JP4767683B2 - 中継装置、不正アクセス防止装置、およびアクセス制御プログラム - Google Patents
中継装置、不正アクセス防止装置、およびアクセス制御プログラム Download PDFInfo
- Publication number
- JP4767683B2 JP4767683B2 JP2005370977A JP2005370977A JP4767683B2 JP 4767683 B2 JP4767683 B2 JP 4767683B2 JP 2005370977 A JP2005370977 A JP 2005370977A JP 2005370977 A JP2005370977 A JP 2005370977A JP 4767683 B2 JP4767683 B2 JP 4767683B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- address
- information
- mac address
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
図1の(a)は、特定セグメントに専用装置3を設置する場合を示す。図1の(a)は、本発明に係る専用装置3を1つの特定セグメントと、他のセグメントとの間に接続(設置)したものであって、当該特定セグメント内のネットワークに接続された端末1から、当該特定セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者を防止するものである。
図2は、本発明の動作説明フローチャートを示す。ここで、端末1は、エージェント11、クライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12、ARPテーブル13から構成され、図1の端末1、エージェント11、クライアント情報12、ARPテーブル13と同じである。また、専用装置3は、情報送受信機能36、検疫機能37、メール送信機能38、DHCPサーバ31などから構成され、図1と図2の専用装置3、DHCPサーバ31は同じである。
(ステップS1)端末1は、専用装置3に接続要求する。本実施の一例では、端末1を例えば図1の(a)のセグメントAのLANに新規に接続し、当該端末1のMACアドレスを通知して仮IPアドレスの割当要求を行う。
(ステップS4)専用装置3は、ステップS2において、ステップS1で端末1から通知されたMACアドレスがDHCPサーバ31に予め登録されているMACアドレスではないと判断すると、仮IPアドレスを割り当てることなく、不正アクセスとしてログファイルなどに記録する。専用端末3が未登録のMACアドレスの端末1に対しては仮IPアドレスを発行しないことで、未登録のMACアドレスの端末1からのアクセスを不可にし、不正アクセスを防止する。
・BIOS Number
・CPU Nmmber
・ハードディスク Number
・ソフトウェア情報:
・ウイルスパターンバージョン
・OSバッチバージョン
・セキュリテイ情報:
・端末ID
・ログインID
ここで、ハードウェア情報は、端末1のハードウェア情報であって、例えば図示のBIOSの番号、CPUの番号、ハードディスク装置の番号などである。ソフトウェア情報は、端末1にインストールされているソフトウェアの情報であって、ウイルスパターンバージョン、OSのバッチバージョンなどである。セキュリティ情報は、端末のID,ログインIDなどである。
図6の(a)は全体フローチャートを示し、図6の(b)は詳細フローチャートを示す。端末1、専用装置3は、図1の端末1、専用装置3である。
図7の(a)は、ARPテーブルの例を示す。ARPテーブル13は、各端末1が持つものであって、図示の下記の情報を対応づけて登録したものである。
・MACアドレス:
・Type:
ここで、IPアドレスはセグメント内で一意に割り当てられたアドレスである。MACアドレスは端末1が持つ固有の一意のID(アドレス)である。TypeはIPアドレス,MACアドレスのタイプを表す(ここでは、動的に書換可能なタイプを表す)。ここで、上段のMACアドレスは、00−00−00−00−00−00は無効に設定した例を示す。尚、ARPテーブル13には、通信相手の端末1のIPアドレス、MACアドレスMの対を登録する。
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と、
を有すること特徴とする不正アクセス防止装置。
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と、
を併せて有することを特徴とする付記1記載の不正アクセス防止装置。
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。
あるセグメントと他のセグメントとの間に接続したファイアウォールで不正アクセスを防止する不正アクセス防止プログラムにおいて、
コンピュータを、
あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスを検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
して動作させるための不正アクセス防止プログラム。
11:エージェント
12:クライアント情報
13:ARPテーブル
2:スイッチ
3:専用装置
31:DHCPサーバ
34:ファイアウォール
35:検疫マネージャ
36:情報送受信機能
37:検疫機能
38:メール送信機能
39:セキュリティポリシ情報
40:DHCPサーバ設定ファイル
41:セキュリティポリシ変更機能
42:不正PCチェック機能
Claims (6)
- 第1の端末と第2の端末との通信の中継処理を行なう中継装置であって、
前記第1の端末のMACアドレスと、前記第1の端末に関する情報を保持する保持手段と、
前記第1の端末から受信したアクセス要求に含まれるMACアドレスが、前記保持手段に保持されているMACアドレスと同じである場合に、前記第1の端末に第1のIPアドレスを割り当てる第1の割当手段と、
割り当てた前記第1のIPアドレスを用いて前記第1の端末から送信された前記第1の端末に関する情報を受信する受信手段と、
受信した前記第1の端末に関する情報を、前記保持手段が保持する前記第1の端末に関する情報と照合する照合手段と、
前記照合手段が照合した結果に基づいて、前記第1の端末から前記第2の端末のアクセスを許可するか否かを判断する判断手段と、
前記判断手段が前記第1の端末から前記第2の端末へのアクセスを許可すると判断した場合に、前記第1の端末に第2のIPアドレスを割り当てる第2の割当手段と、
割り当てた第2のIPアドレスを用いて行われる前記第1の端末から前記第2の端末へのアクセスを中継する中継手段と
を含むことを特徴とする中継装置。 - 前記第1の端末が前記中継装置を介さずに通信可能な他の端末のMACアドレスを収集する収集手段と、
前記判断手段が前記第1の端末のアクセスを許可しないと判断した場合に、前記収集手段で収集したMACアドレスに識別される前記他の端末に、前記他の端末が有する前記第1の端末のMACアドレスを無効なアドレスに書き換える指示を送信する送信手段と
をさらに含むことを特徴とする請求項1記載の中継装置。 - 前記第1の端末に関する情報が、前記第1の端末のハードウェアに関する情報であるBIOS番号、CPU番号およびハードディスク番号、前記第1の端末のソフトウェアに関する情報であるウィルスパターンバージョンおよびOSバージョン、並びに前記第1の端末に設定された情報である端末IDおよびログインIDのうち、いずれか少なくとも1つを含む情報であること
を特徴とする請求項1または請求項2記載の中継装置。 - 第1の端末と第2の端末との通信の中継処理を行なう中継装置であって、
該保持手段に保持したMACアドレスで識別される前記第1の端末のMACアドレスと、前記第1の端末に関する情報とを保持する保持手段と、
前記第1の端末から受信したアクセス要求に含まれるMACアドレスが、前記保持手段に保持されているMACアドレスと同じである場合に、前記第1の端末に第1のIPアドレスを割り当てる第1の割当手段と、
割り当てた前記第1のIPアドレスを用いて前記第1の端末から送信された前記第1の端末に関する情報を受信する受信手段と、
受信した前記第1の端末に関する情報を、前記保持手段が保持する前記第1の端末に関する情報と照合する照合手段と、
前記照合手段が照合した結果に基づいて、前記第1の端末と前記第2の端末との通信の中継を許可するか否かを判断する判断手段と、
前記判断手段が中継を許可しない判断をした場合に、前記保持手段に保持された前記第1の端末のMACアドレスを無効なアドレスに書き換える書換手段と
を含むことを特徴とする中継装置。 - 不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスとMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。 - 第1の端末と第2の端末との通信の中継処理を行なうコンピュータに、
前記第1の端末のMACアドレスと、前記第1の端末に関する情報を保持手段に保持し、
前記第1の端末から受信したアクセス要求に含まれるMACアドレスが、前記保持手段に保持されているMACアドレスと同じである場合に、前記第1の端末に第1のIPアドレスを割り当て、
割り当てた前記第1のIPアドレスを用いて前記第1の端末から送信された前記第1の端末に関する情報を受信し、
受信した前記第1の端末に関する情報を、前記保持手段が保持する前記第1の端末に関する情報と照合し、
照合した結果に基づいて、前記第1の端末から前記第2の端末のアクセスを許可するか否かを判断し、
前記第1の端末から前記第2の端末へのアクセスを許可すると判断した場合に、前記第1の端末に第2のIPアドレスを割り当て、
割り当てた第2のIPアドレスを用いて行われる前記第1の端末から前記第2の端末へのアクセスを中継すること
を実行させることを特徴とするアクセス制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005370977A JP4767683B2 (ja) | 2005-12-22 | 2005-12-22 | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005370977A JP4767683B2 (ja) | 2005-12-22 | 2005-12-22 | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007174406A JP2007174406A (ja) | 2007-07-05 |
JP4767683B2 true JP4767683B2 (ja) | 2011-09-07 |
Family
ID=38300354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005370977A Expired - Fee Related JP4767683B2 (ja) | 2005-12-22 | 2005-12-22 | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4767683B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009008076A1 (ja) | 2007-07-11 | 2009-01-15 | Fujitsu Limited | 認証システム、端末認証装置および認証処理プログラム |
JP2009048251A (ja) * | 2007-08-14 | 2009-03-05 | Japan Lucida Co Ltd | 機器データ管理システム |
JP4633837B2 (ja) | 2008-01-22 | 2011-02-16 | 富士通株式会社 | アドレス配信システム、方法およびそのためのプログラム |
US10868832B2 (en) * | 2017-03-22 | 2020-12-15 | Ca, Inc. | Systems and methods for enforcing dynamic network security policies |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11136274A (ja) * | 1997-10-28 | 1999-05-21 | Toshiba Corp | 通信管理システム、通信管理装置、ノード及び通信管理プログラムを記録した記録媒体 |
EP1041775A1 (en) * | 1999-03-30 | 2000-10-04 | International Business Machines Corporation | Router monitoring in a data transmission system utilizing a network dispatcher for a cluster of hosts |
GB2354605B (en) * | 1999-06-25 | 2002-06-19 | Jacobs Rimell | Automated provisioning system |
US20080250496A1 (en) * | 2003-10-07 | 2008-10-09 | Daisuke Namihira | Frame Relay Device |
-
2005
- 2005-12-22 JP JP2005370977A patent/JP4767683B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007174406A (ja) | 2007-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8256003B2 (en) | Real-time network malware protection | |
EP1313290B1 (en) | A personal firewall with location dependent functionality | |
JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
JP4327630B2 (ja) | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 | |
US7360242B2 (en) | Personal firewall with location detection | |
CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
KR101910605B1 (ko) | 무선 단말의 네트워크 접속 제어 시스템 및 방법 | |
JP2008504776A (ja) | 動的デバイスアドレス管理のための方法およびシステム | |
JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
WO2008072220A2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
JP2020017809A (ja) | 通信装置及び通信システム | |
JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
JP6616733B2 (ja) | ネットワークシステムおよびサーバ装置 | |
JP6134954B1 (ja) | ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム | |
KR101993860B1 (ko) | 네트워크 접속 제어 시스템 및 방법 | |
EP1294141A2 (en) | Method and apparatus for transferring packets in network | |
JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
JP2008141352A (ja) | ネットワークセキュリティシステム | |
WO2016170598A1 (ja) | 情報処理装置、方法およびプログラム | |
CN109547397B (zh) | 网络安全管理系统 | |
KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 | |
JP4381411B2 (ja) | ウィルス感染監視装置およびプログラム | |
KR102445916B1 (ko) | 네트워크에서의 단말 관리 장치 및 그 방법 | |
Takemori et al. | Detection of bot infected PC using destination-based IP address and domain name whitelists |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080416 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100709 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101113 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110305 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110517 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110615 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4767683 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140624 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |