JP2018064228A - Packet controller - Google Patents
Packet controller Download PDFInfo
- Publication number
- JP2018064228A JP2018064228A JP2016202496A JP2016202496A JP2018064228A JP 2018064228 A JP2018064228 A JP 2018064228A JP 2016202496 A JP2016202496 A JP 2016202496A JP 2016202496 A JP2016202496 A JP 2016202496A JP 2018064228 A JP2018064228 A JP 2018064228A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- white list
- device identifier
- unit
- access bridge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本開示は、パケット制御装置及びパケット制御方法に関する。 The present disclosure relates to a packet control device and a packet control method.
IPネットワーク用のパケット転送装置が提案されている(例えば、特許文献1参照。)。特許文献1のパケット転送装置は、パケット転送装置を介して通信できる端末又はサーバのアドレスを保持するアドレステーブルを備える。
A packet transfer apparatus for an IP network has been proposed (for example, see Patent Document 1). The packet transfer apparatus of
特許文献1のパケット転送装置は、パケットの送信元のアドレスがアドレステーブルに保持されている場合、当該パケットを転送する。一方、パケットの送信元のアドレスがアドレステーブルに保持されていない場合、当該パケットを転送しない。これにより、特許文献1のパケット転送装置は、パケット転送装置のバックボーンに接続されているバックボーンネットワークへの不正なパケットの流入を防ぐ。
The packet transfer apparatus of
特許文献1のパケット転送装置は、端末やサーバに直接接続されている。このため、端末やサーバとバックボーンネットワークとの間にLAN(Local Area Network)が構築されている場合、端末やサーバの数に合わせて特許文献1のパケット転送装置を配置する必要がある。このように、特許文献1のパケット転送装置は、ネットワーク全体を同一メーカーのパケット転送装置で統一しなければならないため、ネットワークの変更が大がかりとなり、投資がかさんでしまう。
The packet transfer apparatus of
ファイアーウォール装置と低価格なアクセスブリッジ装置のネットワークがLANに使用されている。侵入PCの通信を遮断するのがファイアーウォール装置である。アクセスブリッジ装置は、パケット転送機能を有する任意の装置を含み、例えば、L2スイッチ、無線アクセスポイントが例示できる。しかし、ファイアーウォール装置は、特許文献1のパケット転送装置と同様に、バックボーンネットワークへの侵入は防げるが、LANへの侵入を防ぐことはできない。
A network of a firewall device and a low-cost access bridge device is used for the LAN. The firewall device cuts off the communication of the intruding PC. The access bridge device includes an arbitrary device having a packet transfer function, and examples thereof include an L2 switch and a wireless access point. However, as with the packet transfer apparatus disclosed in
そこで、本開示は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンネットワークへの侵入を防ぐとともにアクセスブリッジ装置への侵入を防ぐ、高階層な防御を可能にすることを目的とする。 Therefore, the present disclosure aims to enable a high-level defense that prevents intrusion into the backbone network and prevents intrusion into the access bridge device even in a network configured with low-cost access bridge devices. And
具体的には、本開示のパケット制御装置は、
アクセスブリッジ装置(4)から送信されたパケットを受信し、当該パケットから送信元の装置識別子を取得するパケット受信部(33)と、
前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を保持するホワイトリスト保持部(31)と、
前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較部(32)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信部(35)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄部(34)と、
前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御部(36)と、を備える。
Specifically, the packet control device of the present disclosure is:
A packet receiver (33) that receives a packet transmitted from the access bridge device (4) and acquires a device identifier of the transmission source from the packet;
A white list holding unit (31) for holding a white list (31a) of device identifiers of terminal devices connected to the access bridge device (4);
A comparison unit (32) for determining whether or not the device identifier acquired by the packet reception unit (33) is included in the white list (31a);
A packet transmission unit (35) for forwarding a packet whose destination device identifier is included in the white list (31a) to a destination;
A packet discard unit (34) for discarding a packet whose source device identifier is not included in the white list (31a);
When a device identifier not included in the white list (31a) is found in the comparison unit (32), the device identifier is stored using a packet transfer control table held by the access bridge device (4). An external device control unit that blocks communication of packets whose source is a device identifier not included in the white list (31a) with respect to the access bridge device (4) that holds the packet transfer control table that is stored ( 36).
具体的には、本開示のパケット制御方法は、
パケット受信部(33)が、アクセスブリッジ装置(4)から送信されたパケットを受信し、当該パケットから送信元の装置識別子を取得するパケット受信手順と、
比較部(32)が、前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を参照し、前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較手順と、
パケット送信部(35)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信手順と、
パケット廃棄部(34)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄手順と、
外部機器制御部(36)が、前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御手順と、を実行する。
Specifically, the packet control method of the present disclosure is:
A packet receiving unit (33) for receiving a packet transmitted from the access bridge device (4) and acquiring a transmission source device identifier from the packet;
The comparison unit (32) refers to the device identifier white list (31a) of the terminal device connected to the access bridge device (4), and the device identifier acquired by the packet reception unit (33) is the white list. (31a) a comparison procedure for determining whether or not included,
A packet transmission procedure in which a packet transmission unit (35) transfers a packet having a device identifier of a transmission source included in the white list (31a) toward a destination;
A packet discarding procedure for discarding a packet whose source device identifier is not included in the whitelist (31a);
The packet transfer control table held by the access bridge device (4) when the external device control unit (36) finds a device identifier not included in the white list (31a) in the comparison unit (32). The access bridge device (4) holding the packet transfer control table storing the device identifier is used to send a packet having a device identifier not included in the white list (31a) as a transmission source. And an external device control procedure for interrupting communication.
なお、上記各開示は、可能な限り組み合わせることができる。 The above disclosures can be combined as much as possible.
本開示によれば、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンネットワークへの侵入を防ぐとともにアクセスブリッジ装置への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。 According to the present disclosure, even in a network constituted by low-cost access bridge devices, high-level defense (2 of FW and access link) prevents intrusion into the backbone network and prevents access to the access bridge device. Stage).
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。 Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. In addition, this indication is not limited to embodiment shown below. These embodiments are merely examples, and the present disclosure can be implemented in various modifications and improvements based on the knowledge of those skilled in the art. In the present specification and drawings, the same reference numerals denote the same components.
(実施形態1)
図1に、本実施形態に係るパケット制御システムの概略構成図を示す。本実施形態に係るパケット制御システムは、複数のL2スイッチ(以下、L2SW)4A−1〜4A−3と、パケット制御装置として機能するファイアーウォール装置3と、を備える。
(Embodiment 1)
FIG. 1 shows a schematic configuration diagram of a packet control system according to the present embodiment. The packet control system according to the present embodiment includes a plurality of L2 switches (hereinafter referred to as L2SW) 4A-1 to 4A-3 and a
L2SW4A−1〜4A−3は、LANを構成するアクセスブリッジ装置として機能する。正規PC5−1及び5−2は、端末装置として機能し、L2SW4A−2に接続されている。正規PC5−3及び5−4は、端末装置として機能し、L2SW4A−3に接続されている。正規PC5は、固有の装置識別子を持つ任意の端末であり、コンピュータ、カメラ又はセンサなど、通信機能を有する任意の端末を含む。装置識別子は、端末を識別可能な任意の識別であり、例えば、MACアドレスである。以下、装置識別子がMACアドレスである場合について説明する。
The
本実施形態では、LANの一例として、L2SW4A−1、L2SW4A−2及び4A−3がカスケード接続されている例を示すが、LAN接続のトポロジはこれに限定されない。トポロジは、例えば、リング形状及びスター形状を含む。なお、本実施形態で使用するL2SW4Aの台数を3台としたが、使用できるL2SW4Aの台数は特に限定されるものではない。
In the present embodiment, an example in which
ファイアーウォール装置3は、バックボーンネットワークとLANの間に接続されている。ファイアーウォール装置3は、多段防御アクセスファイアーウォールを実現し、L2SW4A−1〜4A−3の各ポートを検査する。これにより、侵入PC6がL2SW4A−3に接続された場合、侵入PC6の接続ポートを発見し、遮断する。
The
まず、正規PC5−1〜5−4はバックボーンNW2へL2SW4A−1〜4A−3及びファイアーウォール装置3を経由して通信を行う。このとき、L2SW4A−1〜4A−3はパケットに含まれるMACアドレスに基づいてパケットを転送する。ファイアーウォール装置3は、LAN側から受信したパケットのソースMACアドレスがホワイトリスト31aに含まれるかどうかを検査し、ホワイトリスト31aに含まれないMACアドレスは侵入PCであると断定する。ホワイトリスト31aに一致しない、侵入PC6のMACアドレスがソースMACに含まれるパケットを廃棄することにより、侵入PC6からバックボーンNW2に通過しようとする通信を遮断する。
First, the regular PCs 5-1 to 5-4 communicate with the backbone NW2 via the
更に、ファイアーウォール装置3は、配下のL2SW4A−1〜4A−3にアクセスし、侵入PC6のMACアドレスがL2SW4A−1〜4A−3のフォワーディングデータベース(以下、FDBと称する。)に入っているかどうかを検索する。L2SW4A−1〜4A−3へのアクセスはTELNETや、SNMP(Simple Network Management Protocol)などのL2SW4A−1〜4A−3がネットワーク管理用にサポートしている手順を用いる。
Furthermore, the
侵入PC6のMACアドレスがFDBに入っていれば、そのFDBを持つL2SW4A−2、4A−3のポートに侵入PC6がつながっている可能性が高いため、侵入PC6のMACアドレスが記録されているポートの閉鎖を命令する。これにより、低価格なアクセスブリッジ装置で構成されたネットワークでも、高階層な防御(FWとアクセスリンクの2段)が可能になる。
If the MAC address of the intruding
図2は、ホワイトリスト31aの一例を示す。ホワイトリスト31aには登録済みの正規PC5−1〜5−4のMACアドレスが格納されている。侵入PC6のようにこれらMACアドレスに一致しないアドレスのPCは侵入PCと判断される。
FIG. 2 shows an example of the
図3に、ファイアーウォール装置3の構成の一例を示す。本実施形態に係るファイアーウォール装置3は、パケット受信部33と、ホワイトリスト保持部31と、比較部32と、パケット送信部35と、パケット廃棄部34と、外部機器制御部36と、を備える。
FIG. 3 shows an example of the configuration of the
ファイアーウォール装置3は2つのネットワークインタフェース37−1、37−2を持ち、片方がLANに接続され、もう片方がWANに接続される。例えば、ネットワークインタフェース37−1はL2SW4A−1に接続され、ネットワークインタフェース37−2はバックボーンNW2に接続されている。パケット受信部33は、LANネットワークインタフェース37−1からパケットを受信すると、受信したパケットからソースMACアドレスを抽出する。
The
図4に、Ethernet(登録商標)フレームのフレーム構造の一例を示す。パケットで送信されるフレームには、宛先MACアドレス、送信元MACアドレス、タイプ、データ、FCSが含まれる。フレームの予め定められた位置に送信PCのMACアドレスが格納されており、侵入PC6であれば、そのアドレスが格納されている。
FIG. 4 shows an example of a frame structure of the Ethernet (registered trademark) frame. A frame transmitted by a packet includes a destination MAC address, a source MAC address, type, data, and FCS. The MAC address of the transmitting PC is stored at a predetermined position of the frame, and if it is an intruding
抽出したソースMACアドレスは比較部32に渡される。比較部32は、ホワイトリスト保持部31の保持するホワイトリスト31aのMACアドレスとパケット受信部33で抽出したソースMACアドレスが一致するかを検査する。
The extracted source MAC address is passed to the
ホワイトリスト31aのMACアドレスと一致した場合、登録済みの正規PCであるため、パケット受信部33は、パケットをパケット送信部35に出力する。これにより、正規PCからのパケットは、パケット送信部35を経て、WAN側のネットワークインタフェース37−2へ出力(フォワード)される。一致しない場合、パケット廃棄部34にて、ホワイトリスト31aに含まれていないパケットの廃棄処理を行う。
If it matches the MAC address of the
次に、廃棄されたパケットのソースMACアドレスを外部機器制御部36に渡す。外部機器制御部36はL2SW一覧36aに登録されているL2SW4A−1〜4A−3にアクセスする。外部機器制御部36は、例えばTELNETによってL2SW4A−1〜4A−3にアクセスする。これにより、外部機器制御部36は、L2SW4A−1〜4A−3からFDBを取得する。
Next, the source MAC address of the discarded packet is passed to the external
図5は、L2SWのFDBである。L2SWのFDBは、パケット転送制御用テーブルとして機能する。L2SW4A−1〜4A−3は、パケットを受信すると、その受信ポート、VLAN ID、及び、そのパケットのソースMACアドレスをFDBに格納する。
FIG. 5 is an L2SW FDB. The L2SW FDB functions as a packet transfer control table. When the
図6は、本実施形態に係るL2SW一覧36aの一例である。本実施形態では3台のL2SW4A−1〜4A−3が登録されており、L2SW4A−1〜4A−3にアクセスするためのIPアドレスが格納されている。また下位L2SW4A−2、4A−3がある場合は、その接続ポートと、下位L2SW4A−2、4A−3のIPアドレスが格納されている。
FIG. 6 is an example of the
次に、本実施形態に係るパケット制御方法について説明する。本実施形態に係るパケット制御方法は、ファイアーウォール装置3が、パケット受信手順と、比較手順と、パケット処理手順と、を順に実行する。パケット処理手順では、ファイアーウォール装置3は、パケット送信手順、或いは、パケット廃棄手順及び外部機器制御手順を実行する。
Next, the packet control method according to the present embodiment will be described. In the packet control method according to the present embodiment, the
パケット受信手順では、パケット受信部33が、MACアドレスに基づいてパケットを転送するアクセスブリッジ装置から送信されたパケットを受信し、当該パケットから送信元のMACアドレスを取得する。比較手順では、比較部32が、アクセスブリッジ装置に接続されている端末装置のMACアドレスのホワイトリスト31aを参照し、パケット受信部33の取得したMACアドレスがホワイトリスト31aに含まれているか否かを判定する。これにより、ファイアーウォール装置3は、パケットの送信元が正規PCであるか又は侵入PCであるかを判定する。
In the packet reception procedure, the
パケットの送信元が正規PCである場合、ファイアーウォール装置3は、パケット送信手順を実行する。パケット送信手順では、パケット送信部35が、送信元のMACアドレスがホワイトリスト31aに含まれているパケットを、宛先に向けて転送するネットワーク装置に送信する。
When the packet transmission source is a regular PC, the
パケットの送信元が侵入PCである場合、ファイアーウォール装置3は、パケット廃棄手順及び外部機器制御手順を実行する。
パケット廃棄手順では、パケット廃棄部34が、送信元のMACアドレスがホワイトリスト31aに含まれていないパケットを廃棄する。
外部機器制御手順では、外部機器制御部36が、比較部32においてホワイトリスト31aに含まれていない侵入PC6のMACアドレスが発見された場合、L2SW4A−1及び4A−3の侵入PC6の接続されているポートを閉鎖する。
When the packet transmission source is an intrusion PC, the
In the packet discard procedure, the packet discard
In the external device control procedure, when the external
図7を参照しながら、外部機器制御手順における外部機器制御部36におけるL2SW制御について説明する。ホワイトリスト31aに一致しなかった侵入PC6のソースMACアドレスは以下の処理により、侵入ポートを特定し、閉鎖を行う。
The L2SW control in the external
ステップS100:比較部32でホワイトリスト31aに含まれていないMACアドレスが発見される。
ステップS101:外部機器制御部36は登録されたL2SW4A−1〜4A−3を順に巡回処理を行う。登録されたL2SW4A−1〜4A−3は図6に示すL2SW一覧36aに格納されており、それぞれのL2SW4A−1〜4A−3にアクセスするためのIPアドレスと、下位L2SW4A−2、4A−3が存在する場合は、その下位L2SW4A−2、4A−3のアドレスと接続ポート番号が格納されている。
Step S100: The
Step S101: The external
ステップS102:外部機器制御部36は登録されたL2SW4A−1〜4A−3に順にTELNET接続する。
ステップS103:外部機器制御部36はL2SW4A−1〜4A−3のFDB一覧を取得し、学習済みのMACアドレスを取得する。FDBは図5のようになっており、L2SW4A−1〜4A−3で受信したパケットのソースMACアドレスとVLAN ID、受信ポート番号が格納されている。このFDBに格納されているMACアドレスのPCがそのポートに接続されていることを示す。
ステップS104:外部機器制御部36は侵入PC6のMACアドレスがFDBに格納されているMACアドレスと一致するかを検査する。
Step S102: The external
Step S103: The external
Step S104: The external
ステップS105:下位L2SW4A−2、4A−3の接続の有無を確認する。もし一致したポートが下位L2SW4A−2、4A−3に接続されたポートであれば、下位L2SW4A−2、4A−3のポートを閉鎖しなくてはならないため、本L2SW4A−1のポートは閉鎖しない。
Step S105: Whether or not the
ステップS106:下位L2SW4A−2、4A−3が接続されていない場合は、該当ポートに侵入PC6が接続されていることとなるため、該当ポートを閉鎖する。そして、外部機器制御部36におけるL2SW制御を終了する。
Step S106: When the
ステップS107:すべてのMACアドレスが侵入PC6のMACアドレスと一致しなかったかを確認する。
ステップS108:すべてのMACアドレスが侵入PC6のMACアドレスと一致しなかった場合、次のL2SWへと処理を継続する。
Step S107: It is confirmed whether all MAC addresses do not match the MAC address of the intruding
Step S108: If all the MAC addresses do not match the MAC address of the intruding
また、本実施形態では、侵入PC6がファイアーウォール装置3で発見された後にFDBを取得しているが、事前にL2SW4A−1〜4A−3を巡回アクセスし、あらかじめFDBを取得しておいてもよい。
In this embodiment, the FDB is acquired after the
図8に、TELNETを用いたポート閉鎖制御の一例を示す。外部機器制御部36がL2SW4A−1〜4A−3にアクセスし、FDBに格納されている学習済みMACアドレス一覧を取得し、侵入PC6を発見し、ポートを閉鎖する。具体的には、まず外部機器制御部36は、TELNETにログインし、FDB取得のためのコマンドを実行して、MACアドレス及びポート番号の一覧を取得する。外部機器制御部36は、取得したMACアドレスのなかに侵入PC6のMACアドレス「3c97.0e80.4b81」を発見すると、ポート番号「G1/0/20」に侵入PC6が接続されていることが分かる。この場合、外部機器制御部36は、次にポート番号「G1/0/20」を閉鎖するコマンドを実行する。
FIG. 8 shows an example of port closing control using TELNET. The external
以上説明したように、本実施形態に係るファイアーウォール装置3は、侵入PC6からのパケットを廃棄するとともに、侵入PC6の接続されているL2SW4A−3のポート番号「G1/0/20」を閉鎖する。これにより、本実施形態に係るファイアーウォール装置3は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンNW2への侵入を防ぐとともにL2SW4A−3への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。
As described above, the
(実施形態2)
図9に、本実施形態に係るパケット制御システムの概略構成図を示す。本実施形態に係るパケット制御システムは、実施形態1と同様に、複数のL2SW4A−1〜4A−3と、パケット制御装置として機能するファイアーウォール装置3と、を備える。ファイアーウォール装置3の構成、並びに、パケット受信手順、比較手順、パケット送信手順、パケット廃棄手順については、実施形態1と同様である。
(Embodiment 2)
FIG. 9 shows a schematic configuration diagram of a packet control system according to the present embodiment. As in the first embodiment, the packet control system according to the present embodiment includes a plurality of
本実施形態のファイアーウォール装置3は、多段防御アクセスファイアーウォールを実現し、L2SW4A−1〜4A−3の各ポートを検査する。これにより、侵入PC6がL2SW4A−3に接続された場合、外部機器制御手順において、L2SW4A−3のMACフィルタ機能を利用して、LANへの侵入PC6からのパケットの侵入を阻止する。
The
まず、正規PC5−1〜5−4はバックボーンNW2へL2SW4及びファイアーウォール装置3を経由して通信を行う。このとき、ファイアーウォール装置3は、LAN側から受信したパケットのソースMACアドレスがホワイトリスト31aに含まれるかどうかを検査し、ホワイトリスト31aに含まれないMACアドレスは侵入PC6であると判定する。ホワイトリスト31aに一致しない、侵入PC6のMACアドレスがソースMACに含まれるパケットを廃棄することにより、侵入PC6からバックボーンNW2に通過しようとする通信を遮断する。
First, the regular PCs 5-1 to 5-4 communicate with the backbone NW2 via the
更に、ファイアーウォール装置3は、配下のL2SW4A−2、4A−3にアクセスし、侵入PC6のMACアドレスがL2SW4A−2、4A−3のFDBに入っているかどうかを検索する。L2SW4A−2、4A−3へのアクセスはTELNETや、SNMPなどのL2SW4A−2、4A−3がネットワーク管理用にサポートしている手順を用いる。
Furthermore, the
侵入PC6がFDBに入っていれば、その侵入PC6が該当L2SW4A−3を経由していることが分かるため、L2SW4A−3のMACフィルタを設定し、以後侵入PC6のパケットが該当L2SW4A−3を流れないように阻止する。これにより、低価格なL2SWで構成されたネットワークでも、高階層な防御(FWとアクセスリンクの2段)が可能になる。
If the intruding
図10は、本実施形態に係るL2SW一覧36aの一例を示す。L2SW一覧36aには、各L2SW4A−1〜4A−3にアクセスするためのIPアドレスが格納される。
FIG. 10 shows an example of the
図11を参照しながら、外部機器制御手順における外部機器制御部36のL2SW制御について説明する。ホワイトリスト31aに一致しなかった侵入PC6のソースMACアドレスは、以下の処理により特定し、遮断を行う。
The L2SW control of the external
ステップS200:比較部32でホワイトリスト31aに含まれていないMACアドレスが発見される。
ステップS201:まず、外部機器制御部36は登録されたL2SW4A−1〜4A−3を順に巡回処理を行う。登録されたL2SW4A−1〜4A−3にアクセスするためのIPアドレスは図10に示すL2SW一覧36aに格納されており、それぞれのL2SW4A−1〜4A−3にアクセスするために使用される。
Step S200: The MAC address not included in the
Step S201: First, the external
ステップS202:外部機器制御部36は登録されたL2SW4A−1〜4A−3の順にTELNET接続する。
ステップS203:L2SW4A−1〜4A−3のFDB一覧を取得し、学習済みのMACアドレスを取得する。使用するFDBは実施形態1の図5と同様の形式である。FDBに格納されているMACアドレスのPCがそのポートに接続されていることを示す。
Step S202: The external
Step S203: An FDB list of
ステップS204:外部機器制御部36は侵入PC6のMACアドレスがFDBに格納されているMACアドレスと一致するかを検査する。
Step S204: The external
ステップS205:侵入PC6のMACアドレスと一致した場合は、そのポートから侵入PC6のMACアドレスをソースMACに持つパケットを受信できなくするフィルタを登録する。これにより、以後の侵入PC6からの通信を遮断することができる。
ステップS206:すべてのMACアドレスが侵入PC6のMACアドレスと一致しているかを確認する。
ステップS207:すべてのMACアドレスが侵入PC6のMACアドレスと一致しなかった場合、次のL2SWの処理へと処理を継続する。
Step S205: If it matches the MAC address of the intruding
Step S206: It is confirmed whether all MAC addresses match the MAC address of the intruding
Step S207: If all the MAC addresses do not match the MAC address of the intruding
また、本実施形態では、侵入PC6がファイアーウォール装置3で発見されたのちにFDBを取得しているが、事前にL2SW4A−1〜4A−3を巡回アクセスし、あらかじめFDBを取得しておいてもよい。
In the present embodiment, the FDB is acquired after the
図12に本実施形態に係るフィルタ制御の一例を示す。実際の外部機器制御部36がL2SW4にアクセスし、FDBを取得、侵入PC6を発見し、MACアドレスのフィルタを行う。具体的には、まず、外部機器制御部36がTELNETログインし、FDB取得のためのコマンドを実行して、MACアドレスの一覧を取得する。外部機器制御部36は、取得したMACアドレスのなかに侵入PC6のMACアドレス「3c97.0e80.4b81」を発見すると、ポート「G1/0/20」に侵入PC6が接続されていることが分かる。この場合、外部機器制御部36は、該当MACアドレスのパケットの受信を禁止するコマンドを実行する。
FIG. 12 shows an example of filter control according to the present embodiment. The actual external
以上説明したように、本実施形態に係るファイアーウォール装置3は、侵入PC6からのパケットを廃棄するとともに、侵入PC6の接続されているL2SW4A−3において侵入PC6のMACアドレス「3c97.0e80.4b81」のパケットの受信を禁止する。これにより、本実施形態に係るファイアーウォール装置3は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンNW2への侵入を防ぐとともにL2SW4A−3への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。
As described above, the
(実施形態3)
図13は、本実施形態に係るパケット制御システムの構成概略図を示す。本実施形態に係るパケット制御システムは、実施形態1及び2のL2SW4A−1〜4A−3に代えて、複数の無線アクセスポイント4B−1及び4B−2を備える。ファイアーウォール装置3の構成、並びに、パケット受信手順、比較手順、パケット送信手順、パケット廃棄手順については、実施形態1と同様である。
(Embodiment 3)
FIG. 13 is a schematic configuration diagram of the packet control system according to the present embodiment. The packet control system according to the present embodiment includes a plurality of
無線アクセスポイント4B−1、4B−2は、LANを構成するアクセスブリッジ装置として機能する。正規PC5−1及び5−2は、端末装置として機能し、無線アクセスポイント4B−1に接続されている。正規PC5−3及び5−4は、端末装置として機能し、無線アクセスポイント4B−2に接続されている。本実施形態では、LANの一例として、無線アクセスポイント4B−1及び4B−2がファイアーウォール装置3に接続されている例を示すが、LANはこれに限定されない。例えば、無線アクセスポイント4B−1及び4B−2は、L2SW(不図示)を介してファイアーウォール装置3に接続されていてもよい。
The
ファイアーウォール装置3は、多段防御アクセスファイアーウォールを実現し、無線アクセスポイント4B−1、4B−2の各チャネルを検査する。これにより、侵入PC6が無線アクセスポイント4B−2に接続された場合、外部機器制御手順において、無線アクセスポイント4B−2のMACフィルタ機能を利用して、LANへの侵入PC6からのパケットの侵入を阻止する。
The
本実施形態では、図3に示すL2SW一覧36aに代えて、無線アクセスポイント一覧が備わる。本実施形態では2台の無線アクセスポイント一覧4B−1〜4B−2が登録されており、無線アクセスポイント4B−1、4B−2にアクセスするためのIPアドレスが格納されている。
In the present embodiment, a wireless access point list is provided instead of the
外部機器制御手順における外部機器制御部36の動作は、図11に示す実施形態2と同様である。ただし、図11における「L2SW」は「無線アクセスポイント」に代わる。LANにL2SW及び無線アクセスポイントの両方が備わる場合、図11における「L2SW」は
「L2SW及び無線アクセスポイント」に代わる。
The operation of the external
比較部32でホワイトリスト31aに含まれていないMACアドレスが発見されると、外部機器制御部36は、無線アクセスポイント一覧に登録されている無線アクセスポイント4B−1、4B−2にアクセスし、パケット転送制御用テーブルを取得する。外部機器制御部36は、侵入PC6がパケット転送制御用テーブルに入っていれば、その侵入PC6が無線アクセスポイント4B−2を経由していることが分かるため、無線アクセスポイント4B−2のMACフィルタを設定し、以後侵入PC6のパケットが無線アクセスポイント4B−2を流れないように阻止する。
When the
例えば、外部機器制御部36がTELNETログインし、パケット転送制御用テーブル取得のためのコマンドを実行して、MACアドレスの一覧を取得する。外部機器制御部36は、取得したMACアドレスのなかに侵入PC6のMACアドレスを発見すると、チャネルに侵入PC6が接続されていることが分かる。この場合、外部機器制御部36は、該当MACアドレスのパケットの受信を禁止するコマンドを実行する。
For example, the external
以上説明したように、本実施形態に係るファイアーウォール装置3は、侵入PC6からのパケットを廃棄するとともに、侵入PC6の接続されている無線アクセスポイント4B−2において侵入PC6のMACアドレスのパケットの受信を禁止する。これにより、本実施形態に係るファイアーウォール装置3は、低価格なアクセスブリッジ装置で構成されたネットワークであっても、バックボーンNW2への侵入を防ぐとともに無線アクセスポイント4B−2への侵入を防ぐ、高階層な防御(FWとアクセスリンクの2段)を可能にすることができる。
As described above, the
本開示のパケット制御装置は、通信産業に適用することができる。 The packet control device of the present disclosure can be applied to the communication industry.
1:ホワイトリスト管理サーバ
2:バックボーンNW
3:ファイアーウォール装置
31:ホワイトリスト保持部
31a:ホワイトリスト
32:比較部
33:パケット受信部
34:パケット廃棄部
35:パケット送信部
36:外部機器制御部
36a:L2SW一覧
37:ネットワークインタフェース
4A−1、4A−2、4A−3:L2SW
4B−1、4B−2:無線アクセスポイント
5−1、5−2、5−3、5−4:正規PC
6:侵入PC
1: White list management server 2: Backbone NW
3: Firewall device 31: White
4B-1, 4B-2: Wireless access points 5-1, 5-2, 5-3, 5-4: Regular PC
6: Intrusion PC
Claims (6)
前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を保持するホワイトリスト保持部(31)と、
前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較部(32)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信部(35)と、
送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄部(34)と、
前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御部(36)と、
を備えるパケット制御装置。 A packet receiver (33) that receives a packet transmitted from the access bridge device (4) and acquires a device identifier of the transmission source from the packet;
A white list holding unit (31) for holding a white list (31a) of device identifiers of terminal devices connected to the access bridge device (4);
A comparison unit (32) for determining whether or not the device identifier acquired by the packet reception unit (33) is included in the white list (31a);
A packet transmission unit (35) for forwarding a packet whose destination device identifier is included in the white list (31a) to a destination;
A packet discard unit (34) for discarding a packet whose source device identifier is not included in the white list (31a);
When a device identifier not included in the white list (31a) is found in the comparison unit (32), the device identifier is stored using a packet transfer control table held by the access bridge device (4). An external device control unit that blocks communication of packets whose source is a device identifier not included in the white list (31a) with respect to the access bridge device (4) that holds the packet transfer control table that is stored ( 36)
A packet control device.
前記パケット転送制御用テーブルは、各ポートに接続されている前記端末装置の装置識別子を格納し、
前記外部機器制御部は、前記比較部において前記ホワイトリストに含まれていない装置識別子が発見された場合、前記ホワイトリストに含まれていない装置識別子に対応するポートを閉鎖する、
請求項1に記載のパケット制御装置。 The access bridge device is an L2 switch,
The packet transfer control table stores a device identifier of the terminal device connected to each port,
The external device control unit closes a port corresponding to a device identifier not included in the white list when a device identifier not included in the white list is found in the comparison unit.
The packet control device according to claim 1.
前記パケット転送制御用テーブルは、各ポートに接続されている前記端末装置の装置識別子を格納し、
前記外部機器制御部は、前記比較部において前記ホワイトリストに含まれていない装置識別子が発見された場合、前記ホワイトリストに含まれていない装置識別子を遮断する、
請求項1に記載のパケット制御装置。 The access bridge device is an L2 switch,
The packet transfer control table stores a device identifier of the terminal device connected to each port,
The external device control unit blocks a device identifier not included in the white list when a device identifier not included in the white list is found in the comparison unit.
The packet control device according to claim 1.
前記パケット転送制御用テーブルは、各チャネルに接続されている前記端末装置の装置識別子を格納し、
前記外部機器制御部は、前記比較部において前記ホワイトリストに含まれていない装置識別子が発見された場合、前記ホワイトリストに含まれていない装置識別子を遮断する、
請求項1に記載のパケット制御装置。 The access bridge device is a wireless access point;
The packet transfer control table stores a device identifier of the terminal device connected to each channel,
The external device control unit blocks a device identifier not included in the white list when a device identifier not included in the white list is found in the comparison unit.
The packet control device according to claim 1.
請求項1から4のいずれかに記載のパケット制御装置。 The terminal device includes a computer, a camera or a sensor,
The packet control device according to claim 1.
比較部(32)が、前記アクセスブリッジ装置(4)に接続されている端末装置の装置識別子のホワイトリスト(31a)を参照し、前記パケット受信部(33)の取得した装置識別子が前記ホワイトリスト(31a)に含まれているか否かを判定する比較手順と、
パケット送信部(35)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれているパケットを、宛先に向けてパケットを転送するパケット送信手順と、
パケット廃棄部(34)が、送信元の装置識別子が前記ホワイトリスト(31a)に含まれていないパケットを廃棄するパケット廃棄手順と、
外部機器制御部(36)が、前記比較部(32)において前記ホワイトリスト(31a)に含まれていない装置識別子が発見された場合、前記アクセスブリッジ装置(4)の保持するパケット転送制御用テーブルを用いて、当該装置識別子が格納されているパケット転送制御用テーブルを保持する前記アクセスブリッジ装置(4)に対し、前記ホワイトリスト(31a)に含まれていない装置識別子を送信元とするパケットの通信を遮断させる外部機器制御手順と、
を実行するパケット制御方法。 A packet receiving unit (33) for receiving a packet transmitted from the access bridge device (4) and acquiring a transmission source device identifier from the packet;
The comparison unit (32) refers to the device identifier white list (31a) of the terminal device connected to the access bridge device (4), and the device identifier acquired by the packet reception unit (33) is the white list. (31a) a comparison procedure for determining whether or not included,
A packet transmission procedure in which a packet transmission unit (35) transfers a packet having a device identifier of a transmission source included in the white list (31a) toward a destination;
A packet discarding procedure for discarding a packet whose source device identifier is not included in the whitelist (31a);
The packet transfer control table held by the access bridge device (4) when the external device control unit (36) finds a device identifier not included in the white list (31a) in the comparison unit (32). The access bridge device (4) holding the packet transfer control table storing the device identifier is used to send a packet having a device identifier not included in the white list (31a) as a transmission source. An external device control procedure for blocking communication;
Packet control method to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016202496A JP2018064228A (en) | 2016-10-14 | 2016-10-14 | Packet controller |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016202496A JP2018064228A (en) | 2016-10-14 | 2016-10-14 | Packet controller |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018064228A true JP2018064228A (en) | 2018-04-19 |
Family
ID=61968070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016202496A Pending JP2018064228A (en) | 2016-10-14 | 2016-10-14 | Packet controller |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018064228A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020077912A (en) * | 2018-11-05 | 2020-05-21 | 富士通株式会社 | Network control device and network control method |
JP7434672B1 (en) | 2023-03-03 | 2024-02-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Information processing system, information processing method, and information processing program |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006033140A (en) * | 2004-07-13 | 2006-02-02 | Fujitsu Ltd | Network management apparatus, network management method, and program |
JP2009253461A (en) * | 2008-04-02 | 2009-10-29 | Nec Corp | Network, communication management device, wired switch, wireless controller, illegal communication disconnecting method,and program |
WO2012014509A1 (en) * | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
JP2012034129A (en) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | Management server, communication interruption device, information processing system, method and program |
JP2014186703A (en) * | 2013-03-25 | 2014-10-02 | Fujitsu Ltd | Authentication apparatus and authentication method |
JP2015035724A (en) * | 2013-08-09 | 2015-02-19 | 株式会社日立製作所 | Network control device |
-
2016
- 2016-10-14 JP JP2016202496A patent/JP2018064228A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006033140A (en) * | 2004-07-13 | 2006-02-02 | Fujitsu Ltd | Network management apparatus, network management method, and program |
JP2009253461A (en) * | 2008-04-02 | 2009-10-29 | Nec Corp | Network, communication management device, wired switch, wireless controller, illegal communication disconnecting method,and program |
JP2012034129A (en) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | Management server, communication interruption device, information processing system, method and program |
WO2012014509A1 (en) * | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
JP2014186703A (en) * | 2013-03-25 | 2014-10-02 | Fujitsu Ltd | Authentication apparatus and authentication method |
JP2015035724A (en) * | 2013-08-09 | 2015-02-19 | 株式会社日立製作所 | Network control device |
Non-Patent Citations (1)
Title |
---|
ロックハート アンドリュー ANDREW LOCKHART: "ネットワークセキュリティHacks−プロが使うテクニック&ツール100選", ネットワークセキュリティHACKS 初版 NETWORK SECURITY HACKS, vol. 第1版, JPN6020042144, 14 July 2005 (2005-07-14), pages 100 - 102, ISSN: 0004511830 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020077912A (en) * | 2018-11-05 | 2020-05-21 | 富士通株式会社 | Network control device and network control method |
JP7081445B2 (en) | 2018-11-05 | 2022-06-07 | 富士通株式会社 | Network control device and network control method |
JP7434672B1 (en) | 2023-03-03 | 2024-02-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Information processing system, information processing method, and information processing program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9608908B2 (en) | Network system and VLAN tag data acquiring method | |
US10212160B2 (en) | Preserving an authentication state by maintaining a virtual local area network (VLAN) association | |
EP2544417B1 (en) | Communication system, path control apparatus, packet forwarding apparatus and path control method | |
EP2643952B1 (en) | Communication system, communication device, controller, and method and program for controlling forwarding path of packet flow | |
US8340092B2 (en) | Switching system and method in switching system | |
JP5994851B2 (en) | Transfer device control device, transfer device control method, communication system, and program | |
US8584209B1 (en) | Authentication using a proxy network node | |
WO2016082588A1 (en) | Link connectivity checking method and apparatus | |
WO2013115177A1 (en) | Network system and topology management method | |
WO2012077603A1 (en) | Computer system, controller, and network monitoring method | |
US20090304008A1 (en) | Network relay device and network relay method | |
WO2016150057A1 (en) | Method and device for sending access control list (acl) | |
WO2015000386A1 (en) | Virtual network | |
CN105429841B (en) | NNI PING implementation method and device | |
EP3095216B1 (en) | Single hop overlay architecture for line rate performance in campus networks | |
US20180213068A1 (en) | Providing efficient routing of an operations, administration and maintenance (oam) frame received at a port of an ethernet switch | |
US11159485B2 (en) | Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections | |
JP2018064228A (en) | Packet controller | |
JP2019213182A (en) | Network protection device and network protection system | |
EP1617619B1 (en) | Method for securing communication in a local area network switch | |
JP7156310B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM | |
US8407779B1 (en) | Transposing a packet firewall policy within a node | |
KR20160072718A (en) | System and method for neighbor discovery based on ethernet in the software defined networks | |
Cisco | Configuring Source-Route Bridging | |
US9451053B1 (en) | Systems and methods for interfacing software-defined networks with non-software-defined networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190912 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20200703 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20200703 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201110 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210525 |