JP4895793B2 - ネットワーク監視装置及びネットワーク監視方法 - Google Patents
ネットワーク監視装置及びネットワーク監視方法 Download PDFInfo
- Publication number
- JP4895793B2 JP4895793B2 JP2006340651A JP2006340651A JP4895793B2 JP 4895793 B2 JP4895793 B2 JP 4895793B2 JP 2006340651 A JP2006340651 A JP 2006340651A JP 2006340651 A JP2006340651 A JP 2006340651A JP 4895793 B2 JP4895793 B2 JP 4895793B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- quarantine
- frame
- network
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法に属する。
社内LANなど保護されたネットワークを保護するため、ネットワークへの接続を制限する、いわゆる、ネットワーク監視装置が知られている。このような技術は、例えば、特開2003−303118号公報に記載されている。
このような検疫ネットワークで、特に、外部から持ち込まれたコンピュータなどを、保護されたネットワークへの接続を許可する前に、当該コンピュータのオペレーティングシステムやウィルス検出ソフトがアップデートされているか確認し、アップデートされていない場合、当該コンピュータのオペレーティングシステムやウィルス検出ソフトのバージョンアップソフトを供給する必要がある。
そのためには、認証スイッチを利用することが考えられる。すなわち、外部から持ち込まれたコンピュータを社内LANなどの保護されたネットワークに接続する際、検疫ネットワーク機能をサポートしたスイッチングハブがそのコンピュータが接続されたポートを、保護されたネットワークとは仮想的に切り離されたヴァーチャルLAN(VLAN)により構成された検疫ネットワークに接続した。そして、検疫ネットワーク上でオペレーティングシステム(OS)やウィルス検出ソフトのアップデートが完了すると、スイッチングハブが当該コンピュータと接続するポートを保護されたネットワーク側に所属するようVLANの設定を変更する。
しかしながら、保護されたネットワークにおいて、端末が接続するスイッチングハブから、検疫サーバが接続するスイッチングハブまで、その経路上のすべてのスイッチングハブが検疫ネットワーク機能をサポートすることが必要である。
また、認証DHCP方式を利用することが考えられる。すなわち、外部から持ち込まれたコンピュータがDHCPを用いてIPアドレスを取得する際、DHCPサーバが検疫ネットワーク用のIPアドレスとデフォルト・ゲートウェイIPアドレスを当該コンピュータに割り当てる。検疫ネットワーク用のIPアドレスは保護されたネットワークとはIPアドレス体系が異なるため、当該コンピュータが保護されたネットワーク内の装置と通信することはできない。当該コンピュータは検疫ネットワーク上でOSやウィルス検出ソフトのアップデートが完了すると、保護されたネットワークと接続可能なIPアドレスやデフォルト・ゲートウェイIPアドレスが再び割り当てられ、保護されたネットワーク内の装置と通信することが可能となる。
また、保護されたネットワークがDHCPを用いる環境でなら適用できるが、IPアドレスを固定で割り振るネットワーク環境では適用することができず、また、DHCPを用いる環境であってもIPアドレスを固定で割り当てた装置に対しては効果がない。
さらに、パーソナル・ファイアウォールを利用することが考えられる。すなわち、保護されたネットワークと接続するコンピュータにあらかじめファイアウォール機能を持つソフトウェアをインストールしておく。当該コンピュータが保護されたネットワークに接続しようとした際は、OSやウィルス検出ソフトのアップデートプログラムが保存された検疫サーバとのみ通信できるよう、パーソナル・ファイアウォールが通信を制限する。アップデートが完了するとパーソナル・ファイアウォールの制限が解除され、保護されたネットワーク内の装置と通信が可能になる。
しかしながら、保護されたネットワークに接続する可能性があるコンピュータにあらかじめパーソナル・ファイアウォールのソフトウェアをインストールする必要があり、これがインストールされていない装置に対しては効果がない。
本発明の目的は上記した問題点の少なくとも1つを解決することが可能なネットワーク
監視装置及びネットワーク監視方法を提供することにある。
監視装置及びネットワーク監視方法を提供することにある。
上記目的を達成するために、本発明では、あるIPアドレスに対応する物理アドレスを探索するARP要求としてのフレームを前記ノードから受信すると、前記ARP要求を送信したノードが検疫対象ノードである場合、前記IPアドレスに対応する物理アドレスが自己の物理アドレスであることを示すARP応答を送信し、送信先物理アドレスが自宛の物理アドレスであるフレームを受信すると、送信先IPアドレスが所定の接続許可サーバ宛のIPアドレスである場合、受けたフレームを、前記所定の接続許可サーバ宛に転送するように構成した。
具体的には、イーサネット上のイーサフレームを受信するフレーム受信処理部と、イーサフレームを送信するフレーム送信処理部と、検疫ネットワークに接続する装置に関する情報を蓄える接続可否情報テーブルと、受信したイーサフレームと接続可否情報テーブルからARPフレーム送信を判断する接続可否判断処理部と、接続可否判断処理部からの指示に従いARPフレームを送信するARP応答フレーム生成部と、検疫に必要となるソフトウェアを記憶するOS/ウィルス検出ソフトのアップデートデータ保存部を備えるイーサネットのブロードキャスト・ドメインに接続する監視装置を用い、検疫対象装置からのARP要求に応じてARP応答を送信することで検疫ネットワークを実現したものである。
本発明によれば、外部から持ち込まれたコンピュータ等のノードに対して、ネットワークのノードへの通信を許可する前に、コンピュータのオペレーティングシステムやウィルス検出ソフト等を適切なバージョンに保つことが可能となる。
以下、本発明の実施例を、図面を用いて説明する。
図1は本発明の検疫ネットワーク方式の実施例1である。本構成例では、イーサネットによる1つのブロードキャスト・ドメインからなるネットワーク104に、監視装置100と、いくつかの装置101a,101b,検疫対象装置103が接続されている。本実施例では、OS/ウィルス検出ソフトのアップデートデータを保持する検疫サーバを監視装置100が兼ねる。
図2は実施例1における監視装置100の構成であり、ネットワーク104に接続するフレーム受信処理部201,フレーム送信処理部202,OS/ウィルス検出ソフトのアップデートデータ保存部203,接続可否判断処理部204,接続可否情報テーブル205、ARP応答フレーム生成部206からなる。なお、ARP(Address Resolution
Protocol)は、TCP/IPプロトコルにおいて、IPアドレスからMACアドレスを求めるためのプロトコルのことである。具体的には、自分のイーサーネットアドレスと自分のIPアドレス、そして通信先のIPアドレスの3つの組を、ARP要求として、LAN上へブロードキャストする。LAN上の各ノードはARP問い合わせのブロードキャストを監視しているので、自分のIPアドレスが指定されていれば、ARP応答として、パケットに自分のMACアドレスを入れて応答を返す。このARP要求と、ARP応答によって、IPアドレスからMACアドレスを得る。なお、MACアドレスとは、イーサネットでフレームの送受信を行うための物理的なアドレスであり、世界中で同じ物理アドレスを持つことがないように、すべて異なる固有のアドレスが割り当てられている。また、IPアドレスは、TCP/IPプロトコルを使用しているネットワーク等で、サーバやクライアント,ルータなどのノードごとに割り振られた固有のアドレスであり、通信先の機器を指定するために使われる。
Protocol)は、TCP/IPプロトコルにおいて、IPアドレスからMACアドレスを求めるためのプロトコルのことである。具体的には、自分のイーサーネットアドレスと自分のIPアドレス、そして通信先のIPアドレスの3つの組を、ARP要求として、LAN上へブロードキャストする。LAN上の各ノードはARP問い合わせのブロードキャストを監視しているので、自分のIPアドレスが指定されていれば、ARP応答として、パケットに自分のMACアドレスを入れて応答を返す。このARP要求と、ARP応答によって、IPアドレスからMACアドレスを得る。なお、MACアドレスとは、イーサネットでフレームの送受信を行うための物理的なアドレスであり、世界中で同じ物理アドレスを持つことがないように、すべて異なる固有のアドレスが割り当てられている。また、IPアドレスは、TCP/IPプロトコルを使用しているネットワーク等で、サーバやクライアント,ルータなどのノードごとに割り振られた固有のアドレスであり、通信先の機器を指定するために使われる。
図8に接続可否情報テーブル205の構成を示す。本テーブルはネットワーク104に接続するそれぞれの装置に関するMACアドレス810,IPアドレス811,ステータス812の組からなる。ステータス812が接続許可となっている装置間の通信については、監視装置100は一切干渉しない。ステータス812が検疫対象となっている装置については、当該装置と監視装置100との間の通信のみ可能となるよう監視装置100が処理を行う。本テーブルにエントリのない装置は接続を許可しない装置である。検疫対象装置103は外部から持ち込まれたコンピュータで、ネットワークとの接続は許可されているが、OS/ウィルス検出ソフトのアップデートが必要であるものとする。検疫対象装置103は他装置との通信のため、ARP要求フレームをブロードキャストで送信する。
図3にARP要求フレームを示す。検疫対象装置103がARP要求フレームを送信する場合、送信元MACアドレス301には検疫対象装置103のMACアドレスが、送信元IPアドレス302には検疫対象装置103のIPアドレスが入る。宛て先MACアドレス303には0が入る。宛て先IPアドレスには検疫対象装置103が通信しようとする相手装置のIPアドレスが入る。
図4に監視装置100内の接続可否判断処理部204の処理フローを示す。処理401で受信したフレームのプロトコル種別を判断し、ARP以外なら処理を終了する。処理
402で受信したARPの種別を判定し、ARP応答なら処理を終了する。処理403で受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に接続許可装置として登録されているか判断する。登録済みならば処理を終了する。処理404で受信したARP要求の送信元IPアドレスを使用している接続許可装置はあるかを判断する。なければ処理405を、あれば処理406を実施する。処理405では不正装置排除用
ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。処理406では不正装置排除用ARP応答bをブロードキャスト送信する。これは検疫対象装置103がすでに他の装置に割り当てられているIPアドレスを使っているケースに対応するためである。すなわち検疫対象装置103がARP要求を送信することによって当該IPアドレス宛ての通信の宛て先が検疫対象装置103宛てに書き換えられてしまうが、不正装置排除用ARP応答bを送信することで、当該
IPアドレス宛ての通信を本来の装置宛てに修正する。処理407は不正装置排除用ARP応答cを検疫対象装置103宛てに送出することで、検疫対象装置103が通信相手としてARP要求を送信した装置のMACアドレスを監視装置100のMACアドレスで上書きすることにより、検疫対象装置からの通信を監視装置100宛てにするためである。
402で受信したARPの種別を判定し、ARP応答なら処理を終了する。処理403で受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に接続許可装置として登録されているか判断する。登録済みならば処理を終了する。処理404で受信したARP要求の送信元IPアドレスを使用している接続許可装置はあるかを判断する。なければ処理405を、あれば処理406を実施する。処理405では不正装置排除用
ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。処理406では不正装置排除用ARP応答bをブロードキャスト送信する。これは検疫対象装置103がすでに他の装置に割り当てられているIPアドレスを使っているケースに対応するためである。すなわち検疫対象装置103がARP要求を送信することによって当該IPアドレス宛ての通信の宛て先が検疫対象装置103宛てに書き換えられてしまうが、不正装置排除用ARP応答bを送信することで、当該
IPアドレス宛ての通信を本来の装置宛てに修正する。処理407は不正装置排除用ARP応答cを検疫対象装置103宛てに送出することで、検疫対象装置103が通信相手としてARP要求を送信した装置のMACアドレスを監視装置100のMACアドレスで上書きすることにより、検疫対象装置からの通信を監視装置100宛てにするためである。
図5に不正装置排除用ARP応答aを示す。送信元MACアドレス501には監視装置100のMACアドレスが、送信元IPアドレス502には検疫対象装置のIPアドレスが、宛て先MACアドレス503には検疫対象装置のMACアドレスが、宛て先IPアドレス504には検疫対象装置のIPアドレスが入る。
図6に不正装置排除用ARP応答bを示す。送信元MACアドレス601には通信相手のMACアドレスが、送信元IPアドレス602には通信相手のIPアドレスが、宛て先MACアドレス603には検疫対象装置のMACアドレスが、宛て先IPアドレス604には検疫対象装置のIPアドレスが入る。
図7に不正装置排除用ARP応答cを示す。送信元MACアドレス701には監視装置100のMACアドレスが、送信元IPアドレス702には通信相手のIPアドレスが、宛て先MACアドレス703には検疫対象装置のMACアドレスが、宛て先IPアドレス704には検疫対象装置のIPアドレスが入る。
ここで、検疫対象装置103が監視装置100以外の装置、たとえば装置101aと通信する場合の動作を図4に示すフローと図15に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。装置101aとの通信を開始する前に、検疫対象装置103はARP要求1501をブロードキャスト送信する。このとき、図3に示す通信相手のIPアドレス304には装置101aのIPアドレスが設定される。
このARP要求に対し、装置101aがARP応答1502を返す。また、ARP要求1501はブロードキャスト送信のため、監視装置100も受信する。監視装置100は図4に示すフローに従いこのフレームに対する処理を行う。すなわち、処理401はARPであるため処理402に進み、処理402は要求であるため処理403に進み、処理403では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に検疫対象として登録されているため処理404に進む。
処理404では検疫対象装置103のIPアドレスは他の装置では使われていないため処理405に進む。処理405にて、監視装置100は図15の1503に示す不正装置排除用ARP応答aをブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。
さらに、図4のフローに従い、監視装置100は処理407にて図15の1504に示す不正装置排除用ARP応答cを検疫対象装置103宛てに送出する。これにより、検疫対象装置103は装置101aのMACアドレスとして監視装置100のMACアドレスを記憶するため、装置101a宛ての通信は不可となる。
次に、検疫対象装置103が監視装置100との通信を試みる場合の動作を図4に示すフローと図16に示すチャートに従い詳細に説明する。処理405までの動作は上記で説明した動作と違いはない。続く処理407で、監視装置100は図16の1604に示す不正装置排除用ARP応答cを検疫対象装置103宛てに送出するが、この場合、検疫対象装置103は監視装置100のMACアドレスとして監視装置100のMACアドレスを記憶する。つまり、検疫対象装置103は正しく監視装置100のIPアドレスとMACアドレスの組合せを記憶するので、監視装置100への通信は可能となる。これにより、検疫対象装置103は監視装置100が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。本アップデートが完了したことを確認した上で、接続可否情報テーブル205上の検疫対象装置103のステータスを検疫対象から接続許可に書き換える。これにより、以後は検疫対象装置103も装置101a,101bと同等に通信することが可能となる。
図9は本発明の実施例2の構成である。本実施例では、実施例1と異なり、監視装置
100は内部にOS/ウィルス検出ソフトのアップデートデータ保存部203を持たず、替わりにこれらのデータを保持する検疫サーバ102を設置する。検疫サーバ102の役割は、検疫対象装置103からの要求により、OS/ウィルス検出ソフトのアップデートデータを検疫対象装置103へ転送することである。
100は内部にOS/ウィルス検出ソフトのアップデートデータ保存部203を持たず、替わりにこれらのデータを保持する検疫サーバ102を設置する。検疫サーバ102の役割は、検疫対象装置103からの要求により、OS/ウィルス検出ソフトのアップデートデータを検疫対象装置103へ転送することである。
図10に実施例2における監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図4と異なる部分のみ記述してある。処理401〜処理403までは図4と同じである。処理403のあと処理1001にて受信したARP要求の送信元MACアドレスが接続可否情報テーブル205に検疫対象として登録されているかどうかを判定する。登録されていなければ、図4の処理404へと進む。登録されている場合は処理1002へと進む。処理1002では受信したARP要求の宛て先IPアドレスが検疫サーバ102かどうかを判定する。検疫サーバ102以外ならば図4の処理404へと進む。検疫サーバ102宛てならば処理405を実行する。処理405にて不正装置排除用ARP応答aをブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。ただし、このままでは検疫サーバ102から検疫対象装置103への通信も不可となるため、続く処理1003にて検疫装置アドレス修復用ARP応答を検疫サーバ102宛てに送出する。
図11に検疫装置アドレス修復用ARP応答を示す。送信元MACアドレス1101には検疫対象装置103のMACアドレスを、送信元IPアドレス1102には検疫対象装置103のIPアドレスを、宛て先MACアドレス1103には修復相手のMACアドレスを、宛て先IPアドレス1104には修復相手のIPアドレスを設定し、修復相手宛てに送信する。ここで、検疫対象装置103が検疫サーバ102との通信を試みる場合の動作を図10に示すフローと図17に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。
検疫サーバ102との通信を開始する前に、検疫対象装置103はARP要求1701をブロードキャスト送信する。このとき、図3のARP要求フレームの通信相手IPアドレス304には検疫サーバ102のIPアドレスが設定される。このARP要求により、検疫サーバ102はARP応答1702を送信する。また、ARP要求1701はブロードキャスト送信のため、監視装置100も受信し、図10に示すフローに従いこのフレームに対する処理を行う。ただし、処理401,処理402は実施例1の処理と同じため説明は割愛する。
続く処理403では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に接続許可としては登録されていないため処理1001に進む。処理1001では検疫対象装置103のMACアドレスは接続可否情報テーブル205上に検疫対象として登録されているため処理1002に進む。処理1002では受信したARP要求の宛て先IPアドレスは検疫サーバ102であるため処理405に進む。処理405にて、監視装置
100は不正装置排除用ARP応答a 1703をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1003で監視装置100は検疫装置アドレス修復用ARP応答1704を検疫サーバ102宛てに送出する。このとき、宛て先MACアドレス1103には検疫サーバ102のMACアドレスが、宛て先IPアドレス1104には検疫サーバ102のIPアドレスが設定される。これにより、検疫サーバ102は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、検疫サーバ102と検疫対象装置103間の通信が可能となる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例1と同様である。
100は不正装置排除用ARP応答a 1703をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1003で監視装置100は検疫装置アドレス修復用ARP応答1704を検疫サーバ102宛てに送出する。このとき、宛て先MACアドレス1103には検疫サーバ102のMACアドレスが、宛て先IPアドレス1104には検疫サーバ102のIPアドレスが設定される。これにより、検疫サーバ102は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、検疫サーバ102と検疫対象装置103間の通信が可能となる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例1と同様である。
図12は本発明の実施例3の構成である。本実施例では、実施例2とは異なり、検疫サーバ102はルータ106を介した別ネットワーク105に接続される。ルータ106はこれを通過するIPパケットに対し条件によりフィルタリングする機能を有するものとする。フィルタリング機能そのものは従来から存在する一般的な技術である。
図13にルータ106のフィルタリング設定テーブルの例を示す。フィルタリング設定テーブル1301は、条件となる送信元IPアドレス1302、および、宛て先IPアドレス1303と、その条件を満たすIPパケットに対するアクション1304からなる。本実施例では、ネットワーク104から別ネットワーク105へ向けてルータ106を通過するIPパケットに対し本フィルタを適用する。その設定値は、送信元IPアドレスには検疫対象装置103のIPアドレスを設定する。検疫対象装置が複数ある場合は検疫対象装置103a〜103cのように複数のエントリを作成する。宛て先IPアドレスには検疫サーバ102以外を条件として設定する。アクションは廃棄を設定する。また、本実施例では、検疫対象装置のデフォルト・ゲートウェイとしてルータ106のネットワーク104側IPアドレスを設定する。
図14に実施例3の監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図10と異なる部分のみ記述してある。処理401〜処理1001までは図10と同じである。処理1001のあと、処理1402では受信したARP要求の宛て先IPアドレスがルータ106かどうかを判定する。ルータ106以外ならば図4の処理404へと進む。ルータ106宛てならば処理405を実行する。処理405にて不正装置排除用ARP応答をブロードキャスト送信することで、たとえば、装置101aから検疫対象装置103への通信を防ぐ。ただし、このままではルータ106から検疫対象装置103への通信も不可となるため、続く処理1403にて検疫装置アドレス修復用ARP応答をルータ106宛てに送出する。
ここで、検疫対象装置103が検疫サーバ102との通信を試みる場合の動作を図14に示すフローと図18に示すチャートに従い詳細に説明する。ここでは検疫対象装置103は他の装置とは重複しないIPアドレスを持つものとする。検疫サーバ102との通信を開始する前に、検疫対象装置103はARP要求1801をブロードキャスト送信する。このとき、図3のARP要求フレームの通信相手IPアドレス304には検疫対象装置のデフォルト・ゲートウェイとして設定されたルータ106のIPアドレスが設定される。このARP要求により、ルータ106はARP応答1802を送信する。また、ARP要求1801はブロードキャスト送信のため、監視装置100も受信し、図14に示すフローに従いこのフレームに対する処理を行う。ただし、処理401〜処理1001は実施例2の処理と同じため説明は割愛する。続く処理1402では受信したARP要求の宛て先IPアドレスはルータ106であるため処理405に進む。
処理405にて、監視装置100は示す不正装置排除用ARP応答a 1803をブロードキャスト送信する。これにより、ネットワーク104に接続する装置は検疫対象装置103のMACアドレスとして監視装置100のMACアドレスを記憶するので、検疫対象装置103宛ての通信は不可となる。続く処理1403で監視装置100は検疫装置アドレス修復用ARP応答1804をルータ106宛てに送信する。このとき、宛て先MACアドレス1103にはルータ106のMACアドレスが、宛て先IPアドレス1104にはルータ106のIPアドレスが設定される。これにより、ルータ106は検疫対象装置103のMACアドレスとして正しいMACアドレスを記憶するので、ルータ106と検疫対象装置103間の通信が可能となる。検疫対象装置103から検疫サーバ102宛てのIPパケットがルータ106を通る際、フィルタリング設定テーブル1301と比較される。この例では、送信元IPアドレスが検疫対象装置103、宛て先IPアドレスが検疫サーバであるので、IPパケットはルータ106を通り、別ネットワーク105へ、さらに検疫サーバ102に到達することができる。よって、検疫対象装置103は検疫サーバ102が有するOS/ウィルス検出ソフトのアップデートデータを自装置に転送することが可能となり、OS/ウィルス検出ソフトのアップデートを実施することができる。これに続く動作は実施例2と同様である。
次に、検疫対象装置103が別ネットワーク105に接続する検疫サーバ102以外の装置と通信する場合の動作を詳細に説明する。この場合も、前記の検疫対象装置103と検疫サーバ102間の通信同様、ネットワーク104内での検疫対象装置103の通信相手はルータ106のため、たとえ宛て先が検疫サーバ102以外の装置であったとしても、監視装置100は検疫対象装置103とルータ106間の通信を許可する。しかし、ルータ106のフィルタリングテーブル1301との比較において、宛て先IPアドレスが検疫サーバ102以外であるためIPパケットは破棄される。よって、検疫対象装置103が別ネットワーク105に接続する検疫サーバ102以外の装置との通信は不可となる。
図19は本発明の実施例4のシステム構成図である。本実施例では、実施例1と異なり認証サーバ107を設置する。認証サーバ107の役割は、検疫対象装置103からの要求により検疫対象装置103からログインしようとするユーザのログイン認証を行うことである。本実施例では、検疫対象装置103の検疫実施、または、未実施に関わらず、検疫対象装置103と認証サーバ107間の通信は常に許可しなければならない。
図20は本実施例における監視装置100の構成である。実施例1と異なり、本実施例では監視装置100はフレーム転送可否リスト207を有し、接続可否判断処理部204がこれを参照する。
図21はフレーム転送可否リスト207の例である。本リストは認証サーバや検疫対象装置等の情報に合わせ自由に書き換えることができる。宛先情報2101はフレームの宛先となる認証サーバなどのIPアドレスを指定、あるいは、空白(すべてのフレームが対象となることを示す)とする。送信元情報2102には検疫対象装置のIPアドレスを指定、あるいは、空白(すべてのフレームが対象となることを示す)とする。サービス情報2103は通信に使われるプロトコル種別やポート番号を指定、あるいは、空白(すべてのフレームが対象となることを示す)とする。動作2104には宛先情報2101,送信元情報2102,サービス情報2103の3つの条件がすべて合致したときのフレームに対する動作を指定する。この例では、1行目は認証サーバ宛のフレームはすべて転送することを示す。2行目は認証サーバを宛先とし、送信元IPアドレスが10.1.1.1のフレームはすべて転送することを示す。3行目は認証サーバを宛先とし、送信元IPアドレスが10.1.1.0〜10.1.1.255のフレームはすべて転送することを示す。4行目は認証サーバ宛のICMP通信はすべて転送することを示す。5行目は認証サーバ宛のTCP通信はすべて転送することを示す。6行目は認証サーバ宛のHTTP通信はすべて転送することを示す。7行目は送信元IPアドレスが10.1.1.0〜10.
1.1.255のフレームはすべて破棄することを示す。8行目は送信元IPアドレスが10.1.1.10のフレームは破棄することを示す。
1.1.255のフレームはすべて破棄することを示す。8行目は送信元IPアドレスが10.1.1.10のフレームは破棄することを示す。
図22は本実施例における監視装置100内の接続可否判断処理部204の処理フローを示す。なお、ここでは図4と異なる部分のみ記述してある。処理2201で受信したフレームの宛先情報,送信元情報,サービス情報を、フレーム転送可否リスト207の条件と合致しているかどうかを検査する。宛先情報,送信元情報,サービス情報の3つの条件と合致している場合、処理2202にてフレーム転送可否リスト207で指定された動作が転送か廃棄かを判断する。廃棄の場合、処理2203にて当該フレームは破棄し、処理を終了する。処理2202にて当該フレームが転送対象と判断された場合、処理2204にて当該フレームを転送し、処理を終了する。なお、転送処理はIPフォワードと呼ばれるIPパケットをルーティングするための公知の技術を用いる。処理2201にて受信したフレームの宛先情報,送信元情報,サービス情報が、フレーム転送可否リスト207の条件と合致していない場合は処理401の条件判定を実施する。本処理以降の動作は図4と同様である。処理401以降の動作により、実施例1と同様、検疫対象装置103からの送信フレームは、宛先IPアドレスに関わらずすべて監視装置100に送信されることとなる。
本実施例では、この送信フレームがすべて監視装置100に集まるという性質を利用し、そのフレームの宛先情報,送信元情報,サービス情報を調べることで、転送や廃棄を判断する。これにより、検疫対象装置であっても認証サーバとの通信は常に許可することが可能となる。
100 監視装置
102 検疫サーバ
103 検疫対象装置
104 監視装置や検疫対象装置が接続するネットワーク
105 ルータを介した別ネットワーク
106 ルータ
107 認証サーバ
201 フレーム受信処理部
202 フレーム送信処理部
203 OS/ウィルスソフトのアップデートデータ保存部
204 接続可否判断処理部
205 接続可否情報テーブル
206 ARP応答フレーム生成部
207 フレーム転送可否リスト
102 検疫サーバ
103 検疫対象装置
104 監視装置や検疫対象装置が接続するネットワーク
105 ルータを介した別ネットワーク
106 ルータ
107 認証サーバ
201 フレーム受信処理部
202 フレーム送信処理部
203 OS/ウィルスソフトのアップデートデータ保存部
204 接続可否判断処理部
205 接続可否情報テーブル
206 ARP応答フレーム生成部
207 フレーム転送可否リスト
Claims (6)
- ローカルエリアネットワークに接続されたノードを監視するネットワーク監視装置において、
フレームを受信する受信処理部と、フレームを送信する送信処理部と、あるIPアドレスに対応する物理アドレスを探索するARP要求としてのフレームを前記ノードから受信すると、前記ARP要求を送信したノードが検疫対象ノードである場合、前記IPアドレスに対応する物理アドレスが自己の物理アドレスであることを示すARP応答を送信する処理部を有し、
送信先物理アドレスが自宛の物理アドレスであるフレームを受信すると、送信先IPアドレスが所定の接続許可サーバ宛のIPアドレスである場合、受けたフレームを、前記所定の接続許可サーバ宛に転送することを特徴とするネットワーク監視装置。 - 請求項1において、検疫対象ノードのアドレスを記憶する可否情報テーブルを有し、前記フレームのアドレスを前記可否情報テーブルの記憶内容と比較することで検疫対象となるノードを特定することを特徴とするネットワーク監視装置。
- 請求項1において、前記検疫対象ノードに係る情報は検疫サーバに格納されることを特徴とするネットワーク監視装置。
- 請求項3において、前記検疫サーバのネットワークアドレスと前記ネットワークより高い層における相応するアドレスの組合せを含むフレームを送信することを特徴とするネットワーク監視装置。
- 請求項3において、前記検疫サーバは他のネットワークに設置され、前記検疫サーバと、IPパケットのフィルタリング機能を持つルータを介して接続されることを特徴とするネットワーク監視装置。
- ローカルエリアネットワークに接続されたノードを監視するもので、フレームを受信し、フレームを送信するネットワーク監視方法であって、
あるIPアドレスに対応する物理アドレスを探索するARP要求としてのフレームを前記ノードから受信すると、前記ARP要求を送信したノードが検疫対象ノードである場合、前記IPアドレスに対応する物理アドレスが自己の物理アドレスであることを示すARP応答を送信し、
送信先物理アドレスが自宛の物理アドレスであるフレームを受信すると、送信先IPアドレスが所定の接続許可サーバ宛のIPアドレスである場合、受けたフレームを、前記所定の接続許可サーバ宛に転送するネットワーク監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006340651A JP4895793B2 (ja) | 2006-12-19 | 2006-12-19 | ネットワーク監視装置及びネットワーク監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006340651A JP4895793B2 (ja) | 2006-12-19 | 2006-12-19 | ネットワーク監視装置及びネットワーク監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008154012A JP2008154012A (ja) | 2008-07-03 |
| JP4895793B2 true JP4895793B2 (ja) | 2012-03-14 |
Family
ID=39655715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006340651A Expired - Fee Related JP4895793B2 (ja) | 2006-12-19 | 2006-12-19 | ネットワーク監視装置及びネットワーク監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4895793B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5540679B2 (ja) | 2009-12-10 | 2014-07-02 | 株式会社リコー | ネットワーク機器、通信制御方法、及びプログラム |
| JP5551061B2 (ja) * | 2010-12-27 | 2014-07-16 | 株式会社Pfu | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム |
| WO2015151972A1 (ja) | 2014-04-02 | 2015-10-08 | 国立大学法人群馬大学 | 超音波映像システム |
| CN113194289A (zh) * | 2021-04-28 | 2021-07-30 | 京东方科技集团股份有限公司 | 图像数据的获取及发送方法、装置、物联网系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
| JP2006262019A (ja) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
| JP2006260027A (ja) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | 検疫システム、およびvpnとファイアウォールを用いた検疫方法 |
| JP5062967B2 (ja) * | 2005-06-01 | 2012-10-31 | アラクサラネットワークス株式会社 | ネットワークアクセス制御方法、およびシステム |
-
2006
- 2006-12-19 JP JP2006340651A patent/JP4895793B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685147A (zh) * | 2012-08-31 | 2014-03-26 | 中国联合网络通信集团有限公司 | 网络接入安全处理方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008154012A (ja) | 2008-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| JP5398410B2 (ja) | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム | |
| JP5069356B2 (ja) | データ伝送ネットワークにおけるアドレス解決のための技術 | |
| US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US7792990B2 (en) | Remote client remediation | |
| US8646033B2 (en) | Packet relay apparatus | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| JP2006262141A (ja) | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム | |
| WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| US20200036682A1 (en) | Communication apparatus and communication system | |
| US20060059552A1 (en) | Restricting communication service | |
| US10397111B2 (en) | Communication device, communication system, and communication method | |
| JP2004166002A (ja) | 通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム | |
| JP2006352719A (ja) | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 | |
| JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
| JP2006033206A (ja) | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム | |
| WO2010130181A1 (zh) | 防止IPv6地址被欺骗性攻击的装置与方法 | |
| Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
| JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
| CN106452992B (zh) | 一种远端多归属组网的实现方法及装置 | |
| JP4408831B2 (ja) | ネットワークシステムおよびその通信制御方法 | |
| JP2011124774A (ja) | ネットワーク監視装置、ネットワーク監視方法 | |
| JP2006165877A (ja) | 通信システム、通信方法および通信プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110414 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110419 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111104 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111122 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4895793 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150106 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |