JP4858484B2 - ネットワーク接続制御装置及びネットワークシステム - Google Patents

ネットワーク接続制御装置及びネットワークシステム Download PDF

Info

Publication number
JP4858484B2
JP4858484B2 JP2008119959A JP2008119959A JP4858484B2 JP 4858484 B2 JP4858484 B2 JP 4858484B2 JP 2008119959 A JP2008119959 A JP 2008119959A JP 2008119959 A JP2008119959 A JP 2008119959A JP 4858484 B2 JP4858484 B2 JP 4858484B2
Authority
JP
Japan
Prior art keywords
network
authentication
network interface
server
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008119959A
Other languages
English (en)
Other versions
JP2009272771A (ja
Inventor
文彦 杉山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Springsoft KK
Original Assignee
Springsoft KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Springsoft KK filed Critical Springsoft KK
Priority to JP2008119959A priority Critical patent/JP4858484B2/ja
Publication of JP2009272771A publication Critical patent/JP2009272771A/ja
Application granted granted Critical
Publication of JP4858484B2 publication Critical patent/JP4858484B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク接続制御装置、そしてこのネットワーク接続制御装置を用いたネットワークシステム適用して好適な技術に関する。
より詳細には、既存の企業の社内ネットワークに対し、容易にセキュリティ対策を導入できる、ネットワーク接続制御装置と、これを用いるネットワークシステムに関する。
今日、情報を迅速且つ有効に活用するために、社内のコンピュータ及び外部のコンピュータを結ぶネットワークは、企業活動に必要不可欠な存在になっている。その一方で、企業活動を脅かすネットワーク上の脅威が多く台頭している。すなわち、コンピュータウイルス、DoS攻撃、情報漏えい等、企業のネットワークは様々な脅威に晒されている。このため、企業のネットワークには様々なセキュリティ対策が施されてきている。そのセキュリティ対策は、ソフトウェア或はハードウェアの製品として導入され、その数は徐々に増えてきている。例えば、端末利用者の個人認証を行う装置、ネットワーク上の通信を監視する装置、端末の挙動を監視する装置等、様々である。
なお、本発明に類似すると思われる先行技術文献を特許文献1に示す。
特開2007−293719号公報 Rusty Russell, mailing list netfilter@lists.samba.org, 訳:山森 浩幸"Linux 2.4 Packet Filtering HOWTO"、[2008年4月14日検索]、インターネット<URL:http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html>
ネットワーク及びこれに接続される端末のセキュリティを確保するために導入される製品が増えれば増えるほど、製品の導入作業やメンテナンス作業等により、ネットワーク管理者の負担は増大する。また、端末の動作速度も低下し、一部ではこれらセキュリティ製品の導入によって、迅速な企業活動を却って阻害する状況も生じている。
本発明はかかる点に鑑みてなされたものであり、極めて簡素な導入作業で、企業の社内ネットワークに強力なセキュリティを実現することができる、新規なネットワーク接続制御装置、そしてこれを用いるネットワークシステム提供することを目的とする。
上記課題を解決するために、本発明のネットワーク接続制御装置は、認証サーバと接続される第一ネットワークインターフェースと、第一ネットワークインターフェースと認証サーバとの通信を確立するDHCPクライアントと、第一ネットワークインターフェースとは異なるサブネットを構成して端末と接続される第二ネットワークインターフェースと、ネットワーク構成情報を生成して第二ネットワークインターフェースと端末との通信を確立するDHCPサーバと、第一ネットワークインターフェースと第二ネットワークインターフェースとの通信のオン・オフを制御する接続制御部と、第一ネットワークインターフェースが認証サーバとの通信を確立したら、自身のIDを用いて認証サーバに認証を行う個体認証部と、個体認証部による認証が成功したことを受けて、外部から得られる個人認証情報を認証サーバに送信し、認証サーバから正常な個人認証情報である旨の認証結果を受信すると接続制御部をオン制御する個人認証部とを備える。
端末と社内LANとの間にネットワーク接続制御装置を挟み込み、端末を社内LANから分離する。ネットワーク接続制御装置は、個人認証情報を生成する装置から個人認証情報を受け取ると、これを認証サーバに送信して認証を受ける。認証を受けたら、内部のファイアウォールの機能を起動する。
本発明により、極めて簡素な導入作業で、企業のネットワークに強力なセキュリティを実現する、新規なネットワーク接続制御装置、及びこれを用いるネットワークシステムを提供できる。
以下、本発明の実施の形態を、図1〜図7を参照して説明する。
図1は、本発明の実施形態の例であるネットワークシステムの概略図である。
本発明のネットワークシステム101には、従来の端末及び社内サーバの他に、端末側ネットワーク接続制御装置と上流側ネットワーク接続制御サーバが追加されている。
周知のパソコンよりなる端末102には、端末側ネットワーク接続制御装置(以下「ローカルマスタ」)103が、USBインターフェースを介して接続されている。
ローカルマスタ103には個人認証情報生成装置104がUSBインターフェースを介して接続されている。
ローカルマスタ103はLAN105を通じて上流側ネットワーク接続制御サーバ(以下「ネットワークセンタ」)106に接続されている。
ネットワークセンタ106には複数の社内サーバ107とインターネット108が接続されている。
個人認証情報生成装置104は任意のものが利用可能である。一例としては、指紋読取装置、虹彩読取装置、静脈読取装置等の生体認証技術を用いた装置の他、暗証番号或はパスワードを入力するテンキー或はASCII配列キーボードでもよい。
この実施形態では、指紋読取装置であるものとして説明する。
ローカルマスタ103は個人認証情報生成装置104である指紋読取装置から指紋特徴データを受信すると、これをネットワークセンタ106に送信し、個人認証を試みる。
ネットワークセンタ106は受信した指紋特徴データを内部の個人認証マスタ(図5にて後述)と照合して、一定割合以上の特徴量の一致を確認すると、ユーザ認証を許可する旨のメッセージをローカルマスタ103に返信する。
ローカルマスタ103はこのメッセージを受け取ると、端末102とネットワークセンタ106側とのLAN105の接続を行う。
図2(a)及び(b)はローカルマスタ103の外観斜視図である。
図2(a)はローカルマスタ103を斜め正面から見た外観斜視図である。前面にはUSB−Aコネクタ202が二つ設けられている。このUSB−Aコネクタ202には、個人認証情報生成装置104が接続される。
図2(b)はローカルマスタ103を斜め裏面から見た外観斜視図である。前面にはUSB−Bコネクタ203が一つと、ネットワークコネクタ204が一つ設けられている。USB−Bコネクタ203は、図示しないUSB−Bケーブルを通じて端末102が接続される。ネットワークコネクタ204はLAN105ケーブルが接続され、その先にはネットワークセンタ106が接続される。
図3はローカルマスタ103のハードウェア構成を示すブロック図である。
マイクロコンピュータよりなるローカルマスタ103は、CPU302、ROM303、RAM304、不揮発性ストレージとしてのフラッシュメモリ305、第一USBインターフェース306、第二USBインターフェース307、そしてNIC(Network Interface Card)308が、バス309に接続されている。
ROM303にはBIOSの他に、OSのカーネルやライブラリ、そして管理用コマンド等の主要部分が格納されている。OSは例えばLinux(登録商標)である。
ローカルマスタ103はパソコンである端末102からUSBケーブルを介して、電源供給を受ける。つまり、ローカルマスタ103はバスパワードデバイスである。
図4はローカルマスタ103の機能ブロック図である。OSが起動して定常状態に落ち着くと、図4に示す機能ブロックが構成される。
ローカルマスタ103の内部は、二つのネットワークインターフェースが設定される。第一ネットワークインターフェースともいえる第一NIC402は、図3のNIC308である。
第一NIC402には、DHCP(Dynamic Host Configuration Protocol)クライアント403、個体認証部404と個人認証部405が稼動状態で接続されている。
DHCPクライアント403は、ネットワークセンタ106に備わっているDHCPサーバから、IPアドレス、ネットマスク、デフォルトゲートウェイ、ネームリゾルバ等のネットワーク構成情報を受けて、第一NIC402がネットワークに接続できるようにする。
個体認証部404はローカルマスタ103自身のIDとパスワードを用いて、ネットワークセンタ106に認証を行うと共に、NFS(Network File System)マウントを要求する。個体認証部404の実体はNFSクライアントである。
個体認証部404が認証に成功すると、ネットワークセンタ106の所定のディスク資源にNFSマウントを行う。これは後述するパケットモニタ410の、第一NIC402側のパケットをログ記録するためである。
個人認証部405は、個人認証情報生成装置104から出力される個人認証情報をネットワークセンタ106に送信し、認証結果を受信する。個人認証部405の実体はLDAP(Lightweight Directory Access Protocol)クライアントとNFSクライアントである。
個人認証部405が認証に成功すると、ネットワークセンタ106の所定のディスク資源にNFSマウントを行う。これは後述するパケットモニタ410の、第二ネットワークインターフェースともいえる第二NIC406側のパケットをログ記録するためである。そして、後述する接続制御部407を制御し、第一NIC402と第二NIC406との間の通信を許可する。
ホスト情報408は、ネットワークセンタ106の名前(FQDN:Fully Qualified Domain Name:完全修飾ドメイン名)或はIPアドレスが記述された定義ファイルである。個人認証部405及び個体認証部404はこれを頼りにネットワークセンタ106へ接続する。なお、第一NIC402側のネットワーク上にDNS(Domain Name System)サーバが存在すれば、定義ファイルにIPアドレスを記述せずとも、FQDNから名前解決(name resolution:DNSサーバ或はhostsファイルに問い合わせを行い、ネットワーク上の機器に付されているホスト名或はFQDNからIPアドレスに変換すること。)ができる。そうでない場合、或はDNSサーバにネットワークセンタ106のIPアドレスを登録していない場合は、ネットワークセンタ106のホスト名とIPアドレスを/etc/hostsに記述することで、DNSサーバの機能を代用できる。
第二NIC406には、DHCPサーバ409が稼動状態で接続されている。DHCPサーバ409は、端末102で稼動するDHCPクライアント403から発されるネットワーク構成情報の要求を受けて、ネットワーク構成情報を送信し、端末102が第二NIC406とネットワーク接続ができるようにする。
ここで、第一NIC402が接続されるネットワークと、第二NIC406が接続されるネットワークとは、全く異なるサブネットで構成されている。このため、接続制御部407で経路制御を行わない限り、第一NIC402側に存在するネットワーク機器からは、端末102のIPアドレスの存在はわからない。
第二NIC406は端末102のNICとして端末102側から認識される、ソフトウェアによって仮想的に構成されるNICである。Linux(登録商標)カーネルにはUSB−etherドライバという名称で存在する。つまり、第二NIC406は端末102のNICである。端末102から見ると、ローカルマスタ103はUSBインターフェースで接続されるNICとして認識される。
このため、第二NIC406にIPアドレスを付与し、TCP/IPネットワークを構成する作業は端末102の役目である。
したがって、端末102のOSが内包するDHCPクライアントを稼動させる必要がある。このため、ローカルマスタ103にはDHCPサーバ409が存在する。
接続制御部407は、第一NIC402と第二NIC406との間に介在し、通過するパケットのヘッダに付されているIPアドレスを付け替える機能を備える。これは、Linux(登録商標)のカーネルに備わっている、netfilterというモジュールによって実現する、パケットフィルタリングの機能であり、IPマスカレード或はNAPT(Network Address Port Translation)等と呼ばれる。
実体がnetfilterである接続制御部407を制御する手段が、iptablesというコマンドである。iptablesは、RAM304内に読み込まれているカーネルの所定の領域に、ネットワークインターフェースを出入りするパケットをどう取り扱うかを記す「ルール」を列挙するためのコマンドである。
また、iptablesによって記述されるルールによって、異常な挙動と思しきパケットをログ記録することができる。
接続制御部407とパケットモニタ410は、その実体はnetfilterであり、iptablesによって設定されるものである。
個人認証部405は、ネットワークセンタ106から認証が正常である旨のメッセージを受けると、接続制御部407に対して制御を実行する。具体的には、一例として以下のようなシェルスクリプトを実行することにより、iptablesを実行し、第一NIC402と第二NIC406との間においてパケットを通過可能にする。なお、行頭に「#」が付されている行は説明のためのコメントであり、シェルによって実行されない。
# filterターゲットに対するルール:
# INPUT/FORWARDチェインのポリシーの設定を「DROP」(破棄)に設定する。
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
# 第一NIC402に来る、TCPポート22番のパケットだけは入来を許可する。
/sbin/iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
# 第一NIC402に来る、内部から発された接続要求に由来するパケットは入来を許可する。
/sbin/iptables -t filter -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
# 第一NIC402に来る、それ以外のパケットの一部をログ記録する。
/sbin/iptables -t filter -A INPUT -i eth0 -m limit -j LOG
# 第一NIC402に来る、それ以外のパケットを破棄する。
/sbin/iptables -t filter -A INPUT -i eth0 -j DROP
# 第一NIC402に来る、端末102から発された接続要求に由来するパケットは入来を許可する。
/sbin/iptables -t filter -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
# 第一NIC402に来る、それ以外のパケットをログ記録する。
/sbin/iptables -t filter -A FORWARD -i eth0 -m limit -j LOG
# 第一NIC402に来る、それ以外のパケットを破棄する。
/sbin/iptables -t filter -A FORWARD -i eth0 -j DROP
# 第二NIC406から来たパケットの一部をログ記録する。
/sbin/iptables -t filter -A FORWARD -i eth1 -m limit -j LOG
# 第二NIC406から来たパケットの一部を解析用にネットワークセンタ106に送る。
/sbin/iptables -t filter -A FORWARD -i eth1 -m limit -j QUEUE
# 第二NIC406から来たパケットの全ての転送を許容する。
/sbin/iptables -t filter -A FORWARD -i eth1 -j ACCEPT
# natターゲットに対するルール:
# 第二NIC406から来たパケットのIPアドレスを書き換える(IPマスカレード)。
/sbin/iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE
上述のシェルスクリプト中、「eth0」はカーネルが認識する第一NIC402であり、「eth1」はカーネルが認識する第二NIC406である。
iptablesによってもたらされるこれらルールは、典型的なパケットフィルタリングファイアウォールを実現する。
なお、TCPポート22番だけを開けているのは、ネットワークセンタ106からSSH(Secure SHell)による接続を許容するためである。
上述のシェルスクリプトに記述される、iptablesのルールを工夫するだけで、DoS(Denial of Services)攻撃を始めとする様々な外部からの不正アクセス等から端末102を防御することができる。
上述のシェルスクリプト中、iptablesの「QUEUE」ターゲットが指定されているコマンド行では、端末102から発され第二NIC406から来たパケットの一部が取り出され、ip_queueモジュールに渡される。パケットモニタ410には、その内部にip_queueモジュールからパケットを取り出して、解析用にネットワークセンタ106に送るプログラムが組み込まれている。ネットワークセンタ106は、図5で後述するアクセス解析部511にてパケットの解析を行い、不正なアクセスであると判断した時には、アクセス制御部512からパケットモニタ410を介して、接続制御部407をオフ制御する。
以上より、ネットワークセンタ106は、端末102に対する通信を監視するモニタ装置でもある。
また、パケットモニタ410が異常なパケットを検出した時に接続を遮断する際には、一例として以下のようなシェルスクリプトを実行する。
# IPマスカレードの設定を消去する。
/sbin/iptables -t nat -F POSTROUTING
# フィルタリングの設定を消去する。
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t filter -F FORWARD
# 第一NIC402に来る、TCPポート22番のパケットだけは入来を許可する。
/sbin/iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
以上のようなフィルタリングのルールは、非特許文献1にルールを作成するための技術内容が開示されている。
ログ記録は、パケットモニタ410が構成する、ごく小容量の記憶領域に書き出された後、第一NIC402のNFSマウントされているネットワークディスク資源に、第一NIC402と第二NIC406の記録に分けて書き出される。
図5はネットワークセンタ106の機能ブロック図である。ネットワークセンタ106のハードウェア構成も、周知のパソコン等と同じ、サーバ機器であるので、ハードウェア構成の図示は省略する。
ネットワークセンタ106も、Linux(登録商標)が稼動する。勿論、BSD系等、他のPOSIX系OSでもよい。
NIC502には、DHCPサーバ503が接続され、稼動する。DHCPサーバ503は複数のローカルマスタ103にネットワーク構成情報を提供する。
個体ログ記録部504はNFSサーバである。個体認証マスタ505の実体は「/etc/passwd」である。つまり、ローカルマスタ103の個体認証部404に格納されているユーザIDは、ネットワークセンタ106に登録されているユーザアカウントと等しい。個体ログ領域506は各ユーザアカウントのホームディレクトリ配下に設けられた、NFSマウントポイントである。
ここに、ローカルマスタ103の第一NIC402にて採取される異常パケットがパケットモニタ410によって検出され、ログ記録が行われる。
個人認証部507の実体は、LDAPサーバである。個人認証マスタ508は、個人認証情報生成装置104が発する個人認証情報に対応するデータが格納されている。
個人ログ記録部509はNFSサーバである。個人ログ領域510は個人認証マスタ508に登録されている各ユーザアカウントに向けて設けられた、NFSマウントポイントである。ここに、ローカルマスタ103の第二NIC406にて採取される異常パケットがパケットモニタ410によって検出され、ログ記録が行われる。
また、パケットモニタ410によって採取される、端末102から発され第二NIC406から来たパケットの一部も個人ログ記録部509を通じて個人ログ領域510に記録される。そして、これら記録されたパケットの中身がアクセス解析部511によって解析される。
ここで、パケットモニタ410によって採取される、端末102から発され第二NIC406から来たパケットの一部を「異常パケット」と記さないのには理由がある。第二NIC406から発されるパケットのどれが異常或は悪意あるアクセスなのかを特定することは、ローカルマスタ103内のiptablesのルールだけでは判別が困難である。そこで、先のシェルスクリプトでは、端末102から発される、外部へ発されるパケットの一部に限定して記録する。これがiptablesの「-m limit」オプションである。このオプションが指定されると、最初のアクセス要求から5パケット分だけを指定することとなる。アクセス解析部511は、このパケットを解析して、異常或は悪意あるアクセスであるのかを判別する。
アクセス制御部512は、アクセス解析部511が異常或は悪意あるアクセスであると判別した結果を受けて、対象となるローカルマスタ103のパケットモニタ410に、接続を遮断する命令を発する。具体的には、SSHクライアントであり、対象となるローカルマスタ103にSSHログインして、iptablesを実行する。
図6と図7は、ネットワーク内の各機器の動作を記したシーケンス図である。
端末102の電源を投入すると(S601)、端末102はOSを読み込み、ブートを開始する(S602)。程なくして、端末102のUSBインターフェース306が活性化され、USBインターフェース306からバスパワーが供給されるようになる(S603)。すると、USBケーブルを通じて端末102に接続されているローカルマスタ103に、USBケーブルのバスパワーが供給され、電源が投入される(S604)。すると、ローカルマスタ103も端末102と同様にOSを読み込み、ブートを開始する(S605)。
ローカルマスタ103のOSがブートを開始すると、図示しない不揮発性ストレージに構成されているファイルシステムの/etc/init.d/ディレクトリ以下に格納されている、種々のシェルスクリプトを所定の順番に起動する。それらシェルスクリプト群の中には、DHCPサーバ409とDHCPクライアント403を起動するシェルスクリプトも存在しており、それぞれ他のプログラムと共に起動される(S606、S607)。なお、iptablesによる接続制御部407のルーティング機能は、これらには含まれていないので、初期状態の時点ではルーティングオフとなっている(S608)。
一方、端末102ではOSのブート(S602)の後、DHCPクライアント403が起動する(S609)。端末102の図示しないDHCPクライアントはブロードキャストパケットを発して、ネットワーク上に存在するであろうDHCPサーバに対してネットワーク構成情報を要求する(S610)。ローカルマスタ103のDHCPサーバ409が起動していないうちは、構成情報の取得に失敗する(S611)。しかし、DHCPサーバ409が起動した後では(S612)、DHCPサーバ409は端末102のDHCPクライアントが発したブロードキャストパケットを受信すると、ネットワーク構成情報を端末102のDHCPクライアントへ送信する(S613)。DHCPクライアント403がネットワーク構成情報を受信すると、ネットワークの構成が完了する(S614)。これ以降は端末102とローカルマスタ103間の通信が可能になる。しかし、この時点ではルーティングがオフになっている(S608)ので、ローカルマスタ103を経由して社内サーバ107へ接続を試みようとしても(S615)失敗する(S616)。
ステップS605にて、ローカルマスタ103のOSがブートし、初期動作のための/etc/init.d/ディレクトリ配下にあるシェルスクリプトが起動されると、DHCPクライアント403も起動する(S607)。すると、DHCPクライアント403はブロードキャストパケットを発して、ネットワーク上に存在するであろうDHCPサーバに対してネットワーク構成情報を要求する(S617)。ネットワークセンタ106のDHCPサーバ503はこのブロードキャストパケットを受信すると、DHCPクライアント403に対してネットワーク構成情報を送信する(S618)。DHCPクライアント403がネットワーク構成情報を受信すると、第一NIC402にIPアドレスが付与され、ネットワークの構成が完了する(S619)。これ以降、ローカルマスタ103はネットワークセンタ106や社内サーバ107、或はインターネット108等との通信が可能になる。
ローカルマスタ103の第一NIC402側のネットワークの構成が完了すると(S619)、個体認証部404が起動し、ネットワークセンタ106へ個体認証とNFSマウントを要求する(S620)。ネットワークセンタ106の個体ログ記録部504はその要求を受け取り、個体認証の後NFSマウントを許可する(S621)。ローカルマスタ103はこれを受けて、ネットワークセンタ106の個体ログ領域506をNFSマウントする(S622)。これ以降、個体ログ領域506へログ記録が可能になる(図7のS723)。
ローカルマスタ103に接続されている、個人認証情報生成装置104である指紋読取装置に指紋を読み取らせると、指紋読取装置は指紋特徴データを生成する。そして、指紋特徴データは個人認証部405に送られる。個人認証部405はこの指紋特徴データをLDAPプロトコルを用いてネットワークセンタ106に送信し、個人認証を要求すると共に、NFSマウントも要求する(S724)。
ネットワークセンタ106の個人認証部507は指紋特徴データを受信すると、その認証を行う。そして、個人ログ記録部509を制御してNFSマウントを許可する(S725)。
個人認証が正常に行われた旨のメッセージはローカルマスタ103の個人認証部405に返信され、NFSマウントも実行される(S726)。
その後、個人認証部405は接続制御部407に対し、ルーティングを有効にするべく命ずる。実際は、先に示したシェルスクリプトにてiptablesを実行し、netfilterのIPマスカレード機能を有効にする(S727)。
これ以降は、端末102がローカルマスタ103を経由して社内サーバ107へ接続を試みると(S728)、接続制御部407内でパケットに付されている送信元IPアドレスの書き換えが行われ(S729)、社内サーバ107に接続要求が送信できる。社内サーバ107は、接続要求を受信すると、当該端末102を使用しているユーザは個人認証済みであるか否かを、ネットワークセンタ106の個人認証部507に問い合わせる(S730)。ネットワークセンタ106の個人認証部507は個人認証結果の情報を社内サーバ107へ返信する(S731)。社内サーバ107は当該ユーザが正常に個人認証を済ませていることを確認すると、アクセスを許可し、端末102から要求された内容(コンテンツ)を返信する(S732)。コンテンツが格納されているパケットの送信先IPアドレスはローカルマスタ103の接続制御部407で再び変換されて(S733)、端末102に届く(S734)。
本実施形態には、以下のような応用例が考えられる。
(1)上述の実施形態では、ネットワークセンタ106は一種の認証サーバの機能を提供しているが、更にルータとしての機能を持たせることもできる。つまり、端末102が社内サーバ107やインターネット108へアクセスする際には、必ずルータであるネットワークセンタ106を通過しなければならない、という実装にすることもできる。
(2)ネットワークセンタ106にはLDAPサーバである個人認証部507と共にDHCPサーバ503も内包しているが、DHCPサーバ503は外部に存在していてもよい。特に、既にDHCPサーバが存在する既存の社内LANにネットワークセンタ106を設置する場合、DHCPサーバ503の機能は無効にすることが必要になる。
(3)端末とローカルマスタをUSBケーブルで接続する代わりに、LANケーブルで接続することもできる。
前述の実施形態では、端末102とローカルマスタ103の間はUSBケーブルで接続されていた。このため、第二NIC406はソフトウェアNICで構成されていた。これが、LANケーブルで接続する場合には、第二NICをハードウェアNICで構成することとなる。
図8(a)及び(b)は、端末とローカルマスタとの間の接続形態の違いを説明するためのブロック図である。
図8(a)は、前述のローカルマスタ103の接続形態を示す図である。但し、ローカルマスタ103内のネットワーク構成に直接関係しない部分の図示は省略している。
図8(a)において、ローカルマスタ103は端末102とUSBケーブル808で接続されている。このローカルマスタ103内のDHCPサーバ409は、端末102内のDHCPクライアント802から発されるネットワーク構成情報の要求を受けると、DHCPクライアント802にネットワーク構成情報を提供する。すると、DHCPクライアント802はローカルマスタ103内の第二NIC406に、DHCPサーバ409から貸与されたIPアドレスを割り当てる。
図8(b)は、端末102とLANケーブルで接続される別のローカルマスタ803の接続形態を示す図である。ローカルマスタ803はローカルマスタ103と実質的に殆ど同じ構成である。唯一、第二NICがハードウェアNICで構成されており、端末102に装備されているNIC804とLANケーブル809を介して接続されている点が異なる。
ローカルマスタ803内のDHCPサーバ409は、端末102のDHCPクライアント802から発されるネットワーク構成情報の要求を受けると、DHCPクライアント802にネットワーク構成情報を提供する。すると、DHCPクライアント802は端末102内部のNIC804にDHCPサーバ409から貸与されたIPアドレスを割り当てる。
ここで、図8(a)のローカルマスタ103と図8(b)のローカルマスタ803とでは、第二NICの役割が異なる。
図8(a)のローカルマスタ103の第二NIC406は、端末102のNICとして用いられる。
図8(b)のローカルマスタ803の第二NIC805は、端末102のNICとしてではなく、端末102に装備されているNICと通信するためのものである。このため、第二NIC805は、予め固定のプライベートIPアドレス806が設定されている。
以上のように、図8(a)と(b)とでは、ネットワークの構成は若干変わる。しかし、いずれの場合でも、DHCPサーバ409が必要であることに変わりはない。
(4)ローカルマスタをパソコン用拡張ボードとして形成することができる。
図9は端末とパソコン用拡張ボードとして形成したローカルマスタを示す概略図である。
パソコンである端末102を開けると、内部のマザーボード904にはPCIスロット902が設けられている。ローカルマスタ903は、このPCIスロット902に装着できるPCI拡張ボードとして形成されている。
図10はローカルマスタ903のネットワーク構成を示す概略ブロック図である。
図10に示す機能ブロックの構成は、図8(a)で示した構成と殆ど変わらない。図8(a)のローカルマスタ103は、端末102とはUSBインターフェース306を用いて接続されていた。一方、図10では、図8(a)のUSBインターフェース306の代わりに、PCIインターフェース1002が置き換わっている。つまり、ローカルマスタ903と端末102は、PCIスロット902及び1004を通じて、図示しない端末102のPCIバスとPCIインターフェース1002が接続されることによって相互通信を確立する。
図9に示すローカルマスタ903は、図2に示すローカルマスタ103と異なり、ケース等を用いないので製造コストの面で有利である。
(5)ネットワークはIPv4であってもIPv6であってもよい。
本実施形態では、ネットワークシステム、及びこれに用いられる端末側ネットワーク接続制御装置と上流側ネットワーク接続制御サーバを開示した。
従来、端末であるパソコンは社内LANに直接接続されていた。このため、ネットワーク及び端末自身のセキュリティを確保するためのソフトウェアを、端末に導入しなければならなかった。
本実施形態のネットワークシステムは、端末側ネットワーク接続制御装置を用いて、端末を社内LANから分離した。そして、上流側ネットワーク接続制御サーバと協調動作することで、端末側ネットワーク接続制御装置に個人認証の仕組みと、これによって起動されるファイアウォールの機能を導入した。
この、個人認証機能を導入することにより、第三者による端末の不正使用を防止できる。仮に端末を不正利用できたとしても、個人認証が完遂されない限り、端末は社内LANへ接続できないので、社内サーバ等を含む社内LAN全体の安全を確保できる。
また、パケットフィルタリングファイアウォール機能により、端末に対する不正アクセスに対して端末を防御できる。
更に、端末と社内LANとの間を通過するパケットの監視ができるので、端末から不用意なサイトへのアクセスを遮断することもできる。
以上に列挙した機能は、従来では端末にソフトウェアを沢山インストールする必要があった。本実施形態では、端末側ネットワーク接続制御装置がそれを肩代わりする形態となる。つまり、端末側にセキュリティのためのソフトウェアをインストールする手間が省けるので、ネットワーク管理が極めて容易になる。
以上、本発明の実施形態例について説明したが、本発明は上記実施形態例に限定されるものではなく、特許請求の範囲に記載した本発明の要旨を逸脱しない限りにおいて、他の変形例、応用例を含むことは言うまでもない。
本発明の実施形態の例であるネットワークシステムの概略図である。 ローカルマスタの外観斜視図である。 ローカルマスタのハードウェア構成を示すブロック図である。 ローカルマスタの機能ブロック図である。 ネットワークセンタの機能ブロック図である。 ネットワーク内の各機器の動作を記したシーケンス図である。 ネットワーク内の各機器の動作を記したシーケンス図である。 端末とローカルマスタとの間の接続形態の違いを説明するブロック図である。 端末とパソコン用拡張ボードとして形成したローカルマスタを示す概略図である。 ローカルマスタのネットワーク構成を示す概略ブロック図である。
符号の説明
101…ネットワークシステム、102…端末、103…ローカルマスタ、104…個人認証情報生成装置、105…LAN、106…ネットワークセンタ、107…社内サーバ、108…インターネット、202…USB−Aコネクタ、203…USB−Bコネクタ、204…ネットワークコネクタ、302…CPU、303…ROM、304…RAM、305…フラッシュメモリ、306…第一USBインターフェース、307…第二USBインターフェース、308…NIC、309…バス、402…第一NIC、403…DHCPクライアント、404…個体認証部、405…個人認証部、406…第二NIC、407…接続制御部、408…ホスト情報、409…DHCPサーバ、410…パケットモニタ、502…NIC、503…DHCPサーバ、504…個体ログ記録部、505…個体認証マスタ、506…個体ログ領域、507…個人認証部、508…個人認証マスタ、509…個人ログ記録部、510…個人ログ領域、511…アクセス解析部、512…アクセス制御部、802…DHCPクライアント、803…ローカルマスタ、804…NIC、805…第二NIC、806…プライベートIPアドレス、808…USBケーブル、809…LANケーブル、902…PCIスロット、903…ローカルマスタ、904…マザーボード、1002…PCIインターフェース、1004…PCIスロット

Claims (5)

  1. 認証サーバと接続される第一ネットワークインターフェースと、
    前記第一ネットワークインターフェースと前記認証サーバとの通信を確立するDHCPクライアントと、
    前記第一ネットワークインターフェースとは異なるサブネットを構成して端末と接続される第二ネットワークインターフェースと、
    ネットワーク構成情報を生成して前記第二ネットワークインターフェースと前記端末との通信を確立するDHCPサーバと、
    前記第一ネットワークインターフェースと前記第二ネットワークインターフェースとの通信のオン・オフを制御する接続制御部と、
    前記第一ネットワークインターフェースが前記認証サーバとの通信を確立したら、自身のIDを用いて前記認証サーバに認証を行う個体認証部と、
    前記個体認証部による認証が成功したことを受けて、外部から得られる個人認証情報を前記認証サーバに送信し、前記認証サーバから正常な個人認証情報である旨の認証結果を受信すると前記接続制御部をオン制御する個人認証部と
    を備えるネットワーク接続制御装置。
  2. 前記接続制御部は、前記個人認証部にてオン制御されると、前記第一ネットワークインターフェースと前記第二ネットワークインターフェースとの間を通過するパケットに付されているIPアドレスを書き換える請求項1記載のネットワーク接続制御装置。
  3. 更に、
    前記端末から発されて前記第一ネットワークインターフェースを介して前記第二ネットワークインターフェースを通過するパケットの一部を前記第二ネットワークインターフェースに接続されている所定のモニタ装置に送信するパケットモニタを備える請求項2記載のネットワーク接続制御装置。
  4. 任意の個人認証情報送信元から前記個人認証情報を受信すると前記個人認証情報送信元に認証結果を送信する認証サーバと、
    端末と、
    前記個人認証情報を生成する個人認証情報生成装置と、
    ネットワーク構成情報を生成する第一のDHCPサーバと、
    前記認証サーバ及び前記第一のDHCPサーバと接続される第一ネットワークインターフェースと、前記第一のDHCPサーバからネットワーク構成情報を受信して前記第一ネットワークインターフェースと前記認証サーバとの通信を確立するDHCPクライアントと、前記第一ネットワークインターフェースとは異なるサブネットを構成して前記端末と接続される第二ネットワークインターフェースと、ネットワーク構成情報を生成して前記第二ネットワークインターフェースと前記端末との通信を確立する第二のDHCPサーバと、前記第一ネットワークインターフェースと前記第二ネットワークインターフェースとの通信のオン・オフを制御する接続制御部と、前記第一ネットワークインターフェースが前記認証サーバとの通信を確立したら、自身のIDを用いて前記認証サーバに認証を行う個体認証部と、前記個体認証部による認証が成功したことを受けて、前記個人認証情報生成装置から得られる前記個人認証情報を前記認証サーバに送信し、前記認証サーバから正常な個人認証情報である旨の認証結果を受け取ると前記接続制御部をオン制御する個人認証部とを備えるネットワーク接続制御装置と
    を具備するネットワークシステム。
  5. 前記第一のDHCPサーバは前記認証サーバと一体的に設けられている、請求項4記載のネットワークシステム。
JP2008119959A 2008-05-01 2008-05-01 ネットワーク接続制御装置及びネットワークシステム Expired - Fee Related JP4858484B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008119959A JP4858484B2 (ja) 2008-05-01 2008-05-01 ネットワーク接続制御装置及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008119959A JP4858484B2 (ja) 2008-05-01 2008-05-01 ネットワーク接続制御装置及びネットワークシステム

Publications (2)

Publication Number Publication Date
JP2009272771A JP2009272771A (ja) 2009-11-19
JP4858484B2 true JP4858484B2 (ja) 2012-01-18

Family

ID=41438957

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008119959A Expired - Fee Related JP4858484B2 (ja) 2008-05-01 2008-05-01 ネットワーク接続制御装置及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP4858484B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4908609B2 (ja) * 2010-04-08 2012-04-04 株式会社スプリングソフト ネットワークシステム
JP4802295B1 (ja) * 2010-08-31 2011-10-26 株式会社スプリングソフト ネットワークシステム及び仮想プライベート接続形成方法
JP5617108B2 (ja) * 2011-07-14 2014-11-05 岩▲崎▼ 哲夫 静的nat形成装置、リバースプロキシサーバ及び仮想接続制御装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001086160A (ja) * 1999-09-14 2001-03-30 Aiwa Co Ltd データ通信方法及び通信端末装置
JP3459893B2 (ja) * 2000-02-10 2003-10-27 Necアクセステクニカ株式会社 ターミナルアダプタ
JP4092858B2 (ja) * 2000-06-05 2008-05-28 日本電気株式会社 インターネット接続におけるセキュリティ方法およびターミナルアダプタ装置
JP2003229927A (ja) * 2002-01-31 2003-08-15 Eastera Kk ネットワーク接続における情報通信機器の接続制御方法とこれを実施したネットワーク接続制御装置
JP3819804B2 (ja) * 2002-05-09 2006-09-13 日本電信電話株式会社 Ipネットワーク接続機能を備えたネットワークインターフェイスを用いる通信方式およびその装置
JP2006215795A (ja) * 2005-02-03 2006-08-17 Fuji Xerox Co Ltd サーバ装置、制御方法およびプログラム
JP2007323553A (ja) * 2006-06-05 2007-12-13 Hitachi Ltd ネットワーク上の暗号化通信を行うアダプタ装置及びicカード

Also Published As

Publication number Publication date
JP2009272771A (ja) 2009-11-19

Similar Documents

Publication Publication Date Title
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
Pa et al. IoTPOT: A novel honeypot for revealing current IoT threats
US5550984A (en) Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US20210136037A1 (en) Endpoint security domain name server agent
US20120185563A1 (en) Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device
US10404747B1 (en) Detecting malicious activity by using endemic network hosts as decoys
US8769128B2 (en) Method for extranet security
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN113824791B (zh) 一种访问控制方法、装置、设备及可读存储介质
US7134140B2 (en) Token-based authentication for network connection
US20100064353A1 (en) User Mapping Mechanisms
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
JP4858484B2 (ja) ネットワーク接続制御装置及びネットワークシステム
US20050160160A1 (en) Method and system for unified session control of multiple management servers on network appliances
Yamanoue et al. A malicious bot capturing system using a beneficial bot and Wiki
Cisco PIX Firewall Series Version 4.1(6) Release Notes
Cisco PIX Firewall Series Version 4.1(7) Release Notes
Yamanoue et al. Capturing malicious bots using a beneficial bot and wiki
Cisco PIX Firewall Series Version 4.1.5 Release Notes
Cisco PIX Firewall Series Version 4.1.5 Release Notes
Cisco Chapter 3 - Advanced Data-Only Configurations
Cisco A through B Commands
Cisco Chapter 3 - Advanced Data-Only Configurations
JP5622088B2 (ja) 認証システム、認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110329

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20110329

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20110531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110607

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111004

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111017

R150 Certificate of patent or registration of utility model

Ref document number: 4858484

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141111

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141111

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141111

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees