JP2017204697A - ネットワークシステムおよびサーバ装置 - Google Patents

ネットワークシステムおよびサーバ装置 Download PDF

Info

Publication number
JP2017204697A
JP2017204697A JP2016094585A JP2016094585A JP2017204697A JP 2017204697 A JP2017204697 A JP 2017204697A JP 2016094585 A JP2016094585 A JP 2016094585A JP 2016094585 A JP2016094585 A JP 2016094585A JP 2017204697 A JP2017204697 A JP 2017204697A
Authority
JP
Japan
Prior art keywords
authentication
server
log
address
information terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016094585A
Other languages
English (en)
Other versions
JP6616733B2 (ja
Inventor
勝人 小野
Katsuto Ono
勝人 小野
秀隆 益子
Hidetaka Masuko
秀隆 益子
晃 大森
Akira Omori
晃 大森
馨 江藤
Kaoru Eto
馨 江藤
浩志 西野宮
Hiroshi Nishinomiya
浩志 西野宮
武 松澤
Takeshi Matsuzawa
武 松澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HC Networks Ltd
Original Assignee
HC Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HC Networks Ltd filed Critical HC Networks Ltd
Priority to JP2016094585A priority Critical patent/JP6616733B2/ja
Publication of JP2017204697A publication Critical patent/JP2017204697A/ja
Application granted granted Critical
Publication of JP6616733B2 publication Critical patent/JP6616733B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】不正通信をより確実に遮断することが可能なネットワークシステムおよびサーバ装置を提供する。【解決手段】ログ管理サーバ15は、認証サーバ17または認証スイッチSWからの認証許可ログと、DHCPサーバ16からのDHCPログとを受信した場合に、情報端末TM10のMACアドレスMA10を共通パラメータとして、認証許可の対象となるアカウントID(MA’10)とIPアドレスIPA10との対応関係を端末管理DB20に登録する。また、ログ管理サーバ15は、不正通信検知装置12からの不正通信検知ログLG3を受信した場合に、それに含まれる送信元のIPアドレスIPA10に対応するアカウントID(MA’10)を認証拒否に定めるための認証拒否命令C2を認証サーバ17へ送信する。【選択図】図3

Description

本発明は、ネットワークシステムおよびサーバ装置に関し、例えば、認証機能を備えたネットワークシステムおよびログ監視機能を備えたサーバ装置に関する。
例えば、特許文献1には、有線通信と無線通信の両方において不正な通信を遮断できるネットワークが示される。具体的には、セキュリティ監視装置は、PC装置が不正通信を行っている場合にそのIPアドレスを通信ログに記録し、通信管理装置は、通信ログから抽出されたIPアドレスに対応するPC装置のMACアドレスを特定する。有線スイッチおよび無線コントローラは、特定されたMACアドレスを持つPC装置からの接続を拒否する。
特開2009−253461号公報
近年、イントラネット網等の内部ネットワークでは、例えば、情報端末からの不正通信を検知するための不正通信検知装置が設けられる。不正通信検知装置として、代表的には、IPS(Intrusion Prevention System)装置やIDS(Intrusion Detection System)装置等が挙げられる。このような不正通信検知装置は、通常、ゲートウェイ型として、内部ネットワークとインターネット網との境界付近に配置され、例えば、内部ネットワークの情報端末からインターネット網に向かう不正通信を遮断する。しかし、この場合、当該情報端末による内部ネットワークでの通信は、遮断対象とされない場合がある。
そこで、例えば、特許文献1のように、当該情報端末からの通信を、当該情報端末に接続される有線スイッチ等で拒否することが考えられる。しかし、この場合、例えば、当該情報端末が、接続対象の有線スイッチ等を変更しながら不正通信を試みた場合や、あるいは、悪意のあるユーザが利用する情報端末を変更しながら不正通信を試みたような場合に、当該不正通信を遮断することが困難となる恐れがある。
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、不正通信をより確実に遮断することが可能なネットワークシステムおよびサーバ装置を提供することにある。
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。
本実施の形態によるネットワークシステムは、ログ管理サーバと、認証サーバと、認証クライアントと、DHCPサーバと、不正通信検知装置とを有する。ログ管理サーバは、端末管理データベースを備える。認証サーバは、アカウント識別子毎の認証許可/拒否を定める認証データベースに基づき認証を行う。認証クライアントは、所定の情報端末からの認証要求に応じて、当該認証要求に伴うアカウント識別子を含む認証判定要求を認証サーバへ送信し、認証サーバから認証許可/拒否の判定結果を受信する。DHCPサーバは、所定の情報端末からのIPアドレスの割り当て要求に応じてIPアドレスを割り当て、所定の情報端末のIPアドレスおよびMACアドレスを含むDHCPログをログ管理サーバへ送信する。不正通信検知装置は、インターネット網に向けた通信を監視し、不正通信を検知した場合に当該通信の送信元のIPアドレスを含む不正通信検知ログをログ管理サーバへ送信する。ここで、認証サーバおよび認証クライアントの少なくとも一方は、認証許可の場合に、当該認証許可の対象となるアカウント識別子および所定の情報端末のMACアドレスを含む認証許可ログをログ管理サーバへ送信する。ログ管理サーバは、認証許可ログおよびDHCPログを受信した場合に、所定の情報端末のMACアドレスを共通パラメータとして、認証許可の対象となるアカウント識別子と所定の情報端末のIPアドレスとの対応関係を端末管理データベースに登録する。また、ログ管理サーバは、不正通信検知ログを受信した場合に、それに含まれる送信元のIPアドレスに対応するアカウント識別子を認証拒否に定めるための認証拒否命令を認証サーバへ送信する。
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ネットワークシステムおよびサーバ装置において、不正通信をより確実に遮断することが可能になる。
本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。 図1のネットワークシステムが認証動作およびDHCP動作を行う際の主要な処理内容の一例を示すシーケンス図である。 図1のネットワークシステムにおける端末管理DBの保持内容の一例および不正通信遮断動作の一例を示す概略図である。 図1のネットワークシステムが不正通信遮断動作を行う際の主要な処理内容の一例を示すシーケンス図である。 図1のネットワークシステムにおけるログ管理サーバの主要部の構成例を示す概略図である。 (a)および(b)は、図5のログ管理サーバにおける端末管理DB登録部の処理内容の一例を示すフロー図である。 図5のログ管理サーバによって実行される不正通信遮断処理の処理内容の一例を示すフロー図である。 本発明の実施の形態2によるネットワークシステムにおいて、主要部の構成例を示す概略図である。
以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。
さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
《ネットワークシステムの構成》
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。図1に示すネットワークシステムは、イントラネット網等の内部ネットワーク10と、内部ネットワーク10に接続される認証スイッチSW、無線LANコントローラWLC、不正通信検知装置12、ログ管理サーバ15、DHCP(Dynamic Host Configuration Protocol)サーバ16、および認証サーバ17等を備える。
内部ネットワーク10は、例えば、OSI参照モデルのレイヤ3(L3)のネットワークであり、ルータやL3スイッチ等を含む。ログ管理サーバ(サーバ装置)15は、CPU(Central Processing Unit)によるプログラム処理に基づき各種機能を実現するコンピュータシステムで構成され、その機能の一つとして内部ネットワーク10上のログを収集する。ログは、例えば、syslogや、SNMP(Simple Network Management Protocol) Trap等で通知されるログである。ログ管理サーバ15は、HDD(Hard Disk Drive)等の記憶部19に保持される端末管理データベース(以降、データベースはDBと略す)20を有する。
認証サーバ17は、例えば、コンピュータシステムで構成されるRADIUSサーバ等であり、記憶部23に保持される認証DB24を有する。認証DB24は、例えば、アカウント識別子(以降、識別子はIDと略す)およびパスワード(PW)の組合せからなるアカウントと、アカウント毎の認証許可/拒否の情報とを保持する。ここでは、初期状態として、アカウントID“MA’10”と“MA’20”とが共に認証許可であることが予め管理者等によって登録されている。
認証サーバ17は、認証クライアントからアカウントを含む認証判定要求を受け、認証DB24に基づき当該アカウントの認証許可/拒否を判定する。認証DB24は、ここでは、認証サーバ17内に設けられるが、アクティブディレクトリサーバやLDAP(Lightweight Directory Access Protocol)サーバといった外部のサーバに設けられてもよい。この場合、認証サーバ17は、当該外部のサーバと連携しながら認証許可/拒否の判定を行う。
認証スイッチSWおよび無線LANコントローラWLCは、認証サーバ17に対する認証クライアント(例えば、RADIUSクライアント)である。認証スイッチSWは、例えば、OSI参照モデルのレイヤ2(L2)の中継処理を行うL2スイッチであり、ポートP1,…を備える。ここでは、ポートP1には、ユーザ13aによって利用される情報端末TM10が有線で接続される。無線LANコントローラWLCは、無線通信のアクセスポイントの機能とL2スイッチの機能とを備える。ここでは、無線LANコントローラWLCには、ユーザ13bによって利用される情報端末TM20が無線で接続される。
DHCPサーバ16は、コンピュータシステムで構成され、記憶部21に保持されるIP管理DB22を有する。DHCPサーバ16は、所定の情報端末からのIP(Internet Protocol)アドレスの割り当て要求に応じてIPアドレスを割り当て、当該IPアドレスと当該情報端末のMAC(Media Access Control)アドレスとの対応関係をIP管理DB22に登録する。不正通信検知装置12は、例えば、IPS装置やIDS装置等であり、インターネット網11に向けた通信を監視する。
《ネットワークシステムの認証動作およびDHCP動作》
図2は、図1のネットワークシステムが認証動作およびDHCP動作を行う際の主要な処理内容の一例を示すシーケンス図である。図2において、まず、情報端末TMは、認証クライアント(SW/WLC)に向けてアカウントIDを伴う認証要求を行う(ステップS101)。ここでは、情報端末TM10が認証スイッチSWに向けて認証要求を行う場合を想定する。また、必ずしも限定はされないが、認証スイッチSWは、認証要求に応じて始めにMACアドレス認証を行い、MACアドレス認証が拒否された場合にはWeb認証を行うものとする。
まず、ステップS101においてMACアドレス認証が行われる場合について説明する。認証スイッチSWは、MACアドレス認証に際し、例えば、情報端末TM10から受信したフレームの送信元MACアドレス(図1のMACアドレスMA10)をアカウントIDとみなし、当該アカウントID(MA’10とする)を含む認証判定要求を認証サーバ17へ送信する(ステップS102)。この際に、認証スイッチSWは、宛先となる認証サーバ17のIPアドレスを予め保持している。
認証サーバ17は、アカウントID“MA’10”を含む認証判定要求を受信した場合、認証DB24に基づいて当該アカウントIDの認証許可/許否を判定する。ここでは、認証サーバ17は、図1の認証DB24の保持内容に基づき、当該アカウントIDを認証許可と判定する(ステップS103)。なお、MACアドレス認証の場合のパスワード(ここではpp10)は、例えば、MACアドレス認証用の所定の固定値や、またはアカウントIDと同じ値等に定められる。
認証サーバ17は、認証許可の判定を行った場合、認証許可の通知と、アカウントIDと、情報端末TM10のMACアドレスMA10とを含む判定結果を認証スイッチSWへ送信する(ステップS104)。これに応じて、認証スイッチSWは、許可対象の情報端末TM10に各種通信権限を付与する(ステップS105)。代表的には、ポートP1を用いて通信を行うこと自体の権限を付与する方法や、あるいは、内部ネットワーク10に接続する権限を付与する方法等が挙げられる。
また、認証サーバ17は、ステップS103において認証許可の判定を行った場合、その許可対象となるアカウントID(ここでは“MA’10”)と、情報端末TM10のMACアドレスMA10とを含む認証許可ログLG1bをログ管理サーバ15へ送信する(ステップS106)。さらに、認証スイッチSWも、ステップS104において認証許可の通知を受信した場合、その許可対象となるアカウントID(ここでは“MA’10”)と、情報端末TM10のMACアドレスMA10と、自身のIPアドレスIPA1とを含む認証許可ログLG1aをログ管理サーバ15へ送信する(ステップS107)。この際に、認証サーバ17および認証スイッチSWは、共にログの宛先となるログ管理サーバ15のIPアドレスを予め保持している。
次に、ステップS101において、MACアドレス認証が拒否された場合を仮定して、Web認証が行われる場合について説明する。認証スイッチSWは、Web認証に際し、例えば、情報端末TM10に対してアカウント(アカウントIDおよびパスワード(PW))を入力するためのWeb画面を提供する。ユーザ13aが、情報端末TM10上の当該Web画面にアカウントを入力すると、認証スイッチSWは、当該アカウントを含む認証判定要求を認証サーバ17へ送信する(ステップS102)。
以降は、MACアドレス認証の場合と同様にしてステップS103〜S107の処理が行われる。ただし、Web認証の場合、認証サーバ17は、情報端末TM10のMACアドレスMA10を入手できない場合がある。この場合、ステップS104における判定結果やステップS106における認証許可ログLG1bには、MACアドレスMA10が含まれないことがある。
ステップS108において、情報端末TM10は、自身のMACアドレスMA10を含むIPアドレスの割り当て要求(DHCPディスカバリ等)をDHCPサーバ16へ送信する。この際に、認証スイッチSWは、ステップS105の処理に伴い、当該割り当て要求の内部ネットワーク10への中継を許可し、内部ネットワーク10は、DHCPリレーエージェント機能等を用いて当該割り当て要求をDHCPサーバ16へ中継する。
DHCPサーバ16は、当該割り当て要求を受信し、これに応じて情報端末TM10に所定のIPアドレスを割り当てる(ステップS109)。図1の例では、DHCPサーバ16は、情報端末TM10にIPアドレスIPA10を割り当て、当該情報端末TM10のMACアドレスMA10とIPアドレスIPA10の対応関係をIP管理DB22に登録する。DHCPサーバ16は、当該割り当てたIPアドレスIPA10を情報端末TM10へ通知する(ステップS110)。また、DHCPサーバ16は、IPアドレスを割り当てた場合に、情報端末TM10のIPアドレスIPA10およびMACアドレスMA10を含むDHCPログLG2をログ管理サーバ15へ送信する(ステップS111)。この際に、DHCPサーバ16は、ログの宛先となるログ管理サーバ15のIPアドレスを予め保持している。
ここでは、情報端末TM10が認証スイッチ(認証クライアント)SWを介して認証動作およびDHCP動作を行う場合の動作例を説明したが、情報端末TM20が無線LANコントローラ(認証クライアント)WLCを介して認証動作およびDHCP動作を行う場合も同様である。情報端末TM20は、ユーザ13bによって利用され、MACアドレスMA20を備え、DHCP動作によってIPアドレスIPA20が割り当てられる。また、無線LANコントローラWLCは、ステップS107の処理に際し、自身のIPアドレスIPA2を送信する。
《ネットワークシステムの不正通信遮断動作》
図3は、図1のネットワークシステムにおける端末管理DBの保持内容の一例および不正通信遮断動作の一例を示す概略図である。ログ管理サーバ15は、図1および図2に示したように、ステップS106,S107に伴う認証許可ログLG1a,LG1bと、ステップS111に伴うDHCPログLG2とを受信する。認証許可ログLG1a,LG1bは、認証許可の対象となるアカウントIDおよび所定の情報端末TMのMACアドレスを含み、認証クライアント(SW/WLC)および認証サーバ17の少なくとも一方によって送信される。DHCPログLG2は、所定の情報端末TMのMACアドレスおよびIPアドレスを含み、DHCPサーバ16によって送信される。
したがって、ログ管理サーバ15は、これらのログを受信した場合に、所定の情報端末(例えばTM10)のMACアドレス(MA10)を共通パラメータとして、認証許可の対象となるアカウントID(MA’10)と所定の情報端末(TM10)のIPアドレス(IPA10)との対応関係を認識することができる。そこで、ログ管理サーバ15は、当該対応関係を端末管理DB20に登録する(第1の処理)。
より詳細には、端末管理DB20は、情報端末TMのIPアドレスおよびMACアドレスと、当該情報端末TMの利用者のアカウントID(MACアドレス認証の場合にはMACアドレス)とに加えて、認証クライアント(SW/WLC)のIPアドレスと、認証クライアントのログインIDおよびパスワード(PW)との対応関係を保持する。認証クライアント(SW/WLC)のIPアドレスは、図2のステップS107における認証許可ログLG1aに含まれる。認証クライアント(SW/WLC)のログインIDおよびパスワード(PW)は、詳細は後述するが、認証クライアントの設定情報等を変更する際の権限を得るためのものであり、予め管理者等によって設定される。
図3の例では、端末管理DB20は、情報端末TM10のIPアドレスIPA10およびMACアドレスMA10と、アカウントID“MA’10”と、認証スイッチSWのIPアドレスIPA1と、認証スイッチSWのログインID“xx1”およびパスワード(PW)“pp1”との対応関係を保持する。同様に、端末管理DB20は、情報端末TM20のIPアドレスIPA20およびMACアドレスMA20と、アカウントID“MA’20”と、無線LANコントローラWLCのIPアドレスIPA2と、無線LANコントローラWLCのログインID“xx2”およびパスワード(PW)“pp2”との対応関係を保持する。
図4は、図1のネットワークシステムが不正通信遮断動作を行う際の主要な処理内容の一例を示すシーケンス図である。ここでは、図3に示すように、情報端末TM10が、インターネット網11側の装置を宛先とするユーザフレームUFを送信し、不正通信検知装置12が、当該ユーザフレームUFに対して不正通信を検知した場合を想定する。図4において、不正通信検知装置12は、インターネット網10に向けた通信を監視し、その中で情報端末TM10の不正通信を検知する(ステップS201)。この場合、不正通信検知装置12は、当該不正通信の送信元のIPアドレスIPA10を含む不正通信検知ログLG3をログ管理サーバ15へ送信する(ステップS202)。この際に、不正通信検知装置12は、ログの宛先となるログ管理サーバ15のIPアドレスを予め保持している。
ログ管理サーバ15は、不正通信検知ログLG3を受信した場合、端末管理DB20に基づき当該ログに含まれる送信元のIPアドレスIPA10に対応する情報端末TM10のMACアドレスMA10を取得し、当該MACアドレスMA10を含む通信遮断命令C1を認証スイッチ(認証クライアント)SWへ送信する(ステップS204、第3の処理)。より詳細には、当該通信遮断命令C1には、端末管理DB20に基づき、MACアドレスMA10に加えて、認証スイッチSWのログインID“xx1”およびパスワード(PW)“pp1”も含まれている。また、当該通信遮断命令C1の宛先のIPアドレスは、端末管理DB20に基づき、認証スイッチSWのIPアドレスIPA1に定められる。
認証スイッチ(認証クライアント)SWは、通信遮断命令C1を受信した場合に、それに含まれるMACアドレスMA10を送信元MACアドレスとする通信(例えば中継等)を遮断する(ステップS205)。具体的には、認証スイッチSWは、例えば、通信拒否リスト等にMACアドレスMA10を登録し、送信元MACアドレスMA10のフレームを受信した場合には、当該リストに基づき当該フレームを破棄する。本実施の形態1では、このような通信拒否リストの登録を行うためにログインID“xx1”およびパスワード(PW)“pp1”が必要とされるが、認証スイッチSWの仕様によってはログインIDおよびパスワード(PW)は不要である。
さらに、ログ管理サーバ15は、不正通信検知ログLG3を受信した場合、当該ログに含まれる送信元のIPアドレスIPA10に対応するアカウントIDを認証拒否に定めるための認証拒否命令C2を認証サーバ17へ送信する(ステップS206、第2の処理)。具体的には、ログ管理サーバ15は、端末管理DB20に基づき不正通信検知ログLG3に含まれる送信元のIPアドレスIPA10に対応するアカウントID“MA’10”を取得し、当該アカウントIDを含む認証拒否命令C2を認証サーバ17へ送信する。この際に、ログ管理サーバ15は、宛先となる認証サーバ17のIPアドレスを予め保持するか、あるいは、図2のステップS106の認証許可ログLG1b(例えば、その送信元IPアドレス)から取得する。
認証サーバ17は、認証拒否命令C2を受信した場合に、それに含まれるアカウントID“MA’10”を認証拒否に定める(ステップS207)。例えば、認証サーバ17は、図1に示した認証DB24において、アカウントID“MA’10”の認証許可/拒否を認証拒否に変更する。
以降、情報端末TM10は、認証スイッチSWによって通信が遮断されたため(ステップS205)、図2のステップS101,S102の場合と同様にして、再び認証要求を行う場合がある(ステップS208,S209)。しかし、認証サーバ17は、アカウントID“MA’10”を認証拒否に定めたため(ステップS207)、認証の判定結果として認証拒否の通知を認証スイッチSWへ送信する(ステップS210,S211)。これに応じて、認証スイッチSWも、拒否対象の情報端末TM10に各種通信権限を付与しない(ステップS212)。代表的には、ポートP1を用いて通信を行うこと自体の権限を付与しない方法や、あるいは、内部ネットワーク10に接続する権限を付与しない方法等が挙げられる。
《ネットワークシステムの主要な効果》
以上、図1のネットワークシステムを用いて図2および図4に示したような動作を行うことで、代表的には、不正通信をより確実に遮断することが可能になる。具体的に説明すると、例えば、図4のステップS205のように、認証スイッチSW等で所定のMACアドレス(例えばMA10)からの通信を遮断することでも不正通信を遮断することが可能である。しかし、例えば、情報端末(例えばTM10)が、別の認証スイッチや、または無線LANコントローラWLCに再接続された場合、内部ネットワーク10で再び不正通信が行われる恐れがある。
あるいは、悪意のあるユーザ13aが、Web認証で認証サーバ17にログインしたのち、図4のステップS205の処理が行われる度に利用する情報端末TMを変更しながら再接続を試みることで、内部ネットワーク10で再び不正通信が行われる恐れがある。そこで、本実施の形態1では、ログ管理サーバ15は、図4のステップS205の処理に加えて、ステップS206において認証拒否命令C2を発行する。これにより、不正通信を行う情報端末TMのアカウントIDや、悪意のあるユーザのアカウントID自体を認証拒否に設定することができるため、前述したような再接続に伴う不正通信を防止でき、不正通信をより確実に遮断することが可能になる。
《ログ管理サーバ(サーバ装置)の構成および動作》
図5は、図1のネットワークシステムにおけるログ管理サーバの主要部の構成例を示す概略図である。図5に示すログ管理サーバ(サーバ装置)15は、全体制御部30と、記憶部19と、ユーザインタフェース31とを備える。記憶部19は、HDD等で構成され、全体制御部30は、CPUによるプログラム処理等によって構成される。記憶部19は、前述した端末管理DB20に加えて、ログDB38と、認証サーバ17のIPアドレス39とを保持する。
全体制御部30は、DB管理部32と、イベント処理部33とを備える。DB管理部32は、外部からのログを受信し、当該ログをログDB38に登録する。ログは、前述したように、syslogや、SNMP Trap等で通知される様々なログであり、図2に示した認証許可ログLG1a,LG1bやDHCPログLG2や、図4に示した不正通信検知ログLG3を含む。DB管理部32は、イベント検出部35と端末管理DB登録部36とを備える。
イベント検出部35は、受信したログから各種イベントを検出し、当該検出したイベントをイベント処理部33へ通知する。イベント処理部33は、通知されたイベントに応じて各種処理を行う。当該処理の中には、図4に示した通信遮断命令C1の発行や、認証拒否命令C2の発行が含まれる。端末管理DB登録部36は、受信したログに基づき、所定の情報を端末管理DB20に登録する。
ユーザインタフェース31は、例えば、キーボードやディスプレイ等で構成され、管理者29から命令を受け付け、また、管理者29に対して各種情報を出力する。例えば、管理者29は、ユーザインタフェース31を介して認証サーバ17のIPアドレス39を記憶部19に登録する。あるいは、管理者29は、ユーザインタフェース31およびDB管理部32を介してログDB38が保持する各種情報を検索し、必要な情報を取得する。
図6(a)および図6(b)は、図5のログ管理サーバにおける端末管理DB登録部の処理内容の一例を示すフロー図である。図6(a)において、端末管理DB登録部36は、認証許可ログLG1a,LG1bを受信し(ステップS301)、ステップS302の処理を行う。ステップS302において、端末管理DB登録部36は、認証許可ログLG1a,LG1bに含まれる認証クライアント(SW/WLC)のIPアドレスと、アカウントIDと、情報端末TMのMACアドレスとの対応関係を端末管理DB20に登録する(ステップS302)。
次いで、端末管理DB登録部36は、端末管理DB20に、認証クライアント(SW/WLC)のIPアドレスが登録済みで、認証クライアントのログインIDおよびパスワード(PW)が未登録のエントリが有るか否かを判定する(ステップS303)。対象のエントリがある場合、端末管理DB登録部36は、当該エントリに、予め管理者29によって設定されたログインIDおよびパスワード(PW)を登録する(ステップS304)。
一方、図6(b)において、端末管理DB登録部36は、DHCPログLG2を受信し(ステップS401)、ステップS402の処理を行う。ステップS402において、端末管理DB登録部36は、DHCPログに含まれる情報端末TMのMACアドレスが端末管理DB20のエントリに登録済みか否かを判定する(ステップS402)。登録済みの場合、端末管理DB登録部36は、対象のエントリに、DHCPログに含まれる情報端末TMのIPアドレスを登録する(ステップS403)。なお、端末管理DB登録部36は、ステップS303で未登録のエントリが無い場合や、ステップS402で所定のMACアドレスがエントリに未登録の場合には処理を終了する。
図7は、図5のログ管理サーバによって実行される不正通信遮断処理の処理内容の一例を示すフロー図である。図7において、ログ管理サーバ15のイベント検出部35は、不正通信検知ログLG3を受信し、その旨をイベント処理部33へ通知する(ステップS501)。イベント処理部33は、当該通知に応じて、不正通信検知ログLG3に含まれる情報端末TMのIPアドレスをキーとして端末管理DB20を検索する(ステップS502)。
検索結果がヒットした場合(ステップS503)、イベント処理部33は、ヒットしたエントリに基づき、認証クライアント(SW/WLC)のログインIDおよびパスワード(PW)と、情報端末TMのMACアドレスとを含む通信遮断命令C1を、認証クライアントのIPアドレスを宛先として送信する(ステップS504)。さらに、イベント処理部33は、ヒットしたエントリに基づき、アカウントIDを含む認証拒否命令C2を、認証サーバ17のIPアドレス39を宛先として送信する(ステップS505)。なお、ログ管理サーバ15は、ステップS503でミスヒットの場合には処理を終了する。
以上、本実施の形態1のネットワークシステムおよびサーバ装置を用いることで、代表的には、不正通信をより確実に遮断することが可能になる。
(実施の形態2)
《ネットワークシステム(変形例)の構成》
図8は、本発明の実施の形態2によるネットワークシステムにおいて、主要部の構成例を示す概略図である。図8に示すネットワークシステムは、図1の構成例と比較して、DHCPサーバ16および認証サーバ17が、1台の認証/DHCPサーバ45に置き換わっている点が異なっている。認証/DHCPサーバ45は、図1のDHCPサーバ16と同様の処理を行うDHCP処理部46と、図1の認証サーバ17と同様の処理を行う認証処理部47と、記憶部48とを備える。
記憶部48には、認証/IP管理DB49を保持する。認証/IP管理DB49は、認証処理部47がMACアドレス認証を行う場合には、当該MACアドレスを共通パラメータとして図1の認証DB24とIP管理DB22とを統合したような構成を備えることができる。すなわち、認証/IP管理DB49は、アカウント(アカウントIDおよびパスワード(PW))と、情報端末TMのIPアドレスおよびMACアドレスと、認証許可/許否の情報との対応関係を保持することができる。
このような構成の場合、ログ管理サーバ15が図4のステップS206で認証拒否命令C2を送信する際、当該認証拒否命令C2が含むパラメータは、必ずしもアカウントIDである必要はなく、情報端末TMのIPアドレスや、またはMACアドレスであってもよい。認証/DHCPサーバ45は、認証/IP管理DB49に基づき、当該IPアドレスやMACアドレスに対応するアカウントIDを認証拒否に定めることができる。
以上、本実施の形態2のネットワークシステムおよびサーバ装置を用いることでも、実施の形態1の場合と同様の効果が得られる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
例えば、ここでは、認証サーバ17の認証方法として、MACアドレス認証やWeb認証を用いたが、IEEE802.1X認証等を用いる場合であっても同様に適用することが可能である。また、図4および図7に示した通信遮断命令C1と認証拒否命令C2の実行順序(図4のステップS204とS206、および図7のステップS504とS505)を入れ替えることも可能である。
10 内部ネットワーク
11 インターネット網
12 不正通信検知装置
13a,13b ユーザ
14 管理テーブル参照部
15 ログ管理サーバ
16 DHCPサーバ
17 認証サーバ
19,21,23,48 記憶部
20 端末管理DB
22 IP管理DB
24 認証DB
29 管理者
30 全体制御部
31 ユーザインタフェース
32 DB管理部
33 イベント処理部
35 イベント検出部
36 端末管理DB登録部
38 ログDB
45 認証/DHCPサーバ
46 DHCP処理部
47 認証処理部
49 認証/IP管理DB
C1 通信遮断命令
C2 認証拒否命令
LG1a,LG1b 認証許可ログ
LG2 DHCPログ
LG3 不正通信検知ログ
SW 認証スイッチ
TM,TM10,TM20 情報端末
UF ユーザフレーム
WLC 無線LANコントローラ

Claims (6)

  1. 端末管理データベースを備えるログ管理サーバと、
    アカウント識別子毎の認証許可/拒否を定める認証データベースに基づき認証を行う認証サーバと、
    所定の情報端末からの認証要求に応じて、当該認証要求に伴うアカウント識別子を含む認証判定要求を前記認証サーバへ送信し、前記認証サーバから前記認証許可/拒否の判定結果を受信する認証クライアントと、
    所定の情報端末からのIPアドレスの割り当て要求に応じてIPアドレスを割り当て、当該IPアドレスを割り当てた場合に、前記所定の情報端末のIPアドレスおよびMACアドレスを含むDHCPログを前記ログ管理サーバへ送信するDHCP(Dynamic Host Configuration Protocol)サーバと、
    インターネット網に向けた通信を監視し、不正通信を検知した場合に当該通信の送信元のIPアドレスを含む不正通信検知ログを前記ログ管理サーバへ送信する不正通信検知装置と、
    を有するネットワークシステムであって、
    前記認証サーバおよび前記認証クライアントの少なくとも一方は、前記認証許可の場合に、当該認証許可の対象となるアカウント識別子および前記所定の情報端末のMACアドレスを含む認証許可ログを前記ログ管理サーバへ送信し、
    前記ログ管理サーバは、
    前記認証許可ログおよび前記DHCPログを受信した場合に、前記所定の情報端末のMACアドレスを共通パラメータとして、前記認証許可の対象となるアカウント識別子と前記所定の情報端末のIPアドレスとの対応関係を前記端末管理データベースに登録する第1の処理と、
    前記不正通信検知ログを受信した場合に、当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を前記認証拒否に定めるための認証拒否命令を前記認証サーバへ送信する第2の処理と、
    を実行する、
    ネットワークシステム。
  2. 請求項1記載のネットワークシステムにおいて、
    前記ログ管理サーバは、前記第2の処理に際し、前記端末管理データベースに基づき前記不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を取得し、前記アカウント識別子を含む前記認証拒否命令を前記認証サーバへ送信する、
    ネットワークシステム。
  3. 請求項1または2記載のネットワークシステムにおいて、
    前記ログ管理サーバは、さらに、前記不正通信検知ログを受信した場合に、前記端末管理データベースに基づき当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応する前記所定の情報端末のMACアドレスを取得し、当該MACアドレスを含む通信遮断命令を前記認証クライアントへ送信する第3の処理を実行し、
    前記認証クライアントは、前記通信遮断命令を受信した場合に、当該通信遮断命令に含まれるMACアドレスを送信元とする通信を遮断する、
    ネットワークシステム。
  4. 認証サーバ、認証クライアント、DHCP(Dynamic Host Configuration Protocol)サーバおよび不正通信検知装置が接続される内部ネットワーク上のログを収集し、端末管理データベースを有するサーバ装置であって、
    前記認証サーバは、アカウント識別子毎の認証許可/拒否を定める認証データベースに基づき認証を行い、
    前記認証クライアントは、所定の情報端末からの認証要求に応じて、当該認証要求に伴うアカウント識別子を含む認証判定要求を前記認証サーバへ送信し、前記認証サーバから前記認証許可/拒否の判定結果を受信し、
    前記DHCPサーバは、所定の情報端末からのIPアドレスの割り当て要求に応じてIPアドレスを割り当て、当該IPアドレスを割り当てた場合に、前記所定の情報端末のIPアドレスおよびMACアドレスを含むDHCPログを前記サーバ装置へ送信し、
    前記不正通信検知装置は、インターネット網に向けた通信を監視し、不正通信を検知した場合に当該通信の送信元のIPアドレスを含む不正通信検知ログを前記サーバ装置へ送信し、
    前記認証サーバおよび前記認証クライアントの少なくとも一方は、前記認証許可の場合に、当該認証許可の対象となるアカウント識別子および前記所定の情報端末のMACアドレスを含む認証許可ログを前記サーバ装置へ送信し、
    前記サーバ装置は、
    前記認証許可ログおよび前記DHCPログを受信した場合に、前記所定の情報端末のMACアドレスを共通パラメータとして、前記認証許可の対象となるアカウント識別子と前記所定の情報端末のIPアドレスとの対応関係を前記端末管理データベースに登録する第1の処理と、
    前記不正通信検知ログを受信した場合に、当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を前記認証拒否に定めるための認証拒否命令を前記認証サーバへ送信する第2の処理と、
    を実行する、
    サーバ装置。
  5. 請求項4記載のサーバ装置において、
    前記サーバ装置は、前記第2の処理に際し、前記端末管理データベースに基づき前記不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を取得し、前記アカウント識別子を含む前記認証拒否命令を前記認証サーバへ送信する、
    サーバ装置。
  6. 請求項4または5記載のサーバ装置において、
    前記サーバ装置は、さらに、前記不正通信検知ログを受信した場合に、前記端末管理データベースに基づき当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応する前記所定の情報端末のMACアドレスを取得し、当該MACアドレスを含む通信遮断命令を前記認証クライアントへ送信する第3の処理を実行する、
    サーバ装置。
JP2016094585A 2016-05-10 2016-05-10 ネットワークシステムおよびサーバ装置 Active JP6616733B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016094585A JP6616733B2 (ja) 2016-05-10 2016-05-10 ネットワークシステムおよびサーバ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016094585A JP6616733B2 (ja) 2016-05-10 2016-05-10 ネットワークシステムおよびサーバ装置

Publications (2)

Publication Number Publication Date
JP2017204697A true JP2017204697A (ja) 2017-11-16
JP6616733B2 JP6616733B2 (ja) 2019-12-04

Family

ID=60323320

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016094585A Active JP6616733B2 (ja) 2016-05-10 2016-05-10 ネットワークシステムおよびサーバ装置

Country Status (1)

Country Link
JP (1) JP6616733B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019161377A (ja) * 2018-03-12 2019-09-19 アラクサラネットワークス株式会社 ネットワークシステム、通信遮断方法、及びネットワークコントローラ
JP2020077912A (ja) * 2018-11-05 2020-05-21 富士通株式会社 ネットワーク制御装置、及び、ネットワーク制御方法
JP2021165977A (ja) * 2020-04-08 2021-10-14 エイチ・シー・ネットワークス株式会社 サーバ装置およびネットワークシステム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2680204C2 (ru) 2014-01-03 2019-02-18 Юнивёрсити-Индастри Кооперейшен Груп Оф Кён Хи Юнивёрсити Способ и устройство для определения информации движения между позициями по времени в подблоке предсказания

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009033557A (ja) * 2007-07-27 2009-02-12 Fujitsu Telecom Networks Ltd ネットワークアクセスシステムおよびネットワークアクセス方法
JP2014140127A (ja) * 2013-01-21 2014-07-31 Alaxala Networks Corp 管理装置、及び管理方法
JP2015035724A (ja) * 2013-08-09 2015-02-19 株式会社日立製作所 ネットワーク制御装置
JP2016005138A (ja) * 2014-06-17 2016-01-12 株式会社エヌ・ティ・ティ・データ 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009033557A (ja) * 2007-07-27 2009-02-12 Fujitsu Telecom Networks Ltd ネットワークアクセスシステムおよびネットワークアクセス方法
JP2014140127A (ja) * 2013-01-21 2014-07-31 Alaxala Networks Corp 管理装置、及び管理方法
JP2015035724A (ja) * 2013-08-09 2015-02-19 株式会社日立製作所 ネットワーク制御装置
JP2016005138A (ja) * 2014-06-17 2016-01-12 株式会社エヌ・ティ・ティ・データ 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019161377A (ja) * 2018-03-12 2019-09-19 アラクサラネットワークス株式会社 ネットワークシステム、通信遮断方法、及びネットワークコントローラ
JP2020077912A (ja) * 2018-11-05 2020-05-21 富士通株式会社 ネットワーク制御装置、及び、ネットワーク制御方法
JP7081445B2 (ja) 2018-11-05 2022-06-07 富士通株式会社 ネットワーク制御装置、及び、ネットワーク制御方法
JP2021165977A (ja) * 2020-04-08 2021-10-14 エイチ・シー・ネットワークス株式会社 サーバ装置およびネットワークシステム
JP7221235B2 (ja) 2020-04-08 2023-02-13 エイチ・シー・ネットワークス株式会社 サーバ装置およびネットワークシステム

Also Published As

Publication number Publication date
JP6616733B2 (ja) 2019-12-04

Similar Documents

Publication Publication Date Title
US11102233B2 (en) Detection of vulnerable devices in wireless networks
US9723019B1 (en) Infected endpoint containment using aggregated security status information
US11589224B2 (en) Network access control
US10542029B2 (en) System and method for security and quality assessment of wireless access points
US7342906B1 (en) Distributed wireless network security system
US8230480B2 (en) Method and apparatus for network security based on device security status
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
JP6616733B2 (ja) ネットワークシステムおよびサーバ装置
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP6737610B2 (ja) 通信装置
US20220337603A1 (en) Autonomous pilicy enforcement point configuration for role based access control
US11632399B2 (en) Secure administration of a local communication network comprising at least one communicating object
JP6117050B2 (ja) ネットワーク制御装置
US8239930B2 (en) Method for controlling access to a network in a communication system
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
CN110875923A (zh) 增强型网络访问控制(eNAC)框架
JP3725893B2 (ja) ネットワークシステム
US20230344798A1 (en) Roaming dns firewall
KR100875669B1 (ko) 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템
KR100811831B1 (ko) 사설 네트워크의 인증장치 및 인증방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191108

R150 Certificate of patent or registration of utility model

Ref document number: 6616733

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250