JP4720363B2 - フィルタリング装置 - Google Patents
フィルタリング装置 Download PDFInfo
- Publication number
- JP4720363B2 JP4720363B2 JP2005239196A JP2005239196A JP4720363B2 JP 4720363 B2 JP4720363 B2 JP 4720363B2 JP 2005239196 A JP2005239196 A JP 2005239196A JP 2005239196 A JP2005239196 A JP 2005239196A JP 4720363 B2 JP4720363 B2 JP 4720363B2
- Authority
- JP
- Japan
- Prior art keywords
- filtering
- data
- local device
- information
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークのパケットフィルタリングを行うフィルタリング装置に関するものである。
ネットワークのセキュリティ対策の一つとして、MACアドレスに基づくフィルタリングを用いた不正アクセス防止システムが提供されている(例えば特許文献1)。
このようなシステムでは、フィルタリング装置のフィルタリングテーブルに、通信を許可するローカル機器(端末機器)のMACアドレスを手入力で登録していた。
一方、ユーザーから入力された機器名称、アドレス、機器種別を記録するアドレステーブルの内容に基づいてフィルタリングテーブルを自動設定する方式も提案されている(特許文献2)。
特開平10−271154号公報(段落番号0070)
特開2003−348116号公報(公報第1頁左欄の解決手段)
特許文献1に開示されているMACアドレスのフィルタリングを行う場合、12桁の数字列からなるMACアドレスを手入力する必要があるため、入力作業が大変な上に入力間違いが発生しやすいという問題があった。
また特許文献2に開示されている方式にあっては、フィルタリングテーブルが自動的に設定されるが、そのためには、ユーザーインターフェース手段によりユーザーが予め機器名称、アドレス、機器種別を入力してアドレステーブルに登録する必要があり、手間がかかる点では、特許文献1と同じであった。
本発明は、上述の問題点に鑑みて為されたもので、その目的とするところはローカル機器の固有識別情報をフィルタリングテーブルに自動的に登録することができ、ユーザーの手を煩わすことなくフィルタリング機能を実現するフィルタリング装置を提供することにある。
上述の目的を達成するために、請求項1の発明では、ローカル機器とともにネットワークに接続され、前記ローカル機器から固有識別情報が送られてくると、当該固有識別情報のフィルタリングテーブルでの登録の有無の判断を行い、該判断結果に基づいて当該ローカル機器からのデータの通過/破棄を行うフィルタリング装置において、照合対照の機器情報を設定しているフィルタリングルールと、前記ローカル機器から送られるデータを検出するデータ検出手段と、検出されたデータに含まれる機器情報がフィルタリングルールに設定されている機器情報と合致しているか否かを判断するデータ比較手段と、データ比較手段が合致していると判断したときに当該ローカル機器の前記固有識別情報を前記フィルタリングテーブルに登録するテーブル作成手段と、前記ローカル機器の機器情報を探索するタイミングを任意のタイミングで設定する手段とを備え、前記データ検出手段は機器情報の探索時に機器情報を検出することを特徴とする。
請求項1の発明によれば、検出したローカル機器の機器情報とフィルタリングルールとの照合結果に基づき、ローカル機器の固有識別情報を登録するフィルタリングテーブルを自動的に作り上げることができるため、ユーザーの手を煩わすことなく、フィルタリング機能を実現することができる。
また、任意のタイミングで、機器情報を探索して検出することにより、その都度フィルタリングテーブルの更新が可能となって、不要なローカル機器の固有識別情報をフィルタリングテーブルに登録する可能性が少なくなり、ネットワークのセキュリティ性を向上させることができる。
請求項2の発明では、ローカル機器とともにネットワークに接続され、前記ローカル機器から固有識別情報が送られてくると、当該固有識別情報のフィルタリングテーブルでの登録の有無の判断を行い、該判断結果に基づいて当該ローカル機器からのデータの通過/破棄を行うフィルタリング装置において、照合対照の機器情報を設定しているフィルタリングルールと、前記ローカル機器から送られるデータを検出するデータ検出手段と、検出されたデータに含まれる機器情報がフィルタリングルールに設定されている機器情報と合致しているか否かを判断するデータ比較手段と、データ比較手段が合致していると判断したときに当該ローカル機器の前記固有識別情報を前記フィルタリングテーブルに登録するテーブル作成手段とを備え、前記フィルタリングルールとして記憶される前記機器情報はローカル機器のMACアドレスに含まれるベンダコードであって、前記フィルタリングテーブルに登録される前記固有識別情報が前記ベンダコードを含むMACアドレスであることを特徴とする。
請求項2の発明では、通信が始まれば必ず検出可能なMACアドレスを機器情報として用い、就中ベンダコードという特定の情報を用いることで、特定のベンダ製品のみの通信の許可/禁止というフィルタリングが可能となり、ネットワークのセキュリティ性を個上位させることができる。
請求項3の発明では、ローカル機器とともにネットワークに接続され、前記ローカル機器から固有識別情報が送られてくると、当該固有識別情報のフィルタリングテーブルでの登録の有無の判断を行い、該判断結果に基づいて当該ローカル機器からのデータの通過/破棄を行うフィルタリング装置において、照合対照の機器情報を設定しているフィルタリングルールと、前記ローカル機器から送られるデータを検出するデータ検出手段と、検出されたデータに含まれる機器情報がフィルタリングルールに設定されている機器情報と合致しているか否かを判断するデータ比較手段と、データ比較手段が合致していると判断したときに当該ローカル機器の前記固有識別情報を前記フィルタリングテーブルに登録するテーブル作成手段とを備え、前記ネットワーク内のMACアドレスの重複を検出し、同一MACアドレスに対するローカル機器のIPアドレスの変化が一定時間に所定回数発生したことが検出されると、当該ローカル機器に対する通信制御を行う不正検出手段を備えていることを特徴とする。
請求項3の発明によれば、不正に取得したMACアドレスを用いたローカル機器を通信できなくすることができ、ネットワークのセキュリティ性を向上させることができる。
請求項4の発明では、請求項3の発明において、前記ネットワークに接続されているローカル機器にIPアドレスを付与するDHCPサーバ手段を備え、前記不正検出手段による前記通信制御は不正なローカル機器にIPアドレスが前記DHCPサーバ手段から付与されないように制御することを特徴とする。
請求項4の発明によれば、不正なローカル機器にIPアドレスを付与しないことで、ネットワークのセキュリティ性を向上させることができる。
請求項5の発明では、請求項2乃至4の何れかの発明において、前記データ検出手段は、前記ネットワーク上に伝送されるデータを常時検出し、前記データ比較手段は検出されたデータに含まれる前記固有識別情報が前記フィルタリングテーブルに登録されているか否かの判断を行い、否の場合にデータに含まれる機器情報と前記フィルタリングルールの機器情報とが合致しているか否かを判断することを特徴とする。
請求項5の発明によれば、ネットワークに新しいローカル機器が接続されて立ち上がると、リアルタイムに自動的にフィルタリングテーブルの更新が行える。
請求項6の発明では、請求項1乃至5の何れかの発明において、前記フィルタリングルールとして記憶される機器情報は、前記ローカル機器の種別情報であって、前記フィルタリングテーブルに登録される前記固有識別情報が前記種別情報に合致するローカル機器のMACアドレスであることを特徴とする。
請求項6の発明によれば、機器情報としては機器自体の種別情報を用い、且つ固有識別情報が種別情報に合致するローカル機器のMACアドレスであるので、より詳細なフィルタ設定が可能となる。
請求項5の発明では、請求項2乃至4の何れかの発明において、前記データ検出手段は、前記ネットワーク上に伝送されるデータを常時検出し、前記データ比較手段は検出されたデータに含まれる前記固有識別情報が前記フィルタリングテーブルに登録されているか否かの判断を行い、否の場合にデータに含まれる機器情報と前記フィルタリングルールの機器情報とが合致しているか否かを判断することを特徴とする。
請求項5の発明によれば、ネットワークに新しいローカル機器が接続されて立ち上がると、リアルタイムに自動的にフィルタリングテーブルの更新が行える。
請求項6の発明では、請求項1乃至5の何れかの発明において、前記フィルタリングルールとして記憶される機器情報は、前記ローカル機器の種別情報であって、前記フィルタリングテーブルに登録される前記固有識別情報が前記種別情報に合致するローカル機器のMACアドレスであることを特徴とする。
請求項6の発明によれば、機器情報としては機器自体の種別情報を用い、且つ固有識別情報が種別情報に合致するローカル機器のMACアドレスであるので、より詳細なフィルタ設定が可能となる。
本発明は、検出したローカル機器の機器情報とフィルタリングルールとの照合結果に基づき、ローカル機器の固有識別情報を登録するフィルタリングテーブルを自動的に作り上げることができるため、ユーザーの手を煩わすことなく、フィルタリング機能を実現することができるという効果がある。
以下本発明を実施形態により説明する。
(実施形態1)
本実施形態のフィルタリング装置1は、図2に示すようにインターネット2に接続されるとともに、ローカルネットワークや無線LANのアクセスポイント機器3を通じてパーソナルコンピュータ、設備機器、ホームゲートウェイなどのローカル機器41…を接続している。 各ローカル機器41…にはIPアドレスを設定し、またMACアドレスが付与されているものとする。例えばホームゲートウェイであるローカル機器44では、IPアドレスが(192.168.1.1)が、またMACアドレスが(00−00−00−00−01)と付与され、パーソナルコンピュータであるローカル機器41では、IPアドレスが(192.168.1.200)と設定され、MACアドレスが(11−11−11−00−00−01)と付与されている。同様に他のローカル機器42,43、45等にもIPアドレス及びMACアドレスが付与されているものとする。
(実施形態1)
本実施形態のフィルタリング装置1は、図2に示すようにインターネット2に接続されるとともに、ローカルネットワークや無線LANのアクセスポイント機器3を通じてパーソナルコンピュータ、設備機器、ホームゲートウェイなどのローカル機器41…を接続している。 各ローカル機器41…にはIPアドレスを設定し、またMACアドレスが付与されているものとする。例えばホームゲートウェイであるローカル機器44では、IPアドレスが(192.168.1.1)が、またMACアドレスが(00−00−00−00−01)と付与され、パーソナルコンピュータであるローカル機器41では、IPアドレスが(192.168.1.200)と設定され、MACアドレスが(11−11−11−00−00−01)と付与されている。同様に他のローカル機器42,43、45等にもIPアドレス及びMACアドレスが付与されているものとする。
フィルタリング装置1は、図1に示すように、インターネット接続機能部10と、ローカルネットワークを通じてローカル機器41…との間で通信を行うローカル機器接続機能部11と、ローカル機器41…からインターネット2へ送られるデータを検出するデータ検出手段であるデータ検出機能部12と、フィルタリングテーブル13と、フィルタリングルール(フィルタリングポリシー)14と、データ比較手段であるデータ比較機能部15と、テーブル作成手段であるテーブル作成機能部16と、フィルタリング機能部17とから少なくとも構成される。
フィルタリングテーブル13とフィルタリングルール14はフィルタリング装置1に備えられた記憶装置に記憶されるものであり、フィルタリングテーブル13は通信の許可対象となるローカル機器41…の固有識別情報(実施形態ではMACアドレス)を登録するテーブルである。フィルタリングルール14はフィルタリングテーブル14に対する登録対象となるローカル機器を判断するためのルール(照合対象の機器情報)が予め設定されている。
データ比較機能部15は、後述するフィルタリングテーブル登録動作時においてデータ検出機能部12が検出するローカル機器41…からのデータに含まれる機器情報とフィルタリングルール14に設定されている機器情報とを比較照合する機能と、通常時にローカル機器41…からのデータに含まれる固有識別情報である送信元のMACアドレスとフィルタリングテーブル13に登録されているMACアドレスとを比較照合する機能とからなる。
テーブル作成機能部16は、フィルタリングテーブル登録動作時においてデータ検出機能部12が検出するローカル機器41…からのデータに含まれる機器情報がフィルタリングルール14に設定されている機器情報に合致している否かを示すデータ比較機能部15の判断結果に基づいてデータ中の送信元のMACアドレスをフィルタリングテーブル13に登録させる機能と必要に応じてMACアドレスを削除する機能とを有する。
フィルタリング機能部17は、通常時においてローカル機器41…からのデータに含まれるMACアドレスがフィルタリングテーブル13に登録されているMACアドレスに存在しているか否かを示すデータ比較機能部15の判断結果に基づいて当該ローカル機器のデータの通過を許可するか破棄するかのフィルタリング処理を行う。
次に本実施形態のフィルタリング装置1の動作を図3に示すシーケンス図により説明する。
まずネットワークシステムの立ち上がり等の初期時に設定されるフィルタリングテーブル登録動作にあって、ホームゲートウェイたるローカル機器44からパケット(データ)がフィルタリング装置1に到着すると、フィルタリング装置1内のデータ検出機能部12はデータ中に含まれる機器情報をデータ比較機能部15に渡す。データ比較機能部15はこの機器情報がフィルタリングルール14に設定されている機器情報と合致するか否かのルール照合を行う。そして合致していると判断されると、その判断結果に応じてテーブル作成機能部16はデータに含まれる当該ローカル機器44のMACアドレスをフィルタリングテーブル13に登録する処理を行う。
一方パーソナルコンピュータである例えばローカル機器41からパケット(データ)がフィルタリング装置1に到着すると、フィルタリング装置1内のデータ検出機能部12が上述と同様にデータ中に含まれる機器情報をデータ比較機能部15に渡す。そしてデータ比較機能部15はこの機器情報がフィルタリングルール14に設定されている機器情報と合致するか否かのルール照合を行う。ここでローカル機器41の機器情報がフィルタリングルール14に設定されていない場合、否と判断してローカル機器41のデータを破棄する。そのためテーブル作成機能部16は当該ローカル機器41のMACアドレスをフィルタリングテーブル13に登録しないのである。
次に通常時において、例えば上述のローカル機器44からフィルタリング装置1にパケット(データ)が到着すると、データ検出機能部12はデータに含まれるMACアドレスをデータ比較機能部15に渡す。データ比較機能部15はこのMACアドレスがフィルタリングテーブル13に登録されているか否かの照合を行う。そして登録されている判断されると、その判断結果に応じてフィルタリング機能部17はデータの通過を許可する。
一方上述のようにMACアドレスがフィルタリングテーブル13に登録されなかったローカル機器41からフィルタリング装置1にパケット(データ)が到着した場合も、上述と同様にデータ検出機能部12はデータに含まれるMACアドレスをデータ比較機能部15に渡す。そしてデータ比較機能部15はこのMACアドレスがフィルタリングテーブル13に登録されているか否かの照合を行うが、この場合は登録されていないと判断されることになり、その判断結果に応じてフィルタリング機能部17はデータの通過を許可せず、データを破棄する処理を行う。
以上のように本実施形態では、フィルタリングテーブル13に対して各ローカル機器41…のMACアドレスの登録を自動的に行うことで、ユーザーの手間を省くことができる
尚フィルタリング装置1にWebサーバ機能からなる情報表示機能部18を設けている場合には、通信を許可・拒否した情報を表示させることや、通信許可・拒否の変更も可能となる。
尚フィルタリング装置1にWebサーバ機能からなる情報表示機能部18を設けている場合には、通信を許可・拒否した情報を表示させることや、通信許可・拒否の変更も可能となる。
次に本実施形態でフィルタリングルール14に設定する機器情報の例について説明する。
例1
本例は、ローカル機器41…のMACアドレスの先頭3バイトに書き込まれるベンダコードが機器情報としている。この場合特定のベンダ製機器以外は通信を拒否することが可能となる。
本例は、ローカル機器41…のMACアドレスの先頭3バイトに書き込まれるベンダコードが機器情報としている。この場合特定のベンダ製機器以外は通信を拒否することが可能となる。
表1は本例によるフィルタリングルール14の設定内容例を示す。
例2
本例は、ローカル機器に設定するIPアドレスを機器情報としている。この機器情報はフィルタイリング装置1がネットワーク層まで対応している場合に相応しい。そしてIPアドレスの範囲を設定しておくことで、指定範囲外のIPアドレスを持ったローカル機器の通信を拒否することができる。
本例は、ローカル機器に設定するIPアドレスを機器情報としている。この機器情報はフィルタイリング装置1がネットワーク層まで対応している場合に相応しい。そしてIPアドレスの範囲を設定しておくことで、指定範囲外のIPアドレスを持ったローカル機器の通信を拒否することができる。
表2は本例によるフィルタリングルール14の設定内容例を示す。
例3
本例は、通信を許可する機器の種別情報を機器情報としている。この機器情報はフィルタリング装置1及びローカル機器41…がUPnPに対応している場合に相応しい。そして機器情報の指定範囲外のローカル機器の通信を拒否することができる。
本例は、通信を許可する機器の種別情報を機器情報としている。この機器情報はフィルタリング装置1及びローカル機器41…がUPnPに対応している場合に相応しい。そして機器情報の指定範囲外のローカル機器の通信を拒否することができる。
表3は本例によるフィルタリングルール14の設定内容例を示す。
(実施形態2)
上述の実施形態1では、ネットワークシステムの立ち上がり等でフィルタリングテーブル登録動作が行われるようになっているが、本実施形態では例えばローカル機器41…の機器情報を取得してフィルタリングテーブル13にMACアドレスを登録する動作を任意のタイミングで行うために、登録動作起動のスイッチSWと該スイッチSWが操作されたときに機器情報要求を各ローカル機器41…に送るための機器情報要求機能部19を図4に示すように備えている点に特徴がある。尚システム構成及びフィルタリング装置1内のその他の構成は実施形態1と基本的には同じであるので、同じ構成要素には同じ符号を付して説明は省略する。
上述の実施形態1では、ネットワークシステムの立ち上がり等でフィルタリングテーブル登録動作が行われるようになっているが、本実施形態では例えばローカル機器41…の機器情報を取得してフィルタリングテーブル13にMACアドレスを登録する動作を任意のタイミングで行うために、登録動作起動のスイッチSWと該スイッチSWが操作されたときに機器情報要求を各ローカル機器41…に送るための機器情報要求機能部19を図4に示すように備えている点に特徴がある。尚システム構成及びフィルタリング装置1内のその他の構成は実施形態1と基本的には同じであるので、同じ構成要素には同じ符号を付して説明は省略する。
次に本実施形態の動作を図5のシーケンス図で説明する。
今フィルタリング装置1のスイッチSWが操作されると、フィルタリング装置1では機器情報要求機能部19から各ローカル機器41…に機器情報要求が送られる。この機器情報要求を受け取ったローカル機器、例えば44では、要求の応答として機器情報を含むパケット(データ)をフィルタリング装置1に送る。パケット(データ)がフィルタリング装置1に到着すると、実施形態1の場合と同様にフィルタリング装置1内のデータ検出機能部12がデータ中に含まれる機器情報をデータ比較機能部15に渡す。データ比較機能部15はこの機器情報がフィルタリングルール14に設定されている機器情報と合致するか否かのルール照合を行う。そして合致していると判断されると、その判断結果に応じてテーブル作成機能部16はデータに含まれる当該ローカル機器44のMACアドレスをフィルタリングテーブル13に登録する処理を行う。
パーソナルコンピュータである例えばローカル機器41に対して機器情報要求が送られると、これに対応してローカル機器41から応答としてパケット(データ)がフィルタリング装置1に送られる。フィルタリング装置1ではパケット(データ)が到着すると、フィルタリング装置1内のデータ検出機能部12が上述と同様にデータ中に含まれる機器情報をデータ比較機能部15に渡す。そしてデータ比較機能部15はこの機器情報がフィルタリングルール14に設定されている機器情報と合致するか否かのルール照合を行う。ここでローカル機器41の機器情報がフィルタリングルール14に設定されていない場合、否と判断してローカル機器41のデータを破棄する。そのためテーブル作成機能部16は、当該ローカル機器41のMACアドレスをフィルタリングテーブル13に登録しないのである。
このようにしてローカル機器41…に対する機器情報要求を行って、その時点でのローカル機器41…に対応するフィルタリングテーブル13への登録を行うのである。そして全てのローカル機器41…の機器情報要求を行い、その要求に対応してMACアドレスの登録処理が終了した時点で、前のテーブル登録動作時にフィルタリングテーブル13に登録されていたMACアドレスが今回のテーブル登録動作時に登録されていない場合には削除することで、フィルタリングテーブル13の登録内容の更新を図る。尚この削除の代わりにスイッチSWの操作時にフィルタリングテーブル13の登録内容を削除して新たなテーブル登録を行うようにしても、最終的には最新のフィルタリングテーブル13を作成することができる。
登録動作終了後の通常時のフィルタリング処理は実施形態1と同じであるので説明は省略する。
(実施形態3)
実施形態2ではスイッチSWを操作することで任意のタイミングでテーブル登録動作を開始することができるなっているが、本実施形態では、常時テーブル登録動作ができるようになっている点で特徴がある。尚フィルタリング装置1の構成は実施形態1と同じであるので、図示を省略し、図1を参照する。
(実施形態3)
実施形態2ではスイッチSWを操作することで任意のタイミングでテーブル登録動作を開始することができるなっているが、本実施形態では、常時テーブル登録動作ができるようになっている点で特徴がある。尚フィルタリング装置1の構成は実施形態1と同じであるので、図示を省略し、図1を参照する。
次に本実施形態の動作を図6のシーケンス図により説明する。
本実施形態では、例えばローカル機器44からパケット(データ)がフィルタリング装置1に到着するとデータ検出機能部12は検出したパケット(データ)をデータ比較機能部15に渡す。データ比較機能部15はまずデータに含まれるMACアドレスがフィルタリングテーブル13に登録されているか否かの判断を行う。ここで登録されている場合にはフィルタリング機能部17はデータの通過、つまり通信を許可する。一方否の場合、つまり未登録の場合には、データ比較機能部15はデータに含まれる機器情報と前記フィルタリングルール14に設定されている機器情報と合致しているか否かを判断する。この判断結果が合致する場合にはテーブル作成機能部16はデータに含まれる当該ローカル機器44のMACアドレスをフィルタリングテーブル13に登録する。
同様に例えばローカル機器41からパケット(データ)がフィルタリング装置1に到着するとデータ検出機能部12は検出したパケット(データ)をデータ比較機能部15に渡す。データ比較機能部15はまずデータに含まれるMACアドレスがフィルタリングテーブル13に登録されているか否かの判断を行う。ここで登録されている場合にはフィルタリング機能部17はデータの通過、つまり通信を許可する。一方否の場合、つまり未登録の場合には、データ比較機能部15はデータに含まれる機器情報と前記フィルタリングルール14に設定されている機器情報と合致しているか否かを判断する。ここでローカル機器41の機器情報がフィルタリングルール14に設定されていない場合、否と判断されてデータが破棄される。そのためテーブル作成機能部16はデータに含まれる当該ローカル機器44のMACアドレスをフィルタリングテーブル13には登録しない。
このように本実施形態では、通常時において、ローカル機器41…からのデータに含まれるMACアドレスがフィルタリングテーブル13に未登録の場合、つまり通信が許可されない場合に、その都度当該ローカル機器の機器情報をフィルタリングルール14に設定されている機器情報と合致するか否かを判断し、合致する場合に当該ローカル機器のMACアドレスをフィルタリングテーブル13に登録する処理を行うことで、新たにローカル機器が追加された場合にあっても、リアルタイム的にフィルタリングテーブル13を更新することができるのである。
(実施形態4)
本実施形態は、図7に示すようにローカルネットワーク内のMACアドレスの重複を検出し、同一MACアドレスに対するIPアドレスの変化が一定時間に所定回数発生したときに不正機器が存在することを検出する不正検出機能部20を備えた点に特徴があり、不正検出機能部20は不正なMACアドレスを持つローカル機器を検出した場合にフィルタリング機能部17が通信を拒否するように指示する信号をフィルタリング機能部17に与えるようになっている。尚本実施形態のその他の構成は実施形態1と同じであるので、同じ構成要素には同じ番号を付して説明は省略する。
(実施形態4)
本実施形態は、図7に示すようにローカルネットワーク内のMACアドレスの重複を検出し、同一MACアドレスに対するIPアドレスの変化が一定時間に所定回数発生したときに不正機器が存在することを検出する不正検出機能部20を備えた点に特徴があり、不正検出機能部20は不正なMACアドレスを持つローカル機器を検出した場合にフィルタリング機能部17が通信を拒否するように指示する信号をフィルタリング機能部17に与えるようになっている。尚本実施形態のその他の構成は実施形態1と同じであるので、同じ構成要素には同じ番号を付して説明は省略する。
つまり、本実施形態ではフィルタリングテーブル13に登録する固有識別情報としてのMACアドレスとこれに対応するIPアドレスとを記述する図8に示すテーブルログ21を不正検出機能部20で作成するものである。つまりMACアドレスとIPアドレスの対応関係が頻繁に変化することはないという特性を利用したもので、不正検出機能部20はテーブルログから同一MACアドレスに対するIPアドレスの変化が一定時間に所定回数発生した場合、不正機器ありと判断するのである。
図8に示すテーブルログ21の変遷ではMACアドレス(00−00−00−00−00−01)に対応するIPアドレスが(192.168.1.1)→(192−168.1.3)→(192.168.1.1)と変化していることがわかる。
MACアドレスを偽装する事例としては、例えばローカルネットワーク内に無線ルータが存在する環境において、悪意のある端末が無線ルータとローカル端末との通信を傍受することによりローカル端末のMACアドレスを不正に取得し、あたかも自分が当該MACアドレスを持つローカル機器であるかのように振る舞い、不正に通信を行う場合がある。この場合、ローカル機器と悪意のある端末が同じMACアドレスを持つことになるが、IPアドレスを覗き見することが困難であるため、IPアドレスが異なっていることが多い。
このような環境下ではMACアドレスが同じでIPアドレスが異なる通信が頻繁に発生することになるので、この点に着目して、本実施形態では上述のように不正検出機能部20によりMACアドアドレスの不正使用を検知するのである。
尚フィルタリング装置1にWebサーバ機能からなる情報表示機能部18を設けている場合には、MACアドレス偽装を検出したことを通知することもできる。また実施形態1以外の実施形態にも不正検出機能部20を設けてることができるのは勿論である。
(実施形態5)
実施形態4では不正検出機能部20は不正なMACアドレスを持つローカル機器を検出した場合にフィルタリング機能部17が通信を拒否するように指示する信号をフィルタリング機能部17に与えるようになっているが、本実施形態ではフィルタリング装置1内に図9に示すようにDHCPサーバ機能部22を設け、このDHCPサーバ機能部22により各ローカル機器41…のIPアドレスを設定するようにするとともに、不正検出機能部20は不正なMACアドレスを持つローカル機器を検出した場合にDHCPサーバ機能部22から当該ローカル機器にIPアドレスを付与しないようにDHCPサーバ機能部22に指示する信号を与えることで、不正なローカル機器をローカルネットワークから切り離すようにしている点に特徴がある。
(実施形態5)
実施形態4では不正検出機能部20は不正なMACアドレスを持つローカル機器を検出した場合にフィルタリング機能部17が通信を拒否するように指示する信号をフィルタリング機能部17に与えるようになっているが、本実施形態ではフィルタリング装置1内に図9に示すようにDHCPサーバ機能部22を設け、このDHCPサーバ機能部22により各ローカル機器41…のIPアドレスを設定するようにするとともに、不正検出機能部20は不正なMACアドレスを持つローカル機器を検出した場合にDHCPサーバ機能部22から当該ローカル機器にIPアドレスを付与しないようにDHCPサーバ機能部22に指示する信号を与えることで、不正なローカル機器をローカルネットワークから切り離すようにしている点に特徴がある。
尚本実施形態のその他の構成は実施形態4と同じであるので、同じ構成要素には同じ番号を付して説明は省略する。
1 フィルタリング装置
10 インターネット接続機能部
11 ローカル機器接続機能部
12 データ検出機能部
13 フィルタリングテーブル
14 フィルタリングルール
15 データ比較機能部
16 テーブル作成機能部
17 フィルタリング機能部
18 情報表示機能部
10 インターネット接続機能部
11 ローカル機器接続機能部
12 データ検出機能部
13 フィルタリングテーブル
14 フィルタリングルール
15 データ比較機能部
16 テーブル作成機能部
17 フィルタリング機能部
18 情報表示機能部
Claims (6)
- ローカル機器とともにネットワークに接続され、前記ローカル機器から固有識別情報が送られてくると、当該固有識別情報のフィルタリングテーブルでの登録の有無の判断を行い、該判断結果に基づいて当該ローカル機器からのデータの通過/破棄を行うフィルタリング装置において、
照合対照の機器情報を設定しているフィルタリングルールと、前記ローカル機器から送られるデータを検出するデータ検出手段と、検出されたデータに含まれる機器情報がフィルタリングルールに設定されている機器情報と合致しているか否かを判断するデータ比較手段と、データ比較手段が合致していると判断したときに当該ローカル機器の前記固有識別情報を前記フィルタリングテーブルに登録するテーブル作成手段と、前記ローカル機器の機器情報を探索するタイミングを任意のタイミングで設定する手段とを備え、
前記データ検出手段は機器情報の探索時に機器情報を検出することを特徴とするフィルタリング装置。 - ローカル機器とともにネットワークに接続され、前記ローカル機器から固有識別情報が送られてくると、当該固有識別情報のフィルタリングテーブルでの登録の有無の判断を行い、該判断結果に基づいて当該ローカル機器からのデータの通過/破棄を行うフィルタリング装置において、
照合対照の機器情報を設定しているフィルタリングルールと、前記ローカル機器から送られるデータを検出するデータ検出手段と、検出されたデータに含まれる機器情報がフィルタリングルールに設定されている機器情報と合致しているか否かを判断するデータ比較手段と、データ比較手段が合致していると判断したときに当該ローカル機器の前記固有識別情報を前記フィルタリングテーブルに登録するテーブル作成手段とを備え、
前記フィルタリングルールとして記憶される前記機器情報はローカル機器のMACアドレスに含まれるベンダコードであって、前記フィルタリングテーブルに登録される前記固有識別情報が前記ベンダコードを含むMACアドレスであることを特徴とするフィルタリング装置。 - ローカル機器とともにネットワークに接続され、前記ローカル機器から固有識別情報が送られてくると、当該固有識別情報のフィルタリングテーブルでの登録の有無の判断を行い、該判断結果に基づいて当該ローカル機器からのデータの通過/破棄を行うフィルタリング装置において、
照合対照の機器情報を設定しているフィルタリングルールと、前記ローカル機器から送られるデータを検出するデータ検出手段と、検出されたデータに含まれる機器情報がフィルタリングルールに設定されている機器情報と合致しているか否かを判断するデータ比較手段と、データ比較手段が合致していると判断したときに当該ローカル機器の前記固有識別情報を前記フィルタリングテーブルに登録するテーブル作成手段とを備え、
前記ネットワーク内のMACアドレスの重複を検出し、同一MACアドレスに対するローカル機器のIPアドレスの変化が一定時間に所定回数発生したことが検出されると、当該ローカル機器に対する通信制御を行う不正検出手段を備えていることを特徴とするフィルタリング装置。 - 前記ネットワークに接続されているローカル機器にIPアドレスを付与するDHCPサーバ手段を備え、前記不正検出手段による前記通信制御は不正なローカル機器にIPアドレスが前記DHCPサーバ手段から付与されないように制御することを特徴とする請求項3記載のフィルタリング装置。
- 前記データ検出手段は、前記ネットワーク上に伝送されるデータを常時検出し、前記データ比較手段は検出されたデータに含まれる前記固有識別情報が前記フィルタリングテーブルに登録されているか否かの判断を行い、否の場合にデータに含まれる機器情報と前記フィルタリングルールの機器情報とが合致しているか否かを判断することを特徴とする請求項2乃至4の何れか記載のフィルタリング装置。
- 前記フィルタリングルールとして記憶される機器情報は、前記ローカル機器の種別情報であって、前記フィルタリングテーブルに登録される前記固有識別情報が前記種別情報に合致するローカル機器のMACアドレスであることを特徴とする請求項1乃至5の何れか記載のフィルタリング装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005239196A JP4720363B2 (ja) | 2005-08-19 | 2005-08-19 | フィルタリング装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005239196A JP4720363B2 (ja) | 2005-08-19 | 2005-08-19 | フィルタリング装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007053703A JP2007053703A (ja) | 2007-03-01 |
| JP4720363B2 true JP4720363B2 (ja) | 2011-07-13 |
Family
ID=37917819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005239196A Expired - Fee Related JP4720363B2 (ja) | 2005-08-19 | 2005-08-19 | フィルタリング装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4720363B2 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5012338B2 (ja) * | 2007-09-05 | 2012-08-29 | 日本電気株式会社 | ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 |
| US8355152B2 (en) | 2008-03-14 | 2013-01-15 | Kabushiki Kaisha Toshiba | Image forming apparatus, setting operation support method and setting operation support program |
| JP5176983B2 (ja) * | 2008-09-22 | 2013-04-03 | 富士通株式会社 | フィルタ装置、フィルタプログラム及び方法 |
| JP5375120B2 (ja) * | 2009-01-20 | 2013-12-25 | 日本電気株式会社 | Ipアドレス管理装置、ipアドレス管理システム、ipアドレス管理方法及びipアドレス管理プログラム |
| KR101777239B1 (ko) * | 2010-07-16 | 2017-09-11 | 삼성전자주식회사 | 액세스 포인트 및 그의 무선 통신 연결 방법 |
| US8787222B2 (en) | 2010-07-16 | 2014-07-22 | Samsung Electronics Co., Ltd. | Access point and method for connecting wireless communication |
| JP5920698B2 (ja) * | 2011-12-14 | 2016-05-18 | 日本電信電話株式会社 | データ判定装置およびデータ判定プログラム |
| JP6041636B2 (ja) * | 2012-11-26 | 2016-12-14 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
| JP2015170970A (ja) * | 2014-03-06 | 2015-09-28 | パナソニックIpマネジメント株式会社 | 通信システム |
| JP6407610B2 (ja) * | 2014-08-04 | 2018-10-17 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
| JP6766337B2 (ja) * | 2015-10-27 | 2020-10-14 | 日本電気株式会社 | ゲートウェイ装置、通信制御方法、通信制御システム、および、プログラム |
| JP2017130963A (ja) * | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05207028A (ja) * | 1992-01-28 | 1993-08-13 | Hitachi Cable Ltd | マルチポート中継装置 |
| JP2002271358A (ja) * | 2001-03-06 | 2002-09-20 | Nec Corp | 主装置アドレス制限通知システム |
| JP2004032134A (ja) * | 2002-06-24 | 2004-01-29 | Kobe Steel Ltd | 通信監視システム |
| JP2004120125A (ja) * | 2002-09-24 | 2004-04-15 | Yamaha Corp | ルータおよびルータ設定情報処理方法 |
| JP2004173148A (ja) * | 2002-11-22 | 2004-06-17 | Sony Corp | 情報処理装置、サーバクライアントシステム、および方法、並びにコンピュータ・プログラム |
| JP2005217595A (ja) * | 2004-01-28 | 2005-08-11 | Oki Electric Ind Co Ltd | Ip電話機等の通信装置のためのアドレス管理方法及び装置 |
-
2005
- 2005-08-19 JP JP2005239196A patent/JP4720363B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05207028A (ja) * | 1992-01-28 | 1993-08-13 | Hitachi Cable Ltd | マルチポート中継装置 |
| JP2002271358A (ja) * | 2001-03-06 | 2002-09-20 | Nec Corp | 主装置アドレス制限通知システム |
| JP2004032134A (ja) * | 2002-06-24 | 2004-01-29 | Kobe Steel Ltd | 通信監視システム |
| JP2004120125A (ja) * | 2002-09-24 | 2004-04-15 | Yamaha Corp | ルータおよびルータ設定情報処理方法 |
| JP2004173148A (ja) * | 2002-11-22 | 2004-06-17 | Sony Corp | 情報処理装置、サーバクライアントシステム、および方法、並びにコンピュータ・プログラム |
| JP2005217595A (ja) * | 2004-01-28 | 2005-08-11 | Oki Electric Ind Co Ltd | Ip電話機等の通信装置のためのアドレス管理方法及び装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007053703A (ja) | 2007-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4720363B2 (ja) | フィルタリング装置 | |
| JP3612528B2 (ja) | パラメータ設定システム | |
| US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
| JP4718216B2 (ja) | プログラム、クライアント認証要求方法、サーバ認証要求処理方法、クライアント及びサーバ | |
| US9602489B2 (en) | System and method of facilitating the identification of a computer on a network | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| US8102860B2 (en) | System and method of changing a network designation in response to data received from a device | |
| US20090007254A1 (en) | Restricting communication service | |
| JP4290198B2 (ja) | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 | |
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| US9444830B2 (en) | Web server/web application server security management apparatus and method | |
| JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
| JP2006287299A (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| US11522892B2 (en) | Method and device for intrusion detection in a computer network | |
| US7359338B2 (en) | Method and apparatus for transferring packets in network | |
| CN102231733B (zh) | 访问控制方法、主机设备和标识路由器 | |
| US11729188B2 (en) | Method and device for intrusion detection in a computer network | |
| CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
| US20210014257A1 (en) | Method and device for intrusion detection in a computer network | |
| JP2002324052A (ja) | 無線端末の認証方法、無線基地局及び通信システム | |
| JP4617898B2 (ja) | アクセス制御方式および方法、サーバ装置、端末装置ならびにプログラム | |
| CN113407983A (zh) | 一种安全策略的下发方法及装置 | |
| US9992164B2 (en) | User based stateless IPv6 RA-guard | |
| JP2004266870A (ja) | パラメータ設定システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080513 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100712 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101214 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110214 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110308 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110321 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |