JP4542053B2 - パケット中継装置、パケット中継方法及びパケット中継プログラム - Google Patents
パケット中継装置、パケット中継方法及びパケット中継プログラム Download PDFInfo
- Publication number
- JP4542053B2 JP4542053B2 JP2006049490A JP2006049490A JP4542053B2 JP 4542053 B2 JP4542053 B2 JP 4542053B2 JP 2006049490 A JP2006049490 A JP 2006049490A JP 2006049490 A JP2006049490 A JP 2006049490A JP 4542053 B2 JP4542053 B2 JP 4542053B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- indicates
- rule
- operation information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、パケット中継装置、パケット中継方法及びパケット中継プログラムに係り、特に、SCTP(Stream Control Transmission Protocol)を利用したアプリケーションをファイアウォールにて防御しつつ一定の利便性を確保するため、片方向のセッションのみ許容するパケット中継装置、パケット中継方法及びパケット中継プログラムに関する。
IPプロトコルの上位レイヤのトランスポート層のプロトコルとして、従来広く使われていたUDP(User Datagram Protocol)、TCP(Transmission Control Protocol)に加え、SCTPのRFCが2000年10月に発行された(例えば、非特許文献1参照)。今後、アプリケーションが通信に使用するコネクションオリエンテッド型のプロトコルとしてSCTPが採用されることも増えると予想される。それに伴い、ファイアウォールにも新しいプロトコルであるSCTPに対応したトランスポート層でのセッション制御技術が必要とされる。
図2に、SCTPの一般的なシーケンスの一例を示す。SCTPでは、セッション開始、データ転送、セッション切断の各手順において、図示のような信号・データが送受信される。
図2に、SCTPの一般的なシーケンスの一例を示す。SCTPでは、セッション開始、データ転送、セッション切断の各手順において、図示のような信号・データが送受信される。
図3に、TCPの一般的なシーケンスの一例を示す。また、図4にTCPにおけるホストA−X間のTCPコネクション制御のシーケンス図を示す。従来、ホスト間でコネクションを設定して、情報の送受信を行うトランスポート層のプロトコルとしては、TCPが広く使われていた。TCPのアプリケーションをファイアウォールにて保護する場合、パケット中継装置上を通過するパケットからヘッダ情報を抜き出し、ヘッダ情報に基づき転送すべきパケットか破棄すべきパケットかを判定する。例えば、図18で示す送信先IPアドレス、発信元IPアドレス、送信先ポート番号、発信元ポート番号、フラグ(例えばURG、ACK、PSH、RST、SYN、FINの6つ)の5つのフィールドを参照して転送すべきパケットか破棄すべきパケットかを判定する。
特に、図4に示すように、ホストA110からホストX120への接続は許すが、逆に、ホストX120からホストA110への接続を許さないという片方向のコネクションのみを許す場合、ホストA110とホストX120との経路上にあるファイアウォール140にて、両ホスト間をやりとりするパケットを制御する。すなわち、ホストX120からホストA110方向へのパケットのACKフラグがOFFのパケットのみを検出して破棄し他のパケットは通常の転送処理を行う。この動作により、ホストX120からホストA方向へのセッションの開始となるSYNパケットは破棄される。これにより、ホストX120からホストA110方向へのセッションを確立させないことを実現している。
また、プロトコルとして、M3UA(Message Transfer Part 3 User Adaptation)や、IPFIX(IP Flow Information Export)の仕様が開示されている(例えば、非特許文献2、3参照)。
また、プロトコルとして、M3UA(Message Transfer Part 3 User Adaptation)や、IPFIX(IP Flow Information Export)の仕様が開示されている(例えば、非特許文献2、3参照)。
RFC2960、「Stream Control Transmission Protocol」、IETF、2000年10月
RFC3332、「MTP Level3 User Adaptation」、IETF、2002年9月
draft−ietf−ipfix−protocol−08.txt、「IPFIX Protocol Specification」、IETF、2004年2月
「ファイアウォール構築」、第2版、VOLUME1、オライリージャパン出版、第8.7.3章、2002年12月
従来技術では、SCTPについては、図18で示すIPヘッダ内のプロトコル識別子によってのみフィルタリングが行われている。しかし、このフィルタリングでは、特定のポート番号を持つセッションのみを接続許容したり、セッションの方向を片方向に限り許容したりすることが出来ない場合があった。
また、UDP/TCPでは特定のポート番号を持つセッションのみを接続許容したりすることが可能であり、図4で示すとおりTCPについてはコネクションの方向を片方向に限り許容したりすることができる。これは、TCPセッション開始の最初のパケット(ACKフラグなし)とそれ以外のパケット(ACKフラグあり)でパケット転送を許容するか破棄するかを決定する仕組みにより実現されていた。
また、UDP/TCPでは特定のポート番号を持つセッションのみを接続許容したりすることが可能であり、図4で示すとおりTCPについてはコネクションの方向を片方向に限り許容したりすることができる。これは、TCPセッション開始の最初のパケット(ACKフラグなし)とそれ以外のパケット(ACKフラグあり)でパケット転送を許容するか破棄するかを決定する仕組みにより実現されていた。
このように、TCPではパケット内のACKフラグを参照してセッション開始の最初の信号以外は転送を許可し、セッション開始のために最初に中継されるSYN信号を廃棄するフィルタを使うことで一方通行のコネクションを実現している。
一方、SCTPの場合ACKフラグは存在しないので、別の手段によりセッションの開始を判定する必要がある。また、SCTPについては、TCPのようにセッション開始のための最初に中継されるINIT信号とそれ以外を区別し、パケット転送を許容するか破棄するかを決定するだけでは不十分である。なぜならば、図6で示すように、ホストXが悪意を持った攻撃者である場合、3番目のCOOKIE ECHO信号を送ることで、あたかもSCTPのセッションの開始手順を行っているように見せる可能性があるからである。
一方、SCTPの場合ACKフラグは存在しないので、別の手段によりセッションの開始を判定する必要がある。また、SCTPについては、TCPのようにセッション開始のための最初に中継されるINIT信号とそれ以外を区別し、パケット転送を許容するか破棄するかを決定するだけでは不十分である。なぜならば、図6で示すように、ホストXが悪意を持った攻撃者である場合、3番目のCOOKIE ECHO信号を送ることで、あたかもSCTPのセッションの開始手順を行っているように見せる可能性があるからである。
本発明は、以上の点に鑑み、パケット中継装置において、SCTPの片方向セッションのみを許可する装置を提供することを目的とする。また、本発明は、外部ネットワークから送信されたSCTPのCOOKIE−ECHO信号および/またはINIT信号を検出し、それらを廃棄しおよび/またはABORT信号を返送することを目的とする。また、本発明は、SCTPを利用したアプリケーションを防御することを目的とする。
また、本発明は、ネットワーク上のIPパケット転送装置にSCTPの片方向のセッションのみを許す機能を付加することにより、SCTPを利用したアプリケーションを一定の利便性を保ちつつ、適切な範囲で接続制限することを目的のひとつとする。
また、本発明は、ネットワーク上のIPパケット転送装置にSCTPの片方向のセッションのみを許す機能を付加することにより、SCTPを利用したアプリケーションを一定の利便性を保ちつつ、適切な範囲で接続制限することを目的のひとつとする。
本発明では、SCTPの3番目に送信されるCOOKIE−ECHO信号を廃棄することで一方通行のコネクションを実現する。なぜならば、SCTPでは最初のINIT信号受信では受信ホストでリソース保持せず、3番目の信号で初めてTCB(Transmission Control Block、転送制御ブロック)をホスト内で確保するからである。よって、SCTPのセッションを防止する場合、COOKIE−ECHO信号の廃棄が必要である。また、SCTP接続を希望しないホストからの攻撃防止の観点から、INIT信号も防止した方がよい。
以下、用語について説明する。
TCB(Transmission Control Block)は、SCTP間で確立されるアソシエーション毎に生成されるデータエリアである。エンドポイントがアソシエーションを維持・管理するために、TCBにはすべての状態とオペレーション情報を含んでいる。
ABORT信号は、アソシエーションを閉じるために、他方のエンドポイントに送る信号である。
発信元ポート、送信先ポートは、TCPやSCTP等のトランスポート層のレイヤで、コネクションやアソシエーションを識別するための番号である。あらかじめアプリケーション毎にポート番号が割り当てられており、コネクションやアソシエーションの生成元では送信先ポート番号にそのアプリケーションに割り当てられた番号を使用し、発信元ポートには自ホストのアプリケーションに割り当てられていない番号から任意の1つの番号をコネクションやアソシエーション生成毎に選択し使用する。
チャンクタイプは、SCTPの信号を識別するための識別子である。例えば、INITチャンク、ABORTチャンク、DATAチャンク等がある。
TCB(Transmission Control Block)は、SCTP間で確立されるアソシエーション毎に生成されるデータエリアである。エンドポイントがアソシエーションを維持・管理するために、TCBにはすべての状態とオペレーション情報を含んでいる。
ABORT信号は、アソシエーションを閉じるために、他方のエンドポイントに送る信号である。
発信元ポート、送信先ポートは、TCPやSCTP等のトランスポート層のレイヤで、コネクションやアソシエーションを識別するための番号である。あらかじめアプリケーション毎にポート番号が割り当てられており、コネクションやアソシエーションの生成元では送信先ポート番号にそのアプリケーションに割り当てられた番号を使用し、発信元ポートには自ホストのアプリケーションに割り当てられていない番号から任意の1つの番号をコネクションやアソシエーション生成毎に選択し使用する。
チャンクタイプは、SCTPの信号を識別するための識別子である。例えば、INITチャンク、ABORTチャンク、DATAチャンク等がある。
本発明の第1の解決手段によると、
通信プロトコルとしてSCTP(Stream Control Transmission Protocol)を用いてパケット通信を行うネットワークシステムにおいて、内部ネットワークと外部ネットワークの間に配置され、パケットの転送を制御するパケット中継装置であって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶されたアクセスリストと、
入力されたSCTPパケットのヘッダ情報に基づき前記アクセスリストを参照し、対応する動作情報を取得する比較部と
取得された動作情報に従い、入力されたSCTPパケットを転送し又は破棄する転送部と
を備え、
前記アクセスリストには、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケット又はセッション開始以外のパケットを示し、及び、動作情報が転送許可を示す第3のルールと
が予め記憶され、
前記比較部は、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、セッション開始のパケットか否かを示すチャンクヘッダと基づき、前記アクセスリストの第1乃至第3のルールを順に参照して、該当するルールのひとつを検索し、
前記転送部は、第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄する前記パケット中継装置が提供される。
通信プロトコルとしてSCTP(Stream Control Transmission Protocol)を用いてパケット通信を行うネットワークシステムにおいて、内部ネットワークと外部ネットワークの間に配置され、パケットの転送を制御するパケット中継装置であって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶されたアクセスリストと、
入力されたSCTPパケットのヘッダ情報に基づき前記アクセスリストを参照し、対応する動作情報を取得する比較部と
取得された動作情報に従い、入力されたSCTPパケットを転送し又は破棄する転送部と
を備え、
前記アクセスリストには、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケット又はセッション開始以外のパケットを示し、及び、動作情報が転送許可を示す第3のルールと
が予め記憶され、
前記比較部は、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、セッション開始のパケットか否かを示すチャンクヘッダと基づき、前記アクセスリストの第1乃至第3のルールを順に参照して、該当するルールのひとつを検索し、
前記転送部は、第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄する前記パケット中継装置が提供される。
本発明の第2の解決手段によると、
通信プロトコルとしてSCTPを用いてパケット通信を行うネットワークシステムにおいて、パケットの転送を制御するパケット中継方法及びパケット中継プログラムであって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶され、該複数のルールは、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケット又はセッション開始以外のパケットを示し、及び、動作情報が転送許可を示す第3のルールと
を含むアクセスリストの第1乃至第3のルールを順に参照して、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、セッション開始のパケットか否かを示すチャンクヘッダと基づき、該当するルールのひとつを検索するステップと、
第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄するステップと
を含む前記パケット中継方法及びこれら各ステップをコンピュータに実行させるための前記パケット中継プログラムが提供される。
通信プロトコルとしてSCTPを用いてパケット通信を行うネットワークシステムにおいて、パケットの転送を制御するパケット中継方法及びパケット中継プログラムであって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶され、該複数のルールは、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケット又はセッション開始以外のパケットを示し、及び、動作情報が転送許可を示す第3のルールと
を含むアクセスリストの第1乃至第3のルールを順に参照して、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、セッション開始のパケットか否かを示すチャンクヘッダと基づき、該当するルールのひとつを検索するステップと、
第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄するステップと
を含む前記パケット中継方法及びこれら各ステップをコンピュータに実行させるための前記パケット中継プログラムが提供される。
本発明によると、パケット中継装置において、SCTPの片方向セッションのみを許可する装置を提供することができる。また、本発明によると、外部ネットワークから送信されたSCTPのCOOKIE−ECHO信号および/またはINIT信号を検出し、それらを廃棄しおよび/またはABORT信号を返送することができる。また、本発明によると、SCTPを利用したアプリケーションを防御することができる。
本発明によると、ネットワーク上のIPパケット転送装置にSCTPの片方向のセッションのみを許す機能を付加することにより、SCTPを利用したアプリケーションを一定の利便性を保ちつつ、適切な範囲で接続制限することが可能となる。
本発明によると、ネットワーク上のIPパケット転送装置にSCTPの片方向のセッションのみを許す機能を付加することにより、SCTPを利用したアプリケーションを一定の利便性を保ちつつ、適切な範囲で接続制限することが可能となる。
1.TCPにおけるファイアウォール
まず、TCPにおけるファイアウォールの例について説明する。なお、以下の説明は本実施の形態の理解を深めるためのものであり、従来技術を特定するものではない。
図17は、ファイアウォールの構成例である。
ファイアウォール140は、例えば、アクセスリスト141、アクセスリスト設定機能部142、パケットヘッダアクセスリスト比較部143、イベント記録部144、転送部145を備える。
図18は、TCP及びIPのパケットフォーマットである。
パケットは、例えば、IPヘッダと、TCPヘッダと、データとを含む。IPヘッダは、発信元IPアドレス、送信先IPアドレスを含む。TCPヘッダは、発信元ポート、送信先ポート、ACKフラグなどを含む。セッション開始の際には、図4に示すように、まずSYNフラグがONになったSYNパケットが送信される。これに対し、SYNフラグとACKフラグがONになったSYN/ACKフラグが送信される。ファイアウォール140では、外部のホストX120からのSYNパケットは転送を禁止し、ホストA110からセッションを開始した場合のSYN/ACKパケットやデータパケットなどは転送を許可する機能を有する。
まず、TCPにおけるファイアウォールの例について説明する。なお、以下の説明は本実施の形態の理解を深めるためのものであり、従来技術を特定するものではない。
図17は、ファイアウォールの構成例である。
ファイアウォール140は、例えば、アクセスリスト141、アクセスリスト設定機能部142、パケットヘッダアクセスリスト比較部143、イベント記録部144、転送部145を備える。
図18は、TCP及びIPのパケットフォーマットである。
パケットは、例えば、IPヘッダと、TCPヘッダと、データとを含む。IPヘッダは、発信元IPアドレス、送信先IPアドレスを含む。TCPヘッダは、発信元ポート、送信先ポート、ACKフラグなどを含む。セッション開始の際には、図4に示すように、まずSYNフラグがONになったSYNパケットが送信される。これに対し、SYNフラグとACKフラグがONになったSYN/ACKフラグが送信される。ファイアウォール140では、外部のホストX120からのSYNパケットは転送を禁止し、ホストA110からセッションを開始した場合のSYN/ACKパケットやデータパケットなどは転送を許可する機能を有する。
図5は、アクセスリスト141の構成例である。
例えば、外向きのTelnetセッションは許可したいがそれ以外は許可したくないときのパケットフィルタの設定例を示す。ルールAにより、内部のホストから送信されるTelnetパケットの全ての転送を許可することにより、SYNフラグがONのパケットを含む全てのパケットは送信先に送信される。また、ルールBにより、外部から内部のホストへ送信されるTelnetの返りパケットのうちACKフラグがセットされたものだけを許可することにより、攻撃者がこのルールを悪用して発信元ポート、送信先ポート番号をあわせてSYNフラグがONのパケットを送信して攻撃したとしても、ACKフラグがセットされていないので、このルールBで許可されることはない。ACKフラグがOFFかつSYNフラグがONのパケット処理はルールC以降にゆだねられる。ルールCはデフォルトルールであり、このルールよりも前のルール(本例ではルールAとルールB)が適用されない全てのパケットに対しこのルールが適用され、パケット破棄される。
例えば、外向きのTelnetセッションは許可したいがそれ以外は許可したくないときのパケットフィルタの設定例を示す。ルールAにより、内部のホストから送信されるTelnetパケットの全ての転送を許可することにより、SYNフラグがONのパケットを含む全てのパケットは送信先に送信される。また、ルールBにより、外部から内部のホストへ送信されるTelnetの返りパケットのうちACKフラグがセットされたものだけを許可することにより、攻撃者がこのルールを悪用して発信元ポート、送信先ポート番号をあわせてSYNフラグがONのパケットを送信して攻撃したとしても、ACKフラグがセットされていないので、このルールBで許可されることはない。ACKフラグがOFFかつSYNフラグがONのパケット処理はルールC以降にゆだねられる。ルールCはデフォルトルールであり、このルールよりも前のルール(本例ではルールAとルールB)が適用されない全てのパケットに対しこのルールが適用され、パケット破棄される。
2.SCTPでのファイアウォール
SCTPでは、上述のTCPのようなACKフラグが存在しない。そこで、以下のようにファイアウォールを構成する。
(ハード構成)
図1は、ネットワーク構成図である。
本実施の形態におけるネットワークは、例えば、ホストA10と、ホストB20と、ホストX30と、ファイアウォール40とを備える。ホストA10は、例えば、ネットワークS1、S2、S3などを介してファイアウォール40に接続され、セキュアドネットワーク内部にある。一方、ホストB20、ホストX30は、例えば、ネットワークU1、U2、U3などを介してファイアウォールに接続され、非セキュアドネットワーク(外部)にある。本ネットワークは、通信プロトコルとしてSCTPを用いる。SCTPは、IPネットワーク上で電話網の制御信号を転送する等のためのプロトコルである(詳細は、非特許文献1参照)。
SCTPでは、上述のTCPのようなACKフラグが存在しない。そこで、以下のようにファイアウォールを構成する。
(ハード構成)
図1は、ネットワーク構成図である。
本実施の形態におけるネットワークは、例えば、ホストA10と、ホストB20と、ホストX30と、ファイアウォール40とを備える。ホストA10は、例えば、ネットワークS1、S2、S3などを介してファイアウォール40に接続され、セキュアドネットワーク内部にある。一方、ホストB20、ホストX30は、例えば、ネットワークU1、U2、U3などを介してファイアウォールに接続され、非セキュアドネットワーク(外部)にある。本ネットワークは、通信プロトコルとしてSCTPを用いる。SCTPは、IPネットワーク上で電話網の制御信号を転送する等のためのプロトコルである(詳細は、非特許文献1参照)。
図9は、ファイアウォール装置40の構成例を示す図である。
ファイアウォール装置40は、例えば、アクセスリスト41と、アクセスリスト設定機能部42と、パケットヘッダアクセスリスト比較部43と、イベント処理部44と、転送部45とを有する。
アクセスリスト設定機能部42は、装置保守者の操作により、制御したいパケットを特定するルールを設定または削除する。この設定は、装置リスト内のアクセスリスト41に記憶される。装置40に対してパケットが入力された場合、各パケットは転送部45により次の宛先が決定されたり、破棄されたりする。このパケット転送部45にパケットが入力された後若しくは出力される前に、各パケットはパケットヘッダアクセスリスト比較部43により、該当パケットがアクセスリスト41に一致するかどうかの判定を行う。
もし、アクセスリスト41に一致するルールがあった場合、そのパケットに対して設定されたルールどおりの転送若しくは破棄の処理を行うよう、転送部45に通知される。一方、アクセスリスト41に一致するルールがない場合、あらかじめ装置40に設定されたルールにより転送若しくは破棄の処理が決定される。ルールの一致・不一致の結果は、イベント処理部44に通知され、保守者や他の装置(例えばネットワーク管理装置)等が参照することが可能である。
ファイアウォール装置40は、例えば、アクセスリスト41と、アクセスリスト設定機能部42と、パケットヘッダアクセスリスト比較部43と、イベント処理部44と、転送部45とを有する。
アクセスリスト設定機能部42は、装置保守者の操作により、制御したいパケットを特定するルールを設定または削除する。この設定は、装置リスト内のアクセスリスト41に記憶される。装置40に対してパケットが入力された場合、各パケットは転送部45により次の宛先が決定されたり、破棄されたりする。このパケット転送部45にパケットが入力された後若しくは出力される前に、各パケットはパケットヘッダアクセスリスト比較部43により、該当パケットがアクセスリスト41に一致するかどうかの判定を行う。
もし、アクセスリスト41に一致するルールがあった場合、そのパケットに対して設定されたルールどおりの転送若しくは破棄の処理を行うよう、転送部45に通知される。一方、アクセスリスト41に一致するルールがない場合、あらかじめ装置40に設定されたルールにより転送若しくは破棄の処理が決定される。ルールの一致・不一致の結果は、イベント処理部44に通知され、保守者や他の装置(例えばネットワーク管理装置)等が参照することが可能である。
(データ構成)
図19は、SCTPパケットのフォーマットである。
SCTPパケットは、例えば、IPヘッダと、SCTP Commonヘッダと、Chunk(チャンク)ヘッダを含む。
IPヘッダの詳細は、図18(b)と同様であり、例えば送信元IPアドレス、送信先IPアドレス、フラグメントオフセット(Fragment Offset)を含む。SCTP Commonヘッダは、図19(b)のように、例えば送信元ポート(Source Port)と、送信先ポート(Destination Port)とを含む。
INIT Chunkヘッダは、例えば、INIT信号のChunkヘッダであり、例えば、図19(a)のChunk#1に該当する。INIT Chunkヘッダは、例えば、Typeを含む。Typeは、SCTPプロトコルの各信号に対応して値が予め定められており、Typeが参照されることで、INIT信号とCOOKIE ECHO信号とその他の信号を識別できる。
図19は、SCTPパケットのフォーマットである。
SCTPパケットは、例えば、IPヘッダと、SCTP Commonヘッダと、Chunk(チャンク)ヘッダを含む。
IPヘッダの詳細は、図18(b)と同様であり、例えば送信元IPアドレス、送信先IPアドレス、フラグメントオフセット(Fragment Offset)を含む。SCTP Commonヘッダは、図19(b)のように、例えば送信元ポート(Source Port)と、送信先ポート(Destination Port)とを含む。
INIT Chunkヘッダは、例えば、INIT信号のChunkヘッダであり、例えば、図19(a)のChunk#1に該当する。INIT Chunkヘッダは、例えば、Typeを含む。Typeは、SCTPプロトコルの各信号に対応して値が予め定められており、Typeが参照されることで、INIT信号とCOOKIE ECHO信号とその他の信号を識別できる。
図16は、アクセスリスト41の構成例である。
アクセスリスト41は、例えば、発信元アドレスと、送信元アドレスと、プロトコルと、発信元ポートと、送信先ポートと、チャンクタイプと、動作(動作情報)とを含む。
発信元アドレス及び送信先アドレスの「内部」とは、例えば図1のセキュアドネットワーク内部のアドレスであり、予め定められることができる。チャンクタイプの「セッション開始」とは、セッション開始の信号のみのルールであることを示す。ここで、セッション開始の信号とは、INIT信号とCOOKIE ECHO信号が該当する。また、「任意」とは、セッション開始以外を含む全てのパケットに対するルールであることを示す。動作は、パケット転送の許可/禁止を示す。なお、これらの情報は、数字、文字、フラグなど適宜の識別情報で記憶されてもよい。
ルールAは、内部から外部へのSCTPパケットについては、転送を許可するためのルールである。ルールBは、外部から内部へのセッション開始のためのSCTPパケットについては、転送を禁止するルールである。例えば、外部から内部へのINIT信号と、COOKIE ECHO信号の転送が禁止される。ルールCは、外部から内部へのセッション開始以外のSCTPパケットの転送を許可するルールである。ルールDは、ルールA〜Cに該当しなかった場合には、転送を禁止するルールである(デフォルトルール)。
アクセスリスト41は、例えば、発信元アドレスと、送信元アドレスと、プロトコルと、発信元ポートと、送信先ポートと、チャンクタイプと、動作(動作情報)とを含む。
発信元アドレス及び送信先アドレスの「内部」とは、例えば図1のセキュアドネットワーク内部のアドレスであり、予め定められることができる。チャンクタイプの「セッション開始」とは、セッション開始の信号のみのルールであることを示す。ここで、セッション開始の信号とは、INIT信号とCOOKIE ECHO信号が該当する。また、「任意」とは、セッション開始以外を含む全てのパケットに対するルールであることを示す。動作は、パケット転送の許可/禁止を示す。なお、これらの情報は、数字、文字、フラグなど適宜の識別情報で記憶されてもよい。
ルールAは、内部から外部へのSCTPパケットについては、転送を許可するためのルールである。ルールBは、外部から内部へのセッション開始のためのSCTPパケットについては、転送を禁止するルールである。例えば、外部から内部へのINIT信号と、COOKIE ECHO信号の転送が禁止される。ルールCは、外部から内部へのセッション開始以外のSCTPパケットの転送を許可するルールである。ルールDは、ルールA〜Cに該当しなかった場合には、転送を禁止するルールである(デフォルトルール)。
(動作)
図6は、ホストA−X間のSCTPコネクション制御のシーケンス図である。
まず、ホストA10(内部)からセッションを開始する場合、ファイアウォール装置40は、アクセスリスト41に従い、INIT、INIT ACK、COOKIE ECHO、COOKIE ACKの全てのデータの転送を許可する(ルールA及びC)。
一方、ホストX30(外部)からセッションを開始する場合、ファイアウォール装置40は、セッション開始のためのデータを破棄する(ルールB)。本実施の形態では、アクセスリスト41に従い、ホストX30など外部装置からのINTI、COOKIE ECHOなどのセッション開始のためのデータを破棄する。
図6は、ホストA−X間のSCTPコネクション制御のシーケンス図である。
まず、ホストA10(内部)からセッションを開始する場合、ファイアウォール装置40は、アクセスリスト41に従い、INIT、INIT ACK、COOKIE ECHO、COOKIE ACKの全てのデータの転送を許可する(ルールA及びC)。
一方、ホストX30(外部)からセッションを開始する場合、ファイアウォール装置40は、セッション開始のためのデータを破棄する(ルールB)。本実施の形態では、アクセスリスト41に従い、ホストX30など外部装置からのINTI、COOKIE ECHOなどのセッション開始のためのデータを破棄する。
図10は、ファイアウォールの処理のフローチャートである。
まず、ファイアウォール装置40の転送部45がパケットを受信する(S101)。転送部45は、受信されたパケットからヘッダ情報を取り出す(S103)。また、転送部45は、ヘッダ情報をパケットヘッダアクセスリスト比較部(以下、比較部と記す)43に出力する。なお、転送部45は、パケットを比較部43へ出力し、比較部43がヘッダ情報を取り出してもよい。
比較部43は、各ヘッダ情報又はパケットが入力される毎に、そのヘッダ情報を参照し、IPパケットであるか(S105)、フラグメントされていないか(S109)、SCTPパケットであるか(S113)を順に判定する。比較部43は、IPパケットでなければ(S105)、非IPパケットの所定の処理を実行する(S107)。また、比較部43は、フラグメントされていれば(S109、No)、フラグメントパケット処理を実行する(S111)。フラグメントされているか否かはIPヘッダのフラグ及びフラグメントオフセットを参照することにより判断できる。なお、ステップS111については、後に詳述する。比較部43は、SCTPパケットでなければ(S113、No)、SCTP以外のパケットの所定の処理を実行する(S115)。SCTPパケットか否かは、例えば、IPヘッダのプロトコル識別子を参照することにより判断できる。
まず、ファイアウォール装置40の転送部45がパケットを受信する(S101)。転送部45は、受信されたパケットからヘッダ情報を取り出す(S103)。また、転送部45は、ヘッダ情報をパケットヘッダアクセスリスト比較部(以下、比較部と記す)43に出力する。なお、転送部45は、パケットを比較部43へ出力し、比較部43がヘッダ情報を取り出してもよい。
比較部43は、各ヘッダ情報又はパケットが入力される毎に、そのヘッダ情報を参照し、IPパケットであるか(S105)、フラグメントされていないか(S109)、SCTPパケットであるか(S113)を順に判定する。比較部43は、IPパケットでなければ(S105)、非IPパケットの所定の処理を実行する(S107)。また、比較部43は、フラグメントされていれば(S109、No)、フラグメントパケット処理を実行する(S111)。フラグメントされているか否かはIPヘッダのフラグ及びフラグメントオフセットを参照することにより判断できる。なお、ステップS111については、後に詳述する。比較部43は、SCTPパケットでなければ(S113、No)、SCTP以外のパケットの所定の処理を実行する(S115)。SCTPパケットか否かは、例えば、IPヘッダのプロトコル識別子を参照することにより判断できる。
比較部43は、ステップS105、S019、S113を全て満たす場合、その後、SCTP用のアクセスリスト41のルールに一致するかどうかの検索処理を行う(S117)。例えば、比較部43は、IPヘッダから発信元IPアドレス及び送信先IPアドレスを抽出し、SCTP Commonヘッダから発信元ポート番号及び送信先ポート番号を抽出し、これら各データと一致するルールがアクセスリスト41に存在するか求める。
比較部43は、一致したルールがない場合は(S117、No)、ステップS127に移る。一方、比較部43は、アクセスリスト41に一致したルールがある場合(S117、Yes)、そのルールがSCTPセッションの開始のみを扱うルールか判断する(S119)。例えば、比較部43は、一致したルールのチャンクタイプを参照し、例えば「セッション開始」と記載されていればSCTPセッションの開始のみを扱うルールと判断してステップS121へ移り、一方、例えば「任意」と記載されていればSCTPセッションの開始のみを扱うルールでないと判断してステップS123へ移る。
比較部43は、一致したルールがない場合は(S117、No)、ステップS127に移る。一方、比較部43は、アクセスリスト41に一致したルールがある場合(S117、Yes)、そのルールがSCTPセッションの開始のみを扱うルールか判断する(S119)。例えば、比較部43は、一致したルールのチャンクタイプを参照し、例えば「セッション開始」と記載されていればSCTPセッションの開始のみを扱うルールと判断してステップS121へ移り、一方、例えば「任意」と記載されていればSCTPセッションの開始のみを扱うルールでないと判断してステップS123へ移る。
ステップS121では、比較部43は、COOKIE−ECHO信号またはINIT信号であるかを判定する(S121)。例えば、比較部43は、図19に示すINIT ChunkヘッダのTypeを参照し、TypeがCOOKIE−ECHO信号またはINIT信号を示す値であればステップS123へ移り、それ以外はステップS127へ移る。
ステップ127では、装置にあらかじめ設定されたルールの処理を行う(S127、S129)。本実施の形態では、一例として、他にSCTP用のアクセスリスト(ルール)があれば(S127)、そのアクセスリスト(ルール)を参照してステップS117を繰り返し、他のアクセスリスト(ルール)がなければ(S127)、転送処理を行う(S129)。ステップS117、S127により、例えば、アクセスリスト41が上から順に検索される。従って、複数のルールに一致する場合、上位のルールが適用される。
ステップ127では、装置にあらかじめ設定されたルールの処理を行う(S127、S129)。本実施の形態では、一例として、他にSCTP用のアクセスリスト(ルール)があれば(S127)、そのアクセスリスト(ルール)を参照してステップS117を繰り返し、他のアクセスリスト(ルール)がなければ(S127)、転送処理を行う(S129)。ステップS117、S127により、例えば、アクセスリスト41が上から順に検索される。従って、複数のルールに一致する場合、上位のルールが適用される。
比較部43は、ルールで設定された処理動作に従い、パケット転送若しくは破棄の動作を行う(S123、S125、S133)。また、比較部43は、パケットを破棄する際には、ABORT信号を生成し、入力したパケットの送信元IPアドレスへ送信する(S131)。ABORT信号が送信されることにより、送信元はセッションの確立が失敗したことを、タイムアウトを待たずに認識できる。なお、転送禁止の場合は、発信元IPアドレスに対しABORT信号を返すようになっているが、この処理は必ずしも必要ではなく、省略されてもよい。また、パケットの破棄後に送信してもよい。なお、INIT信号に対する判定と処理は、必要とされない場合もある。
図11は、図10におけるフラグメントパケット処理(S111)の詳細フローチャートである。
フラグメントパケットとは、パケットの送信元でIPヘッダ+TCPヘッダ+TCPデータ(又はIPヘッダ+SCTPヘッダ+SCTPデータ、以下同じ)と生成されていた1パケットが、パケット中継装置を中継する時に転送可能なパケット長が短くなったことにより複数パケットに分割されたパケットである。例えば、IPヘッダ+TCPヘッダ+TCPデータ(途中まで)の1パケット目と、IPヘッダ+TCPデータ(1パケット目からの続き)の2パケット目のように、IPヘッダがコピーされた2つのパケットが生成される。なお、フラグメントパケットは図18に示すIPヘッダ内のFlagおよびFragment offsetにパケット再構成できるように適切な値が記入されており、フラグメントされないパケットと区別できるようになっている。SCTPの場合も途中のパケット中継装置でフラグメントされることがあるため、完全にSCTPの信号をファイアウォール装置にてフィルタリングするためにはフラグメントに対応した処理が必要である。
フラグメントパケットとは、パケットの送信元でIPヘッダ+TCPヘッダ+TCPデータ(又はIPヘッダ+SCTPヘッダ+SCTPデータ、以下同じ)と生成されていた1パケットが、パケット中継装置を中継する時に転送可能なパケット長が短くなったことにより複数パケットに分割されたパケットである。例えば、IPヘッダ+TCPヘッダ+TCPデータ(途中まで)の1パケット目と、IPヘッダ+TCPデータ(1パケット目からの続き)の2パケット目のように、IPヘッダがコピーされた2つのパケットが生成される。なお、フラグメントパケットは図18に示すIPヘッダ内のFlagおよびFragment offsetにパケット再構成できるように適切な値が記入されており、フラグメントされないパケットと区別できるようになっている。SCTPの場合も途中のパケット中継装置でフラグメントされることがあるため、完全にSCTPの信号をファイアウォール装置にてフィルタリングするためにはフラグメントに対応した処理が必要である。
図10に示す処理において、フラグメントパケットを検出した場合(S109)、パケット中継装置は図10の処理から図11の「フラグメントパケット処理」(S111)へ推移する。
まず、入力されたパケットがフラグメントパケットであると判断される、又は、フラグメントパケットが入力される(S201)。比較部43は、フラグメントパケットの1パケット目である先頭フラグメントパケットであるか判断する(S203)。例えば、入力されるヘッダのフラグメントオフセットの値を参照して、先頭フラグメントパケットであるか判断する。
比較部43は、先頭フラグメントパケットの場合(S203、Yes)、図10の処理と同様の処理により、転送・破棄が判断される。なお、ステップS113〜S133の処理は、上述の各処理と同様であるので、同じ符号を付し詳細な説明を省略する。
まず、入力されたパケットがフラグメントパケットであると判断される、又は、フラグメントパケットが入力される(S201)。比較部43は、フラグメントパケットの1パケット目である先頭フラグメントパケットであるか判断する(S203)。例えば、入力されるヘッダのフラグメントオフセットの値を参照して、先頭フラグメントパケットであるか判断する。
比較部43は、先頭フラグメントパケットの場合(S203、Yes)、図10の処理と同様の処理により、転送・破棄が判断される。なお、ステップS113〜S133の処理は、上述の各処理と同様であるので、同じ符号を付し詳細な説明を省略する。
また、この処理の途中で先頭フラグメントパケットのフロー情報(例えば、送信先IPアドレス、発信元IPアドレス、送信先ポート番号、発信元ポート番号の4つ)、識別子および図16から抽出した動作内容をパケット中継装置内に一定時間記憶する(S229、S237)。例えば、比較部43は、ステップS125におけるパケットの送信後、及び、ステップS133におけるパケットの破棄後に、記憶する。
この後、フラグメントパケットの2パケット目以降が入力された場合、比較部43は、送信先IPアドレス、発信元IPアドレスと識別子の3つのフィールドからどの先頭フラグメントとフローが一致するかをチェックする(S209)。一致すれば、比較部43は、一致した先頭フラグメントパケットと同じ動作を行う。例えば、記憶された動作内容に従い、パケットを転送又は破棄することができる。なお、ステップS113〜S133の処理を再度実行してもよい。
一方、先頭フラグメントパケットのフローリストと一致しない場合(S209、No)、先頭フラグメントパケットと順序が逆転している可能性があるので一定時間保持し(S211)、後に改めて先頭フラグメントパケット処理を行った後で、保持していたフラグメントパケットも同様の処理を行う(S231、S239)。但し、保持時間が一定時間を越えた場合はそのフラグメントパケットを転送するようにしてもよい。
この後、フラグメントパケットの2パケット目以降が入力された場合、比較部43は、送信先IPアドレス、発信元IPアドレスと識別子の3つのフィールドからどの先頭フラグメントとフローが一致するかをチェックする(S209)。一致すれば、比較部43は、一致した先頭フラグメントパケットと同じ動作を行う。例えば、記憶された動作内容に従い、パケットを転送又は破棄することができる。なお、ステップS113〜S133の処理を再度実行してもよい。
一方、先頭フラグメントパケットのフローリストと一致しない場合(S209、No)、先頭フラグメントパケットと順序が逆転している可能性があるので一定時間保持し(S211)、後に改めて先頭フラグメントパケット処理を行った後で、保持していたフラグメントパケットも同様の処理を行う(S231、S239)。但し、保持時間が一定時間を越えた場合はそのフラグメントパケットを転送するようにしてもよい。
3.IPFIXへの適用例
IPFIX(統計フローの情報収集のためのプロトコル:標準化途中、詳細は非特許文献3参照)アプリケーションにおける本実施の形態の適用例を説明する。
図12は、IPFIXの網構成の一例である。
IPFIXシステムは、フロー情報を送信するIPFIX Exporter220と、フロー情報を収集するIPFIX Collector210とを備え、フロー情報を収集する。ファイアウォール240は、IPFIX Collector210が位置する内部ネットワークと、IPFIX Exporter220が位置する外部ネットワークとの間に配置される。
IPFIXの場合、SCTPのセッションはIPFIX Exporter220側がクライアントとなり、IPFIX Collector210側がサーバとなる。この場合、IPFIX Exporter220とIPFIX Collector210の間に、本発明のSCTPフィルタリング機構をもつファイアウォール240を配置することにより、Exporter220への不適切なSCTPの接続要求を防ぐことができる。なお、ファイアウォール240の構成及びパケットフォーマットは、上述と同様であるので説明を省略する。
IPFIX(統計フローの情報収集のためのプロトコル:標準化途中、詳細は非特許文献3参照)アプリケーションにおける本実施の形態の適用例を説明する。
図12は、IPFIXの網構成の一例である。
IPFIXシステムは、フロー情報を送信するIPFIX Exporter220と、フロー情報を収集するIPFIX Collector210とを備え、フロー情報を収集する。ファイアウォール240は、IPFIX Collector210が位置する内部ネットワークと、IPFIX Exporter220が位置する外部ネットワークとの間に配置される。
IPFIXの場合、SCTPのセッションはIPFIX Exporter220側がクライアントとなり、IPFIX Collector210側がサーバとなる。この場合、IPFIX Exporter220とIPFIX Collector210の間に、本発明のSCTPフィルタリング機構をもつファイアウォール240を配置することにより、Exporter220への不適切なSCTPの接続要求を防ぐことができる。なお、ファイアウォール240の構成及びパケットフォーマットは、上述と同様であるので説明を省略する。
図13は、アクセスリストの設定を示す図である。例えば、外向きのSCTPセッションと、外部のIPFIX Exporter220から内部のIPFIX Collector210へのSCTPセッションとは許可したいが、それ以外は許可したくないときのパケットフィルタの設定例である。
ルールAは、内部から外部方向のSCTPパケット制御のためのルールである。ルールAにより、内部のホストから送信されるSCTPパケットの全てを許可することにより、内部からのSCTPセッション開始は可能となる。また、外部から張られたセッションに関するSCTPパケットを含む全てのSCTPパケットは、内部から全ての送信先に送信されることが可能である。
ルールAは、内部から外部方向のSCTPパケット制御のためのルールである。ルールAにより、内部のホストから送信されるSCTPパケットの全てを許可することにより、内部からのSCTPセッション開始は可能となる。また、外部から張られたセッションに関するSCTPパケットを含む全てのSCTPパケットは、内部から全ての送信先に送信されることが可能である。
ルールBからルールDは外部から内部方向のSCTPパケット制御のためのルールであり、特にルールBとルールCは外部から内部方向のSCTPセッション制御のためのルールである。ルールB(第5のルール)により、IPFIX Exporter220からIPFIX Collector210へのSCTPのセッション開始は許可される。
ルールCにより、IPFIX Exporter220以外の任意のホストから内部のホストへのSCTPセッションの開始は禁止される。このルールにより、IPFIX Exporter220以外のホスト(例えば、攻撃者ホスト230)からIPFIX Collector210を含む内部ホストへのSCTPのセッション開始が禁止されるので、あらかじめ登録されたIPFIX Exporter220以外のホストがIPFIX Collector210に対してSCTPのセッションを多量に発生させる攻撃を行ったとしても、このルールによりパケット破棄される。
ルールCにより、IPFIX Exporter220以外の任意のホストから内部のホストへのSCTPセッションの開始は禁止される。このルールにより、IPFIX Exporter220以外のホスト(例えば、攻撃者ホスト230)からIPFIX Collector210を含む内部ホストへのSCTPのセッション開始が禁止されるので、あらかじめ登録されたIPFIX Exporter220以外のホストがIPFIX Collector210に対してSCTPのセッションを多量に発生させる攻撃を行ったとしても、このルールによりパケット破棄される。
ルールDは、内部のホスト宛に送信されるSCTPパケットの全てを許可する。ルールDをルールB、ルールCと組み合わせることにより、既に張られたSCTPセッションに関するSCTPパケットを制御するルールとなり、ここでは既に張られたSCTPセッションのSCTPパケットは、任意の発信元から内部の送信先に送信されることが可能であることを意味する。
ルールEはデフォルトルールであり、このルールよりも前のルール(本例ではルールAからルールD)が適用されない全てのパケットに対しこのルールが適用され、パケット破棄される。
ルールEはデフォルトルールであり、このルールよりも前のルール(本例ではルールAからルールD)が適用されない全てのパケットに対しこのルールが適用され、パケット破棄される。
図7は、IPFIXへ適用した場合のシーケンス図である。
例えば、図7で示すように、IPFIX Exporter220がIPFIX Collector210に対してSCTPセッションを開始する場合(図上段)、攻撃ホスト230がIPFIX Collector210に対してSCTPセッション開始を試みる場合(図下段)のそれぞれについて、本実施の形態のSCTPフィルタリング機構をもつファイアウォール240の動作を説明する。なお、詳細なフローチャートは、上述の図10、図11の各処理と同様である。
例えば、図7で示すように、IPFIX Exporter220がIPFIX Collector210に対してSCTPセッションを開始する場合(図上段)、攻撃ホスト230がIPFIX Collector210に対してSCTPセッション開始を試みる場合(図下段)のそれぞれについて、本実施の形態のSCTPフィルタリング機構をもつファイアウォール240の動作を説明する。なお、詳細なフローチャートは、上述の図10、図11の各処理と同様である。
IPFIX Exporter220がIPFIX Collector210に対してSCTPセッションを開始する場合、ファイアウォール240でINIT信号やCOOKIE−ECHO信号が受信されると、パケットヘッダアクセスリスト比較部43により、「発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号がアクセスリストと一致するか」が判定される。ここでは、ルールBと一致するので、転送が許可される。
一方、攻撃ホスト230がIPFIX Collector210に対してSCTPセッションを開始する場合、すなわちINIT信号またはCOOKIE−ECHO信号を送信する場合、ファイアウォールでINIT信号やCOOKIE−ECHO信号が受信されると、パケットヘッダアクセスリスト比較部43により、「発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号がアクセスリストと一致するか」が判定される。ここでは、ルールCと一致するので、転送が禁止される。
一方、攻撃ホスト230がIPFIX Collector210に対してSCTPセッションを開始する場合、すなわちINIT信号またはCOOKIE−ECHO信号を送信する場合、ファイアウォールでINIT信号やCOOKIE−ECHO信号が受信されると、パケットヘッダアクセスリスト比較部43により、「発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号がアクセスリストと一致するか」が判定される。ここでは、ルールCと一致するので、転送が禁止される。
4.M3UAへの適用例
M3UA(Message Transfer Part Level 3 User Adaptation:詳細は非特許文献2参照)アプリケーションにおける本実施の形態の適用例を説明する。
図14は、M3UAの網構成の一例を示す図である。
M3UAシステムは、呼処理機能を持つIPノード上のM3UA ASP(Application Server Process、アプリケーションサーバ)320と、SS7(Singlaing System No.7、共通線信号No.7)信号とIPパケットの変換機能を持つSGP(Signalling Gateway Process、ゲートウェイ)310とを備え、IP網上でSS7信号方式を実現する。M3UAの場合、SCTPのセッションはM3UA ASP320側がクライアントとなり、SGP310側がサーバとなる。この場合、M3UA ASP320とSGP310の間に、本実施の形態のSCTPフィルタリング機構をもつファイアウォール340を配置することにより、SGP310への不適切なSCTPの接続要求を防ぐことができる。
M3UA(Message Transfer Part Level 3 User Adaptation:詳細は非特許文献2参照)アプリケーションにおける本実施の形態の適用例を説明する。
図14は、M3UAの網構成の一例を示す図である。
M3UAシステムは、呼処理機能を持つIPノード上のM3UA ASP(Application Server Process、アプリケーションサーバ)320と、SS7(Singlaing System No.7、共通線信号No.7)信号とIPパケットの変換機能を持つSGP(Signalling Gateway Process、ゲートウェイ)310とを備え、IP網上でSS7信号方式を実現する。M3UAの場合、SCTPのセッションはM3UA ASP320側がクライアントとなり、SGP310側がサーバとなる。この場合、M3UA ASP320とSGP310の間に、本実施の形態のSCTPフィルタリング機構をもつファイアウォール340を配置することにより、SGP310への不適切なSCTPの接続要求を防ぐことができる。
図15は、アクセスリストの設定を示す図である。例えば、外向きのSCTPセッションと外部のM3UA ASP320から内部のSGP310へのSCTPセッションとは許可したいが、それ以外は許可したくないときのパケットフィルタの設定例である。
ルールAは、内部から外部方向のSCTPパケット制御のためのルールである。ルールAにより、内部のホストから送信されるSCTPパケットの全てを許可することにより、内部からのSCTPセッション開始は可能となる。また、外部から張られたセッションに関するSCTPパケットを含む全てのSCTPパケットは、内部から全ての送信先に送信されることが可能である。
ルールAは、内部から外部方向のSCTPパケット制御のためのルールである。ルールAにより、内部のホストから送信されるSCTPパケットの全てを許可することにより、内部からのSCTPセッション開始は可能となる。また、外部から張られたセッションに関するSCTPパケットを含む全てのSCTPパケットは、内部から全ての送信先に送信されることが可能である。
ルールBからルールDは外部から内部方向のSCTPパケット制御のためのルールであり、特にルールBとルールCは外部から内部方向のSCTPセッション制御のためのルールである。
ルールB(第6のルール)により、M3UA ASP320からSGP310へのSCTPのセッション開始は許可される。
ルールCにより、任意のホストから内部のホストへのSCTPセッションの開始は禁止される。このルールにより、M3UA ASP320以外のホスト(例えば、攻撃者ホスト330)からSGP310を含む内部ホストへのSCTPのセッション開始が禁止されるので、あらかじめ登録されたM3UA ASP320以外のホストがSGP310に対してSCTPのセッションを多量に発生させる攻撃を行ったとしても、このルールによりパケット破棄される。
ルールB(第6のルール)により、M3UA ASP320からSGP310へのSCTPのセッション開始は許可される。
ルールCにより、任意のホストから内部のホストへのSCTPセッションの開始は禁止される。このルールにより、M3UA ASP320以外のホスト(例えば、攻撃者ホスト330)からSGP310を含む内部ホストへのSCTPのセッション開始が禁止されるので、あらかじめ登録されたM3UA ASP320以外のホストがSGP310に対してSCTPのセッションを多量に発生させる攻撃を行ったとしても、このルールによりパケット破棄される。
ルールDは、内部のホスト宛に送信されるSCTPパケットの全てを許可する。ルールDをルールB、ルールCと組み合わせることにより、既に張られたSCTPセッションに関するSCTPパケットを制御するルールとなり、ここでは既に張られたSCTPセッションのSCTPパケットは、任意の発信元から内部の宛先に送信されることが可能であることを意味する。
ルールEはデフォルトルールであり、このルールよりも前のルール(本例ではルールAからルールD)が適用されない全てのパケットに対しこのルールが適用され、パケット破棄される。
ルールEはデフォルトルールであり、このルールよりも前のルール(本例ではルールAからルールD)が適用されない全てのパケットに対しこのルールが適用され、パケット破棄される。
図8は、M3UAへ適用した場合のシーケンス図である。
例えば、図8で示すように、M3UA ASP320がSGP310に対してSCTPセッションを開始する場合(図上段)、攻撃ホスト330がSGP310に対してSCTPセッション開始を試みる場合(図下段)のそれぞれについて、本発明のSCTPフィルタリング機構をもつファイアウォール340の動作を説明する。なお、詳細なフローチャートは、上述の図10、図11の各処理と同様である。
M3UA ASP320がSGP310に対してSCTPセッションを開始する場合、ファイアウォール340でINIT信号やCOOKIE−ECHO信号が受信されると、パケットヘッダアクセスリスト比較部42により、「発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号がアクセスリストと一致するか」が判定される。ここでは、ルールBと一致するので、転送が許可される。
例えば、図8で示すように、M3UA ASP320がSGP310に対してSCTPセッションを開始する場合(図上段)、攻撃ホスト330がSGP310に対してSCTPセッション開始を試みる場合(図下段)のそれぞれについて、本発明のSCTPフィルタリング機構をもつファイアウォール340の動作を説明する。なお、詳細なフローチャートは、上述の図10、図11の各処理と同様である。
M3UA ASP320がSGP310に対してSCTPセッションを開始する場合、ファイアウォール340でINIT信号やCOOKIE−ECHO信号が受信されると、パケットヘッダアクセスリスト比較部42により、「発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号がアクセスリストと一致するか」が判定される。ここでは、ルールBと一致するので、転送が許可される。
一方、攻撃者ホスト330がSGP310に対してSCTPセッションを開始する場合、すなわちINIT信号またはCOOKIE−ECHO信号を送信する場合、ファイアウォールでINIT信号やCOOKIE−ECHO信号が受信されると、パケットヘッダアクセスリスト比較部43により、「発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号がアクセスリストと一致するか」が判定される。ここでは、ルールCと一致するので、転送が禁止される。
本発明は、例えば、データ通信、ファイアウォール、パケット中継装置に関する産業に利用可能である。
10 ホストA
20 ホストB
30 ホストX
40 ファイアウォール
41 アクセスリスト
42 アクセスリスト設定機能部
43 パケットヘッダアクセスリスト比較部
44 イベント処理部
45 転送部
210 IPFIX Collector
220 IPFIX Exporter
230 攻撃者ホスト
240 ファイアウォール
310 SGP
320 M3UA ASP
330 攻撃者ホスト
340 ファイアウォール
20 ホストB
30 ホストX
40 ファイアウォール
41 アクセスリスト
42 アクセスリスト設定機能部
43 パケットヘッダアクセスリスト比較部
44 イベント処理部
45 転送部
210 IPFIX Collector
220 IPFIX Exporter
230 攻撃者ホスト
240 ファイアウォール
310 SGP
320 M3UA ASP
330 攻撃者ホスト
340 ファイアウォール
Claims (12)
- 通信プロトコルとしてSCTP(Stream Control Transmission Protocol)を用いてパケット通信を行うネットワークシステムにおいて、内部ネットワークと外部ネットワークの間に配置され、パケットの転送を制御するパケット中継装置であって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶されたアクセスリストと、
入力されたSCTPパケットのヘッダ情報に基づき前記アクセスリストを参照し、対応する動作情報を取得する比較部と
取得された動作情報に従い、入力されたSCTPパケットを転送し又は破棄する転送部と
を備え、
前記セッション開始のパケットは、送信元若しくは送信先の装置において通信を維持又は管理するための情報を記憶するデータエリアが確保されるためのCOOKIE ECHOパケットであり、
前記アクセスリストには、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが前記セッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報が転送許可を示す第3のルールと
が予め記憶され、
前記比較部は、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、前記セッション開始のパケットか否かを示すチャンクヘッダと基づき、前記アクセスリストの第1乃至第3のルールを順に参照して、該当するルールのひとつを検索し、
前記転送部は、第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄する前記パケット中継装置。 - 前記セッション開始のパケットは、セッション開始のためのINITパケットをさらに含む請求項1に記載のパケット中継装置。
- 通信プロトコルとしてSCTP(Stream Control Transmission Protocol)を用いてパケット通信を行うネットワークシステムにおいて、内部ネットワークと外部ネットワークの間に配置され、パケットの転送を制御するパケット中継装置であって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶されたアクセスリストと、
入力されたSCTPパケットのヘッダ情報に基づき前記アクセスリストを参照し、対応する動作情報を取得する比較部と
取得された動作情報に従い、入力されたSCTPパケットを転送し又は破棄する転送部と
を備え、
前記アクセスリストには、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが前記セッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報が転送許可を示す第3のルールと
が予め記憶され、
前記比較部は、
入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスとに基づき、前記アクセスリストの第1乃至第3のルールを順に参照して、該当するルールのひとつを検索し、
該当するルールのチャンクタイプを参照し、該チャンクタイプがセッション開始のパケットを示すか判断し、
セッション開始を示す場合、入力されたSCTPパケットのチャンクヘッダを参照し、該パケットが、送信元若しくは送信先の装置において通信を維持又は管理するための情報を記憶するデータエリアが確保されるためのCOOKIE ECHOパケット及び/又はセッション開始のためのINITパケットを含むセッション開始のパケットであるか判断し、
チャンクタイプがセッション開始を示しかつ入力されたパケットがセッション開始のパケットでない場合、前記アクセスリストを参照して該当する他のルールを検索し、さらに前記セッション開始のパケットを示すか判断すること、及び、前記セッション開始のパケットであるか判断することを実行し、
前記転送部は、
チャンクタイプがセッション開始を示しかつ入力されたパケットがセッション開始のパケットである場合、及び、セッション開始のみのルールではない場合、該当するルールの動作情報に従い、入力されたSCTPパケットを転送又は破棄する前記パケット中継装置。 - 前記転送部は、
動作情報がパケットの破棄を示す場合、セッションの確立が失敗したことを示す信号、又は、アソシエーションを閉じるための他方のエンドポイントに送信されるABORT信号を、入力されたパケットの送信元アドレスに送信する請求項1に記載のパケット中継装置。 - 前記アクセスリストは、送信元ポート情報と送信先ポート情報をさらに含み、
前記比較部は、
入力されたヘッダ情報から取り出された送信元アドレスと送信先アドレスと送信元ポート情報と送信先ポート情報と、チャンクヘッダとに基づき、前記アクセステーブルの各ルールを順に参照して該当するルールを検索する請求項1に記載のパケット中継装置。 - 前記比較部は、
入力されたSCTPパケットのヘッダ情報を参照して、該パケットが、分割されたフラグメントパケットか判断し、
該ヘッダ情報のフラグメントオフセットを参照して、フラグメントパケットの先頭パケットであるか判断し、
先頭パケットの場合、該当するルールの動作情報に従い該パケットを転送又は破棄し、及び、該パケットの送信元アドレス及び送信先アドレスを含むフロー情報と該当するルールの動作情報とを対応して記憶し、
先頭パケットでない場合、入力されたパケットのフロー情報に基づき、記憶されたフロー情報を検索して対応する動作情報を読み出し、該動作情報に従い、入力された該パケットを転送又は破棄する請求項1に記載のパケット中継装置。 - 前記比較部は、
先頭パケットでなく、且つ、該当するフロー情報及び動作情報が記憶されていない場合、入力されたフラグメントパケットを記憶し、
該フラグメントパケットとフロー情報が一致する先頭パケットが入力され、該当する動作情報に従い転送又は破棄された後に、記憶された前記フラグメントパケットを、該動作情報に従い転送又は破棄する請求項6に記載のパケット中継装置。 - 前記アクセスリストは、
送信元アドレスが外部ネットワークに位置する予め定められた装置のアドレスを示し、送信先アドレスが内部ネットワークに位置する予め定められた装置のアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの転送許可を示す第4のルールをさらに含む請求項1に記載のパケット中継装置。 - 前記パケット中継装置は、フロー情報を送信するIPFIX(Internet Protcol Flow Information Export) Exporterと、該フロー情報を収集するIPFIX Collectorとを備える、フロー情報を収集するためのIPFIXシステムにおいて、前記IPFIX Collectorが位置する内部ネットワークと、前記IPFIX Exporterが位置する外部ネットワークとの間に配置された前記パケット中継装置であって、
前記アクセスリストは、
送信元アドレスが前記IPFIX Exporterのアドレスを示し、送信先アドレスが前記IPFIX Collectorのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの転送許可を示す第5のルールをさらに含む請求項1に記載のパケット中継装置。 - 前記パケット中継装置は、呼処理機能を有するIPノード上のアプリケーションサーバと、共通線信号No.7の信号とIPパケットの変換機能を有するゲートウェイとを備える、IP網上で共通線信号No.7の信号方式を実現するためのM3UA(Message Transfer Part 3 User Adaptation)システムにおいて、前記ゲートウェイが位置する内部ネットワークと、前記アプリケーションサーバが位置する外部ネットワークとの間に配置された前記パケット中継装置であって、
前記アクセスリストは、
送信元アドレスが前記アプリケーションサーバのアドレスを示し、送信先アドレスが前記ゲートウェイのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの転送許可を示す第6のルールをさらに含む請求項1に記載のパケット中継装置。 - 通信プロトコルとしてSCTPを用いてパケット通信を行うネットワークシステムにおいて、パケットの転送を制御するパケット中継方法であって、
パケットの送信元アドレスと送信先アドレスと、セッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶され、該複数のルールは、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報が転送許可を示す第3のルールと
を含むアクセスリストの第1乃至第3のルールを順に参照して、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、セッション開始のパケットか否かを示すチャンクヘッダと基づき、該当するルールのひとつを検索するステップと、
第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄するステップと
を含み、
前記セッション開始のパケットは、送信元若しくは送信先の装置において通信を維持又は管理するための情報を記憶するデータエリアが確保されるためのCOOKIE ECHOパケットである前記パケット中継方法。 - 通信プロトコルとしてSCTPを用いてパケット通信を行うネットワークシステムにおいて、パケットの転送を制御するパケット中継プログラムであって、
パケットの送信元アドレスと送信先アドレスと、送信元若しくは送信先の装置において通信を維持又は管理するための情報を記憶するデータエリアが確保されるためのCOOKIE ECHOパケットであるセッション開始のパケットか又は全てのパケットかを示すチャンクタイプと、パケットの転送許可又はパケットの破棄を示す動作情報と含む複数のルールが予め記憶され、該複数のルールは、
送信元アドレスが内部ネットワークのアドレスを示し、送信先アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報がパケットの転送許可を示す第1のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプがセッション開始のパケットを示し、及び、動作情報がパケットの破棄を示す第2のルールと、
送信元アドレスが外部ネットワークのアドレス又は全てのアドレスを示し、送信先アドレスが内部ネットワークのアドレスを示し、チャンクタイプが全てのパケットを示し、及び、動作情報が転送許可を示す第3のルールと
を含むアクセスリストの第1乃至第3のルールを順に参照して、入力されたSCTPパケットのヘッダ情報から取り出された送信元アドレスと、送信先アドレスと、セッション開始のパケットか否かを示すチャンクヘッダと基づき、該当するルールのひとつを検索するステップと、
第1のルール及び第3のルールのいずれかに該当する場合、該当するルールの動作情報に従いパケットを転送し、第2のルールに該当する場合、該当するルールの動作情報に従いパケットを破棄するステップと
をコンピュータに実行させるための前記パケット中継プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006049490A JP4542053B2 (ja) | 2006-02-27 | 2006-02-27 | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006049490A JP4542053B2 (ja) | 2006-02-27 | 2006-02-27 | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007228449A JP2007228449A (ja) | 2007-09-06 |
| JP4542053B2 true JP4542053B2 (ja) | 2010-09-08 |
Family
ID=38549775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006049490A Expired - Fee Related JP4542053B2 (ja) | 2006-02-27 | 2006-02-27 | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4542053B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8320372B2 (en) * | 2008-06-23 | 2012-11-27 | Alcatel Lucent | Processing of packet fragments |
| JP5500200B2 (ja) * | 2012-04-26 | 2014-05-21 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、情報処理方法及びプログラム |
| CN116868546A (zh) * | 2021-02-17 | 2023-10-10 | 三菱电机株式会社 | 侵入检测装置、侵入检测方法以及侵入检测程序 |
-
2006
- 2006-02-27 JP JP2006049490A patent/JP4542053B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007228449A (ja) | 2007-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
| Schulzrinne et al. | GIST: general internet signalling transport | |
| JP3459183B2 (ja) | パケット検証方法 | |
| CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
| US7721084B2 (en) | Firewall for filtering tunneled data packets | |
| US6098172A (en) | Methods and apparatus for a computer network firewall with proxy reflection | |
| JP3464610B2 (ja) | パケット検証方法 | |
| EP1792468B1 (en) | Connectivity over stateful firewalls | |
| KR101406556B1 (ko) | 호스트 시스템 간 접속 확립 방법 | |
| EP1484886A2 (en) | Method and framework for integrating a plurality of network policies | |
| WO2005117327A2 (en) | A system, method, and computer program product for updating the states of a firewall | |
| JP2004362590A (ja) | ネットワークファイアウォールを実装するための多層ベースの方法 | |
| Thornburgh | Adobe's Secure Real-Time Media Flow Protocol | |
| JP4602158B2 (ja) | サーバ装置保護システム | |
| Watteyne et al. | RFC 8930: On Forwarding 6LoWPAN Fragments over a Multi-Hop IPv6 Network | |
| JP4542053B2 (ja) | パケット中継装置、パケット中継方法及びパケット中継プログラム | |
| JP2006185194A (ja) | サーバ装置、通信制御方法及びプログラム | |
| US10469498B2 (en) | Communication system, control instruction apparatus, communication control method and program | |
| JP2004312416A (ja) | アクセス制御方法、中継装置及びサーバ | |
| JP2007102747A (ja) | パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム | |
| JP2007534223A (ja) | ネットワークセッション再構築 | |
| Fairhurst et al. | RFC 8899: Packetization Layer Path MTU Discovery for Datagram Transports | |
| KR20070000606A (ko) | 방화벽 설정 방법 | |
| JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100413 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100609 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100622 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100624 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |