JP2022078793A - Gateway device, communication system, communication method, and program - Google Patents

Gateway device, communication system, communication method, and program Download PDF

Info

Publication number
JP2022078793A
JP2022078793A JP2020189719A JP2020189719A JP2022078793A JP 2022078793 A JP2022078793 A JP 2022078793A JP 2020189719 A JP2020189719 A JP 2020189719A JP 2020189719 A JP2020189719 A JP 2020189719A JP 2022078793 A JP2022078793 A JP 2022078793A
Authority
JP
Japan
Prior art keywords
module
information
packet
communication
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020189719A
Other languages
Japanese (ja)
Other versions
JP7315236B2 (en
Inventor
功二 藤原
Koji Fujiwara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2020189719A priority Critical patent/JP7315236B2/en
Publication of JP2022078793A publication Critical patent/JP2022078793A/en
Application granted granted Critical
Publication of JP7315236B2 publication Critical patent/JP7315236B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

To provide a gateway device or the like that makes it difficult for an attacker to grasp the determination of the vulnerability by changing a packet that an IoT device responds to an investigation packet from the attacker.SOLUTION: A gateway device 10 includes a communication response determination unit 12a that determines whether a response packet to a packet transmitted from an external device contains information that can identify a module, and a communication response control unit 12b that rewrites information that can identify the module into information that cannot identify the module when the communication response determination unit determines that the response packet contains information that can identify the module.SELECTED DRAWING: Figure 1

Description

本発明は、ゲートウェイ装置、通信システム、通信方法、及びプログラムに関する。 The present invention relates to gateway devices, communication systems, communication methods, and programs.

近年、ハッカーなどからのサイバー攻撃の被害リスクが高まってきている。攻撃者は調査パケットをIoT機器へ送り、その応答によってIoT機器にどのモジュールが存在し、どの脆弱性が存在するかを判別して、その脆弱性に応じた攻撃をするなど攻撃方法が多様化してきている。これに対して、MACアドレスとIPアドレスとの対応関係を満足しないパケットについて、通信を許可しないものであると判定して廃棄するシステムが知られている(例えば、特許文献1参照)。 In recent years, the risk of damage from cyber attacks from hackers and the like has increased. Attackers send investigation packets to IoT devices, determine which modules exist in IoT devices and which vulnerabilities exist based on the response, and attack according to the vulnerabilities. I'm doing it. On the other hand, there is known a system that determines that communication is not permitted and discards a packet that does not satisfy the correspondence between the MAC address and the IP address (see, for example, Patent Document 1).

これに対して、本発明者は、攻撃者からの調査パケットに対してIoT機器が応答するパケットを変更することにより、攻撃者が脆弱性の判別を把握しづらくすることを検討した。 On the other hand, the present inventor has considered making it difficult for an attacker to grasp the vulnerability determination by changing the packet in which the IoT device responds to the investigation packet from the attacker.

特開2017-212705号公報Japanese Unexamined Patent Publication No. 2017-21275

しかしながら、特許文献1においては、攻撃者からの調査パケットに対してIoT機器が応答するパケットを変更することにより、攻撃者が脆弱性の判別を把握しづらくすることについては全く提案されていない。 However, Patent Document 1 does not propose at all that it is difficult for an attacker to grasp the determination of a vulnerability by changing the packet in which the IoT device responds to the investigation packet from the attacker.

本発明の目的は、上述した課題を鑑み、攻撃者からの調査パケットに対してIoT機器が応答するパケットを変更することにより、攻撃者が脆弱性の判別を把握しづらくすることができるゲートウェイ装置、通信システム、通信方法、及びプログラムを提供することにある。 An object of the present invention is a gateway device that makes it difficult for an attacker to grasp the vulnerability determination by changing the packet in which the IoT device responds to the investigation packet from the attacker in view of the above-mentioned problems. , Communication systems, communication methods, and programs.

本発明のゲートウェイ装置は、外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定する通信応答判定部と、前記応答パケットが前記モジュールを判別できる情報を含むと前記通信応答判定部が判定した場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える通信応答制御部と、を備える。 The gateway device of the present invention includes a communication response determination unit that determines whether or not a response packet to a packet transmitted from an external device contains information that can identify a module, and the response packet includes information that can identify the module. When the communication response determination unit determines, the communication response control unit rewrites the information that can identify the module into the information that cannot identify the module.

本発明の通信システムは、ゲートウェイ装置と、前記ゲートウェイ装置に接続された通信機器と、を備え、前記ゲートウェイ装置は、外部装置と前記通信機器との間で送受されるパケットを中継する装置であって、前記外部装置から送信されるパケットに対する前記通信機器からの応答パケットがモジュールを判別できる情報を含むか否かを判定する通信応答判定部と、前記応答パケットが前記モジュールを判別できる情報を含むと前記通信応答判定部が判定した場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える通信応答制御部と、を備える。 The communication system of the present invention includes a gateway device and a communication device connected to the gateway device, and the gateway device is a device that relays packets transmitted and received between the external device and the communication device. The communication response determination unit that determines whether or not the response packet from the communication device to the packet transmitted from the external device contains information that can identify the module, and the response packet includes information that can identify the module. When the communication response determination unit determines, the communication response control unit rewrites the information that can identify the module into the information that cannot identify the module.

本発明の通信方法は、外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定するステップと、
前記応答パケットが前記モジュールを判別できる情報を含むと判定された場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換えるステップと、を備える。 The communication method of the present invention includes a step of determining whether or not a response packet to a packet transmitted from an external device contains information that can identify a module.
When it is determined that the response packet contains information that can discriminate the module, the step includes rewriting the information that can discriminate the module into the information that cannot discriminate the module.

本発明のプログラムは、外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定する処理と、前記応答パケットが前記モジュールを判別できる情報を含むと判定された場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える処理と、をコンピュータに行わせるためのプログラムである。 The program of the present invention is a process of determining whether or not a response packet to a packet transmitted from an external device contains information that can identify a module, and a case where it is determined that the response packet contains information that can identify the module. , A program for causing a computer to perform a process of rewriting information that can discriminate the module into information that cannot discriminate the module.

本発明により、攻撃者からの調査パケットに対してIoT機器が応答するパケットを変更することにより、攻撃者が脆弱性の判別を把握しづらくすることができるゲートウェイ装置、通信システム、通信方法、及びプログラムを提供することができる。 According to the present invention, a gateway device, a communication system, a communication method, and a communication method that can make it difficult for an attacker to grasp a vulnerability by changing a packet in which an IoT device responds to an investigation packet from an attacker. A program can be provided.

ゲートウェイ装置10の概略構成図である。It is a schematic block diagram of a gateway device 10. 通信システム1の詳細構成図である。It is a detailed block diagram of the communication system 1. ルータ10の構成図である。It is a block diagram of a router 10. IoT機器20の構成例である。This is a configuration example of the IoT device 20. 攻撃者端末30から送信されたIoT機器20宛ての調査パケットをルータ10が受信した場合の処理を表すシーケンス図である。It is a sequence diagram which shows the process when the router 10 receives the investigation packet addressed to the IoT device 20 transmitted from the attacker terminal 30. (a)モジュール(httpd)が返送した応答パケットに含まれる、モジュールを判別できる情報の一例、(b)モジュールを判別できない情報の一例である。(A) An example of information that can identify a module and (b) an example of information that cannot identify a module, which is included in a response packet returned by the module (httpd). テーブル11bをインターネット網NW上のクラウドサーバ40に設けた例である。このようにすれば、常に最新のバージョン情報を返送することが可能となる。This is an example in which the table 11b is provided on the cloud server 40 on the Internet network NW. By doing this, it is possible to always return the latest version information. 攻撃者端末30のIPアドレスやMACアドレスの例である。This is an example of the IP address and MAC address of the attacker terminal 30.

(実施形態1)
以下、本発明の実施形態1であるゲートウェイ装置10について添付図面を参照しながら説明する。各図において対応する構成要素には同一の符号が付され、重複する説明は省略される。 (Embodiment 1)
Hereinafter, the gateway device 10 according to the first embodiment of the present invention will be described with reference to the accompanying drawings. The corresponding components in each figure are designated by the same reference numerals, and duplicate explanations are omitted.

まず、図1を用いて、ゲートウェイ装置10の構成について説明する。 First, the configuration of the gateway device 10 will be described with reference to FIG.

図1は、ゲートウェイ装置10の概略構成図である。 FIG. 1 is a schematic configuration diagram of the gateway device 10.

図1に示すように、ゲートウェイ装置10は、外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定する通信応答判定部12aと、応答パケットがモジュールを判別できる情報を含むと通信応答判定部12aが判定した場合、モジュールを判別できる情報を、モジュールを判別できない情報に書き換える通信応答制御部12bと、を備える。 As shown in FIG. 1, in the gateway device 10, the communication response determination unit 12a for determining whether or not the response packet to the packet transmitted from the external device contains information capable of identifying the module, and the response packet can determine the module. When the communication response determination unit 12a determines that the information is included, the communication response control unit 12b rewrites the information that can identify the module into the information that cannot identify the module.

実施形態1によれば、攻撃者からの調査パケットに対してIoT機器が応答するパケットを変更することにより、攻撃者が脆弱性の判別を把握しづらくすることができる。 According to the first embodiment, by changing the packet in which the IoT device responds to the investigation packet from the attacker, it is possible to make it difficult for the attacker to grasp the determination of the vulnerability.

これは、応答パケットがモジュールを判別できる情報を含む場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換えて応答することによるものである。 This is because when the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module to the information that cannot identify the module and responds.

(実施形態2)
以下、本発明の実施形態2として、ゲートウェイ装置10を含む通信システム1についてさらに詳細に説明する。以下、ゲートウェイ装置10としてルータを用いる例について説明する。以下、ルータ10と呼ぶ。 (Embodiment 2)
Hereinafter, as the second embodiment of the present invention, the communication system 1 including the gateway device 10 will be described in more detail. Hereinafter, an example in which a router is used as the gateway device 10 will be described. Hereinafter, it is referred to as a router 10.

図2は、通信システム1の概略構成図である。 FIG. 2 is a schematic configuration diagram of the communication system 1.

図2に示すように、通信システム1は、ルータ10、IoT(Internet of Things)機器20を備えている。ルータ10とIoT機器20とは、ホームネットワークHNW(有線又は無線)を介して互いに接続されており、ホームネットワークHNWを介して互いに通信することができる。また、ルータ10と外部装置(例えば、攻撃者端末30)とは、インターネット網NWを介して互いに接続されており、インターネット網NWを介して互いに通信することができる。同様に、ルータ10に接続されたIoT機器20(ルータ10の配下のIoT機器20)と外部装置(例えば、攻撃者端末30)とは、インターネット網NWを介して互いに通信することができる。なお、ルータ10の配下のIoT機器20は、1つであってもよいし、複数であってもよい。 As shown in FIG. 2, the communication system 1 includes a router 10 and an IoT (Internet of Things) device 20. The router 10 and the IoT device 20 are connected to each other via the home network HNW (wired or wireless), and can communicate with each other via the home network HNW. Further, the router 10 and the external device (for example, the attacker terminal 30) are connected to each other via the Internet network NW, and can communicate with each other via the Internet network NW. Similarly, the IoT device 20 (IoT device 20 under the router 10) connected to the router 10 and the external device (for example, the attacker terminal 30) can communicate with each other via the Internet network NW. The number of IoT devices 20 under the router 10 may be one or a plurality.

まず、ルータ10の構成例について説明する。 First, a configuration example of the router 10 will be described.

図3は、ルータ10の構成図である。 FIG. 3 is a configuration diagram of the router 10.

図3に示すように、ルータ10は、記憶部11、制御部12、メモリ13、通信部14を備えている。 As shown in FIG. 3, the router 10 includes a storage unit 11, a control unit 12, a memory 13, and a communication unit 14.

記憶部11は、例えば、ハードディスク装置やROM等の不揮発性の記憶部である。記憶部11には、プログラム11a、テーブル11bが記憶されている。 The storage unit 11 is, for example, a non-volatile storage unit such as a hard disk device or a ROM. The program 11a and the table 11b are stored in the storage unit 11.

プログラム11aは、制御部12(プロセッサ)により実行されるプログラムである。テーブル11bは、「通信モジュール」、「改ざん応答バージョン/バナー」、「許可接続先IP」、「許可MAC」を項目として含む。「通信モジュール」には、IoT機器20の記憶部21に記憶されているモジュール(通信モジュール)が登録されている。「改ざん応答バージョン/バナー」、「許可接続先IP」、「許可MAC」は、「通信モジュール」ごとに登録されている。「改ざん応答バージョン/バナー」には、後述のように書き換えられる内容が登録されている。「許可接続先IP」には、接続が許可されているIPアドレスが登録されている。「許可MAC」には、接続が許可されているMACアドレスが登録されている。 The program 11a is a program executed by the control unit 12 (processor). Table 11b includes "communication module", "tampering response version / banner", "permitted connection destination IP", and "permitted MAC" as items. In the "communication module", a module (communication module) stored in the storage unit 21 of the IoT device 20 is registered. The "tampering response version / banner", "permitted connection destination IP", and "permitted MAC" are registered for each "communication module". The contents to be rewritten are registered in the "tampering response version / banner" as described later. An IP address for which connection is permitted is registered in "permitted connection destination IP". The MAC address for which connection is permitted is registered in "Allowed MAC".

制御部12は、図示しないが、プロセッサを備えている。プロセッサは、例えば、CPU(Central Processing Unit)である。プロセッサは、1つの場合もあるし、複数の場合もある。プロセッサは、記憶部11からメモリ13(例えば、RAM)に読み込まれたプログラム11aを実行することで、通信応答判定部12a、通信応答制御部12bとして機能する。これらの一部又は全部は、ハードウェアで実現してもよい。 Although not shown, the control unit 12 includes a processor. The processor is, for example, a CPU (Central Processing Unit). There may be one processor or multiple processors. The processor functions as a communication response determination unit 12a and a communication response control unit 12b by executing the program 11a read from the storage unit 11 into the memory 13 (for example, RAM). Some or all of these may be implemented in hardware.

通信応答判定部12aは、外部装置からインターネット網NWを介して送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定する。この処理については後述する。外部装置から送信されるパケットは、例えば、ルータ10に接続されたIoT機器20宛のIPパケットである。なお、外部装置から送信されるパケットは、ルータ10宛のIPパケットである場合もある。応答パケットは、例えば、IoT機器20から送信(返送)される外部装置宛のIPパケットである。なお、応答パケットは、ルータ10から送信(返送)される外部装置宛てのIPパケットである場合もある。 The communication response determination unit 12a determines whether or not the response packet to the packet transmitted from the external device via the Internet network NW contains information that can identify the module. This process will be described later. The packet transmitted from the external device is, for example, an IP packet addressed to the IoT device 20 connected to the router 10. The packet transmitted from the external device may be an IP packet addressed to the router 10. The response packet is, for example, an IP packet addressed to an external device transmitted (returned) from the IoT device 20. The response packet may be an IP packet addressed to an external device transmitted (returned) from the router 10.

応答パケットがモジュールを判別できる情報を含むと通信応答判定部12aが判定した場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換える。この処理については後述する。 When the communication response determination unit 12a determines that the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module into the information that cannot identify the module. This process will be described later.

通信部14は、外部装置との間でインターネット網NWを介して通信する通信装置である。 The communication unit 14 is a communication device that communicates with an external device via the Internet network NW.

次に、IoT機器20の構成例について説明する。 Next, a configuration example of the IoT device 20 will be described.

図4は、IoT機器20の構成例である。 FIG. 4 is a configuration example of the IoT device 20.

図4に示すように、IoT機器20は、記憶部21、制御部22、メモリ23、IoT機器本体24を備えている。IoT機器20は、例えば、冷蔵庫等の家電であるが、これに限らない。すなわち、IoT機器20は、ルータ10に接続され、IP応答を行う機器であればよい。IoT機器20は、本発明の通信機器の一例である。 As shown in FIG. 4, the IoT device 20 includes a storage unit 21, a control unit 22, a memory 23, and an IoT device main body 24. The IoT device 20 is, for example, a home appliance such as a refrigerator, but is not limited to this. That is, the IoT device 20 may be any device that is connected to the router 10 and performs an IP response. The IoT device 20 is an example of the communication device of the present invention.

記憶部21は、例えば、ハードディスク装置やROM等の不揮発性の記憶部である。記憶部21には、OS(Operating System)21a、Webサーバプログラム21bが記憶されている。OS21aは、例えば、Linux(登録商標)である。Webサーバプログラム21bは、例えば、Apacheである。Webサーバプログラムは、1又は複数のモジュール(例えば、httpd,Telnetd等の通信モジュール)を含む。 The storage unit 21 is, for example, a non-volatile storage unit such as a hard disk device or a ROM. The OS (Operating System) 21a and the Web server program 21b are stored in the storage unit 21. OS21a is, for example, Linux®. The Web server program 21b is, for example, Apache. The Web server program includes one or more modules (for example, communication modules such as httpd and Telnetd).

制御部22は、図示しないが、プロセッサを備えている。プロセッサは、例えば、CPU(Central Processing Unit)である。プロセッサは、1つの場合もあるし、複数の場合もある。プロセッサは、記憶部21からメモリ23(例えば、RAM)に読み込まれたOS21aやWebサーバプログラム21b(モジュール等)を実行することで、例えば、外部装置から送信されるパケットに対する応答パケットを返送したり、IoT機器本体24を制御する。IoT機器本体24は、例えば、冷蔵庫等の家電であるが、これに限らない。 Although not shown, the control unit 22 includes a processor. The processor is, for example, a CPU (Central Processing Unit). There may be one processor or multiple processors. By executing the OS 21a or the Web server program 21b (module or the like) read from the storage unit 21 into the memory 23 (for example, RAM), the processor may, for example, return a response packet to a packet transmitted from an external device. , Controls the IoT device body 24. The IoT device main body 24 is, for example, a home appliance such as a refrigerator, but is not limited to this.

次に、攻撃者端末30から送信されたIoT機器20宛ての調査パケットをルータ10が受信した場合の処理について説明する。 Next, processing when the router 10 receives the investigation packet addressed to the IoT device 20 transmitted from the attacker terminal 30 will be described.

図5は、攻撃者端末30から送信されたIoT機器20宛ての調査パケットをルータ10が受信した場合の処理を表すシーケンス図である。 FIG. 5 is a sequence diagram showing processing when the router 10 receives a survey packet addressed to the IoT device 20 transmitted from the attacker terminal 30.

一般的に、攻撃者は攻撃者端末30からインターネット網NWを介して、ホームネットワークHNW内のルータ10やこれに接続されたIoT機器20に対して攻撃を行う。その際に、調査パケットをルータ10又はIoT機器20へ送信し、その応答をもって、モジュール構成やモジュールのバージョン、実際に存在している脆弱性を把握する。攻撃者は、脆弱性を把握したのち、その脆弱性に合わせた攻撃をルータ10やIoT機器20に対して行う。 Generally, an attacker attacks a router 10 in a home network HNW and an IoT device 20 connected to the router 10 from the attacker terminal 30 via the Internet network NW. At that time, the investigation packet is transmitted to the router 10 or the IoT device 20, and the response thereof is used to grasp the module configuration, the module version, and the vulnerabilities that actually exist. After grasping the vulnerability, the attacker attacks the router 10 and the IoT device 20 according to the vulnerability.

攻撃の具体例について説明する。例えば、モジュールが、Apacheであるとする。ApacheはHTTPリクエストに対するレスポンスでServer:apache 2.4.20と返す場合がある。例えば、http://jvn.jp/vu/JVNVU92184689/のようなVersion:2.4.20に対する脆弱性がある場合、攻撃者は2.4.20のVersionに存在する脆弱性に対して攻撃を行う。以下の処理により、この攻撃を抑制することができる。 A specific example of the attack will be described. For example, suppose the module is Apache. Apache may return Server: apache 2.4.20 in response to an HTTP request. For example, if there is a vulnerability against Version: 2.4.20 such as http://jvn.jp/vu/JVNVU92184689/, the attacker will attack the vulnerability existing in Version 2.4.20. This attack can be suppressed by the following processing.

まず、図5に示すように、攻撃者端末30から送信(ステップS1)されたIoT機器20宛ての調査パケット(IPパケット)をルータ10が受信した場合、ルータ10は、当該ルータ10に接続されたIoT機器20にその調査パケットを中継(転送)する(ステップS2)。 First, as shown in FIG. 5, when the router 10 receives the investigation packet (IP packet) addressed to the IoT device 20 transmitted (step S1) from the attacker terminal 30, the router 10 is connected to the router 10. The survey packet is relayed (transferred) to the IoT device 20 (step S2).

次に、IoT機器20は、その中継された調査パケットに対して応答する(ステップS3)。すなわち、IoT機器20(モジュール)が応答パケット(攻撃者端末30宛のIPパケット)を返送する。 Next, the IoT device 20 responds to the relayed survey packet (step S3). That is, the IoT device 20 (module) returns a response packet (IP packet addressed to the attacker terminal 30).

以下、モジュール(httpd)が、図6(a)に示す内容を含む応答パケットを返送した場合の動作例について説明する。図6(a)は、モジュール(httpd)が返送した応答パケットに含まれる、モジュールを判別できる情報の一例である。図6(b)は、モジュールを判別できない情報の一例である。 Hereinafter, an operation example when the module (httpd) returns a response packet including the content shown in FIG. 6A will be described. FIG. 6A is an example of information that can identify the module, which is included in the response packet returned by the module (httpd). FIG. 6B is an example of information in which the module cannot be identified.

モジュール(httpd)が返送した応答パケットがテーブル11bに登録されている許可接続先IPアドレス以外のIPアドレス、及びテーブル11bに登録されている許可MACアドレス以外のMACアドレスを含む場合、通信応答判定部12aは、その応答パケットがモジュールを判別できる情報を含むか否かを判定する(ステップS4)。 When the response packet returned by the module (httpd) contains an IP address other than the permitted connection destination IP address registered in Table 11b and a MAC address other than the permitted MAC address registered in Table 11b, the communication response determination unit 12a determines whether or not the response packet contains information that can identify the module (step S4).

ここでは、応答パケットが図6(a)に示すようにServer:Apacheに続く記述(例えば、/2.4.6(CentOS)OpenSSL/1.0.1e-fipsPHP/7.1.8)を含むため、通信応答判定部12aは、その応答パケットがモジュールを判別できる情報を含むと判定する。 Here, since the response packet contains the description following Server: Apache as shown in FIG. 6 (a) (for example, 2.4.6 (CentOS) OpenSSL / 1.0.1e-fipsPHP / 7.1.8), the communication response is determined. Unit 12a determines that the response packet contains information that can identify the module.

次に、応答パケットがモジュールを判別できる情報を含むと通信応答判定部12aが判定した場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換える(ステップS5)。 Next, when the communication response determination unit 12a determines that the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module into the information that cannot identify the module (step S5).

ここでは、応答パケットがモジュールを判別できる情報を含むと通信応答判定部12aが判定したため、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換える。具体的には、通信応答制御部12bは、応答パケット中のモジュールを判別できる情報(ここでは、Server:Apache/2.4.6(CentOS)OpenSSL/1.0.1e-fipsPHP/7.1.8)を、テーブル11bに登録された内容(ここでは、Apach。図3参照)に書き換える(図6(b)参照)。 Here, since the communication response determination unit 12a determines that the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module into the information that cannot identify the module. Specifically, the communication response control unit 12b tables the information (here, Server: Apache / 2.4.6 (CentOS) OpenSSL / 1.0.1e-fipsPHP / 7.1.8) that can identify the module in the response packet. It is rewritten to the content registered in 11b (here, Apache, see FIG. 3) (see FIG. 6 (b)).

この書き換えられた応答パケットは、ルータ10によりインターネット網NWに送出され、インターネット網NWを介して攻撃者端末30に届けられる(ステップS6、S7)。 This rewritten response packet is sent to the Internet network NW by the router 10 and delivered to the attacker terminal 30 via the Internet network NW (steps S6 and S7).

このように、応答パケットがモジュールを判別できる情報を含む場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換えて応答する。これにより、実際にはルータ10やIoT機器20のモジュールに脆弱性があったとしても、攻撃者は、その脆弱性に気づくことができないため、攻撃をやめることになる。 In this way, when the response packet contains information that can discriminate the module, the communication response control unit 12b rewrites the information that can discriminate the module into the information that cannot discriminate the module and responds. As a result, even if the module of the router 10 or the IoT device 20 is actually vulnerable, the attacker cannot notice the vulnerabilities and therefore stops the attack.

なお、モジュール(httpd)が返送した応答パケットがテーブル11bに登録されている許可接続先IPアドレス、及びテーブル11bに登録されている許可MACアドレスを含む場合、応答パケットは、書き換えられること無く、ルータ10によりインターネット網NWに送出され、インターネット網NWを介して外部装置に届けられる。 If the response packet returned by the module (httpd) includes the permitted connection destination IP address registered in table 11b and the permitted MAC address registered in table 11b, the response packet is not rewritten and is not rewritten by the router. It is sent to the Internet network NW by 10 and delivered to an external device via the Internet network NW.

次に、モジュール(Telnetd)が応答パケットを返送した場合の動作例について説明する。 Next, an operation example when the module (Telnetd) returns a response packet will be described.

モジュール(Telnetd)が返送した応答パケットがテーブル11bに登録されている許可接続先IPアドレス以外のIPアドレス、及びテーブル11bに登録されている許可MACアドレス以外のMACアドレスを含む場合、通信応答判定部12aは、その応答パケットがモジュールを判別できる情報を含むか否かを判定する(ステップS4)。 When the response packet returned by the module (Telnetd) contains an IP address other than the permitted connection destination IP address registered in table 11b and a MAC address other than the permitted MAC address registered in table 11b, the communication response determination unit 12a determines whether or not the response packet contains information that can identify the module (step S4).

例えば、モジュール(Telnetd)が返送した応答パケットがバナー情報(例えば、CentOS release 6.9 (Final))を含む場合、通信応答判定部12aは、その応答パケットがモジュールを判別できる情報を含むと判定する。バナー情報とは、通信モジュールに対するパケットの典型的な応答のことである。 For example, when the response packet returned by the module (Telnetd) contains banner information (for example, CentOS release 6.9 (Final)), the communication response determination unit 12a determines that the response packet contains information that can identify the module. Banner information is a typical response of a packet to a communication module.

次に、応答パケットがモジュールを判別できる情報を含むと通信応答判定部12aが判定した場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換える(ステップS5)。 Next, when the communication response determination unit 12a determines that the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module into the information that cannot identify the module (step S5).

ここでは、応答パケットがモジュールを判別できる情報を含むと通信応答判定部12aが判定したため、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換える。具体的には、通信応答制御部12bは、応答パケット中のモジュールを判別できる情報(ここでは、CentOS release 6.9 (Final))を、テーブル11bに登録された内容(ここでは、Xxxx。図3参照)に書き換える。 Here, since the communication response determination unit 12a determines that the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module into the information that cannot identify the module. Specifically, the communication response control unit 12b registers the information (here, CentOS release 6.9 (Final)) that can identify the module in the response packet in the table 11b (here, Xxxx, see FIG. 3). ).

この書き換えられた応答パケットは、ルータ10によりインターネット網NWに送出され、インターネット網NWを介して攻撃者端末30に届けられる(ステップS6、S7)。 This rewritten response packet is sent to the Internet network NW by the router 10 and delivered to the attacker terminal 30 via the Internet network NW (steps S6 and S7).

このように、応答パケットがモジュールを判別できる情報を含む場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換えて応答する。これにより、実際にはルータ10やIoT機器20のモジュールに脆弱性があったとしても、攻撃者は、その脆弱性に気づくことができないため、攻撃をやめることになる。 In this way, when the response packet contains information that can discriminate the module, the communication response control unit 12b rewrites the information that can discriminate the module into the information that cannot discriminate the module and responds. As a result, even if the module of the router 10 or the IoT device 20 is actually vulnerable, the attacker cannot notice the vulnerabilities and therefore stops the attack.

なお、モジュール(Telnetd)が返送した応答パケットがテーブル11bに登録されている許可接続先IPアドレス、及びテーブル11bに登録されている許可MACアドレスを含む場合、応答パケットは、書き換えられること無く、ルータ10によりインターネット網NWに送出され、インターネット網NWを介して外部装置に届けられる。 If the response packet returned by the module (Telnetd) includes the permitted connection destination IP address registered in table 11b and the permitted MAC address registered in table 11b, the response packet is not rewritten and is not rewritten by the router. It is sent to the Internet network NW by 10 and delivered to an external device via the Internet network NW.

以上説明したように、実施形態2によれば、攻撃者からの調査パケットに対してIoT機器が応答するパケットを変更することにより、攻撃者が脆弱性の判別を把握しづらくすることができる。 As described above, according to the second embodiment, it is possible to make it difficult for the attacker to grasp the vulnerability determination by changing the packet in which the IoT device responds to the investigation packet from the attacker.

これは、応答パケットがモジュールを判別できる情報を含む場合、通信応答制御部12bは、モジュールを判別できる情報を、モジュールを判別できない情報に書き換えて応答することによるものである。 This is because when the response packet contains information that can identify the module, the communication response control unit 12b rewrites the information that can identify the module to the information that cannot identify the module and responds.

また実施形態2によれば、通常の機能を害することなく、攻撃者の調査パケットのみを改ざんすることができる。 Further, according to the second embodiment, only the attacker's investigation packet can be tampered with without impairing the normal function.

次に、変形例について説明する。 Next, a modification will be described.

上記実施形態2では、モジュールが、IoT機器20の記憶部21に記憶されているモジュールである例について説明したが、これに限らない。例えば、モジュールは、ルータ10の記憶部11に記憶されているモジュールであってもよい。 In the second embodiment, an example in which the module is stored in the storage unit 21 of the IoT device 20 has been described, but the present invention is not limited to this. For example, the module may be a module stored in the storage unit 11 of the router 10.

また、上記実施形態2では、モジュールとして、httpd,Telnetdを用いた例について説明したが、これに限らない。例えば、httpd,Telnetd以外の通信モジュールであってもよい。 Further, in the second embodiment, an example in which httpd and Telnetd are used as modules has been described, but the present invention is not limited to this. For example, it may be a communication module other than httpd and Telnetd.

また、上記実施形態2では、テーブル11bをルータ10の記憶部11に設けた例について説明したが、これに限らない。例えば、図7に示すように、テーブル11bをインターネット網NW上のクラウドサーバ40に設け、このテーブル11bを、日々更新される脆弱性情報(例えば、https://www.ipa.go.jp/security/announce/alert.html)に基づいて、オペレータが適宜更新するようにしてもよい。図7は、テーブル11bをインターネット網NW上のクラウドサーバ40に設けた例である。このようにすれば、常に最新のバージョン情報を返送することが可能となる。 Further, in the second embodiment, an example in which the table 11b is provided in the storage unit 11 of the router 10 has been described, but the present invention is not limited to this. For example, as shown in FIG. 7, a table 11b is provided in a cloud server 40 on an Internet network NW, and this table 11b is provided with vulnerability information (for example, https://www.ipa.go.jp/) that is updated daily. The operator may update as appropriate based on security / announce / alert.html). FIG. 7 is an example in which the table 11b is provided on the cloud server 40 on the Internet network NW. By doing this, it is possible to always return the latest version information.

なお、攻撃者端末30のIPアドレスやMACアドレスが判明している場合、この攻撃者端末30のIPアドレスやMACアドレスをルータ10のテーブルに記憶しておき(図8参照)、このテーブルを参照することで、ルータ10(例えば、通信情報判断部)において判定し、調査パケットをブロックしてもよい。図8は、攻撃者端末30のIPアドレスやMACアドレスの例である。なお、このテーブル(攻撃者端末30のIPアドレスやMACアドレス)をインターネット網NW上のクラウドサーバ40に設け、このテーブル(攻撃者端末30のIPアドレスやMACアドレス)を、日々更新することで、常に最新の情報に基づいて、攻撃者からの調査パケットをブロックすることが可能となる。 If the IP address or MAC address of the attacker terminal 30 is known, the IP address or MAC address of the attacker terminal 30 is stored in the router 10 table (see FIG. 8), and this table is referred to. By doing so, the router 10 (for example, the communication information determination unit) may make a determination and block the investigation packet. FIG. 8 is an example of the IP address and MAC address of the attacker terminal 30. By providing this table (IP address and MAC address of the attacker terminal 30) on the cloud server 40 on the Internet network NW and updating this table (IP address and MAC address of the attacker terminal 30) on a daily basis. It is possible to block investigation packets from attackers based on the latest information at all times.

上記実施形態1、2において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 In the first and second embodiments, the program is stored using various types of non-transitory computer readable medium and can be supplied to the computer. Non-temporary computer-readable media include various types of tangible storage media. Examples of non-temporary computer-readable media include magnetic recording media (eg, flexible disks, magnetic tapes, hard disk drives), optomagnetic recording media (eg, optomagnetic disks), CD-ROMs (Read Only Memory), CD-Rs. Includes CD-R / W, semiconductor memory (eg, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (Random Access Memory)). The program may also be supplied to the computer by various types of transient computer readable medium. Examples of temporary computer readable media include electrical, optical, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.

上記実施形態で示した数値は全て例示であり、これと異なる適宜の数値を用いることができるのは無論である。 All the numerical values shown in the above embodiments are examples, and it goes without saying that appropriate numerical values different from these can be used.

上記実施形態はあらゆる点で単なる例示にすぎない。上記実施形態の記載によって本発明は限定的に解釈されるものではない。本発明はその精神または主要な特徴から逸脱することなく他の様々な形で実施することができる。 The above embodiments are merely exemplary in all respects. The present invention is not limitedly construed by the description of the above embodiment. The present invention can be practiced in various other forms without departing from its spirit or key features.

1…通信システム
10…ゲートウェイ装置(ルータ)
11…記憶部
11a…プログラム
11b…テーブル
12…制御部
12a…通信応答判定部
12b…通信応答制御部
13…メモリ
14…通信部
20…IoT機器
21…記憶部
21b…Webサーバプログラム
22…制御部
23…メモリ
24…IoT機器本体
30…攻撃者端末
40…クラウドサーバ
HNW…ホームネットワーク
NW…インターネット網 1 ... Communication system 10 ... Gateway device (router)
11 ... Storage unit 11a ... Program 11b ... Table 12 ... Control unit 12a ... Communication response determination unit 12b ... Communication response control unit 13 ... Memory 14 ... Communication unit 20 ... IoT device 21 ... Storage unit 21b ... Web server program 22 ... Control unit 23 ... Memory 24 ... IoT device body 30 ... Attacker terminal 40 ... Cloud server HNW ... Home network NW ... Internet network

Claims (9)

外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定する通信応答判定部と、
前記応答パケットが前記モジュールを判別できる情報を含むと前記通信応答判定部が判定した場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える通信応答制御部と、を備えるゲートウェイ装置。 A communication response determination unit that determines whether or not a response packet to a packet transmitted from an external device contains information that can identify a module.
A gateway device including a communication response control unit that rewrites information that can discriminate the module into information that cannot discriminate the module when the communication response determination unit determines that the response packet contains information that can discriminate the module. 前記パケットは、前記ゲートウェイ装置に接続された通信機器宛のパケットであり、
前記応答パケットは、前記通信機器から送信される前記外部装置宛のパケットである請求項1に記載のゲートウェイ装置。 The packet is a packet addressed to a communication device connected to the gateway device.
The gateway device according to claim 1, wherein the response packet is a packet addressed to the external device transmitted from the communication device. 前記パケットは、前記ゲートウェイ装置宛のパケットであり、
前記応答パケットは、前記ゲートウェイ装置から送信される前記外部装置宛のパケットである請求項1に記載のゲートウェイ装置。 The packet is a packet addressed to the gateway device, and is a packet addressed to the gateway device.
The gateway device according to claim 1, wherein the response packet is a packet addressed to the external device transmitted from the gateway device. モジュールを判別できる情報を書き換える内容を登録したテーブルをさらに備え、
前記通信応答制御部は、前記モジュールを判別できる情報を、前記テーブルに登録された前記内容に書き換える請求項1から3のいずれか1項に記載のゲートウェイ装置。 It also has a table that registers the contents to rewrite the information that can identify the module.
The gateway device according to any one of claims 1 to 3, wherein the communication response control unit rewrites the information that can identify the module into the contents registered in the table. 前記テーブルには、前記モジュールを判別できる情報を書き換える内容、許可接続先IPアドレス、及び許可MACアドレスが対応づけて登録されており、
前記応答パケットが前記許可接続先IPアドレス以外のIPアドレス、及び前記許可MACアドレス以外のMACアドレスを含む場合、前記通信応答制御部は、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える請求項4に記載のゲートウェイ装置。 In the table, the contents for rewriting the information that can identify the module, the permitted connection destination IP address, and the permitted MAC address are registered in association with each other.
When the response packet contains an IP address other than the permitted connection destination IP address and a MAC address other than the permitted MAC address, the communication response control unit converts the information that can identify the module into the information that cannot identify the module. The gateway device according to claim 4, which is rewritten. 前記テーブルは、インターネット網上のクラウドサーバに設けられている請求項5に記載のゲートウェイ装置。 The gateway device according to claim 5, wherein the table is provided in a cloud server on an Internet network. ゲートウェイ装置と、前記ゲートウェイ装置に接続された通信機器と、を備え、
前記ゲートウェイ装置は、外部装置と前記通信機器との間で送受されるパケットを中継する装置であって、
前記外部装置から送信されるパケットに対する前記通信機器からの応答パケットがモジュールを判別できる情報を含むか否かを判定する通信応答判定部と、
前記応答パケットが前記モジュールを判別できる情報を含むと前記通信応答判定部が判定した場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える通信応答制御部と、を備える通信システム。 A gateway device and a communication device connected to the gateway device are provided.
The gateway device is a device that relays packets sent and received between the external device and the communication device.
A communication response determination unit that determines whether or not a response packet from the communication device to a packet transmitted from the external device contains information that can identify a module.
A communication system including a communication response control unit that rewrites information that can discriminate the module into information that cannot discriminate the module when the communication response determination unit determines that the response packet contains information that can discriminate the module. 外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定するステップと、
前記応答パケットが前記モジュールを判別できる情報を含むと判定された場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換えるステップと、を備える通信方法。 A step to determine whether the response packet to the packet sent from the external device contains information that can identify the module, and
A communication method comprising: when it is determined that the response packet contains information that can discriminate the module, the step of rewriting the information that can discriminate the module to the information that cannot discriminate the module. 外部装置から送信されるパケットに対する応答パケットがモジュールを判別できる情報を含むか否かを判定する処理と、
前記応答パケットが前記モジュールを判別できる情報を含むと判定された場合、前記モジュールを判別できる情報を、前記モジュールを判別できない情報に書き換える処理と、をコンピュータに行わせるためのプログラム。 Processing to determine whether the response packet to the packet sent from the external device contains information that can identify the module, and
A program for causing a computer to perform a process of rewriting information that can discriminate the module into information that cannot discriminate the module when it is determined that the response packet contains information that can discriminate the module.
JP2020189719A 2020-11-13 2020-11-13 Gateway device, communication system, communication method, and program Active JP7315236B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020189719A JP7315236B2 (en) 2020-11-13 2020-11-13 Gateway device, communication system, communication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020189719A JP7315236B2 (en) 2020-11-13 2020-11-13 Gateway device, communication system, communication method, and program

Publications (2)

Publication Number Publication Date
JP2022078793A true JP2022078793A (en) 2022-05-25
JP7315236B2 JP7315236B2 (en) 2023-07-26

Family

ID=81707031

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020189719A Active JP7315236B2 (en) 2020-11-13 2020-11-13 Gateway device, communication system, communication method, and program

Country Status (1)

Country Link
JP (1) JP7315236B2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8839417B1 (en) * 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
JP2019179953A (en) * 2018-03-30 2019-10-17 日本電気株式会社 Information processing system, edge device, and information processing method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8839417B1 (en) * 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
JP2019179953A (en) * 2018-03-30 2019-10-17 日本電気株式会社 Information processing system, edge device, and information processing method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
三村 守: "Anti OS Fingerprintingシステムの提案と実装", 情報処理学会論文誌, vol. 49, no. 7, JPN6023001843, 4 February 2009 (2009-02-04), JP, pages 2643 - 2655, ISSN: 0004970803 *

Also Published As

Publication number Publication date
JP7315236B2 (en) 2023-07-26

Similar Documents

Publication Publication Date Title
US11757932B2 (en) Event driven route control
US8971342B2 (en) Switch and flow table controlling method
US9118716B2 (en) Computer system, controller and network monitoring method
US10491561B2 (en) Equipment for offering domain-name resolution services
JP5610247B2 (en) Network system and policy route setting method
CN105991655B (en) Method and apparatus for mitigating neighbor discovery-based denial of service attacks
EP2995042A1 (en) Data plane learning of bi-directional service chains
US9973594B2 (en) Remote access of peripheral device connected to serial bus
JP2020017809A (en) Communication apparatus and communication system
JP2018133692A (en) Communication apparatus, system, and method
CN109831378B (en) Message timeout response method and device
JP7315236B2 (en) Gateway device, communication system, communication method, and program
JP6476530B2 (en) Information processing apparatus, method, and program
US20180007075A1 (en) Monitoring dynamic device configuration protocol offers to determine anomaly
WO2017155514A1 (en) Action based on advertisement indicator in network packet
AU2016374990B2 (en) Apparatus and method for forwarding data packets
US10291435B2 (en) Router device, packet control method based on prefix management, and program
CN114915492B (en) Traffic forwarding method, device, equipment and medium
WO2016037490A1 (en) Method and device for processing dynamic host configuration protocol (dhcp) message
US20170111320A1 (en) Method of processing a message in an interconnection device
US10469377B2 (en) Service insertion forwarding
CN116015718A (en) Hidden communication method, device, storage medium and network equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230706

R151 Written notification of patent or utility model registration

Ref document number: 7315236

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151