は、IPネットワーク10に用いられる。IPネットワーク10は、例えばエンドツーエンド間を結ぶルート(経路)内に複数のルータ11,12,13,14と、ルータ12とルータ13の間に設置されたFW120と、を有し、エンドツーエンド間でIPパケットを中継する。
疎通確認用パケット送信部110は、IPネットワーク10上にパケットを送信する装置であればよく、単体でもよいし、各種装置に配置されてもよい。また、配置装置は、どのようなものでもよい。疎通確認用パケット送信部110は、例えばネットワーク管理装置(ネットワーク管理者16)に配置される。
疎通確認用パケット送信部110は、パスワード230(図2参照)が付与された疎通確認用パケット200(図2参照)をIPネットワーク10上に送信する。
疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードをあらかじめ設定する(図5参照)。
疎通確認用パケット送信部110は、故障被疑個所を特定する場合、疎通確認用パケット200をIPネットワーク10上に送信する(図8参照)。
FW120は、ルーチング(経路制御)を行うルーチング部121(図8参照)を備える。また、ルーチング部121は、疎通確認用エージェント130の指示に従ってルーチングを行うことで疎通確認用エージェント130の疎通確認機能を実行する。FW120は、IPネットワーク10上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作する。また、FW120には、疎通確認用エージェント130がインストールされている。
疎通確認用エージェント130は、FW120の疎通確認制御を実行するソフトウェアであり、FW120にインストールされている。
疎通確認用エージェント130は、あらかじめ設定された認証サーバ140のアドレスに自身のアドレスの登録を行う。疎通確認用エージェント130は、通知されたPINGパスワード(後記)を登録するPINGパスワードリスト270(図7参照)を備える。
疎通確認用エージェント130は、故障被疑個所を特定する場合、受信した疎通確認用パケット200(図2参照)に付与されたパスワード230(図2参照)と、あらかじめ設定したパスワードとを照合し、合致した場合にはアクセスリストをパケット通過に設定して、疎通確認用パケット200を疎通確認用パケット送信先150(図8参照)に転送し、疎通確認用パケット送信先150から疎通確認用パケット200の応答受領後、アクセスリストをパケット通過させない設定にする動作を行う。
認証サーバ140は、疎通確認用パケット送信部110と疎通確認用エージェント130間に設置される。認証サーバ140は、FW120より受け付けたアドレス登録により、FW120のアドレスを管理する。認証サーバ140は、アカウント・ユーザパスワード(後記)を登録するアカウントリスト260(図6参照)を備える。
認証サーバ140は、公開鍵方式等の一般的な本人確認用認証サーバである。認証サーバ140は、疎通確認用パケット送信部110の正当性の確認の認証を行う。
図2は、疎通確認用パケット200の構成を示す図である。
図2(a)に示すように、疎通確認用パケット200は、IP(Internet Protocol)層から送り出されるパケット(IPデータグラム)210を用いる。IPデータグラム210は、IPヘッダ211と、データであるIPペイロード212と、からなる。
図2(b)に示すように、IPペイロード212は、ICMPヘッダ221と、ICMPメッセージ222と、からなる。ICMPは、障害が発生したときに通知をするネットワーク層に相当するプロトコルであり、pingコマンドまたはtraceroute(tracert)コマンド等で実行される。疎通確認用パケット200は、ICMPメッセージ222に、左詰めでパスワード230(固定長)を設定する。説明の便宜上、パスワード230として、「Innocent World」が設定されているとする。
疎通確認用パケット200は、IPデータグラム210のICMPメッセージ222に、パスワード230が設定される構成である。疎通確認用パケット200は、IPデータグラム210のICMPメッセージ222にパスワード230を設定するので、図1に示すIPネットワーク10のルータ11,12,13,14で後記するように経路制御(ルーチング)が可能となる。
[前処理]
まず、前処理について説明する。
<FWアドレスリスト登録>
図3は、前処理(FWアドレスリスト登録)を説明する制御シーケンス図である。
FW120には、疎通確認用エージェント130がインストールされている。疎通確認用エージェント130は、あらかじめ設定された認証サーバ140のIPアドレスに自身のアドレス(例えば、「152.33.6.3」)の登録を行う(ステップS1)。
図4は、認証サーバ140が管理するFWアドレスリスト250を示す図である。図4に示すように、FWアドレスリスト250は、認証サーバ140が管理するFW120のIPアドレス(例えば、「10.1.1.15」「192.168.29.55」「152.33.6.3」)を格納する。
認証サーバ140は、疎通確認用エージェント130からのFW120アドレス登録通知を受け、FWアドレス登録で通知されたアドレス(「152.33.6.3」)を、FWアドレスリスト250(図4参照)に追加する。アドレス(「152.33.6.3」)(図4の太文字参照)が、今回FWアドレスリスト250に追加されたアドレスである。
認証サーバ140は、通知されたアドレスをFWアドレスリスト250に追加後、疎通確認用エージェント130に対して、登録完了OKを返す(ステップS3)。
図5は、前処理(事前準備およびパスワード設定)を説明する制御シーケンス図である。
図1および図5に示すように、疎通確認用パケット送信部110と疎通確認用エージェント130間に認証サーバ140を設置し、疎通確認用パケット送信部110の正当性の確認を行う。以下、当該正当性の確認についての制御シーケンスについて述べる。
まず、認証サーバ140は、下記の事前準備を行う(ステップS11)。認証サーバ140は、公開鍵方式等の一般的な本人確認用認証サーバであり、公開鍵、秘密鍵を生成し、公開鍵を公開する。そして、認証サーバ140は、疎通確認用パケット送信部110が利用するアカウント・ユーザパスワードを、自身が備えるアカウントリスト260(図6参照)に登録する。
図6は、アカウント・ユーザパスワードを登録するアカウントリスト260を示す図である。図6に示すように、アカウントリスト260は、アカウントとユーザパスワードを格納する。図6の例では、アカウント(「Hogehoge」)とそのユーザパスワード(「XXXXXXX」)、アカウント(「Children」)とそのユーザパスワード(「Namonakiuta」)を格納する。アカウント(「Children」)およびユーザパスワード(「Namonakiuta」)(図6の太文字参照)が、今回アカウントリスト260に追加登録されたアカウント・ユーザパスワードである。
疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードの設定を行う。
具体的には、図5に示すように、疎通確認用パケット送信部110は、認証サーバ140に対して認証要求し、認証サーバ140にPINGパスワードを登録する。ここでは、疎通確認用パケット送信部110は、公開鍵で暗号化された(アカウント: Children、ユーザパスワード:Namonakiuta)で認証要求し、認証サーバ140に公開鍵で暗号化された(PINGパスワード:Innocent World)を登録する(ステップS13)。
認証サーバ140は、下記により疎通確認用パケット送信部110の正当性の確認を行う。すなわち、認証サーバ140は、認証要求上、暗号化されたアカウント・ユーザパスワードを秘密鍵で復号して、アカウントリスト260(図6参照)と照合する認証を行う(ステップS14)。
認証サーバ140は、上記照合が合致した場合、疎通確認用エージェント130に(PINGパスワード:Innocent World)を送信する(ステップS15)。
疎通確認用エージェント130は、認証サーバ140からPINGパスワード登録のために送信された(PINGパスワード:Innocent World)を登録する(ステップS16)。
このように、疎通確認用パケット送信部110は、認証サーバ140経由で疎通確認用エージェント130にパスワードの設定を行う。
疎通確認用エージェント130は、通知されたPINGパスワードを、自身が備えるPINGパスワードリスト270に登録する。
図7は、PINGパスワードリスト270を示す図である。図6に示すように、PINGパスワードリスト270は、通知されたPINGパスワード(「Innocent World」)を格納する。
疎通確認用エージェント130は、通知されたPINGパスワードをPINGパスワードリスト270に登録後、疎通確認用パケット送信部110に対して、登録完了OKを返す(ステップS17)。
次に、故障被疑個所特定について説明する。
<概要>
図1に示すように、サイレント故障が発生した場合などに、ネットワーク管理者16(ネットワーク管理装置)は、被疑個所特定のために疎通確認用パケット200(図2参照)を送信する。この疎通確認用パケット200のICMPメッセージ222には、パスワード230が設定されている。ネットワーク疎通確認システム100の疎通確認用パケット送信部110は、この疎通確認用パケット200をIPネットワーク10に向けて送信する。
図1の(1)に示すように、疎通確認用パケット送信部110は、IPネットワーク10に疎通確認用パケット200の送信を行う。
図1の(2)に示すように、疎通確認用エージェント130は、受信した疎通確認用パケット200とあらかじめPINGパスワードリスト270(図7参照)に格納したパスワードとを照合する。
図1の(3)に示すように、疎通確認用エージェント130は、上記照合が合致した場合に、アクセスリストを開けて(アクセスリストをパケット通過に設定)、図1の(4)に示すように、疎通確認用パケット200を転送する。
図1の(5)に示すように、疎通確認用エージェント130は、疎通確認用パケット送信先(図示省略)から疎通確認用パケット200の応答受領後、アクセスリストを閉める(アクセスリストをパケット通過させない設定)動作を行う。
図8は、故障被疑個所を特定する場合の制御シーケンス図である。
疎通確認用パケット送信部110は、故障被疑個所を特定する場合、疎通確認用パケット200(図2参照)をIPネットワーク10(図1参照)に送信する。疎通確認用パケット200は、ルータ11,12(図1参照)で中継され、FW120まで送信される(ステップS21)。
FW120は、ルーチング(経路制御)部121を有し、ルーチング(経路制御)を行っている。FW120のルーチング部121は、疎通確認用エージェント130に、PINGパスワード認証要求(ここでは、PINGパスワード:Innocent World)を発行する(ステップS22)。
疎通確認用エージェント130は、FW120のルーチング部121に認証OKを返す(ステップS24)。
FW120のルーチング部121は、送信先アドレスを管理する(ステップS26)。詳細には、FW120のルーチング部121は、送信先アドレスリスト280(図9参照)から疎通確認用パケット200の送信先アドレスを取得し、管理する。
図9は、パケット送信先を管理する送信先アドレスリスト280を示す図である。図9に示すように、送信先アドレスリスト280は、疎通確認用パケット送信先のIPアドレス(例えば「10.1.1.1」)を登録する。
疎通確認用パケット送信先150は、FW120のルーチング部121に疎通確認用パケット200の応答を返す(ステップS29)。
FW120のルーチング部121は、疎通確認用パケット送信部110に、疎通確認用パケット200の応答を返す(ステップS31)。
FW120のルーチング部121は、アクセスリストをパケット通過させない設定に変更する(ステップS32)。
故障被疑個所を特定する場合、疎通確認用パケット送信部110は、疎通確認用パケット200をIPネットワーク10上に送信する。疎通確認用エージェント130は、受信した疎通確認用パケット200に付与されたパスワードと、あらかじめ設定したパスワードとを照合し、合致した場合にはアクセスリストをパケット通過に設定して、疎通確認用パケット200を疎通確認用パケット送信先150に転送する。そして、疎通確認用エージェント130は、疎通確認用パケット送信先150から疎通確認用パケット200の応答受領後、アクセスリストをパケット通過させない設定にする動作を行う。
また、当該疎通確認用パケット200に付与されたパスワード230を活用して認証を実行しているため、パケット詐称に対する耐性がある。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
11,12,13,14 ルータ
100 ネットワーク疎通確認システム
110 疎通確認用パケット送信部
120 FW
121 ルーチング部
130 疎通確認用エージェント
140 認証サーバ
200 疎通確認用パケット
210 IPデータグラム
212 IPペイロード
221 ICMPヘッダ
222 ICMPメッセージ
230 パスワード
250 FWアドレスリスト
260 アカウントリスト
270 PINGパスワードリスト
280 送信先アドレスリスト
Claims (3)
- パスワードが付与された所定の疎通確認用パケットをネットワーク上に送信する疎通確認用パケット送信部と、
前記ネットワーク上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW(firewall)と、
前記FWに備えられて当該FWの疎通確認制御を実行する疎通確認用エージェントと、
前記疎通確認用パケット送信部と前記疎通確認用エージェント間で前記疎通確認用パケット送信部の正当性を認証する認証サーバと、を備え、
前記疎通確認用パケット送信部は、
前記認証サーバ経由で前記疎通確認用エージェントにパスワードをあらかじめ設定し、
故障被疑個所を特定する場合、
前記疎通確認用パケット送信部は、
前記疎通確認用パケットを前記ネットワーク上に送信し、
前記疎通確認用エージェントは、
受信した前記疎通確認用パケットに付与された前記パスワードと、あらかじめ設定したパスワードとを照合し、合致した場合には前記アクセスリストをパケット通過に設定して、前記疎通確認用パケットを疎通確認用パケット送信先に転送し、
前記疎通確認用パケット送信先から前記疎通確認用パケットの応答受領後、前記アクセスリストをパケット通過させない設定にする動作を行う
ことを特徴とするネットワーク疎通確認システム。 - 前記疎通確認用パケットは、pingまたはtracerouteコマンドを実行するパケットであり、
前記疎通確認用パケットに付与された前記パスワードは、IPデータグラムのICMPメッセージに設定される
ことを特徴とする請求項1に記載のネットワーク疎通確認システム。 - パスワードが付与された所定の疎通確認用パケットをネットワーク上に送信する疎通確認用パケット送信部と、
前記ネットワーク上に設置され、送信されたパケットを通過させるまたは通過させないことを設定するアクセスリストに従って動作するFW(firewall)と、
前記FWに備えられて当該FWの疎通確認制御を実行する疎通確認用エージェントと、
前記疎通確認用パケット送信部と前記疎通確認用エージェント間で前記疎通確認用パケット送信部の正当性を認証する認証サーバと、を備えるネットワーク疎通確認システムのネットワーク疎通確認方法であって
前記疎通確認用パケット送信部では、
前記認証サーバ経由で前記疎通確認用エージェントにパスワードをあらかじめ設定するステップと、
故障被疑個所を特定する場合、
前記疎通確認用パケット送信部では、
前記疎通確認用パケットを前記ネットワーク上に送信するステップと、
前記疎通確認用エージェントでは、
受信した前記疎通確認用パケットに付与された前記パスワードと、あらかじめ設定したパスワードとを照合し、合致した場合には前記アクセスリストをパケット通過に設定して、前記疎通確認用パケットを疎通確認用パケット送信先に転送し、
前記疎通確認用パケット送信先から前記疎通確認用パケットの応答受領後、前記アクセスリストをパケット通過させない設定にする動作を行うステップと、を実行する
ことを特徴とするネットワーク疎通確認方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016075639A JP6511001B2 (ja) | 2016-04-05 | 2016-04-05 | ネットワーク疎通確認システムおよびネットワーク疎通確認方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016075639A JP6511001B2 (ja) | 2016-04-05 | 2016-04-05 | ネットワーク疎通確認システムおよびネットワーク疎通確認方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017188763A true JP2017188763A (ja) | 2017-10-12 |
JP6511001B2 JP6511001B2 (ja) | 2019-05-08 |
Family
ID=60046588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016075639A Active JP6511001B2 (ja) | 2016-04-05 | 2016-04-05 | ネットワーク疎通確認システムおよびネットワーク疎通確認方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6511001B2 (ja) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214556A (ja) * | 1995-11-30 | 1997-08-15 | Toshiba Corp | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 |
US20110154473A1 (en) * | 2009-12-23 | 2011-06-23 | Craig Anderson | Systems and methods for cross site forgery protection |
JP2012080504A (ja) * | 2010-10-06 | 2012-04-19 | Canon Inc | 画像形成装置、画像形成装置の制御方法、及びプログラム |
JP2016036133A (ja) * | 2015-07-23 | 2016-03-17 | 株式会社応用電子 | 仮想通信システム |
US20160337314A1 (en) * | 2015-05-11 | 2016-11-17 | Huawei Technologies Co., Ltd. | Firewall Authentication Of Controller-Generated Internet Control Message Protocol (ICMP) Echo Requests |
-
2016
- 2016-04-05 JP JP2016075639A patent/JP6511001B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214556A (ja) * | 1995-11-30 | 1997-08-15 | Toshiba Corp | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 |
US20110154473A1 (en) * | 2009-12-23 | 2011-06-23 | Craig Anderson | Systems and methods for cross site forgery protection |
JP2012080504A (ja) * | 2010-10-06 | 2012-04-19 | Canon Inc | 画像形成装置、画像形成装置の制御方法、及びプログラム |
US20160337314A1 (en) * | 2015-05-11 | 2016-11-17 | Huawei Technologies Co., Ltd. | Firewall Authentication Of Controller-Generated Internet Control Message Protocol (ICMP) Echo Requests |
JP2016036133A (ja) * | 2015-07-23 | 2016-03-17 | 株式会社応用電子 | 仮想通信システム |
Also Published As
Publication number | Publication date |
---|---|
JP6511001B2 (ja) | 2019-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9485228B2 (en) | Selectively performing man in the middle decryption | |
US10609152B2 (en) | Creation of remote direct access path via internet to firewalled device using multi-site session forwarding | |
US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
JP6518771B2 (ja) | セキュリティシステム、通信制御方法 | |
US11425216B2 (en) | Virtual private network (VPN) whose traffic is intelligently routed | |
EP3328023B1 (en) | Authentication of users in a computer network | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
GB2563497B (en) | Data filtering | |
US11894947B2 (en) | Network layer performance and security provided by a distributed cloud computing network | |
US11895149B2 (en) | Selective traffic processing in a distributed cloud computing network | |
US20170104630A1 (en) | System, Method, Software, and Apparatus for Computer Network Management | |
US11528326B2 (en) | Method of activating processes applied to a data session | |
US20110154469A1 (en) | Methods, systems, and computer program products for access control services using source port filtering | |
Taylor et al. | Validating security protocols with cloud-based middleboxes | |
KR101387937B1 (ko) | 사용자 인증을 통한 네트워크 자원 사용 제어 방법 | |
JP2017103769A (ja) | 安全と機能拡張性を有する有線ローカルエリアネットワークユーザー管理システムと方法 | |
KR101881278B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 선택적으로 검사하는 방법 | |
JP6511001B2 (ja) | ネットワーク疎通確認システムおよびネットワーク疎通確認方法 | |
US9083586B2 (en) | Verifying availability and reachability through a network device | |
US8590031B2 (en) | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server | |
Cisco | Configuring Network Security | |
CN113949730A (zh) | 一种设备的通信方法和装置 | |
JP5864453B2 (ja) | 通信サービス提供システムおよびその方法 | |
JP7241620B2 (ja) | 認証スイッチ、ネットワークシステムおよびネットワーク装置 | |
Rauthan | Covert Communication in Software Defined Wide Area Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180608 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190402 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190405 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6511001 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |