JP4899973B2 - Communication security system and communication security device - Google Patents

Communication security system and communication security device Download PDF

Info

Publication number
JP4899973B2
JP4899973B2 JP2007082123A JP2007082123A JP4899973B2 JP 4899973 B2 JP4899973 B2 JP 4899973B2 JP 2007082123 A JP2007082123 A JP 2007082123A JP 2007082123 A JP2007082123 A JP 2007082123A JP 4899973 B2 JP4899973 B2 JP 4899973B2
Authority
JP
Japan
Prior art keywords
packet
communication
router
security
arp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007082123A
Other languages
Japanese (ja)
Other versions
JP2008244808A (en
Inventor
俊文 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Electric Works Co Ltd
Original Assignee
Panasonic Corp
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Works Ltd filed Critical Panasonic Corp
Priority to JP2007082123A priority Critical patent/JP4899973B2/en
Publication of JP2008244808A publication Critical patent/JP2008244808A/en
Application granted granted Critical
Publication of JP4899973B2 publication Critical patent/JP4899973B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IP(Internet Protocol)ネットワークに関し、詳しくはIPネットワークにおけるセキュリティ処理を実行する通信セキュリティシステム及び通信セキュリティ装置に関する。   The present invention relates to an IP (Internet Protocol) network, and more particularly to a communication security system and a communication security apparatus that execute security processing in an IP network.

複数のコンピュータ間で情報通信が行えるように接続されたIPネットワーク(以下、単にネットワークと呼ぶ。)では、非常に高い利便性を有する一方、悪意のあるユーザによるコンピュータウィルスの感染行為や不正なアクセスといった攻撃の危険に常にさらされている。このような不当な攻撃に対抗するには、例えば、ネットワーク上に接続された端末装置やサーバ装置にコンピュータウィルスや不正なアクセスを検出するソフトウェアをインストールなどしてセキュリティ機能を高める必要がある。このようなソフトウェアは、新たなコンピュータウィルスや新たな不正なアクセス手法に対抗するために、常に最新のソフトウェアを導入する必要がある。   In an IP network (hereinafter simply referred to as a network) connected so that information communication can be performed between a plurality of computers, it has a very high level of convenience, while a malicious user is infected with a computer virus or illegal access. Is always exposed to the danger of such attacks. In order to counter such an unfair attack, for example, it is necessary to enhance the security function by installing software for detecting computer viruses or unauthorized access in a terminal device or server device connected on the network. In order to counter new computer viruses and new unauthorized access methods, it is necessary to always install the latest software.

さらに、セキュリティを強化するためには、ネットワーク上に、例えば、許可されていないパケットを破棄する機能といった何らかのセキュリティ機能を導入する必要がある。このようなネットワーク上に導入されるセキュリティ機能は、ルータやスイッチ、通信経路の間に挟み込むブリッジ型の機器などに実装されることになる(例えば、特許文献1参照。)。このような、ネットワーク上に導入されるセキュリティ機能も、新たな攻撃手法に対抗するために常に最新の機能を追加していく必要がある。
特開2004−104709号公報 Furthermore, in order to enhance security, it is necessary to introduce some security function on the network, for example, a function of discarding unauthorized packets. Such a security function introduced on the network is implemented in a router, a switch, a bridge type device sandwiched between communication paths, and the like (for example, see Patent Document 1). Such security functions introduced on the network need to be constantly added with the latest functions to counter new attack methods.
JP 2004-104709 A

しかしながら、特許文献1で開示されている手法のように、ルータやスイッチ、ブリッジ型の機器にセキュリティ機能を実装させる場合、新たなセキュリティ機能を実装させるのに際し、ネットワークの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えなどの作業が必要となり、非常に煩わしい作業を強いられてしまうとともに、コストを増大させてしまうといった問題がある。   However, when a security function is implemented in a router, switch, or bridge-type device as in the method disclosed in Patent Document 1, a network design change or a network wiring change is performed when a new security function is implemented. There is a problem that work such as replacement of an existing device connected to the network is required, which complicates a very troublesome work and increases costs.

そこで、本発明は、上述した実情に鑑みて提案されたものであり、ネットワークへの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えといった作業をすることなく、ネットワーク上におけるセキュリティ機能を容易に追加することができ、コストを低減することができる通信セキュリティシステム及び通信セキュリティ装置を提供することを目的とする。   Therefore, the present invention has been proposed in view of the above-described circumstances, and can be performed on the network without performing work such as design change to the network, change of the network wiring, and replacement of existing equipment connected to the network. It is an object of the present invention to provide a communication security system and a communication security device that can easily add a security function and reduce costs.

本発明の通信セキュリティシステムは、内部ネットワークと外部ネットワークとを相互接続し、所定のルーティング規則に基づきパケットを転送するルータと、前記内部ネットワークに分岐して接続される通信セキュリティ装置とを備える通信セキュリティシステムであって、前記通信セキュリティ装置が、前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、前記ルータとパケット通信を行うルータ通信手段と、前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段とを有することで、上述の課題を解決する。   A communication security system according to the present invention includes a router that interconnects an internal network and an external network, forwards a packet based on a predetermined routing rule, and a communication security device that is branched and connected to the internal network. The communication security device is a terminal communication unit that performs packet communication with a terminal device connected to the internal network, a router communication unit that performs packet communication with the router, the terminal communication unit, and the router communication. The above-mentioned problem is solved by having security processing means for executing security processing for judging the validity of the packet acquired by each packet communication by the means.

また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記ルータに設定されている所定のルーティング規則を、前記外部ネットワークから前記内部ネットワークへのパケット通信に際し、当該通信セキュリティ装置にパケットが転送されるよう変更するルーティング規則変更手段を有し、前記ルータが、前記ルーティング規則変更手段によって前記ルーティング規則が変更されたことに応じて、前記内部ネットワークへ送信するパケットを前記通信セキュリティ装置に転送する。そして、前記端末装置のルーティング規則を、前記内部ネットワークから前記外部ネットワークへのパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるよう設定することで、上述の課題を解決する。   In the communication security system of the present invention, when the communication security device performs a packet communication from the external network to the internal network according to a predetermined routing rule set in the router, the packet is transferred to the communication security device. Routing rule changing means for changing the routing rule, and the router forwards a packet to be transmitted to the internal network to the communication security device in response to the routing rule being changed by the routing rule changing means. . Then, the above-mentioned problem is solved by setting the routing rule of the terminal device so that the packet is transferred to the communication security device in the packet communication from the internal network to the external network.

また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記内部ネットワーク上に存在するルータのIPアドレスを記載したアドレステーブルを記憶した記憶手段と、前記記憶手段に記憶されているアドレステーブルを参照し、前記アドレステーブルに記載されている全てのルータに対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう指示する停止指示手段と、前記ルータに対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信するARP処理手段とを有する。そして、前記ルータが、前記停止指示手段による指示に応じて、ARP応答パケットを返信する機能停止させることで、上述の課題を解決する。   In the communication security system of the present invention, the communication security apparatus includes a storage unit storing an address table that describes an IP address of a router existing on the internal network, and an address table stored in the storage unit. The stop instruction means for instructing all routers described in the address table to stop the function of returning the ARP response packet as a response to the ARP request packet, and the ARP request packet for the router. ARP processing means for generating an ARP response packet for the ARP request packet in response to the reception and returning the ARP response packet to the transmission source of the ARP request packet. The router solves the above-mentioned problem by stopping the function of returning an ARP response packet in response to an instruction from the stop instruction unit.

また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記内部ネットワーク上に存在するルータを検索し、前記記憶手段に記憶させるアドレステーブルを生成するテーブル生成手段を有することで、上述の課題を解決する。   Further, the communication security system according to the present invention includes the table generation means for searching for a router existing on the internal network and generating an address table to be stored in the storage means. To solve.

また、本発明の通信セキュリティシステムは、前記通信セキュリティ装置が、前記端末装置のルーティング規則を、前記内部ネットワーク内におけるパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるように設定するとともに、前記内部ネットワークに接続された全ての端末装置に対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう設定する。そして、前記通信セキュリティ装置のARP処理手段が、前記内部ネットワーク内のパケット通信において、前記端末装置に対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信することで、上述の課題を解決する。   In the communication security system of the present invention, the communication security device sets a routing rule of the terminal device so that a packet is transferred to the communication security device in packet communication in the internal network. All terminal devices connected to the internal network are set to stop the function of returning an ARP response packet that is a response to the ARP request packet. Then, the ARP processing means of the communication security device generates an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the terminal device in the packet communication in the internal network, and generates an ARP request The above-mentioned problem is solved by returning the packet to the transmission source.

また、本発明の通信セキュリティ装置は、内部ネットワークと外部ネットワークとを相互接続し、所定のルーティング規則に基づきパケットを転送するルータと、前記内部ネットワークに分岐して接続される通信セキュリティ装置とを備える通信セキュリティシステムの前記通信セキュリティ装置であって、前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、前記ルータとパケット通信を行うルータ通信手段と、前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段とを有することで、上述の課題を解決する。   The communication security device of the present invention includes a router that interconnects an internal network and an external network, forwards a packet based on a predetermined routing rule, and a communication security device that is branched and connected to the internal network. The communication security apparatus of the communication security system, wherein terminal communication means for performing packet communication with a terminal device connected to the internal network, router communication means for performing packet communication with the router, the terminal communication means, the router Having the security processing means for executing the security processing for judging the validity of the packet acquired by each packet communication by the communication means solves the above-mentioned problem.

本発明によれば、ネットワークの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えといた作業をすることなく、ネットワーク上におけるセキュリティ機能を容易に追加することを可能とし、コストを低減することを可能とする。   According to the present invention, it is possible to easily add a security function on a network without performing a work such as a network design change, a network wiring change, or replacement of an existing device connected to the network, Costs can be reduced.

また、本発明によれば、セキュリティ処理手段によるセキュリティ処理を、パケットに確実に施すことが可能となる。   Further, according to the present invention, it is possible to reliably perform security processing on the packet by the security processing means.

また、本発明によれば、セキュリティ機能のすり抜けを防止することを可能とするとともに、通信セキュリティ装置を経由するようにパケットを誘導することを可能とする。   In addition, according to the present invention, it is possible to prevent a security function from passing through and to guide a packet to pass through a communication security device.

また、本発明によれば、記憶手段に記憶させるアドレステーブルを生成する際に、ユーザに要する労力を大幅に削減することが可能となる。   Further, according to the present invention, it is possible to greatly reduce the labor required for the user when generating the address table to be stored in the storage means.

また、本発明によれば、内部ネットワーク内においてもセキュリティ処理を確実に施すことが可能となる。   Further, according to the present invention, security processing can be reliably performed even in the internal network.

以下、本発明の実施の形態について図面を参照して説明する。まず、図1を用いて、本発明の実施の形態として示す通信セキュリティシステムについて説明をする。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. First, a communication security system shown as an embodiment of the present invention will be described with reference to FIG.

図1に示すように、通信セキュリティシステムは、ルータ20を介して内部ネットワークであるLAN(Local Area Network)40と外部ネットワークであるIP(Internet Protocol)ネットワーク50とが相互に接続されている。LAN40には、複数の端末装置5(nは、自然数)とセキュリティゲートウェイ装置10が分岐して接続されている。また、IPネットワーク50には、サーバ装置30が接続されている。 As shown in FIG. 1, in the communication security system, a LAN (Local Area Network) 40 that is an internal network and an IP (Internet Protocol) network 50 that is an external network are connected to each other via a router 20. A plurality of terminal devices 5 n (n is a natural number) and the security gateway device 10 are branched and connected to the LAN 40. The server device 30 is connected to the IP network 50.

このような構成の通信セキュリティシステムは、内部ネットワークであるLAN40に接続された端末装置5と、外部ネットワークであるIPネットワーク50に接続されたサーバ装置30とが相互にパケット通信をすることができる。 In the communication security system having such a configuration, the terminal device 5 n connected to the LAN 40 that is the internal network and the server device 30 connected to the IP network 50 that is the external network can perform packet communication with each other. .

このとき、端末装置5からLAN40外へと送信されるパケットが、必ずセキュリティゲートウェイ装置10を通過し、サーバ装置30からLAN40内へと送信されるパケットが、必ずセキュリティゲートウェイ装置10を通過するように、端末装置5、ルータ20に対するルーティング規則を変更する。端末装置5に対するルーティング規則の変更は、ユーザにより手動で実行され、ルータ20に対するルーティング規則の変更は、セキュリティゲートウェイ装置10によって実行される。 At this time, a packet transmitted from the terminal device 5 n to the outside of the LAN 40 always passes through the security gateway device 10, and a packet transmitted from the server device 30 into the LAN 40 always passes through the security gateway device 10. Next , the routing rule for the terminal device 5 n and the router 20 is changed. The change of the routing rule for the terminal device 5 n is manually executed by the user, and the change of the routing rule for the router 20 is executed by the security gateway device 10.

ルーティング規則の変更により、図1に示すように、端末装置5から送信されたパケットPT1は、LAN40に接続されたセキュリティゲートウェイ装置10に一旦転送されてから、ルータ20を経由してIPネットワーク50を介してサーバ装置30へと到達する。また、サーバ装置30から送信されたパケットPT2は、IPネットワーク50を介してルータ20を経由し、LAN40に接続されたセキュリティゲートウェイ装置10に一旦転送されてから端末装置5へと到達する。 Due to the change of the routing rule, the packet PT1 transmitted from the terminal device 5 n is once transferred to the security gateway device 10 connected to the LAN 40 as shown in FIG. The server device 30 is reached via The packet PT2 transmitted from the server apparatus 30 via the router 20 via the IP network 50, arrives from once been transferred to the security gateway device 10 connected to LAN40 to the terminal device 5 n.

続いて、図2を用いてセキュリティゲートウェイ装置10の構成について説明をする。セキュリティゲートウェイ装置10は、通信インターフェース11と、通信制御部12と、セキュリティ機能部13と、ルーティング処理部14と、ルータ情報リスト記憶部15と、ARP(Address Resolution Protocol)処理部16と、自動設定機能部17と、セキュリティ機能管理部18と、設定情報記憶部19aと、ログ記録部19bとを備えている。このようなセキュリティゲートウェイ装置10は、一本のLANケーブルにてLAN40に接続される。   Next, the configuration of the security gateway device 10 will be described with reference to FIG. The security gateway device 10 includes a communication interface 11, a communication control unit 12, a security function unit 13, a routing processing unit 14, a router information list storage unit 15, an ARP (Address Resolution Protocol) processing unit 16, and an automatic setting. A function unit 17, a security function management unit 18, a setting information storage unit 19a, and a log recording unit 19b are provided. Such a security gateway device 10 is connected to the LAN 40 with a single LAN cable.

通信インターフェース11は、LAN40と通信制御部12とのパケットの受け渡しを中継する。   The communication interface 11 relays packet transfer between the LAN 40 and the communication control unit 12.

通信制御部12は、通信インターフェース11から受け取ったパケットの種類(ARPパケット、IPパケット)をチェックする。通信制御部12は、ARPパケットであればARP処理部16に受け渡し、IPパケットであればセキュリティ機能部13に受け渡す。また、通信制御部12は、ルーティング処理部14、ARP処理部16から受け取ったパケットを通信インターフェース11に受け渡す。   The communication control unit 12 checks the type of packet (ARP packet, IP packet) received from the communication interface 11. The communication control unit 12 delivers the ARP packet to the ARP processing unit 16, and delivers the IP packet to the security function unit 13. In addition, the communication control unit 12 passes the packet received from the routing processing unit 14 and the ARP processing unit 16 to the communication interface 11.

セキュリティ機能部13は、通信制御部12から受け取ったパケットに対してフィルタリングや暗号化など、パケットの正当性を判断する所定のセキュリティ処理を施す。セキュリティ機能部13が施すセキュリティ処理は、単一のセキュリティ処理であってもよいし、複数のセキュリティ処理であってもよく、当該セキュリティゲートウェイ装置10に実装されたセキュリティ機能に応じて施されるセキュリティ処理が決まる。セキュリティ機能部13は、セキュリティ処理を施したパケットをルーティング処理部14に受け渡す。   The security function unit 13 performs predetermined security processing such as filtering and encryption on the packet received from the communication control unit 12 to determine the validity of the packet. The security process performed by the security function unit 13 may be a single security process or a plurality of security processes, and is performed according to the security function implemented in the security gateway device 10. Processing is decided. The security function unit 13 delivers the security-processed packet to the routing processing unit 14.

このセキュリティ機能部13によるセキュリティ機能は、ソフトウェアとして実装させることもできるし、外付けのハードウェアとして実装させることもできる。つまり、セキュリティゲートウェイ装置10のセキュリティ機能の実装は、セキュリティ機能部13の機能を変更するだけで可能となるため、LAN40に接続された当該セキュリティゲートウェイ装置10を取り外すことなく極めて容易に実装、削除といった変更をすることができる。   The security function by the security function unit 13 can be implemented as software or can be implemented as external hardware. In other words, since the security function of the security gateway device 10 can be implemented simply by changing the function of the security function unit 13, the security gateway device 10 connected to the LAN 40 can be mounted and deleted very easily without removing the security gateway device 10. You can make changes.

また、セキュリティ機能部13は、セキュリティ機能管理部18から設定変更命令を受けた場合には、設定情報記憶部19aに記憶されている設定情報の変更を行い、ログ参照命令を受けた場合には、ログ記録部19bに記録されているログ情報をセキュリティ機能管理部18に報告する。   When the security function unit 13 receives a setting change command from the security function management unit 18, the security function unit 13 changes the setting information stored in the setting information storage unit 19a. The log information recorded in the log recording unit 19b is reported to the security function management unit 18.

設定情報記憶部19aに記憶されている設定情報、ログ記録部19bに記録されているログ情報は、当該セキュリティゲートウェイ装置10に実装されているセキュリティ機能に依存する。例えば、セキュリティ機能としてファイアウォール機能を実装している場合には、設定情報記憶部19a、ログ記録部19bには、フィルタリング設定、フィルタリングしたパケットのログ情報がそれぞれ記憶、記録され、トレースバック機能を実装している場合にはマネージャ装置のIPアドレス設定、パケットの通過ログがそれぞれ記憶、記録される。   The setting information stored in the setting information storage unit 19 a and the log information recorded in the log recording unit 19 b depend on the security function installed in the security gateway device 10. For example, when the firewall function is implemented as the security function, the setting information storage unit 19a and the log recording unit 19b store and record the filtering setting and the log information of the filtered packet, respectively, and implement the traceback function. If it is, the IP address setting of the manager device and the packet passage log are stored and recorded, respectively.

ルーティング処理部14は、セキュリティ機能部13、自動設定機能部17、セキュリティ機能管理部18から受け取ったパケットの宛先IPアドレスをチェックする。   The routing processing unit 14 checks the destination IP address of the packet received from the security function unit 13, the automatic setting function unit 17, and the security function management unit 18.

ルーティング処理部14は、例えば、パケットの宛先IPアドレスが、当該セキュリティゲートウェイ装置10自身のものであり、且つ宛先ポート番号が自動設定機能部17で使用しているものであれば、自動設定機能部17にパケットを受け渡す。また、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10自身のものであり、且つ宛先ポート番号がセキュリティ機能管理部18で使用しているものであれば、セキュリティ機能管理部18にパケットを受け渡す。また、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10自身のものでなければ、保持しているルーティングテーブルに従ってパケットの転送先IPアドレスを決定し、通信制御部12に受け渡す。   For example, if the destination IP address of the packet is that of the security gateway device 10 itself and the destination port number is used by the automatic setting function unit 17, the routing processing unit 14 automatically sets the function unit. The packet is transferred to 17. If the destination IP address of the packet is that of the security gateway apparatus 10 itself and the destination port number is used by the security function management unit 18, the packet is delivered to the security function management unit 18. If the destination IP address of the packet is not that of the security gateway device 10 itself, the destination IP address of the packet is determined according to the stored routing table and transferred to the communication control unit 12.

ルータ情報リスト記憶部15は、LAN40上に存在するルータの所在を示すアドレステーブルであるルータ情報リストを記憶している。図3にルータ情報リストの一例を示す。図3に示すように、ルータ情報リストは、LAN40上にあるルータ(複数を設定可能)20のIPアドレスと、機種情報と、リモートからルータの設定を変更する場合のログイン情報としてログインID、パスワードとを保持している。これらのルータ情報リストは、ユーザによってあらかじめ登録される。   The router information list storage unit 15 stores a router information list that is an address table indicating the location of a router existing on the LAN 40. FIG. 3 shows an example of the router information list. As shown in FIG. 3, the router information list includes an IP address, model information, and login ID and password as login information when a router setting is remotely changed. And holding. These router information lists are registered in advance by the user.

また、IPv6(Internet Protocol Version 6)環境であれば、LAN40上に存在するルータを検索し、ルータ情報リストを自動的に生成してルータ情報リスト記憶部15に記憶させることもできる。これにより、ユーザによる初期設定に要する労力を大幅に削減することができる。   In an IPv6 (Internet Protocol Version 6) environment, a router existing on the LAN 40 can be searched, and a router information list can be automatically generated and stored in the router information list storage unit 15. Thereby, the labor required for the initial setting by the user can be significantly reduced.

ARP処理部16は、通信制御部12からARPリクエストパケットを受け取った場合、ARPリクエストパケットのターゲットIPアドレスをチェックする。ARP処理部16は、ターゲットIPアドレスが、ルータ情報リスト記憶部15に記憶されているルータ情報リストに登録されているルータ20のものであるか、当該セキュリティゲートウェイ装置10自身のものである場合、当該セキュリティゲートウェイ装置10のMAC(Media Access Control address)アドレスを書き込んだARPリプライパケットを生成し、通信制御部12に受け渡す。   When receiving the ARP request packet from the communication control unit 12, the ARP processing unit 16 checks the target IP address of the ARP request packet. When the target IP address is that of the router 20 registered in the router information list stored in the router information list storage unit 15 or that of the security gateway device 10 itself, the ARP processing unit 16 An ARP reply packet in which the MAC (Media Access Control address) address of the security gateway device 10 is written is generated and transferred to the communication control unit 12.

自動設定機能部17は、当該セキュリティゲートウェイ装置10のユーザが指示したタイミングで動作を開始してルータ20に対する各種設定を自動的に行う。動作が開始されると、自動設定機能部17は、ルータ情報リスト記憶部15に記憶されているルータ情報リストを参照し、各ルータ20にアクセスするための通信パケットを生成し、ルーティング処理部14に受け渡す。また、自動設定機能部17は、ルータ20からの応答パケットをルーティング処理部14から受け取る。この自動設定機能部17による、ルータ20に対する各種設定処理については後で詳細に説明をする。   The automatic setting function unit 17 starts an operation at a timing instructed by the user of the security gateway device 10 and automatically performs various settings for the router 20. When the operation is started, the automatic setting function unit 17 refers to the router information list stored in the router information list storage unit 15, generates a communication packet for accessing each router 20, and the routing processing unit 14. Pass to. Further, the automatic setting function unit 17 receives the response packet from the router 20 from the routing processing unit 14. Various setting processes for the router 20 by the automatic setting function unit 17 will be described in detail later.

セキュリティ機能管理部18は、ルーティング処理部14から受け取ったパケットの内容に応じた処理を実行する。セキュリティ機能管理部18は、パケットに設定変更要求が含まれている場合、セキュリティ機能部13に対して設定変更命令を発行する。   The security function management unit 18 executes processing according to the contents of the packet received from the routing processing unit 14. When the packet includes a setting change request, the security function management unit 18 issues a setting change command to the security function unit 13.

また、セキュリティ機能管理部18は、パケットにログ参照要求が含まれている場合、セキュリティ機能部13に対してログ参照命令を発行し、セキュリティ機能部13からログの報告を受け取る。セキュリティ機能管理部18は、ログの報告を受け取ると適切な応答パケットを生成してルーティング処理部14に受け渡す。   Further, when a log reference request is included in the packet, the security function management unit 18 issues a log reference command to the security function unit 13 and receives a log report from the security function unit 13. Upon receiving the log report, the security function management unit 18 generates an appropriate response packet and passes it to the routing processing unit 14.

続いて、図4に示すフローチャートを用いて、セキュリティゲートウェイ装置10の自動設定機能部17によるルータ20に対する自動設定処理動作について説明をする。この自動設定機能部17による自動設定処理は、ルータ情報リスト記憶部15に記憶されているルータ情報リストに登録されている全てのルータ20に対してアクセスがなされ、自動的に設定変更が実行されるものである。   Next, the automatic setting processing operation for the router 20 by the automatic setting function unit 17 of the security gateway device 10 will be described using the flowchart shown in FIG. In the automatic setting process by the automatic setting function unit 17, all routers 20 registered in the router information list stored in the router information list storage unit 15 are accessed, and the setting is automatically changed. Is.

まず、ステップS1において、自動設定機能部17は、変数iに1を代入する(i=1)。   First, in step S1, the automatic setting function unit 17 substitutes 1 for a variable i (i = 1).

ステップS2において、自動設定機能部17は、ルータ情報リストを参照し、i番目のルータ20にアクセスをする。   In step S <b> 2, the automatic setting function unit 17 refers to the router information list and accesses the i-th router 20.

ステップS3において、自動設定機能部17は、i番目のルータ20のルーティング規則を変更する。   In step S <b> 3, the automatic setting function unit 17 changes the routing rule of the i-th router 20.

通常、ルータ20が、LAN40内の端末装置5のIPアドレス宛のパケットを受け取った場合、直接宛先IPアドレスにパケットを転送するようにルーティング規則が設定されている。ステップS3では、この設定を変更し、ルータ20がLAN40内の端末装置5のIPアドレス宛のパケットを受け取った場合に、当該セキュリティゲートウェイ装置10に転送するようにルーティング規則を変更する。 Normally, when the router 20 receives a packet addressed to the IP address of the terminal device 5 n in the LAN 40, a routing rule is set so that the packet is directly transferred to the destination IP address. In step S3, to change this setting, the router 20 when receiving a packet addressed to the IP address of the terminal device 5 n in LAN 40, to change the routing rules to forward to the security gateway device 10.

これにより、サーバ装置30からLAN40内への端末装置5に対して送信されたパケットを必ずセキュリティゲートウェイ装置10を経由させることができるため、セキュリティ機能部13による所定のセキュリティ処理を、当該パケットに確実に施すことができる。 As a result, since the packet transmitted from the server device 30 to the terminal device 5 n in the LAN 40 can be surely passed through the security gateway device 10, a predetermined security process by the security function unit 13 is applied to the packet. Can be applied reliably.

一方、上述したように、端末装置5のルーティング規則は、ユーザによる手動によって変更されており、端末装置5からLAN40外のサーバ装置30に対して送信されたパケットを必ずセキュリティゲートウェイ装置10を経由させることができるため、同様にセキュリティ機能部13による所定のセキュリティ処理を当該パケットに確実に施すことができる。 On the other hand, as described above, the routing rules of the terminal device 5 n is changed manually by the user, always security gateway device 10 a packet transmitted to the server apparatus 30 of LAN40 out from the terminal device 5 n Similarly, the security function unit 13 can reliably perform predetermined security processing on the packet because the packet can be routed.

このように、セキュリティゲートウェイ装置10は、変更されたルーティング規則によって経由されたパケットにセキュリティ処理を施すものであって、いわゆるプロキシなどとは異なるものである。   As described above, the security gateway device 10 performs security processing on packets passed through the changed routing rule, and is different from a so-called proxy.

ステップS4において、自動設定機能部17は、ルータ20のARP応答機能をオフ(OFF)にする。具体的には、ルータ20の種類によって、ARP応答機能のみをオフにできるもの、ARP機能全体をオフにできるもの、ARP機能をオフできないものの3種類が考えられる。   In step S4, the automatic setting function unit 17 turns off the ARP response function of the router 20. Specifically, depending on the type of the router 20, there are three types: one that can turn off only the ARP response function, one that can turn off the entire ARP function, and one that cannot turn off the ARP function.

したがって、ARP応答機能のみをオフにできるルータ20は、そのままオフにする。ARP応答機能のみをオフにできないものの、ARP機能全体をオフにできるルータ20の場合には、ARP機能全体をオフにし、同時にセキュリティゲートウェイ装置10のIPアドレスとMACアドレスをルータ20のARPテーブルに静的に設定する。ARP機能をオフできないルータ20の場合には、本ステップS4において何も実行しない。   Therefore, the router 20 that can turn off only the ARP response function is turned off as it is. In the case of the router 20 in which only the ARP response function cannot be turned off but the entire ARP function can be turned off, the entire ARP function is turned off, and at the same time, the IP address and MAC address of the security gateway device 10 are statically stored in the ARP table of the router 20. To set. If the router 20 cannot turn off the ARP function, nothing is executed in this step S4.

このステップS4の処理は、端末装置5に設定されたルーティング規則の設定ミスや悪意あるユーザの操作などにより、端末装置5から送信されるパケットをセキュリティゲートウェイ装置10を経由させずに直接ルータ20に到達させてしまうといった事態に対処するための処理である。このように、ルータ20のARP応答機能をオフにすると、端末装置5からARPリクエストパケットが送信されても、ルータ20のMACアドレスを書き込んだARPリプライパケットを返信することがないため、端末装置5と直接ルータ20との通信リンクが確立されてしまうことを回避することができ、セキュリティ機能のすり抜けを防止することができる。 Processing in step S4, by an operation of setting errors and malicious user routing rules set in the terminal device 5 n, directly routers a packet transmitted from the terminal device 5 n without passing through the security gateway device 10 This is a process for coping with a situation such as reaching 20. Thus, turning off the ARP response function of the router 20, for ARP request packet from the terminal device 5 n is be transmitted, never to return an ARP reply packet writing the MAC address of the router 20, the terminal device 5 communication link with the n directly router 20 can avoid that will be established, it is possible to prevent the slipping of the security features.

ステップS5において、自動設定機能部17は、MACアドレスフィルタの設定を行う。具体的には、自動設定機能部17は、ルータ20が有するMACアドレスフィルタ機能をオン(ON)にし、セキュリティゲートウェイ装置10の有するMACアドレス以外の通信を受け付けないように設定する。   In step S5, the automatic setting function unit 17 sets a MAC address filter. Specifically, the automatic setting function unit 17 turns on (ON) the MAC address filter function that the router 20 has, and sets so as not to accept communication other than the MAC address that the security gateway device 10 has.

このステップS5の処理は、セキュリティ機能のすり抜けをさらに強固に防止するための処理である。例えば、悪意のあるユーザによって何らかの手法によりルータ20のMACアドレスが取得されてしまっている場合、このようにMACアドレスフィルタの設定を行うことで、端末装置5から直接ルータ20に対して行われるアクセスを拒絶することができる。 The process of step S5 is a process for more firmly preventing a security function from passing through. For example, when the MAC address of the router 20 has been acquired by a malicious user by some method, the MAC address filter is set in this way, and the direct operation is performed from the terminal device 5 n to the router 20. Access can be denied.

ステップS6において、自動設定機能部17は、全てのルータ20に対してステップS1〜ステップS5までの自動設定処理を実行したかどうかを判断する。自動設定機能部17は、ルータ情報リストを参照し、全てのルータ20に対して設定処理を実行した場合には、処理を終了する一方、まだ設定をしていないルータ20が存在する場合には、ステップS7へと処理を進める。   In step S6, the automatic setting function unit 17 determines whether or not the automatic setting processing from step S1 to step S5 has been executed for all routers 20. When the automatic setting function unit 17 refers to the router information list and executes the setting process for all the routers 20, the automatic setting function unit 17 ends the process. On the other hand, if there is a router 20 that has not yet been set, Then, the process proceeds to step S7.

ステップS7において、自動設定機能部17は、変数iを1インクリメントしてステップS2からの処理を繰り返す。   In step S7, the automatic setting function unit 17 increments the variable i by 1, and repeats the processing from step S2.

このようにして、セキュリティゲートウェイ装置10の自動設定機能部17は、LAN40上に存在しルータ情報リストに登録された全てのルータ20のルーティング規則を、LAN40内の端末装置5のIPアドレス宛のパケットを必ずセキュリティゲートウェイ装置10を経由するように変更する。これにより、IPネットワーク50上に存在するサーバ装置30などから送信されるLAN40内の端末装置5宛のパケットは、必ずセキュリティゲートウェイ装置10を通過するため、セキュリティゲートウェイ装置10にセキュリティ機能部13により実装されたセキュリティ機能によってセキュリティ処理が施されることになる。 In this way, the automatic setting function unit 17 of the security gateway device 10 sets the routing rules of all the routers 20 existing on the LAN 40 and registered in the router information list to the IP address of the terminal device 5 n in the LAN 40. The packet is always changed so as to pass through the security gateway device 10. Thereby, since the packet addressed to the terminal device 5 n in the LAN 40 transmitted from the server device 30 or the like existing on the IP network 50 always passes through the security gateway device 10, the security function unit 13 sends the packet to the security gateway device 10. Security processing is performed by the implemented security function.

また、セキュリティゲートウェイ装置10の自動設定機能部17は、ARP応答機能をオフにし、MACアドレスフィルタの設定をオンにすることで、端末装置5に設定されたルーティング規則の設定ミスや悪意あるユーザによる操作によって端末装置5から直接ルータ20へとパケット通信を行われてしまうことを回避できるため、セキュリティゲートウェイ装置10によるセキュリティ処理のすり抜けを防止することができる。 The automatic setting function unit 17 of the security gateway devices 10, clear the ARP response function, by turning on the setting of the MAC address filter, there misconfigured or malicious routing rules set in the terminal device 5 n users Since it is possible to avoid packet communication from the terminal device 5 n directly to the router 20 by the operation according to, it is possible to prevent the security gateway device 10 from slipping through the security processing.

続いて、図5に示すフローチャートを用いて、セキュリティゲートウェイ装置10が、LAN40からパケットを受け取った際の処理動作について説明をする。   Next, the processing operation when the security gateway apparatus 10 receives a packet from the LAN 40 will be described using the flowchart shown in FIG.

ステップS11において、セキュリティゲートウェイ装置10は、LAN40から通信インターフェース11を介してパケットを受信する。   In step S <b> 11, the security gateway device 10 receives a packet from the LAN 40 via the communication interface 11.

ステップS12において、パケットを受信したことに応じて、通信制御部12は、受信したパケットがARPリクエストパケットかどうかを判断する。通信制御部12は、受信したパケットがARPリクエストパケットだった場合、ステップS13へと処理を進める一方、ARPリクエストパケットでなかった場合、ステップS16へと処理を進める。   In step S12, in response to receiving the packet, the communication control unit 12 determines whether the received packet is an ARP request packet. If the received packet is an ARP request packet, the communication control unit 12 proceeds to step S13. If not, the communication control unit 12 proceeds to step S16.

ステップS13において、ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、当該セキュリティゲートウェイ装置10のものであるのかどうかを判断する。ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、当該セキュリティゲートウェイ装置10のものである場合、ステップS15へと処理を進める一方、そうでない場合、ステップS14へと処理を進める。   In step S <b> 13, the ARP processing unit 16 determines whether or not the Target IP address of the ARP request packet is that of the security gateway device 10. If the Target IP address of the ARP request packet is that of the security gateway apparatus 10, the ARP processing unit 16 proceeds to step S15, and if not, proceeds to step S14.

ステップS14において、ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、ルータ情報リスト記憶部15に記憶されているルータ情報リストに含まれているかどうかを判断する。ARP処理部16は、ARPリクエストパケットのTarget IPアドレスが、ルータ情報リストに含まれている場合、ステップS15へと処理を進める一方、含まれていない場合、処理を終了する。   In step S <b> 14, the ARP processing unit 16 determines whether or not the Target IP address of the ARP request packet is included in the router information list stored in the router information list storage unit 15. If the Target IP address of the ARP request packet is included in the router information list, the ARP processing unit 16 proceeds to step S15. If not included, the ARP processing unit 16 ends the process.

ステップS15において、ARP処理部16は、当該セキュリティゲートウェイ装置10自身のMACアドレスを書き込んだARPリプライパケットを生成してARPリクエストパケットの送信元に送り返す。   In step S15, the ARP processing unit 16 generates an ARP reply packet in which the MAC address of the security gateway device 10 itself is written and sends it back to the transmission source of the ARP request packet.

このステップS15の処理は、端末装置5に設定されたルーティング規則の設定ミスなどにより、端末装置5から送信されるパケットがセキュリティゲートウェイ装置10を経由せずに直接ルータ20に到達してしまう場合に、端末装置5から送信されるパケットをセキュリティゲートウェイ装置10を経由するように誘導させるための処理である。 Processing in step S15, due misconfigured routing rules set in the terminal device 5 n, the packet transmitted from the terminal device 5 n will reach directly the router 20 without going through the security gateway device 10 In this case, it is a process for guiding the packet transmitted from the terminal device 5 n to pass through the security gateway device 10.

上述した図4のフローチャートのステップS4において、ルータ20のARP応答機能をオフにした上で、セキュリティゲートウェイ装置10は、端末装置5からブロードキャストされたルータ20のIPアドレスが書き込まれたARPリクエストを受け取ったことに応じて、自身のMACアドレスを書き込んだARPリプライパケットを送信元の端末装置5に返信する。これにより、端末装置5が、ルータ20に対してパケットを送信するようにしても、必ずセキュリティゲートウェイ装置10を経由するようにパケットを誘導することができる。 In step S4 in the flowchart of FIG. 4 described above, on turning off the ARP response function of the router 20, security gateway device 10, an ARP request IP address of the router 20 broadcast from the terminal device 5 n is written in response to the received, it returns an ARP reply packet writing the MAC address of itself to the transmission source terminal device 5 n. As a result, even if the terminal device 5 n transmits the packet to the router 20, the packet can be always guided through the security gateway device 10.

これにより、セキュリティゲートウェイ装置10は、設定ミスをしている端末装置5のMACアドレスとIPアドレスとを検出することができるため、メールなどの手段によりシステム管理者へと通知することができる。 As a result, the security gateway device 10 can detect the MAC address and IP address of the terminal device 5 n having a setting error, and can notify the system administrator by means such as mail.

ステップS16において、セキュリティ機能部13は、所定のセキュリティ処理を施す。   In step S16, the security function unit 13 performs predetermined security processing.

ステップS17において、セキュリティ機能部13は、ステップS16のセキュリティ処理においてパケットが破棄されたかどうかを判断する。セキュリティ機能部13は、パケットが破棄された場合、処理を終了する一方、破棄されなかった場合、ステップS18へと処理を進める。   In step S17, the security function unit 13 determines whether or not the packet is discarded in the security process in step S16. If the packet is discarded, the security function unit 13 terminates the process. If the packet is not discarded, the security function unit 13 advances the process to step S18.

ステップS18において、ルーティング処理部14は、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10のものであるかどうかを判断する。ルーティング処理部14は、パケットの宛先IPアドレスが当該セキュリティゲートウェイ装置10のものである場合、ステップS19へと処理を進める一方、そうでない場合、ステップS20へと処理を進める。   In step S <b> 18, the routing processing unit 14 determines whether the destination IP address of the packet is that of the security gateway device 10. If the destination IP address of the packet is that of the security gateway device 10, the routing processing unit 14 proceeds to step S19, otherwise proceeds to step S20.

ステップS19において、ルーティング処理部14は、パケットに含まれるポート番号を元に適切なアプリケーションを選択し、アプリケーションによる処理を行う。例えば、アプリケーションには、上述した自動設定機能部17やセキュリティ機能管理部18などがあり、処理の詳細はアプリケーションに依存する。   In step S19, the routing processing unit 14 selects an appropriate application based on the port number included in the packet, and performs processing by the application. For example, the application includes the automatic setting function unit 17 and the security function management unit 18 described above, and details of processing depend on the application.

ステップS20において、ルーティング処理部14は、ルーティング処理を実行し、適切な転送先を決定する。   In step S20, the routing processing unit 14 executes a routing process and determines an appropriate transfer destination.

セキュリティゲートウェイ装置10内では、ルーティング規則として外部ネットワークのアドレスとルータ20のIPアドレスが紐付けられているため、当該セキュリティ装置10を経由して所定のセキュリティ処理を施された外部ネットワーク宛のパケットは、目的のルータ20へと転送される。つまり、セキュリティゲートウェイ装置10は、いわゆるプロキシなどと異なる処理動作を実行することになる。   In the security gateway device 10, since the address of the external network and the IP address of the router 20 are linked as a routing rule, a packet addressed to the external network subjected to a predetermined security process via the security device 10 To the target router 20. That is, the security gateway device 10 executes a processing operation different from a so-called proxy.

ステップS21において、ルーティング処理部14は、通信制御部12を介し、決定された転送先へパケットを転送する。   In step S <b> 21, the routing processing unit 14 transfers the packet to the determined transfer destination via the communication control unit 12.

このようにして、セキュリティゲートウェイ装置10は、LAN40を介して受信されたパケットがARPリクエストパケットだった場合、LAN40外のIPアドレス宛のパケットだった場合に応じて、それぞれ適切な処理を実行する。   In this way, the security gateway device 10 executes appropriate processing depending on whether the packet received via the LAN 40 is an ARP request packet or a packet addressed to an IP address outside the LAN 40.

上述した通信セキュリティシステムでは、内部ネットワークであるLAN40上の端末装置5と、外部ネットワークであるIPネットワーク50上のサーバ装置30とが、ルータ20を介してパケット通信する場合に、LAN40上に分岐するように接続されたセキュリティゲートウェイ装置10を必ず経由させることで、確実にセキュリティ処理を施すようにしていた。 In the communication security system described above, when the terminal device 5 n on the LAN 40 that is the internal network and the server device 30 on the IP network 50 that is the external network perform packet communication via the router 20, the branch is made on the LAN 40. The security processing is surely performed by always passing through the security gateway device 10 connected in such a manner.

これを、内部ネットワークであるLAN40内にも適用し、LAN40内における端末装置5間のパケット通信において、セキュリティゲートウェイ装置10を必ず経由させることで確実にセキュリティ処理を施すこともできる。 This can also be applied to the LAN 40 that is an internal network, and security processing can be surely performed by always passing through the security gateway device 10 in packet communication between the terminal devices 5 n in the LAN 40.

具体的には、内部ネットワークであるLAN40内における端末装置5間のパケット通信におけるルーティング規則を、必ずセキュリティゲートウェイ装置10にパケットが転送されるように設定するとともに、LAN40に接続された全ての端末装置5に対して、ARPリクエストパケットに対応する応答であるARPリプライパケットを返信する機能を停止させるように設定する。なお、セキュリティゲートウェイ装置10は、LAN40上に存在するルータ20のリストであるルータ情報リストと同様に、LAN40上に存在する端末装置5に関するリストを保持している。 Specifically, the routing rule in the packet communication between the terminal devices 5 n in the LAN 40 which is the internal network is set so that the packet is surely transferred to the security gateway device 10, and all the terminals connected to the LAN 40 are set. The apparatus 5 n is set to stop the function of returning an ARP reply packet that is a response corresponding to the ARP request packet. Note that the security gateway device 10 holds a list related to the terminal device 5 n existing on the LAN 40, similarly to the router information list that is a list of the routers 20 existing on the LAN 40.

このように、端末装置5のARP応答機能をオフにすると、別の端末装置5からARPリクエストパケットが送信されても、当該端末装置5のMACアドレスを書き込んだARPリプライパケットを返信することがないため、ルーティング規則の設定ミスや悪意のあるユーザによって操作されたとしても、端末装置5間で直接、通信リンクが確立されてしまうことを回避することができ、セキュリティ機能のすり抜けを防止することができる。 Thus, when the ARP response function of the terminal device 5 n is turned off, even when an ARP request packet is transmitted from another terminal device 5 n , an ARP reply packet in which the MAC address of the terminal device 5 n is written back is returned. since no, even if they are operated by setting mistake or malicious users of routing rules, it is possible to avoid that between terminals 5 n direct communication links are established, the slipping of the security features Can be prevented.

また、セキュリティゲートウェイ装置10のARP処理部16は、LAN40内のパケット通信において、端末装置5に対するARPリクエストパケットを受信したことに応じて、ARPリクエストパケットに対するARPリプライパケットを生成し、ARPリクエストパケットの送信元であたる端末装置5に返信する。 Further, the ARP processing unit 16 of the security gateway device 10 generates an ARP reply packet for the ARP request packet in response to receiving the ARP request packet for the terminal device 5 n in the packet communication within the LAN 40, and generates an ARP request packet. reply to the terminal apparatus 5 n hits at the source of.

これにより、ルーティング規則に設定ミスなどがあった場合でも、端末装置5が、別の端末装置5に対してパケットを送信するようにしても、必ずセキュリティゲートウェイ装置10を経由するようにパケットを誘導することができる。 As a result, even if there is a setting error in the routing rule, even if the terminal device 5 n transmits a packet to another terminal device 5 n , the packet always passes through the security gateway device 10. Can be induced.

[セキュリティ機能;トレースバック機能]
セキュリティゲートウェイ装置10に実装されるセキュリティ機能の一つとして、トレースバック機能がある。トレースバック機能の方式には、いくつかの方式が既知となっているが、ここでは、一例として、ダイジェスト方式と呼ばれるトレースバック機能をセキュリティゲートウェイ装置10に実装したトレースバックシステムについて説明をする。 [Security function; Traceback function]
One security function implemented in the security gateway device 10 is a traceback function. Several methods are known as the method of the traceback function. Here, as an example, a traceback system in which a traceback function called a digest method is installed in the security gateway device 10 will be described.

まず、図6を用いて、トレースバック機能を導入した通信セキュリティシステムであるトレースバックシステムの構成について説明をする。   First, the configuration of a traceback system, which is a communication security system incorporating a traceback function, will be described with reference to FIG.

図6に示すように、トレースバック機能を導入した通信セキュリティシステムであるトレースバックシステムは、LAN40A、40B、40Cが、それぞれルータ20A、20B、20Cを介してIPネットワーク50に接続されている。   As shown in FIG. 6, in the traceback system that is a communication security system in which the traceback function is introduced, LANs 40A, 40B, and 40C are connected to the IP network 50 via routers 20A, 20B, and 20C, respectively.

LAN40A上には、エンドユーザが使用する複数の端末装置5(nは、自然数)と、トレースバック機能を実装したセキュリティゲートウェイ装置10Aとが接続されている。同様に、LAN40B上には、エンドユーザが使用する複数の端末装置5と、トレースバック機能を実装したセキュリティゲートウェイ装置10Bとが接続されている。 On the LAN 40A, a plurality of terminal devices 5 n (n is a natural number) used by an end user and a security gateway device 10A equipped with a traceback function are connected. Similarly, on LAN40B, and a plurality of terminal devices 5 n used by an end user, and the security gateway device 10B that implements the traceback function is connected.

LAN40C上には、エンドユーザに利用されるファイルサーバ装置30Cと、トレースバックシステムの動作の中心となるトレースバックマネージャ装置31とが接続されている。また、ルータ20Cのミラーポートには、IDS(Intrusion Detection System)32が接続されている。IDS32は、LAN40Cの外部からファイルサーバ装置30Cに送信されるパケットを監視し、攻撃パケットが通過した場合に即座に攻撃パケットを検知することができる。   On the LAN 40C, a file server device 30C used by an end user and a traceback manager device 31 which is the center of the operation of the traceback system are connected. An IDS (Intrusion Detection System) 32 is connected to the mirror port of the router 20C. The IDS 32 can monitor a packet transmitted from the outside of the LAN 40C to the file server device 30C, and can immediately detect the attack packet when the attack packet passes.

セキュリティゲートウェイ装置10A、10Bは、トレースバック機能を実装しており、以下に示す2つの処理を実行する。   The security gateway devices 10A and 10B have a traceback function and execute the following two processes.

まず、セキュリティゲートウェイ装置10A、10Bは、1つ目の処理として、通過パケットを記録する処理を実行する。セキュリティゲートウェイ装置10A、10Bは、LAN40A、40B上の端末装置5やルータ20A、20Bからそれぞれ送信された全てのパケットの記録を行う。この処理は、図2を用いて説明したセキュリティ機能部13によって、図5に示したフローチャートのステップS16のタイミングで実行される。 First, the security gateway devices 10A and 10B execute a process of recording a passing packet as a first process. Security gateway devices 10A, 10B is performed LAN40A, terminals 5 n and routers 20A on 40B, the recording of all the packets transmitted from each of 20B. This process is executed by the security function unit 13 described with reference to FIG. 2 at the timing of step S16 in the flowchart shown in FIG.

通過記録は、図2に示したログ記録部19bに記録される。なお、ログ記録部19bに記録するログは、Hash関数を用いてパケットからHash値を計算し、それを記録することで記録量を低減させるようにしてもよい。   The passing record is recorded in the log recording unit 19b shown in FIG. The log to be recorded in the log recording unit 19b may be calculated by calculating a hash value from a packet using a hash function and recording the hash value to reduce the recording amount.

続いて、セキュリティゲートウェイ装置10A、10Bは、2つ目の処理として、パケットの通過確認メッセージへの応答を行う処理を実行する。この処理は、図2を用いて説明したセキュリティ機能管理部18とセキュリティ機能部13とによって実行される。   Subsequently, as a second process, the security gateway apparatuses 10A and 10B execute a process of responding to the packet passage confirmation message. This process is executed by the security function management unit 18 and the security function unit 13 described with reference to FIG.

図7に示すフローチャートを用いて、トレースバックシステムの2つ目の処理であるパケットの通過確認メッセージへの応答処理動作について説明をする。   With reference to the flowchart shown in FIG. 7, the response processing operation to the packet passage confirmation message, which is the second processing of the traceback system, will be described.

まず、セキュリティゲートウェイ装置10A、10Bは、トレースバックマネージャ装置31から送信されるパケットの通過確認メッセージを受信すると(ステップS31)、セキュリティ機能部13により、ログ記録部19bを参照して通過確認メッセージ内で指定されたパケットが記録されているかどうかを確認する(ステップS32、ステップS33)。   First, when the security gateway devices 10A and 10B receive a packet passage confirmation message transmitted from the traceback manager device 31 (step S31), the security function unit 13 refers to the log recording unit 19b and stores the passage confirmation message. It is confirmed whether or not the packet specified in (1) is recorded (steps S32 and S33).

次に、セキュリティ機能部13は、通過確認メッセージ内で指定されたパケットがログ記録部19bに記録されていれば、そのパケットが通過したことになるため、送信元のIPアドレスやMACアドレスを書き込んだ通過記録があることを示す通過応答メッセージを生成して(ステップS34)、トレースバックマネージャ装置31に送信する(ステップS36)。逆に、セキュリティ機能部13は、通過確認メッセージ内で指定されたパケットがログ記録部19bに記録されていなければ通過記録がないことを示す通過応答メッセージを生成して(ステップS35)、トレースバックマネージャ装置31に送信する(ステップS36)。   Next, if the packet designated in the passage confirmation message is recorded in the log recording unit 19b, the security function unit 13 means that the packet has passed, so write the IP address or MAC address of the transmission source. A passing response message indicating that there is a passing record is generated (step S34) and transmitted to the traceback manager device 31 (step S36). Conversely, the security function unit 13 generates a passing response message indicating that there is no passing record unless the packet specified in the passing confirmation message is recorded in the log recording unit 19b (step S35), and traceback The data is transmitted to the manager device 31 (step S36).

続いて、図8を用いて、トレースバックマネージャ装置31の構成について説明をする。図8に示すようにトレースバックマネージャ装置31は、LAN40Cに接続された通信インターフェース33と、通信制御部34と、トレースバック処理部35と、セキュリティゲートウェイ装置情報記憶部36とを備えている。   Next, the configuration of the traceback manager device 31 will be described with reference to FIG. As shown in FIG. 8, the traceback manager device 31 includes a communication interface 33 connected to the LAN 40C, a communication control unit 34, a traceback processing unit 35, and a security gateway device information storage unit 36.

次に、図9に示すフローチャートを用いて、トレースバックマネージャ装置31の処理動作について説明をする。   Next, the processing operation of the traceback manager apparatus 31 will be described using the flowchart shown in FIG.

まず、トレースバックマネージャ装置31は、IDS32からトレースバック要求メッセージを受け取ると(ステップS41)、セキュリティゲートウェイ装置情報記憶部36に登録されている全てのセキュリティゲートウェイ装置10A、10Bに対して通過確認メッセージを送信する(ステップS42)。   First, when the traceback manager device 31 receives a traceback request message from the IDS 32 (step S41), the traceback manager device 31 sends a passage confirmation message to all the security gateway devices 10A and 10B registered in the security gateway device information storage unit 36. Transmit (step S42).

このとき、トレースバック要求メッセージに、攻撃パケットが書き込まれているとすると、トレースバックマネージャ装置31は、通過確認メッセージにも、その攻撃パケットを書き込んで送信する。   At this time, if an attack packet is written in the traceback request message, the traceback manager device 31 also writes the attack packet in the passage confirmation message and transmits it.

トレースバックマネージャ装置31は、通過確認メッセージ送信後、全てのセキュリティゲートウェイ装置10A、10Bから通過応答メッセージを受け取る(ステップS43)。その後、受け取った通過応答メッセージのうち通過記録ありとなっている通過応答メッセージに書き込まれているIPアドレスとMACアドレスとを取り出す(ステップS44)。これにより、攻撃パケットを送信してきた端末装置5が特定される。 The traceback manager device 31 receives a passage response message from all the security gateway devices 10A and 10B after transmitting the passage confirmation message (step S43). Thereafter, the IP address and the MAC address written in the passage response message in which passage records are recorded are taken out of the received passage response messages (step S44). Thereby, the terminal device 5 n that has transmitted the attack packet is specified.

その後、トレースバックマネージャ装置31は、攻撃に対する対処処理を実行する(ステップS45)。攻撃に対する対処処理としては、例えば、攻撃記録としてログを残したり、ネットワーク管理者にメールなどの手段で通知したり、ファイアウォールなどと連携して攻撃パケットを送信してきた端末装置5の通信を遮断することなどが考えられる。 Thereafter, the traceback manager device 31 executes a countermeasure process against the attack (step S45). As countermeasures against attacks, for example, logs are recorded as attack records, notifications are sent to the network administrator by means of e-mail, etc., and communication with the terminal device 5 n that has sent the attack packets in cooperation with a firewall is blocked. It is possible to do.

次に、図10に示すタイミングチャートを用いてトレースバックシステムにおいて、攻撃パケットが送信されてから動作が完了するまでの処理動作について説明をする。   Next, processing operations from when an attack packet is transmitted until the operation is completed in the traceback system will be described using the timing chart shown in FIG.

まず、ウィルス感染などにより攻撃パケットを送信する機能を与えられてしまった端末装置5が、ファイルサーバ装置30Cに対して攻撃パケットP1を送信する。 First, the terminal device 5 n that has been given the function of transmitting an attack packet due to virus infection or the like transmits the attack packet P1 to the file server device 30C.

セキュリティゲートウェイ装置10Aは、受け取った全てのパケットをログ記録部19bに記録するため、この攻撃パケットP1を受け取った場合にもログとしてログ記録部19bに記録し、ルータ20Aに転送する。ルータ20A、20Cも順次、攻撃パケットP1を転送して、宛先であるファイルサーバ装置30Cに到達させる。   Since the security gateway device 10A records all received packets in the log recording unit 19b, even when the attack packet P1 is received, the security gateway device 10A records it as a log in the log recording unit 19b and transfers it to the router 20A. The routers 20A and 20C sequentially transfer the attack packet P1 to reach the destination file server device 30C.

ルータ20Cは、攻撃パケットP1を受け取った際、ファイルサーバ装置30Cに攻撃パケットP1を転送する一方、ミラーポートに接続されているIDS32に対して攻撃パケットP1のコピーパケットP2を送信する。   When the router 20C receives the attack packet P1, the router 20C transfers the attack packet P1 to the file server device 30C, while transmitting a copy packet P2 of the attack packet P1 to the IDS 32 connected to the mirror port.

攻撃パケットP1のコピーパケットP2を受け取ったIDS32は、攻撃であることを検知して、直ちにトレースバック要求メッセージP3をルータ20Cを経由させてトレースバックマネージャ装置31に送信する。このトレースバック要求メッセージP3は、コピーパケットP2が書き込まれて送信される。   The IDS 32 that has received the copy packet P2 of the attack packet P1 detects that it is an attack, and immediately transmits a traceback request message P3 to the traceback manager device 31 via the router 20C. The traceback request message P3 is transmitted with the copy packet P2 written therein.

トレースバックマネージャ装置31は、トレースバック要求メッセージP3を受け取ると、ルータ20C、ルータ20Aを経由させてセキュリティゲートウェイ装置10Aに通過確認メッセージP4を送信する。この通過確認メッセージP4は、コピーパケットP2が書き込まれて送信される。なお、図10では図示していないが、実際には、その他の全てのセキュリティゲートウェイ装置10Bにもそれぞれ通過確認メッセージP4が送信されることになる。   Upon receipt of the traceback request message P3, the traceback manager device 31 transmits a passage confirmation message P4 to the security gateway device 10A via the router 20C and the router 20A. The passage confirmation message P4 is transmitted with the copy packet P2 written therein. Although not shown in FIG. 10, in actuality, the passage confirmation message P4 is also transmitted to all the other security gateway devices 10B.

セキュリティゲートウェイ装置10Aは、通過確認メッセージP4に書き込まれているコピーパケットP2と同じパケットが通過していないかどうか、ログ記録部19bを参照してチェックをする。攻撃パケットP1が、ログ記録部19bに記録されている場合、コピーパケットP2と攻撃パケットP1とは全く同じパケットであることから、通過記録ありと判断される。   The security gateway device 10A refers to the log recording unit 19b to check whether the same packet as the copy packet P2 written in the passage confirmation message P4 has passed. When the attack packet P1 is recorded in the log recording unit 19b, since the copy packet P2 and the attack packet P1 are exactly the same packet, it is determined that there is a passage record.

セキュリティゲートウェイ装置10Aは、通過記録を確認すると、通過記録ありを示す通過応答メッセージP5をルータ20A、ルータ20Cを経由させてトレースバックマネージャ装置31に送信する。この通過応答メッセージP5には、ログに基づいて攻撃パケットP1を送信してきた端末装置5のIPアドレスとMACアドレスとが書き込まれて送信される。 Upon confirming the passage record, the security gateway device 10A transmits a passage response message P5 indicating that there is a passage record to the traceback manager device 31 via the router 20A and the router 20C. The passage in the response message P5, the IP address and MAC address of the terminal device 5 n which has transmitted the attack packets P1 based on the log is transmitted written and.

トレースバックマネージャ装置31は、通過応答メッセージP5を受け取ると、これに書き込まれているIPアドレスとMACアドレスとを取り出し、ログ記録部19bへのログの記録、管理者への通知、ファイアウォールなどへの端末装置5の通信遮断要求を送信するなど、攻撃対処処理を実行する。 Upon receiving the passage response message P5, the traceback manager device 31 takes out the IP address and MAC address written in the message, records the log in the log recording unit 19b, notifies the administrator, and sends it to the firewall. such as sending the communication shutdown request of the terminal device 5 n, it executes an attack handling processing.

このようにして、トレースバック機能を実装したセキュリティゲートウェイ装置10A、10Bは、トレースバックマネージャ装置31、IDS32と連携して、攻撃パケットに対して攻撃対処処理、つまりセキュリティ処理を実行することができる。   In this way, the security gateway devices 10A and 10B equipped with the traceback function can execute attack countermeasure processing, that is, security processing on the attack packet in cooperation with the traceback manager device 31 and the IDS 32.

このように、通信セキュリティシステムは、セキュリティ機能を実装したセキュリティゲートウェイ装置10をLAN40に分岐するように接続させることで、ネットワークの設計変更、ネットワークの配線変更、ネットワークに接続されている既存の機器の置き換えといた作業をすることなく、ネットワーク上におけるセキュリティ機能を容易に追加することができ、コストを低減することができる。   As described above, the communication security system connects the security gateway device 10 with the security function so as to branch to the LAN 40, thereby changing the design of the network, changing the wiring of the network, and the existing device connected to the network. A security function on the network can be easily added without performing the replacement work, and the cost can be reduced.

なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。   The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.

本発明の実施の形態として示す通信セキュリティシステムの構成について説明するための図である。It is a figure for demonstrating the structure of the communication security system shown as embodiment of this invention. 前記通信セキュリティシステムが備えるセキュリティゲートウェイ装置の構成について説明するための図である。It is a figure for demonstrating the structure of the security gateway apparatus with which the said communication security system is provided. 前記セキュリティゲートウェイ装置が保持するルータ情報リストの一例を示した図である。It is the figure which showed an example of the router information list which the said security gateway apparatus hold | maintains. 前記セキュリティゲートウェイ装置によるルータに対する設定処理動作について説明するためのフローチャートである。It is a flowchart for demonstrating the setting process operation | movement with respect to the router by the said security gateway apparatus. パケットを受信した際のセキュリティゲートウェイ装置の処理動作について説明するためのフローチャートである。It is a flowchart for demonstrating the processing operation of the security gateway apparatus at the time of receiving a packet. トレースバックを実現するトレースバックシステムの構成について示した図である。It is the figure shown about the structure of the traceback system which implement | achieves traceback. トレースバックシステムのパケットの通過確認メッセージへの応答処理動作について説明するためのフローチャートである。It is a flowchart for demonstrating the response processing operation | movement to the packet passage confirmation message of a traceback system. 前記トレースバックシステムが備えるトレースバックマネージャ装置の構成を示した図である。It is the figure which showed the structure of the traceback manager apparatus with which the said traceback system is provided. 前記トレースバックシステムが備えるトレースバックマネージャ装置の処理動作について説明するためのフローチャートである。It is a flowchart for demonstrating the processing operation of the traceback manager apparatus with which the said traceback system is provided. 前記トレースバックシステムにおいて、攻撃パケットが送信されてから動作が完了するまでの処理動作について説明するためのタイミングチャートである。5 is a timing chart for explaining a processing operation from when an attack packet is transmitted until the operation is completed in the traceback system.

符号の説明Explanation of symbols

端末装置
10 セキュリティゲートウェイ装置
13 セキュリティ機能部
14 ルーティング処理部
15 ルータ情報リスト記憶部
16 ARP(Address Resolution Protocol)処理部
17 自動設定機能部
18 セキュリティ機能管理部
20 ルータ
30 サーバ装置
31 トレースバックマネージャ装置
40 LAN(Local Area Network)
50 IP(Internet Protocol)ネットワーク 5 n terminal device 10 security gateway device 13 security function unit 14 routing processing unit 15 router information list storage unit 16 ARP (Address Resolution Protocol) processing unit 17 automatic setting function unit 18 security function management unit 20 router 30 server device 31 traceback manager Device 40 LAN (Local Area Network)
50 IP (Internet Protocol) network

Claims (4)

内部ネットワークと外部ネットワークとを相互接続し、所定のルーティング規則に基づきパケットを転送するルータと、前記内部ネットワークに分岐して接続される通信セキュリティ装置とを備える通信セキュリティシステムであって、
前記通信セキュリティ装置は
前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、
前記ルータとパケット通信を行うルータ通信手段と、
前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段と、
前記ルータに設定されている所定のルーティング規則を、前記外部ネットワークから前記内部ネットワークへのパケット通信に際し、当該通信セキュリティ装置にパケットが転送されるよう変更するルーティング規則変更手段と
前記内部ネットワーク上に存在するルータのIPアドレスを記載したアドレステーブルを記憶した記憶手段と、
前記記憶手段に記憶されているアドレステーブルを参照し、前記アドレステーブルに記載されている全てのルータに対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう指示する停止指示手段と、
前記ルータに対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信するARP処理手段とを有し、
前記ルータは
前記ルーティング規則変更手段によって前記ルーティング規則が変更されたことに応じて、前記内部ネットワークへ送信するパケットを前記通信セキュリティ装置に転送し、
前記端末装置のルーティング規則を、前記内部ネットワークから前記外部ネットワークへのパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるよう設定し、
前記停止指示手段による指示に応じて、ARP応答パケットを返信する機能を停止させること
を特徴とする通信セキュリティシステム。 A communication security system comprising a router that interconnects an internal network and an external network, forwards a packet based on a predetermined routing rule, and a communication security device that is branched and connected to the internal network,
The communication security device includes :
Terminal communication means for performing packet communication with a terminal device connected to the internal network;
Router communication means for performing packet communication with the router;
Security processing means for executing security processing for judging validity of a packet acquired by each packet communication by the terminal communication means and the router communication means;
A routing rule changing means for changing the predetermined routing rule set in the router so that the packet is transferred to the communication security device in packet communication from the external network to the internal network ;
Storage means for storing an address table describing IP addresses of routers existing on the internal network;
Stop referring to the address table stored in the storage means and instructing all routers described in the address table to stop the function of returning an ARP response packet as a response to the ARP request packet Indicating means;
ARP processing means for generating an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the router and returning the ARP request packet to the transmission source of the ARP request packet;
The router,
In response to the routing rule being changed by the routing rule changing means, the packet to be transmitted to the internal network is transferred to the communication security device,
The routing rule of the terminal device is set so that the packet is transferred to the communication security device during packet communication from the internal network to the external network .
A communication security system that stops a function of returning an ARP response packet in response to an instruction from the stop instruction means . 前記通信セキュリティ装置は、前記内部ネットワーク上に存在するルータを検索し、前記記憶手段に記憶させるアドレステーブルを生成するテーブル生成手段を有すること
を特徴とする請求項1記載の通信セキュリティシステム。 The communication security system according to claim 1, wherein the communication security apparatus includes a table generation unit that searches for a router existing on the internal network and generates an address table to be stored in the storage unit. 前記端末装置のルーティング規則を、前記内部ネットワーク内におけるパケット通信に際し、前記通信セキュリティ装置にパケットが転送されるように設定するとともに、
前記内部ネットワークに接続された全ての端末装置に対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう設定し、
前記通信セキュリティ装置のARP処理手段は、前記内部ネットワーク内のパケット通信において、前記端末装置に対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信すること
を特徴とする請求項2記載の通信セキュリティシステム。 The routing rule of the terminal device is set so that the packet is transferred to the communication security device during packet communication in the internal network,
For all terminal devices connected to the internal network, set to stop the function of returning an ARP response packet that is a response to the ARP request packet,
The ARP processing means of the communication security device generates an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the terminal device in packet communication within the internal network, and 3. The communication security system according to claim 2, wherein a reply is made to the transmission source. 内部ネットワークと外部ネットワークとを相互接続し、所定のルーティング規則に基づきパケットを転送するルータと、前記内部ネットワークに分岐して接続される通信セキュリティ装置とを備える通信セキュリティシステムの前記通信セキュリティ装置であって、
前記内部ネットワークに接続された端末装置とパケット通信を行う端末通信手段と、
前記ルータとパケット通信を行うルータ通信手段と、
前記端末通信手段、前記ルータ通信手段による各パケット通信により取得したパケットの正当性を判断するセキュリティ処理を実行するセキュリティ処理手段と、
前記ルータに設定されている所定のルーティング規則を、前記外部ネットワークから前記内部ネットワークへのパケット通信に際し、当該通信セキュリティ装置にパケットが転送されるよう変更するルーティング規則変更手段と
前記内部ネットワーク上に存在するルータのIPアドレスを記載したアドレステーブルを記憶した記憶手段と、
前記記憶手段に記憶されているアドレステーブルを参照し、前記アドレステーブルに記載されている全てのルータに対して、ARP要求パケットに対する応答であるARP応答パケットを返信する機能を停止するよう指示する停止指示手段と、
前記ルータに対するARP要求パケットを受信したことに応じて、前記ARP要求パケットに対するARP応答パケットを生成し、ARP要求パケットの送信元へと返信するARP処理手段とを有すること
を特徴とする通信セキュリティ装置。 The communication security device of a communication security system comprising: a router that interconnects an internal network and an external network and forwards packets based on a predetermined routing rule; and a communication security device that is branched and connected to the internal network. And
Terminal communication means for performing packet communication with a terminal device connected to the internal network;
Router communication means for performing packet communication with the router;
Security processing means for executing security processing for judging validity of a packet acquired by each packet communication by the terminal communication means and the router communication means;
A routing rule changing means for changing the predetermined routing rule set in the router so that the packet is transferred to the communication security device in packet communication from the external network to the internal network ;
Storage means for storing an address table describing IP addresses of routers existing on the internal network;
Stop referring to the address table stored in the storage means and instructing all routers described in the address table to stop the function of returning an ARP response packet as a response to the ARP request packet Indicating means;
ARP processing means for generating an ARP response packet for the ARP request packet in response to receiving the ARP request packet for the router and returning the ARP request packet to a transmission source of the ARP request packet. .
JP2007082123A 2007-03-27 2007-03-27 Communication security system and communication security device Expired - Fee Related JP4899973B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007082123A JP4899973B2 (en) 2007-03-27 2007-03-27 Communication security system and communication security device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007082123A JP4899973B2 (en) 2007-03-27 2007-03-27 Communication security system and communication security device

Publications (2)

Publication Number Publication Date
JP2008244808A JP2008244808A (en) 2008-10-09
JP4899973B2 true JP4899973B2 (en) 2012-03-21

Family

ID=39915603

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007082123A Expired - Fee Related JP4899973B2 (en) 2007-03-27 2007-03-27 Communication security system and communication security device

Country Status (1)

Country Link
JP (1) JP4899973B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7006178B2 (en) * 2017-11-24 2022-01-24 オムロン株式会社 Security monitoring device

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4174392B2 (en) * 2003-08-28 2008-10-29 日本電気株式会社 Network unauthorized connection prevention system and network unauthorized connection prevention device
JP4012179B2 (en) * 2004-08-03 2007-11-21 株式会社東芝 Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense target terminal, defense target program, and protection target method
JP2006262019A (en) * 2005-03-16 2006-09-28 Fujitsu Ltd Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus

Also Published As

Publication number Publication date
JP2008244808A (en) 2008-10-09

Similar Documents

Publication Publication Date Title
Beale et al. Wireshark & Ethereal network protocol analyzer toolkit
CA2672528C (en) Method and apparatus for detecting port scans with fake source address
US8234705B1 (en) Contagion isolation and inoculation
US8839417B1 (en) Device, system and method for defending a computer network
JP5029701B2 (en) Virtual machine execution program, user authentication program, and information processing apparatus
EP2469787B1 (en) Method and device for preventing network attacks
US20120185563A1 (en) Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device
JP4195480B2 (en) An apparatus and method for managing and controlling the communication of a computer terminal connected to a network.
CN111314281A (en) Method for forwarding attack traffic to honeypot
JPWO2012077603A1 (en) Computer system, controller, and network monitoring method
WO2005109797A1 (en) Network attack combating method, network attack combating device and network attack combating program
JP4082613B2 (en) Device for restricting communication services
US8234503B2 (en) Method and systems for computer security
JP4245486B2 (en) Network unauthorized connection prevention method and apparatus
JP2005193590A (en) Printing device
WO2015136842A1 (en) Network management device, network system, network management method, and recording medium
JP4899973B2 (en) Communication security system and communication security device
US20240056421A1 (en) Gateway, Specifically for OT Networks
JP4029898B2 (en) Network equipment
JP4418211B2 (en) Network security maintenance method, connection permission server, and connection permission server program
JP2007102747A (en) Packet detector, message detection program, shutdown program of unauthorized e-mail
KR102628441B1 (en) Apparatus and method for protecting network
JP4710889B2 (en) Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program
TWI709309B (en) Network management device and network management method thereof
JP3836472B2 (en) Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110510

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110711

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110823

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111114

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20111121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111206

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111219

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150113

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees