JP2017208599A - Access restriction management device, access restriction management method, access restriction management program and information processing system - Google Patents
Access restriction management device, access restriction management method, access restriction management program and information processing system Download PDFInfo
- Publication number
- JP2017208599A JP2017208599A JP2016097806A JP2016097806A JP2017208599A JP 2017208599 A JP2017208599 A JP 2017208599A JP 2016097806 A JP2016097806 A JP 2016097806A JP 2016097806 A JP2016097806 A JP 2016097806A JP 2017208599 A JP2017208599 A JP 2017208599A
- Authority
- JP
- Japan
- Prior art keywords
- address
- source address
- management device
- change
- change management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、アクセス制限の管理技術に関する。 The present invention relates to an access restriction management technique.
インターネット上で発生する不正アクセスへの対策に関して、或る文献は以下のような技術を開示する。具体的には、ログデータの解析を行う管理サーバが、ログデータに含まれる送信元IP(Internet Protocol)アドレスを管理するプロバイダを特定し、特定したプロバイダが管理するIPアドレス貸出し情報から、送信元IPアドレスに係るクライアントを特定する。 As a countermeasure against unauthorized access that occurs on the Internet, a document discloses the following technique. Specifically, the management server that analyzes the log data specifies a provider that manages the source IP (Internet Protocol) address included in the log data, and the source is determined from the IP address lending information managed by the specified provider. The client related to the IP address is specified.
また、通信を許可されていない端末から加入者端末に対する攻撃への対策に関して、或る文献は以下のような技術を開示する。具体的には、プロバイダネットワーク上に追加されたセキュリティ管理装置が、加入者端末が使用中のIPアドレス、ホスト名および接続先のセキュリティ通信装置の対応関係を特定する。そして、セキュリティ管理装置は、加入者端末のセキュリティポリシに応じて、加入者端末が接続中のセキュリティ通信装置に対してファイアウォール設定を行う。 Further, as a countermeasure against an attack on a subscriber terminal from a terminal that is not permitted to communicate, a document discloses the following technique. Specifically, the security management device added on the provider network specifies the correspondence relationship between the IP address, the host name, and the connected security communication device being used by the subscriber terminal. Then, the security management device performs firewall setting for the security communication device to which the subscriber terminal is connected in accordance with the security policy of the subscriber terminal.
但し、これらの文献には、実際に攻撃に携わっていた攻撃者の端末(以下、攻撃者端末と呼ぶ)のアドレスが変更された場合への対処について開示は無い。 However, these documents do not disclose how to deal with a case where the address of an attacker's terminal (hereinafter referred to as an attacker terminal) actually engaged in an attack is changed.
本発明の目的は、1つの側面では、攻撃者端末のIPアドレスが変更された場合であっても攻撃者端末からのアクセスを制限するための技術を提供することである。 In one aspect, an object of the present invention is to provide a technique for restricting access from an attacker terminal even when the IP address of the attacker terminal is changed.
本発明に係るアクセス制限管理装置は、受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部と、各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、特定部により特定された第1の変更管理装置に、第1の送信元アドレスを送信する第2通信部と、パケットの送信元に対して割り当てられるアドレスが第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した第1の変更管理装置から、第2の送信元アドレスを受信し、受信した第2のアドレスをアクセス制御装置に送信する第3通信部とを有する。 An access restriction management device according to the present invention includes: a first communication unit that transmits a first transmission source address included in a received packet to an access control device that performs access restriction based on the transmission source address; From a plurality of change management devices that manage the change of the first change management device to the specifying unit that specifies the first change management device based on the first transmission source address, and the first change management device specified by the specifying unit, Second communication unit that transmits the source address of the first packet, and first change management that detects that the address assigned to the source of the packet has been changed from the first source address to the second source address A third communication unit that receives the second source address from the device and transmits the received second address to the access control device;
1つの側面では、攻撃者端末のIPアドレスが変更された場合であっても攻撃者端末からのアクセスを制限できるようになる。 In one aspect, access from the attacker terminal can be restricted even when the IP address of the attacker terminal is changed.
図1を用いて、攻撃者端末のIPアドレスが変更されるケースについて説明する。図1においては、元々のIPアドレスは「ad1」であったが、例えば攻撃者端末の接続が一旦切断された後に、ISP(Internet Service Provider)から割り当てられたIPアドレスは「ad2」に変更されている。変更前のアドレスを含む攻撃パケットが企業システムの公開サーバに対して送信された場合、最初はアクセス制御装置によるアクセス制限(例えば遮断)は行われない。但し、セキュリティ装置によって攻撃パケットが検知され、アクセス制御装置に対してアクセス制限の設定が行われた後は、攻撃パケットは公開サーバには到達しない。 A case where the IP address of the attacker terminal is changed will be described with reference to FIG. In FIG. 1, the original IP address was “ad1”. However, for example, after the attacker terminal is disconnected, the IP address assigned by ISP (Internet Service Provider) is changed to “ad2”. ing. When an attack packet including an address before change is transmitted to the public server of the enterprise system, access restriction (for example, blocking) by the access control device is not performed at first. However, after the attack packet is detected by the security device and the access restriction is set for the access control device, the attack packet does not reach the public server.
しかし、攻撃者端末のIPアドレスが変更されると、攻撃パケットに対してアクセス制御装置によるアクセス制限は行われないため、攻撃パケットは公開サーバまで到達する。そのため、攻撃者端末の操作者は意図的にIPアドレスを変更することで、アクセス制限を回避することができる。また、変更前のIPアドレス「ad1」はアクセス制御装置に登録されたままであるので、IPアドレス「ad1」を新たに割り当てられた、悪意を有さない第三者の端末が公開サーバにアクセスしようとすると、アクセスは制限される。 However, when the IP address of the attacker terminal is changed, the access control device does not restrict access to the attack packet, so the attack packet reaches the public server. Therefore, the operator of the attacker terminal can avoid the access restriction by intentionally changing the IP address. In addition, since the IP address “ad1” before the change remains registered in the access control apparatus, a non-malicious third-party terminal newly assigned with the IP address “ad1” tries to access the public server. Then, access is restricted.
そこで以下では、攻撃者端末のIPアドレスが変更された場合であっても攻撃者端末からのアクセスを適切に制限する方法について説明する。 Therefore, hereinafter, a method for appropriately restricting access from the attacker terminal even when the IP address of the attacker terminal is changed will be described.
図2に、本実施の形態のネットワーク構成を示す。ISPの情報処理システムであるISPシステム31乃至33は、インターネット9に接続される。加入者の端末は、ISPシステム31乃至33のいずれかから割り当てられたIPアドレスによってインターネット9に接続することができる。本実施の形態においては、サービス妨害攻撃(DoS(Denial of Service)攻撃とも呼ばれる)を行う攻撃者端末7のIPアドレスがISPシステム31から割り当てられ、攻撃者端末7は割り当てられたIPアドレスによってインターネット9に接続し、企業システム1に対する攻撃を行う。
FIG. 2 shows a network configuration of the present embodiment.
ISP特定システム5は、インターネット9に接続される。ISP特定システム5は、企業システム1から通知されたIPアドレスの割り当てを管理するISPシステムを特定する処理を行う。
The ISP specifying system 5 is connected to the Internet 9. The ISP specifying system 5 performs processing for specifying the ISP system that manages the IP address assignment notified from the
なお、図2においてはISPシステムの数が3であり、企業システムの数が1であるが、数に限定は無い。また、ISPシステム31乃至33に接続される加入者端末は攻撃者端末7以外にも存在するが、本実施の形態の主要な部分とは関係しないため省略する。
In FIG. 2, the number of ISP systems is 3, and the number of enterprise systems is 1, but the number is not limited. Further, subscriber terminals connected to the
図3に、企業システム1のシステム概要を示す。企業システム1は、変更制御装置10と、アクセス制御装置11と、セキュリティ装置12と、公開サーバ13とを含む。変更制御装置10、アクセス制御装置11、セキュリティ装置12および公開サーバ13は、LAN(Local Area Network)等によって接続される。
FIG. 3 shows a system overview of the
アクセス制御装置11は、セキュリティポリシに従って企業システム1の外部からのアクセスを制御する処理を実行する。セキュリティ装置12は、攻撃者端末7が送信した攻撃パケットを検出する。セキュリティ装置12によって検出された攻撃パケットは、企業システム1の管理者によって監視されており、変更制御装置10は企業システム1の管理者から攻撃者端末7の情報の入力を受け付ける。変更制御装置10は、攻撃者端末7の送信元IPアドレスをアクセス制御装置11に送信し、攻撃者端末7が送信したパケットをアクセス制御装置11に遮断させる。公開サーバ13は例えばウェブサーバであり、企業システム1の外部の端末等に対して公開されるデータ等を有する。
The
図4に、ISPシステム31のシステム概要を示す。ISPシステム31は、変更管理装置300と、DHCP(Dynamic Host Configuration Protocol)サーバ310と、加入者管理装置320とを含む。変更管理装置300、DHCPサーバ310および加入者管理装置320は、LAN等によって接続される。なお、ISPシステム31以外のISPシステムのシステム概要も、ISPシステム31のシステム概要と同じである。
FIG. 4 shows a system outline of the
DHCPサーバ310は、加入者の端末からの要求に応じてその加入者の端末(例えば、パーソナルコンピュータ或いはスマートフォンなど)にIPアドレスを割り当てる処理を実行する。加入者管理装置320は、加入者の端末に割り当てられたIPアドレスおよび加入者のID(Identifier)等、加入者に関する情報を管理する。変更管理装置300は、攻撃者端末7のIPアドレスを管理する処理を行う。
The
図5に、変更制御装置10の機能ブロック図を示す。変更制御装置10は、処理部100と、ISP特定部101と、変更処理部102と、攻撃テーブル格納部103と、ISPテーブル格納部104とを含む。処理部100は、登録処理部1001と、通知部1002と、削除処理部1003とを含む。
FIG. 5 shows a functional block diagram of the
登録処理部1001は、攻撃者端末7の情報を攻撃テーブル格納部103に登録する処理、攻撃者端末7にIPアドレスを割り当てたISPシステムの情報をISPテーブル格納部104に登録する処理、およびアクセス制御装置11に攻撃者端末7からのアクセスを制限させるための処理を行う。通知部1002は、攻撃者端末7の情報の登録が行われた場合に、変更管理装置300に対して通知を行う。削除処理部1003は、攻撃者端末7の情報を攻撃テーブル格納部103から削除する処理およびアクセス制御装置11に攻撃者端末7からのアクセスの制限を解除させるための処理を行う。ISP特定部101は、攻撃者端末7にIPアドレスを割り当てたISPシステムのIDおよびそのISPシステムのIPアドレス(本実施の形態においては、変更管理装置300のIPアドレスであるとする)を、ISP特定システム5から取得する。変更処理部102は、攻撃者端末7について登録された情報を変更する処理およびアクセス制御装置11に攻撃者端末7の情報を変更させるための処理を行う。
The
図6に、変更管理装置300の機能ブロック図を示す。変更管理装置300は、登録処理部3001と、削除処理部3002と、変更処理部3003と、攻撃元IPテーブル格納部3004とを含む。
FIG. 6 shows a functional block diagram of the
登録処理部3001は、攻撃者端末7の情報を攻撃元IPテーブル格納部3004に登録する処理を行う。削除処理部3002は、攻撃者端末7の情報を攻撃元IPテーブル格納部3004から削除する処理を行う。変更処理部3003は、攻撃元IPテーブル格納部3004に格納されている、攻撃者端末7の情報を変更する処理を行う。
The
図7に、攻撃テーブル格納部103に格納される攻撃テーブルの一例を示す。図7の例では、攻撃元IPアドレス(すなわち、攻撃者端末7から送信されたパケットの送信元IPアドレス)と、攻撃先IPアドレス(例えば公開サーバ13のIPアドレス)と、エントリが更新された時刻である更新時刻と、ISPシステムのIDとが格納される。
FIG. 7 shows an example of an attack table stored in the attack
図8に、ISPテーブル格納部104に格納されるISPテーブルの一例を示す。図8の例では、ISPシステムのIDと、そのISPシステムのIPアドレスとが格納される。
FIG. 8 shows an example of the ISP table stored in the ISP
図9に、アクセス制御装置11が管理するデータの一例を示す。図9の例では、アクセスが制限されるパケットの送信元IPアドレスのリストが管理される。なお、アクセス制御装置11は、アクセスを許可するパケットの送信元IPアドレスのリスト等をさらに管理している場合もある。
FIG. 9 shows an example of data managed by the
図10に、攻撃元IPテーブル格納部3004に格納される攻撃元IPテーブルの一例を示す。図10の例では、攻撃元IPアドレスと、加入者IDと、企業IPアドレス(本実施の形態においては、企業システム1における変更制御装置10のIPアドレス)とが格納される。
FIG. 10 shows an example of the attack source IP table stored in the attack source IP
図11に、加入者管理装置320が管理するデータの一例を示す。図11の例では、加入者IDと、加入者の端末に割り当てたIPアドレスとが格納される。
FIG. 11 shows an example of data managed by the
図12に、ISP特定システム5が管理するデータの一例を示す。図12の例では、ISPシステムが管理するアドレス範囲を示す情報と、そのISPシステムのIDと、そのISPシステムのIPアドレスとが格納される。本実施の形態の機構を導入していないISPシステムについては、エントリは登録されない。 FIG. 12 shows an example of data managed by the ISP identification system 5. In the example of FIG. 12, information indicating the address range managed by the ISP system, the ID of the ISP system, and the IP address of the ISP system are stored. An entry is not registered for an ISP system in which the mechanism of this embodiment is not introduced.
図13を用いて、本実施の形態の概要を説明する。本実施の形態においては、企業側には変更制御装置10が設けられ、ISP側には変更管理装置300が設けられ、これらの装置の通信によって攻撃者端末7の情報が企業側とISP側とで共有される。攻撃者端末7にIPアドレスを割り当てたISPシステム(ここでは、ISPシステム31)が企業システム1の変更制御装置10およびISP特定システム5によって特定されると、ISPシステム31に対して企業システム1から攻撃者端末7のIPアドレス等が通知される。攻撃者端末7のIPアドレスが変更された場合、ISPシステム31から企業システム1に対して変更後のIPアドレスが通知される。企業システム1における変更制御装置10は、変更後のIPアドレスを有する端末からのアクセスをアクセス制御装置11に制限させることで、IPアドレスの変更に追従して攻撃を遮断することが可能になる。
The outline of the present embodiment will be described with reference to FIG. In the present embodiment, the
次に、図14乃至図26を用いて、本実施の形態における装置の動作を説明する。 Next, the operation of the apparatus in this embodiment will be described with reference to FIGS.
まず、図14乃至図16を用いて、攻撃パケットが検知された場合に変更制御装置10によって実行される処理について説明する。セキュリティ装置12によって攻撃パケットが検出されると、変更制御装置10における登録処理部1001は、攻撃元IPアドレス、更新時刻および攻撃先IPアドレスの入力を企業システム1の管理者から受け付ける(図14:ステップS1)。
First, a process executed by the
登録処理部1001は、ステップS1において入力を受け付けた攻撃元IPアドレスを含む登録要求をアクセス制御装置11に送信する(ステップS3)。登録要求を受信したアクセス制御装置11が実行する処理については、後で説明する。
The
登録処理部1001は、攻撃元IPアドレスを攻撃者端末7に割り当てたISPシステムのIDおよびIPアドレスの取得要求を、ISP特定システム5に送信する(ステップS5)。例えば図15に示すように、ISPシステム31およびISPシステム33はISP特定システム5が管理するデータに登録されているが、ISPシステム32は登録されていないとする。このような場合、攻撃者端末7がISPシステム31又はISPシステム33に接続されていれば、ISP特定システム5は攻撃者端末7に攻撃元IPアドレスを割り当てたISPシステムを特定することができる。仮に攻撃者端末7がISPシステム32に接続されていた場合、ISP特定システム5は攻撃者端末7に攻撃元IPアドレスを割り当てたISPシステムを特定することができない。
The
登録処理部1001は、攻撃元IPアドレスを割り当てたISPシステムを特定することができたか判定する(ステップS7)。ISPシステムを特定することができた場合、取得要求に対する応答は、攻撃元IPアドレスを割り当てたISPシステムのIDおよびそのISPシステムのIPアドレスを含む。ISPシステムを特定することができない場合、取得要求に対する応答としてISPシステムを特定することができないことを示す応答が返信されるか、又は、応答が返信されない。
The
攻撃元IPアドレスを割り当てたISPシステムを特定することができない場合(ステップS7:Noルート)、登録処理部1001は、攻撃元IPアドレス、更新時刻および攻撃先IPアドレスを攻撃テーブル格納部103における攻撃テーブルに登録する(ステップS9)。そして処理は終了する。
When the ISP system to which the attack source IP address is assigned cannot be identified (step S7: No route), the
一方、攻撃元IPアドレスを割り当てたISPシステム(本実施の形態においては、ISPシステム31)を特定することができた場合(ステップS7:Yesルート)、登録処理部1001は、攻撃元IPアドレス、更新時刻、攻撃先IPアドレスおよび取得要求の応答に含まれるIDを攻撃テーブル格納部103における攻撃テーブルに登録する(ステップS11)。
On the other hand, when the ISP system (
図16に、ステップS11の処理後における攻撃テーブルの一例を示す。図7の攻撃テーブルと図16の攻撃テーブルとを比較すると、太い実線で囲まれたエントリが新たに追加されている。 FIG. 16 shows an example of the attack table after the process of step S11. When the attack table of FIG. 7 is compared with the attack table of FIG. 16, an entry surrounded by a thick solid line is newly added.
登録処理部1001は、攻撃元IPアドレスを割り当てたISPシステム31についてのエントリがISPテーブル格納部104におけるISPテーブルに登録されているか判定する(ステップS13)。攻撃元IPアドレスを割り当てたISPシステム31についてのエントリがISPテーブル格納部104におけるISPテーブルに登録されている場合(ステップS13:Yesルート)、追加で登録を行わなくてもよいので、ステップS17の処理に移行する。
The
一方、攻撃元IPアドレスを割り当てたISPシステム31についてのエントリがISPテーブル格納部104におけるISPテーブルに登録されていない場合(ステップS13:Noルート)、攻撃元IPアドレスを割り当てたISPシステム31のIDおよびIPアドレスをISPテーブル格納部104におけるISPテーブルに登録する(ステップS15)。
On the other hand, if the entry for the
通知部1002は、攻撃元IPアドレス、更新時刻および企業IPアドレス(ここでは、本変更制御装置10のIPアドレス)を、攻撃元IPアドレスを割り当てたISPシステム31の変更管理装置300に送信する(ステップS17)。ステップS17における送信の送信先IPアドレスは、取得要求の応答に含まれるIPアドレスである。そして処理は終了する。攻撃元IPアドレス、更新時刻および企業IPアドレスを受信したISPシステム31の変更管理装置300が実行する処理については、後で説明する。
The
以上のような処理を実行すれば、攻撃者端末7のIPアドレスを、企業側だけではなくISP側にも持たせることができるようになる。また、攻撃者端末7からの攻撃パケットをアクセス制御装置11において遮断することができるようになる。
By executing the processing as described above, the IP address of the attacker terminal 7 can be provided not only on the company side but also on the ISP side. Further, the
次に、図17および図18を用いて、攻撃元IPアドレスを割り当てたISPシステム31の変更管理装置300が攻撃元IPアドレス、更新時刻および企業IPアドレスを受信した場合に実行する処理について説明する。
Next, a process executed when the
まず、攻撃元IPアドレスを割り当てたISPシステム31における変更管理装置300の登録処理部3001は、攻撃元IPアドレス、更新時刻および企業IPアドレスを、企業システム1の変更制御装置10から受信する。そして、登録処理部3001は、攻撃元IPアドレスおよび更新時刻を、加入者管理装置320に通知する(図17:ステップS21)。
First, the
攻撃元IPアドレスおよび更新時刻を受信した加入者管理装置320は、図11に示したデータを用いて、受信した攻撃元IPアドレスに対応する加入者IDを特定し、特定した加入者IDを変更管理装置300に送信する。これに応じ、変更管理装置300の登録処理部3001は、加入者IDを加入者管理装置320から受信する(ステップS23)。
The
そして、登録処理部3001は、ステップS23において受信した加入者IDと受信した攻撃元IPアドレスおよび企業IPアドレスとを含むエントリを、攻撃元IPテーブル格納部3004における攻撃元IPテーブルに登録する(ステップS25)。そして処理は終了する。
Then, the
以上のような処理を実行すると、攻撃元IPテーブル格納部3004における攻撃元IPテーブルには、図18に示すようなデータが格納される。図18の攻撃元IPテーブルと、図10の攻撃元IPテーブルとを比較すると、太い実線で囲まれたエントリが新たに追加されている。
When the processing as described above is executed, data as shown in FIG. 18 is stored in the attack source IP table in the attack source IP
次に、図19乃至図21を用いて、攻撃者端末7に割り当てられたIPアドレスが変更された場合に実行される処理について説明する。 Next, processing executed when the IP address assigned to the attacker terminal 7 is changed will be described with reference to FIGS.
攻撃者端末7にIPアドレスを割り当てたISPシステム31におけるDHCPサーバ310は、攻撃者端末7に変更後のIPアドレス(以下、新IPアドレスと呼ぶ)を割り当てる(図19:ステップS31)。
The
DHCPサーバ310は、新IPアドレスおよび変更前のIPアドレス(以下、旧IPアドレスと呼ぶ)を含む割当情報を加入者管理装置320に送信する(ステップS33)。
The
加入者管理装置320は、新IPアドレスおよび旧IPアドレスを含む割当情報をDHCPサーバ310から受信する(ステップS35)。
The
加入者管理装置320は、割当情報に含まれる旧IPアドレスに対応する加入者IDを、図11に示したデータを用いて特定する。そして、加入者管理装置320は、特定した加入者IDおよび新IPアドレスを変更管理装置300に送信する(ステップS37)。
The
変更管理装置300の変更処理部3003は、加入者IDおよび新IPアドレスを加入者管理装置320から受信する(ステップS39)。
The
変更処理部3003は、攻撃元IPテーブルに格納されている、ステップS39において受信した加入者IDに対応付けられている攻撃元IPアドレス(本IPアドレスは旧IPアドレスに相当する)を、ステップS39において受信した新IPアドレスで更新する(ステップS41)。
The
図20に、ステップS41の処理が実行された場合における攻撃元IPテーブルの一例を示す。図20に示した攻撃元IPテーブルと、図18に示した攻撃元IPテーブルとを比較すると、3行目のエントリにおける攻撃元IPアドレスが「156.123.56.78」から「156.123.56.102」に変更されている。 FIG. 20 shows an example of the attack source IP table when the process of step S41 is executed. When the attack source IP table shown in FIG. 20 is compared with the attack source IP table shown in FIG. 18, the attack source IP address in the entry on the third row is changed from “156.123.56.78” to “156.123”. .56.102 ".
変更処理部3003は、新IPアドレスおよび旧IPアドレスを企業システム1に送信する(ステップS43)。ステップS43における送信の送信先IPアドレスは、攻撃元IPテーブル格納部3004における攻撃元IPテーブルにおける、更新されたエントリに含まれる企業IPアドレスである。
The
企業システム1の変更制御装置10における変更処理部102は、新IPアドレスおよび旧IPアドレスを、攻撃者端末7にIPアドレスを割り当てたISPシステム31における変更管理装置300から受信する(ステップS45)。
The
変更処理部102は、攻撃テーブル格納部103における攻撃テーブルに格納されている、受信した旧IPアドレスと同じIPアドレスを、ステップS45において受信した新IPアドレスで更新する。そして、変更処理部102は、対応する更新時刻を、例えばOS(Operating System)のシステム時計から取得した現在の時刻で更新する(ステップS47)。
The
図21に、ステップS47の処理が実行された場合における攻撃テーブルの一例を示す。図16に示した攻撃テーブルと、図21に示した攻撃テーブルとを比較すると、3行目のエントリにおける攻撃元IPアドレスが「156.123.56.78」から「156.123.56.102」に変更され且つ更新時刻が更新されている。 FIG. 21 shows an example of the attack table when the process of step S47 is executed. When the attack table shown in FIG. 16 and the attack table shown in FIG. 21 are compared, the attack source IP address in the entry on the third line is from “156.123.56.78” to “156.1233.56.12. ”And the update time is updated.
変更処理部102は、旧IPアドレスおよび新IPアドレスを含む更新要求をアクセス制御装置11に送信する(ステップS49)。更新要求を受信したアクセス制御装置11が実行する処理については、後で説明する。
The
以上のような処理を実行すれば、攻撃者端末7に割り当てられたIPアドレスの変更に合わせて、アクセス制御装置11に設定されたIPアドレスを旧IPアドレスから新IPアドレスへ変更できるようになる。
By executing the processing as described above, the IP address set in the
次に、図22および図23を用いて、攻撃者端末7の情報を削除する場合に変更制御装置10が実行する処理について説明する。
Next, a process executed by the
変更制御装置10における削除処理部1003は、攻撃者端末7の情報を削除するための削除指示(ここでは、攻撃元IPアドレスを含む)の入力を企業システム1の管理者から受け付けるか又は所定の条件が満たされたことを検出する(図22:ステップS51)。所定の条件とは、例えば、攻撃者端末7からの攻撃が所定の期間無かったという条件である。
The
削除処理部1003は、削除指示に含まれる攻撃元IPアドレス又は所定の条件が満たされた攻撃元IPアドレスを含むエントリを攻撃テーブル格納部103における攻撃テーブルから削除する(ステップS53)。ここで、削除されるエントリにISPシステム31のIDが含まれる場合には、ISPシステム31のIDだけメインメモリ等の記憶装置に退避しておく。
The
図23に、ステップS53の処理が行われた場合における攻撃テーブルの一例を示す。図23に示した攻撃テーブルと、図21に示した攻撃テーブルとを比較すると、5行目のエントリが削除されている。 FIG. 23 shows an example of the attack table when the process of step S53 is performed. When the attack table shown in FIG. 23 is compared with the attack table shown in FIG. 21, the entry in the fifth row is deleted.
削除処理部1003は、削除指示に含まれる攻撃元IPアドレス又は所定の条件が満たされた攻撃元IPアドレスを含む削除要求をアクセス制御装置11に送信する(ステップS55)。削除要求を受信したアクセス制御装置11が実行する処理については、後で説明する。
The
削除処理部1003は、ステップS53において削除されるエントリにISPシステム31のIDが含まれていたか判定する(ステップS57)。ステップS53において削除されるエントリにISPシステム31のIDが含まれていなかった場合(ステップS57:Noルート)、処理は終了する。
The
一方、ステップS53において削除されるエントリにISPシステム31のIDが含まれていた場合(ステップS57:Yesルート)、削除処理部1003は、退避されたISPシステム31のIDに対応するIPアドレスをISPテーブル格納部104におけるISPテーブルから特定する(ステップS59)。
On the other hand, if the ID of the
削除処理部1003は、削除指示に含まれる攻撃元IPアドレスを含む削除要求を、ステップS59において特定されたIPアドレスに対して(すなわち、削除指示に含まれる攻撃元IPアドレスを割り当てたISPシステム31に対して)送信する(ステップS61)。そして処理は終了する。
The
以上のような処理を実行すれば、攻撃に関係しないIPアドレスのエントリは削除されるので、次にそのIPアドレスが悪意の無い端末に割り当てられた場合にその端末からのアクセスが制限されることを防げるようになる。 If the above processing is executed, the entry of the IP address that is not related to the attack is deleted. Therefore, when the IP address is assigned to a non-malicious terminal next time, access from that terminal is restricted. Can be prevented.
次に、図24および図25を用いて、攻撃者端末7の情報を削除する場合に変更管理装置300が実行する処理について説明する。
Next, a process executed by the
まず、攻撃者端末7にIPアドレスを割り当てたISPシステム31の変更管理装置300における削除処理部3002は、攻撃元IPアドレスの削除要求を企業システム1から受信する(図24:ステップS71)。
First, the
削除処理部3002は、削除指示に含まれる攻撃元IPアドレスを含むエントリを攻撃元IPテーブル格納部3004における攻撃元IPテーブルにおいて特定し、特定したエントリを攻撃元IPテーブル格納部3004における攻撃元IPテーブルから削除する(ステップS73)。そして処理は終了する。
The
図25に、ステップS73の処理が行われた場合における攻撃元IPテーブルの一例を示す。図20に示した攻撃元IPテーブルと、図25に示した攻撃元IPテーブルとを比較すると、5行目のエントリが削除されている。 FIG. 25 shows an example of the attack source IP table when the process of step S73 is performed. When the attack source IP table shown in FIG. 20 is compared with the attack source IP table shown in FIG. 25, the entry in the fifth line is deleted.
以上のような処理を実行すれば、企業側だけでなくISP側においても、攻撃に関係しないIPアドレスのエントリが削除されるようになる。 If the processing as described above is executed, the entry of the IP address not related to the attack is deleted not only on the company side but also on the ISP side.
次に、図26を用いて、変更制御装置10からデータを受信した場合にアクセス制御装置11が実行する処理について説明する。
Next, processing executed by the
まず、アクセス制御装置11は、受信したデータは登録要求であるか判定する(図26:ステップS81)。受信したデータは登録要求である場合(ステップS81:Yesルート)、アクセス制御装置11は、登録要求に含まれる攻撃元IPアドレスを、図9に示したリストに登録する(ステップS83)。そして処理は終了する。
First, the
一方、受信したデータは登録要求ではない場合(ステップS81:Noルート)、アクセス制御装置11は、受信したデータは更新要求であるか判定する(ステップS85)。
On the other hand, when the received data is not a registration request (step S81: No route), the
受信したデータは更新要求である場合(ステップS85:Yesルート)、アクセス制御装置11は、更新要求に含まれる新IPアドレスで、図9に示したリストに含まれる旧IPアドレスを更新する(ステップS87)。そして処理は終了する。一方、受信したデータは更新要求ではない場合(ステップS85:Noルート)、受信したデータは削除要求である。従って、アクセス制御装置11は、削除要求に含まれる攻撃元IPアドレスを、図9に示したリストから削除する(ステップS89)。そして処理は終了する。
When the received data is an update request (step S85: Yes route), the
以上のような処理を実行すれば、変更制御装置10からの要求に応じて動的に設定が変更されるので、適切なアクセス制限を行うことができるようになる。
If the processing as described above is executed, the setting is dynamically changed in response to a request from the
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明した変更制御装置10および変更管理装置300の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
Although one embodiment of the present invention has been described above, the present invention is not limited to this. For example, the functional block configurations of the
また、上で説明した各テーブルの構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。 Further, the configuration of each table described above is an example, and the configuration as described above is not necessarily required. Further, in the processing flow, the processing order can be changed if the processing result does not change. Further, it may be executed in parallel.
なお、上で述べた変更制御装置10、アクセス制御装置11、セキュリティ装置12、公開サーバ13、DHCPサーバ310、加入者管理装置320および変更管理装置300は、コンピュータ装置であって、図27に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
Note that the
以上述べた本発明の実施の形態をまとめると、以下のようになる。 The embodiment of the present invention described above is summarized as follows.
本実施の形態の第1の態様に係るアクセス制限管理装置は、(A)受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部(例えば登録処理部1001)と、(B)各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部(例えばISP特定部101)と、(C)特定部により特定された第1の変更管理装置に、第1の送信元アドレスを送信する第2通信部(例えば通知部1002)と、(D)パケットの送信元に対して割り当てられるアドレスが第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した第1の変更管理装置から、第2の送信元アドレスを受信し、受信した第2のアドレスをアクセス制御装置に送信する第3通信部(例えば変更処理部102)とを有する。 The access restriction management apparatus according to the first aspect of the present embodiment transmits (A) a first transmission source address included in a received packet to an access control apparatus that performs access restriction based on the transmission source address. The first change management device is identified based on the first source address from one communication unit (for example, the registration processing unit 1001) and (B) a plurality of change management devices each managing a change in address assignment. A specifying unit (for example, ISP specifying unit 101), (C) a second communication unit (for example, notifying unit 1002) that transmits a first transmission source address to the first change management device specified by the specifying unit, and ( D) From the first change management device that detects that the address assigned to the transmission source of the packet has been changed from the first transmission source address to the second transmission source address, Receiving a scan, and a third communication unit for transmitting the second address received in the access control device (e.g., change processing unit 102).
このような処理を実行すれば、パケットの送信元アドレスが変更された場合であっても、送信元アドレスに基づくアクセス制限を継続できるようになる。 By executing such processing, it is possible to continue the access restriction based on the source address even when the source address of the packet is changed.
また、上記アクセス制限管理装置は、(E)第1の送信元アドレスについて所定の条件が満たされた場合又は第1の送信元アドレスを削除するための指示を受け付けた場合、第1の送信元アドレスを削除させるための削除要求をアクセス制御装置に送信する第4通信部(例えば削除処理部1003)をさらに有してもよい。特定の送信元アドレスからのアクセスを制限し続けることを防げるようになる。 In addition, the access restriction management device (E) when the predetermined condition is satisfied for the first transmission source address or when an instruction for deleting the first transmission source address is received, the first transmission source You may further have the 4th communication part (for example, deletion process part 1003) which transmits the deletion request | requirement for deleting an address to an access control apparatus. It becomes possible to prevent restricting access from a specific source address.
また、上記特定部は、(b1)送信元アドレスを割り当てた変更管理装置を複数の変更管理装置から特定する処理を行う特定装置に、第1の送信元アドレスを送信し、(b2)特定装置から第1の変更管理装置のアドレスを受信してもよい。そして、上記第2通信部は、(c1)第1の変更管理装置のアドレスを用いて、第1の送信元アドレスを第1の変更管理装置に送信してもよい。変更管理装置の特定を容易に行うことができるようになる。 The identification unit transmits the first transmission source address to the identification device that performs processing of identifying the change management device to which the transmission source address is assigned from a plurality of change management devices, and (b2) the identification device. May receive the address of the first change management device. And the said 2nd communication part may transmit a 1st transmission source address to a 1st change management apparatus using the address of (c1) 1st change management apparatus. The change management device can be easily identified.
また、複数の変更管理装置の各々は、1のインターネットサービスプロバイダのシステムに含まれてもよい。 Each of the plurality of change management devices may be included in a system of one Internet service provider.
また、パケットは、サービス妨害攻撃のパケットであってもよい。 The packet may be a packet of denial of service attack.
本実施の形態の第2の態様に係るアクセス制限管理方法は、(F)受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、(G)各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、第1の送信元アドレスに基づいて第1の変更管理装置を特定し、(H)特定された第1の変更管理装置に、第1の送信元アドレスを送信し、(I)パケットの送信元に対して割り当てられるアドレスが第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した第1の変更管理装置から、第2の送信元アドレスを受信し、(J)受信した第2のアドレスをアクセス制御装置に送信する処理を含む。 In the access restriction management method according to the second aspect of the present embodiment, (F) the first transmission source address included in the received packet is transmitted to the access control apparatus that performs access restriction based on the transmission source address, (G) A first change management device is identified based on a first source address from a plurality of change management devices, each managing a change in address assignment, and (H) the identified first change management A first transmission source address is transmitted to the device, and (I) a first detected that the address assigned to the transmission source of the packet has been changed from the first transmission source address to the second transmission source address Receiving the second transmission source address from the change management apparatus, and (J) transmitting the received second address to the access control apparatus.
なお、上記方法による処理をコンピュータに実行させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。 A program for causing a computer to execute the processing according to the above method can be created. The program can be a computer-readable storage medium such as a flexible disk, CD-ROM, magneto-optical disk, semiconductor memory, or hard disk It is stored in a storage device. The intermediate processing result is temporarily stored in a storage device such as a main memory.
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。 The following supplementary notes are further disclosed with respect to the embodiments including the above examples.
(付記1)
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信する第1通信部と、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有するアクセス制限管理装置。
(Appendix 1)
A first communication unit that transmits a first transmission source address included in the received packet to an access control device that performs access restriction based on the transmission source address;
A specifying unit for specifying a first change management device based on the first transmission source address from a plurality of change management devices each managing a change in address assignment;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An access restriction management device.
(付記2)
前記第1の送信元アドレスについて所定の条件が満たされた場合又は前記第1の送信元アドレスを削除するための指示を受け付けた場合、前記第1の送信元アドレスを削除させるための削除要求を前記アクセス制御装置に送信する第4通信部
をさらに有する付記1記載のアクセス制限管理装置。
(Appendix 2)
When a predetermined condition is satisfied for the first transmission source address or when an instruction for deleting the first transmission source address is received, a deletion request for deleting the first transmission source address is issued. The access restriction management device according to
(付記3)
前記特定部は、
送信元アドレスを割り当てた変更管理装置を前記複数の変更管理装置から特定する処理を行う特定装置に、前記第1の送信元アドレスを送信し、
前記特定装置から前記第1の変更管理装置のアドレスを受信し、
前記第2通信部は、
前記第1の変更管理装置のアドレスを用いて、前記第1の送信元アドレスを前記第1の変更管理装置に送信する、
付記1又は2記載のアクセス制限管理装置。
(Appendix 3)
The specific part is:
Transmitting the first source address to a specific device that performs processing for specifying the change management device to which the source address is assigned from the plurality of change management devices;
Receiving the address of the first change management device from the specific device;
The second communication unit is
Transmitting the first source address to the first change management device using the address of the first change management device;
The access restriction management device according to
(付記4)
前記複数の変更管理装置の各々は、1のインターネットサービスプロバイダのシステムに含まれる、
付記1乃至3のいずれか1つ記載のアクセス制限管理装置。
(Appendix 4)
Each of the plurality of change management devices is included in a system of one Internet service provider.
The access restriction management device according to any one of
(付記5)
前記パケットは、サービス妨害攻撃のパケットである、
付記1乃至4のいずれか1つ記載のアクセス制限管理装置。
(Appendix 5)
The packet is a packet of denial of service attack;
The access restriction management device according to any one of
(付記6)
コンピュータが、
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行するアクセス制限管理方法。
(Appendix 6)
Computer
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
An access restriction management method for executing processing.
(付記7)
コンピュータに、
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行させるアクセス制限管理プログラム。
(Appendix 7)
On the computer,
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
Access restriction management program that executes processing.
(付記8)
アクセス制限の管理を行うアクセス制限管理装置と、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置と、
送信元アドレスに基づくアクセス制限を行うアクセス制御装置と、
を有し、
前記アクセス制限管理装置は、
受信したパケットに含まれる第1の送信元アドレスを、前記アクセス制御装置に送信する第1通信部と、
前記複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有する情報処理システム。
(Appendix 8)
An access restriction management device for managing access restrictions;
A plurality of change management devices each managing a change in address assignment;
An access control device that restricts access based on a source address;
Have
The access restriction management device includes:
A first communication unit that transmits a first source address included in the received packet to the access control device;
A specifying unit for specifying a first change management device based on the first transmission source address from the plurality of change management devices;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An information processing system having
1 企業システム 31,32,33 ISPシステム
5 ISP特定システム 7 攻撃者端末
9 インターネット 10 変更制御装置
11 アクセス制御装置 12 セキュリティ装置
13 公開サーバ 300 変更管理装置
310 DHCPサーバ 320 加入者管理装置
100 処理部 101 ISP特定部
102 変更処理部 103 攻撃テーブル格納部
104 ISPテーブル格納部 1001 登録処理部
1002 通知部 1003 削除処理部
3001 登録処理部 3002 削除処理部
3003 変更処理部 3004 攻撃元IPテーブル格納部
DESCRIPTION OF
Claims (6)
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有するアクセス制限管理装置。 A first communication unit that transmits a first transmission source address included in the received packet to an access control device that performs access restriction based on the transmission source address;
A specifying unit for specifying a first change management device based on the first transmission source address from a plurality of change management devices each managing a change in address assignment;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An access restriction management device.
をさらに有する請求項1記載のアクセス制限管理装置。 When a predetermined condition is satisfied for the first transmission source address or when an instruction for deleting the first transmission source address is received, a deletion request for deleting the first transmission source address is issued. The access restriction management device according to claim 1, further comprising a fourth communication unit that transmits to the access control device.
送信元アドレスを割り当てた変更管理装置を前記複数の変更管理装置から特定する処理を行う特定装置に、前記第1の送信元アドレスを送信し、
前記特定装置から前記第1の変更管理装置のアドレスを受信し、
前記第2通信部は、
前記第1の変更管理装置のアドレスを用いて、前記第1の送信元アドレスを前記第1の変更管理装置に送信する、
請求項1又は2記載のアクセス制限管理装置。 The specific part is:
Transmitting the first source address to a specific device that performs processing for specifying the change management device to which the source address is assigned from the plurality of change management devices;
Receiving the address of the first change management device from the specific device;
The second communication unit is
Transmitting the first source address to the first change management device using the address of the first change management device;
The access restriction management apparatus according to claim 1 or 2.
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行するアクセス制限管理方法。 Computer
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
An access restriction management method for executing processing.
受信したパケットに含まれる第1の送信元アドレスを、送信元アドレスに基づくアクセス制限を行うアクセス制御装置に送信し、
各々がアドレスの割り当ての変更を管理する複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定し、
特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信し、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、
受信した前記第2のアドレスを前記アクセス制御装置に送信する、
処理を実行させるアクセス制限管理プログラム。 On the computer,
A first transmission source address included in the received packet is transmitted to an access control device that performs access restriction based on the transmission source address;
Identifying a first change management device based on the first source address from a plurality of change management devices each managing a change in address assignment;
Sending the first source address to the identified first change management device;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address Receive
Transmitting the received second address to the access control device;
Access restriction management program that executes processing.
各々がアドレスの割り当ての変更を管理する複数の変更管理装置と、
送信元アドレスに基づくアクセス制限を行うアクセス制御装置と、
を有し、
前記アクセス制限管理装置は、
受信したパケットに含まれる第1の送信元アドレスを、前記アクセス制御装置に送信する第1通信部と、
前記複数の変更管理装置から、前記第1の送信元アドレスに基づいて第1の変更管理装置を特定する特定部と、
前記特定部により特定された前記第1の変更管理装置に、前記第1の送信元アドレスを送信する第2通信部と、
前記パケットの送信元に対して割り当てられるアドレスが前記第1の送信元アドレスから第2の送信元アドレスに変更されたことを検知した前記第1の変更管理装置から、前記第2の送信元アドレスを受信し、受信した前記第2のアドレスを前記アクセス制御装置に送信する第3通信部と、
を有する情報処理システム。 An access restriction management device for managing access restrictions;
A plurality of change management devices each managing a change in address assignment;
An access control device that restricts access based on a source address;
Have
The access restriction management device includes:
A first communication unit that transmits a first source address included in the received packet to the access control device;
A specifying unit for specifying a first change management device based on the first transmission source address from the plurality of change management devices;
A second communication unit that transmits the first source address to the first change management device identified by the identifying unit;
From the first change management device that has detected that the address assigned to the source of the packet has been changed from the first source address to the second source address, the second source address And a third communication unit that transmits the received second address to the access control device;
An information processing system having
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016097806A JP2017208599A (en) | 2016-05-16 | 2016-05-16 | Access restriction management device, access restriction management method, access restriction management program and information processing system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016097806A JP2017208599A (en) | 2016-05-16 | 2016-05-16 | Access restriction management device, access restriction management method, access restriction management program and information processing system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017208599A true JP2017208599A (en) | 2017-11-24 |
Family
ID=60417410
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016097806A Pending JP2017208599A (en) | 2016-05-16 | 2016-05-16 | Access restriction management device, access restriction management method, access restriction management program and information processing system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017208599A (en) |
-
2016
- 2016-05-16 JP JP2016097806A patent/JP2017208599A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200374299A1 (en) | Client reputation driven role-based access control | |
US10686758B2 (en) | Elastic outbound gateway | |
CN109565500B (en) | On-demand security architecture | |
US10491632B1 (en) | Methods for reducing compliance violations in mobile application management environments and devices thereof | |
WO2016013200A1 (en) | Information processing system and network resource management method | |
US7890658B2 (en) | Dynamic address assignment for access control on DHCP networks | |
US11323474B1 (en) | System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware | |
US20130283335A1 (en) | Systems and methods for applying policy wrappers to computer applications | |
US20150150079A1 (en) | Methods, systems and devices for network security | |
JP5445262B2 (en) | Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof | |
US12022296B2 (en) | Network cyber-security platform | |
KR101310631B1 (en) | System and method for controlling access to network | |
JP4636345B2 (en) | Security policy control system, security policy control method, and program | |
JP4466597B2 (en) | Network system, network management apparatus, network management method and program | |
US20230319115A1 (en) | Systems and methods for validating, maintaining, and visualizing security policies | |
KR200427501Y1 (en) | Network security system based on each terminal connected to network | |
US20220078307A1 (en) | Apparatus, method, and program for processing job | |
US11683350B2 (en) | System and method for providing and managing security rules and policies | |
JP6359260B2 (en) | Information processing system and firewall device for realizing a secure credit card system in a cloud environment | |
US9823944B2 (en) | Deployment control device and deployment control method for deploying virtual machine for allowing access | |
JP2017208599A (en) | Access restriction management device, access restriction management method, access restriction management program and information processing system | |
JP2017085273A (en) | Control system, control device, control method and program | |
KR101070522B1 (en) | System and method for monitoring and blocking of spoofing attack | |
JP6286314B2 (en) | Malware communication control device | |
US12010141B1 (en) | System gateway while accessing protected non-web resources connected to internet |