JP4082613B2 - 通信サービスを制限するための装置 - Google Patents

通信サービスを制限するための装置

Info

Publication number
JP4082613B2
JP4082613B2 JP2004258959A JP2004258959A JP4082613B2 JP 4082613 B2 JP4082613 B2 JP 4082613B2 JP 2004258959 A JP2004258959 A JP 2004258959A JP 2004258959 A JP2004258959 A JP 2004258959A JP 4082613 B2 JP4082613 B2 JP 4082613B2
Authority
JP
Japan
Prior art keywords
computer
packet
communication
restriction
communication service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004258959A
Other languages
English (en)
Other versions
JP2006074705A (ja
Inventor
賢太郎 青木
泉美 賀川
之信 森谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2004258959A priority Critical patent/JP4082613B2/ja
Priority to US11/175,756 priority patent/US7474655B2/en
Publication of JP2006074705A publication Critical patent/JP2006074705A/ja
Application granted granted Critical
Publication of JP4082613B2 publication Critical patent/JP4082613B2/ja
Priority to US12/205,247 priority patent/US7725932B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、例えば、通信サービスを制限する装置に関する。さらに詳しくは、サーバ等と通信可能なコンピュータの通信サービスを制限する装置およびその方法に関する。
近年のネットワーク技術の発達に伴い、多数のクライアント端末となるコンピュータがネットワークに接続されるようになった。それに伴って、コンピュータウィルス等の被害や、ハッカーやクラッカーによる侵入による被害も増大し、クライアント端末に対するセキュリティ対策も重要になっている。
また、クライアント端末が、サブネットワーク内で禁止ソフトを実行することにより、サブネットワークのセキュリティが脆弱になることがある。一方、特定のコンピュータに対して、特定の通信サービスのみ使用を制限したい場合がある。例えば、教育機関等のコンピュータでは、生徒用のコンピュータに対しては、教育上好ましくない通信サービスを制限できることが望ましい。
加えて、サーバや資産台帳(サーバに記録されたデータベース)に登録されていない未登録のコンピュータに対しては、サーバ等のネットワークへの無駄な接続を行わないことで、ネットワーク資源を有効に利用することが可能となる。
このように、ネットワークの管理者やサービス提供者にとっては、サブネットワークに接続されたコンピュータの通信サービス(セキュリティ未対策コンピュータのサーバへのアクセス、禁止ソフトの使用等)を制限できることが望ましい。
セキュリティ対策が万全でないコンピュータ(ウィルスのためのパターンファイルや、セキュリティのためのパッチをインストールする必要があるコンピュータ)(以下「コントロール対象コンピュータ」)に対しては、このパターンファイルやセキュリティ・パッチをインストールするために、LAN(Local Area Network)を介してサーバにアクセスする必要がある。しかしながら、このコントロール対象コンピュータは、セキュリティ対策が万全ではないため、サーバやLANを使用した通常の通信サービスの全てを利用可能にすることは、ウィルス、ワームの感染防止の観点などから、回避できることが望ましい。
すなわち、コントロール対象コンピュータに対しては、セキュリティ対策のための通信サービスのみを実行可能にして、ファイルへのアクセスや、サーバ・アプリケーションの使用などの、セキュリティ対策と関係のない通信サービスは規制できることが望まれる。
このような通信サービスの制限は、ファイアウォールを設けることで実現できることが知られている(例えば、特許文献1)。すなわち、ファイアウォールが、PC(Personal Computer)とサーバ間のパケットを取得し、パケットの内容を吟味して、通信サービスの許可や制限を行う方法である。特許文献1では、制御用端末がセンタサーバと通信を行うにあたって、ファイアウォールによりパケットをフィルターすることが示されている。
特開2003−273936号公報
しかしながら、特許文献1の方法では、コントロール対象コンピュータの通信が、全てファイアウォールを経由して行われれば、コントロール対象コンピュータの通信サービスの制限を行うことが可能である。しかし、ファイアウォール内のサブネットワーク(LAN等)内にコントロール対象コンピュータが接続され、通信がサブネットワーク内にて完結し、ファイアウォールを経由しない場合は、通信サービスの制限を行うことはできない。
一方、レイヤー3スイッチ、レイヤー7スイッチと呼ばれるネットワーク機器により通信サービスを制限する方法が知られている。レイヤー3スイッチ、レイヤー7スイッチとは、例えば、アプリケーションレベルのプロトコルを認識して、パケットの行き先を制御することができるスイッチである。これにより、コントロール対象コンピュータからのパケットを取得し、このパケットを認識してサーバまでの通信を許可する、または、遮断することで、特定の通信サービスを制限することができる。
しかしながら、レイヤー3スイッチ、レイヤー7スイッチによりコントロール対象コンピュータの通信サービスを制限するためには、このレイヤー3スイッチ、レイヤー7スイッチを、サブネットワーク内の全てのスイッチ又はハブに対して使用しなくてはならない。すなわち、コントロール対象コンピュータが接続される可能性があるサブネットワーク内の全てのハブやスイッチ等を、高価なレイヤー3スイッチ、レイヤー7スイッチに交換しなくてはならない。その他のスイッチとして、インテリジェント・スイッチを用いることが考えられるが、このインテリジェント・スイッチは、パケットの遮断のみしかできず、通信サービスの制限までは不可能である。
さらに、サブネットワークの管理者の任意のタイミングで、通信サービスの制御を行えることが望ましい。例えば、一度、セキュリティ対策が万全となり、通信サービスの制限が行われていないコントロール対象コンピュータであっても、新たなウィルスが発生した場合には、再度、通信サービスの制限を行うことが可能であり、この新たなウィルスのセキュリティ対策が万全となった後に、通信サービスの制限の解除ができることが望ましい。
以上により、ファイアウォールを経由しないサブネットワーク内に接続されたコントロール対象コンピュータの通信サービスを制限できる方法であって、多数のインテリジェント・スイッチをサブネットワーク内に導入しなくても、コントロール対象コンピュータの通信サービスを、管理者が望む任意のタイミングで制限することが可能な装置または方法を提供することが望まれていた。
本発明によれば、第1のコンピュータ及び第2のコンピュータを含む複数のコンピュータと通信可能な対策機器であって、通信サービスの制限開始命令に応答して、前記第1のコンピュータに記録された前記第2のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更し、前記第2のコンピュータに記録された前記第1のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更する通信アドレス変更手段と、前記第1のコンピュータから前記第2のコンピュータへのパケットを取得する第1パケット取得手段と、前記第2のコンピュータから前記第1のコンピュータへのパケットを取得する第2パケット取得手段と、前記第1パケット取得手段が取得したパケットを前記第2のコンピュータに送信するかを判断する第1判断手段と、を備えることにより前記第1のコンピュータと前記第2のコンピュータとによる通信サービスを制限する対策機器を提供する。
この発明によれば、複数のコンピュータと、この複数のコンピュータのうちの第1のコンピュータ及び第2のコンピュータと通信可能な対策機器と、を用いて、対策機器の通信アドレス変更手段が、通信サービスの制限開始命令に応答して、第1のコンピュータに記録された第2のコンピュータの通信アドレスを、対策機器の通信アドレスに変更し、第2のコンピュータに記録された第1のコンピュータの通信アドレスを、対策機器の通信アドレスに変更し、対策機器の第1パケット取得手段が、第1のコンピュータから第2のコンピュータへのパケットを取得し、対策機器の第2パケット取得手段が、第2のコンピュータから第1のコンピュータへのパケットを取得し、対策機器の第1判断手段が、第1パケット取得手段が取得したパケットを第2のコンピュータに送信するかを判断することにより、第1のコンピュータと第2のコンピュータとの間の通信サービスを制限する。
したがって、この発明によれば、ファイアウォールを経由しないサブネットワーク内で完結するコントロール対象コンピュータの通信サービスを制限することが可能であり、多数のレイヤー3、レイヤー7スイッチをサブネットワーク内に導入しなくても、コントロール対象コンピュータの通信サービスを、管理者が望む任意のタイミングで制限することが可能な装置または方法を提供することができる。
この発明によれば、ファイアウォールを経由しないサブネットワーク内で完結するコントロール対象コンピュータの通信サービスを制限することが可能であり、多数のレイヤー3、レイヤー7スイッチをサブネットワーク内に導入しなくても、コントロール対象コンピュータの通信サービスを、管理者が望む任意のタイミングで制限することが可能な装置または方法を提供することができる。
以下に、本発明の好適な実施形態を図面に基づいて説明する。
図1に示すように、通信サービス制御システム1は、複数のコントロール対象コンピュータ20〜23と、ファイルサーバ等のサーバ24、25と、これに接続された中継機器30〜34と、インターネットもしくは外部ネットワーク12と、このインターネットもしくは外部ネットワーク12からの通信セキュリティを守るファイアウォール13と、ルータ14と、通信サービスの制御を行う対策機器100とを備える。
コントロール対象コンピュータ20〜23は、このシステムを使用するクライアント端末のコンピュータとして、パソコン、携帯情報端末(PDA)であってもよい。すなわち、CRTディスプレイや液晶ディスプレイ等の表示手段と、キーボードやテンキー、マウス等の入力手段と、ハードディスク、メモリ等の記憶手段と、CPU等の制御手段と、中継機器30〜34に接続されるネットワーク・カード等の通信手段とを備えている。
コントロール対象コンピュータ20〜23は、通信サービス制御システム1により通信サービスが制限される対象となるコンピュータ(第1のコンピュータ)である。したがって、通信サービス制御システム1によれば、例えば、対策機器100が、通信サービスの制限開始命令を出すことで、コントロール対象コンピュータ20と、コントロール対象コンピュータ21との間で行われる通信サービスが制限されてもよいし、コントロール対象コンピュータ20が、サーバ24との間の通信サービスの制限が行われてもよい。また、コントロール対象コンピュータ20が、インターネットを経由して接続されたサーバとの通信サービスの制限が行われてもよい。
コントロール対象コンピュータ20〜23は、例えば、ウィルス対策が充分でないコンピュータであってもよいし、サブネットワークへの接続が許可されていないコンピュータであってもよい。また、許可されていない通信サービスを使用する禁止ソフトがインストールされたコンピュータであってもよい。このようなコントロール対象コンピュータ20〜23は、サブネットワーク2にとって脅威となる。このため、所定の通信サービスが制限されることが、サブネットワークの管理者にとっては望ましい。
サーバ24、25は、ファイルサーバ、アプリケーション・サーバ等のサーバであってもよく、例えば、コントロール対象コンピュータ20からアクセスされるサーバ(第2のコンピュータ)である。通信サービス制御システム1では、コントロール対象コンピュータ20〜23とサーバ24、25によって行われる通信サービスが制限される。このように、コントロール対象コンピュータ20の、サーバ24、25に対する通信サービスが制限されるのみならず、コントロール対象コンピュータ20〜23間で提供する通信サービスが制限されてもよい。例えば、コントロール対象コンピュータ20(第1のコンピュータ)と、コントロール対象コンピュータ21(第2のコンピュータ)との間の通信サービスが制限されてもよい。
中継機器30〜34は、コントロール対象コンピュータ20〜23の接続を中継する装置であり、通常のスイッチ、ハブ、レイヤー3スイッチ等であってもよい。中継機器32に対して対策機器100が接続されているが、対策機器100が直接接続されていない中継機器31に接続されたコントロール対象コンピュータ20、21に対しても、通信サービスの制限が行われてもよい。
インターネットもしくは外部ネットワーク12は、外部ネットワークであり、例えば、外部からコントロール対象コンピュータであるサーバ24、25に対してアクセスが行われる通信回線網である。
ファイアウォール13は、インターネットもしくは外部ネットワーク12を介してアクセスしたコンピュータの通信サービスや、コンピュータのアクセスを制限するためのコンピュータである。ファイアウォール13と中継機器30を境目とした下流(コントロール対象コンピュータが接続された側)のネットワークが、サブネットワーク2である。
ルータ14は、インターネットもしくは外部ネットワーク12と、サブネットワーク2を含めた内部ネットワークを接続する中継機器である。インターネットもしくは外部ネットワーク12と、サブネットワーク2は、ルータ14を境目とする。
対策機器100は、サブネットワーク2内の中継機器32に接続されることで、サブネットワーク内のコントロール対象コンピュータ20〜23の通信サービスを制限する。すなわち、対策機器100が直接接続されている中継機器32から下流のノードに接続されている、コントロール対象コンピュータ22、23の通信サービスを制限するが、これに加えて、中継機器30、31を介して接続されているコントロール対象コンピュータ20、21に対しても、対策機器100は、通信サービスの制限を行う。
対策機器100は、中継機器30〜34に接続するための通信手段101と、コントロール対象コンピュータ20〜23の通信アドレスを変更する通信アドレス変更手段102と、通信アドレスを変更したコントロール対象コンピュータ20〜23のパケットを取得する第1パケット取得手段103と、この取得したパケットを破棄する又は、そのまま通過することを許可するかを判断する第1判断手段105と、このパケットの破棄または通過の許可の判断基準の入力を受ける第1制限基準入力手段107と、この判断基準を記録する第1制限基準記録手段106と、を備えてよい(図2参照)。
対策機器100は、さらに、サーバ24、25もしくは、コントロール対象コンピュータ20〜23のパケットを取得する第2パケット取得手段104と、この取得したパケットを破棄する又は、そのまま通過することを許可するかを判断する第2判断手段108と、このパケットの破棄または通過の許可の判断基準の入力を受ける第2制限基準入力手段110と、この判断基準を記録する第2制限基準記録手段109と、を備えてよい(図2参照)。
通信手段101は、中継機器30〜34に接続するための手段であり、例えば、ネットワーク・インターフェース・カード(以下「NIC」)であってよい。NICには、MAC(Media Access Control)アドレスと呼ばれる、通信手段1010を識別するための識別アドレスを備えている。
通信アドレス変更手段102は、通信サービスの制限が行われるコントロール対象コンピュータ20〜23(以下、「第1のコンピュータ」)と、この第1のコンピュータに通信サービスを提供するサーバ24、25(以下「第2のコンピュータ」)との、通信アドレス(例えば、MACアドレス)を変更する手段である。
通信アドレス変更手段102は、サブネットワーク2を管理する管理者からの通信サービスの制限開始命令に応答して、ARPリクエスト又はARPリプライを第1のコンピュータと、第2のコンピュータに送信する。このARPリクエスト又はARPリプライにより、第1のコンピュータに記録された、第2のコンピュータのMACアドレスを、対策機器100のMACアドレスに変更(上書き)し、かつ、第2のコンピュータに記録された、第1のコンピュータのMACアドレスを、対策機器100のMACアドレスに変更(上書き)する。
第1パケット取得手段103は、第1のコンピュータから第2のコンピュータに送信されるパケット又はフレームを取得する手段である。通信アドレス変更手段102により、第1のコンピュータに記録された第2のコンピュータの通信アドレスは、対策機器100の通信アドレスに変更されたため、第1のコンピュータから第2のコンピュータへ送信されたパケットは、全て対策機器100が取得する。この第1のコンピュータから送信されたパケットを取得するための手段が、第1パケット取得手段103である(第1パケット取得ステップ)。
第1判断手段105は、第1パケット取得手段103が取得したパケットのうち、どのパケットを、そのまま通過(第2のコンピュータへ送信)させ、どのパケットを、第2のコンピュータへ送信させずに、遮断し、破棄するかを判断する手段である(第1判断ステップ)。
第1制限基準入力手段107は、パケットの通過もしくは、破棄を判断するための基準が入力される手段である(第1制限基準入力ステップ)。すなわち、第1判断手段105が判断するにあたって、このための基準となるデータを管理者が入力する。例えば、禁止ソフトの通信サービスを使用するパケットは、遮断し破棄するといった基準である。第1制限基準入力手段107は、管理者からの直接の入力を受けるキーボード、マウス等の入力装置であってよい。また、ネットワーク経由で、この基準の入力を受ける場合には、第1制限基準入力手段107は、通信手段101を介して、基準となるデータを受信し、これをデータとして第1制限基準記録手段106に記録する。
第1制限基準記録手段106は、第1制限基準入力手段107より入力されたパケットの通過又は破棄を判断する基準となるデータを記録する手段である(第1制限基準記録ステップ)。
第2パケット取得手段104は、第2のコンピュータから第1のコンピュータに送信されるパケット又はフレームを取得する手段である。通信アドレス変更手段102により、第2のコンピュータに記録された第1のコンピュータの通信アドレスは、対策機器100の通信アドレスに変更されたため、第2のコンピュータから第1のコンピュータへ送信されたパケットは、全て対策機器100が取得する。この第2のコンピュータから送信されたパケットを取得するための手段が、第2パケット取得手段104である(第2パケット取得ステップ)。
第2判断手段108は、第2パケット取得手段104が取得したパケットのうち、どのパケットを、そのまま通過(第1のコンピュータへ送信)させ、どのパケットを、第1のコンピュータへ送信させずに、遮断し、破棄するかを判断する手段である(第2判断ステップ)。
第2制限基準入力手段110は、パケットの通過もしくは、破棄を判断するための基準が入力される手段である(第2制限基準入力ステップ)。すなわち、第2判断手段108が判断するにあたって、このための基準となるデータを管理者が入力する。第2制限基準入力手段110は、管理者からの直接の入力を受けるキーボード、マウス等の入力装置であってよい。また、ネットワーク経由で、この基準の入力を受ける場合には、第2制限基準入力手段110は、通信手段101を介して、基準となるデータを受信し、これをデータとして第2制限基準記録手段109に記録する。
第2制限基準記録手段109は、第2制限基準入力手段110より入力されたパケットの通過又は破棄を判断する基準となるデータを記録する手段である(第2制限基準記録ステップ)。
対策機器100の各手段が実行する具体的な動作を、図3のフローチャートを用いて説明する。
管理者が、サブネットワーク2に接続されたコンピュータの通信サービスを制限したいときに、通信サービスの制限開始を、対策機器100に対して命令する(ステップS01)。したがって、通信サービス制限開始命令は、通信サービスが制限されるコンピュータと、通信サービスの内容と、このコンピュータがサービスを提供されるサーバのデータを含む。
通信サービスの制限開始は、管理者の手動で行われるだけでなく、他のシステムで検出された何らかの引き金を元に自動で行なわれてもよい。例えば、資産台帳を用いてそこに登録されていないコンピュータのネットワーク接続を検知するシステムが別にある場合、そのシステムから命令を受け取って自動で通信サービスの制限を開始するようにしてもよい。
この通信サービス制限開始命令に応答して、対策機器100の通信アドレス変更手段102は、第1のコンピュータに記憶された第2のコンピュータの通信アドレス(MACアドレス)を、変更する(ステップS02)。さらに、対策機器100の通信アドレス変更手段102は、第2のコンピュータに記憶された第1のコンピュータの通信アドレス(MACアドレス)を、変更する(ステップS03)。
第1のコンピュータに記録された第2のコンピュータの通信アドレスが変更されたことで、第1のコンピュータが送信する第2のコンピュータへのパケットは、対策機器100の第1パケット取得手段103が取得する(ステップS04)。
第1パケット取得手段103が取得したパケットを、そのまま通過することを許可して第2のコンピュータへ送信するか、このパケットを遮断し、破棄するかを、第1判断手段105が判断する(ステップS05)。第1判断手段105は、第1判断パケット記録手段106に記録された基準データに基づいて判断を行う。第1判断手段105が、パケットの遮断および破棄をするべきであると判断したときには、第1判断手段105が、パケットの破棄を行い(ステップS06)、このパケットに基づく通信サービスが行われることはなく、次のパケットの受信を待つことになる。
第1判断手段105が、パケットの通過を許可すると判断したときには、第2のコンピュータへパケットを送信し(ステップS07)、これに対して、第2のコンピュータから、このパケットに対する応答パケットを対策機器100の第2パケット取得手段104が受信し(ステップS08)、この受信した応答パケットを第1のコンピュータへ送信する(ステップS09)ことにより、第1のコンピュータから第2のコンピュータへ、このパケットに基づいた通信サービスが実行される。
次に、シーケンス図(図4)に基づいて、第1のコンピュータと、第2のコンピュータと、対策機器100とによって行われる通信シーケンスについて説明する。
第1のコンピュータの電源がONされたとき、もしくは、サブネットワークに第1のコンピュータを接続したときに、第1のコンピュータは、ARPリクエスト(1)を、同一サブネットワークの全てのホストに対して送信する(ブロードキャスト通信)。すなわち、ARPリクエストにより第1のコンピュータは、第2のコンピュータの通信アドレス(MACアドレス)を要求する。
このARPリクエストに対して、第2のコンピュータが、第1のコンピュータにARPリプライ(2)を送信する。すなわち、第2のコンピュータのMACアドレスを第1のコンピュータにARPリプライとして送信する。
その後、第1のコンピュータは、第2のコンピュータと、直接、通常の通信、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)の通信を行う。
このように、第2のコンピュータからのARPリプライ後に、第1のコンピュータと第2のコンピュータがTCP/IP通信を行ってもよいが(3)、この通信が行われる前に、通信サービス制限開始命令が発令されるように設定されていてもよい。
すなわち、第1のコンピュータの電源を投入したとき、もしくは、第1のコンピュータをサブネットワークに始めて接続したときには、その第1のコンピュータを、すぐに第2のコンピュータ(例えば、サーバ)に接続させることは、必ずしもサブネットワークにとって安全であるとは言い切れない。すなわち、第1のコンピュータがウィルスに感染したコンピュータであるかもしれないし、セキュリティ・パッチが万全でないコンピュータである可能性があるからである。
そこで、対策機器100に第2のコンピュータからのARPリプライ後に、すぐに、次の通信サービス開始命令を発令するように設定してもよい。このように通信サービス開始命令を発令するタイミングは、管理者の任意でよい。
管理者により、通信サービス制限開始命令が発令される(4)。これは、例えば、新たなウィルスが蔓延し、そのための定義ファイルを導入する必要があるときや、新たなセキュリティ・パッチをOS(Operating System)等に導入する必要があるときなど、サブネットワークの管理者にとって任意のタイミングで発令される。ただし、この通信サービス制限開始命令は、第2のコンピュータのARPリプライの後に発令される。
通信サービス制限開始命令が発令されると、対策機器100の通信アドレス変更手段102は、ARPリクエスト又はARPリプライを第1のコンピュータと第2のコンピュータに送信する(5)。第1のコンピュータがARPリクエストを受信した場合には、ARPリプライを送信する(5−1)。このARPリクエスト又はARPリプライにより、第1のコンピュータに記録された第2のコンピュータのMACアドレス(00-00-00-22-22-22)が、対策機器100の通信手段101のMACアドレス(00-00-00-aa-aa-aa)に変更される。
対策機器100が、第2のコンピュータのMACアドレスを記録していない場合がある。この場合には、対策機器100は、ARPリクエストを第2のコンピュータへ送信し(6)、第2のコンピュータからのARPリプライ(6−1)により、第2のコンピュータのMACアドレスを取得し記録する。このARPリクエストは、ブロードキャスト通信であるため、第2のコンピュータのみならず、第1のコンピュータにも送信される。第2のコンピュータのMACアドレスは、ARPリクエストにより問い合わせることにより取得する場合に限らない。例えば、第2のコンピュータのMACアドレスを、宛先もしくは送信元として記録されたフレームを、対策機器100が記録していれば、このフレームから、MACアドレスを抽出して取得してもよい。
上述のように、ARPリプライにより、第1のコンピュータに記録された第2のコンピュータに関するMACアドレスが変更された時点で、対策機器100は、第1のコンピュータから第2のコンピュータへのパケットを取得することが可能となり(7)、第1のコンピュータの通信サービスの制限を行うことが可能となる(8)。結果として、パケットが第2のコンピュータへ転送された場合には、第2のコンピュータから第1のコンピュータへ通信が行われる(9)。このように、第1のコンピュータからのパケットを取得することで、第1のコンピュータから第2のコンピュータへのパケットを破棄することにより、十分に通信サービスを制限することができるならば、シーケンス図の(6−2)、(6−3)を行わなくてもよい。この場合、第2のコンピュータから第1のコンピュータへのパケットは対策機器を経由せずに直接転送される(9−1)。
これとは異なり、第2のコンピュータから第1のコンピュータへのパケットを取得し、このパケットの種別を、対策機器100が判断することで、通信サービスの制限を行うことができる場合がある。この場合には、シーケンス図の(6−2)、(6−3)のシーケンスが行われる。
対策機器100は、第2のコンピュータに対して、ARPリクエスト又はARPリプライを送信する。このARPリプライにより、第2のコンピュータに記録された第1のコンピュータのMACアドレス(00-00-00-11-11-11)が、対策機器100の通信手段101のMACアドレス(00-00-00-aa-aa-aa)に変更される。対策機器100が、第2のコンピュータに対して、ARPリクエストを送信した場合には、ARPリプライを送信する(6−3)。第2のコンピュータから第1のコンピュータへ送信されるパケットは、対策機器100が取得する。したがって、対策機器100の第2判断手段108がこのパケットの種別を判断して、第1のコンピュータに、パケットを転送するか又はパケットを破棄する(9−2)。
次に、通信サービスの制限を解除するシーケンスについて説明する。制限解除の方法は、図5に示すような制限解除のシーケンスを経ることで解除する方法と、対策機器100の転送条件の変更により、事実上、通信サービスの制限を解除する方法がある。
後者の方法では、対策機器100の第1判断手段105が、全てのパケットを第2のコンピュータへ転送させるように判断すればよいので、第1制限基準入力手段107から、全てのパケットを第2のコンピュータへ転送させるように基準が入力される。その後、第1のコンピュータと第2のコンピュータ間の通信が長時間行われなくなると、第1のコンピュータに記録された対策機器100のMACアドレスは、自動的に消滅し、対策機器100を経由しないで、第1のコンピュータと第2のコンピュータとが直接、通信を行う。
前者の方法について、図5を用いて説明する。制限解除命令(10)により、対策機器100からARPリクエストが、第2のコンピュータに対して送信される(11)。このARPリクエストは、第2のコンピュータのMACアドレスを要求するリクエストである。このARPリクエストは、ARP送信者IPアドレスを第1のコンピュータのIPアドレスとして、ARP送信者MACアドレスを第1のコンピュータのMACアドレスとして、ブロードキャスト又はユニキャスト通信で行われる。しかし、パケットの送信元アドレスは、第1のコンピュータのアドレスではない。第1のコンピュータと第2のコンピュータとの間のスイッチにより、このARPリクエストに対するARPリプライ(12)のパケットが、第1のコンピュータに届かなくなるからである。
このARPリクエストに対するARPリプライが、第2のコンピュータから第1のコンピュータへ送信される(12)。この時点で、第1のコンピュータに記録された第2のコンピュータのMACアドレスを、書き換える。すなわち、第2のコンピュータのMACアドレスとして記録された対策機器100のMACアドレスを、本来の第2のコンピュータのMACアドレスへ書き換える。さらに、第1のコンピュータのMACアドレスとして第2のコンピュータに記録された対策機器100のMACアドレスを、本来の第1のコンピュータのMACアドレスへ書き換える。
MACアドレスを書き換えることで、第1のコンピュータと第2のコンピュータとの間で、直接、通信することが可能となり、通信サービスの制限の解除が終了する(13)。
通常、イーサネット(登録商標)ではMACアドレスに基づいて、フレームを宛先まで送信する。通信経路に存在する複数のスイッチは、どのポートの先にどのMACアドレスが存在しているかを記憶しているため,これで宛先まで到達する。中継機器が、スイッチではなくハブの場合は全てのポートにフレームを送り出すため,他のホストにもフレームが到達するが,宛先が自分のMACアドレスと一致しない場合は、このフレームを破棄し、本来の宛先ホストのみが、このフレームを受信する。
このフレームを受信するのが、MACアドレス(00-00-00-aa-aa-aa)を備えた、対策機器100であるため、対策機器のみが、第1のコンピュータから送信されたフレームを取得し、第2のコンピュータは、このフレームを受信しない。
このように、MACアドレス変更後には、第1のコンピュータから第2のコンピュータに対する通信パケットは全て、対策機器100経由となる。したがって、対策機器100がこの通信パケットを吟味し、このパケットの種別により、第2のコンピュータに転送するか、遮断、破棄するかを判断する。ここでパケットの種別とは、例えば、パケットの宛先IPアドレス、TCP/IPのポート番号、プロトコル等により区別される。
転送または破棄するパケットの種別を決定する際には、制限する通信サービスを指定する必要がある。サブネットワークを管理する管理者が、第1のコンピュータに対して、通信サービスを制限する場合として、例えば、以下が考えられる。
サブネットワークの使用許可の無いコンピュータにサブネットワーク使用申請以外の通信サービスを禁止する場合がある。未だ、サブネットワークに登録されていないコンピュータに対しては、使用申請および登録を行った後に通信サービスを許可することがセキュリティの観点から好ましい。そこで、サブネットワークへの使用申請の通信サービスのみを許可し、その他の通信サービスを禁止するように、第1判断手段105が、転送または破棄を判断すればよい。
一例として、サブネットワークを越える通信により、エージェントソフトを入手し、このエージェントソフトをインストールして、実行することにより、第1のコンピュータが、サブネットワークの使用申請を行う場合がある。このような場合には、インターネット経由でエージェントソフトを送信する通信サービスは、第1のコンピュータに対して提供する必要があるが、それ以外のエージェントソフトと関係の無い通信サービスは遮断することが好ましい。
すなわち、第1のコンピュータに記録されたルータ14の通信アドレス(MACアドレス)が、対策機器100の通信アドレスに変換される。これにより、第1のコンピュータからのパケットは、対策機器100に取得される。これにより、対策機器100がパケットの種別の判断を行うことが可能になり、第1のコンピュータから、第2のコンピュータへの通信サービスの制限を行うことが可能となる。
第1のコンピュータがエージェントソフトをインターネット経由(サブネットワークを越える通信)で入手するときの通信プロトコルとしては、HTTP(Hyper Text Transfer Protocol)が使用される。まず、第1のコンピュータがインターネット上のサーバにエージェントソフトの送信を要求する。第1のコンピュータは、この送信を要求するHTTPプロトコルを用いたパケットを送信する。このパケットは、エージェントソフトの配布サイトを宛先としている。
この第1のコンピュータからのパケットを、対策機器100が取得する。対策機器100は、このパケットがエージェントソフトをインストールするためのパケットであるかを判断し、このように判断された場合には、ルータへの接続を行い、通信を行うことを許可する。しかし、この配布サイトを宛先とするHTTPプロトコルのパケット以外のパケット(エージェントソフトをダウンドールすることとは関係の無いパケット)は、対策機器100が、ルータ14に転送させることを禁止するために、パケットを遮断し、破棄する。パケットの種別の判断は、プロトコルの種類や、配布サイトの宛先等のデータから行われる。
一方、エージェントソフトを、サブネットワークを越えた通信ではなく、サブネットワーク内のサーバから入手して、実行することにより、第1のコンピュータが、サブネットワークの使用申請を行う場合がある。このような場合には、サーバからエージェントソフトを受信する通信サービスのみ、第1のコンピュータに対して提供されるが、それ以外の、例えば、サーバに保存されたファイルへのアクセスなどの通信サービスは遮断されることが好ましい。
第1のコンピュータがサブネットワーク内のサーバから、エージェントソフトを入手するときの通信プロトコルにおいても、HTTP(Hyper Text Transfer Protocol)が使用され、第1のコンピュータがサーバにエージェントソフトの送信を要求する。したがって、例えば、第1のコンピュータが、HTTPプロトコルであって、エージェントソフトの配布サーバを宛先とするパケットは、第2のコンピュータ(エージェントソフトの配布サーバ)に転送させることを、対策機器100が許可してもよい。しかし、この配布サーバを宛先とするHTTPプロトコル・パケット以外のパケットは、第2のコンピュータに転送させることを禁止するために、遮断し、このパケットを破棄する。
上述のように、エージェントソフトのインストールに限定されることはなく、例えば、ウィルス定義ファイルをインストールする場合も考えられる。この場合では、ウィルス定義ファイルの配布サイト(又はサブネットワーク内の配布サーバ)に接続し、ウィルス定義ファイルの更新に関わる通信サービスのみを許可し、その他の通信サービスを制限する。この場合でも、第1のコンピュータは、HTTPプロトコルを使用して、ウィルス定義ファイルの配布サイト(又は配布サーバ)を宛先とするパケットを送信する。対策機器100の第1判断手段105が、このプロトコル種別と宛先情報から、パケットの種別を判断し、このパケットを転送又は破棄を判断する。
さらに、セキュリティ・パッチをインストールする場合も考えられる。この場合では、セキュリティ・パッチの配布サイト(又はサブネットワーク内の配布サーバ)に接続し、セキュリティ・パッチの更新に関わる通信サービスのみを許可し、その他の通信サービスを制限する。この場合でも、第1のコンピュータは、HTTPプロトコルを使用して、セキュリティ・パッチの配布サイト(又は配布サーバ)を宛先とするパケットを送信する。対策機器100の第1判断手段105が、このプロトコル種別と宛先情報から、パケットの種別を判断し、このパケットを転送又は破棄を判断する。
ウィルス定義ファイルの更新やセキュリティ・パッチ適用のための制限開始命令は、サブネットワークの管理者が、これらの対処を必要だと判断した任意のタイミングで発令される。
加えて、禁止ソフトについては、第1のコンピュータが第2のコンピュータに対して送信する禁止ソフトのポート番号を、第1判断手段105がパケットを判断する判断指標としてもよい。また、禁止ソフトに限らず、使用を規制したいゲームやアプリケーションのポート番号を第1判断手段105がパケットを判断する判断指標とすることができる。
図6にて、上述のように通信サービスを転送又は破棄する際のパケットと、その通信サービスの制限による効果を表に示した。このように制限を行う通信サービスと、この判断指標となるパケット種別とが、第1制限基準入力手段107から入力される。この入力される基準データは、動的に修正、変更できてよい。
例えば、対策機器100のOS(Operating System)として、Linux(登録商標)が使われていて、通信サービスの制限のために、Linux付属のiptablesコマンドを使用する場合について説明する。第1のコンピュータから第2のコンピュータへHTTPのみを、通過させること許容させる場合には、管理者が第1制限基準入力手段107から、この通信サービスの制限の入力を受け、(式1)のような命令として、第1判断手段105に、HTTPサービス以外のサービスを制限する。ここで、dportの番号は、TCP/IPのウェルノウン・ポートの番号であり、例えば、FTPに関わるパケットであれば、(式2)のように、21番と指定される。
Figure 0004082613
このような実施形態を実現する通信サービス制御方法を、コンピュータやサーバにて実行するためのプログラムにより実現することができる。このプログラムのための記憶媒体としては、DVDやMO、PD等の光学記憶媒体、テープ媒体、半導体メモリ等が挙げられる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けられたハードディスク又はRAM等の記憶装置を記憶媒体として使用し、ネットワークを介してプログラムを提供してもよい
以上、本発明の実施形態を説明したが、具体例を例示したに過ぎず、特に本発明を限定しない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載された効果に限定されない。
以上の実施形態によると、以下の各項目に示す通信サービス制御装置、通信サービス制御方法、およびこの方法を実行するプログラムが実現される。
(1) 第1のコンピュータ及び第2のコンピュータを含む複数のコンピュータと通信可能な対策機器であって、通信サービスの制限開始命令に応答して、前記第1のコンピュータに記録された前記第2のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更し、前記第2のコンピュータに記録された前記第1のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更する通信アドレス変更手段と、前記第1のコンピュータから前記第2のコンピュータへのパケットを取得する第1パケット取得手段と、前記第2のコンピュータから前記第1のコンピュータへのパケットを取得する第2パケット取得手段と、前記第1パケット取得手段が取得したパケットを前記第2のコンピュータに送信するかを判断する第1判断手段と、を備えることにより前記第1のコンピュータと前記第2のコンピュータとによる通信サービスを制限する対策機器。
(2) (1)に記載の対策機器であって、前記第2パケット取得手段が取得したパケットを前記第1のコンピュータに送信するかを判断する第2判断手段を、さらに備えた対策機器。
(3) (1)に記載の対策機器であって、前記通信アドレスは、MAC(Media Access Control)アドレスである対策機器。
(4) (1)に記載の対策機器であって、前記第1のコンピュータが、サブネットワーク内のクライアント端末であり、前記第2のコンピュータが、前記サブネットワーク内のサーバであるため、前記クライアント端末と前記サーバとの通信サービスを制限する対策機器。
(5) (3)に記載の対策機器であって、前記通信アドレス変更手段が、ARP(Adress Resolution Protocol)リクエスト又はARPリプライにより、前記第1のコンピュータの通信アドレスと、前記第2のコンピュータの通信アドレスとを変更する対策機器。
(6) (1)に記載の対策機器であって、前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力手段と、前記第1制限基準入力手段により入力された制限するパケットのデータを記録する第1制限基準記録手段と、前記第1判断手段が、前記第1制限基準記録手段に記録されたパケットのデータに基づいて前記第1パケット取得手段が取得したパケットを前記第2のコンピュータに送信するかを判断する対策機器。
(7) (2)に記載の対策機器であって、前記第2のコンピュータから前記第1のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第2制限基準入力手段と、前記第2制限基準入力手段により入力された制限するパケットのデータを記録する第2制限基準記録手段と、前記第2判断手段が、前記第2制限基準記録手段に記録されたパケットのデータに基づいて前記第2パケット取得手段が取得したパケットを前記第1のコンピュータに送信するかを判断する対策機器。
(8) 第1のコンピュータと第2のコンピュータとの間の通信サービスを制限する方法であって、通信サービスの制限開始命令に応答して、前記第1のコンピュータに記録された前記第2のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更し、前記第2のコンピュータに記録された前記第1のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更するステップと、前記第1のコンピュータから前記第2のコンピュータへのパケットを取得する、第1パケット取得ステップと、前記第2のコンピュータから前記第1のコンピュータへのパケットを取得する、第2パケット取得ステップと、前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する、第1判断ステップと、を備えることにより、前記第1のコンピュータと前記第2のコンピュータとの間の通信サービスを制限する方法。
(9) (8)に記載の通信サービスを制限する方法であって、前記第2パケット取得ステップで取得したパケットを前記第1のコンピュータに送信するかを判断する第2判断ステップを含む通信サービスを制限する方法。
(10) (8)に記載の通信サービスを制限する方法であって、前記第1のコンピュータが、前記第2のコンピュータの通信アドレスをARPにより取得するステップを含む通信サービスを制限する方法。
(11) (10)に記載の通信サービスを制限する方法であって、前記通信アドレスを変更するステップでは、前記通信サービスの制限開始命令に応答して、前記対策機器がARPリクエスト又はARPリプライを前記第1のコンピュータと、前記第2のコンピュータとに送信することにより、前記第1のコンピュータに記録された前記第2のコンピュータのMACアドレスを、前記対策機器のMACアドレスに上書きすることで、前記第1のコンピュータの通信アドレスを変更し、前記第2のコンピュータに記録された前記第1のコンピュータのMACアドレスを、前記対策機器のMACアドレスに上書きすることで、前記第2のコンピュータの通信アドレスを変更する通信サービスを制限する方法。
(12) (8)に記載の通信サービスを制限する方法であって、前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
(18) (9)に記載の通信サービスを制限する方法であって、前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
(14) (10)に記載の通信サービスを制限する方法であって、前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
(15) (11)に記載の通信サービスを制限する方法であって、前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
(16) (9)に記載の通信サービスを制限する方法であって、前記第2のコンピュータから前記第1のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第2制限基準入力ステップと、前記第2制限基準入力ステップにより入力された制限するパケットのデータを記録する第2制限基準記録ステップと、を含み、前記第2判断ステップにおいて、前記第2制限基準記録ステップにて記録されたパケットのデータに基づいて前記第2パケット取得ステップにて取得したパケットを前記第1のコンピュータに送信するかを判断する通信サービスを制限する方法。
(17) (13)に記載の通信サービスを制限する方法であって、前記第2のコンピュータから前記第1のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第2制限基準入力ステップと、前記第2制限基準入力ステップにより入力された制限するパケットのデータを記録する第2制限基準記録ステップと、を含み、前記第2判断ステップにおいて、前記第2制限基準記録ステップにて記録されたパケットのデータに基づいて前記第2パケット取得ステップにて取得したパケットを前記第1のコンピュータに送信するかを判断する通信サービスを制限する方法。
(18) (8)に記載の方法を実行可能としたプログラム。
(19) (18)に記載のプログラムを記憶したコンピュータ読取可能記録媒体。
本発明は、サブネットワーク内のコンピュータ間の通信サービスを制限できるのみならず、インターネットを介して接続されたコンピュータ間の通信サービスを制限する通信サービス制御システムに対しても適用可能である。
本発明の通信サービス制御システムのハードウェア構成を示す図である。 対策機器のハードウェア構成を示す図である。 対策機器の各手段が実行する動作を示すフローチャート図である。 第1のコンピュータと第2のコンピュータと対策機器とによって行われる通信シーケンスを示したシーケンス図である。 第1のコンピュータと第2のコンピュータと対策機器とによって行われる通信シーケンスを示したシーケンス図である。 所定の通信サービスの制限が行われる場合の、転送又は廃棄すべきパケットの種別と、この通信サービスの制限による効果を示した表である。
符号の説明
1 通信サービス制御システム
12 インターネットもしくは外部ネットワーク
13 ファイアウォール
14 ルータ
30〜34 中継機器
20〜23 コントロール対象コンピュータ
24,25 サーバ
100 対策機器
101 通信手段
102 通信アドレス変更手段
103 第1パケット取得手段
104 第2パケット取得手段
105 第1判断手段
106 第1制限基準記録手段
107 第1制限基準入力手段
108 第2判断手段
109 第2制限基準記録手段
110 第2制限基準入力手段

Claims (19)

  1. 第1のコンピュータ及び第2のコンピュータを含む複数のコンピュータと通信可能な対策機器であって、
    通信サービスの制限開始命令に応答して、前記第1のコンピュータに記録された前記第2のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更し、前記第2のコンピュータに記録された前記第1のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更する通信アドレス変更手段と、
    前記第1のコンピュータから前記第2のコンピュータへのパケットを取得する第1パケット取得手段と、
    前記第2のコンピュータから前記第1のコンピュータへのパケットを取得する第2パケット取得手段と、
    前記第1パケット取得手段が取得したパケットを前記第2のコンピュータに送信するかを判断する第1判断手段と、
    を備えることにより前記第1のコンピュータと前記第2のコンピュータとによる通信サービスを制限する対策機器。
  2. 請求項1に記載の対策機器であって、
    前記第2パケット取得手段が取得したパケットを前記第1のコンピュータに送信するかを判断する第2判断手段を、さらに備えた対策機器。
  3. 請求項1に記載の対策機器であって、
    前記通信アドレスは、MAC(Media Access Control)アドレスである対策機器。
  4. 請求項1に記載の対策機器であって、
    前記第1のコンピュータが、サブネットワーク内のクライアント端末であり、前記第2のコンピュータが、前記サブネットワーク内のサーバであるため、前記クライアント端末と前記サーバとの通信サービスを制限する対策機器。
  5. 請求項3に記載の対策機器であって、
    前記通信アドレス変更手段が、ARP(Adress Resolution Protocol)リクエスト又はARPリプライにより、前記第1のコンピュータの通信アドレスと、前記第2のコンピュータの通信アドレスとを変更する対策機器。
  6. 請求項1に記載の対策機器であって、
    前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力手段と、
    前記第1制限基準入力手段により入力された制限するパケットのデータを記録する第1制限基準記録手段と、
    前記第1判断手段が、前記第1制限基準記録手段に記録されたパケットのデータに基づいて前記第1パケット取得手段が取得したパケットを前記第2のコンピュータに送信するかを判断する対策機器。
  7. 請求項2に記載の対策機器であって、
    前記第2のコンピュータから前記第1のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第2制限基準入力手段と、
    前記第2制限基準入力手段により入力された制限するパケットのデータを記録する第2制限基準記録手段と、
    前記第2判断手段が、前記第2制限基準記録手段に記録されたパケットのデータに基づいて前記第2パケット取得手段が取得したパケットを前記第1のコンピュータに送信するかを判断する対策機器。
  8. 第1のコンピュータと第2のコンピュータとの間の通信サービスを制限する方法であって、
    通信サービスの制限開始命令に応答して、前記第1のコンピュータに記録された前記第2のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更し、前記第2のコンピュータに記録された前記第1のコンピュータの通信アドレスを、前記対策機器の通信アドレスに変更するステップと、
    前記第1のコンピュータから前記第2のコンピュータへのパケットを取得する、第1パケット取得ステップと、
    前記第2のコンピュータから前記第1のコンピュータへのパケットを取得する、第2パケット取得ステップと、
    前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する、第1判断ステップと、
    を備えることにより、前記第1のコンピュータと前記第2のコンピュータとの間の通信サービスを制限する方法。
  9. 請求項8に記載の通信サービスを制限する方法であって、
    前記第2パケット取得ステップで取得したパケットを前記第1のコンピュータに送信するかを判断する第2判断ステップを含む通信サービスを制限する方法。
  10. 請求項8に記載の通信サービスを制限する方法であって、
    前記第1のコンピュータが、前記第2のコンピュータの通信アドレスをARPにより取得するステップを含む通信サービスを制限する方法。
  11. 請求項10に記載の通信サービスを制限する方法であって、
    前記通信アドレスを変更するステップでは、前記通信サービスの制限開始命令に応答して、前記対策機器がARPリクエスト又はARPリプライを前記第1のコンピュータと、前記第2のコンピュータとに送信することにより、
    前記第1のコンピュータに記録された前記第2のコンピュータのMACアドレスを、前記対策機器のMACアドレスに上書きすることで、前記第1のコンピュータの通信アドレスを変更し、
    前記第2のコンピュータに記録された前記第1のコンピュータのMACアドレスを、前記対策機器のMACアドレスに上書きすることで、前記第2のコンピュータの通信アドレスを変更する通信サービスを制限する方法。
  12. 請求項8に記載の通信サービスを制限する方法であって、
    前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、
    前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、
    前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
  13. 請求項9に記載の通信サービスを制限する方法であって、
    前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、
    前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、
    前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
  14. 請求項10に記載の通信サービスを制限する方法であって、
    前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、
    前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、
    前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
  15. 請求項11に記載の通信サービスを制限する方法であって、
    前記第1のコンピュータから前記第2のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第1制限基準入力ステップと、
    前記第1制限基準入力ステップにより入力された制限するパケットのデータを記録する第1制限基準記録ステップと、をさらに含み、
    前記第1判断ステップでは、前記第1制限基準記録ステップにて記録されたパケットのデータに基づいて前記第1パケット取得ステップにて取得したパケットを前記第2のコンピュータに送信するかを判断する通信サービスを制限する方法。
  16. 請求項9に記載の通信サービスを制限する方法であって、
    前記第2のコンピュータから前記第1のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第2制限基準入力ステップと、
    前記第2制限基準入力ステップにより入力された制限するパケットのデータを記録する第2制限基準記録ステップと、を含み、
    前記第2判断ステップにおいて、前記第2制限基準記録ステップにて記録されたパケットのデータに基づいて前記第2パケット取得ステップにて取得したパケットを前記第1のコンピュータに送信するかを判断する通信サービスを制限する方法。
  17. 請求項13に記載の通信サービスを制限する方法であって、
    前記第2のコンピュータから前記第1のコンピュータへ送信されるパケットのうち、送信を制御するパケットのデータの入力を受ける第2制限基準入力ステップと、
    前記第2制限基準入力ステップにより入力された制限するパケットのデータを記録する第2制限基準記録ステップと、を含み、
    前記第2判断ステップにおいて、前記第2制限基準記録ステップにて記録されたパケットのデータに基づいて前記第2パケット取得ステップにて取得したパケットを前記第1のコンピュータに送信するかを判断する通信サービスを制限する方法。
  18. 請求項8に記載の方法を実行可能としたプログラム。
  19. 請求項18に記載のプログラムを記憶したコンピュータ読取可能記録媒体。
JP2004258959A 2004-09-06 2004-09-06 通信サービスを制限するための装置 Expired - Fee Related JP4082613B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004258959A JP4082613B2 (ja) 2004-09-06 2004-09-06 通信サービスを制限するための装置
US11/175,756 US7474655B2 (en) 2004-09-06 2005-07-06 Restricting communication service
US12/205,247 US7725932B2 (en) 2004-09-06 2008-09-05 Restricting communication service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004258959A JP4082613B2 (ja) 2004-09-06 2004-09-06 通信サービスを制限するための装置

Publications (2)

Publication Number Publication Date
JP2006074705A JP2006074705A (ja) 2006-03-16
JP4082613B2 true JP4082613B2 (ja) 2008-04-30

Family

ID=36035593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004258959A Expired - Fee Related JP4082613B2 (ja) 2004-09-06 2004-09-06 通信サービスを制限するための装置

Country Status (2)

Country Link
US (2) US7474655B2 (ja)
JP (1) JP4082613B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011223256A (ja) * 2010-04-08 2011-11-04 Pfu Ltd 通信監視装置、方法およびプログラム
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
EP3493503A1 (en) 2017-11-30 2019-06-05 Panasonic Intellectual Property Corporation of America Network protection device and network protection system
WO2021070914A1 (ja) 2019-10-09 2021-04-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 機器監視方法、機器監視装置、及びプログラム
WO2021177319A1 (ja) 2020-03-04 2021-09-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知方法、不正通信検知装置、及びプログラム

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
US7957348B1 (en) * 2004-04-21 2011-06-07 Kineto Wireless, Inc. Method and system for signaling traffic and media types within a communications network switching system
JP4082613B2 (ja) * 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置
JP2008052325A (ja) * 2006-08-22 2008-03-06 Fujitsu Ltd 端末装置セキュリティ判定プログラム
JP4195480B2 (ja) 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
JP4752722B2 (ja) * 2006-10-25 2011-08-17 パナソニック電工株式会社 パケット転送装置及びパケット転送方法
JP4947069B2 (ja) * 2009-02-19 2012-06-06 日本電気株式会社 ネットワークセキュリティシステムおよびリモートマシン隔離方法
CN102025575B (zh) * 2009-09-14 2012-09-26 国基电子(上海)有限公司 电缆调制解调器及利用其连接计算机至网络的方法
TWI400908B (zh) * 2009-09-16 2013-07-01 Hon Hai Prec Ind Co Ltd 電纜數據機及利用其連接電腦至網路之方法
US8869307B2 (en) * 2010-11-19 2014-10-21 Mobile Iron, Inc. Mobile posture-based policy, remediation and access control for enterprise resources
GB2501265A (en) * 2012-04-17 2013-10-23 Ibm Constructing instructions for a mainframe by embedding programming in job control language, and executing those instructions at the mainframe
JP2015198295A (ja) 2014-03-31 2015-11-09 富士通株式会社 情報処理システム、その制御方法、及び制御装置
JP2019201364A (ja) * 2018-05-17 2019-11-21 日本電信電話株式会社 通信装置及び通信方法
US10942725B2 (en) * 2018-07-30 2021-03-09 Ford Global Technologies, Llc Over the air Ecu update

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07281980A (ja) 1994-04-08 1995-10-27 Hitachi Ltd ウイルス感染プロテクト方法
JPH11136274A (ja) 1997-10-28 1999-05-21 Toshiba Corp 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体
US6874147B1 (en) * 1999-11-18 2005-03-29 Intel Corporation Apparatus and method for networking driver protocol enhancement
US7093288B1 (en) * 2000-10-24 2006-08-15 Microsoft Corporation Using packet filters and network virtualization to restrict network communications
JP3495030B2 (ja) 2001-02-14 2004-02-09 三菱電機株式会社 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
US7174390B2 (en) * 2001-04-20 2007-02-06 Egenera, Inc. Address resolution protocol system and method in a virtual network
US7231430B2 (en) * 2001-04-20 2007-06-12 Egenera, Inc. Reconfigurable, virtual processing system, cluster, network and method
US6971044B2 (en) * 2001-04-20 2005-11-29 Egenera, Inc. Service clusters and method in a processing system with failover capability
JP2003087297A (ja) * 2001-09-13 2003-03-20 Toshiba Corp パケット転送装置およびパケット転送方法
US7644151B2 (en) * 2002-01-31 2010-01-05 Lancope, Inc. Network service zone locking
JP2003273936A (ja) 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP3648211B2 (ja) 2002-03-28 2005-05-18 富士通株式会社 パケット中継プログラム、パケット中継装置および記録媒体
JP2003348113A (ja) 2002-05-22 2003-12-05 Takeshi Hosohara スイッチおよびlan
JP4082613B2 (ja) * 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10079894B2 (en) 2009-07-22 2018-09-18 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US10469596B2 (en) 2009-07-22 2019-11-05 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
US11165869B2 (en) 2009-07-22 2021-11-02 International Business Machines Corporation Method and apparatus for dynamic destination address control in a computer network
JP2011223256A (ja) * 2010-04-08 2011-11-04 Pfu Ltd 通信監視装置、方法およびプログラム
US8897142B2 (en) 2010-04-08 2014-11-25 Pfu Limited Communication monitoring device
EP3493503A1 (en) 2017-11-30 2019-06-05 Panasonic Intellectual Property Corporation of America Network protection device and network protection system
US10911466B2 (en) 2017-11-30 2021-02-02 Panasonic Intellectual Property Corporation Of America Network protection device and network protection system
WO2021070914A1 (ja) 2019-10-09 2021-04-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 機器監視方法、機器監視装置、及びプログラム
WO2021177319A1 (ja) 2020-03-04 2021-09-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知方法、不正通信検知装置、及びプログラム

Also Published As

Publication number Publication date
US20060059552A1 (en) 2006-03-16
US7474655B2 (en) 2009-01-06
US20090007254A1 (en) 2009-01-01
JP2006074705A (ja) 2006-03-16
US7725932B2 (en) 2010-05-25

Similar Documents

Publication Publication Date Title
JP4082613B2 (ja) 通信サービスを制限するための装置
US7792990B2 (en) Remote client remediation
US7540013B2 (en) System and methodology for protecting new computers by applying a preconfigured security update policy
US7308703B2 (en) Protection of data accessible by a mobile device
US9118716B2 (en) Computer system, controller and network monitoring method
US7360242B2 (en) Personal firewall with location detection
JP3298832B2 (ja) ファイアウォールサービス提供方法
JP4630896B2 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
CA2688553A1 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
JP2006262141A (ja) Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
JP2007043483A (ja) 情報処理装置、通信制御方法および通信制御用プログラム
JP2009528757A (ja) ピアツーピア通信の検出及び制御
JP5445262B2 (ja) 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
JP2007505409A (ja) プロトコルゲートウェイでソフトウェアを動的に更新するシステム及び方法
JP4950705B2 (ja) 通信制御システム及び通信制御方法
JP2017085273A (ja) 制御システム、制御装置、制御方法およびプログラム
KR102628441B1 (ko) 네트워크 보호 장치 및 그 방법
Berghel et al. Pernicious ports
JP2006107158A (ja) ストレージネットワークシステム及びアクセス制御方法
JP2005293007A (ja) セキュリティチェックシステムおよびセキュリティチェック方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070731

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20071221

TRDD Decision of grant or rejection written
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20080128

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080205

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20080206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080207

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20080213

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S202 Request for registration of non-exclusive licence

Free format text: JAPANESE INTERMEDIATE CODE: R315201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120222

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130222

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130222

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees