JP5367936B2 - 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ - Google Patents

分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ Download PDF

Info

Publication number
JP5367936B2
JP5367936B2 JP2005306494A JP2005306494A JP5367936B2 JP 5367936 B2 JP5367936 B2 JP 5367936B2 JP 2005306494 A JP2005306494 A JP 2005306494A JP 2005306494 A JP2005306494 A JP 2005306494A JP 5367936 B2 JP5367936 B2 JP 5367936B2
Authority
JP
Japan
Prior art keywords
client
compliant
network
security policy
current version
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005306494A
Other languages
English (en)
Other versions
JP2006121704A (ja
Inventor
ヴァン ベンメル ジェロアン
Original Assignee
アルカテル−ルーセント ユーエスエー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=35603406&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP5367936(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by アルカテル−ルーセント ユーエスエー インコーポレーテッド filed Critical アルカテル−ルーセント ユーエスエー インコーポレーテッド
Publication of JP2006121704A publication Critical patent/JP2006121704A/ja
Application granted granted Critical
Publication of JP5367936B2 publication Critical patent/JP5367936B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、データ・ネットワークの分野に関し、より詳細には、分離サブネットワークを使用してセキュリティ・ポリシーを実現することでウィルスおよびその他の悪意があるアプリケーションからネットワーク・システムを保護する方法に関する。
インターネットとローカル・イントラネットが世界的に普及したことで、情報が配布される速度と範囲などの多数の望ましい結果が得られた一方、多くの望ましくない結果も引き起こされることになった。そのようなネットワークの実施に伴う最も知られている望ましくない結果は、コンピュータ・ウィルス、ワーム、およびその他の悪意のあるアプリケーションが容易に送信されてしまうことである。具体的には、インターネットおよびローカル・イントラネットの到来以前は、ユーザは未知の外部ソースから自分のコンピュータにデータを読み込んだりコピーする機会はほとんどなかった。ただし、今日のユーザは、例えば、ウェブ・ブラウザを用いてワールドワイドウェブからEメールまたはダウンロードを介して未知のコンピュータから日常的にデータを受信している。したがって、ネットワーク・アクセスを提供するいかなる会社またはサービス・プロバイダもセキュリティにかかわっている。特に、ウィルスおよびその他の悪意があるアプリケーションは阻止しなければならない脅威である。大半の悪意のあるアプリケーションは、有名なオペレーティング・システム、特にMicrosoft Windows(登録商標)のすべてのバージョンなどの広範に使用されているオペレーティング・システムの知られているセキュリティの穴に付け込んでくる。それらはまず無防備なステーションに感染し、このホストを用いてこの感染および/またはネットワークに過剰な負荷をかける目的で通信を開始する。
現在、最も入手が可能なウィルス保護ソフトウェア・パッケージは、ウィルスを識別してシステムから除去することに主眼を置いている。ウィルス保護プログラムはウィルスまたはワームの知られている部分がないかEメールおよびその他のファイルをスキャンしてコンピュータを保護する。ファイルが知られているウィルスまたはワームを含んでいると識別されるといつでも、ユーザに警報が発せられ、ファイルを除去するかファイル内のウィルスを除去することができる。新しいウィルスが識別されるといつでも、新しいウィルスの識別可能な特徴を検索するために新しいコードが記述される。ただし、ウィルス保護ソフトウェアは新しいウィルスの識別可能な特徴を知らず、ファイル・スキャン時にそれを見つけることができないため、これらのソフトウェア・プログラムは、ウィルス・ソフトウェア・プログラムが作成された後で作成された新しいウィルスに対して無効である。
本発明は、サブネットワークを使用してネットワークにアクセスするために必要なセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャを提供することで、従来技術の様々な欠点に対処する。
本発明の一実施形態では、ネットワークのセキュリティ・ポリシーを実現する方法は、ネットワークへの接続を望むクライアントがセキュリティ・ポリシーの現在のバージョンに準拠しているか否かを判定する工程と、クライアントがセキュリティ・ポリシーの現在のバージョンに準拠していない場合、ネットワークへのクライアントのアクセスを拒否し、クライアントをセキュリティ・ポリシーの現在のバージョンにアクセスするための分離サブネットワークに向ける工程とを含む。本発明の様々な実施形態で、分離サブネットワーク内で、非準拠クライアントは、キャプティブ・ポータルによって、セキュリティ・ポリシーの現在のバージョンにアクセスするためのローカル・サーバに向けられる。本発明の別の実施形態では、分離サブネットワーク内で、非準拠クライアントは、キャプティブ・ポータルによって、クライアントをセキュリティ・ポリシーの現在のバージョンにアクセスする所定のウェブサイトに向けるためのウェブ・サーバに向けられる。
本発明の別の実施形態では、クライアントのネットワークへの接続要求に応じてネットワークのセキュリティ・ポリシーを実現するアドレスは、情報およびプログラム命令を記憶するメモリと、命令を実行するプロセッサとを含む。アドレス・サーバは本発明の方法の工程を実行するように構成され、特に一実施形態では、ネットワークへの接続を望むクライアントがネットワークのセキュリティ・ポリシーの現在のバージョンに準拠しているか否かを決定する工程を実行するように構成され、クライアントがセキュリティ・ポリシーの現在のバージョンに準拠していない場合にはネットワークへのクライアントのアクセスを拒否してクライアントをセキュリティ・ポリシーの現在のバージョンにアクセスするための分離サブネットワークに向けるように構成される。
本発明の別の実施形態では、クライアントのネットワークへの接続要求に応じてネットワークのセキュリティ・ポリシーを実現するネットワーク・アーキテクチャは、少なくとも1つのクライアントと、非準拠クライアントをセキュリティ・ポリシーの現在のバージョンにアクセス可能にし、非準拠クライアントをネットワーク・リソースから分離する分離サブネットワークとを含み、ネットワークは少なくとも1つのクライアントのネットワークへのアクセスを制御する少なくとも1つのアドレス・サーバを含む。ネットワーク・アーキテクチャでは、アドレス・サーバは、ネットワークへの接続を望むクライアントがセキュリティ・ポリシーの現在のバージョンに準拠しているか否かを決定するように構成され、クライアントがセキュリティ・ポリシーの現在のバージョンに準拠していない場合にはネットワークへのクライアントのアクセスを拒否するように構成される。アドレス・サーバはさらにクライアントをセキュリティ・ポリシーの現在のバージョンにアクセスするための分離サブネットワークに向ける。
本発明の教示は添付図面を参照しながら以下の詳細な説明を読むことで容易に理解できる。
理解を容易にするために、可能な場合には、各図に共通する同一の要素を示すために同一の参照番号を使用している。
本発明の様々な実施形態がIPネットワークに関して本明細書で示されているが、本発明の特定の実施形態を本発明を限定するものとして扱ってはならない。本発明の概念は、ネットワークの少なくとも分離された部分を用いてセキュリティ・ポリシーを実現するほとんどすべてのネットワークに適用できることが当業者には明らかであり、また本発明の教示から知ることができるであろう。
図1は、本発明の一実施形態による分離サブネットワークを有するIPネットワークの一部の高レベル・ブロック図である。図1のIPネットワーク100は、例えば、クライアント・デバイス110と、IPネットワーク・ブランチ120と、分離サブネットワーク140(本明細書では検疫サブネットワークと呼ぶ)とを含む。図1のIPネットワーク100のサブネットワーク140は、例えば、キャプティブ・ポータル(例えば、ルータ)142を含む。IPネットワーク100のIPネットワーク・ブランチ120は、IPアドレス・サーバ(例えば、DHCPサーバ)122などの代表的なIPネットワーク構成要素を含む体表的なIPネットワークを含む。IPネットワーク・ブランチ120は、ファイル・サーバ、その他のクライアントおよびウェブ・サーバ(図示せず)などの他の代表的なネットワーク構成要素をさらに含む。図1のIPネットワーク100のIPアドレス・サーバ122は、クライアント・ソフトウェアの最新バージョンとIPネットワーク100のIPネットワーク・ブランチ120との通信に必要な最新のセキュリティ・ポリシーとに関する情報を維持する。最新のセキュリティ情報は、ウィルス保護ソフトウェアの最新バージョンなどのIPネットワーク・ブランチ120との通信に必要なセキュリティ措置に関する情報を含むことができる。クライアント・ソフトウェアは、セキュリティ・ポリシーをダウンロードするため、またはセキュリティ・ポリシーが示す他のセキュリティ措置を実行するためにクライアントが必要とするソフトウェアを含むことができる。
図1のIPネットワーク100では、IPアドレス・サーバ122がDHCPサーバとして例示されているが、本発明の代替実施形態では、PPPダイヤルイン・サーバなどのその他のサーバを本発明のIPネットワークのIPブランチ内で実施することができる。同様に、図1のIPネットワーク100では、キャプティブ・ポータル142がルータとして例示されているが、本発明の代替実施形態では、ドメイン・ネーム・サーバ(DNS)などのその他のデバイスを本発明のIPネットワークのサブネットワーク内で実施してクライアントの通信要求を転送することができる。例えば、すべての要求について同じIPアドレスを返送するDNSサーバを実施して常に所定の開始ページを提示するように構成されたウェブ・サーバにクライアントを向けることができる。
図2は、図1のIPネットワーク100のIPネットワーク・ブランチ120内で使用するのに適したアドレス・サーバの高レベル・ブロック図である。図2のアドレス・サーバ122は、プロセッサ210と情報および制御プログラムを記憶するメモリ220とを含む。プロセッサ210は、電源、クロック回路、キャッシュ・メモリなどの従来のサポート回路230とメモリ220内に記憶されたソフトウェア・ルーチンの実行を支援する回路とを協働する。アドレス・サーバ122はまた、アドレス・サーバ122と通信する様々な機能要素間のインターフェースを形成する入出力回路240を含む。例えば、図1の実施形態では、アドレス・サーバ122は信号経路S1を介してクライアント110と通信する。
図2のアドレス・サーバ122は本発明に従って様々な制御機能を実行するようにプログラミングされた汎用コンピュータとして示されているが、本発明は、例えば、特定用途向け集積回路(ASIC)としてハードウェアで実施することができる。したがって、本明細書に記載するプロセス工程は、ソフトウェア、ハードウェア、またはその組合せによって等価に実行できると広く解釈されるものである。
図1のIPネットワーク100内で、クライアント110がIPネットワークのIPブランチ120との接続を確立すると、IPアドレス・サーバ122はクライアント110からの接続にクライアント110から送信された特別のマークまたはトークンがないか検証する。例えば、DHCPサーバがIPアドレス・サーバ122として実施される場合、DHCPサーバはDHCPクライアントIdオプションを実施してクライアント110からの接続に特別のマークまたはトークンがないか検証することができる。このマークが最新のセキュリティ・ポリシーへの準拠(すなわち、例えば、セキュリティ・ポリシー・ファイル上のハッシュ値を計算し、この値をクライアント・マークが提供する値と比較することで決定された)を示す時には、IPアドレス・サーバ122は従来のIPネットワーク内と同様にIPネットワーク・ブランチ120と通信するためにクライアント110にIPアドレスを発行する。
本発明のセキュリティ・ポリシーは、ほぼどのフォーマットでも表現でき、特に、IPアドレス・サーバ122によって検証可能なように、受動的フォーマット(例えば、クライアントのメモリ内の文書)または能動的なフォーマット(例えば、スクリプト)などの様々な知られているフォーマットで表現できる。例えば、本発明の様々な実施形態で、セキュリティ・ポリシーは、クライアント110上で実行されるスクリプト言語(例えば、Java(登録商標)Script、VBScriptなど)で表現される。スクリプト言語を使用して、例えば、Windows(登録商標)のレジストリ、インストールしたオペレーティング・システムのバージョン、インストールしたパッチおよびソフトウェア、インストールしたアプリケーションのバージョン、実行中のサービス、パケットを受信するためにオープンしているネットワーク・ポート、一般構成および設定、およびシステムにログインしたユーザなどのローカル・マシンの状態を参照して、クライアントが最新のセキュリティ・ポリシーに準拠しているか否かを判定できる。
図1を再度参照すると、IPアドレス・サーバ122によって、クライアント110がマークを提供しないか無効な(期限切れの)マーク(例えば、期限切れのウィルス保護ソフトウェアおよび/またはその他の期限切れのセキュリティ・ポリシー)を提供したと判定した場合、クライアント110は、クライアント110を図1のIPネットワーク100のサブネットワーク140に向けるように構成された所定のサブネットワーク範囲内のIPアドレスをIPアドレス・サーバ122によって割り当てられる。サブネットワーク範囲は、例えば、特別の範囲(10.9.x.x)内のIPアドレスを含むことができる。この範囲は空いた私設アドレス空間の一部で、インターネット中にルーティングできるものではない。これは、インターネットへのルータがこの範囲内のソース・アドレスが付いたパケットをデフォルトで送信しないということを意味する。この範囲内のソース・アドレスが付いたパケットは内部ルータによっても送信されず、標準のパケット・フィルタ機能/規則を用いて、保護されるべき各サーバ(例えば、ファイル・サーバ、メール・サーバなど)でフィルタリングされることを確認する作業によって分離が完了する。より詳細には、本発明で、サブネットワーク・アドレスはクライアント110をサブネットワーク140(検疫サブネットワーク)に向け、サブネットワーク140はIPネットワーク100の残りから、特に、ファイル・サーバ、他のクライアント、ウェブ・サーバなどのIPネットワーク・ブランチ120のネットワーク・リソースから分離された別の論理ネットワークを形成する。上記のように、分離サブネットワーク140は論理的に別の(物理的に別ではなく)ネットワークを含む。ただし、本発明の代替形態では、本発明のIPネットワークは2つの物理ソケットとユーザとの対話を実施し、第1のソケットA(検査済み)または第2のソケットB(検疫)にケーブルを接続する。ただし、第2の解決策はあまり実用的ではない。
本発明の様々な実施形態では、図1を参照すると、分離サブネットワーク140で、キャプティブ・ポータル142はクライアント110をオプションのローカル・サーバ160にリダイレクトする。ローカル・サーバ160は少なくとも必要なセキュリティ・ポリシーを含み、IPネットワーク・ブランチ120へのアクセスに必要な「承認」マークを得るためにダウンロードして実行しなければならないクライアント・ソフトウェアを含む。クライアント・ソフトウェアは、IPネットワーク・ブランチ120へのアクセスを許可されるためにクライアント110にインストールしなければならない必要なパッチ/ソフトウェアおよびセキュリティ・ポリシーを記述したポリシー・ファイルを提供する。クライアント・ソフトウェアはまた、クライアント110のウィルス・スキャンなどの追加の検査を実行できる。本発明の別の利点は、上記の構成で、クライアント・ソフトウェアはクライアント110によってダウンロードでき、したがって、クライアント110に事前インストールする必要がないということである。その結果、クライアントがクライアント・ソフトウェアをインストールする必要なしに、ネットワークはセキュリティ準拠を決定して実現できる。あるいは、クライアントがクライアント・ソフトウェアをインストールし、上記のようにローカル・サーバまたはその他のソースによって必要に応じてクライアント・ソフトウェアを更新してグレードアップすることも本発明の範囲内である。
クライアント・ソフトウェアがセキュリティ・ポリシーへの準拠を確認すると、例えば、DHCPクライアントIDを所定の値に設定することでクライアント110は「承認」マークを付与され、以前に探したIPアドレスの更新が要求される。クライアント110が「承認」マークを付与されると、IPアドレス・サーバ122はクライアント110からの通信に準拠を検出し、通常のIPネットワークと同様にIPネットワーク・ブランチ120との通信のためのIPアドレスをクライアント110に発行する。
本発明の代替実施形態で、図1を再度参照すると、分離サブネットネットワーク140内のキャプティブ・ポータル142はウェブ・ポータルを含む。ウェブ・ポータルはクライアント110からのすべてのウェブ・ブラウザ要求をインターセプトしてクライアント110をウェブ・ページ(図示せず)にリダイレクトする。ウェブ・ページ上で、IPネットワーク・ブランチ120へのアクセスに必要な「承認」マークを得るためにダウンロードして実行しなければならないクライアント・ソフトウェアおよびセキュリティ・ポリシーへのリンクが提供される。前述のように、クライアント・ソフトウェアは、IPネットワーク・ブランチ120へのアクセスを許可されるためにクライアント110にインストールしなければならない必要なパッチ/ソフトウェアおよびセキュリティ・ポリシーを記述したポリシー・ファイルを提供する。クライアント・ソフトウェアはまた、ウィルス・スキャンなどの追加の検査を実行できる。あるいは、不明パッチおよびその他の(セキュリティの)更新が、更新のダウンロード元へのリンクと共にユーザに提示される。検疫サブネットワーク140を用いてこれらの更新を取り出してインストールすることができる。
前述のように、クライアント・ソフトウェアがセキュリティ・ポリシーへの準拠を確認すると、クライアント110は「承認」マークを付与され(すなわち、DHCPクライアントIDを所定の値に設定することで)、以前に探したIPアドレスの更新が要求される。今度は、IPアドレス・サーバ122はクライアント110からの通信に準拠を検出し、通常のIPネットワークと同様にIPネットワーク・ブランチ120との通信のためのIPアドレスをクライアント110に発行する。
図3は、本発明の一実施形態によるサブネットワークを用いてセキュリティ・ポリシーを実現する方法を示す図である。工程302で方法300が開始し、IPネットワークへのアクセスを求めるクライアントからのアクセス要求がIPネットワークのIPアドレス・サーバによって受信される。次いで方法300は工程304に進む。
工程304で、IPネットワークのIPアドレス・サーバは、クライアントからの要求にIPネットワークとの通信に必要な最新のセキュリティ・ポリシーに準拠する、クライアントが示す特別のマークまたはトークンがあるか調べる。クライアントからの通信が要求された最新のセキュリティ・ポリシーへの準拠を示す場合、方法300は工程306に進む。クライアントからの通信が要求された最新のセキュリティ・ポリシーへの非準拠を示す場合、方法300は工程308に進む。
工程306で、IPネットワークのIPアドレス・サーバはIPネットワークと通信するためのIPアドレスをクライアントに発行する。次いで方法300は終了する。
工程308で、IPネットワークのIPアドレス・サーバは、クライアントを分離サブネットワークに向けるように構成された以前に決定されたサブネットワーク範囲のIPアドレスをクライアントに割り当てる。次いで方法300は工程310に進む。
工程310で、分離サブネットワーク内のキャプティブ・ポータルは、少なくともセキュリティ・ポリシーの最新バージョンを含むクライアント・ソフトウェアの最新バージョンを含むローカル・サーバにクライアントをリダイレクトする。次いで方法300は工程312に進む。
代替工程310で、分離サブネットワーク内のキャプティブ・ポータルはウェブ・ポータルである。ウェブ・ポータルはクライアントからのすべてのウェブ・ブラウザ要求をインターセプトし、クライアントをウェブ・ページにリダイレクトする。ウェブ・ページ上で、少なくともセキュリティ・ポリシーの最新バージョンを含むクライアント・ソフトウェアの最新バージョンへのリンクが提供される。
工程312で、クライアントはクライアント・ソフトウェアをダウンロードして実行し、クライアントのセキュリティ・ポリシーを更新してIPネットワーク・ブランチへのアクセス権を得る。工程312で、クライアント・ソフトウェアはクライアントのウィルス・スキャンを実行してもよい。次いで方法300は工程314に進む。
工程314で、クライアントによってダウンロードされたクライアント・ソフトウェアは、クライアントのセキュリティ・ポリシーへの準拠を確認し、クライアントは「承認」マークを付与され、以前に探したIPアドレスの更新がIPアドレス・サーバに要求される。IPアドレス・サーバがこれを許可する。次いで方法300は終了する。
クライアントがIPアドレスを介して分離サブネットワークに向けられる図1の例を参照しながら本発明の様々な実施形態について説明してきたが、上記の実施形態が本発明の分離を提供する唯一の考えられる実施態様というわけではない。例えば、ダイヤルアップ接続を達成しようとするネットワーク内で、クライアントの分離サブネットワークへのリダイレクション(すなわち、分離または検疫)は、クライアントをクライアントのセキュリティ・ポリシーの更新を提供するように構成された所定のダイヤルイン・サーバに向ける特定の番号(例えば、0800−QUARANTINE)に発呼することで実施できる。
本発明の代替実施形態では、検疫されたクライアントを分離する別の可能性は、複数の仮想ローカル・エリア・ネットワーク(VLAN)を使用することである。VLANは、実際にはLANの異なるセグメント上に物理的に位置することがあっても同じケーブルに接続されたかのように動作するコンピュータのネットワークとして定義される。VLANはハードウェアではなくソフトウェアで構成され、このためVLANは極めて柔軟になっている。そのような環境で、クライアントはネットワーク・アクセスを許可される前に認証を行う必要がある。クライアントはRADIUSサーバ応答で異なるVLAN IDを割り当てられる。そのようなVLAN IDの1つは「検疫VLAN」で、各交換機はこのVLAN上で特定のポートにパケットを送信し、検疫されたクライアントからのパケットをルーティングする際にVLANを通してクライアントが重要なマシンまたはリソースに達しないようにする。
本発明の代替形態で、802.X認証、および特に拡張可能認証プロトコル(EAP)トンネル化方法が実施されて検疫されたクライアントを分離する。そのような実施形態では、外部識別(すなわち、トンネル設定に用いる識別)が所定の文字列値(例えば、ハッシュ値)に設定される。そのような構成によって、RADIUSサーバは準拠クライアントを非準拠クライアントと区別してクライアントに発行する適当なVLAN ID(それぞれ正規または検疫された)および/または特定のIPアドレスを返送する。
本発明のさらに別の実施形態では、仮想私設網(VPN)トンネル接続が実施されて検疫されたクライアントを分離する。そのような実施形態では、検疫されたクライアントに異なるVPNサーバ・アドレス(名前またはIPアドレス)が使用される。VPNサーバはまた、検疫されたクライアントが所定の限定されたサーバだけにアクセスできるように、検疫されたクライアントからのパケットをルーティングする際に1組の特別なIPフィルタリング規則を実行することで検疫を実施できる。あるいは、別の物理イーサネット(登録商標)・カードをVPNサーバに追加して、検疫されたクライアントからのパケットだけをそのイーサネット(登録商標)・インターフェースに送信することができる。
以上、本発明の様々な実施形態について説明してきたが、本発明の基本的な範囲を逸脱することなく本発明のその他の実施形態を考案することができる。したがって、本発明の適当な範囲は首記の請求の範囲に従って決定される。
本発明の一実施形態による分離サブネットワークを有するIPネットワークの一部の高レベル・ブロック図である。 図1のIPネットワーク内で使用するのに適したアドレス・サーバの一実施形態の高レベル・ブロック図である。 本発明の一実施形態によるサブネットワークを用いてセキュリティ・ポリシーを実現する方法を示す図である。

Claims (10)

  1. プロセッサで実行されたときに、ネットワークのセキュリティ・ポリシーを実現する方法を該プロセッサに実行させるためのコンピュータ命令からなるコンピュータプログラムを記録するコンピュータ読み取り可能な記録媒体であって、前記方法が
    前記ネットワークへの接続を望むクライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠しているか否かを判定する工程であって、前記セキュリティ・ポリシーが、クライアント上で実行するのに適合するアクティブ・フォーマットにて表現され、及び準拠が前記クライアントにより送られるトークンを検査することによって判定される工程と、
    クライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠していない場合、拡張可能認証プロトコル(EAP)を用いて、前記ネットワーク内の複数の利用可能な仮想ローカル・エリア・ネットワーク(VLANs)のうちのサブセットのみの有効なユーザとして前記クライアントを認証するようにすることにより、複数の仮想ローカル・エリア・ネットワーク(VLANs)の前記ネットワークへのクライアントのアクセスを制限する工程と、を含むコンピュータ読取り可能な記録媒体。
  2. 前記セキュリティ・ポリシーの現在のバージョンをダウンロードする、クライアントが前記トークンを生成する、請求項1に記載のコンピュータ読取り可能な記録媒体。
  3. 該セキュリティ・ポリシーの現在のバージョンに準拠していると判定された準拠クライアントに、前記ネットワークに接続するためのアドレスが発行される、請求項1に記載のコンピュータ読取り可能な記録媒体。
  4. セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、この非準拠クライアントを該複数の利用可能な仮想ローカル・エリア・ネットワーク(VLANs)の該サブセットに向けるよう適合する所定のIPアドレスが発行されることによって、該複数の利用可能なVLANsの該サブセットに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
  5. セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、該非準拠クライアントを複数の仮想ローカル・エリア・ネットワークのうちの1つのネットワークに向けるのに適合した所定のアドレスを発行されることによって、該複数の仮想ローカル・エリア・ネットワークのうちの該1つのネットワークに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
  6. セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、この非準拠クライアントを該複数の利用可能なVLANsの該サブセットに向けるのに適合したVLAN IDが発行されることにより、該複数の利用可能なVLANsの該サブセットに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
  7. セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントは、非準拠クライアントを所定の分離したVLANにむけるのに適合した仮想ローカル・エリア・ネットワークID(VLAN ID)により、分離したサブネットワークに向けられる、請求項1に記載のコンピュータ読取り可能な記録媒体。
  8. RADIUSサーバは、クライアント準拠クライアントであるか又は非準拠クライアントであるかに応じて異なるVLAN IDを該クライアントに割り当て該クライアントが非準拠クライアントである場合に、該VLAN IDによって特定されるVLANを通して該非準拠クライアントからのパケットを各交換機がルーティングし、該非準拠クライアントがネットワーク資源の全てに到達しないようする、請求項7に記載のコンピュータ読取り可能な記録媒体。
  9. 該複数の利用可能なVLANsの該サブセットがすべてのネットワーク資源から該セキュリティ・ポリシーの現在のバージョンに準拠していないと判定された非準拠クライアントを分離する処理、
    該複数の利用可能なVLANsの該サブセットが、前記セキュリティ・ポリシーの現在のバージョンにアクセスするためのローカル・サーバに該非準拠クライアントを向ける処理、及び
    該複数の利用可能なVLANsの該サブセットは、前記セキュリティ・ポリシーの現在のバージョンにアクセスするための所定のウェブサイトに非準拠クライアントを向けるウェブ・サーバに対して、この非準拠クライアントを向ける処理、
    のうちの少なくとも1つの処理が行われる、請求項1に記載のコンピュータ読取り可能な記録媒体。
  10. クライアントがネットワークへの接続を要求すると前記ネットワークのセキュリティ・ポリシーを実現する装置であって、情報及びプログラム命令を記憶するメモリと、前記プログラム命令を実行するプロセッサとを含み、
    前記ネットワークへの接続を望むクライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠しているか否かを判定する工程であって、前記セキュリティ・ポリシーがクライアント上で実行するのに適合したアクティブ・フォーマットで表現され、及び準拠が前記クライアントにより送られるトークンを検査することにより判定される工程と、
    クライアントが前記セキュリティ・ポリシーの現在のバージョンに準拠していない場合、拡張可能認証プロトコル(EAP)を用いて、前記ネットワーク内の複数の利用可能な仮想ローカル・エリア・ネットワーク(VLANs)のうちのサブセットのみの有効なユーザとして前記クライアントを認証するようにすることにより、複数の仮想ローカル・エリア・ネットワーク(VLANs)の前記ネットワークへのクライアントのアクセスを制限する工程と、を遂行するよう機能する装置。
JP2005306494A 2004-10-21 2005-10-21 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ Expired - Fee Related JP5367936B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/970,350 US7877786B2 (en) 2004-10-21 2004-10-21 Method, apparatus and network architecture for enforcing security policies using an isolated subnet
US10/970350 2004-10-21

Publications (2)

Publication Number Publication Date
JP2006121704A JP2006121704A (ja) 2006-05-11
JP5367936B2 true JP5367936B2 (ja) 2013-12-11

Family

ID=35603406

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005306494A Expired - Fee Related JP5367936B2 (ja) 2004-10-21 2005-10-21 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ

Country Status (4)

Country Link
US (1) US7877786B2 (ja)
EP (1) EP1650930B1 (ja)
JP (1) JP5367936B2 (ja)
DE (1) DE602005009101D1 (ja)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040128539A1 (en) * 2002-12-30 2004-07-01 Intel Corporation Method and apparatus for denial of service attack preemption
US7607021B2 (en) * 2004-03-09 2009-10-20 Cisco Technology, Inc. Isolation approach for network users associated with elevated risk
US8154987B2 (en) * 2004-06-09 2012-04-10 Intel Corporation Self-isolating and self-healing networked devices
US7877786B2 (en) 2004-10-21 2011-01-25 Alcatel-Lucent Usa Inc. Method, apparatus and network architecture for enforcing security policies using an isolated subnet
US20060095961A1 (en) * 2004-10-29 2006-05-04 Priya Govindarajan Auto-triage of potentially vulnerable network machines
US7996881B1 (en) * 2004-11-12 2011-08-09 Aol Inc. Modifying a user account during an authentication process
US8245294B1 (en) * 2004-11-23 2012-08-14 Avaya, Inc. Network based virus control
JP4173866B2 (ja) * 2005-02-21 2008-10-29 富士通株式会社 通信装置
US8020190B2 (en) * 2005-10-14 2011-09-13 Sdc Software, Inc. Enhanced browser security
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
US9602538B1 (en) * 2006-03-21 2017-03-21 Trend Micro Incorporated Network security policy enforcement integrated with DNS server
US8935416B2 (en) * 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
EP1858217A1 (en) * 2006-05-16 2007-11-21 Koninklijke KPN N.V. Shared Internet access
JP2007334536A (ja) * 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
US8196181B2 (en) * 2006-10-13 2012-06-05 Quipa Holdings Limited Private network system and method
US8677141B2 (en) * 2007-11-23 2014-03-18 Microsoft Corporation Enhanced security and performance of web applications
US8312270B1 (en) * 2007-12-17 2012-11-13 Trend Micro, Inc. DHCP-based security policy enforcement system
US20090217346A1 (en) * 2008-02-22 2009-08-27 Manring Bradley A C Dhcp centric network access management through network device access control lists
US8365246B2 (en) * 2008-03-18 2013-01-29 International Business Machines Corporation Protecting confidential information on network sites based on security awareness
US8484705B2 (en) * 2008-04-25 2013-07-09 Hewlett-Packard Development Company, L.P. System and method for installing authentication credentials on a remote network device
US20090271852A1 (en) * 2008-04-25 2009-10-29 Matt Torres System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
US9218469B2 (en) 2008-04-25 2015-12-22 Hewlett Packard Enterprise Development Lp System and method for installing authentication credentials on a network device
US8898332B2 (en) * 2008-11-20 2014-11-25 At&T Intellectual Property I, L.P. Methods, systems, devices and computer program products for protecting a network by providing severable network zones
WO2010114927A1 (en) * 2009-03-31 2010-10-07 Napera Networks Network-assisted health reporting activation
US8621574B2 (en) * 2009-06-02 2013-12-31 Microsoft Corporation Opaque quarantine and device discovery
US8868693B2 (en) * 2010-03-02 2014-10-21 Bank Of America Corporation Compliance tool
US8959570B2 (en) * 2010-07-02 2015-02-17 International Business Machines Corporation Verifying a security token
US9251494B2 (en) * 2010-11-05 2016-02-02 Atc Logistics & Electronics, Inc. System and method for tracking customer personal information in a warehouse management system
JP5505654B2 (ja) * 2011-04-04 2014-05-28 日本電気株式会社 検疫ネットワークシステム及び検疫方法
US9319429B2 (en) 2011-07-11 2016-04-19 Nec Corporation Network quarantine system, network quarantine method and program therefor
US9519782B2 (en) * 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US8826429B2 (en) * 2012-04-02 2014-09-02 The Boeing Company Information security management
US9237188B1 (en) 2012-05-21 2016-01-12 Amazon Technologies, Inc. Virtual machine based content processing
CA2851709A1 (en) 2013-05-16 2014-11-16 Peter S. Warrick Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address
US9171174B2 (en) * 2013-11-27 2015-10-27 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for verifying user data access policies when server and/or user are not trusted
CN106209799A (zh) * 2016-06-29 2016-12-07 深圳市先河系统技术有限公司 一种实现动态网络防护的方法、系统及动态防火墙
JP7063185B2 (ja) * 2018-08-15 2022-05-09 日本電信電話株式会社 通信システム及び通信方法
BR112022012042A2 (pt) 2019-12-18 2022-08-30 Huawei Tech Co Ltd Execução de negociação de segurança para configuração de rede
CN113992461B (zh) * 2021-10-26 2024-01-30 亿次网联(杭州)科技有限公司 一种数据隔离传输方法、系统及存储介质

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805803A (en) * 1997-05-13 1998-09-08 Digital Equipment Corporation Secure web tunnel
US6202157B1 (en) * 1997-12-08 2001-03-13 Entrust Technologies Limited Computer network security system and method having unilateral enforceable security policy provision
US7673323B1 (en) * 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6779120B1 (en) * 2000-01-07 2004-08-17 Securify, Inc. Declarative language for specifying a security policy
US7150037B2 (en) * 2001-03-21 2006-12-12 Intelliden, Inc. Network configuration manager
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
JP3984895B2 (ja) * 2001-10-03 2007-10-03 キヤノン株式会社 情報処理装置およびサーバ装置およびドライバ更新方法およびコンピュータが読み取り可能な記憶媒体およびプログラム
US6950628B1 (en) * 2002-08-02 2005-09-27 Cisco Technology, Inc. Method for grouping 802.11 stations into authorized service sets to differentiate network access and services
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US20040107274A1 (en) * 2002-12-03 2004-06-03 Mastrianni Steven J. Policy-based connectivity
US7523484B2 (en) * 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
US20050097199A1 (en) * 2003-10-10 2005-05-05 Keith Woodard Method and system for scanning network devices
US7877786B2 (en) 2004-10-21 2011-01-25 Alcatel-Lucent Usa Inc. Method, apparatus and network architecture for enforcing security policies using an isolated subnet

Also Published As

Publication number Publication date
DE602005009101D1 (de) 2008-10-02
US20060101409A1 (en) 2006-05-11
EP1650930B1 (en) 2008-08-20
JP2006121704A (ja) 2006-05-11
US7877786B2 (en) 2011-01-25
EP1650930A1 (en) 2006-04-26

Similar Documents

Publication Publication Date Title
JP5367936B2 (ja) 分離サブネットを使用してセキュリティ・ポリシーを実現する方法、装置、およびネットワーク・アーキテクチャ
US11757941B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
EP1650633B1 (en) Method, apparatus and system for enforcing security policies
US8707395B2 (en) Technique for providing secure network access
US7792990B2 (en) Remote client remediation
US9436820B1 (en) Controlling access to resources in a network
US7694343B2 (en) Client compliancy in a NAT environment
US7533407B2 (en) System and methods for providing network quarantine
US10764264B2 (en) Technique for authenticating network users
US8549646B2 (en) Methods, media and systems for responding to a denial of service attack
US9225684B2 (en) Controlling network access
JP2005318584A (ja) デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置
US20060059552A1 (en) Restricting communication service
US8190755B1 (en) Method and apparatus for host authentication in a network implementing network access control
CN116015692A (zh) 一种网络准入控制方法、装置、终端及存储介质
JP2012199758A (ja) 検疫管理装置、検疫システム、検疫管理方法、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081003

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101025

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110125

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110516

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110816

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110819

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111116

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120409

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120523

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20120615

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130122

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130719

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130912

R150 Certificate of patent or registration of utility model

Ref document number: 5367936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees