JP5088517B2 - 検疫装置、検疫システム、検疫方法、及びプログラム - Google Patents

検疫装置、検疫システム、検疫方法、及びプログラム Download PDF

Info

Publication number
JP5088517B2
JP5088517B2 JP2010221558A JP2010221558A JP5088517B2 JP 5088517 B2 JP5088517 B2 JP 5088517B2 JP 2010221558 A JP2010221558 A JP 2010221558A JP 2010221558 A JP2010221558 A JP 2010221558A JP 5088517 B2 JP5088517 B2 JP 5088517B2
Authority
JP
Japan
Prior art keywords
quarantine
terminal
vlan
port
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010221558A
Other languages
English (en)
Other versions
JP2012080216A (ja
Inventor
圭祐 藤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010221558A priority Critical patent/JP5088517B2/ja
Priority to US13/240,369 priority patent/US8644309B2/en
Publication of JP2012080216A publication Critical patent/JP2012080216A/ja
Application granted granted Critical
Publication of JP5088517B2 publication Critical patent/JP5088517B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/467Arrangements for supporting untagged frames, e.g. port-based VLANs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークに接続された端末を検疫するための検疫装置、検疫システム、更には、検疫方法、及びこれらを実現するためのプログラムに関する。
近年、企業等においては、ネットワークを介して感染するワーム及びウイルスなどの増加に対応するため、検疫システムの導入が進められている(例えば、特許文献1参照。)。検疫システムは、OSパッチファイル、ウイルス対策ソフトの定義ファイルが最新でないなど、予めセキュリティポリシーで設定されている要件を満たしていない端末を、業務ネットワークから隔離して、ネットワークのセキュリティを保持している。
このような検疫システムでは、一般に、ネットワークの制御をより厳密に行うために、VLAN(Virtual LAN)機能を有するレイヤー2スイッチが利用されている。レイヤー2スイッチは、インターネットプロトコルの通信に利用されるレイヤーよりも低いレイヤー(データリンク層)において、ネットワークを制御している。
具体的には、検疫システムにおいて、VLAN機能を有するレイヤー2スイッチは、予め、業務用のVLANと隔離用のVLANとを備えている。そして、検疫システムを構成する検疫サーバは、レイヤー2スイッチに接続された端末のセキュリティポリシーに従い、その端末をどちらかのVLANに所属させる。
つまり、検疫サーバは、レイヤー2スイッチのいずれかのポートに端末が接続されると、SNMP(Simple Network Management Protocol)を利用して、端末のポートへの接続を検知する。そして、検疫サーバは、端末におけるエージェントプログラムのインストールのチェック、セキュリティポリシーのチェックなどを実行する。
その後、検疫サーバは、セキュリティポリシーを満たす安全な端末のみを業務用のVLANに所属させ、業務ネットワークへの接続を許可する。また、検疫サーバは、セキュリティポリシーを満たさない端末を隔離用のVLANによって隔離する。また、隔離用VLANに所属している端末は、検疫サーバ以外を通信対象として通信を行うことができず、検疫サーバのみと通信を行う。
更に、検疫サーバは、エージェントプログラムが未導入の端末、及びセキュリティポリシーを満たしていない端末に対して、エージェントプログラムのインストールといった、セキュリティポリシーを満たすための処理を施してから、これらを業務用のVLANに接続させる。この結果、ネットワークのセキュリティが保たれる。
また、上述の検疫システムでは、レイヤー2スイッチのポート毎に別々のVLAN設定を行うことができ、この場合は、ポート単位での端末の隔離及び復旧を実現することができる。更に、端末毎に隔離用VLANを割り当てることもでき、この場合は、端末一台毎に検疫を行うこともできる。
特開2008−54204号公報
ところで、上述の検疫システムでは、レイヤー2スイッチの各ポートには、1台の端末又は1台の情報機器が直接接続されることが、前提とされている。一方、実際には、例えば、レイヤー2スイッチのポートに、VLAN機能を持たないハブが接続され、更に、このVLAN機能を持たないハブの配下に複数の端末が接続される場合がある。
上記の場合、VLAN機能を持たないハブの配下の端末は、全て同一のVLANに所属することになる。従って、例えば、VLAN機能を持たないハブの配下に、セキュリティポリシーを満たした端末が1台目として接続されると、検疫サーバは、VLAN機能を持たないハブが接続されているポートを業務用のVLANに接続させてしまう。
そして、VLAN機能を持たないハブの配下に、2台目の端末が接続されると、この端末は、エージェントプログラムが未導入であっても、又はエージェントプログラムは導入済みであるが、セキュリティポリシーで設定された要件を満たしていなくても、業務用のネットワークに接続できてしまう。上述の検疫システムには、レイヤー2スイッチのポートに、VLAN機能を持たないハブを介して、複数台の端末が接続された場合に、当該端末を個別に業務ネットワークから隔離及び復旧することができないという問題が存在している。
本発明の目的の一例は、上記問題を解消し、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、各端末に対して個別に検疫を実行し得る、検疫装置、検疫システム、検疫方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面における検疫装置は、VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置であって、
前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、端末検出部と、
前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、スイッチ制御部と、
を備えていることを特徴とする。
上記目的を達成するため、本発明の一側面における検疫システムは、
VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置と、前記ネットワークに接続された複数の端末とを備え、
前記検疫装置は、
前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、前記複数の端末のうちの1台の端末が接続されている場合に、前記集線装置への別の端末の接続を検出する、端末検出部と、
前記別の端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、スイッチ制御部と、を備え、
前記集線装置に接続された端末は、前記検疫装置から指示された場合に、当該端末が送信するイーサーネットフレームに、前記タグを付加する、
ことを特徴とする。
また、上記目的を達成するため、本発明の一側面における検疫方法は、VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行うための検疫方法であって、
(a)前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、ステップと、
(b)前記(a)のステップで前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、ステップと、
を有することを特徴とする。
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として、コンピュータによって、検疫処理を行うためのプログラムであって、
前記コンピュータに、
(a)前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、ステップと、
(b)前記(a)のステップで前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、ステップと、
を実行させることを特徴とする。
以上の特徴により、本発明によれば、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、各端末に対して個別に検疫を実行することができる。
図1は、本発明の実施の形態1における検疫システムの全体構成を示す図である。 図2は、本発明の実施の形態1における検疫システムを構築している検疫装置の構成を示すブロック図である。 図3は、本発明の実施の形態1における検疫システムを構築している端末の構成を示すブロック図である。 図4は、図1に示す端末情報データベースに格納されている端末情報の一例を示す図である。 図5は、図1に示すポート情報データベースに格納されているポート情報の一例を示す図である。 図6は、本発明の実施の形態1における検疫システムの動作を示すシーケンス図である。 図7は、本発明の実施の形態2における検疫システムの全体構成を示す図である。 図8は、本発明の実施の形態2における検疫システムを構築している検疫装置の構成を示すブロック図である。 図9は、本発明の実施の形態2における検疫システムの動作を示すシーケンス図である。 図10は、本発明の実施の形態における検疫装置を実現するコンピュータの一例を示すブロック図である。
(発明の概要)
通常、検疫装置(検疫用のサーバ装置)が監視対象としている、レイヤー2スイッチのポートは、アクセスポートに設定されている。これに対して、本発明では、検疫装置は、ポートに接続されたハブ(VLAN機能無)の配下に1台の端末が接続されている場合に、このハブの配下に更に2台目の端末が接続されると、それを検知したタイミングで、当該ポートをトランク(Trunk)ポートに設定する。
また、このトランクポートには、新たに、VLANが定義される。この新たに定義されたVLANは、検疫装置とのみ通信が可能な隔離ネットワーク(以下「隔離NW(Net Work)」とする。)に接続され、更に、「ネイティブ(native)VLAN」として設定される。ここで、この新たに定義されたVLANは、従来の1つポートに毎に設定された隔離用のVLANとは異なるため、本明細書では、「隔離用ネイティブVLAN」とする。
一般に、「ネイティブVLAN」とは、VLANタグの無いイーサーネット(登録商標)フレームの通信を行うVLANをいう。レイヤー2スイッチは、VLANタグが付加されたイーサーネットフレームを受け取ると、これを、ネイティブVLANに所属しているものとして転送する。なお、ネイティブVLANのVLAN番号(VLAN ID)は、デフォルトでは、「1」に設定されていることが多いが、自由に変更することも可能である。
また、トランクに設定されたポートには、隔離NWに接続される「隔離用ネイティブVLAN」に加え、業務ネットワーク(以下「業務NW(Net Work)とする。)に接続される「業務用VLAN」も設定される。レイヤー2スイッチは、VLANタグの無いイーサーネットフレームを受け取った場合は、これを、業務用VLANに所属しているものとして転送する。このように、トランクに設定されたポートでは、隔離NWと業務NWとの通信のみが許可されるように設定が行われる。
上述のレイヤー2スイッチの設定により、トランクに設定したポートでは、VLANタグが付加されたイーサーネットフレームの通信と、VLANタグが付加されていないイーサーネットフレームの通信とが可能となる。そして、レイヤー2スイッチは、VLANタグの有無に応じて、イーサーネットフレームを、業務NW又は隔離NWのいずれかに転送する。
従って、例えば、端末に導入されたエージェント(Agent)に、VLANタグ(以下「業務NW用VLANタグ」とする。)を付加する機能を持たせるようにする。この場合、エージェントが導入済みの端末(以下「正規端末」とする。)は、エージェントが、イーサーネットフレームに、業務NW用のVLANタグを付加するため、業務NWと通信することができる。
一方、エージェントが導入されていない端末(以下「不正端末」)は、イーサーネットフレームに業務NW用VLANタグを付加することができないため、「隔離用ネイティブVLAN」での通信となる。そして、隔離用ネイティブVLANでの通信では、端末は、隔離NWを介して検疫サーバとしか通信できない状態となる。この端末が、業務NWに接続するためには、検疫サーバと通信し、エージェントプログラムをインストールする必要がある。
以上により、VLAN機能を持たないハブの配下に、例えば、エージェントが未導入の端末、エージェントは導入されているが、セキュリティポリシーを満たしていない端末が、接続された場合であっても、この端末を個別に業務NWから隔離し、更に、復旧することができる。
(実施の形態1)
以下、本発明の実施の形態1における検疫装置、検疫システム、検疫方法、及びプログラムについて、図1〜図6を参照しながら説明する。最初に、本実施の形態1における検疫装置及び検疫システムの構成について図1及び図2を用いて説明する。図1は、本発明の実施の形態1における検疫システムの全体構成を示す図である。図2は、本発明の実施の形態1における検疫システムを構築している検疫装置の構成を示すブロック図である。
図1に示すように、本実施の形態1における検疫システム30は、ネットワーク40を対象として検疫処理を行う検疫装置1と、ネットワーク40に接続された端末3及び4とを備えている。検疫装置1、端末3及び4は、ネットワーク40を構成している。ここで、本実施の形態1において「検疫処理」には、ネットワークに接続された端末を業務NWから隔離し、その後、エージェントプログラムの導入、パッチファイルの適用といった復旧処理を行うことだけでなく、既に隔離されている端末に対して復旧処理を行うことも含まれる。
また、ネットワーク40は、レイヤー2スイッチ7を備えている。本実施の形態では、ネットワーク40は、更に、検疫指示装置5、業務ネットワーク(業務NW)8、レイヤー2スイッチ7のポート72に接続されたハブ6も備えている。
レイヤー2スイッチ7は、仮想的にネットワークを分割する機能、いわゆる「VLAN機能」を備えている。具体的には、レイヤー2スイッチ7は、国際標準であるIEEE802.1Qに準拠したタグVLAN機能を備えている。更に、レイヤー2スイッチ7は、ネットワーク管理プロトコルによって検疫装置1と通信する機能も備えている。ネットワーク管理プロトコルとしては、インターネット上の業界標準であるRFCで規定されているSNMP(Simple Network Management Protocol)等が挙げられる。
また、レイヤー2スイッチ7は、ポート71〜76を備えている。このうち、ポート71には、検疫装置1が接続されている。ポート71は、複数のタグVLANそれぞれに所属するイーサーネットフレームを送出可能なトランク(Trunk)ポートに設定されている。一方、ポート72〜ポート76は、アクセスポートに設定されている。なお、ハブ6が接続されているポート72は、後述するように、一定条件下でトランクポートに設定される。
ハブ6は、イーサーネットで構成されたネットワークで利用される集線装置であり、VLAN機能を有していない。ハブ6は、VLAN機能及びSNMP機能を有していないレイヤー2のスイッチと同等であり、ハブ6をこれと置き換えることも可能である。
業務ネットワーク8は、イントラネット等の業務ネットワークであり、業務サーバ及びインターネットへの接続に利用される。また、業務ネットワーク8は、企業の上流ネットワークへのアクセス経路を含んでいても良い。
端末3及び端末4は、共に、ネットワーク40の利用者が利用するコンピュータであり、レイヤー2スイッチ7のポート72に、VLAN機能を有していないハブ6を介して接続されている。本実施の形態では、このうち、端末3が最初にハブ6に接続され、その後、端末4がハブ6に接続される。
ところで、レイヤー2スイッチ7の配下にVLAN機能を持たないハブ6が接続され、このハブ6の配下に一台の端末3のみが接続されている場合は、レイヤー2スイッチ7のポートに、直接端末3が接続されている状態と同じである。従って、端末3にエージェントプログラムが導入されており、且つ、セキュリティポリシーで設定された要件が満たされている場合は、レイヤー2スイッチ7は、端末3を業務ネットワーク8に接続する。そして、この状態で、エージェントプログラムが導入されていない端末、又はエージェントプログラムは導入されているが、セキュリティポリシーで設定された要件を満たしていない端末がハブ6に接続されると、従来では、この端末までもが業務ネットワークに接続される。しかし、本実施の形態では、以下に説明するように、検疫装置1によって、この接続は阻止される。
図2に示すように、検疫装置1は、端末検出部11と、スイッチ制御部12とを備えている。このうち、端末検出部11は、レイヤー2スイッチ7のポート72に、VLAN機能を有していないハブ6を介して、1台の端末3が接続されている場合に、ハブ6への別の端末4の接続を検出する。
スイッチ制御部12は、端末4の接続が検出された場合に、ハブ6が接続されているポート72をトランクポートに設定する。また、スイッチ制御部12は、隔離用のVLANを定義すると共に、この隔離用のVLANをネイティブVLAN(隔離用ネイティブVLAN)に設定する。更に、スイッチ制御部12は、ポート72に、業務用VLANと、隔離用ネイティブVLANとを設定する。
業務用VLANは、発明の概要で上述したように、設定されたタグが付加されたイーサーネットフレームのみを転送するタグVLANであり、業務NWに接続される。また、隔離用ネイティブVLANは、タグが付加されていないイーサーネットフレームのみを転送するネイティブVLANであり、隔離NW(図1及び図2において図示せず)に接続される。なお、本実施の形態1では、業務用VLANのVLAN番号(VLAN ID)は「11」に設定され、隔離用ネイティブVLANのVLAN番号(VLAN ID)は「10」に設定されている。
また、ハブ6に接続された端末3及び端末4は、検疫装置1から指示された場合に、当該端末が送信するイーサーネットフレームに、タグを付加する。つまり、検疫装置1が許可する場合にのみ、各端末は、業務ネットワーク8に接続でき、それ以外の場合では、隔離NWに接続され、検疫装置1及び検疫指示装置5のみと通信を行う。
従って、検疫装置1及び検疫システム30によれば、レイヤー2スイッチ7のポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合であっても、各端末に対して個別に検疫を実行することができる。
なお、本実施の形態において、ネットワーク40は、図1及び図2の例に限定されるものではない。図1の例では、2つの端末のみが例示されているが、端末の数は限定されるものではない。また、端末は、レイヤー2スイッチ7のいずれかのポートに直接接続されていても良い。更に、ハブ6に3つ以上の端末が接続されていても良い。加えて、図1の例では、1つのレイヤー2スイッチ7のみが例示されているが、レイヤー2スイッチ7の数も限定されるものではない。
ここで、本実施の形態における検疫装置1及び検疫システム30の構成について、図3〜図5を用いて、更に具体的に説明する。図3は、本発明の実施の形態1における検疫システムを構築している端末の構成を示すブロック図である。図4は、図1に示す端末情報データベースに格納されている端末情報の一例を示す図である。図5は、図1に示すポート情報データベースに格納されているポート情報の一例を示す図である。
本実施の形態では、端末3及び端末4のうち、端末3には、検疫装置1との通信を可能にするエージェントプログラムが導入されている。エージェントプログラムは、端末3において実行されると、図1及び図3に示すように、端末3の内部に、検疫エージェント2を構築する。
また、図3に示すように、検疫エージェント2は、検疫サーバ通信部21と、タグ付加機能部22とを備えている。そして、検疫エージェント2は、この構成により、端末3のセキュリティポリシーの収集、検疫指示サーバ5への収集結果の通知、検疫サーバ1との通信、イーサーネットフレームへのタグの付加を実行する。検疫サーバ通信部21及びタグ付加機能部22それぞれの機能については、後述する。
なお、本実施の形態では、端末3は、セキュリティレベルが設定基準を満たした端末(以下「正規端末」という。)であるのに対して、端末4は、セキュリティレベルが設定基準を満たしいていない端末(以下「不正端末」という。)である。「セキュリティレベルが設定基準を満たしている」とは、端末に、エージェントプログラムが導入され、且つ、端末が、セキュリティポリシーで設定されている要件を満たしている、ことを意味する。これらの条件が一つでも充足されていない場合は、端末のセキュリティレベルは、設定基準を満たしていないことになる。
また、図2に示すように、検疫装置1は、端末検出部11及びスイッチ制御部12に加えて、エージェント制御部13と、隔離端末制御部14と、端末情報データベース(以下「端末情報DB(Data Base)」)15と、ポート情報データベース(以下「ポート情報DB(Data Base)」16とを備えている。更に、本実施の形態1では、検疫装置1は、レイヤー2スイッチ7のハブ6が接続されたポート72を監視対象としている。また、検疫装置1は、実際には、サーバコンピュータに導入されたプログラムによって実現されている。
端末情報DB15は、図4に示すように、検疫サーバ1が監視対象としているレイヤー2スイッチ7の配下に接続された端末に関する情報(以下「端末情報」)を登録している。図4の例では、レイヤー2スイッチ7のポート72に、VLAN機能を持たないハブ6を介して接続された、端末3及び端末4に関する情報が、端末情報として格納されている。端末情報は、端末毎の、端末ID、MACアドレス、IPアドレス、VLAN番号、ポート番号によって構成されている。
なお、図4において、端末IDが「101」の端末が端末3であり、端末IDが「102」の端末が端末4である。端末IDが「102」の端末4には、上述したようにエージェントプログラムが導入されておらず、検疫エージェント2が構築されていないため、MACアドレス及びIPアドレスは登録されていない。
ポート情報DB16は、図5に示すように、検疫サーバ1が監視対象としているレイヤー2スイッチ7の各ポートに関する情報(以下「ポート情報」)を登録している。ポート情報は、ポート毎の、ポート番号、接続されるネットワークの種類、VLAN番号(VLAN ID)、ポート状態によって構成されている。
図5の例では、ポート番号6のポートは、ハブ6が接続されたポート72であり、ポート番号10のポートは、ポート73であり、ポート番号20のポートは、ポート76である。また、図5の例では、ポート番号6のポート72が、スイッチ制御部12によって、トランクポートに設定された場合について情報が登録されている。具体的には、ポート情報DB16において、ポート番号6のポート7には、隔離用ネイティブVLANのVLAN番号(VLAN ID=10)と、業務用VLANのVLAN番号(VLAN ID=11)とが登録されている。このため、ポート72に接続された端末は、業務NW8(VLAN ID=10)との通信、及び隔離NWとの通信のうちいずれか一方が可能となる。
更に、図5の例では、ポート番号10のポート73はアクセスポートに設定されている。ポート73に接続された端末は、VLAN番号(VLAN ID)が「22」のVLANにより、隔離NWと通信する。また、ポート番号20のポート76も同様にアクセスポートに設定されているが、ポート74に接続された端末は、VLAN番号(VLAN ID)が「10」のVLANにより、業務NW8と通信する。
なお、図5の例に限定されるものではなく、ポート番号10のポート73及びポート番号20のポート76の一方又は両方が、ポート番号6のポート72と同様にトランクポートに設定されていても良い。また、この場合も、トランクポートに設定されたポートにおいては、隔離用ネイティブVLANのVLAN番号と、業務用VLANのVLAN番号とが登録される。
端末検出部11は、上述したように、レイヤー2スイッチ7のポート72に、VLAN機能を有していないハブ6を介して、端末3が接続されている場合に、ハブ6に端末4が接続されると、これを検出する。このとき、本実施の形態1では、端末検出部11は、ポート情報DB16にアクセスし、ハブ6が接続されているポート72のポート情報を取得し、これをスイッチ制御部12に通知する。
具体的には、端末検出部11は、例えば、次の処理を実行することによって、端末4の接続を検知することができる。先ず、端末検出部11は、ハブ6に端末が接続されたときに、端末がブロードキャストで発信するARPパケットを検出し、その発信元のMACアドレスを特定する。更に、端末検出部11は、レイヤー2スイッチ7のポートのうち、送信元のMACアドレスを含む複数のMACアドレスが登録されているポートの検出を行う。そして、複数のMACアドレスが登録されているポートが検出された場合は、端末検出部11は、このポートに、2台以上の端末が接続されたと判断する。
スイッチ制御部12は、本実施の形態1では、端末検出部11からのポート情報の通知を受信すると、通知されたポートをトランクポートに設定し、更に、通知されたポートに、業務用VLAN及び隔離用ネイティブVLANの設定を行う。また、スイッチ制御部12は、ポート情報DB16にアクセスし、ポート情報を更新する。更に、スイッチ制御部12は、エージェント制御部13に対し、トランクに設定されたポートの配下に接続された端末(本実施の形態1では、端末3及び4)の端末情報を送信する。
エージェント制御部13は、スイッチ制御部12によって、業務用VLAN及び隔離用ネイティブVLANが設定されると、スイッチ制御部12から送信された端末情報に基づき、ハブ6に接続された端末のうち、エージェントプログラムが導入された端末を特定する。本実施の形態1では、エージェント制御部13は、エージェントプログラムが導入された端末として、端末3を特定する。
また、エージェント制御部13は、エージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす、端末にのみ、それが送信するイーサーネットフレームへのタグの付加を指示する。
具体的には、本実施の形態1では、エージェント制御部13は、端末3の検疫エージェント2に対して、後述の検疫指示装置5(図1参照)へセキュリティポリシーの診断要求を行うよう指示する。そして、検疫指示装置5による診断の結果、セキュリティポリシーが満たされている場合は、エージェント制御部13は、検疫エージェント2に、イーサーネットフレームを業務VLANに所属させるためのタグ(VLANタグ)に関する情報を送信すると共に、タグを付加するように指示を行う。
また、検疫指示装置5による診断の結果、セキュリティポリシーで設定された要件が満たされていない場合は、エージェント制御部13は、検疫指示装置5から、診断対象となった端末3に対する隔離の指示を受信する。そして、エージェント制御部13は、端末3の検疫サーバ通信部21(図3参照)に対して、タグ付加の停止の指示を送信する。なお、その後、端末3において、セキュリティポリシーで設定された要件が満たされた場合は、エージェント制御部13は、先に述べたように、タグ(VLANタグ)に関する情報を送信すると共に、タグを付加するように指示を行う。更に、エージェント制御部13は、上述した処理の終了後、端末情報DB15にアクセスし、登録されている端末情報を更新する。
隔離端末制御部14は、ハブ6に接続された端末のうち、エージェントプログラムが導入されていない端末、及びセキュリティ状態が設定基準を満たしていない端末に対して、検疫処理を実行する。具体的には、隔離端末制御部14は、隔離用ネイティブVLANに所属している端末4からの要求に応じて、検疫エージェント2を構築するためのエージェントプログラムを配布する。
また、隔離端末制御部14は、隔離用ネイティブVLANに所属している端末4が、セキュリティポリシーで設定されている要件を満たすための処理、例えば、パッチファイルの配布等も行う。更に、隔離端末制御部14は、隔離用ネイティブVLANに所属している端末4の通信を監視し、端末4からのサービス要求に対する応答を行うこともできる。
検疫指示装置5(図1参照)は、検疫エージェント2からの要求に応じて、検疫エージェント2が収集した端末のセキュリティポリシーをチェックし、端末がセキュリティポリシーで設定されている要件を満たしているかどうかを判定する。実際には、検疫指示装置5は、検疫装置1と同様に、サーバコンピュータに導入されたプログラムによって実現されている。
そして、判定の結果、端末がセキュリティポリシーで設定されている要件を満たしてない場合は、検疫指示装置5は、検疫装置1に端末の隔離を指示する。一方、判定の結果、端末がセキュリティポリシーで設定されている要件を満たしている場合は、検疫指示装置5は、検疫装置1にその旨を通知する。検疫指示装置5による指示又は通知が行われると、上述したように、検疫装置1のエージェント制御部13による処理が行われる。
図3を用いて上述したように、本実施の形態1では、検疫サーバ通信部21と、タグ付加機能部22とを備えている。検疫サーバ通信部21は、検疫装置1からVLANタグに関する情報を受信し、そして、受信した情報に基づいて、タグ付加機能部22に、VLANタグを付加するように指示を行う。
タグ付加機能部22は、まず、検疫サーバ通信部21が受信した情報と、それからの指示とを受け取る。そして、タグ付加機能部22は、受け取った指示に基づいて、端末のネットワーク・インターフェースカードから送出されるイーサーネットフレームに、これを業務用VLANで転送するためのVLANタグを付加する。
本実施の形態1では、端末(正規端末)3から送出されたイーサーネットフレームには、VLANタグが付加されている。この場合、レイヤー2スイッチ7は、VLANタグから、このイーサーネットフレームが所属するVLANのVLAN番号は「11」であると判定する。この結果、正規端末3は、業務NW8での通信が可能となる。
一方、エージェントプログラムが導入されていない端末(不正端末)4は、イーサーネットフレームに、VLANタグを付加する機能を備えていないため、不正端末4からは、VLANタグが付加されていないイーサーネットフレームが送信される。そして、レイヤー2スイッチ7は、このイーサーネットフレームを受信すると、これは隔離用ネイティブVLANに所属していると判断し、このイーサーネットフレームを、隔離用ネイティブVLAN(VLAN ID=11)に転送する。
隔離用ネイティブVLANは、隔離NWに接続されているため、この結果、不正端末4は、検疫サーバ1のみとしか通信ができない状態となる。但し、この状態であっても、不正端末4が、隔離用VLANで検疫装置1からエージェントプログラムを取得し、且つ、検疫装置1の検疫処理により、セキュリティポリシーで設定されている要件を満たせば、端末4による業務NW8での通信が可能となる。
次に、本発明の実施の形態1における検疫装置1及び検疫システム30の動作について図6を用いて説明する。図6は、本発明の実施の形態1における検疫システムの動作を示すシーケンス図である。以下の説明においては、適宜図1〜図5を参酌する。また、本実施の形態1では、検疫装置1を動作させることによって、検疫方法が実施される。よって、本実施の形態1における検疫方法の説明は、以下の検疫装置1の動作説明に代える。
図6に示すように、先ず、検疫装置1において、端末検出部11は、レイヤー2スイッチ7のポートを監視する。そして、端末検出部11は、レイヤー2スイッチ7の特定のポートに、VLAN機能を持たないハブ6が接続され、更に、ハブ6の配下に1台の端末3が接続されている状態で、ハブ6に新たな端末4が接続されると、そのことを検出する(ステップA1)。
次に、端末検出部11は、レイヤー2スイッチ7から、そのポートにハブ6を介して接続された端末の端末情報(MACアドレス、IPアドレス、ポート番号等(図4参照))を取得する(ステップA2)。そして、端末検出部11は、スイッチ制御部12に、取得した端末情報を送信して、ハブ6に複数の端末が接続されていることを通知する(ステップA3)。
次に、スイッチ制御部12は、端末検出部11から受け取った端末情報に基づき、複数の端末が接続されているポートを特定する。そして、スイッチ制御部12は、ポート情報DB16に対して、特定したポートに設定された業務用VLANのVLAN番号を要求し(ステップA4)、その後、業務用VLANのVLAN番号を取得する(ステップA5)。
次に、スイッチ制御部12は、レイヤー2スイッチ7のVLAN機能を持たないハブ6が接続されているポート72に対して設定を行う(ステップA6)。具体的には、スイッチ制御部12は、まず、検疫装置1とのみ通信が可能な隔離用VLANを新たに定義し、更に、その定義した隔離用VLANをネイティブVLAN(隔離用ネイティブVLAN)として設定する。続いて、スイッチ制御部12は、ポート72をトランクポートに設定する。最後に、スイッチ制御部12は、トランクポートに設定したポート72に、隔離NWと接続するための隔離用ネイティブVLANと、業務NW8と接続するための業務VLANとを設定し、ポート72において二つのNWとの通信を許可する。
次に、スイッチ制御部12は、ポート情報DB16にアクセスし、ハブ6が接続されたポートのポート情報を更新する(ステップA7)。次に、スイッチ制御部12は、VLAN機能を持たないハブ6の複数の端末が接続されたポート72の情報、即ち、ポート番号、及び業務VLANのVLAN番号を、エージェント制御部13に出力し、ハブ6に複数の端末が接続されたことを通知する(ステップA8)。
次に、エージェント制御部13は、エージェントプログラムが導入された正規端末3を特定し、正規端末3の検疫エージェント2に対し、検疫指示装置5にセキュリティポリシーの診断を要求するよう指示を行う(ステップA9)。次に、検疫エージェント2は、それが構築されている正規端末3のセキュリティポリシーを収集する。そして、検疫エージェント2は、収集したセキュリティポリシーに基づいて、検疫指示装置5に診断要求を行う(ステップA10)。
次に、検疫指示装置5は、検疫エージェント2からの診断要求に基づいて、検疫エージェント2が導入されている正規端末3のセキュリティポリシーをチェックし、セキュリティポリシーで設定されている要件が満たされているかどうかを判定する。そして、判定の結果、合格である場合は、検疫指示装置5は、検疫エージェント2の検疫サーバ通信部21に合格通知を送信する(ステップA11)。
次に、検疫指示装置5は、検疫サーバ通信部21に合格通知を出した後、エージェント制御部13に対して、正規端末3が業務NW8に接続されるように指示を行う(ステップA12)。そして、エージェント制御部13は、検疫指示装置5から得た正規端末3の情報(MACアドレス及びIPアドレス)と、スイッチ制御部12から得た業務用VLANのVLAN番号とに基づき、検疫エージェント2の検疫サーバ通信部21に、業務NWで用いるVLANタグの情報とVLANタグの付加の指示とを送信する(ステップA13)。
次に、検疫エージェント2において、検疫サーバ通信部21はエージェント制御部13から受信した業務NWで用いるVLANタグの情報を、タグ付加機能部22に出力する。更に、検疫サーバ通信部21は、タグ付加機能部22に、イーサーネットフレームが送出される時にVLANタグを付加するように指示を行う(ステップA14)。
ステップA14の実行後、エージェント制御部13は、タグ付加機能部22から、VLANタグの付加の設定が完了したことを示す通知を受信する(ステップA15)。次に、エージェント制御部13は、端末情報DB15にアクセスし、ステップA8でスイッチ制御部12から受け取った情報に基づいて、ハブ6に接続されている端末の端末情報を更新する(ステップA16)。
また、検疫エージェント2が導入されていない不正端末4に関しては、取得できる情報は限られている。よって、ステップA16の実行時において、エージェント制御部13は、図4に示されたように、不正端末4については、端末ID、VLAN番号、及びポート番号のみを登録する。端末情報DB15を用いれば、検疫システム30の管理者は、各端末の状態を把握することができる。
その後、検疫エージェント2のタグ付加機能部22は、正規端末3を業務NW8において通信させるため、レイヤー2スイッチ7に対して、業務NW8用のVLANタグを付加したイーサーネットフレームを送信する(ステップA17)。ステップA17が実行されると、レイヤー2スイッチ7は、正規端末3から送信されたイーサーネットフレームのVLANタグを業務NW8のVLANタグと判断し、そのイーサーネットフレームを業務NW8に転送させる。
一方、不正端末4には検疫エージェント2が導入されていないため、不正端末4からレイヤー2スイッチ7へと送信されたイーサーネットフレームには、VLANタグは付加されていない(ステップA18)。従って、レイヤー2スイッチ7は、検疫エージェント2が未導入の不正端末4からのイーサーネットフレームは、隔離用ネイティブVLANに所属すると判定し、このイーサーネットフレームを隔離NWに転送させる(ステップA19)。
また、検疫エージェント3が未導入の不正端末4は、業務NW8に接続するため、隔離用ネイティブVLANを利用して検疫装置1と通信し、その隔離端末制御部14からエージェントプログラムを取得する(ステップA20)。その後、不正端末4の内部に、検疫エージェント2が構築される。その後、端末4についてステップA9〜A16が実行されると、端末4は、業務NW8において通信を行うことが可能となる。
以上のように、本実施の形態1によれば、レイヤー2スイッチ7に、VLAN機能を持たないハブ6が接続された場合であっても、ハブ6の配下の危険性のある端末を業務NW8から隔離することができ、正常なNW状態を維持することが可能となる。また、本実施の形態1では、VLAN機能を持たないハブ6の配下の端末は、検疫装置1によって管理されているため、検疫システム30の管理者は、VLAN機能を持たないハブ6の配下の端末の状態を把握することができる。
更に、背景技術の欄で述べた検疫システムでは、集線装置としては、末端においてもVLAN対応のレイヤー2スイッチを用いなければならなかったが、本実施の形態1によれば、レイヤー2スイッチとVLAN機能を持たないハブとを併用できる。本実施の形態1では、VLAN機能持たないハブを末端に用いることができる。このため、検疫システムの導入にかかるコストを抑えることができ、企業等においては、機器が無駄になることを避けることができ、資産の有効活用を図ることができる。
また、本実施の形態1におけるプログラムは、サーバコンピュータ等のコンピュータに、図6に示すステップA1〜A9、A13、A16を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における検疫装置1と検疫方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、端末検出部11、スイッチ制御部12、エージェント制御部13、隔離端末制御部14として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置が、端末情報DB15及びポート情報DB16として機能する。
(実施の形態2)
次に、本発明の実施の形態2における検疫装置、検疫システム、検疫方法、及びプログラムについて、図7〜図9を参照しながら説明する。最初に、本実施の形態2における検疫装置及び検疫システムの構成について図7及び図8を用いて説明する。図7は、本発明の実施の形態2における検疫システムの全体構成を示す図である。図8は、本発明の実施の形態2における検疫システムを構築している検疫装置の構成を示すブロック図である。
本実施の形態2においては、実施の形態1と異なり、正規端末に導入されている検疫エージェントがVLANタグを付加する機能を備えていなくても、正規端末からのイーサーネットフレームは業務NWへと転送される。
図7に示すように、本実施の形態2における検疫装置50は、ルーティング制御部17を備えている。ルーティング制御部17は、検疫エージェント2が導入された正規端末3から、VLANタグが付加されていないイーサーネットフレームが送信されると、これを隔離用ネイティブVLANから業務用VLANにルーティングする。この結果、実施の形態2においても、実施の形態1と同様の機能が実現される。
図8に示すように、本実施の形態2においては、ルーティング制御部17は、エージェント制御部13と隔離端末制御部14とによって構成されている。エージェント制御部13は、本実施の形態2では、レイヤー2スイッチ7のポート72において、業務用VLANと隔離用ネイティブVLANとが設定されると、ハブ6に接続された端末のうち、エージェントプログラムが導入された正規端末を特定する。
具体的には、エージェント制御部13は、検疫指示装置5からの情報に基づいて、エージェントプログラムが導入された正規端末を特定する。そして、正規端末が特定されると、隔離端末制御部14は、特定された端末が送信したイーサーネットフレームに、実施の形態1で説明したVLANタグと同様のタグを付加し、このイーサーネットフレームをルーティングする。
また、本実施の形態2においては、実施の形態1と異なり、正規端末3に導入されている検疫エージェント2は、タグ付加機能部(図3参照)を備えておらず、VLANタグを付加する機能を有していない。それ以外の点では、本実施の形態2における検疫エージェント2は、実施の形態1における検疫エージェントと同様である。
次に、本発明の実施の形態2における検疫装置50及び検疫システム60の動作について図9を用いて説明する。図9は、本発明の実施の形態2における検疫システムの動作を示すシーケンス図である。以下の説明においては、適宜図7及び図8を参酌する。また、本実施の形態2では、検疫装置50を動作させることによって、検疫方法が実施される。よって、本実施の形態2における検疫方法の説明は、以下の検疫装置50の動作説明に代える。
最初に、本実施の形態2における検疫システム60において、ステップB1〜B12が実行される。但し、ステップB1〜B12は、それぞれ、実施の形態1において図6に示したステップA1〜A12の対応するステップと同一のステップである。従って、ステップB12の実行後、エージェント制御部13は、検疫指示装置5から、正規端末の情報(MACアドレス及びIPアドレス)を取得し、スイッチ制御部12からは、業務用VLANのVLAN番号を取得している。
次に、検疫システム60において、ステップB12〜B18が実行される。ステップB12〜B18は、実施の形態1において図6に示したステップとは異なるステップである。図9に示す破線による囲みは、ステップB12〜B18を示している。以下に、ステップB12以降について説明する。
ステップB12の終了後、エージェント制御部13は、検疫指示装置5から取得した情報に基づき、VLAN機能を持たないハブ6の配下に接続され、且つ、検疫エージェント2が導入された、正規端末として、端末3を特定する。そして、エージェント制御部13は、隔離端末制御部14に対し、特定した正規端末3からのイーサーネットフレームを、隔離用ネイティブVLANから業務用VLANにルーティングするように指示を行う(ステップB13)。
次に、隔離端末制御部14は、ルーティングを実行するための設定を行い、設定が完了した場合は、エージェント制御部13に対して、完了の通知を送信する(ステップB14)。次に、エージェント制御部13は、完了の通知を受信すると、端末情報DB15(図4参照)にアクセスし、ハブ6の配下に接続された端末の端末情報を更新する(ステップB15)。
その後、正規端末3からイーサーネットフレームが送信されると、レイヤー2スイッチ7はこれを受信する(ステップB16)。このとき、受信されたイーサーネットフレームには、実施の形態1と異なり、VLANタグは付加されていない。従って、レイヤー2スイッチ7は、受信されたイーサーネットフレームを、不正端末からのVLANタグが付加されていないイーサーネットフレームと同様に扱い、これを隔離用ネイティブVLAN介して隔離端末制御部14に送信する(ステップB17)。
隔離端末制御部14は、隔離用ネイティブVLANに所属している端末の通信を監視している。そして、ステップB17が実行されると、隔離端末制御部14は、受信したイーサーネットフレームに、業務NW用のVLANタグを付加し、このイーサーネットフレームを業務NW8へとルーティングする(ステップB18)。ステップB18の実行により、結果、検疫エージェント2が導入済みの正規端末3は、業務NW8と通信することが可能となる。
なお、図9に示すステップB19〜B21は、それぞれ、実施の形態1において図6に示したステップA18〜A20の対応するステップと同一のステップである。ステップB19〜B21が実行されると、不正端末からのイーサーネットフレームは、隔離用ネイティブVLANにより、隔離NWに転送される。また、検疫装置50は、不正端末にエージェントプログラムを導入させる。
以上のように、本実施の形態2によれば、検索エージェント2がVLANタグを付加する機能を備えていなくても、実施の形態1において述べた効果と同様の効果を得ることができる。本実施の形態2は、VLANタグを付加できる端末とVLANタグを付加できない端末とが混在しているネットワーク、及びVLANタグを付加できない端末のみが存在しているネットワークにも適用でき、検疫システムの導入をいっそう促進することができる。
また、本実施の形態1におけるプログラムは、サーバコンピュータ等のコンピュータに、図9に示すステップB1〜B9、B13〜B15、B18を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2における検疫装置50と検疫方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、端末検出部11、スイッチ制御部12、エージェント制御部13、隔離端末制御部14として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置が、端末情報DB15及びポート情報DB16として機能する。
ここで、実施の形態1及び2におけるプログラムを実行することによって、検疫装置を実現するコンピュータについて図10を用いて説明する。図10は、本発明の実施の形態における検疫装置を実現するコンピュータの一例を示すブロック図である。
図10に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記19)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置であって、
前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、端末検出部と、
前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、スイッチ制御部と、
を備えていることを特徴とする検疫装置。
(付記2)
前記ネットワークが、業務に利用される業務ネットワークと、前記検疫処理に用いられる検疫ネットワークとを備え、
前記スイッチ制御部が、前記第1のVLANを前記業務ネットワークに接続させ、前記第2のVLANを前記検疫ネットワークに接続させる、付記1に記載の検疫装置。
(付記3)
前記スイッチ制御部によって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす端末にのみ、当該端末が送信するイーサーネットフレームへの前記タグの付加を指示する、エージェント制御部を更に備えている、付記1または2に記載の検疫装置。
(付記4)
前記集線装置に接続された端末のうち、前記エージェントプログラムが導入されていない端末、及びセキュリティポリシーで設定されている要件を満たしていない端末に対して、検疫処理を実行する、隔離端末制御部を更に備えている、付記3に記載の検疫装置。
(付記5)
前記スイッチ制御部によって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入された端末を特定し、特定した端末が送信したイーサーネットフレームに、前記タグを付加する、ルーティング制御部を更に備えている、付記1または2に記載の検疫装置。
(付記6)
VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置と、前記ネットワークに接続された複数の端末とを備え、
前記検疫装置は、
前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、前記複数の端末のうちの1台の端末が接続されている場合に、前記集線装置への別の端末の接続を検出する、端末検出部と、
前記別の端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、スイッチ制御部と、を備え、
前記集線装置に接続された端末は、前記検疫装置から指示された場合に、当該端末が送信するイーサーネットフレームに、前記タグを付加する、
ていることを特徴とする検疫システム。
(付記7)
前記ネットワークが、業務に利用される業務ネットワークと、前記検疫処理に用いられる検疫ネットワークとを備え、
前記スイッチ制御部が、前記第1のVLANを前記業務ネットワークに接続させ、前記第2のVLANを前記検疫ネットワークに接続させる、付記6に記載の検疫システム。
(付記8)
前記検疫装置が、更に、エージェント制御部を備え、
前記エージェント制御部は、前記スイッチ制御部によって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす端末にのみ、当該端末が送信するイーサーネットフレームへの前記タグの付加を指示する、
付記6または7に記載の検疫システム。
(付記9)
前記検疫装置が、更に、隔離端末制御部を備え、
隔離端末制御部は、前記集線装置に接続された端末のうち、前記エージェントプログラムが導入されていない端末、及びセキュリティポリシーで設定されている要件を満たしていない端末に対して、検疫処理を実行する、隔離端末制御部を更に備えている、付記8に記載の検疫システム。
(付記10)
VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行うための検疫方法であって、
(a)前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、ステップと、
(b)前記(a)のステップで前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、ステップと、
を有することを特徴とする検疫方法。
(付記11)
前記ネットワークが、業務に利用される業務ネットワークと、前記検疫処理に用いられる検疫ネットワークとを備え、
前記(b)のステップにおいて、前記第1のVLANを前記業務ネットワークに接続させ、前記第2のVLANを前記検疫ネットワークに接続させる、付記10に記載の検疫方法。
(付記12)
(c)前記(b)のステップによって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす端末にのみ、当該端末が送信するイーサーネットフレームへの前記タグの付加を指示する、ステップを更に有する、付記10または11に記載の検疫方法。
(付記13)
(d)前記集線装置に接続された端末のうち、前記エージェントプログラムが導入されていない端末、及びセキュリティポリシーで設定されている要件を満たしていない端末に対して、検疫処理を実行する、ステップを更に有する、付記12に記載の検疫方法。
(付記14)
(e)前記(b)のステップによって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入された端末を特定し、特定した端末が送信したイーサーネットフレームに、前記タグを付加する、ステップを更に有する、付記10または11に記載の検疫方法。
(付記15)
VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として、コンピュータによって、検疫処理を行うためのプログラムであって、
前記コンピュータに、
(a)前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、ステップと、
(b)前記(a)のステップで前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、ステップと、
を実行させるプログラム。
(付記16)
前記ネットワークが、業務に利用される業務ネットワークと、前記検疫処理に用いられる検疫ネットワークとを備え、
前記(b)のステップにおいて、前記第1のVLANを前記業務ネットワークに接続させ、前記第2のVLANを前記検疫ネットワークに接続させる、付記15に記載のプログラム。
(付記17)
(c)前記(b)のステップによって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす端末にのみ、当該端末が送信するイーサーネットフレームへの前記タグの付加を指示する、ステップを更に前記コンピュータに実行させる、付記15または16に記載のプログラム。
(付記18)
(d)前記集線装置に接続された端末のうち、前記エージェントプログラムが導入されていない端末、及びセキュリティポリシーで設定されている要件を満たしていない端末に対して、検疫処理を実行する、ステップを更に前記コンピュータに実行させる、付記17に記載のプログラム。
(付記19)
(e)前記(b)のステップによって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入された端末を特定し、特定した端末が送信したイーサーネットフレームに、前記タグを付加する、ステップを更に前記コンピュータに実行させる、付記15または16に記載のプログラム。
以上のように、本発明によれば、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合であっても、各端末に対して個別に検疫を実行することができる。本発明は、VLAN機能を有していない集線装置と、VLAN機能を有しているレイヤー2スイッチとが混在している、ネットワークに、特に有用である。
1 検疫装置(実施の形態1)
2 検疫エージェント
3 端末(正規端末)
4 端末(不正端末)
5 検疫指示装置
6 ハブ
7 レイヤー2スイッチ
8 業務ネットワーク
11 端末検出部
12 スイッチ制御部
13 エージェント制御部
14 隔離端末制御部
15 端末情報データベース
16 ポート情報データベース
17 ルーティング制御部
30 検疫システム(実施の形態1)
40 ネットワーク
50 検疫装置(実施の形態2)
60 検疫システム(実施の形態2)
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス

Claims (10)

  1. VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置であって、
    前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、端末検出部と、
    前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、スイッチ制御部と、
    を備えていることを特徴とする検疫装置。
  2. 前記ネットワークが、業務に利用される業務ネットワークと、前記検疫処理に用いられる検疫ネットワークとを備え、
    前記スイッチ制御部が、前記第1のVLANを前記業務ネットワークに接続させ、前記第2のVLANを前記検疫ネットワークに接続させる、請求項1に記載の検疫装置。
  3. 前記スイッチ制御部によって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす端末にのみ、当該端末が送信するイーサーネットフレームへの前記タグの付加を指示する、エージェント制御部を更に備えている、請求項1または2に記載の検疫装置。
  4. 前記集線装置に接続された端末のうち、前記エージェントプログラムが導入されていない端末、及びセキュリティポリシーで設定されている要件を満たしていない端末に対して、検疫処理を実行する、隔離端末制御部を更に備えている、請求項3に記載の検疫装置。
  5. 前記スイッチ制御部によって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入された端末を特定し、特定した端末が送信したイーサーネットフレームに、前記タグを付加する、ルーティング制御部を更に備えている、請求項1または2に記載の検疫装置。
  6. VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置と、前記ネットワークに接続された複数の端末とを備え、
    前記検疫装置は、
    前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、前記複数の端末のうちの1台の端末が接続されている場合に、前記集線装置への別の端末の接続を検出する、端末検出部と、
    前記別の端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、スイッチ制御部と、を備え、
    前記集線装置に接続された端末は、前記検疫装置から指示された場合に、当該端末が送信するイーサーネットフレームに、前記タグを付加する、
    ていることを特徴とする検疫システム。
  7. 前記ネットワークが、業務に利用される業務ネットワークと、前記検疫処理に用いられる検疫ネットワークとを備え、
    前記スイッチ制御部が、前記第1のVLANを前記業務ネットワークに接続させ、前記第2のVLANを前記検疫ネットワークに接続させる、請求項6に記載の検疫システム。
  8. 前記検疫装置が、更に、エージェント制御部を備え、
    前記エージェント制御部は、前記スイッチ制御部によって、前記第1のVLANと前記第2のVLANとが設定された場合に、前記集線装置に接続された端末のうち、当該検疫装置との通信を可能にするエージェントプログラムが導入され、且つ、セキュリティポリシーで設定されている要件を満たす端末にのみ、当該端末が送信するイーサーネットフレームへの前記タグの付加を指示する、
    請求項6または7に記載の検疫システム。
  9. VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行うための検疫方法であって、
    (a)前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、ステップと、
    (b)前記(a)のステップで前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、ステップと、
    を有することを特徴とする検疫方法。
  10. VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として、コンピュータによって、検疫処理を行うためのプログラムであって、
    前記コンピュータに、
    (a)前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、ステップと、
    (b)前記(a)のステップで前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネットフレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネットフレームのみを転送する第2のVLANを設定する、ステップと、
    を実行させるプログラム。
JP2010221558A 2010-09-30 2010-09-30 検疫装置、検疫システム、検疫方法、及びプログラム Expired - Fee Related JP5088517B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010221558A JP5088517B2 (ja) 2010-09-30 2010-09-30 検疫装置、検疫システム、検疫方法、及びプログラム
US13/240,369 US8644309B2 (en) 2010-09-30 2011-09-22 Quarantine device, quarantine method, and computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010221558A JP5088517B2 (ja) 2010-09-30 2010-09-30 検疫装置、検疫システム、検疫方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2012080216A JP2012080216A (ja) 2012-04-19
JP5088517B2 true JP5088517B2 (ja) 2012-12-05

Family

ID=45889758

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010221558A Expired - Fee Related JP5088517B2 (ja) 2010-09-30 2010-09-30 検疫装置、検疫システム、検疫方法、及びプログラム

Country Status (2)

Country Link
US (1) US8644309B2 (ja)
JP (1) JP5088517B2 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8892696B1 (en) * 2012-03-08 2014-11-18 Juniper Networks, Inc. Methods and apparatus for automatic configuration of virtual local area network on a switch device
US20130283050A1 (en) * 2012-04-23 2013-10-24 Anil Gupta Wireless client authentication and assignment
US8881297B2 (en) 2012-09-06 2014-11-04 Brooks Automation, Inc. Access arbitration module and system for semiconductor fabrication equipment and methods for using and operating the same
CN103795566A (zh) * 2013-12-30 2014-05-14 马钢控制技术有限责任公司 计算机网络系统及其控制方法
US10397136B2 (en) 2016-08-27 2019-08-27 Nicira, Inc. Managed forwarding element executing in separate namespace of public cloud data compute node than workload application
US10333959B2 (en) 2016-08-31 2019-06-25 Nicira, Inc. Use of public cloud inventory tags to configure data compute node for logical network
US10930535B2 (en) 2016-12-02 2021-02-23 Applied Materials, Inc. RFID part authentication and tracking of processing components
US10491516B2 (en) 2017-08-24 2019-11-26 Nicira, Inc. Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table
US10567482B2 (en) 2017-08-24 2020-02-18 Nicira, Inc. Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table
WO2019046071A1 (en) 2017-08-27 2019-03-07 Nicira, Inc. EXECUTING AN ONLINE SERVICE IN A PUBLIC CLOUD
US10182329B1 (en) * 2017-08-30 2019-01-15 Amazon Technologies, Inc. Quarantine network for wireless devices
US10862753B2 (en) 2017-12-04 2020-12-08 Nicira, Inc. High availability for stateful services in public cloud logical networks
US10601705B2 (en) 2017-12-04 2020-03-24 Nicira, Inc. Failover of centralized routers in public cloud logical networks
JP7087516B2 (ja) * 2018-03-22 2022-06-21 株式会社リコー 通信制御装置、情報処理システム、制御方法およびプログラム
US11343229B2 (en) 2018-06-28 2022-05-24 Vmware, Inc. Managed forwarding element detecting invalid packet addresses
JP7063185B2 (ja) * 2018-08-15 2022-05-09 日本電信電話株式会社 通信システム及び通信方法
US11196591B2 (en) 2018-08-24 2021-12-07 Vmware, Inc. Centralized overlay gateway in public cloud
US11374794B2 (en) 2018-08-24 2022-06-28 Vmware, Inc. Transitive routing in public cloud
US10491466B1 (en) 2018-08-24 2019-11-26 Vmware, Inc. Intelligent use of peering in public cloud
US11588848B2 (en) 2021-01-05 2023-02-21 Bank Of America Corporation System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button
CN115001857B (zh) * 2022-07-19 2022-11-04 济南慧天云海信息技术有限公司 一种基于网闸的安全隔离与数据包分发方法、分发系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060256730A1 (en) * 2005-05-12 2006-11-16 Compton Richard A Intelligent quarantine device
JP5062967B2 (ja) * 2005-06-01 2012-10-31 アラクサラネットワークス株式会社 ネットワークアクセス制御方法、およびシステム
JP2008054204A (ja) 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP4745922B2 (ja) * 2006-08-30 2011-08-10 三菱電機株式会社 ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法
JP4852379B2 (ja) * 2006-09-06 2012-01-11 アラクサラネットワークス株式会社 パケット通信装置
JP4773987B2 (ja) * 2007-02-01 2011-09-14 アラクサラネットワークス株式会社 端末所属切換システム
JP2008289040A (ja) * 2007-05-21 2008-11-27 Hitachi Software Eng Co Ltd 端末pcの接続先制御方法及びシステム
JP5305045B2 (ja) * 2011-03-29 2013-10-02 日本電気株式会社 スイッチングハブ及び検疫ネットワークシステム

Also Published As

Publication number Publication date
US20120082063A1 (en) 2012-04-05
JP2012080216A (ja) 2012-04-19
US8644309B2 (en) 2014-02-04

Similar Documents

Publication Publication Date Title
JP5088517B2 (ja) 検疫装置、検疫システム、検疫方法、及びプログラム
US11153184B2 (en) Technologies for annotating process and user information for network flows
AU2015374078B2 (en) Systems and methods for automatically applying firewall policies within data center applications
US9906557B2 (en) Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment
US10944794B2 (en) Real-time policy selection and deployment based on changes in context
US10657232B2 (en) Information processing apparatus and method of controlling information processing apparatus
WO2016013200A1 (ja) 情報処理システム及びネットワークリソース管理方法
US20120005755A1 (en) Infection inspection system, infection inspection method, storage medium, and program
CN108259226B (zh) 网络接口设备管理方法与装置
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US20150156212A1 (en) System and Method for Tamper Resistant Reliable Logging of Network Traffic
US20090077631A1 (en) Allowing a device access to a network in a trusted network connect environment
JP4713186B2 (ja) ネットワーク監視方法及びネットワーク監視システム
US20080172742A1 (en) Information processing system
US9871814B2 (en) System and method for improving security intelligence through inventory discovery
US20180241723A1 (en) Interconnection device, management device, resource-disaggregated computer system, method, and medium
WO2019142348A1 (ja) ネットワーク制御装置およびネットワーク制御方法
WO2005103909A1 (ja) セキュリティ保全方法およびデータ蓄積装置、セキュリティ保全サーバ、及びそのプログラムを記録した記録媒体
US8984634B2 (en) Quarantine network system, server apparatus, and program
JP5524878B2 (ja) 検疫ネットワークシステム
JP5333789B2 (ja) 端末検知装置、サーバ装置、端末検知方法、及びプログラム
US8307084B1 (en) Method and system for providing lock-down communities comprising a plurality of resources
JP4729944B2 (ja) 情報監視システム
JP5671639B2 (ja) 検疫ネットワークシステム
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120815

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120828

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150921

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees