JP4658340B2 - ネットワークゲートウェイの解析方法及び装置 - Google Patents

ネットワークゲートウェイの解析方法及び装置 Download PDF

Info

Publication number
JP4658340B2
JP4658340B2 JP2001009751A JP2001009751A JP4658340B2 JP 4658340 B2 JP4658340 B2 JP 4658340B2 JP 2001009751 A JP2001009751 A JP 2001009751A JP 2001009751 A JP2001009751 A JP 2001009751A JP 4658340 B2 JP4658340 B2 JP 4658340B2
Authority
JP
Japan
Prior art keywords
gateway
network
zone
firewall
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001009751A
Other languages
English (en)
Other versions
JP2001237895A (ja
JP2001237895A5 (ja
Inventor
ウル アヴィシャイ
ジュールス メイヤー アレイン
ジスキンド エリシャ
Original Assignee
アルカテル−ルーセント ユーエスエー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント ユーエスエー インコーポレーテッド filed Critical アルカテル−ルーセント ユーエスエー インコーポレーテッド
Publication of JP2001237895A publication Critical patent/JP2001237895A/ja
Publication of JP2001237895A5 publication Critical patent/JP2001237895A5/ja
Application granted granted Critical
Publication of JP4658340B2 publication Critical patent/JP4658340B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、概略的にはファイアウォールに関し、詳しくはファイアウォールのセキュリティ・ポリシー(手段)を解析するための方法及び装置に関する。
【0002】
【従来の技術】
ネットワーク・ファイアウォールはインターネットに接続されたネットワークのための重要な保護手段を提供する。ファイアウォールは、箱から取り出して直ぐに起動できるような単純なアプリケーションソフトウエアではない。ファイアウォールは、与えられた会社又は実体(エンティティ)の特定のニーズのための重要なセキュリティ・ポリシーを実現するように構成し管理する必要がある。
【0003】
ファイアウォールのセキュリティに影響を与える最も重要な因子はファイアウォール構成であるといわれてきた。ファイアウォールは感銘を与えるような技術的進歩であり続けてはいるが、ファイアウォールの構成及び管理における進歩は今まで、もしあるにしてもあまりなかった。
【0004】
ファイアウォールは、パケットをフィルタ処理して、イントラネットのような私有コーポレート(法人)ネットワークをインターネットのような公衆ネットワークから隔離する、ネットワーク・ゲートウェイである。今日のファイアウォールの大部分はルールベース又はファイアウォール構成ファイルによって構成される。
【0005】
小さな会社のLAN(構内通信網)のような単一、同質のイントラネットを守るファイアウォールの場合には、単一のルールベースがファイアウォールに対して、入って来る(到来)セッション(パケット)のどれの通過を許すべきか、そしてどれを阻止すべきかを指示する。同様にルールベースが、出て行く(外行)セッション(パケット)のどれの通過を許すべきかを指示する。ファイアウォールの業務管理担当者(アドミニストレータ)はこの低レベルのルールベースを用いて高レベルのコーポレート・セキュリティ・ポリシーを実現する必要がある。
【0006】
ファイアウォールの構成インタフェースは一般に、セキュリティ業務管理担当者が種々のホストグループ(IPアドレスの範囲(レンジ))及びサービスグループ(プロトコルと、エンドポイントを形成するホストにおける対応するポート番号とのグループ)を定義することを可能にする。単一のルールには一般に、ソース(発信源)、宛先、サービスグループ及び適切なアクションが含まれる。ソース及び宛先はホストグループであり、アクションは概して、対応するセッションのパケットを通過させるか又は脱落させるかのいずれかの動作の表示である。
【0007】
多くのファイアウォールにおいてはルールベースは、「順序」に対して感度がある(順序に基づいて動作する)。言い替えれば、ファイアウォールは、ルールベース中の第1のルールが新しいセッションに適用されるかどうかを点検する。もし第1のルールが適用される場合、パケットは第1のルールによって指定されるアクションに基づいて通過又は脱落させられる。もし第1のルールが適用されない場合、ファイアウォールは、ルールベース中の第2のルールが適用されるかどうかを点検する。以下、適用されるルールが見出されるまで同様に点検が行われる。
【0008】
この方式は、ルールベース内の冗長ルールが原因で誤った構成に至ることがしばしばあり、望むセキュリティ・ポリシーは、ルールの一部についてその順序を変更した後でなければ実現されない。
【0009】
ファイアウォールを業務管理するときの問題は、複数のファイアウォールを用いるより大きな会社の場合には更に悪くなる。ファイアウォールが多数あると、1つの会社のイントラネットが多数のゾーンに分割され、セキュリティ・ポリシーは一般に、異なるゾーンを相互に接続する多数のゲートウェイ上に位置する多数のルールベースによって実現される。
【0010】
したがって、セキュリティ・ホールを生じさせることのないように、種々のルールベース間の相互動作(インタープレー)を注意深く点検する必要がある。イントラネットがより複雑になるにしたがって、ルールベースの設計及び管理の複雑性が増大する。
【0011】
今日、中ぐらいの大きさのコーポレート・イントラネットでも多数のファイアウォール及びルータを有し、これらのファイアウォール及びルータは全て、全体的(大域的)なコーポレート・セキュリティ・ポリシーの種々の態様を実施させるのに用いられる。これらのデバイスを一致して作動するように構成することは困難であり、もしデバイスが異なる納入業者(ベンダ)によって製造されている場合には特にそうである。例えば新しいセキュリティ業務管理担当者が業務を引き継ぐ場合に現存の構成をテスト又は逆解析(リバースエンジニアリング)することさえも難しい。
【0012】
ファイアウォール構成ファイルは低レベルの形式で書かれ、その可読性は、アッセンブリコードに匹敵し、大域的なセキュリティ・ポリシーが、関与する全てのファイアウォールにわたって拡張される。
【0013】
現在、ファイアウォール業務管理担当者は、コーポレート環境内の種々のクラスのマシン又はサービスに適用可能なセキュリティ許可を定める簡単な方法を持ちあわせていない。したがって、業務管理担当者が1つ以上の与えられたサービスが1つ以上の与えられたマシン間で許されるかどうか、のようなコーポレート・セキュリティ・ポリシーに関するルーチン質問に答えることは、不可能ではないにしても困難である。
【0014】
コーポレート・セキュリティ・ポリシーの評価がなぜ困難であり得るのかについては、いくつかの理由がある。第1に、パケットはソースと宛先との間に、それぞれいくつかのフィルタ処理デバイスを通る多数の通信路(パス)を有する。質問に答えるには、業務管理担当者は、これらの全てについてルールを点検することが必要になる。
【0015】
加えて、一般的なベンダ構成ツールは一度に1つのデバイスしか扱わず、そのため大域的にみて挙動が一貫しないことになる。もし異なるベンダによって製造されたパケットフィルタ処理デバイスが関与する場合、状況は直ぐに悪化する。
【0016】
更に、単一のパケット処理デバイスの単一のインタフェースにおいてポリシーを理解することでさえも問題がある。前に述べたように、ファイアウォール構成言語は、わかりにくく、非常に低レベルであり、ルールの順序に有感であり、そしてベンダに特有な性質を有する度合いが高い。
【0017】
現在、バルネラビリティ(外部からの攻撃に対する弱さ)テストツールは、市販で入手可能なものがいくつかある。その一例(商品名サタン:記述が文献(例えば、M. Freiss, Protecting Networks with SATAN, O'Reilly & Associates, Inc. (1998) )にある)は、広範に展開されたプロトコル及びオペレーティング・システムにおける既知の欠陥を利用する。これらの欠陥の或るものは適切なファイアウォール・ポリシーによって阻止できる。このようにして、「サタン」ツールを用いてファイアウォール・ポリシーをテストすることができる。
【0018】
加えて、別のこの種のツール(商品名ネット・ソナー2.0:シスコ・システム社(Cisco Systems Inc. of San Jose, CA)から市販で入手可能)は、コーポレート・イントラネットに接続してネットワークを検査することにより、展開された、ルーティング(定められたルートによる信号配送)・ポリシー及びファイアウォール・ポリシーをテストする。
【0019】
現在入手可能なバルネラビリティ・テストツールはアクティブ(能動性)である。言い替えれば、これらのツールはネットワーク上でパケットを送信し受信する。このため、これらのツールはいくつかの制約を受ける。もしこれらの制約が克服されれば、これらのバルネラビリティ・テストツールの利用性及び効率は大幅に増大することになる。
【0020】
例えば、もしイントラネットが大きくて、何千台ものマシンを有する場合、現在のバルネラビリティ・テストツールは、処理が遅い(各1個のIPアドレスを可能な各ポートに対してテストする場合)か又は標本統計的(ランダムテストを行う場合)である。すなわち、間違いなくこれらのツールは、インターネット上の可能な各IPをテストすることはできない。
【0021】
加えて、現在のバルネラビリティ・テストツールは、ファイアウォール構成上の誤りを1種類しか、すなわち「無許可のパケットの通過を許してしまうという誤り」しか捉えることができない。その結果、これらのツールは、第2の種類の誤り、すなわち「許可されたパケットを、意図せずに(うっかり)阻止するという誤り」を捉えない。この第2の種類の誤りは一般に、「ポリシーを展開して、不満が出るのを待つ」戦略によって検出される。これは、ネットワークユーザにとって破壊的であり、重要な業務通信処理が切断されることになる。
【0022】
アクティブテストは常に、「事後」である。しかし、新しいポリシーが展開された後に問題を検出する手法は、(a)危険であり(問題が検出されて安全なポリシーが展開されるまでネットワークが無防備であるため)、(b)コストが掛かり(大きなネットワークにおいてセキュリティ・ポリシーを展開するのは時間が掛かり誤りを生じやすい手法であるため)、そして(c)ユーザにとって破壊的である。
【0023】
更に、アクティブ・ツールはネットワークトポロジー(接続形態)内のその物理的位置からしかテストできない。アクティブ・ツールがホストの上で動くそのホストに関与しないネットワーク内のパスに特有の問題は、検出されないままになる。
【0024】
【発明が解決しようとする課題】
したがって、業務管理担当者が大域的ファイアウォール・ポリシーを発見してテストすることのできるファイアウォール解析ツールに対する必要性がある。更に、ネットワークトポロジーを最小の記述しか用いずに、ベンダ特有で低レベルの種々の構成ファイルを直接解析するファイアウォール解析ツールに対する必要性がある。又更に、適切な要約レベルで行われる質疑応答セッションを通してユーザと対話するファイアウォール解析ツールに対する必要性がある。
【0025】
【課題を解決するための手段】
概略的には、本発明により、ネットワーク環境においてパケットフィルタ処理機能を行う1つ以上のファイアウォール、又は例えばルータのような他のネットワーク・ゲートウェイの動作を解析するための方法及び装置が開示される。個々特定のネットワーク環境に対するセキュリティ・ポリシーは一般に、各ファイアウォールに対する「パケットをフィルタ処理するための構成ファイル」(パケットフィルタ処理構成ファイル)(すなわち、ルールベース)を定義することによって実現される。
【0026】
パケットフィルタ処理構成ファイルが、或る到来パケット又は外行パケットを通過又は脱落させるように、与えられたファイアウォールに指示する。ユーザの質問を与えられると、ここに開示された本発明による装置、すなわち、ファイアウォール(すなわち、ゲートウェイ)解析ツールが、ネットワーク環境のトポロジーを考慮の上、種々のファイアウォールの挙動をシミュレートして、当初の質問に指定されたサービス又はマシンのどの部分がソースから宛先に到達することになるかを定める。
【0027】
開示されたファイアウォール解析ツールが、関連するパケットフィルタ処理構成ファイルを収集して読み取りを行い、「対象として暗黙に示された」(黙示の)セキュリティ・ポリシーを内部的表示の形で形成する。加えて、ファイアウォール解析ツールは、グラフデータ構造を利用してネットワークトポロジーを表現する。ゲートウェイゾーン・グラフは、縁部(エッジ)で相互接続されたいくつものノードからなる。各ノードは、ゲートウェイ(ファイアウォール又はルータ)若しくはゲートウェイによって形成されたゾーンに対応する。
【0028】
概して、本発明においては、与えられたパケットがどの物理的パスに沿っても、もしそれがルート規定(取り決め)によれば許されない場合であっても、移動できるものと仮定する。ゲートウェイゾーン・グラフは、パケットフィルタ処理ルールベースを有する各デバイスに対して、そしてこれらデバイスによって定義される各ゾーンに対して、ノードを有する。ファイアウォール解析ツールは、ネットワーク内の各ルータ及び切換器(スイッチ)について知っている必要がなく、又用いられるルート規定に無関係である。
【0029】
ネットワーク内でどこへパケットが移動するかを、そしてこれらのパス沿いにどのゲートウェイに遭遇するか、すなわちどのゲートウェイを経由するかをファイアウォール解析ツールが定めることが、ゲートウェイゾーン・グラフにより可能になる。このようにしてソースと宛先との間の各パス沿いに遭遇するゲートウェイゾーン・グラフ内の各ゲートウェイノードについて、ファイアウォール解析ツールが質問オブジェクトを各ルールベースと対照して評価することができる。
【0030】
本発明の更に別の態様によれば、ファイアウォール解析ツールは、「1つ以上の与えられたサービスが1つ以上の与えられたマシンの間で許されるかどうか」のような単純な質問を受け取って評価するためのグラフィカル・ユーザ・インタフェースを提供する。
【0031】
本発明においては、与えられたサービスが複数のサービスからなるサービス群(a set of services) である場合、ユーザは質問を統合することが許される(ワイルドカード「可能な全てのサービス」まで)。そして、与えられたマシンは、任意の群数のIPアドレス群である(ワイルドカード「可能な全てのアドレス」まで)。
【0032】
本発明の更に別の態様によれば、ファイアウォール解析ツールはソースのIPアドレスを変更することによって模擬の侵入攻撃(アタック)をシミュレートすることができる。ファイアウォール解析ツールは、ネットワーク内でパケットを注入すべき位置として、ソースホストグループの真の位置ではないネットワーク内の位置を、ユーザが指定することを許す。ファイアウォール解析ツールは又、ネットワークアドレス変換(NAT)を行うファイアウォールルールを考慮に入れることもできる。
【0033】
【発明の実施の形態】
図1は、本発明に基づくネットワーク環境の例を示す。図1に示すように、ネットワーク環境100が、2つのファイアウォール(すなわち、ゲートウェイ)、詳しくは内部ファイアウォール120及び外部ファイアウォール150、を有する。外部ファイアウォール120は、会社の、インターネット110のような外部ネットワークとの接続を保護する。外部ファイアウォール120の後にはサーバゾーン130がある。サーバゾーン130は、しばしば「非武装地帯」(DMZ)にたとえられ、会社の外部可視(外部に見える)サーバを有する。
【0034】
本実施例においては、サーバゾーン130内の外部可視サーバは、電子メール(smtp)、ハイパーテキストトランスファ・プロトコル(http)ファイルトランスファ(web)及びファイルトランスファ・プロトコル(ftp)ファイルトランスファサービスを含むマルチ・サーバ138と、ドメインネームシステム(dns)サーバ134とを有する。
【0035】
サーバゾーン130の後には、イントラネットのような、会社の私有又は内部ネットワークを保護する内部ファイアウォール150がある。内部ファイアウォール150は3つのインタフェースを有する。第1のインタフェースはサーバゾーン130に対するものである。第2のインタフェースは内部ファイアウォール150をコーポレートネットワークゾーン160に接続し、第3のインタフェースはファイアウォール150をファイアウォール業務管理ゾーン140に接続する。
【0036】
ファイアウォール業務管理ホストの安全保持はネットワークの保全にとって重要であり、他のコーポレートホストから分離する必要がある。コーポレートネットワークゾーン内には概して、別格の1つのホスト(制御ホストと称する)(図示しない)があり、構成のホストは、サーバゾーン130内のサーバに対する業務管理を行う。本実施例においては、各ファイアウォール120、150はそれに付随するパケットフィルタ処理構成ファイル125、155を有する(これらについては下に述べる)。
【0037】
概して、パケットフィルタ処理構成ファイル125、155は、ファイアウォールに特有のルールベースである。多数のファイアウォールを有するマルチ・ファイアウォール環境(図1)においては、種々のファイアウォールが会社のイントラネットを多数のゾーン、例えば、サーバゾーン(非武装地帯)130、ファイアウォール業務管理ゾーン140、及びコーポレートネットワークゾーン160、に分割する。
【0038】
この場合、セキュリティ・ポリシーは一般に、種々のゲートウェイに位置する多数のルールベースによって実現される。したがって、これらのルールベース間の相互動作によって、どのセッションの通過が許されるかが定められる。
【0039】
図1に例示のコーポレートネットワーク環境では、信頼されている内部コーポレートユーザには無制限のアクセスあ提供される一方、外部ユーザは、明白に公衆利用可能とされるコンテンツにのみアクセスが許されるというセキュリティ・ポリシーが用いられる。具体的には、このセキュリティ・ポリシーでは内部コーポレートホストはインターネット上の全ての資源へのアクセスが許される。しかし、外部のホストは、サーバゾーン130内のサーバのみにアクセスできる。
【0040】
詳しくは、コーポレートユーザへの電子メールサービスは、マルチ・サーバ138を介してのみ許され、ドメインネームシステム・サービスは、インターネットにはドメインネーム・サーバによってのみ提供される。加えて、符号134及び138のサーバについての更新は、サーバゾーン130内のサーバに対して業務管理を行うウェブ業務管理ホスト(制御ホスト)(図示しない)によってのみ行われる。他のコーポレートユーザは、非武装地帯(サーバゾーン)のサーバ134、138に関してインターネットホストと同じ特権を有する。
【0041】
最後に、ファイアウォール120、150のインタフェースは、ファイアウォール業務管理ゾーン140のファイアウォール業務管理ホストからのみアクセスが可能である。
【0042】
図1に示すように、本発明ではファイアウォール解析ツール200が提供され、このファイアウォール解析ツールは、下で更に述べるように、関連するパケットフィルタ処理構成ファイル125、155を収集して読み取りを行い、黙示のセキュリティ・ポリシーを内部的表示の形で形成する。ファイアウォール解析ツール200は、「1つ以上の与えられたサービスが1つ以上の与えられたマシンの間で許されるかどうか」のような単純な質問を受け取って評価するためのグラフィカル・ユーザ・インタフェースを提供する。
【0043】
与えられたサービスが複数のサービスからなるサービス群である場合、ユーザは質問を統合することができる(ワイルドカード「可能な全てのサービス」まで)。そして、与えられたマシンは、任意の群数のIPアドレス群である(ワイルドカード「可能な全てのアドレス」まで)。
【0044】
質問を与えられて、ファイアウォール解析ツール200が、ネットワーク環境100のトポロジーを考慮の上、種々のファイアウォールの挙動をシミュレートして、当初の質問に指定されたサービス又はマシンのどの部分がソースから宛先に到達することになるかを計算する。
【0045】
すなわち、ファイアウォール解析ツール200は、サービスの或る1つのサブセット(構成部分)のみが許されるかどうか、又はこれら許されたサービスが、指定されたソース及び宛先ホストグループのサブセットの間でのみ許されるかどうかを定める。
【0046】
本発明の更に別の態様によれば、ファイアウォール解析ツール200はソースのIPアドレスを変更することによって模擬の侵入攻撃をシミュレートすることができる。ファイアウォール解析ツールは、ネットワーク内でパケットを注入すべき位置として、ソースホストグループの真の位置ではないネットワーク内の位置を、ユーザが指定することを許す。ファイアウォール解析ツール200は又、ネットワークアドレス変換(NAT)を行うファイアウォールルールを考慮に入れることもできる。
【0047】
[ファイアウォールの用語及びモデル化概念]
一般に、ファイアウォール構成ツールは、セキュリティ業務管理担当者が種々のホストグループ(IPアドレスをあつめたもの(収集群))及びサービスグループ(プロトコルと、エンドポイントを形成するホストにおける対応するポート番号とのグループ)を定義することを可能にする。単一のルールには一般に、ソース、宛先、サービスグループ及び適切なアクションが含まれる。ソース及び宛先はホストグループであり、アクションは概して、対応するセッションのパケットを通過させるか又は脱落させるかのいずれかの動作の表示である。
【0048】
加えて、このアクションによって、ログ記録の書き方又はネットワークアドレス変換(NAT)の動作を指定される。
【0049】
前に述べたように、ルールベースは、「順序」に対して感度がある。概略的には、ファイアウォールは、ルールベース中の第1のルールが新しいセッションに適用されるかどうかを点検する。もし第1のルールが適用される場合、パケットは第1のルールによって指定されるアクションに基づいて通過又は脱落させられる。もし第1のルールが適用されない場合、ファイアウォールは、ルールベース中の第2のルールが適用されるかどうかを点検し、以下も同様である。
【0050】
本説明において、ゲートウェイは、パケットフィルタ処理マシンであり、ファイアウォール又はルータのいずれかである。普通、ゲートウェイは、多数の連関先(ホーム)を有する。その理由は、ゲートウェイが少なくとも2つのインターネット接続を有するからである。一般に、ゲートウェイは、多数のネットワーク接続を有する。各接続は、インタフェースを介して行われ、このインタフェースはそれ自体の独自のIPアドレスを有する。各インタフェースは、それに付随するパケットフィルタ処理構成ファイル125、155を有する。
【0051】
ゲートウェイは、図1に示すように、IPアドレススペースを、共通の要素を持たないゾーンに分割する。厳密には、ゾーンzは、ゾーン内の2つのアドレスの間で送られたパケットがフィルタ処理ゲートウェイを通らないようなIPアドレスの最大数集合(セット)である。大抵のゾーンは会社のサブネットワークに対応し、通常1つの大きなインターネット110のゾーンが、その会社によって用いられていないIPアドレススペースの部分に対応する。
【0052】
「サービス」とは、tcp又はudpのようなプロトコルベースと、ソース及び宛先の両側におけるポート番号との組み合わせである。例えば、サービステルネット(telnet)は、宛先ポート23とソースポート(どれでも)でtcpとして定義される。サービスグループは単に、サービスの集合(サービス群)である。
【0053】
[ファイアウォール解析ツール]
図2に示すように、ファイアウォール解析ツール200は、ユーザによって書かれたトポロジー定義ファイル210(簡単には、トポロジーファイル)に述べるように(下の「トポロジーファイル」の項で更に説明する)、ネットワークトポロジーの、事例を挙げて裏付けされたモデルを必要とする。図2に示すように、トポロジー定義ファイル210は、モデル定義言語(MDL)の一部(サブセット)を用いて記述される(下の「モデル定義言語」の項で説明する)。
【0054】
図2に示すように、ファイアウォール解析ツール200の質問エンジン240が、図3に関連して下に述べるグラフデータ構造と、図4に関連して下に述べる質問アルゴリズム400との組み合わせを用いる。図2に示すように、質問エンジン240は、ソース及び宛先(両方共ホストグループ)並びにサービスグループからなる、ユーザ220からの質問を入力として取る。
【0055】
本発明の一態様によればファイアウォール解析ツール200は、ネットワーク内の各ルータ及び切換器について知っている必要がなく、又用いられるルート規定に無関係である。概して、本発明においては、与えられたパケットがどの物理的パスに沿っても、もしそれがルート規定によれば許されない場合であっても、移動できるものと仮定する。本発明では、パケットフィルタ処理ルールベースをインストールしたデバイス及びこれらのデバイスが定義するゾーンを考慮する。
【0056】
このレベルの細分性においてはトポロジーは全く安定している。したがって、トポロジーファイル210は、ファイアウォール120、150がネットワーク100内で追加され又は置換された場合にのみ修正すればよい。
【0057】
トポロジー定義ファイル210の一部として、ユーザ220は、ネットワーク環境100内のゲートウェイ120、150のインタフェースの全てに対するルールベースを有するパケットフィルタ処理構成ファイル125、155(以下包括的に、ファイアウォール構成ファイル230と称する)の名称を指定する。
【0058】
トポロジー定義ファイル210を読み取った後、ファイル解析ツール200は、サポートされている変更ファイアウォールの各々に対する個別の「フロントエンド」モニタを用いてこれらのファイアウォール構成ファイルの各々を解析して、各デバイスに対する内部ルールベースデータ構造を設定する。尚、再度注記するが、これらのファイアウォール構成ファイル230は、ベンダ特有であり、対象のデバイスを構成するのに用いられるツールによって形成される。
【0059】
ユーザが、質問の3部構成(サービス、ソース、宛先)の各項目を、例えば、構成ファイルにおいて定義されたホストグループ又はサービスグループ全ての選択を提示するドロップダウン(プルダウン)メニューから選択することによって質問を形成する。
【0060】
[トポロジーのモデル化]
ネットワークトポロジーは、ゲートウェイを介して接続されるゾーン130、140、160にネットワーク環境100を分割することによってモデル化される。各インタフェ−スはそれ自体のIPアドレスを有する(そして或る目的に対するホストと考えられる)か又は、もしファイアウォール120、150がブリッジとして作動する場合には不可視と宣言される(この宣言は例えばキーワード「INVIS」を用いて行われる)。
【0061】
ゾーン130、140、160に対してそのゾーンから出る又はそのゾーンへ入るパケットは、その対応するインタフェース上でゲートウェイ(ファイアウォール)120、150によってフィルタ処理することができる。同じゾーン130、140、160内で送られ、受け取られたパケットは、ゲートウェイ120、150によってフィルタ処理することはできない。その理由は、単にパケットがゲートウェイ120、150を通過しないからである。
【0062】
したがって、ファイアウォール解析ツール200の見通しから、同じゾーン内の2つのホストの間に、全てのフィルタ処理がインタフェースによって行われるパスが存在する。ゾーンはホストグループから構成される。ホストグループは一般に、より小さいホストグループ又は単一のホストの階層に更に再分割される。
【0063】
[トポロジーファイル]
本項では、ネットワーク環境100を記述するのに用いられる、モデル定義言語(MDL)で書かれたトポロジーの完全な作表表示を示す。トポロジーファイルによって、ゲートウェイゾーン・グラフ300を構築するための入力メカニズム(機構)が与えられる。これについては下で更に述べる。第1に、ホストグループが定義される。
【0064】
Figure 0004658340
【0065】
尚、IPアドレスレンジは異なる種々の仕方で指定できる。スラッシュ表記法は、何個の最上位ビットが固定であるかを表示することによってレンジを定義(指定)する。
【0066】
次に、インタフェースが次のよう定義される。
【0067】
Figure 0004658340
【0068】
「NO_GEN」の属性を有するインタフェースは、フィルタ処理を行わない。「INVIS」 の属性を有するインタフェースは、ブリッジとして働くファイアウォールに属するのでIPアドレスを持たない。
【0069】
最後に、ゲートウェイ及びゾーンが定義される。
【0070】
Figure 0004658340
【0071】
[名前付け]
本発明によって用いられるモデルにおいてオブジェクト(ホスト、ホストグループ、サービスグループ)は概して、名前を有する。このことで、ユーザとの対話の際、高レベルの要約が得られる。意味のある名前は生のIPアドレス及びポート番号よりもより多くの表現性がある。ファイアウォール解析ツール200は、可能な範囲まで、これらの名前をベンダ特有の構成ファイルから得る。
【0072】
しかし、各デバイス及びインタフェースが個々独立的に構成されているとの仮定から、名前の衝突(コンフリクト)が存在する。例えば、業務管理担当者が或る1つのゲートウェイのポート80上のtcpを表すのに「http」の名前を定義し、他方、別のゲートウェイ上で業務管理担当者がポート80、8000、及び8080上のtcpを意味するのに同じ名前を用いる。
【0073】
このレベルの名前付けをサポートするために、ファイル解析ツール200は、インタフェースごとに個別の記号テーブル情況(コンテキスト)を維持する。もし同じ名前が異なる情況で異なる意味を持って現れた場合、ファイアウォール解析ツール200はオプションとして、そのドロップダウンメニューに変形版の名前の全てを、インタフェース名を接頭語として付けて示すことができる。そうでない場合、もし変形版の名前が全て同じ場合、名前は1回だけ、接頭語なしに現れることになる。
【0074】
[ルールベース]
コーポレートのネットワーク環境100内にある黙示のセキュリティ・ポリシーは、ベンダ特有のパケットフィルタ処理構成ファイル125、155から導出される。ファイル解析ツール200が、インタフェースに連関するこれらのパケットフィルタ処理構成ファイル125、155の各々を、次に示すレコード構造を含む論理ルールテーブルに変換する(説明の便宜上簡単化してある)。
【0075】
Figure 0004658340
【0076】
実際のセマンティクス(意味論)は異なるベンダ間では差異がある。本実施例においては、次の例示セマンティクスが利用される。パケットがフィルタ処理されると、リスト内のルールがその順序の順に点検され、合致が生じるまで点検が継続される。ソース、宛先、及びサービスグループ(service_grp) フィールドが、パケット内の対応するフィールドと対比される。
【0077】
「方向」が、このインタフェースが位置するゲートウェイ120、150に入るパケット(IN)に適用されるのか又はゲートウェイ120、150を離れる(出る)パケット(OUT)に適用されるのかを指定する(すなわち、ルールはゲートウェイ中心である)。ワイルドカードの方向(BOTH)は、ルールが両方向に適用されることを表す。もし合致が生じると、対応するアクション(脱落又は通過)が行われる。
【0078】
内部ルールベーステーブルは又、ネットワークアドレス変換(NAT)を行うルールをサポートする。したがってルール構造はいくつか追加フィールドを有する。
【0079】
[質問]
ファイル解析ツール200における中心オブジェクトは、質問である。質問はソースホストグループ、宛先ホストグループ、及びサービスグループからなる3部構成である。このような質問のセマンティクスは、ソースホストグループ内のどのIPアドレスがサービスグループから宛先ホストグループ内のどのIPアドレスにサービスを送ることができるのかということである。質問は次に示すデータ構造によって記述される。
【0080】
Figure 0004658340
【0081】
尚、再度注記するが、ホストグループ及びサービスグループはワイルドカードである。すなわち、質問の3部構成の要素のどれでも、「どれでも」を意味する"*" 印のワイルドカードであり得る。したがって、「どのマシンが会社のウェブサーバを使うことができるか」の質問は、形態(*, web_servers, http_services) を有する3部構成の質問によって表すことができる。但し、ホストグループ(web_servers) 及びサービスグループ(http_services) が定義されたと仮定する。
【0082】
一般に、質問によって記述されるパケットの全てが宛先に到達できるわけではない。種々ののルールベースの動作を経る際に或るパケットは脱落する。したがって、ファイル解析ツール200は、このような質問に、細かくした「サブ質問」のリスト、すなわち、各要素が、本来の質問3部構成内の対応する要素の一部分(サブセット)であるような3部構成質問のリスト、で回答することになる。
【0083】
この回答のセマンティクスは、各サブセット3部構成について、対応するソースホストグループがサービスを宛先ホストグループに実際に送ることができることである。
【0084】
[ゲートウェイゾーン・グラフ]
ファイル解析ツール200は、ネットワークトポロジーを表すのにグラフデータ構造を利用する。図3は、図1のネットワーク環境に対するゲートウェイゾーン・グラフ300を例示する。ゲートウェイゾーン・グラフ300は、エッジ321〜325によって相互接続されたいくつかのノード311〜316からなる。グラフ理論原理に基づくゲートウェイゾーン・グラフ300の生成の詳細説明については、文献(例えば、T. H. Cormen et al., Introduction to Algorithms, 463-630 (MIT Press, 1989))を参照されたい。
【0085】
図3に示す例示のゲートウェイゾーン・グラフ300は次の標準表記法を利用する。三角形記号"△"はネットワーク環境100内のゲートウェイ120、150を表し、矩形記号"□"はネットワーク環境100内のゾーン110、130、140、160を表す。もし2つのノード311〜316の間に物理的接続がある場合には、これら2つのノードの間にはエッジ321〜325がある。
【0086】
概して、ゲートウェイゾーン・グラフ300は、与えられたパケットがネットワーク環境100内のどこを移動することになるか、そしてこれらのパス沿いにどのゲートウェイにパケットが遭遇するか、をファイル解析ツール200が定めるのを可能にする。
【0087】
この目的のため、内部モデルは次の補助グラフを有する。本説明においては、ゲートウェイゾーン・グラフ300は、その頂点がゲートウェイGの集合(セット)とゾーンZの集合とからなる2連グラフH=((G∪Z),I) として定義される。インタフェースIの集合はエッジを形成する。すなわち、もしgがその隣接ゾーンがzであるインタフェースiを有する場合そしてその場合にのみ、Hは、ゲートウェイg∈Gをゾーンz∈Zに接続するエッジi=(g,z) を有する。
【0088】
ゲートウェイゾーン・グラフ300の頂点は、次に示す構造を用いて実現される。
【0089】
Figure 0004658340
【0090】
各ゲートウェイ及びゾーンに対してノードが1つある。種類(type)フィールドは、ゲートウェイ又はゾーンが与えられたノードによって表されるかどうかを示す。「hg」フィールドはノードに含まれるIPレンジを示す。ゾーンノードに対して、「hg」はゾーンのホストグループからこのゾーンに隣接するインタフェースのIPアドレスを差し引いたものである。ゲートウェイノードに対して、「hg」はゲートウェイに取り付けられたインタフェースのIPアドレスの集合である。ノード構造内の「q」 フィールドは、下で述べるように、質問の処理に用いられる。
【0091】
[質問エンジンアルゴリズム]
ファイル解析ツール200の質問エンジンは、図3に関して上に述べたグラフデータ構造と、図4に関して下で述べる質問アルゴリズム400に含まれるルールベースシミュレータとの組み合わせを用いる。図2に示すように、質問エンジン240は、ソース及び宛先(両方共ホストグループ)並びにサービスグループからなる、ユーザ220からの質問を入力として取る。質問エンジンはそれから、質問によって記述されたパケット全ての挙動を、パケットがネットワーク内を移動する間にシミュレートする。
【0092】
図4は、図2のファイル解析ツール200によって行われる例示の質問エンジンアルゴリズム400を説明する流れ図である。図4に示すように、ステップ410の間にユーザ質問が受け取られ、ステップ420の間に、この質問が先ず、ソースホストグループを含むゲートウェイゾーン・グラフ内のノードに添付される。
【0093】
ワイルドカード"*" が用いられたときにもしソースホストグループが例えば単一のゾーンに含まれていない場合、ソースホストグループはステップ420の間に、各々が1つのゾーンに含まれる互いに素のホストグループに分解される。
【0094】
それからステップ430の間に、各ソースホストグループを求めて個別のグラフ探索(サーチ)が行われる。概してグラフサーチは、グラフサーチで遭遇するゲートウェイゾーン・グラフ300内の各ゲートウェイノードについて、上記の各ルールベースオブジェクトと対照して質問オブジェクトを評価する。
【0095】
それからステップ440の間に、質問エンジンアルゴリズムが、現ノードに接続する全てのエッジにわたって質問を伝搬させようと試みる。質問エンジンアルゴリズムは、グラフ全体をサーチし終わるまで、この仕方で質問の伝搬を継続する。プログラム制御がステップ460の間に終了する前に、ステップ450の間に質問を満足させる全ての3部構成項目が特定される。
【0096】
質問エンジンアルゴリズムの基本ステップは、ファイアウォール・インタフェースを意味するゲートウェイゾーン・グラフ300内のエッジに質問を伝搬させることである。これは、質問によって記述されるパケットについてのインタフェースに添付されているルールベースの効果をモデル化するものである。一般に、質問のいくつかの部分のみしか、与えられたエッジを通過できない。その理由は、パケットのうちインタフェースによって脱落するものがあるからである。
【0097】
したがって、1つのエッジを通過後、質問は、通過を許されるであろうパケットのみを表す、より細かい質問の集合に分解する必要がある。例えば、本来の質問は(corporate_net, internet, *)だったが、ルールベースは、外行のhttp及びsmtpサービスしか許さない。したがって、このエッジの他方側に到達する質問集合は今や(corporate_net, internet, tcp)、(corporate_net, internet, smtp) である。
【0098】
尚、質問が、或るノードでは1回よりも多く到来し、他方、別のノードでは全く到来しない、その理由は、質問エンジンアルゴリズム400が、質問がネットワーク環境100を通して取り得る、考えられる全てのパスにわたって逆探知し、質問の或る部分が脱落せずに残っている限りこの探知を続けるからである。
【0099】
もし質問がノードv(ゾーン又はゲートウェイ)にいくつかの異なるパスを経由して到達した場合、ノードvに添付される新しい質問は、これら考えられるパスの各々を介してノードvに到達した結果状態としての質問を合体させたものである。1つの変化例では、もし既に他のパスでは通過を許されなかった新しいパケットが通過を許されないであろうことが明確な場合には、複数のパスにわたる調査を行わないようにサーチを最適化することができる。
【0100】
質問処理の最終段階は、ステップ450の間に結果を収集することである。これは単に、宛先ホストグループを含むノードをよく見て正しい宛先に到達した質問を取り出すことである。
【0101】
最悪の事例(ケース)では、質問エンジンアルゴリズム400の複雑性がゲートウェイゾーン・グラフ300のサイズにおいて指数関数的である。しかし、この最悪のケースは非常に密なグラフでしか生じない。一般的なゲートウェイゾーン・グラフ300は混み方が非常に希薄である。その理由は、ファイアウォール120、150が普通、ネットワーク内の戦略的要衝に配置され、又最も一般的なケースのゲートウェイゾーン・グラフのトポロジーが樹木であるためである。
【0102】
樹木トポロジーでは、アルゴリズムは本質的に「深さ第一」サーチである。すなわち、グラフのサイズにおいて線形である。更に、ファイアウォールによって隔てられたゾーンのみがモデル化されるので、ゲートウェイゾーン・グラフは極めて小さくなりやすい。
【0103】
[模擬]
基本アルゴリズムを少し拡張することにより、模擬の侵入攻撃のテストが可能になる。質問を定義するソース、宛先、及びサービスのパラメータに加えて、パケットがそこから発起する「真のソース」を指定するオプションとしての第4のパラメータが追加される。この第4のパラメータが定義されると、本来のソースホストグループはパケット内にある贋のソースアドレスと理解される。
【0104】
すると質問は、上記の仕方で処理することが可能であるが、但し、変更点として、アルゴリズムは処理を贋ソースアドレスを含むノードから開始するのではなく真のソースを含むノードから開始する。
【0105】
[例]
「コーポレートゾーンと非武装地帯(サーバゾーン)との間で何のサービスが許されるか?」という質問を考える。結果は図5に示すとおりで、ファイアウォール構成がこの点で正しく行われたことを反映する。サービスはコーポレートゾーンの全てのホストに利用可能であるが、制御ホストのみがサーバへのtcp接続を開くことができる。
【0106】
加えて、注記したいのは、ホスト及びサービスグループの名前のみが表示され、より詳細な部分(実際のIPアドレス及びポート番号のような)は、エントリを拡大することによって(オプションとしてマウスクリックを介して)利用可能である。
【0107】
別の例で、「インターネット110は内部ネットワーク(ゾーン)130、140、150にどれだけ多くのアクセスを有するか?」という質問を考える。その結果を図6に示す。結果表示の最初の5行は、インターネット110上のどのホストもサーバゾーン130上のサーバへのアクセスに何らかの制約を受けることを示す。更に、ファイアウォール解析ツール200の観点からはインターネット110のゾーンのどのホストもインターネット110のゾーンの他のどのホストとも会話することができ、このことが表示の第3行を説明している。
【0108】
しかし、最後の行はセキュリティ・ポリシー実現に際しての弱点を表示している。この行は、インターネット110上のどのホストも外部ゲートウェイの内部インタフェースとのサービスを潜在的に開設できることを表している。トポロジーファイルを調査すると次の問題が明らかになる。すなわち、「外部インタフェース(I_internet_dmz)は、いかなるフィルタ処理も行わなず、一旦パケットがゲートウェイを通って入ると、パケットがフィルタ処理なしに他方のインタフェースと会話できる」という問題である。
【0109】
このバルネラビリティを解決する、より細心の手法は、ルールベースを内部インタフェースでなく外部インタフェースに添付することである。
【0110】
別の例で、侵入攻撃の模擬行為の調査の仕方を説明する。最も敏感なホストは多分、ファイアウォール業務管理ゾーン140である。したがって、インターネットホストは、たとえそれが模擬行為の場合であっても、ファイアウォール業務管理ゾーン140に到達できるようであってはならない。この禁止を行うために、実際のソースがインターネット110のゾーンであるように設定され、与えられるソース(模擬アドレス)は任意である。その結果を図7に示す。
【0111】
結果が示す「漏れ」は実は、前の質問において見られる同じ問題の結果である。インターネットホストは、インタフェース(I_dmz_in)のソースアドレスを有するメッセージを生成できる。外部インタフェースではフィルタ処理は行われず、一旦内部に入ると、パケットは(I_dmz_in)というインタフェースそれ自体から発起されたかのように考えられ、ルールのうちの1つに合致することからこのパケットは通過させられてしまう。
【0112】
本発明の質問/回答メカニズムを更に拡張した場合には、質問についての追加情報が与えられる。例えば、質問の結果が「どのインタフェースにおけるどのルールが、或る特定のパケットの通過又は脱落をもたらしたか」を示すことが可能である。このような情報を図で表して、パケットがソースから宛先又はでの間に取るパスを示すことができる。
【0113】
本発明の質問/回答メカニズムの別の拡張によれば、ファイアウォール解析ツール200を強化して、例えばゾーンを「内部」又は「外部」と定義することによってトポロジーに無関係な質問を可能化できる。もしファイアウォール解析ツール200がファイルから質問を読み込むことができれば、ユーザは専門家によって生成された質問を用いて、ネットワークを或る基本的な非保安性(保安のよくない状態)に関してテストすることが可能になる。
【0114】
専門家の質問は、周知の保安のよくないポート又はサービスを対象にしていて、これらのポートの外部ゾーンからのアクセス可能性を点検できる。新しいバルネラビリティが知られるにつれて、CERT(米国のコンピュータ緊急状態対応組織)のような組織が、更新された質問ファイルをダウンロード用にそれら組織のウェブサイト上で利用可能にすることができる。
【0115】
[モデル定義言語]
米国特許出願(Application Serial Number 09/240,934, filed January 29, 1999)(本発明の被譲渡人に譲渡)に述べられているように、セキュリティ・ポリシーを事例を挙げて裏付けするために、そしてそのポリシーをトポロジー上にマッピングするために、モデル定義言語(MDL)が用いられる。解析システムがモデル定義言語プログラムを一例のエンティティ関係モデルに変換する。モデルは、対応するデータ構造によって表される。
【0116】
<<セキュリティ・ポリシー記述のためのモデル定義言語>>
サービスが次に示す形式のステートメントによって定義される。
Figure 0004658340
【0117】
例えば、次に示すコード・フラグメント(断片)が、広く用いられているsmtp、ssh、ping、httpsの諸サービス、及びtcp に基づく全てのパケットを表示するサービスを定義する。
【0118】
Figure 0004658340
【0119】
これらのサービスは、次に示す形式のステートメントによってサービスグループ(ServiceGrp)の形にグループ化される。
<service-grp-name> ={<service-name1>,<service-name2> ...}
【0120】
次に示すコード・フラグメントが2つのサービスグループ(admin-to-gtwy) 及び(gtwy-to-admin) を定義する。
Figure 0004658340
【0121】
次に示す形式のステートメントによって役割(role) が定義され、そこでは矢印(arrow) が明瞭な仕方で方向属性を定義し、role-grp-name がピアを指し、srv-grp-nameがservice-group を指す。
Figure 0004658340
【0122】
次に示すコード・フラグメントが、上に述べたmail_server、及びinternal_mail_server という役割を定義する。
【0123】
Figure 0004658340
【0124】
役割が、次に示すステートメントによって、開いた(デフォルトで)役割グループ(role group)325の形にグループ化される。
<role-grp-name> ={<role-name1>,<role-name2> ...}
役割が、次に示すステートメントによって、閉じた役割グループの形にグループ化される。
<role-grp-name> = << <role-name1>,<role-name2> ...>>
【0125】
次に示すコード・フラグメントが、役割グループ(role-group)及びゲートウェイ(gateway) を定義し、単方向ゲートウェイの役割を1つの役割グループ内にバンドルする。
Figure 0004658340
【0126】
<<トポロジー記述及びポリシーマッピングのためのモデル定義言語>>
ホスト及びホストグループが次に示すステートメントによって定義される。
<host-name> = [ <IP-Addr>]:<role-grp-name>
<host-grp-name> = [ <IP-Range>]:<role-grp-name>
【0127】
次に示すコード・フラグメントが、ダーティ・ホスト(firty host)(多分、イントラネットの外部に位置する)及びダスティ・ホスト(dusty host)を定義し、これらのホストに外部メールサーバ及び内部メールサーバの役割をそれぞれ割り当てる。
Figure 0004658340
【0128】
ゲートウェイが次に示すステートメントによって定義される。
<gateway-name> ={<host-name1>,<host-name2> ...}
【0129】
次に示すコード・フラグメントが、payroll_gw_interface1/2 をホストとして定義し、それらのIPアドレスを指定し、それからゲートウェイpayroll_gwを、その2つのインタフェースとしてpayroll_gw_interface 1/2を有するものとして定義する。コード・フラグメントは又、役割グループ、ゲートウェイをインタフェースに割り当てる。
【0130】
Figure 0004658340
【0131】
ゾーンは、次に示すステートメントによって定義される。
<zone-name> :{<gtwy-interface-name1>,<gtwy-interface-name2> ...}
【0132】
次に示すコード・フラグメントが、payroll_zone及びcorp_zone (イントラネットmanhattan_officeの数部分)をホストグループとして定義し、それらのIPレンジを指定し、それからpayroll_zoneを、payroll_gw_interface1 によってpayroll_gwに接続されるものとして指定することによって又payroll_gw_interface2 をcorp_zone に接続されるものとして指定することによって、ネットワークトポロジーの数部分を定義する。
【0133】
Figure 0004658340
【0134】
以上の説明は、本発明の一実施例に関するもので、この技術分野の当業者であれば、本発明の種々の変形例を考え得るが、それらはいずれも本発明の技術的範囲に包含される。
尚、特許請求の範囲に記載した参照番号は発明の容易な理解のためで、その技術的範囲を制限するよう解釈されるべきではない。
【0135】
【発明の効果】
以上述べたごとく、本発明によれば、ネットワークのファイアウォール(ゲートウェイ)のセキュリティ・ポリシーの解析に用いられる、利用性及び効率の大幅に増大した解析ツールが得られる。
じれにより、大域的ファイアウォール・ポリシーを発見して解析することができる。ネットワークトポロジーを最小の記述のみ用いるだけで、ベンダ特有で低レベルの種々の構成ファイルを直接解析することができる。更に、適切な要約レベルで行われる質疑応答セッションを通してユーザと対話する処理が可能である。このようにファイアウォールの解析処理効率が改善される。
【図面の簡単な説明】
【図1】本発明に基づくネットワーク環境の例を示す説明図である。
【図2】図1のファイアウォール解析ツールの構成要素を示す説明図である。
【図3】図1のネットワーク環境のゲートウェイゾーン・グラフを示す説明図である。
【図4】図2のファイアウォール解析ツールによって行われる質問エンジン・アルゴリズムの例を記述する流れ図である。
【図5】ユーザの質問を受け取って結果を提供するために図2のファイアウォール解析ツールが用いる例示のグラフィカル・ユーザ・インタフェースの画面である。
【図6】ユーザの質問を受け取って結果を提供するために図2のファイアウォール解析ツールが用いる例示のグラフィカル・ユーザ・インタフェースの画面である。
【図7】ユーザの質問を受け取って結果を提供するために図2のファイアウォール解析ツールが用いる例示のグラフィカル・ユーザ・インタフェースの画面である。
【符号の説明】
100 ネットワーク環境
110 インターネット
120 外部ファイアウォール
125 パケットフィルタ処理構成ファイル
130 サーバゾーン
134 ドメインネーム・サーバ(dns)
138 マルチ・サーバ
140 ファイアウォール業務管理ゾーン
150 内部ファイアウォール
155 パケットフィルタ処理構成ファイル
160 コーポレートネットワークゾーン
200 ファイアウォール解析ツール
210 ネットワークトポロジー定義ファイル
220 ユーザ
230 ファイアウォール構成ファイル
240 質問エンジン
250 グラフアルゴリズム
300 ゲートウェイゾーン・グラフ
311、312、313、314、315、316 ノード
321、322、323、324、325 エッジ
400 質問アルゴリズム

Claims (10)

  1. ネットワーク(100)内の少なくとも1つのゲートウェイ(120、150)を解析する方法であって、当該少なくとも1つのゲートウェイ(120、150)が、複数のルールを含むパケットフィルタ処理構成ファイル(125、155)を有し、当該ネットワークが、複数のアドレスを有するような、ネットワーク内のゲートウェイを解析する方法において、当該方法が、
    (a) 当該ネットワークを該パケットフィルタ処理構成ファイル(125、155)に基づいてモデル化するゲートウェイゾーン・グラフを生成するステップであって、当該ゲートウェイゾーン・グラフが、当該少なくとも1つのゲートウェイ(120、150)に対応する少なくとも1つのゲートウェイノード(312、315)と、少なくとも2つのゾーンノード(311、313、314、316)とを有し、当該少なくとも1つのゲートウェイが、パケットフィルタ処理マシンであり、当該ゾーンノードが各々、当該少なくとも1つのゲートウェイによって形成された当該アドレスの区分された収集群に対応するような、生成するステップ;と、
    (b) 1つ以上の与えられたサービスが少なくとも1つのソースアドレスと少なくとも1つの宛先アドレスとの間で許されるかどうかを問い合わせる質問を受け取るステップ;と、
    (c) 当該少なくとも1つのソースアドレスと当該少なくとも1つの宛先アドレスとの間で遭遇する当該ゲートウェイゾーン・グラフ内の各ゲートウェイノードに連関する各ルールと対照して当該質問を評価するステップ;と、からなることを特徴とする、ネットワーク内のゲートウェイ解析方法。
  2. 該ルールが、ルールベースのオブジェクトとして表示されることを特徴とする請求項1の方法。
  3. 該ゲートウェイゾーン・グラフが、ネットワークトポロジーファイル(210)から導出されることを特徴とする請求項1の方法。
  4. 該質問が、該サービス、ソースアドレス、又は宛先アドレスの少なくとも1つに対するワイルドカードを含むことを特徴とする請求項1の方法。
  5. 該方法が更に、
    (d1) 該1つ以上の与えられたサービスのうち、少なくとも1つのソースアドレスと少なくとも1つの宛先アドレスとの間で許されるサービス部分を定めるステップ;からなることを特徴とする請求項1の方法。
  6. 該方法が更に、
    (d2) 該パケットフィルタ処理構成ファイルを、該評価するステップの間に処理される論理ルールのテーブルに変形するステップ;からなることを特徴とする請求項1の方法。
  7. 該質問が、ソースホストグループ、宛先ホストグループ、及びサービスホストグループからなることを特徴とする請求項1の方法。
  8. 該質問が、該ネットワーク内にパケットが挿入されるべき位置であってソースアドレスとは異なる位置、を指定することを特徴とする請求項1の方法。
  9. 複数のゲートウェイデバイス(120、150)を有するネットワーク(100)をモデル化する、ネットワークモデル化方法であって
    (aa) 当該ネットワーク内の当該ゲートウェイデバイスであってパケットフィルタ処理ルールベースを有する各ゲートウェイデバイス、及び当該ゲートウェイデバイスによって定義される当該ネットワーク内の各ゾーン(110、130、140、160)を特定するステップ;と、
    (bb) 該パケットフィルタ処理ルールベースに基づいて当該ネットワークをモデル化するゲートウェイゾーン・グラフを生成するステップであって、当該ゲートウェイゾーン・グラフが、当該ゲートウェイデバイス(120、150)の各々に対応するゲートウェイノード(312、315)と当該ゾーンの各々に対応するゾーンノード(311、313、314、316)とを有するような、生成するステップ;とからなることを特徴とする、ネットワークモデル化方法。
  10. 該方法が更に、
    (cc) 該パケットフィルタ処理ルールベースを、論理ルールのテーブルに変形するステップ;からなることを特徴とする請求項9の方法。
JP2001009751A 2000-01-18 2001-01-18 ネットワークゲートウェイの解析方法及び装置 Expired - Lifetime JP4658340B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/483876 2000-01-18
US09/483,876 US7016980B1 (en) 2000-01-18 2000-01-18 Method and apparatus for analyzing one or more firewalls

Publications (3)

Publication Number Publication Date
JP2001237895A JP2001237895A (ja) 2001-08-31
JP2001237895A5 JP2001237895A5 (ja) 2008-03-13
JP4658340B2 true JP4658340B2 (ja) 2011-03-23

Family

ID=23921853

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001009751A Expired - Lifetime JP4658340B2 (ja) 2000-01-18 2001-01-18 ネットワークゲートウェイの解析方法及び装置

Country Status (5)

Country Link
US (1) US7016980B1 (ja)
EP (1) EP1119151B1 (ja)
JP (1) JP4658340B2 (ja)
CA (1) CA2328012C (ja)
DE (1) DE60111089T2 (ja)

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
CA2296989C (en) 1999-01-29 2005-10-25 Lucent Technologies Inc. A method and apparatus for managing a firewall
JP4236364B2 (ja) * 2000-04-04 2009-03-11 富士通株式会社 通信データ中継装置
US7284267B1 (en) * 2001-03-08 2007-10-16 Mcafee, Inc. Automatically configuring a computer firewall based on network connection
US7150037B2 (en) * 2001-03-21 2006-12-12 Intelliden, Inc. Network configuration manager
US8135815B2 (en) * 2001-03-27 2012-03-13 Redseal Systems, Inc. Method and apparatus for network wide policy-based analysis of configurations of devices
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
US20030110379A1 (en) 2001-12-07 2003-06-12 Tatu Ylonen Application gateway system, and method for maintaining security in a packet-switched information network
US7953087B1 (en) * 2001-12-28 2011-05-31 The Directv Group, Inc. Content filtering using static source routes
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7237258B1 (en) 2002-02-08 2007-06-26 Mcafee, Inc. System, method and computer program product for a firewall summary interface
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US7036119B1 (en) * 2002-07-15 2006-04-25 Cisco Technology, Inc. Method and apparatus for creating a network topograph that includes all select objects that are in a network
FI20021407A (fi) * 2002-07-24 2004-01-25 Tycho Technologies Oy Tietoliikenteen suodattaminen
US7472421B2 (en) * 2002-09-30 2008-12-30 Electronic Data Systems Corporation Computer model of security risks
US8359650B2 (en) * 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
US8407798B1 (en) 2002-10-01 2013-03-26 Skybox Secutiry Inc. Method for simulation aided security event management
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US20050125697A1 (en) * 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
US7188164B1 (en) * 2003-02-11 2007-03-06 Cyber Operations, Llc Secure network access control
US7447622B2 (en) * 2003-04-01 2008-11-04 Microsoft Corporation Flexible network simulation tools and related methods
JP3802004B2 (ja) * 2003-04-18 2006-07-26 日本電信電話株式会社 ファイアウォール検査システム、ファイアウォール検査方法、ファイアウォール検査用プログラム、及びファイアウォール検査用記録媒体
US20040223486A1 (en) * 2003-05-07 2004-11-11 Jan Pachl Communication path analysis
CA2467603A1 (en) * 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
US8677496B2 (en) * 2004-07-15 2014-03-18 AlgoSec Systems Ltd. Method and apparatus for automatic risk assessment of a firewall configuration
US20060041936A1 (en) 2004-08-19 2006-02-23 International Business Machines Corporation Method and apparatus for graphical presentation of firewall security policy
JP4843499B2 (ja) * 2004-10-12 2011-12-21 富士通株式会社 制御プログラム、制御方法及び制御装置
JPWO2006049072A1 (ja) * 2004-11-04 2008-05-29 日本電気株式会社 ファイアウォール検査システムおよびファイアウォール情報抽出システム
US7937755B1 (en) * 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
DE102006014793A1 (de) * 2006-03-29 2007-10-04 Siemens Ag Sicherheitsanalysator eines Kommunikationsnetzes
US8122492B2 (en) 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
EP1933519A1 (en) * 2006-12-12 2008-06-18 Koninklijke KPN N.V. Streaming media service for mobile telephones
US8584227B2 (en) * 2007-05-09 2013-11-12 Microsoft Corporation Firewall with policy hints
US8839345B2 (en) * 2008-03-17 2014-09-16 International Business Machines Corporation Method for discovering a security policy
US8060707B2 (en) * 2008-05-22 2011-11-15 International Business Machines Corporation Minimization of read response time
US9253038B2 (en) * 2008-08-08 2016-02-02 Hewlett-Packard Development Company, L.P. End-to-end network access analysis
JP5258676B2 (ja) * 2009-06-12 2013-08-07 Kddi株式会社 ファイアウォールにおけるルール情報変更方法、管理装置及びプログラム
US8934495B1 (en) * 2009-07-31 2015-01-13 Anue Systems, Inc. Filtering path view graphical user interfaces and related systems and methods
US8098677B1 (en) 2009-07-31 2012-01-17 Anue Systems, Inc. Superset packet forwarding for overlapping filters and related systems and methods
US8018943B1 (en) 2009-07-31 2011-09-13 Anue Systems, Inc. Automatic filter overlap processing and related systems and methods
US8955128B1 (en) 2011-07-27 2015-02-10 Francesco Trama Systems and methods for selectively regulating network traffic
US9537891B1 (en) * 2011-09-27 2017-01-03 Palo Alto Networks, Inc. Policy enforcement based on dynamically attribute-based matched network objects
US8930529B1 (en) 2011-09-27 2015-01-06 Palo Alto Networks, Inc. Policy enforcement with dynamic address object
US9047109B1 (en) 2012-06-20 2015-06-02 Palo Alto Networks, Inc. Policy enforcement in virtualized environment
EP2717516A1 (en) * 2012-10-04 2014-04-09 Thomson Licensing Method of protection of data shared between local area network devices and apparatus implementing the method
EP2782311A1 (en) * 2013-03-18 2014-09-24 British Telecommunications public limited company Methods of testing a firewall, and apparatus therefor
US9443075B2 (en) * 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
EP3066607B1 (en) * 2013-11-04 2018-12-12 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
US9467385B2 (en) 2014-05-29 2016-10-11 Anue Systems, Inc. Cloud-based network tool optimizers for server cloud networks
US9781044B2 (en) 2014-07-16 2017-10-03 Anue Systems, Inc. Automated discovery and forwarding of relevant network traffic with respect to newly connected network tools for network tool optimizers
US10050847B2 (en) 2014-09-30 2018-08-14 Keysight Technologies Singapore (Holdings) Pte Ltd Selective scanning of network packet traffic using cloud-based virtual machine tool platforms
US10419295B1 (en) * 2014-10-03 2019-09-17 Amdocs Development Limited System, method, and computer program for automatically generating communication device metadata definitions
US11032138B2 (en) * 2014-10-22 2021-06-08 Level 3 Communications, Llc Managing traffic control in a network mitigating DDOS
US9692727B2 (en) * 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
JP6476853B2 (ja) * 2014-12-26 2019-03-06 富士通株式会社 ネットワーク監視システム及び方法
US9992134B2 (en) 2015-05-27 2018-06-05 Keysight Technologies Singapore (Holdings) Pte Ltd Systems and methods to forward packets not passed by criteria-based filters in packet forwarding systems
US10652112B2 (en) 2015-10-02 2020-05-12 Keysight Technologies Singapore (Sales) Pte. Ltd. Network traffic pre-classification within VM platforms in virtual processing environments
US10116528B2 (en) 2015-10-02 2018-10-30 Keysight Technologies Singapore (Holdings) Ptd Ltd Direct network traffic monitoring within VM platforms in virtual processing environments
US10142212B2 (en) 2015-10-26 2018-11-27 Keysight Technologies Singapore (Holdings) Pte Ltd On demand packet traffic monitoring for network packet communications within virtual processing environments
US10594656B2 (en) * 2015-11-17 2020-03-17 Zscaler, Inc. Multi-tenant cloud-based firewall systems and methods
JP2018019207A (ja) * 2016-07-27 2018-02-01 富士ゼロックス株式会社 連携管理装置及び通信システム
US10778722B2 (en) * 2016-11-08 2020-09-15 Massachusetts Institute Of Technology Dynamic flow system
CA3044909C (en) 2016-11-25 2023-06-27 Cybernetiq, Inc. Computer network security configuration visualization and control system
US10911403B1 (en) * 2017-09-25 2021-02-02 Rockwell Collins, Inc. Systems and methods for secured maintenance gateway
US11102072B2 (en) 2019-04-19 2021-08-24 Bmc Software, Inc. Synthetic objects in service models
CN111193744B (zh) * 2019-12-31 2022-03-15 中信百信银行股份有限公司 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质
CN112738032B (zh) * 2020-12-17 2022-10-11 公安部第三研究所 一种用于防ip欺骗的通讯系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11168511A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc パケット検証方法
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
JP2000253066A (ja) * 1999-01-29 2000-09-14 Lucent Technol Inc ファイアウォールを管理するための方法および装置
JP2005065305A (ja) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc ポリシーベースのネットワークアーキテクチャ

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5146560A (en) * 1988-05-31 1992-09-08 Digital Equipment Corporation Apparatus for processing bit streams
US5490252A (en) * 1992-09-30 1996-02-06 Bay Networks Group, Inc. System having central processor for transmitting generic packets to another processor to be altered and transmitting altered packets back to central processor for routing
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5726979A (en) 1996-02-22 1998-03-10 Mci Corporation Network management system
US5845081A (en) 1996-09-03 1998-12-01 Sun Microsystems, Inc. Using objects to discover network information about a remote network having a different network protocol
US6453419B1 (en) * 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6298445B1 (en) * 1998-04-30 2001-10-02 Netect, Ltd. Computer security

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
JP2002507295A (ja) * 1997-05-29 2002-03-05 3コム コーポレイション 多層型ファイアウオールシステム
JPH11168511A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc パケット検証方法
JP2000253066A (ja) * 1999-01-29 2000-09-14 Lucent Technol Inc ファイアウォールを管理するための方法および装置
JP2005065305A (ja) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc ポリシーベースのネットワークアーキテクチャ

Also Published As

Publication number Publication date
JP2001237895A (ja) 2001-08-31
DE60111089T2 (de) 2006-05-04
CA2328012A1 (en) 2001-07-18
EP1119151A3 (en) 2004-01-21
EP1119151A2 (en) 2001-07-25
CA2328012C (en) 2007-05-15
DE60111089D1 (de) 2005-07-07
US7016980B1 (en) 2006-03-21
EP1119151B1 (en) 2005-06-01

Similar Documents

Publication Publication Date Title
JP4658340B2 (ja) ネットワークゲートウェイの解析方法及び装置
US8549650B2 (en) System and method for three-dimensional visualization of vulnerability and asset data
US8135815B2 (en) Method and apparatus for network wide policy-based analysis of configurations of devices
US8176561B1 (en) Assessing network security risk using best practices
US7003562B2 (en) Method and apparatus for network wide policy-based analysis of configurations of devices
Mayer et al. Offline firewall analysis
JP6419967B2 (ja) ネットワーク管理のためのシステムおよび方法
US8701177B2 (en) Method and apparatus for graphical presentation of firewall security policy
Williams et al. An interactive attack graph cascade and reachability display
US7143439B2 (en) Efficient evaluation of rules
US6871284B2 (en) Credential/condition assertion verification optimization
US20040039942A1 (en) Policy generator tool
US20040015579A1 (en) Method and apparatus for enterprise management
US20020091942A1 (en) Automated generation of an english language representation of a formal network security policy
US20040042470A1 (en) Method and apparatus for rate limiting
US20080198856A1 (en) Systems and methods for modifying network map attributes
Adão et al. Mignis: A semantic based tool for firewall configuration
Yurcik Visualizing NetFlows for Security at Line Speed: The SIFT Tool Suite.
CN106060040B (zh) 企业网络访问控制方法及装置
Arvind et al. Network traffic virtualization using wireshark and google maps
Wong On the usability of firewall configuration
Geng et al. Usable firewall configuration
Chao et al. Towards a Usable Anomaly Diagnosis System among Internet Firewalls’ Rules
Marmorstein et al. An Open Source Solution for Testing NAT'd and Nested iptables Firewalls.
Yates A System for Characterising Internet Background Radiation

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080118

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100524

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100824

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100827

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101124

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20101124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101224

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140107

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4658340

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term