JP2019009637A - ネットワーク監視装置 - Google Patents
ネットワーク監視装置 Download PDFInfo
- Publication number
- JP2019009637A JP2019009637A JP2017124141A JP2017124141A JP2019009637A JP 2019009637 A JP2019009637 A JP 2019009637A JP 2017124141 A JP2017124141 A JP 2017124141A JP 2017124141 A JP2017124141 A JP 2017124141A JP 2019009637 A JP2019009637 A JP 2019009637A
- Authority
- JP
- Japan
- Prior art keywords
- message
- network
- network monitoring
- monitoring device
- default gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】監視プログラムが動作せず、アドレス情報が登録されていない端末の監視制御が、IPv6によるネットワークで実施できるようにする。【解決手段】監視部101は、LAN121を監視して、いずれかの端末122からLAN121に送出されたデフォルトゲートウェイの設定情報を要求する第1メッセージを検知する。送信部102は、監視部101が第1メッセージを検知すると、第1メッセージの送信元に、自装置をデフォルトゲートウェイとする設定情報を含む第2メッセージを送信する。判断部104は、ネットワーク監視装置100をデフォルトゲートウェイとして経由する、第1メッセージの送信元の端末122とサーバ132との間でやりとりされる第3メッセージの正/不正を判断する。【選択図】 図1
Description
本発明は、ネットワーク監視装置に関し、特に、ローカルエリアネットワークに接続する機器を監視するネットワーク監視装置に関する。
近年IoTの普及により、様々な機器がインターネットに接続されるようになり、インターネットに接続される機器の数も爆発的に増え、IPv4からIPv6への移行が加速している。このため、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、従来のIPv4に対応した装置からIPv6に対応した装置が急速に求められている。
従来の技術では、不正な接続を防ぐためにネットワーク内の端末を把握しようとすると、多くの場合、各端末にエージェントなどのソフトウエアをインストールして常に動作させていた。また、IPv4では、ARP(Address Resolution Protocol)などのアドレス解決プロトコルを使用していた。また、接続した端末のIPv6アドレスとMACアドレスの組み合わせが「許可端末リスト」に記憶されているか否かで、接続した端末の正/不正を判断する技術も提案されている(特許文献1参照)。
ところで、エージェントなどのソフトウエアを動作させておくことで、不正を監視するシステムでは、エージェントが動作していない機器においては、不正を監視することができない。また、特許文献1の技術では、IPv4のアドレス解決プロトコルを用いることができないIPv6においても、端末の接続制御ができるが、端末のアドレス情報が予め登録されている必要がある。
このため、例えば、企業内のネットワークに、新規に端末を接続する場合、当該端末が不正と判断されないようにするために、予めエージェントをインストールしておく、または、予め、端末のMACアドレスとIPv6アドレスとの情報などを、「許可端末リスト」に登録しておく必要がある。このため、従来では、新規に購入された端末は、エージェントが動作していなく、また、アドレス情報が登録されていないため、ネットワークに仮接続することもできない。例えば、新規に購入した端末を、企業外の広域網への接続は遮断し、構内ネットワークの接続は許可しようとする場合、上述した技術では対応できない。
上述したように、従来では、IPv6によるネットワークでは、アドレス情報が登録されておらず、エージェントなどの監視プログラムが動作していない端末については、監視制御ができないという問題があった。
本発明は、以上のような問題点を解消するためになされたものであり、監視プログラムが動作せず、アドレス情報が登録されていない端末の監視制御が、IPv6によるネットワークで実施できるようにすることを目的とする。
本発明に係るネットワーク監視装置は、複数の端末が接続されているIPv6によるネットワークを監視して、いずれかの端末からネットワーク以外に送信される不正なメッセージを破棄するネットワーク監視装置であって、ネットワークを監視して、いずれかの端末からネットワークに送出されたデフォルトゲートウェイの設定情報を要求する第1メッセージを検知するように構成された監視部と、監視部が第1メッセージを検知すると、第1メッセージの送信元に、自装置をデフォルトゲートウェイとする設定情報を含む第2メッセージを送信するように構成された送信部と、自装置をデフォルトゲートウェイとして、ネットワークのルータを介して第1メッセージの送信元とネットワーク以外の他のネットワークに接続されている通信先との間でやりとりされる第3メッセージの転送を実施するように構成された転送部と、転送部で転送される第3メッセージの正/不正を判断するように構成された判断部と、判断部が不正と判断した第3メッセージの転送を遮断するように構成された遮断部とを備える。
上記ネットワーク監視装置において、送信部は、自装置をネットワークのルータの優先度より高い優先度のデフォルトゲートウェイとした設定情報を含む第2メッセージを送信すればよい。
上記ネットワーク監視装置において、送信部は、ルータをデフォルトゲートウェイとした設定情報を含み、ルータの生存時間を0とした第4メッセージを第1メッセージの送信元に送信した後で、第2メッセージを送信するようにしてもよい。
上記ネットワーク監視装置において、遮断部は、第1メッセージの送信元に、存在していないデフォルトゲートウェイの設定情報を含む第5メッセージを送信することで、遮断を実施すればよい。
上記ネットワーク監視装置において、第2メッセージが送信された後で、自装置をデフォルトゲートウェイとする設定情報を含む第6メッセージを、マルチキャストでネットワークに送出するように構成された追加送信部を更に備えるようにしてもよい。
上記ネットワーク監視装置において、追加送信部は、第2メッセージが送信された後で、設定されている時間間隔で、第6メッセージを送出する。
以上説明したことにより、本発明によれば、アドレス情報が登録されておらず、エージェントなどの監視プログラムが動作していない端末の監視制御が、IPv6によるネットワークで実施できるという優れた効果が得られる。
以下、本発明の実施の形態について参照して説明する。
[実施の形態1]
はじめに、本発明の実施の形態1におけるネットワーク監視装置100について、図1を参照して説明する。ネットワーク監視装置100は、複数の端末122が接続されているIPv6によるLAN(ネットワーク)121を監視する。LAN121は、ルータ123を経由してLAN121以外のWAN(外部ネットワーク)131に接続している。例えば、端末122は、ルータ123を介し、WAN131接続されている通信先となるサーバ132と接続可能とされている。ネットワーク監視装置100は、いずれかの端末122からLAN121以外のWAN131に送信される不正なメッセージを破棄する。
はじめに、本発明の実施の形態1におけるネットワーク監視装置100について、図1を参照して説明する。ネットワーク監視装置100は、複数の端末122が接続されているIPv6によるLAN(ネットワーク)121を監視する。LAN121は、ルータ123を経由してLAN121以外のWAN(外部ネットワーク)131に接続している。例えば、端末122は、ルータ123を介し、WAN131接続されている通信先となるサーバ132と接続可能とされている。ネットワーク監視装置100は、いずれかの端末122からLAN121以外のWAN131に送信される不正なメッセージを破棄する。
ネットワーク監視装置100は、監視部101、送信部102、転送部103、判断部104、遮断部105を備える。
監視部101は、LAN121を監視して、いずれかの端末122からLAN121に送出されたデフォルトゲートウェイの設定情報を要求する第1メッセージを検知する。送信部102は、監視部101が第1メッセージを検知すると、第1メッセージの送信元に、自装置をデフォルトゲートウェイとする設定情報を含む第2メッセージを送信する。
転送部103は、ネットワーク監視装置100をデフォルトゲートウェイとして、LAN121のルータ123を介し、第1メッセージの送信元とサーバ132との間でやりとりされる第3メッセージの転送を実施する。転送部103は、例えば、第1メッセージの送信元の端末122からサーバ132へのリクエスト(第3メッセージ)の送信を受け付け、受け付けたリクエストをルータ123に転送する。これにより、ルータ123は、リクエストをサーバ132に送信する。また、このリクエストに対するサーバ132からのアンサー(第3メッセージ)は、ルータ123で受けられ、ネットワーク監視装置100の転送部103を介し、第1メッセージの送信元の端末122へ転送される。
ここで、第1メッセージは、例えば、IPv6プロトコルにおけるRS(Router Solicitation)である。また、第2メッセージは、IPv6プロトコルにおけるRA(Router Advertisement)である。例えば、一般に、端末122がLAN121に接続されると、まず、リンクローカルアドレスが自動的に設定される。次いで、端末122は、設定されたリンクローカルアドレスを送信元アドレスとし、LAN121に接続されているルータ123に、RS(ルータ要請)メッセージを送信し、グローバルユニキャストのプレフィックスを得ようとする。RSは、例えば、マルチキャストで送信する。
このRSがルータ123で受け付けられると、ルータ123は、RSの送信元の端末122にRAを返す。RAには、端末122に割り当てるプレフィックス、デフォルトゲートウェイ、有効期限などの情報が含まれている。このRAを受信した端末122は、受信したプレフィックスと自身のMACアドレスを利用し、EUI−64により生成したインターフェースIDを組み合わせることで、グローバルユニキャストアドレスを生成して設定する。
ネットワーク監視装置100の監視部101は、上述したように端末122から送出されるRS(第1メッセージ)を検出する。監視部101がRSを検出すると、送信部102が、ネットワーク監視装置100をゲートウェイとする情報を含むRA(第2メッセージ)を端末122に返す。ここで、端末122から送出されるRSは、ルータ123においても受け付けられ、ルータ123も、ルータ123をゲートウェイとする情報を含むRAを端末122に送信する。
ルータ123より優先度が高いデフォルトゲートウェイとして端末122に設定されるように、送信部102は、自装置をルータ123の優先度より高い優先度のデフォルトゲートウェイとした設定情報を含むRAを送信する。これにより、送信部102では、ネットワーク監視装置100がデフォルトゲートウェイとして設定されるようになる。
送信部102は、まず、ルータ123をデフォルトゲートウェイとした設定情報を含み、ルータ123の生存時間(ルータ生存時間)を0とし、送信元をルータ123とした第4メッセージ(RA)を、RSの送信元の端末122に送信する。次いで、送信部102は、ネットワーク監視装置100をデフォルトゲートウェイとした第2メッセージ(RA)を、RSの送信元の端末122に送信する。第4メッセージを受け付けた端末122では、ルータ123をデフォルトゲートウェイに設定しない。この結果、端末122では、この後受け付けた第2メッセージにより、ネットワーク監視装置100をデフォルトゲートウェイとして設定する。
上述したことにより、端末122では、ネットワーク監視装置100をデフォルトゲートウェイとする。このため、例えば、端末122が、WAN131に収容(接続)されているサーバ132との間でセッションを確立し、メッセージの送受信をおこなおうとすると、これらのメッセージは、ネットワーク監視装置100を経由する(中継される)ことになる。
このように、ネットワーク監視装置100をデフォルトゲートウェイとして(見なして)経由する(中継される)、LAN121のルータ123を介して第1メッセージの送信元の端末122とサーバ132との間でやりとりされる第3メッセージの正/不正を、判断部104が判断する。判断部104は、例えば、サーバ132が許可していない宛先の場合、不正と判断する。また、判断部104は、第3メッセージのやりとりが許可されていないポートを使用されている場合、不正と判断する。
遮断部105は、判断部104が不正と判断した第3メッセージの転送を遮断する。例えば、遮断部105は、転送部103による第3メッセージの転送を停止する。また、遮断部105は、第3メッセージを破棄する。また、例えば、遮断部105は、第1メッセージの送信元の端末122に、存在していないデフォルトゲートウェイの設定情報を含むRA(第5メッセージ)を送信してもよい。これにより、第1メッセージの送信元の端末122は、サーバ132との通信が遮断された状態となる。
上述したように、実施の形態1では、端末122では、監視プログラムが動作しておらず、また、端末122のアドレス情報が登録された装置は存在していないが、ネットワーク監視装置100により、IPv6によるネットワークの監視が実現できる。このように、実施の形態1によれば、各端末にエージェントを入れることなく、更には既存のネットワークの設定を変更することなく、外部通信しようとする端末を把握し、この通信を監視し、不正と判断したメッセージは遮断することができるようになる。
次に、本発明の実施の形態1におけるネットワーク監視装置の動作例について、図2を参照して説明する。
まず、監視部101が、いずれかの端末122からLAN121に送出されたデフォルトゲートウェイの設定情報を要求する第1メッセージを検知すると(ステップS101のyes)、ステップS102で、送信部102が、第1メッセージの送信元に、自装置をデフォルトゲートウェイとする設定情報を含む第2メッセージを送信する。
次に、転送部103により端末122とサーバ132との間で、第3メッセージのやりとりが始まると(ステップS103のyes)、ステップS104で、判断部104が、第3メッセージの正/不正を判断する。
判断部104が、第3メッセージを不正と判断すると(ステップS105のyes)、ステップS106で、遮断部105が、第3メッセージの転送を遮断する。また、判断部104により、第3メッセージが不正と判断されると、管理者に視認可能なアラートを出すようにしてもよい。ネットワーク監視装置100は、上述した各ステップの動作を、終了の指示を受け付けるまで継続する(ステップS107)。
[実施の形態2]
次に、本発明の実施の形態2におけるネットワーク監視装置100について、図3を参照して説明する。実施の形態2におけるネットワーク監視装置100は、前述した実施の形態1と同様に、複数の端末122が接続されているLAN121を監視する。また、ネットワーク監視装置100は、前述した実施の形態1と同様に、監視部101、送信部102、転送部103、判断部104、遮断部105を備える。
次に、本発明の実施の形態2におけるネットワーク監視装置100について、図3を参照して説明する。実施の形態2におけるネットワーク監視装置100は、前述した実施の形態1と同様に、複数の端末122が接続されているLAN121を監視する。また、ネットワーク監視装置100は、前述した実施の形態1と同様に、監視部101、送信部102、転送部103、判断部104、遮断部105を備える。
実施の形態2におけるネットワーク監視装置100は、送信部102が第2メッセージを送信した後で、自装置をデフォルトゲートウェイとする設定情報を含む第6メッセージを、マルチキャストでLAN121に送出する追加送信部106を更に備える。追加送信部106は、例えば、第2メッセージが送信された後で、設定されている時間間隔で、マルチキャストで第6メッセージを送出し続ける。
第6メッセージは、マルチキャストにより、LAN121に接続されている全ての端末122に送信される。第6メッセージは、自装置をルータ123の優先度より高い優先度のデフォルトゲートウェイとした設定情報を含んでいるようにするとよい。第6メッセージは、例えば、IPv6プロトコルにおけるRAである。
なお、第6メッセージにおいては、ルータ生存時間を、第6メッセージの送出間隔より少し長い時間(例えば5秒)に設定しておいてもよい。このようにしておくと、ルータ生存時間を超えて次の第6メッセージが受信されない場合、端末122は、RSを送信し、デフォルトゲートウェイなどの情報を再設定する。ネットワーク監視装置100が故障した場合、上述したように、ルータ生存時間を超えて次の第6メッセージが受信されない状態となる。従って、この場合、ネットワーク監視装置100が故障すると、端末122は、RSを送信し、結果としてルータ123をデフォルトゲートウェイとして設定する。この結果、端末122は、ネットワーク監視装置100が故障しても、WAN131におけるサーバ132との通信が可能となる。
なお、上述した実施の形態におけるネットワーク監視装置は、図4に示すように、CPU(Central Processing Unit;中央演算処理装置)201と主記憶装置202と外部記憶装置203とネットワーク接続装置204となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。ネットワーク接続装置204は、ネットワーク205に接続する。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。
以上に説明したように、本発明では、監視部で、端末から送出された第1メッセージを検知すると、送信部で、第1メッセージの送信元に、自装置をデフォルトゲートウェイとする設定情報を含む第2メッセージを送信し、判断部で、転送部で転送される第3メッセージの正/不正を判断するようにした。この結果、本発明によれば、アドレス情報が登録されておらず、エージェントなどの監視プログラムが動作していない端末の監視制御が、IPv6によるネットワークで実施できるようになる。
なお、本発明は以上に説明した実施の形態に限定されるものではなく、本発明の技術的思想内で、当分野において通常の知識を有する者により、多くの変形および組み合わせが実施可能であることは明白である。
100…ネットワーク監視装置、101…監視部、102…送信部、103…転送部、104…判断部、105…遮断部、121…LAN(ネットワーク)、122…端末、123…ルータ、131…WAN(外部ネットワーク)、132…サーバ。
Claims (6)
- 複数の端末が接続されているIPv6によるネットワークを監視して、いずれかの前記端末から前記ネットワーク以外に送信される不正なメッセージを破棄するネットワーク監視装置であって、
前記ネットワークを監視して、いずれかの前記端末から前記ネットワークに送出されたデフォルトゲートウェイの設定情報を要求する第1メッセージを検知するように構成された監視部と、
前記監視部が前記第1メッセージを検知すると、前記第1メッセージの送信元に、自装置をデフォルトゲートウェイとする設定情報を含む第2メッセージを送信するように構成された送信部と、
自装置をデフォルトゲートウェイとして、前記ネットワークのルータを介して前記第1メッセージの送信元と前記ネットワーク以外の他のネットワークに接続されている通信先との間でやりとりされる第3メッセージの転送を実施するように構成された転送部と、
前記転送部で転送される前記第3メッセージの正/不正を判断するように構成された判断部と、
前記判断部が不正と判断した前記第3メッセージの転送を遮断するように構成された遮断部と
を備えることを特徴とするネットワーク監視装置。 - 請求項1記載のネットワーク監視装置において、
前記送信部は、自装置を前記ネットワークのルータの優先度より高い優先度のデフォルトゲートウェイとした設定情報を含む前記第2メッセージを送信する
ことを特徴とするネットワーク監視装置。 - 請求項1記載のネットワーク監視装置において、
前記送信部は、前記ルータをデフォルトゲートウェイとした設定情報を含み、前記ルータの生存時間を0とした第4メッセージを前記第1メッセージの送信元に送信した後で、前記第2メッセージを送信する
ことを特徴とするネットワーク監視装置。 - 請求項1〜3のいずれか1項に記載のネットワーク監視装置において、
前記遮断部は、前記第1メッセージの送信元に、存在していないデフォルトゲートウェイの設定情報を含む第5メッセージを送信することを特徴とするネットワーク監視装置。 - 請求項1〜4のいずれか1項に記載のネットワーク監視装置において、
前記第2メッセージが送信された後で、自装置をデフォルトゲートウェイとする設定情報を含む第6メッセージを、マルチキャストで前記ネットワークに送出するように構成された追加送信部を更に備えることを特徴とするネットワーク監視装置。 - 請求項5記載のネットワーク監視装置において、
前記追加送信部は、前記第2メッセージが送信された後で、設定されている時間間隔で、前記第6メッセージを送出することを特徴とするネットワーク監視装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017124141A JP2019009637A (ja) | 2017-06-26 | 2017-06-26 | ネットワーク監視装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017124141A JP2019009637A (ja) | 2017-06-26 | 2017-06-26 | ネットワーク監視装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019009637A true JP2019009637A (ja) | 2019-01-17 |
Family
ID=65029853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017124141A Pending JP2019009637A (ja) | 2017-06-26 | 2017-06-26 | ネットワーク監視装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019009637A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112565092A (zh) * | 2019-09-10 | 2021-03-26 | 阿自倍尔株式会社 | 确定装置和确定方法 |
-
2017
- 2017-06-26 JP JP2017124141A patent/JP2019009637A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112565092A (zh) * | 2019-09-10 | 2021-03-26 | 阿自倍尔株式会社 | 确定装置和确定方法 |
CN112565092B (zh) * | 2019-09-10 | 2023-02-28 | 阿自倍尔株式会社 | 确定装置和确定方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7228414B2 (en) | Method and apparatus for transferring a communication session | |
US7042879B2 (en) | Method and apparatus for transferring a communication session | |
Rahman et al. | Group communication for the constrained application protocol (CoAP) | |
US7228415B2 (en) | Method and apparatus for transferring a communication session | |
JP4819953B2 (ja) | IPv4ネットワークベースのIPv6サービス提供システムにおける制御トンネル及びダイレクトトンネルの設定方法 | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
JP3813571B2 (ja) | 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム | |
JP2011501624A (ja) | 仮想ipアドレスを介してアクセス可能なアドレスを持たないネットワークデバイスにアクセスするための種々の方法および装置 | |
McPherson et al. | Architectural considerations of IP anycast | |
US20110013647A1 (en) | Ipv6 over ipv4 transition method and apparatus for improving performance of control server | |
CN102118398B (zh) | 访问控制方法、装置及系统 | |
Ratliff et al. | Dynamic link exchange protocol (DLEP) | |
CN112654049A (zh) | 用于配置无线通信覆盖扩展系统的方法及实现所述方法的无线通信覆盖扩展系统 | |
JP4054719B2 (ja) | 特定アドレス使用制限装置 | |
JP2001144812A (ja) | ワイヤレスip端末の認証処理方式 | |
JP4344336B2 (ja) | マルチホーミング認証通信システム、マルチホーミング認証通信方法、および管理サーバ | |
JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
JP2019009637A (ja) | ネットワーク監視装置 | |
WO2009005212A1 (en) | Ipv6 over ipv4 transition method and apparatus for improving performance of control server | |
TWM541160U (zh) | 網路封鎖設備以及電腦可讀取儲存媒體 | |
JP2005051458A (ja) | 通信ネットワークシステム及びそのセキュリティ自動設定方法 | |
WO2011064858A1 (ja) | 無線認証端末 | |
Rahman et al. | RFC 7390: Group Communication for the Constrained Application Protocol (CoAP) | |
WO2018149673A1 (en) | A method of distributing a sub-flow associated with a session and a network apparatus | |
JP2007166146A (ja) | 通信中にアドレス変更が可能な通信装置、システム及び通信方法 |