JP4256834B2 - 不正機器の接続位置特定装置および接続位置特定方法 - Google Patents
不正機器の接続位置特定装置および接続位置特定方法 Download PDFInfo
- Publication number
- JP4256834B2 JP4256834B2 JP2004332321A JP2004332321A JP4256834B2 JP 4256834 B2 JP4256834 B2 JP 4256834B2 JP 2004332321 A JP2004332321 A JP 2004332321A JP 2004332321 A JP2004332321 A JP 2004332321A JP 4256834 B2 JP4256834 B2 JP 4256834B2
- Authority
- JP
- Japan
- Prior art keywords
- port
- remote management
- management function
- physical address
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
前記記憶部に収集した前記遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスに対応するポートの有無を判定し、前記不正接続の機器の物理アドレスに対応するポートが有る場合、そのポートと同じポートに対応する前記接続位置特定装置の物理アドレスが有るか無いかを判定し、当該ポートに対応する前記接続位置特定装置の物理アドレスが無いとき、前記不正接続の機器の物理アドレスに対応するポートと同じポートに対応する物理アドレスを設定された遠隔管理機能付ネットワーク機器に優先フラグを設定し、前記優先フラグを設定された遠隔管理機能付ネットワーク機器を優先して、前記不正接続の機器が接続されている終端の遠隔管理機能付ネットワーク機器およびそのポートを特定し、前記特定した終端の遠隔管理機能付ネットワーク機器およびそのポートを外部に出力する。
図1は、本発明の実施の形態1に係る不正機器の接続位置特定装置を含む全体のシステムを示すブロック図である。
図1において、不正機器の接続位置特定装置(以下単に「接続位置特定装置」という)10は、スイッチ21のポートP1に接続され、スイッチ21は、下位に位置する複数のスイッチ22,23に接続されている。なお、スイッチ21〜23は、遠隔管理機能を持っている(後記のスイッチ24〜26も同じ)。ここにいう遠隔管理機能とは、接続位置特定装置10からの要求に応じてFDBやアドレストラックに保持する情報を返す機能をいう。
また、スイッチ23は、下位に位置する複数のスイッチ25,26を介して、リピータハブ42に接続され、このリピータハブ42のポートP1およびポートP2には、それぞれコンピュータなどの機器7が接続されている。後で、機器31が接続される。機器7は、前記した機器5と同様、正当な機器であり、機器31は、ネットワークへの接続が許可されていない不正なパーソナルコンピュータなどの機器である。なお、図1において、符号P1,P2,P4,P6〜P8は、ポート番号を示している。また、機器1〜8は、正当な機器を示している。このように、複数のスイッチ(スイッチハブ)21〜26などの遠隔管理機能付ネットワーク機器が多段接続してネットワークが構成されている。
図3は、接続位置特定装置の構成を示すブロック図である。図3において、接続位置特定装置10は、例えばパーソナルコンピュータなどのコンピュータであり、バス160上に接続された処理部110、ネットワークを介して他の機器との通信を行うための通信インターフェース(通信I/F)120、記憶部130、表示部140および入力部150を備えている。以下にこれらを詳述する。
入力部150は、キーボードやマウスなどの入力デバイスであり、表示部140は、コンピュータディスプレイなどの表示デバイスである。
スイッチアドレステーブル132には、図1に示したスイッチ21〜26についてのIPアドレスおよびMACアドレスの対応関係などが格納される。また、リピータハブアドレステーブル133には、図1に示したリピータハブ41,42についてのIPアドレスおよびMACアドレスの対応関係などが格納される。なお、スイッチアドレステーブル132およびリピータハブアドレステーブル133の構成については、後記で詳述する。
制限エリア情報134は、ネットワークへの接続を、(1)許可するIPアドレスあるいはMACアドレス、または(2)許可しないIPアドレスあるいはMACアドレスに関するものであり、ここでは、ネットワークへの接続を許可しないIPアドレス「192.162.1.31」〜「192.168.1.39」が設定されていることとする。この制限エリア情報134に含まれているIPアドレスを用いた機器は、不正な機器と判断されることとなる。
図4は、スイッチの構成を示すブロックである。ここでは、スイッチ21について説明するが、他のスイッチ22〜26の構成もスイッチ21と同様である。
図4において、スイッチ21は、処理部(プロセッサ)200、記憶部(メモリ)210および複数のポートP1〜P8を備えている。記憶部210には、ポート番号とMACアドレスとの対応関係を保持するフォワーディングデータベース(以下「FDB」と略す)211が格納されている。このFDB211により、ポートごとに学習した受信フレームの送信元MACアドレスが保持される。
図5は、リピータハブの構成を示すブロックである。ここでは、リピータハブ41について説明するが、他のリピータハブ42の構成もリピータハブ41と同様である。
図5において、リピータハブ41は、処理部(プロセッサ)400、記憶部(メモリ)410および複数のポートP1〜P4を備えている。記憶部410には、アドレストラック411が格納されている。このアドレストラック411により、ポートごとに最後に学習した受信フレームの送信元MACアドレスが保持される。
図6は、接続位置特定装置の全体的な処理手順を示す図である。ここでは、あるタイミングで図1に示した機器31がリピータハブ42のポートP2に接続された場合を例にして説明する。
まず、図3に示した接続位置特定装置10の処理部110は、自己の所属するネットワーク(ここでは「192.168.1.0/24」で自己の論理アドレスを除く論理アドレス(「192.168.1.1」〜「192.168.1.254」のうちの「192.168.1.10」を除くもの))宛にアドレス解決要求を送信して、その応答を返した接続機器のIPアドレスおよびMACアドレスを検出(以下「アドレス検出」という)する(S100:このときの処理部110を図3に示した「機器アドレス検出部112」という)。これにより、接続位置特定装置10は、機器1〜8、スイッチ21〜26およびリピータハブ41,42を含むすべてのノードについての接続機器のIPアドレスおよびMACアドレスを検出する。そして、接続位置特定装置10は、これら接続機器のIPアドレスおよびMACアドレスの対応関係を図3の機器アドレステーブル131に登録する。
なお、前記したSNMPは、Simple Network Management Protocolの略であり、ネットワーク環境での管理プロトコルである。
なお、図11(b)では、2つのポート番号「1」,「2」に対応するMACアドレスが保持されているが、ポート「1」にリピータハブなどを介して他の遠隔管理機能付ネットワーク機器も接続されている場合、ポート「1」で受信したMACアドレスは同じポートに接続されている別の遠隔管理機能付ネットワーク機器のMACアドレスに書き換えられる。アドレストラック411には、最後に受信したフレームの送信元MACアドレスを保持するものであるからである。
S500では、処理部110は、S400で不正機器と検知した機器31のIPアドレス「192.168.1.31」とMACアドレス「00:11:22:00:00:31」とを用いて機器31の接続位置を特定する(S500:このときの処理部110を図3に示した「特定部」115という)。この特定処理については次の図12で詳述する。
まず、図3に示した処理部110は、すべてのスイッチ21〜26とリピータハブ41,42に対して、例えばSNMP Get要求を行う(S501:このときの処理部110を図3に示した「通信部114」という)。このSMNP Get要求により、図1に示したスイッチ21〜26およびリピータハブ41,42は、前記した要求に対する応答を接続位置特定装置10に返すこととなり、途中にあるスイッチ21〜26のFDB211には、ポート毎に受信できた前記応答フレームの送信元MACアドレスが保持されることとなる。このときのスイッチ21〜26のFDB211の保持状態を図13および図14に示す。
さらに、他のスイッチ24〜26のFDB211にも、図14(a)〜(c)に示すように、MACアドレスがポートごとに保持されている。
また、前記した双方向通信は、スイッチ21〜26のFDB211に保持されているMACアドレスとポートとの保持期限が切れない間隔(ここではエージングタイマがタイムアップする前にという意味)で行うこととする。
図13(a)には、ポート「8」とは異なるポート「1」に、接続位置特定装置10のMACアドレス「00:11:22:00:00:10」が存在するので、S504において、S503で有ると判断したポート「8」と同じポートに接続位置特定装置10のMACアドレスが無いと判断され(S504の「NO」の場合)、S505に進む。
S505では、処理部110は、図14(b)に示したスイッチ25のFDB221に、S503で有ると判断したポート「7」にスイッチ26のMACアドレス「00:22:33:00:00:26」が有ると判断し(S505の「YES」の場合)、次のS506、S507の「YES」、S502の順に進む。
S506では、図16に示すように、S505で有ると判断されたMACアドレスのスイッチ26の優先フラグが有効になるように更新設定される。
S505では、処理部110は、図14(c)に示したスイッチ26のFDB221に、S503で有ると判断したポート「7」にスイッチのMACアドレスがないと判断し(S505の「NO」の場合)、次のS508に進む。
S508では、図14(c)に示したスイッチ26のFDB221に、S503で有ると判断したポート「7」にリピータハブ42のMACアドレス「00:22:33:00:00:42」が存在するので、S508の「YES」に進み、S509に移行する。
なお、S508において「NO」の場合、処理部110は、次のS508Aに進み、スイッチとポートを特定し、後記するS511に移行する。
なお、S509において「NO」の場合、処理部110は、リピータハブのみ特定し(S509A)、S511で、その旨の情報を表示部140に表示する。
このようにして、利用者は、機器31が接続されたリピータハブ42、およびそのポート「2」を確認することが可能となる。例えば、スイッチの上位や下位のどの位置に接続されているかなどのトポロジに左右されず、また、MACアドレスとポートの対応関係の収集を必ずしも全てのネットワーク機器に対してしなくても不正な機器31の位置を接続ポートにより特定することが可能である。したがって、機器31の接続位置を迅速に特定し、ネットワークへの不正な接続を回避するよう対策を講じることが可能となる。
図17は、本発明の実施の形態2に係る不正機器の接続位置特定装置を含む全体のシステムを示すブロック図である。なお、前記した実施の形態1と同じ部分は、同一の符号を付し重複説明を省略する。
図17において、図1に示した遠隔管理機能付リピータハブ42の下位に、遠隔管理機能を持たない非対応リピータハブ51を接続し、この非対応リピータハブ51のポートP2に、前記した不正機器31を接続する。その他の構成は、実施の形態1の場合とほぼ同様であるので、説明を省略する。
すなわち、処理部110は、不正接続の機器31と接続位置特定装置10の物理アドレスを保持し、かつ、そのそれぞれの物理アドレスに対応するポートが不一致のスイッチ21,23,25,26およびリピータハブ42を不正機器31のMACアドレスに対応するポートの方向に選定していくことにより、機器31が接続されている非対応リピータハブ51がつながれている遠隔管理機能を有する上位のリピータハブ42のポート「2」を特定して外部に出力することとなる。これにより、利用者は、不正機器31が接続された終端のリピータハブ42、およびそのポート「2」を確認することが可能となり、有益である。
また、遠隔管理機能を有する上位のリピータハブ42のポート「2」に保持されているMACアドレスが不正機器31から機器7のものに書き換わった場合でも、ポートは不明だが不正機器31が接続するリピータハブ42までは特定可能であり、有益である。
図21は、本発明の実施の形態3に係る不正機器の接続位置特定装置を含む全体のシステムを示すブロック図である。なお、前記した実施の形態1,2と同じ部分は、同一の符号を付し重複説明を省略する。
図21において、図1に示したスイッチ23とスイッチ26との間に非対応リピータハブ52を接続し、スイッチ26のポート「2」に、前記した機器31を接続している。なお、非対応リピータハブ52は、遠隔管理機能を持たないものである。その他の構成は、実施の形態1の場合とほぼ同様であるので、説明を省略する。
そして最終的に、処理部110は、図21に示したスイッチ26のポート「2」を表示部140に表示することとなる。
すなわち、処理部110は、不正接続の機器31と接続位置特定装置10の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応するポートが不一致のスイッチ21,23,26を不正機器31のMACアドレスに対応するポートの方向に選定していくことにより、機器31が接続されているスイッチ26の「2」を特定して外部に出力することとなる。これにより、利用者は、機器31が接続された終端のスイッチ26、およびそのポート「2」を確認することが可能となる。
また、接続位置特定装置10の構成(データ構造を含む)およびプログラム処理の手順は、既知の技術により種々の変更が可能である。例えば、図12のS502〜S507では、スイッチアドレステーブル132に登録されているスイッチのFDB211を順次収集してその内容を参照する場合について説明したが、すべてのスイッチのFDB211を一括で収集した後、それらの内容を参照するようにしてもよい。
21〜26 スイッチ
41,42 リピータハブ
Claims (11)
- ネットワークに接続するポートを複数有し、ポート毎に受信したフレームの送信元物理アドレスを学習して複数保持するフォワーディングデータベース(以降「FDB」と記す)を備え、かつ遠隔機器からの要求によりFDBの内容を要求元に応答する遠隔管理機能を備える遠隔管理機能付ネットワーク機器を多段に接続して構成されたネットワークの前記遠隔管理機能付ネットワーク機器に不正に接続された機器の位置を特定する不正機器の接続位置特定装置であって、
記憶部とこれを制御する処理部とを備え、
前記処理部は、
前記遠隔管理機能付ネットワーク機器に接続された前記機器の不正接続を検知した場合、少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記双方向通信の対象となった当該各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記記憶部に収集した前記遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスに対応するポートの有無を判定し、
前記不正接続の機器の物理アドレスに対応するポートが有る場合、そのポートと同じポートに対応する前記接続位置特定装置の物理アドレスが有るか無いかを判定し、
当該ポートに対応する前記接続位置特定装置の物理アドレスが無いとき、前記不正接続の機器の物理アドレスに対応するポートと同じポートに対応する物理アドレスを設定された遠隔管理機能付ネットワーク機器に優先フラグを設定し、
前記優先フラグを設定された遠隔管理機能付ネットワーク機器を優先して、前記不正接続の機器が接続されている終端の遠隔管理機能付ネットワーク機器およびそのポートを特定し、
その特定した終端の遠隔管理機能付ネットワーク機器およびそのポートを外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 - 前記処理部は、
ある物理アドレスとポートとの対応関係において、前記不正接続の機器の物理アドレスが保持されているポートがあり、そのポートに前記接続位置特定装置の物理アドレスが保持されておらず、さらにそのポートに他の前記遠隔管理機能付ネットワーク機器の物理アドレスが保持されていない場合、
この物理アドレスとポートとの対応関係を有する前記遠隔管理機能付ネットワーク機器が前記不正接続の機器に接続される前記遠隔管理機能付ネットワーク機器で、当該不正接続の機器の物理アドレスが保持されているポートが、前記不正接続の機器が接続するポートであると判断する
ことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 - 前記処理部は、
前記各遠隔管理機能付ネットワーク機器に保持されている前記物理アドレスと前記ポートとの対応関係の保持期限が切れない間隔で、前記接続位置特定装置と前記遠隔管理機能付ネットワーク機器との双方向の通信を行うことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 - 前記処理部は、
アドレス解決要求により、自己が接続するのとは別の前記遠隔管理機能付ネットワーク機器の物理アドレスおよび論理アドレスを検出し、検出した物理アドレスおよび論理アドレスを用いて、前記遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を収集する要求であるネットワーク管理要求を前記遠隔管理機能付ネットワーク機器に行うことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 - 前記記憶部には、予め、ネットワークへの接続を許す論理アドレス、または接続を許さない論理アドレスのテーブルを有し、
前記処理部は、
前記機器が前記ネットワークに接続された時に出力するアドレス解決要求から当該機器の論理アドレスを取得し、
前記取得した論理アドレスが許すアドレスでない場合、あるいは許さないアドレスである場合、不正接続と判断する
ことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 - 請求項1ないし請求項5のいずれか一項に記載の不正機器の接続位置特定装置において、
前記遠隔管理機能付ネットワーク機器の下位に、遠隔管理機能を持たない非対応ネットワーク機器を接続してネットワークを構成し、その非対応ネットワーク機器に機器が不正に接続された場合、
前記処理部は、
少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記双方向通信の対象となった当該各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記各遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスに対応するポートの有無を判定し、
前記不正接続の機器の物理アドレスに対応するポートが有る場合、そのポートと同じポートに対応する前記接続位置特定装置の物理アドレスが有るか無いかを判定し、
当該ポートに対応する前記接続位置特定装置の物理アドレスが無いとき、前記不正接続の機器の物理アドレスに対応するポートと同じポートに対応する物理アドレスを設定された遠隔管理機能付ネットワーク機器に優先フラグを設定し、
前記優先フラグを設定された遠隔管理機能付ネットワーク機器を優先して、前記不正接続の機器が接続されている終端の遠隔管理機能付ネットワーク機器およびそのポートを特定し、
その特定した終端の遠隔管理機能付ネットワーク機器を前記非対応ネットワーク機器の上位に接続されているものとして当該遠隔管理機能付ネットワーク機器のポートを外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 - 請求項1ないし請求項5のいずれか一項に記載の不正機器の接続位置特定装置において、
前記遠隔管理機能付ネットワーク機器で、さらに、上位の遠隔管理機能付ネットワーク機器と下位の遠隔管理機能付ネットワーク機器との間に、遠隔管理機能を持たない非対応ネットワーク機器を接続してネットワークを構成し、下位の遠隔管理機能付ネットワーク機器に機器が不正に接続された場合、
前記処理部は、
少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記双方向通信の対象となった当該各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記各遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスに対応するポートの有無を判定し、
前記不正接続の機器の物理アドレスに対応するポートが有る場合、そのポートと同じポートに対応する前記接続位置特定装置の物理アドレスが有るか無いかを判定し、
当該ポートに対応する前記接続位置特定装置の物理アドレスが無いとき、前記不正接続の機器の物理アドレスに対応するポートと同じポートに対応する物理アドレスを設定された遠隔管理機能付ネットワーク機器に優先フラグを設定し、
前記優先フラグを設定された遠隔管理機能付ネットワーク機器を優先して、前記不正接続の機器が接続されている終端の遠隔管理機能付ネットワーク機器およびそのポートを特定し、
その特定した終端の遠隔管理機能付ネットワーク機器を前記下位の遠隔管理機能付ネットワーク機器としてその終端の遠隔管理機能付ネットワーク機器のポートを外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 - 請求項1ないし請求項5のいずれか一項に記載の不正機器の接続位置特定装置において、
前記遠隔管理機能付ネットワーク機器の下位に、ネットワークに接続するポートを複数有し、ポート毎に受信したフレームのうち最後に受信したフレームの送信元物理アドレス1つだけを保持するアドレストラックを備えるリピータハブで、かつ遠隔機器からの要求によりアドレストラックの内容を要求元に応答する遠隔管理機能を備える遠隔管理機能付リピータハブを接続してネットワークを構成し、その遠隔管理機能付リピータハブに機器が不正に接続された場合、
前記処理部は、
少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器および遠隔管理機能付リピータハブに対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器、前記遠隔管理機能付リピータハブ、および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記双方向通信の対象となった当該各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記各遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスに対応するポートの有無を判定し、
前記不正接続の機器の物理アドレスに対応するポートが有る場合、そのポートと同じポートに対応する前記接続位置特定装置の物理アドレスが有るか無いかを判定し、
当該ポートに対応する前記接続位置特定装置の物理アドレスが無いとき、前記不正接続の機器の物理アドレスに対応するポートと同じポートに対応する物理アドレスを設定された遠隔管理機能付ネットワーク機器に優先フラグを設定し、
前記優先フラグを設定された遠隔管理機能付ネットワーク機器を優先して、前記不正接続の機器が接続されている終端の遠隔管理機能付ネットワーク機器およびそのポートを特定し、
当該特定した終端の遠隔管理機能付ネットワーク機器の前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスを保持するポートに前記遠隔管理機能付リピータハブの物理アドレスが保持されていないときには前記特定された終端の遠隔管理機能付ネットワーク機器とそのポートを外部に出力し、
または、前記特定した終端の遠隔管理機能付ネットワーク機器の前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスを保持するポートに前記遠隔管理機能付リピータハブの物理アドレスが保持され、さらに前記不正接続の機器の物理アドレスをアドレストラックに保持していない遠隔管理機能付リピータハブを特定し、その遠隔管理機能付リピータハブを外部に出力し、
あるいは、前記特定した終端の遠隔管理機能付ネットワーク機器の前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスを保持するポートに前記遠隔管理機能付リピータハブの物理アドレスが保持され、さらに前記不正接続の機器の物理アドレスをアドレストラックに保持している遠隔管理機能付リピータハブを特定し、その遠隔管理機能付リピータハブとそのポートを外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 - ネットワークに接続するポートを複数有し、ポート毎に受信したフレームの送信元物理アドレスを学習して複数保持するフォワーディングデータベース(以降「FDB」と記す)を備え、かつ遠隔機器からの要求によりFDBの内容を要求元に応答する遠隔管理機能を備える遠隔管理機能付ネットワーク機器を多段に接続して構成されたネットワークの前記遠隔管理機能付ネットワーク機器に不正に接続された機器の位置を特定する不正機器の接続位置特定装置における接続位置特定方法であって、
前記不正機器の接続位置特定装置は、記憶部とこれを制御する処理部とを備え、
前記処理部は、
前記遠隔管理機能付ネットワーク機器に接続された前記機器の不正接続を検知した場合、少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させるステップと、
前記双方向通信の対象となった当該各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集するステップと、
前記記憶部に収集した前記遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器の物理アドレスに対応するポートの有無を判定し、
前記不正接続の機器の物理アドレスに対応するポートが有る場合、そのポートと同じポートに対応する前記接続位置特定装置の物理アドレスが有るか無いかを判定し、
当該ポートに対応する前記接続位置特定装置の物理アドレスが無いとき、前記不正接続の機器の物理アドレスに対応するポートと同じポートに対応する物理アドレスを設定された遠隔管理機能付ネットワーク機器に優先フラグを設定し、
前記優先フラグを設定された遠隔管理機能付ネットワーク機器を優先して、前記不正接続の機器が接続されている終端の遠隔管理機能付ネットワーク機器およびそのポートを特定するステップと、
前記特定した終端の遠隔管理機能付ネットワーク機器およびそのポートを外部に出力するステップと
を実行することを特徴とする接続位置特定方法。 - 前記記憶部には、予め、ネットワークへの接続を許す論理アドレス、または接続を許さない論理アドレスのテーブルを有し、
前記処理部は、
前記機器が前記ネットワークに接続された時に出力するアドレス解決要求から当該機器の論理アドレスを取得し、
前記取得した論理アドレスが許すアドレスでない場合、あるいは許さないアドレスである場合、不正接続と判断する
ことを特徴とする請求項9に記載の接続位置特定方法。 - 前記処理部は、
ある物理アドレスとポートの対応関係において、前記不正接続の機器の物理アドレスが保持されているポートがあり、そのポートに前記接続位置特定装置の物理アドレスが保持されておらず、さらにそのポートに他の前記遠隔管理機能付ネットワーク機器の物理アドレスが保持されていない場合、
この物理アドレスとポートの対応関係を有する前記遠隔管理機能付ネットワーク機器が前記不正接続の機器に接続される前記遠隔管理機能付ネットワーク機器で、当該不正接続の機器の物理アドレスが保持されているポートが、前記不正接続の機器が接続するポートであると判断する
ことを特徴とする請求項9または請求項10に記載の接続位置特定方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004332321A JP4256834B2 (ja) | 2004-11-16 | 2004-11-16 | 不正機器の接続位置特定装置および接続位置特定方法 |
TW094136693A TW200629795A (en) | 2004-11-16 | 2005-10-20 | Apparatus and method for specifying connected position of illegitimate apparatus |
CN 200510120271 CN1777118B (zh) | 2004-11-16 | 2005-11-09 | 用于非法机器的连接位置确定装置的方法及设备 |
SG200507058A SG122898A1 (en) | 2004-11-16 | 2005-11-16 | Connection position specifying apparatus and connection position specifying method for unauthorized equipments |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004332321A JP4256834B2 (ja) | 2004-11-16 | 2004-11-16 | 不正機器の接続位置特定装置および接続位置特定方法 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2006148255A JP2006148255A (ja) | 2006-06-08 |
JP2006148255A5 JP2006148255A5 (ja) | 2007-11-22 |
JP4256834B2 true JP4256834B2 (ja) | 2009-04-22 |
Family
ID=36627468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004332321A Expired - Fee Related JP4256834B2 (ja) | 2004-11-16 | 2004-11-16 | 不正機器の接続位置特定装置および接続位置特定方法 |
Country Status (4)
Country | Link |
---|---|
JP (1) | JP4256834B2 (ja) |
CN (1) | CN1777118B (ja) |
SG (1) | SG122898A1 (ja) |
TW (1) | TW200629795A (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4973866B2 (ja) * | 2007-09-25 | 2012-07-11 | サクサ株式会社 | Ip通信端末の在所判定方法、ipネットワーク管理装置およびハブ |
EP2600566B1 (en) * | 2010-07-30 | 2017-08-02 | Cyber Solutions Inc. | Unauthorized access blocking control method |
JP5664862B2 (ja) * | 2011-02-17 | 2015-02-04 | 日本電気株式会社 | ポート検出方法、ポート検出プログラム、調査用端末、及び、ネットワークシステム |
JP5691612B2 (ja) * | 2011-02-18 | 2015-04-01 | ヤマハ株式会社 | 通信システム、ルータ、スイッチングハブ、およびプログラム |
US9276953B2 (en) | 2011-05-13 | 2016-03-01 | International Business Machines Corporation | Method and apparatus to detect and block unauthorized MAC address by virtual machine aware network switches |
KR101814487B1 (ko) * | 2011-06-07 | 2018-01-04 | 현대모비스 주식회사 | 카메라 위치 판별 장치 및 방법 |
WO2014069029A1 (ja) * | 2012-11-02 | 2014-05-08 | 村田機械株式会社 | 通信デバイスと通信機器及び通信システム |
US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
CN110365635B (zh) * | 2019-05-23 | 2022-04-26 | 新华三技术有限公司 | 一种非法端点的接入控制方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4558139B2 (ja) * | 2000-05-02 | 2010-10-06 | 株式会社バッファロー | ネットワーク管理装置 |
JP4221919B2 (ja) * | 2001-07-18 | 2009-02-12 | 富士通株式会社 | Lan構成装置の設置場所の特定方法および検索装置 |
-
2004
- 2004-11-16 JP JP2004332321A patent/JP4256834B2/ja not_active Expired - Fee Related
-
2005
- 2005-10-20 TW TW094136693A patent/TW200629795A/zh not_active IP Right Cessation
- 2005-11-09 CN CN 200510120271 patent/CN1777118B/zh not_active Expired - Fee Related
- 2005-11-16 SG SG200507058A patent/SG122898A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
TWI297985B (ja) | 2008-06-11 |
TW200629795A (en) | 2006-08-16 |
SG122898A1 (en) | 2006-06-29 |
JP2006148255A (ja) | 2006-06-08 |
CN1777118B (zh) | 2013-07-03 |
CN1777118A (zh) | 2006-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4981974B2 (ja) | 管理システム及び情報処理システム | |
KR101770498B1 (ko) | 링크의 건전성을 점검하는 방법 및 장치 | |
JP4065434B2 (ja) | ルータ装置およびルータ装置の立上げ方法 | |
US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
US6810452B1 (en) | Method and system for quarantine during bus topology configuration | |
JP2009017562A (ja) | ネットワーク機器についての早期警告のための方法と装置 | |
JP4256834B2 (ja) | 不正機器の接続位置特定装置および接続位置特定方法 | |
JP2001320393A (ja) | 集線装置およびこれを用いたネットワーク管理装置 | |
CN107113892A (zh) | 一种网关设备自动组网的方法及装置 | |
US20140192682A1 (en) | Inferred Discovery of a Data Communications Device | |
JP5508273B2 (ja) | ネットワーク・ロケーション・サービス | |
US7065078B2 (en) | Switched platform management architecture and related methods | |
WO2001042933A2 (en) | Method and apparatus of remote computer management | |
US9542200B2 (en) | Dynamic port naming in a chassis | |
EP3863224A1 (en) | Diagram generation method and diagram generation program | |
JP3481833B2 (ja) | ネットワーク管理システム及び管理プログラムを記録した記録媒体 | |
JP5157685B2 (ja) | 通信システム、ネットワーク機器及びそれらに用いる通信復旧方法並びにそのプログラム | |
JP2002325077A (ja) | ネットワーク管理方法及びネットワーク管理装置 | |
JP2011170689A (ja) | 情報処理装置、情報処理方法およびプログラム | |
JP4556887B2 (ja) | Vlan自動設定方法 | |
JP6838444B2 (ja) | 情報処理装置、情報処理装置制御方法及び情報処理装置制御プログラム | |
US11962433B2 (en) | Switch device, in-vehicle communication system, and communication method | |
JP2005333546A (ja) | Vlan構成管理方法、システム及びプログラム | |
JP2007150617A (ja) | ネットワーク装置 | |
EP2591574A2 (en) | Method and system for securing access to configuration information stored in universal plug and play data models |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071005 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071005 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20080930 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20081017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081028 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090127 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090130 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120206 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4256834 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120206 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130206 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130206 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140206 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |