JP5460746B2 - 仮想レイヤ2サービスのための侵入検出 - Google Patents
仮想レイヤ2サービスのための侵入検出 Download PDFInfo
- Publication number
- JP5460746B2 JP5460746B2 JP2011553555A JP2011553555A JP5460746B2 JP 5460746 B2 JP5460746 B2 JP 5460746B2 JP 2011553555 A JP2011553555 A JP 2011553555A JP 2011553555 A JP2011553555 A JP 2011553555A JP 5460746 B2 JP5460746 B2 JP 5460746B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- information
- edge router
- interface port
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title description 3
- 238000012544 monitoring process Methods 0.000 claims description 18
- 238000000034 method Methods 0.000 claims description 14
- 230000008859 change Effects 0.000 claims description 10
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 101001072237 Homo sapiens Protocadherin-16 Proteins 0.000 description 9
- 102100029526 rRNA 2'-O-methyltransferase fibrillarin Human genes 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 101000602015 Homo sapiens Protocadherin gamma-B4 Proteins 0.000 description 4
- 102100037554 Protocadherin gamma-B4 Human genes 0.000 description 4
- 230000007704 transition Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、パケット交換通信ネットワークを対象とし、詳細には、仮想専用線(VLL)および仮想プライベートLANサービス(VPLS)のサービスなどの、仮想の、開放型システム間相互接続(OSI)レイヤ2サービスのための侵入検出を行うことを対象とする。
仮想専用線(VLL)は、インターネットプロトコル(IP)ネットワークおよびマルチプロトコルラベルスイッチング(MPLS)ネットワーク(IP/MPLS)上で、イーサネット(登録商標)ベースのポイントツーポイント通信を提供するためのサービスである。この技術はまた、仮想プライベートワイヤサービス(VPWS)、またはイーサネットオーバーMPLS(EoMPLS)とも呼ばれる。VPWSサービスは、2つのカスタマーエッジ(CE)ルータ間でポイントツーポイント接続を提供する。VPWSサービスは、2つの接続回線(AC)を、2つのプロバイダエッジ(PE)ルータを接続する擬似回線に結びつけることによってポイントツーポイント接続を提供し、ここで、各PEルータは、接続回線のうちの1つを介して、CEルータのうちの1つに接続されている。VLLは、通常、IP/MPLSバックボーンを横切るMPLSトンネル上でイーサネットトラフィックを搬送するための擬似回線カプセル化を使用する。擬似回線についてのさらなる情報は、S.BryantおよびP.Pateによる「Pseudo Wire Emulation Edge−to−Edge(PWE3)Architecture」、RFC3985、IETF、2005年3月において見出すことができる。
仮想プライベートLANサービス(VPLS)は、VPLSインスタンス化を介して、閉じたユーザグループを効果的に実装するイーサネットサービスである。ユーザグループ間での完全な分離を実現するために、VPLSは、VPLSインスタンスごとに、ネットワークルータ上で別個の転送情報ベース(FIB)を割り当てる。
各VPLSインスタンスは、擬似回線トンネルの専用のメッシュが、VPLSの部分をなすPEルータ間でプロビジョニングされることをさらに必要とする。
VLLおよびVPLSの両方のサービスは、サービスアクセスポイント(SAP)を使用して、PEルータポートのトンネルエンドポイントをそれらの各サービスに結びつける。たとえば、VPLSサービスのケースでは、SAPは、対応するポートの物理的識別子(たとえば、ノード、シェルフ、カード、ポート)、およびVPLSの識別子(たとえばVLAN5)を指定することになる。
いくつかのケースでは、CEルータは、リモートに、または別の場合にはネットワークセキュリティに対して脆弱な場所に配置される。これらのケースでは、VLLサービスまたはVPLSサービスなどの、CEルータによって提供される仮想レイヤ2サービスに、関与する、または関与を試みる侵入者システムに応答することができるセキュリティ手段を、所定の位置に有することが望ましい。そのような侵入者システムは、仮想レイヤ2サービスに関与することを認証されていない、あらゆるシステムを含む。
S.BryantおよびP.Pateによる「Pseudo Wire Emulation Edge−to−Edge(PWE3)Architecture」、RFC3985、IETF、2005年3月
本発明は、パケット交換ネットワーク上で提供される、侵入者システムの、仮想レイヤ2サービスに関与する試みを検出することを対象とする。
本発明のいくつかの実施形態は、仮想レイヤ2サービスを提供するためにCEルータが通信可能に結合された、PEルータのインターフェースポートの動作ステータスを監視し、前記ステータスの変化の結果として、CEルータと関連があるはずの情報が変化したかどうかを判定し、それにより肯定である場合は、前記変化を、侵入者システムが仮想レイヤ2サービスに関与を試みたことを示すことであると解釈する。
本発明のいくつかの実施形態において、セキュリティ監視用に選択されたインターフェースポートの識別子が記憶され、そのインターフェースポートの動作ステータスが判定される。そのインターフェースポートが動作状態にあることを示すインターフェースポートの動作ステータスに応じて、仮想レイヤ2サービスを提供するためにインターフェースポートに通信可能に結合されたCEルータと関連がある情報の初期のバージョンが記録される。インターフェースポートの動作ステータスは次いで、状態変化について監視される。状態変化が検出されると、情報の最新のバージョンが取得され、情報の初期のバージョンと比較される。情報のバージョン間の差異を検出する結果として、侵入者システムが仮想レイヤ2サービスに関与を試みたことを示す警報が発せられる。
本発明のいくつかの実施形態において、特定の情報は、インターフェースポートが配置されたPEルータの転送情報ベース(FIB)に記憶された、1つまたは複数のメディアアクセスコントロール(MAC)アドレスまたはIPアドレスを含む。
本発明のいくつかの実施形態において、特定の情報は、CEルータの1つまたは複数のMACアドレスまたはIPアドレスを含む。追加的に、または代替的に、いくつかの実施形態において、特定の情報は、CEルータに対して発行されたコマンドラインインターフェース(CLI)コマンドを介して取得可能な、CEルータと関連がある他の情報を含む。
本発明のいくつかの実施形態において、CEルータおよびPEルータは、パケット交換ネットワークのネットワーク管理システムに対して発行されたCLIコマンドを介してアクセスされてもよく、インターフェースポートの動作ステータスは、ネットワーク管理システムによって発行されたイベント通知を介して監視されてもよい。
本発明の実施形態は、仮想レイヤ2サービスに関与する試みにおいて、侵入者システムがCEルータの代わりにPEルータに接続されたときに起こり得るような、仮想レイヤ2サービスを提供するためのCEルータとPEルータとの間の通信可能な接続が遮断されたときに、検出が可能である。有利には、この能力は、CEルータとPEルータとの間で交換されるデータパケットのコンテンツに依存するがそれらのルータ間の通信可能な接続の動作ステータスには依存しない、MACフィルタおよびアンチスプーフィングフィルタなどの、他のセキュリティ手段と補足し合う。
本発明の前述の、ならびに他の目的、特徴、および効果は、添付の図面において示されるような、以下の好ましい実施形態のより詳細な説明から明らかになるであろう。
図面において、同様の特徴は、同様の参照記号によって示される。
図1を参照すると、MPLSネットワーク12上でVPLSサービスを提供するためのネットワーク構成10は、第1のプロバイダエッジルータPE1と第2のプロバイダエッジルータPE2との間で、MPLSネットワーク12を通してルーティングされる擬似回線トンネルT1を含む。擬似回線トンネルT1は、2つのエンドポイント、すなわち、第1のプロバイダエッジルータPE1にある第1のエンドポイントと、第2のプロバイダエッジルータPE2にある第2のエンドポイントとを有する。VPLSサービスのサービスインスタンスSVCが、プロバイダエッジルータPE1、PE2のそれぞれにおいてインスタンス化され、擬似回線トンネルT1をVPLSサービスに関連付ける。したがって、VPLSサービスに関連付けられたデータパケットは、第1のプロバイダエッジルータPE1と第2のプロバイダエッジルータPE2との間で、擬似回線トンネルT1を介して、MPLSネットワーク10を通って通信される。
典型的には、複数のプロバイダエッジルータを接続する複数の擬似回線トンネルが存在することになる。いくつかのケースでは、これらのトンネルが、プロバイダエッジルータを相互に接続する完全接続メッシュを形成する。任意のケースでは、あるプロバイダエッジルータで終端する、所与のサービスのための複数の擬似回線トンネルが存在するとき、そのルータにおいて転送情報ベースが使用されて、トンネルのうちのどれを介して、データパケットがその宛先に到着するのに転送されるべきかを決定する。この決定は、データパケットの宛先MACアドレスまたはIPアドレスに基づいて行われる。MACアドレスは、一般的には一意であり、データ通信システムの所与のネットワークインターフェースカードまたはネットワークインターフェースアダプタに専用の、48ビットのアドレスである。MACアドレスはまた、ハードウェアアドレスとしても知られている。IPアドレスは、一般的にはネットワークインターフェースまたはネットワークシステムに一意であるが、ソフトウェアに割り当て可能な、32ビット(IPv4)または128ビット(IPv6)のアドレスである。
第1のカスタマエッジルータCE1が、第1の接続回線AC1を介して、第1のプロバイダエッジルータPE1の第1のインターフェースポートP1に接続される。第1のカスタマエッジルータCE1は、第1のMACアドレスXを有する。同様に、第2のカスタマエッジルータCE2が、第2の接続回線AC2を介して、第2のプロバイダエッジルータPE2の第2のインターフェースポートP2に接続される。第2のカスタマエッジルータCE2は、第2のMACアドレスYを有する。
第1のプロバイダエッジルータPE1は、サービスインスタンスSVCに関連付けられた第1の転送情報ベースFIB1を含む。第1の転送情報ベースFIB1は、擬似回線トンネルT1のための第1のエントリE1を含む。第1のエントリE1は、第1のカスタマエッジルータCE1と第2のカスタマエッジルータCE2との間でデータパケットを通信する目的のために、第1のMACアドレスXを第2のMACアドレスYに関連付ける。同様に、第2のプロバイダエッジルータPE2は、サービスインスタンスSVCに関連付けられた第2の転送情報ベースFIB2を含む。第2の転送情報ベースFIB2は、擬似回線トンネルT1のための第2のエントリE2を含む。第2のエントリE2は、第1のカスタマエッジルータCE1と第2のカスタマエッジルータCE2との間でデータパケットを通信する目的のために、第1のMACアドレスXを第2のMACアドレスYに関連付ける。
VPLSサービスに関連付けられた、第1の接続回線AC1から第1のインターフェースポートP1で受信されたデータパケットが、第1の転送情報ベースFIB1の情報に従って擬似回線トンネル上で転送されるように、第1のプロバイダエッジルータPE1の第1のサービスアクセスポイントが、第1のインターフェースポートP1をサービスインスタンスSVCに関連付ける。そのような情報は、第1の転送情報ベースFIB1の第1のエントリE1を含み、それがこのケースでは、第1のMACアドレスXである送信元MACアドレスを有するデータパケットを、その宛先MACアドレスが第2のMACアドレスYであるときに、擬似回線トンネルT1上で転送させる。同様に、VPLSサービスに関連付けられた、擬似回線トンネルT1から第1のプロバイダエッジルータPE1によって受信されたデータパケットが、第1のサービスアクセスポイントおよび第1の転送情報ベースFIB1の情報に従って、第1のインターフェースポートP1に転送される。
VPLSサービスに関連付けられた、第2の接続回線AC2から第2のインターフェースポートP2で受信されたデータパケットが、第2の転送情報ベースFIB2の情報に従って擬似回線トンネル上で転送されるように、第2のプロバイダエッジルータの第2のサービスアクセスポイントが、第2のインターフェースポートP2をサービスインスタンスSVCに関連付ける。そのような情報は、第2の転送情報ベースFIB2の第2のエントリE2を含み、それがこのケースでは、第2のMACアドレスYである送信元MACアドレスを有するデータパケットを、その宛先MACアドレスが第1のMACアドレスXであるときに、擬似回線トンネルT1上で転送させる。同様に、VPLSサービスに関連付けられた、擬似回線トンネルT1から第2のプロバイダエッジルータPE2によって受信されたデータパケットが、第2のサービスアクセスポイントおよび第1の転送情報ベースFIB1の情報に従って、第2のインターフェースポートP2に転送される。
上記を考慮すると、VPLSサービスに関連付けられたデータパケットは、その各接続回線AC1、AC2、第1のプロバイダエッジルータPE1および第2のプロバイダエッジルータPE2、ならびに擬似回線トンネルT1を介して、第1のカスタマエッジルータCE1と第2のカスタマエッジルータCE2との間で通信され得ることが明らかであるはずである。しかしながら、先に触れたように、いくつかのケースでは、CEルータは、リモートに、または別の場合にはネットワークセキュリティに対して脆弱な場所に配置される。これらのケースでは、VLLサービスまたはVPLSサービスなどの、CEルータによって提供される仮想レイヤ2サービスに、関与する、または関与を試みる侵入者システムに応答することができるセキュリティ手段を、所定の位置に有することが望ましい。そのような侵入者システムは、仮想レイヤ2サービスに関与することを認証されていない、あらゆるシステムを含む。
引き続き図1を参照すると、ネットワーク構成10は、制御接続16およびMPLSネットワーク12を介して、プロバイダエッジルータPE1、PE2に通信可能に結合された管理エンティティ14を含む。管理エンティティ14は、典型的には、プロバイダエッジルータPE1、PE2などの、MPLSネットワーク12のネットワーク要素上で、運用、管理、および保守(operation、administration and maintenance:OAM)タイプの機能を実行することが可能なネットワーク管理システムである。管理エンティティ14のこの機能性は、とりわけ、そのそれぞれのインターフェースポートP1、P2の動作ステータスに関する、第1のプロバイダエッジルータPE1および第2のプロバイダエッジルータPE2からのイベント報告を含む、MPLSネットワーク12のネットワーク要素からのイベントに関連した機器、サービス、およびプロビジョニングの報告を受信する能力を含む。
ネットワーク構成10はまた、オープンオペレーティングシステム(OS)インターフェース20を介して、管理エンティティ14に通信可能に結合されたサービスプラットフォーム18を含む。オープンOSインターフェース20を使用して、サービスプラットフォーム18は、ネットワーク要素からのイベント報告に関連したイベント通知を含む、イベント通知22へのアクセス権を持つ。さらにオープンOSインターフェース20を使用して、サービスプラットフォーム18は、プロバイダエッジルータPE1、PE2におけるプロビジョニング変更をもたらすためのコマンドを含む、管理エンティティ14に対する制御コマンド24を発行することができる。サービスプラットフォーム18は、典型的には、ラップトップもしくはデスクトップコンピュータ、またはワークステーションである。オープンOSインターフェースは、Java(登録商標)メッセージサービス(JMS)インターフェースであるが、他のタイプのメッセージインターフェースが使用されてもよい。
サービスプラットフォーム18は、サービスプラットフォーム18上でサービスデータベース28と通信しているサービスアプリケーション26を実行するが、サービスデータベース28はまた、オープンOSインターフェース20によって与えられるサービスプラットフォーム18へのアクセス権を有して、管理エンティティ14上に常駐してもよい。サービスアプリケーション26は、本発明の実施形態による、侵入者システムの、仮想レイヤ2サービスに関与する試みを検出する方法を具体化するソフトウェアプログラムである。
方法によれば、サービスアプリケーション26が、オープンOSインターフェース20上で受信されたイベント通知22を監視する。サービスアプリケーション26は、イベント通知22を検査して、イベント通知22のうちのいずれかが、セキュリティ監視用に選択されたインターフェースポートの動作ステータスと関連があるかどうかを判定する。そのように選択された各ポートの識別子は、サービスデータベース28の第1のレコードR1に記憶される。任意のそのようなポートでは、そのポートを介して提供されるVPLSサービスに対応したFIBのFIBエントリに収容されている情報が、関連付けられたPEルータから既に取り出されており、サービスデータベース28に記憶されている。たとえば、第1のインターフェースポートP1の場合、第1の転送情報ベースFIB1の第1のエントリE1からの情報が、サービスデータベース28の第2のレコードR2に記憶される。第1のポートP1の識別子は、他の手段によって第1のポートP1に関連付けられてもよいが、第2のレコードR2が、第1のポートP1の識別子を含む。追加的に、または代替的に、接続回線によってポートに通信可能に結合されたCEルータと関連がある他の情報が、そのCEルータから取り出されて、サービスデータベース28に記憶されてもよい。たとえば、第1のカスタマエッジルータCE1の構成データはまた、サービスデータベース28の第2のレコードR2に記憶される。第2のレコードR2に収容されている情報は、他のやり方が機能してよいものの、好ましくは、OSインターフェース20上で管理エンティティ14に対して発行された制御コマンドを使用して、サービスプラットフォーム18によって取り出されることになる。そのような情報は、ポートがセキュリティ監視用に選択されたときに、またはセキュリティ監視がポート上で再初期化され、ポートが動作状態にあるときに、取り出されることになる。
第1のレコードR1および第2のレコードR2に収容されている情報のすべてまたはいくつかを記憶する多くのやり方があることが理解されるべきである。しかしながら、これらのやり方のいずれかは、セキュリティ監視が作動されており、ポートが動作状態にあったときに、そのようなセキュリティ監視が実行されることになるポートの識別を可能にし、そのポートに通信可能に結合されたCEルータと関連がある情報を提供する場合に、十分であるべきである。たとえば、第2のレコードR2が、第1のポートP1の識別を収容し、セキュリティ監視が実行されることになるポートに関連した情報を第2のレコードR2が収容したことを示すやり方で記憶された場合、第1のレコードR1は省略されてもよい。たとえば、そのようなやり方は、第2のレコードR2を、サービスデータベース28の特別な部分に、または同様のレコードのグループに記憶することであってよい。
引き続き図1を参照すると、第1のカスタマエッジルータCE1が、長期にわたりパケット交換ネットワークのサポートスタッフによって訪問されない、人の住んでいない地域の小さな建物または小屋などの、リモートオフィスにあるものとして示されている。そのような場所は、ネットワークセキュリティに対して脆弱な場所である例である。VPLSサービスに関与する試みにおいて、侵入者システム30は、第1のカスタマエッジルータCE1の第1の接続回線AC1を切断し、第1の接続回線AC1を侵入者システム30に再接続する(32)ことによって、第1のポートP1に通信可能に接続される。しかしながら、第1の接続回路AC1を切断および再接続することは、第1のインターフェースポートP1を、動作状態から非動作状態へ、および再び動作状態に戻るように遷移させる。加えて、第1のプロバイダエッジルータPE1で実行しているアドレス解決プロトコルが、第1の接続回線AC1上で侵入者システム30によって送信されたデータパケットから、侵入者システム30の第3のMACアドレスZを知ることになる。第1のプロバイダエッジルータPE1は、第1の転送情報ベースFIB1に収容されている情報を、最新のバージョンに更新することになる。例えば、第1のエントリE1が、第1のエントリの最新のバージョンE1’に更新されることになる。
サービスアプリケーション26は、動作状態から非動作状態へ、およびその反対などのインターフェースポートの動作ステータスの遷移をそこから検出することができる、イベント通知22を監視している。インターフェースポートの動作ステータスの変化を検出すると、サービスアプリケーション26は、第1のレコードR1などの、サービスデータベース28中にある情報にアクセスして、影響を受けたポートが、セキュリティ監視用に選択されているポートであるかどうかを判定する。そうである場合、サービスアプリケーション26は、そのポートを介して提供されるVPLSサービスに対応したFIBのFIBエントリに収容されている最新の情報を取り出す。サービスアプリケーション26は、この情報を、影響を受けたポートが属しているPEルータから取り出す。VPLSサービスのインスタンスごとに、専用のFIBがPEルータ中に存在していることから、関連のFIBが、影響を受けたポートをサービスインスタンスに関連付ける、SAPに収容されている情報によって識別される。たとえば、第1のインターフェースポートP1の動作ステータスの変化を検出すると、サービスアプリケーション26は、管理エンティティ14に対して、第1の転送情報ベースFIB1の第1のエントリの最新のバージョンE1’を取り出すように制御コマンド24を発行する。
サービスアプリケーション26は次いで、サービスデータベース28にアクセスして、第1のカスタマエッジルータCE1と関連がある情報の初期のバージョンを取り出す。この情報は、影響を受けたポート上でのセキュリティ監視が有効にされた、または再初期化されたときに、情報がPEルータから取り出された、および代替的に、または追加的には、CEルータから取り出されたという点において、初期と呼ばれる。たとえば、サービスプラットフォーム26は、第2のレコードR2に収容されている情報を取り出す。情報の初期のバージョンは、情報の最新のバージョンと比較され、一致するはずである最新のバージョンおよび初期のバージョンに収容されている情報間の不一致の検出の結果として、サービスアプリケーション26は、この不一致を、侵入者システムが仮想レイヤ2サービスに関与を試みたことを示すものと解釈する。たとえば、サービスアプリケーション26は、第2のレコードR2に記憶されている第1の接続回線AC1に通信可能に結合されたCEルータのMACアドレスと、第1のエントリの最新のバージョンE1’のMACアドレスとを比較する。このケースでは、第2のレコードR2が第1のMACアドレスXを収容し、第1のエントリの最新のバージョンE1’が第3のMACアドレスZを収容するために、不一致が存在する。追加的に、または代替的に、同様のやり方で、影響を受けたポートに通信可能に結合されたCEルータまたはシステムと関連がある他の情報の初期のバージョンと最新のバージョンとが、不一致について比較されてもよい。たとえば、CEルータから取り出し可能であり、侵入者システムによって複製される見込みがまずない、または複製されるには難しすぎる構成データなどの任意のデータが、比較のために使用されてもよい。
侵入者システムがセキュリティ監視用に選択されたインターフェースポートを介して仮想レイヤ2サービスに関与を試みたことを判定すると、サービスアプリケーション26は、影響を受けたインターフェースポートを動作不能にし、ネットワークアラームを発する、または電子メールもしくは他のタイプの電子メッセージを事業者または仮想レイヤ2サービスのセキュアな動作に責任を負う他のエンティティに送信するなどして、事業者に対して警告を発行する。サービスアプリケーション26は、影響を受けたインターフェースポートを非動作状態にするために、管理エンティティ14に対して制御コマンドを発行することによって、影響を受けたインターフェースポートを動作不能にする。たとえば、サービスアプリケーション26は、OSインターフェース20上で管理エンティティ14に対して制御コマンド24を発行して、第1のインターフェースポートP1を非動作状態に遷移させる。
次に、図2を参照しながら、仮想レイヤ2サービスに関与する侵入者システムの試みを検出する方法200が、図1をさらに参照して説明される。方法200は、選択されたインターフェースポートのイベント通知を監視するステップ202を含む。インターフェースポートの選択は、好ましくは、サービスアプリケーション26を使用して実行されるが、サービスプラットフォーム18上で実行している別のアプリケーション、または管理エンティティ14によってまた実行されてもよい。これらの選択の記録は、好ましくは、たとえばサービスデータベース28中のサービスプラットフォーム18に記憶されることになるが、それらはまた管理エンティティ14に記憶されてもよく、またはその両方の場所に記憶されてもよい。セキュリティ監視されることになるインターフェースポートの指示が、方法200を人の介在なしに自動的に実行するサービスアプリケーション26などのエンティティに利用可能であれば、方法200を実行するには十分である。そのような指示は、セキュリティ監視されることになるそのような各ポートの識別子を含むことになる。イベント通知は、オープンOSインターフェース20を介して、管理エンティティ14からイベント通知22を受信することによって、監視される。
選択されたインターフェースポートのイベント通知が、インターフェースポートの動作ステータスが変化したことを示すかどうかの判定204がなされる。影響を受けたポートの動作ステータスが、動作状態から非動作状態に変化した場合、方法は、動作状態へのさらなる変化が生じるのを待つ。非動作状態から動作状態への影響を受けたポートの動作状態の遷移を検出する(206)と、サービスアプリケーションは、影響を受けたインターフェースポートに通信可能に結合されたシステムと関連がある最新の情報を取り出す(208)。この情報は、好ましくは、システムのMACアドレスであるが、侵入者システムに常駐することが考えにくい構成データなどの、任意の他の情報であってもよい。
取り出された最新の情報が、影響を受けたインターフェースポートに通信可能に結合されたCEルータと関連して以前に取り出された情報と不一致であるかどうかの判定(210)がなされる。不一致が検出された結果として、影響を受けたインターフェースポートは動作不能にされ(212)、警告が発せられる(214)。方法200は次いで、イベント通知22を監視するステップ202に戻る。
多数の修正形態、変形形態、および適応形態が、特許請求の範囲において定義される本発明の範囲から逸脱することなく、上で説明された本発明の実施形態に対してなされ得る。
Claims (10)
- 侵入者システムの、パケット交換ネットワークの仮想レイヤ2サービスに関与する試みを検出する方法であって、
仮想レイヤ2サービスを提供するためにカスタマエッジルータが通信可能に結合された、プロバイダエッジルータのインターフェースポートの動作ステータスを監視するステップと、
プロバイダエッジルータのインターフェースポートの動作ステータスにおいて変化が生じたことを検出するステップと、
変化が検出された場合、カスタマエッジルータに関連した情報の最新のバージョンを取り出すステップと、
情報の最新のバージョンを情報の初期のバージョンと比較するステップと、
情報のバージョン間の差異を、侵入者システムが仮想レイヤ2サービスに関与を試みたことを示すことであると解釈するステップと
を含む、方法。 - インターフェースポートの識別子を記録し、それによりインターフェースポートがセキュリティ監視用に選択されたことを示すステップと、
インターフェースポートのセキュリティ監視が有効にされ、インターフェースポートが動作状態にあるときに、情報の初期のバージョンを記憶するステップと
をさらに含む、請求項1に記載の方法。 - 情報が、プロバイダエッジルータの転送情報ベースに記憶された、1つまたは複数のメディアアクセスコントロール(MAC)アドレスまたはインターネットプロトコル(IP)アドレスを含む、請求項1に記載の方法。
- 情報が、管理エンティティを介してカスタマエッジルータから取得可能である、カスタマエッジルータと関連がある他の情報を追加的にまたは代替的に含む、請求項3に記載の方法。
- 監視するステップが、オペレーティングシステムインターフェース上でネットワーク管理エンティティによって報告されるイベント通知を監視するステップをさらに含む、請求項1に記載の方法。
- 侵入者システムの、パケット交換ネットワークの仮想レイヤ2サービスに関与する試みを検出するためのシステムであって、
オペレーティングシステムインターフェースを介して、パケット交換ネットワークのネットワーク管理エンティティに通信可能に結合するための手段と、
仮想レイヤ2サービスを提供するためにプロバイダエッジルータのインターフェースポートに通信可能に結合されたカスタマエッジルータと関連がある情報の初期のバージョンを記憶するためのサービスデータベースと
を含む、サービスプラットフォームに記憶されたサービスアプリケーションを実行するためのサービスプラットフォームを含む、システムにおいて、
サービスアプリケーションが、
プロバイダエッジルータのインターフェースポートの動作ステータスに関連がある、オペレーティングシステムインターフェース上でネットワーク管理エンティティによって報告されるイベント通知を監視し、
プロバイダエッジルータのインターフェースポートの動作ステータスにおいて変化が生じたことを検出し、
変化が検出された場合、カスタマエッジルータに関連した情報の最新のバージョンを取り出し、
情報の最新のバージョンを情報の初期のバージョンと比較し、
情報のバージョン間の差異を、侵入者システムが仮想レイヤ2サービスに関与を試みたことを示すことであると解釈するための、
サービスプラットフォームによって実行されることになる、コンピュータ可読媒体に記録された命令を含む、
システム。 - サービスアプリケーションが、
インターフェースポートの識別子を記録し、それによりインターフェースポートがセキュリティ監視用に選択されたことを示し、
インターフェースポートのセキュリティ監視が有効にされ、インターフェースポートが動作状態にあるときに、情報の初期のバージョンを記憶する
ための命令をさらに含む、請求項6に記載のシステム。 - 情報が、プロバイダエッジルータの転送情報ベースに記憶された、1つまたは複数のメディアアクセスコントロール(MAC)アドレスまたはインターネットプロトコル(IP)アドレスを含む、請求項6に記載のシステム。
- 情報が、管理エンティティを介してカスタマエッジルータから取得可能である、カスタマエッジルータと関連がある他の情報を追加的にまたは代替的に含む、請求項8に記載のシステム。
- 仮想レイヤ2サービスが、仮想プライベートローカルエリアネットワークサービスまたは仮想専用線サービスである、請求項9に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/404,023 US20100235914A1 (en) | 2009-03-13 | 2009-03-13 | Intrusion detection for virtual layer-2 services |
| US12/404,023 | 2009-03-13 | ||
| PCT/IB2010/001115 WO2010103407A2 (en) | 2009-03-13 | 2010-03-11 | Intrusion detection for virtual layer-2 services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012520596A JP2012520596A (ja) | 2012-09-06 |
| JP5460746B2 true JP5460746B2 (ja) | 2014-04-02 |
Family
ID=42470734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011553555A Expired - Fee Related JP5460746B2 (ja) | 2009-03-13 | 2010-03-11 | 仮想レイヤ2サービスのための侵入検出 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20100235914A1 (ja) |
| EP (1) | EP2406932B1 (ja) |
| JP (1) | JP5460746B2 (ja) |
| KR (1) | KR101266592B1 (ja) |
| CN (1) | CN102349277B (ja) |
| WO (1) | WO2010103407A2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100561978C (zh) * | 2006-04-26 | 2009-11-18 | 华为技术有限公司 | 一种策略路由装置和方法 |
| US8326962B2 (en) * | 2009-07-01 | 2012-12-04 | Siemens Corporation | Method, system and apparatus for providing automation management services |
| WO2011072274A1 (en) | 2009-12-11 | 2011-06-16 | Juniper Networks, Inc. | Media access control address translation in virtualized environments |
| US20120030759A1 (en) * | 2010-07-28 | 2012-02-02 | Alcatel-Lucent Usa Inc. | Security protocol for detection of fraudulent activity executed via malware-infected computer system |
| JP5733473B2 (ja) * | 2012-04-18 | 2015-06-10 | 日本電気株式会社 | インターワーク装置、方法、及びプログラム |
| US9825759B2 (en) * | 2013-07-08 | 2017-11-21 | Alcatel Lucent | Secure service management in a communication network |
| US20160036843A1 (en) * | 2014-08-01 | 2016-02-04 | Honeywell International Inc. | Connected home system with cyber security monitoring |
| US9769059B2 (en) * | 2015-06-25 | 2017-09-19 | Ciena Corporation | Fast interlayer forwarding |
| CN107517114B (zh) * | 2016-06-16 | 2022-08-02 | 中兴通讯股份有限公司 | 一种通信端口的链接状态更新方法及装置 |
| JP6977507B2 (ja) * | 2017-11-24 | 2021-12-08 | オムロン株式会社 | 制御装置および制御システム |
| US11128618B2 (en) * | 2019-10-15 | 2021-09-21 | Dell Products, L.P. | Edge data center security system that autonomously disables physical communication ports on detection of potential security threat |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
| US6907470B2 (en) * | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US8001594B2 (en) * | 2001-07-30 | 2011-08-16 | Ipass, Inc. | Monitoring computer network security enforcement |
| US7463639B1 (en) * | 2001-09-26 | 2008-12-09 | Junpier Networks, Inc. | Edge devices for providing a transparent LAN segment service and configuring such edge devices |
| US20030105881A1 (en) * | 2001-12-03 | 2003-06-05 | Symons Julie Anna | Method for detecting and preventing intrusion in a virtually-wired switching fabric |
| FR2837337B1 (fr) * | 2002-03-15 | 2004-06-18 | Cit Alcatel | Dispositif de gestion de service reseau utilisant le protocole cops pour la configuration d'un reseau prive virtuel |
| US7234163B1 (en) * | 2002-09-16 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
| US7813345B2 (en) * | 2003-06-05 | 2010-10-12 | At&T Intellectual Property I, L.P. | MAC learning using VC-LSP dedicated for broadcast and unknown frames |
| JP2005051548A (ja) * | 2003-07-29 | 2005-02-24 | Furukawa Electric Co Ltd:The | データ中継方法、データ中継装置およびその装置を用いたデータ中継システム |
| US7698455B2 (en) * | 2003-08-01 | 2010-04-13 | Foundry Networks, Inc. | Method for providing scalable multicast service in a virtual private LAN service |
| US7373660B1 (en) * | 2003-08-26 | 2008-05-13 | Cisco Technology, Inc. | Methods and apparatus to distribute policy information |
| JP2005340942A (ja) * | 2004-05-24 | 2005-12-08 | Mitsubishi Electric Corp | 通信ネットワークシステム、システム管理装置および情報転送装置 |
| US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
| US7769037B2 (en) * | 2005-02-19 | 2010-08-03 | Cisco Technology, Inc. | Techniques for using first sign of life at edge nodes for a virtual private network |
| GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
| US20060250966A1 (en) * | 2005-05-03 | 2006-11-09 | Yuan-Chi Su | Method for local area network security |
| US8010994B2 (en) * | 2005-05-16 | 2011-08-30 | Alcatel Lucent | Apparatus, and associated method, for providing communication access to a communication device at a network access port |
| CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
| US8238352B2 (en) * | 2005-09-02 | 2012-08-07 | Cisco Technology, Inc. | System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility |
| CN100512211C (zh) * | 2005-09-12 | 2009-07-08 | 中兴通讯股份有限公司 | 一种在不同类型网络间实现虚交换的方法 |
| US7797382B2 (en) * | 2005-12-02 | 2010-09-14 | Alcatel Lucent | Virtual private network publish-subscribe multicast service |
| JP2007267139A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | 認証vlan管理装置 |
| JP2008042735A (ja) * | 2006-08-09 | 2008-02-21 | Fujitsu Access Ltd | Macアドレス学習機能の管理方法及びネットワーク機器 |
| US7802296B2 (en) * | 2006-08-23 | 2010-09-21 | Cisco Technology, Inc. | Method and system for identifying and processing secure data frames |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US7885294B2 (en) * | 2007-08-23 | 2011-02-08 | Cisco Technology, Inc. | Signaling compression information using routing protocols |
| US8181229B2 (en) * | 2008-03-25 | 2012-05-15 | Commscope, Inc. Of North Carolina | Methods, systems and computer program products for operating a communications network with enhanced security |
-
2009
- 2009-03-13 US US12/404,023 patent/US20100235914A1/en not_active Abandoned
-
2010
- 2010-03-11 KR KR1020117021205A patent/KR101266592B1/ko active IP Right Grant
- 2010-03-11 WO PCT/IB2010/001115 patent/WO2010103407A2/en active Application Filing
- 2010-03-11 CN CN201080011376.2A patent/CN102349277B/zh not_active Expired - Fee Related
- 2010-03-11 JP JP2011553555A patent/JP5460746B2/ja not_active Expired - Fee Related
- 2010-03-11 EP EP10725274.4A patent/EP2406932B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| KR101266592B1 (ko) | 2013-05-22 |
| US20100235914A1 (en) | 2010-09-16 |
| CN102349277B (zh) | 2015-08-05 |
| CN102349277A (zh) | 2012-02-08 |
| WO2010103407A2 (en) | 2010-09-16 |
| EP2406932B1 (en) | 2015-09-23 |
| KR20110115170A (ko) | 2011-10-20 |
| JP2012520596A (ja) | 2012-09-06 |
| EP2406932A2 (en) | 2012-01-18 |
| WO2010103407A3 (en) | 2010-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5460746B2 (ja) | 仮想レイヤ2サービスのための侵入検出 | |
| US7961599B2 (en) | Pseudowire tunnel redundancy | |
| US8059527B2 (en) | Techniques for oversubscribing edge nodes for virtual private networks | |
| US9900245B2 (en) | Communicating network path and status information in multi-homed networks | |
| US8542681B2 (en) | Method and system for simplified network wide traffic and/or flow monitoring in a data network | |
| US7769037B2 (en) | Techniques for using first sign of life at edge nodes for a virtual private network | |
| US9019840B2 (en) | CFM for conflicting MAC address notification | |
| Lasserre et al. | Framework for data center (DC) network virtualization | |
| JP5366959B2 (ja) | リンク状態制御イーサネット・ネットワークにおける自動mepプロビジョニング | |
| US8605603B2 (en) | Route convergence based on ethernet operations, administration, and maintenance protocol | |
| EP2661847A1 (en) | Pseudo wire switching method and device | |
| US7646732B2 (en) | Full mesh status monitor | |
| US20090219831A1 (en) | Bridge port MAC address discovery mechanism in ethernet networks | |
| US8670299B1 (en) | Enhanced service status detection and fault isolation within layer two networks | |
| EP4117242A1 (en) | Message detection method, device and system | |
| Nadeau et al. | Pseudowire (PW) Management Information Base (MIB) | |
| CN108462635A (zh) | 一种多宿网络中的通信网络路径和状态信息 | |
| CN116781599A (zh) | 一种路由监控方法及装置 | |
| Rijhsinghani et al. | Definitions of Managed Objects for Routing Bridges (RBridges) | |
| Seppänen | Dependability of All IP Networks: Resiliency in Ethernet Based Transport | |
| Rijhsinghani et al. | RFC 6850: Definitions of Managed Objects for Routing Bridges (RBridges) | |
| Bitar et al. | Internet Engineering Task Force (IETF) M. Lasserre Request for Comments: 7365 F. Balus Category: Informational Alcatel-Lucent |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130226 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131217 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140114 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |