JP4195480B2 - コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 - Google Patents

コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 Download PDF

Info

Publication number
JP4195480B2
JP4195480B2 JP2006273261A JP2006273261A JP4195480B2 JP 4195480 B2 JP4195480 B2 JP 4195480B2 JP 2006273261 A JP2006273261 A JP 2006273261A JP 2006273261 A JP2006273261 A JP 2006273261A JP 4195480 B2 JP4195480 B2 JP 4195480B2
Authority
JP
Japan
Prior art keywords
terminal
interface
packet
network
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006273261A
Other languages
English (en)
Other versions
JP2008092465A (ja
Inventor
之信 森谷
秀紀 杉山
賢太郎 青木
直人 清水
克彦 島田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2006273261A priority Critical patent/JP4195480B2/ja
Priority to CN2007101370171A priority patent/CN101159552B/zh
Priority to US11/860,758 priority patent/US7924850B2/en
Publication of JP2008092465A publication Critical patent/JP2008092465A/ja
Application granted granted Critical
Publication of JP4195480B2 publication Critical patent/JP4195480B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols

Description

本発明は、ネットワークにコンピュータ端末などを接続し、通信することを監視・制御することに関する。
最近、企業などのイントラネットなどでは、情報漏洩やコンピュータ・ウィルスの蔓延を防ぐため、許可を得ていないコンピュータの接続を防止し、アンチウィルス・ソフトをインストールしていないコンピュータの接続を制限している。例えば、正規の認証を受けていないコンピュータが、ネットワークに接続した場合に、このコンピュータから送信されるパケット・データを、ネットワーク内で全て遮断することで、接続を防止する。また、アンチウィルス・ソフトをインストールしていないコンピュータや、最新のウィルスのパターン・ファイルが適用されていないコンピュータが接続された場合、アンチウィルス・ソフトに関係するサーバに接続し、ウィルスのパターン・ファイルのデータをダウンロードすることのみ許可し、それ以外のネットワークのリソースへの接続を制限する。また、Microsoft(登録商標)社のWindows(登録商標)OS(Operating System)に最新のパッチが適用されていないコンピュータが接続されたことを検知した場合にも、同様にパッチをダウンロードする以外の接続を制限する。
インターナショナル・ビジネス・マシーンズ・コーポレーション(登録商標)から、特許出願された特許文献1では、ネットワークに接続されたコンピュータからのパケット・データを監視し、該コンピュータの通信を制限すべきだと判断した場合には、該コンピュータに対し、ARP(Address Resolution Protocol)テーブルを書き換えるためのARP情報(ARPリクエストやARPリプライ)を送信することで、該コンピュータからのパケット・データを誘導し、パケット・データの破棄により、ネットワークの接続を防止し、また、パケット・データを限定的に通過させることでネットワークへの接続を制限している。
しかし、ARP情報によりネットワークへの接続を制限したコンピュータからのウィルスのパターン・ファイルやWindowsOSのパッチのダウンロード・データが増加した場合、ネットワークに接続された他のコンピュータのパケット・データを監視することが困難になる。すなわち、許可を受けていないコンピュータを検出するには、該コンピュータが送出するパケット・データ(特にARPリクエスト)をキャプチャする必要があるが、ダウンロード・データの増加により、パケット・データのキャプチャ・ミスする確率が高くなり、また、これ以外の接続を制御するためのデータ等を送出することが困難になり、ネットワークに接続されるコンピュータ端末の通信を管理・制御することについて、機能不全を起こす恐れがある。特に、クライアント・コンピュータにGigabit Ethernet対応のものが標準になり、さらに、ネットワークの帯域が増加すると予想されるなかで、この機能不全は、益々、顕著になることが予想される。
特開2006−74705号公報
ネットワークに接続が制限されたコンピュータからのデータ・ダウンロードの増加に関わらず、ネットワークの監視・制御機能を維持する装置および方法を提供する。
上記課題を解決するため、本発明においては、コンピュータ端末がネットワークに接続するのを制御する装置を提案する。該装置は、ネットワークに対しデータを送受信する機能を有する第1のインタフェースと、ネットワークに対しデータを送受信する機能を有する第2のインタフェースと、前記第1のインタフェースで受信したネットワークデータが、第1の端末から送信されたものか否かを判定する手段と、前記判定する手段により、前記ネットワークデータが前記第1の端末から送信されたと判断したことに応答して、前記第1の端末のテーブルの前記ネットワークデータの送信先アドレスを、前記第2のインタフェースのアドレスに変更する情報を生成する手段と、前記第2のインタフェースのアドレスに変更する情報を前記第1の端末に送信する手段と、前記第2のインタフェースを通過するネットワークデータの帯域を所定の値に制限する手段と、を有する装置である。該装置により、第2のインタフェースでセキュリティ・パッチやその帯域制御を行うことで、第1のインタフェースでネットワークを監視し、PC端末の接続を制御する機能が害されることがなくなる。
図1は、ネットワークに不正接続しているコンピュータなどの端末を検出し監視することで、不正接続端末のネットワーク接続を制御するネットワーク検疫装置に関するハードウェア構成100の概略を例示している。中央演算処理装置であるCPU101は各種オペレーティング・システムの制御下で様々なプログラムを実行する。CPU101はバス102を介して、メモリ103、ディスク104、ディスプレイ・アダプタ105、ユーザ・インタフェース106と相互接続される。
ディスク104には、コンピュータを機能させるために必要なソフトウェア、オペレーティング・システムおよび本発明を実行するためのプログラム等が含まれる。これらのプログラムは必要に応じメモリに読み出されCPUで実行される。また、ディスク104には、ネットワークをモニタリングしてキャプチャしたネットワークデータ(パケット)や、正規に認証を受けたPC端末等のネットワーク・アドレスなどを記録しておく。なお、ディスク104は、フラッシュメモリなどで代用可能であり、記録可能な媒体であればハードディスクに限定されないことは当業者には自明である。
ディスプレイ・アダプタ105を通してディスプレイ装置107に接続され、ユーザ・インタフェース106を通して、キーボード108およびマウス109に接続され、ネットワーク・インタフェース110および111を通してネットワークに接続される。キーボード108およびマウス109により、本装置が操作され、ディスプレイ装置107に、処理の途中経過や処理結果が表示される。第1ネットワーク・インタフェース110および第2ネットワーク・インタフェースには、ネットワーク・カードなどが接続される。基本的には第1ネットワーク・インタフェース110を介して、ネットワークデータの取得や送信が行われ、第2ネットワーク・インタフェース111により、帯域制限を行う。第1ネットワーク・インタフェース110および第2ネットワーク・インタフェース111には、スイッチング・ハブなどが接続される。
ネットワークを介して、本発明が分散環境で実施される場合もある。なお、このハードウェア構成100は、コンピュータ・システム、バス配置およびネットワーク接続の一実施形態の例示に過ぎず、本発明の特徴は、さまざまなシステム構成で、同一の構成要素を複数有する形態で、または、ネットワーク上にさらに分散された形態で実現することができる。
図2は、不正接続端末等のネットワーク接続を制御するネットワーク検疫装置が動作するネットワーク環境の一例である。ネットワーク検疫装置201は、第1ネットワーク・インタフェース211と第2ネットワーク・インタフェース212を介してスイッチング・ハブ202に接続される。スイッチング・ハブ202の上位には、ルータ203が存在する。ネットワーク検疫装置201は、ネットワーク・セグメント毎に存在する。これは、データをブロードキャストすることでデータの宛先を制御したりするためであり、これ以外の方法でデータの宛先を制御等できる場合は、この接続構成に限られることはない。このネットワーク・セグメントには、サーバ−A204、サーバ−B205、PC−A206、PC−B207およびPC−C208が接続されている。サーバ−A204が一般業務で利用するサーバで、サーバ−B205が、セキュリティ・パッチをダウンロードするためのサーバだとする。
ここでは、PC−A206は、正規の接続認証を受け、アンチウィルス・ソフトなどを備えたセキュリティ設定に何も問題のない端末であると確認されているものとする。PC−A206は、ネットワーク内のサーバ−A204およびサーバ−B205共に接続可能である。一方、PC−B207が、正規の認証を受けていない不正接続PC端末であると判断された場合、ネットワーク検疫装置201は、PC−B207からのデータ、または他のネットワーク機器からのデータを、ネットワーク検疫装置201に流れるように誘導し、それらのデータを他のサーバや端末に送信されないように遮断する。通常、この遮断はネットワーク・インタフェース211で行われる。また、PC−C208は、正規の認証を受けているが、セキュリティの設定が十分でない場合、例えば、アンチウィルス・ソフトのパターン・ファイルが最新のものに更新されていない場合、すなわちセキュリティ設定違反PC端末であるとPC−C208が判断された場合は、セキュリティ・パッチやパターン・ファイルを供給するサーバ−Bにのみ接続できるように、ネットワーク検疫装置201によって制御される。PC−C208とセキュリティ・パッチ・ダウンロード用サーバとの間のデータは、通常、第2ネットワーク・インタフェース212を経由するように誘導し、制御される。
図3は、ネットワーク検疫装置301の機能構成の概略を例示したものである。ネットワーク検疫装置301は、インタフェース301と302を介してスイッチングHUB330と接続される。
パケット送受信部312は、インタフェース311を介して、パケット・データをキャプチャしたり、送信したりする。パケット送受信部312はOS(Operationg System)のネットワーク・スタックの機能であってもよい。パケット・データ判断部313は、パケット送受信部312でキャプチャしたパケット・データから、不正接続PC端末や、セキュリティ設定が不十分なPC端末が接続されていないか等を判断することで監視する。この監視は、ブロードキャストによる不正接続PC端末からのARPパケット、不正接続PC端末からの非ARPパケット、または、セキュリティ設定違反PC端末からのパケットなどを検出し判断することで行われる。
パケット・データ誘導部314は、セキュリティ設定違反PC端末(第1の端末)や不正接続PC端末(第2の端末)からのARPパケットを検出した場合に、パケット・データをリダイレクトすることで、不正接続PC端末やセキュリティ設定違反PC端末が他のサーバやPC端末に接続しないように、接続先を偽造したARP情報を作成する。この偽造ARP情報はパケット送受信部が送信する。なお、ARPパケットのキャプチャ以外に、リピータHUBや、高機能のHUBでミラーリング機能がある場合は、全てのパケットをキャプチャ可能であるので、非ARPパケットからも不正接続PC端末やセキュリティ設定違反PC端末を検出可能である。
偽造したARP情報としては、例えば、各サーバや各PC端末のIPアドレス(Internet Protocol Address)に対応するMACアドレス(Media Access Control Address)を、ネットワーク検疫装置の第1ネットワーク・インタフェース311または第2ネットワーク・インタフェース321のMACアドレスとして偽造したものである。また、接続先のサーバやPC端末には、ARPテーブル内の不正接続PC端末やセキュリティ設定違反PC端末のMACアドレスを、ネットワーク検疫装置のMACアドレスにするように偽装ARP情報を出し、直接、接続先のサーバやPC端末が、不正接続PC端末やセキュリティ設定違反PC端末と通信するのを防ぐことが好ましい。
ちなみに、不正接続PC端末に関係するパケット・データの場合は、第1ネットワーク・インタフェース311に該パケット・データを誘導する。また、セキュリティ設定違反PC端末に関係するパケット・データの場合は、サーバB205との通信に関しては第2ネットワーク・インタフェース321に, それ以外の通信に関しては第1ネットワーク・インタフェース311に該パケット・データを誘導することが好ましい。このように誘導する先のインタフェースを分ける理由は、セキュリティ設定違反PC端末が第2ネットワーク・インタフェース321を介してセキュリティ・パッチをダウンロードする際に、不正接続PC端末からのパケット・データを確実に検出して遮断するためである。ただし、多少の取りこぼしがあっていいのであれば、不正接続PC端末からのパケット・データを第2ネットワーク・インタ・フェース321に誘導しても構わない。また、不正接続PC端末やセキュリティ設定違反PC端末の通信相手となるサーバやPC端末も、直接通信しないように、偽造したARP情報を送信する。
パケット・データ・アクセス制御部315は、不正接続PC端末からの非ARPパケットや、セキュリティ設定違反PC端末からのセキュリティ・パッチ用サーバ以外への宛先のパケットである場合、そのパケット・データを破棄することで、ネットワークへの接続を遮断する。なお、パケット・データ・アクセス制御部315は、セキュリティ設定違反PC端末からのセキュリティ・パッチ用サーバ以外への宛先のパケットである場合、セキュリティ設定が不十分である旨の警告表示をするためのWebサーバ等に、パケット・データをリダイレクトすることもある。
パケット送受信部322は、第2ネットワーク・インタフェース321を介して、パケット・データをキャプチャしたり、送信したりする。パケット送受信部322はパケット送受信部312と同様の機能を有する。
パケット・データ・アクセス制御部323は、セキュリティ設定違反PC端末から、セキュリティ・パッチをダウンロードする以外の接続、すなわち、セキュリティ設定違反を修正する目的以外で、ネットワーク内のサーバや他のPC端末に接続しようとする場合に、アクセスを制限する。制限は、例えば、パケット・データを全て破棄したり、または、セキュリティ設定が不十分である旨の警告表示をするためのWebサーバ等に、パケット・データをリダイレクトすることを含む。
帯域制御部324は、セキュリティ設定違反PC端末から、セキュリティ・パッチをダウンロードする場合に、そのデータの流通量が多くなってネットワーク内の帯域を圧迫しそうな場合に、その帯域を制限するものである。これは、セキュリティ・パッチを配布するサーバに対しても、ARPテーブルの書き換えを行うことで実現する。
図4は、ネットワーク検疫装置が、不正接続PC端末や、セキュリティ設定違反PC端末のパケット・データを処理するフロー400を例示したものである。処理フローは、大きく第1ネットワーク・インタフェースと第2ネットワーク・インタフェースに分かれる。処理フロー400は、ステップ401から開始する。ステップ402でパケット・データをキャプチャする。ステップ402では、ステップ402でキャプチャした不正接続PC端末から、接続先サーバやPC端末のMACアドレスを要求するようなARPパケットであるか否かを判断する。このARPパケットは、通常、最初の接続時にブロードキャスト等でネットワーク内に送信されるものである。ステップ403で、不正接続PC端末からのARPパケットであると判断した場合(YES)、ステップ404に進む。不正接続PC端末か否かの判断は、例えば、パケット・データの送信元MACアドレスなどを基に、判断できる。
ステップ404では、不正接続PC端末が関係する通信を遮断するため、偽造ARP情報を送信する。この偽造ARP情報は、不正接続PC端末のARPテーブルと、不正接続PC端末と通信するサーバやPC端末のARPテーブルを書き換えるための情報である。書き換える内容は、例えば、不正接続PC端末のARPテーブルの場合は、テーブル中のMACアドレスを、ネットワーク検疫装置の第1ネットワーク・インタフェースに変更することで、不正接続PC端末がサーバや他の端末PC等に対し直接パケット・データを送信できなくする。不正接続PC端末と通信するサーバや他のPC端末等のARPテーブルの場合は、テーブル中の不正接続PC端末のMACアドレスを、ネットワーク検疫装置の第1ネットワーク・インタフェースに変更することで、サーバや他の端末PC等が不正接続PC端末に対し直接パケット・データを送信できなくする。ステップ404の後、次のパケット・データを処理するためステップ402に戻る。
ステップ403で、不正接続PC端末からのARPパケットでないと判断した場合(NO)、ステップ405に進む。ステップ405では、キャプチャしたパケット・データが不正接続PC端末からの通常のパケット、すなわち非ARPパケットであるか否か判断する。ステップ405で、不正接続PC端末からの非ARPパケットであると判断した場合(YES)、該パケット・データを破棄する。その後、次のパケット・データを処理するためステップ402に戻る。
ステップ405では、キャプチャしたパケット・データが不正接続PC端末からの非ARPパケットでないと判断した場合(NO)、ステップ407に進む。ステップ407では、キャプチャしたパケット・データが、セキュリティ設定違反PC端末からの報告パケットか否か判断する。この報告パケットは、PC端末内でセキュリティ設定違反があった場合に、エージェントのようなプログラムが、ネットワーク検疫装置に知らせるためのパケットである。PC端末内で、エージェントを動作させる代わりに、セキュリティ・パッチ・ダウンロード用サーバへのアクセス履歴から、PC端末がセキュリティ設定違反であるか否かを判断するように構成することも可能である。ただ、PC端末内で、細かい設定等を含めて、より精度を上げて把握するためには、PC端末内の設定等を実際に把握できるエージェント・プログラムを利用し、報告パケットによる報告を受けるのが好ましい。ステップ407で、キャプチャしたパケット・データが、セキュリティ設定違反PC端末からの報告パケットであると判断した場合(YES)、ステップ408に進む。
ステップ408では、セキュリティ設定違反PC端末の関係する通信を制御するため、偽造ARP情報を送信する。この偽造ARP情報は、セキュリティ設定違反PC端末のARPテーブルと、セキュリティ設定違反PC端末と通信するサーバやPC端末のARPテーブルを書き換えるための情報である。書き換える内容は、例えば、セキュリティ設定違反PC端末のARPテーブルの場合は、テーブル中、セキュリティ・パッチ・ダウンロード用サーバのMACアドレスを、ネットワーク検疫装置の第2ネットワーク・インタフェースに変更し、その他のMACアドレスをネットワーク検疫装置の第1ネットワーク・インタフェースに変更することで、セキュリティ設定違反PC端末がサーバや他の端末PC等に対し直接パケット・データを送信できなくする。
セキュリティ設定違反PC端末と通信するセキュリティ・パッチ・ダウンロード用サーバの場合は、ARPテーブル中のセキュリティ設定違反PC端末のMACアドレスを、ネットワーク検疫装置の第2ネットワーク・インタフェースに変更することで、第2ネットワーク・インタフェースにおいて、セキュリティ・パッチなどのダウンロード・データの帯域制限が容易となる。また、その他のサーバやPC端末の場合は、ARPテーブル中のセキュリティ設定違反PC端末のMACアドレスを、ネットワーク検疫装置の第1ネットワーク・インタフェースに変更することで、他のサーバや端末PC等がセキュリティ設定違反PC端末に対し直接パケット・データを送信できなくする。
ステップ408で、セキュリティ設定違反PC端末とセキュリティ・パッチ・ダウンロード用サーバが第2ネットワーク・インタフェースを介して通信するようにARPテーブルが偽装されるため、第2ネットワーク・インタフェースでは、リダイレクト処理が開始される。その結果、ステップ421に進んでリダイレクト処理が第2ネットワーク・インタフェースで平行して行われる。ステップ408の後、次のパケット・データを処理するためステップ402に戻る。
ステップ407で、キャプチャしたパケット・データが、セキュリティ設定違反PC端末からの報告パケットでないと判断した場合(NO)、ステップ410に進む。ステップ410では、セキュリティ設定違反PC端末のパケット・データをそのまま破棄するか、または、必要に応じてセキュリティ設定違反である旨の警告表示をするためのWebサーバにリダイレクトする。その後、次のパケットを処理するため、ステップ402に戻る。
第2ネットワーク・インタフェースでの処理は、ステップ421で開始される。ステップ422で、パケットをキャプチャする。ステップ423でパケットを、サーバやPC端末にリダイレクトするため再送信する。なお、ネットワークの負荷を見て、必要であれば、帯域制限をしても良い。第2ネットワーク・インタフェースでの処理フローの詳細は後述する。
なお、図4に表現されたパケット・データ以外のパケット・データも受取るが、それらは、通常のプロトコルの規約に従って処理される。例えば、リモートでネットワーク検疫装置を制御する場合、その制御するためのパケット・データは、通常の処理に従い、ネッットワーク検疫装置内で処理される。
図5は、ネットワーク内のサーバや端末PCが持つARPテーブルを例示したものである。ここでは、PC端末などはネットワーク内の全ての機器に対応するMACアドレスをARPテーブルに持つ必要はないので、図5は例示の1形態に過ぎないことは当業者には自明である。図5ではPC−Bが不正接続PC端末であり、PC−Cがセキュリティ設定違反端末PCであると仮定する。また、サーバBをセキュリティ・パッチ・ダウンロード用サーバであるとする。ARPテーブル中太線で囲まれたMACアドレスは書き換えられたもの、すなわち、偽装ARP情報によりMACアドレスが偽造されたものを表す。第1ネットワーク・インタフェースのMACアドレスは00:00:00:00:01、第2ネットワーク・インタフェースのMACアドレスは00:00:00:00:02、サーバAのMACアドレスは00:00:00:00:03、サーバBのMACアドレスは00:00:00:00:04、PC−AのMACアドレスは00:00:00:00:05、PC−BのMACアドレスは00:00:00:00:06PC−CのMACアドレスは、00:00:00:00:08である。
例えば、サーバAのARPテーブル中、PC−BとPC−CのMACアドレスは、両方とも第1ネットワーク・インタフェースのMACアドレスに書き換えられている。この書き換えによりサーバAから、PC−BおよびPC−C宛てのパケット・データは、ネットワーク検疫装置の第1ネットワーク・インタフェースに送信されることになる。また、不正接続端末PCであるPC−BのARPテーブルは、サーバAを含めた全てのネットワーク機器のMACアドレスが、第1ネットワーク・インタフェースのMACアドレスに書き換えられている。これにより、PC−Bからのパケット・データは、サーバAを含め全てのネットワーク機器と直接送受信できなくなる。
セキュリティ・パッチ・ダウンロード用サーバであるサーバBのARPテーブル中、PC−BのMACアドレスは、第1ネットワーク・インタフェースのMACアドレスに書き換えられ、セキュリティ設定違反PC端末であるPC−CのMACアドレスは、第2ネットワーク・インタフェースのMACアドレスに書き換えられている。また、PC−CのARPテーブル中、サーバBのARPテーブルも、第2ネットワーク・インタフェースのMACアドレスに書き換えられている。これらの書き換えにより、PC−Bのセキュリティ・パッチ・ダウンロードの通信は、第2ネットワーク・インタフェースに限定することができ、容易に帯域制限が可能になる。
ルータのARPテーブルは、不正接続PC端末であるPC−BのMACアドレスを第1ネットワーク・インタフェースに書き換え、ルータがPC−Bに直接パケット・データを送信しないようにしている。同様にPC−BのARPテーブル中、ルータのMACアドレスを第1ネットワーク・インタフェースに書き換え、PC−Bからルータに直接パケット・データを送信できなくしている。また、ルータのARPテーブル中、セキュリティ設定違反PC端末であるPC−CのMACアドレスを第2ネットワーク・インタフェースに書き換えている。セキュリティ・パッチ・ダウンロード用サーバが、このサブネットワークの外にある場合に、このような書き換えが行われる。もし、セキュリティ・パッチ・ダウンロード用サーバが、サブネットワーク内にしかない場合は、PC−Cのパケット・データがサブネットワーク外に出ないようにするため、ルータのARPテーブルのPC−CのMACアドレスは第1ネットワーク・インタフェースに書き換えられる。
図6は、第2ネットワーク・インタフェースでパケット・データの流量について、セキュリティ・パッチ等のダウンロード用サーバが複数ある場合に、帯域制御する処理フローを例示したもので、図4の第2ネットワーク・インタフェースの処理フローをさらに詳細に説明するものである。図6(a)は、パケットのサーバ毎の帯域制御の例を示している。処理はステップ601で開始される。ステップ603で、パケットをキャプチャする。ステップ605で、キャプチャしたパケットがサーバ1のセキュリティ・パッチに関連するパケットか否かを判断する。ステップ605で、サーバ1のセキュリティ・パッチに関連するパケットであると判断した場合(YES)、ステップ607に進み、帯域制御なしでそのパケット・データをリダイレクトする。ここで帯域制御をしないのは、例えば、サーバ1は緊急度の高いセキュリティ・パッチを配布するような場合である。その後、次のパケットを処理するため、ステップ603に戻る。
ステップ605で、サーバ1のセキュリティ・パッチに関連するパケットでないと判断した場合(NO)、ステップ609に進む。ステップ609では、キャプチャしたパケットがサーバ2のセキュリティ・パッチに関連するパケットか否か判断する。ステップ609で、サーバ2のセキュリティ・パッチに関連するパケットであると判断した場合(YES)、ステップ611に進み、帯域幅Aで制御しつつのセキュリティ・パッチのパケット・データをリダイレクトする。その後、次のパケットを処理するため、ステップ603に戻る。
ステップ609で、サーバ2のセキュリティ・パッチに関連するパケットでないと判断した場合(NO)、ステップ613に進む。ステップ613では、キャプチャしたパケットがサーバ3のセキュリティ・パッチに関連するパケットか否かを判断する。
ステップ613で、サーバ3のセキュリティ・パッチに関連するパケットであると判断した場合(YES)、ステップ615に進む。ステップ615では、帯域幅Bで制御しつつそのパケット・データをリダイレクトする。その後、次のパケットを処理するため、ステップ603に戻る。
ステップ615で、サーバ3のセキュリティ・パッチに関連するパケットでないと判断した場合(NO)、ステップ617に進む。ステップ617では、セキュリティ・パッチに関連するパケット・データでないので、そのパケット・データを破棄するか、または、必要に応じてセキュリティ設定違反である旨の警告を出すWebサーバにそのパケット・データをリダイレクトしても良い。
ステップ605、609および613の判断ボックスでは、サーバからのパケット・データおよびサーバからのパケット・データ、すなわち双方向のパケット・データについて判断することに限定されるわけではないが、双方向のパケット・データについて判断するほうが好ましい。これは、サーバおよびセキュリティ設定違反PC端末の両方のARPテーブルが偽装されているからである。パケット・データの破棄やリダイレクトは、必要に応じて、サーバからのパケットか、サーバ宛のパケットかの方向により、行うことが好ましい。
図6(b)は、ポート番号毎の帯域制御の例を示している。ポート番号の判断で帯域制御の処理が変わる点以外は、図6(a)と同じなので、ここでは、詳しい説明は省略する。また、サーバおよびポート番号の両方を組み合わせた帯域制御も可能であることは、この図6を用いれば当業者に容易に実現可能であることはいうまでもないことである。
図7は、ネットワーク検疫装置と管理用回線等との接続形態を例示したものである。現状では、ARPパケットなどのブロードキャストによるデータ送信は、サブネットワーク内に制限されるので、ネットワーク検疫装置はサブネットワークごとに配置する必要がある。巨大な企業のイントラネットでは、サブネットワークが多数になり、その分ネットワーク検疫装置も多数になる。このような場合、ネットワーク検疫装置を、効率よく管理する必要が生じ、管理用回線との接続が重要なポイントの1つとなる。
図7(a)は、ネットワーク検疫装置が、管理サーバと、管理用ネットワーク・インタフェースを介して接続される。管理用ネットワークは、PC端末等が利用する通常のネットワークとは切り離されているので、パケット・データの監視やリダイレクト処理に管理用データがまぎれて取得ミスすることもなく、またセキュリティ上も問題が少ないと思われる。ネットワーク検疫装置は、管理用ネットワーク・インタフェースを介して、管理用パケット・データを送受信する。
図7(b)は、ネットワーク検疫装置が、管理サーバと、管理用ネットワーク・インタフェースを介して接続されが、ネットワーク自体はPC端末等と同じネットワークに接続する。これは、新たなネットワーク回線を設けることが困難な場合に、管理用ネットワーク・インタフェースのデータの送受信を確保するためのものである。監視やリダイレクト処理にまぎれて、管理不能となる可能性が低くなる。
図7(c)は、第1ネットワーク・インタフェースが、管理用ネットワーク・インタフェースと、ネットワーク監視用インタフェースを兼用したものである。管理用データ・パケットがセキュリティ・パッチ・データにまぎれて取りこぼす可能性が少なくなる。
以上、本発明によれば、ネットワーク監視用のネットワーク・インタフェースと、セキュリティ・パッチ等のダウンロードを帯域制御するネットワーク・インタフェースを分けて、パケットを誘導することで、ネットワークの監視のためのデータ送受信が影響を受けることを最小にしながら、セキュリティ・パッチ等のダウンロードを帯域制御することが可能になる。
図8は、ネットワーク検疫装置とネットワークの異なる接続形態を例示したものである。不正接続PC807のパケットが、第3ネットワーク・インタフェース813に流れるようにARP情報で誘導し、第3ネットワーク・インタフェース813で不正接続PC807のパケットを破棄等することで接続制御するものである。また、セキュリティ設定違反端末808が、セキュリティ・パッチ・ダウンロード用サーバ805以外に接続しようとする場合には、第3ネットワーク・インタフェース813にパケットが流れるように誘導することが好ましい。図8の場合は、図3のパケット・データ・アクセス制御部315は、第3ネットワーク・インタフェース813で動作することになる。この構成により、アクセス制御を行う第3ネットワーク・インタフェース813のパケットは、パケットのキャプチャやARP情報の送信を行う第1ネットワーク・インタフェース811や、セキュリティ設定違反PCのセキュリティ・データのダウンロードの制御等を行う第2ネットワーク・インタフェース812のパケットと分離されるので、それぞれの機能が、相互のデータ送受信の影響をさらに受けにくくすることができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
ネットワーク検疫装置に関するハードウェア構成の概略を示している。 不正接続端末等のネットワーク接続を制御するネットワーク検疫装置が動作するネットワーク環境の一例である。 ネットワーク検疫装置の機能構成の概略を例示したものである。 ネットワーク検疫装置が、不正接続PC端末や、セキュリティ設定違反PC端末のパケット・データを処理するフローを例示したものである。 ネットワーク内のサーバや端末PCが持つARPテーブルを例示したものである。 帯域制御する処理フローを例示したものである。 ネットワーク検疫装置と管理用回線等との接続形態を例示したものである。 ネットワーク検疫装置とネットワークの異なる接続形態を例示したものである。

Claims (8)

  1. コンピュータ端末がネットワークに接続するのを制御する装置であって、
    ネットワークに対しデータを送受信する機能を有する第1のインタフェースと、
    ネットワーク対しデータを送受信する機能を有する第2のインタフェースと、
    前記第1のインタフェースでスイッチングHUBからパケットをキャプチャする手段と、
    前記パケットが前記第1の端末から送信されたセキュリティ設定違反報告パケットであると判断したことに応答して、前記第1の端末のARPテーブルのセキュリティ・パッチ・ダウンロード用サーバのMACアドレスを前記第2のインタフェースのMACアドレスに変更し、それ以外のMACアドレスを前記第1のインタフェースのMACアドレスに変更するARP情報を生成し送信する手段と、
    前記パケットが前記第2の端末から送信されたARPパケットであると判断したことに応答して、前記第2の端末のARPテーブルのMACアドレスを前記第1のインタフェースのMACアドレスに変更するARP情報生成し送信する手段と、
    前記第2のインタフェースを通過するパケット・データの帯域を所定の値に制限する手段と、
    前記第1のインタフェースを通過する第1の端末および第2の端末からのパケット・データを破棄する手段と
    を有する装置であって、
    前記第1の端末が、セキュリティ設定違反端末であり、
    前記第2の端末は、不正接続端末である
    装置。
  2. 前記装置はさらに、
    管理用ネットワークデータを送受信する第3のインタフェースと
    を有する請求項1に記載の装置。
  3. 前記制限する手段は、前記第1の端末と通信するサーバ毎に前記帯域を制限する所定の値を異なる値としている、
    請求項1に記載の装置。
  4. コンピュータ端末がネットワークに接続するのを制御する装置であって、
    ネットワークに対しデータを送受信する機能を有する第1のインタフェースと、
    ネットワーク対しデータを送受信する機能を有する第2のインタフェースと、
    ネットワーク対しデータを送受信する機能を有する第3のインタフェースと、
    前記第1のインタフェースでスイッチングHUBからパケットをキャプチャする手段と、
    前記パケットが前記第1の端末から送信されたセキュリティ設定違反報告パケットであると判断したことに応答して、前記第1の端末のARPテーブルのセキュリティ・パッチ・ダウンロード用サーバのMACアドレスを前記第2のインタフェースのMACアドレスに変更し、それ以外のMACアドレスを前記第3のインタフェースのMACアドレスに変更するARP情報を生成し送信する手段と、
    前記パケットが前記第2の端末から送信されたARPパケットであると判断したことに応答して、前記第2の端末のARPテーブルのMACアドレスを前記第3のインタフェースのMACアドレスに変更するARP情報生成し送信する手段と、
    前記第2のインタフェースを通過するパケット・データの帯域を所定の値に制限する手段と、
    前記第3のインタフェースを通過する第1の端末および第2の端末からのパケット・データを破棄する手段と
    を有する装置であって、
    前記第1の端末が、セキュリティ設定違反端末であり、
    前記第2の端末は、不正接続端末である
    装置。
  5. コンピュータ端末がネットワークに接続するのを制御する方法であって、
    第1のインタフェースで、スイッチングHUBからパケットをキャプチャするステップと、
    前記キャプチャしたパケットが、第1の端末または第2の端末から送信されたものか否かを判定するステップと、
    前記判定するステップにより、前記パケットが前記第1の端末から送信されたセキュリティ設定違反報告パケットであると判断したことに応答して、前記第1の端末のARPテーブルのセキュリティ・パッチ・ダウンロード用サーバのMACアドレスを第2のインタフェースのMACアドレスに変更し、それ以外のMACアドレスを前記第1のインタフェースのMACアドレスに変更するARP情報を生成し送信するステップと、
    前記判定するステップにより、前記パケットが前記第2の端末から送信されたARPパケットであると判断したことに応答して、前記第2の端末のARPテーブルのMACアドレスを前記第1のインタフェースのMACアドレスに変更するARP情報生成し送信するステップと、
    前記第2のインタフェースを通過するパケット・データの帯域を所定の値に制限するステップと、
    前記第1のインタフェースを通過する第1の端末および第2の端末からのパケット・データを破棄するステップと
    を有する方法であって、
    前記第1の端末が、セキュリティ設定違反端末であり、
    前記第2の端末は、不正接続端末である
    方法。
  6. 前記制限するステップは、前記第1の端末と通信するサーバ毎に前記帯域を制限する所定の値を異なる値としている、
    請求項5に記載の方法。
  7. コンピュータ端末がネットワークに接続するのを制御する方法であって、
    第1のインタフェースで、スイッチングHUBからパケットをキャプチャするステップと、
    前記キャプチャしたパケットが、第1の端末または第2の端末から送信されたものか否かを判定するステップと、
    前記判定するステップにより、前記パケットが前記第1の端末から送信されたセキュリティ設定違反報告パケットであると判断したことに応答して、前記第1の端末のARPテーブルのセキュリティ・パッチ・ダウンロード用サーバのMACアドレスを第2のインタフェースのMACアドレスに変更し、それ以外のMACアドレスを第3のインタフェースのMACアドレスに変更するARP情報を生成し送信するステップと、
    前記判定するステップにより、前記パケットが前記第2の端末から送信されたARPパケットであると判断したことに応答して、前記第2の端末のARPテーブルのMACアドレスを前記第3のインタフェースのMACアドレスに変更するARP情報生成し送信するステップと、
    前記第2のインタフェースを通過するパケット・データの帯域を所定の値に制限するステップと、
    前記第3のインタフェースを通過する第1の端末および第2の端末からのパケット・データを破棄するステップと
    を有する方法であって、
    前記第1の端末が、セキュリティ設定違反端末であり、
    前記第2の端末は、不正接続端末である
    方法。
  8. 請求項5乃至7のいずれか1項に記載の方法の各ステップを、コンピュータに実行させるための、コンピュータ・プログラム。
JP2006273261A 2006-10-04 2006-10-04 コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 Expired - Fee Related JP4195480B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006273261A JP4195480B2 (ja) 2006-10-04 2006-10-04 コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
CN2007101370171A CN101159552B (zh) 2006-10-04 2007-07-19 控制从计算机终端访问网络的方法和系统
US11/860,758 US7924850B2 (en) 2006-10-04 2007-09-25 System and method for managing and controlling communications performed by a computer terminal connected to a network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006273261A JP4195480B2 (ja) 2006-10-04 2006-10-04 コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。

Publications (2)

Publication Number Publication Date
JP2008092465A JP2008092465A (ja) 2008-04-17
JP4195480B2 true JP4195480B2 (ja) 2008-12-10

Family

ID=39274866

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006273261A Expired - Fee Related JP4195480B2 (ja) 2006-10-04 2006-10-04 コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。

Country Status (3)

Country Link
US (1) US7924850B2 (ja)
JP (1) JP4195480B2 (ja)
CN (1) CN101159552B (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
US7822851B2 (en) * 2007-01-18 2010-10-26 Internet Probation and Parole Control, Inc. Remote user computer control and monitoring
TWI406151B (zh) * 2008-02-27 2013-08-21 Asustek Comp Inc 防毒保護方法以及具有防毒保護的電子裝置
JP5163984B2 (ja) * 2008-11-11 2013-03-13 住友電工システムソリューション株式会社 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法
JP5090408B2 (ja) * 2009-07-22 2012-12-05 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
JP5398404B2 (ja) * 2009-07-30 2014-01-29 株式会社Pfu 通信遮断装置、サーバ装置、方法およびプログラム
JP5277149B2 (ja) * 2009-12-15 2013-08-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 アクセス制御システム、アクセス制御方法、及びプログラム
JP5782925B2 (ja) 2011-08-31 2015-09-24 富士通株式会社 情報処理装置、プログラム、および制御方法
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
WO2015194323A1 (ja) * 2014-06-16 2015-12-23 株式会社リコー ネットワークシステム、通信制御方法および記憶媒体
US10282187B2 (en) * 2014-07-03 2019-05-07 Oracle International Corporation Efficient application patching in heterogeneous computing environments
US9886263B2 (en) 2015-03-24 2018-02-06 Oracle International Corporation Techniques for efficient application configuration patching
WO2016170598A1 (ja) * 2015-04-21 2016-10-27 株式会社Pfu 情報処理装置、方法およびプログラム
JP7063185B2 (ja) * 2018-08-15 2022-05-09 日本電信電話株式会社 通信システム及び通信方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3908596B2 (ja) 2002-05-27 2007-04-25 松下電器産業株式会社 コールサーバおよびそのポート切替え方法
US20070118756A2 (en) * 2003-07-01 2007-05-24 Securityprofiling, Inc. Policy-protection proxy
GB2409735A (en) * 2003-12-30 2005-07-06 Ibm Method and system for change management of interfaces in distributed computer systems
EP1735983B1 (en) * 2004-04-14 2008-02-06 Telecom Italia S.p.A. Method and system for handling content delivery in communication networks
JP4081042B2 (ja) 2004-05-18 2008-04-23 株式会社エヌ・ティ・ティ・データ 不正通信監視装置、及び不正通信監視プログラム
US8359464B2 (en) * 2004-07-02 2013-01-22 International Business Machines Corporation Quarantine method and system
JP4082613B2 (ja) 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置
WO2006059572A1 (ja) 2004-12-02 2006-06-08 Matsushita Electric Industrial Co., Ltd. 通信装置および通信方法
US8255996B2 (en) * 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point

Also Published As

Publication number Publication date
US20080084820A1 (en) 2008-04-10
CN101159552B (zh) 2011-09-28
CN101159552A (zh) 2008-04-09
US7924850B2 (en) 2011-04-12
JP2008092465A (ja) 2008-04-17

Similar Documents

Publication Publication Date Title
JP4195480B2 (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
US20220045990A1 (en) Methods and systems for api deception environment and api traffic control and security
US6735702B1 (en) Method and system for diagnosing network intrusion
US7703138B2 (en) Use of application signature to identify trusted traffic
EP1817685B1 (en) Intrusion detection in a data center environment
US8402529B1 (en) Preventing propagation of malicious software during execution in a virtual machine
US7478424B2 (en) Propagation protection within a network
US7474655B2 (en) Restricting communication service
US9762546B2 (en) Multi-connection system and method for service using internet protocol
US20030009699A1 (en) Method and apparatus for detecting intrusions on a computer system
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20060117385A1 (en) Monitoring propagation protection within a network
KR20050120875A (ko) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
US20060117387A1 (en) Propagation protection of email within a network
US11689543B2 (en) System and method for detecting transmission of a covert payload of data
US20170104630A1 (en) System, Method, Software, and Apparatus for Computer Network Management
US20090122721A1 (en) Hybrid network discovery method for detecting client applications
US20050259657A1 (en) Using address ranges to detect malicious activity
CN112491836B (zh) 通信系统、方法、装置及电子设备
JP4437107B2 (ja) コンピュータシステム
US11153350B2 (en) Determining on-net/off-net status of a client device
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
KR20030049853A (ko) 네트워크 보호 시스템 및 그 운영 방법
JP2008141352A (ja) ネットワークセキュリティシステム
JP2008011008A (ja) 不正アクセス防止システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080125

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20080130

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20080403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080722

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080916

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080925

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121003

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131003

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees