JP5477104B2 - Unauthorized connection prevention device and program - Google Patents
Unauthorized connection prevention device and program Download PDFInfo
- Publication number
- JP5477104B2 JP5477104B2 JP2010073025A JP2010073025A JP5477104B2 JP 5477104 B2 JP5477104 B2 JP 5477104B2 JP 2010073025 A JP2010073025 A JP 2010073025A JP 2010073025 A JP2010073025 A JP 2010073025A JP 5477104 B2 JP5477104 B2 JP 5477104B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- packet
- request packet
- arp request
- arp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークへの不正接続を防止する不正接続防止装置及びプログラムに関する。 The present invention relates to an unauthorized connection prevention apparatus and program for preventing unauthorized connection to a network.
近年、企業内のLAN(Local Area Network)などへの不正接続や、ネットワーク内の端末がウィルスに感染することによって、ネットワーク内の情報資産が不正アクセスされ、秘密情報が漏洩してしまうことが問題となっている。 In recent years, it has been a problem that information assets in a network are illegally accessed and secret information is leaked due to unauthorized connection to a company's local area network (LAN) or infection of a terminal in the network with a virus. It has become.
一般に、IPv4(Internet Protocol version 4)環境のネットワークに接続された端末は、アドレス解決をするためにARP(Address Resolution Protocol)要求パケットをブロードキャストで送信する。ARP要求パケットの対象の端末は、ARP要求パケットを受信すると、自己のMACアドレスを格納したARP応答パケットを、受信したARP要求パケットの送信元に返信する。ARP要求パケットの送信元は、このARP応答パケットを受信し、受信したARP応答パケットに格納されたMACアドレスをARPキャッシュに記憶する。以上の動作により、ネットワーク内の端末は、アドレス解決をして、通信を行う。
そこで、ARP応答パケットを利用して防御対象への不正なアクセスを防ぐ方法が開示されている(例えば、特許文献1参照)。特許文献1に開示された方法では、ネットワークでの接続を許可されている端末のリストが用いられる。より具体的には、そのリストに登録されていない装置からブロードキャスト送信されたARP要求パケットに対して、偽のMACアドレスを有するARP応答パケットが送信される。このようにすれば、ネットワーク内の端末を、不正アクセスから防御することができる。
特許文献1に記載の方法は、リストに登録されていない不許可装置からブロードバンドにARP要求パケットが送信されると、防御対象の情報処理装置から正しいARP応答パケットが返信された後に、同じネットワーク内の不正接続防止装置が、防御対象のMACアドレスとして偽のMACアドレスを有するARP応答パケットを送信する。これによって、不許可装置の記憶する防御対象の情報処理装置のIPアドレスとMACアドレスの組み合わせが合わなくなるので、不正アクセスを防ぐことができる。
Generally, a terminal connected to a network in an IPv4 (Internet Protocol version 4) environment transmits an ARP (Address Resolution Protocol) request packet by broadcast in order to resolve an address. When receiving the ARP request packet, the target terminal of the ARP request packet returns an ARP response packet storing its own MAC address to the transmission source of the received ARP request packet. The transmission source of the ARP request packet receives this ARP response packet, and stores the MAC address stored in the received ARP response packet in the ARP cache. Through the above operation, the terminals in the network perform address resolution and communication.
Therefore, a method for preventing unauthorized access to a defense target using an ARP response packet is disclosed (for example, see Patent Document 1). In the method disclosed in
In the method described in
このように、特許文献1に記載の方法では、不正の端末であると認識された端末は、ネットワーク上の他の全ての端末と通信できないように制御される。不正の端末であると認識された端末の中には、パッチ等が未適用などの理由により、不正と識別された違反端末も含まれている。したがって、パッチが万全でない端末がパッチを適用するためには、パッチを適用するための閉鎖的なネットワークを新たに作成する必要や、外部記憶媒体にパッチを記憶させ、パッチを適用したい端末は個々に外部記憶媒体からパッチを適用させる必要がある。これらの方法は何れも煩雑であり、ユーザ、管理者双方の負担は大きい。
As described above, in the method described in
本発明は、上記問題点に鑑みてなされたものであり、違反端末を、特定の端末とは通信可能であるが、他の端末とは通信できないように制御する不正接続防止装置およびプログラムを提供することを目的とする。
また、本発明は、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく導入することが可能な不正接続防止装置およびプログラムを提供することを他の目的とする。
The present invention has been made in view of the above problems, and provides an unauthorized connection preventing apparatus and a program for controlling a violation terminal so that it can communicate with a specific terminal but cannot communicate with other terminals. The purpose is to do.
Another object of the present invention is to provide an unauthorized connection prevention apparatus and program that can be introduced without changing the network configuration while maintaining the security level.
上記目的を達成するため、本発明の第1の観点に係る不正接続防止装置は、
ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対する該未登録端末のARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする。
In order to achieve the above object, an unauthorized connection prevention apparatus according to the first aspect of the present invention provides:
A communication unit connected to the network and performing communication in the network;
Registered terminal storage means for storing registered terminal identification information for identifying a registered terminal registered in advance;
Normal terminal storage means for storing normal terminal identification information for identifying a normal terminal that is the registered terminal permitted to communicate in the network;
Specific terminal storage means for storing specific terminal identification information for identifying a specific terminal that is specifically permitted to communicate with a violation terminal that is the registered terminal that is not permitted to communicate within the network;
When the communication unit receives the ARP request packet, the received ARP request packet, the registered terminal identification information stored in the registered terminal storage unit, the normal terminal identification information stored in the normal terminal storage unit, and the specific Based on the specific terminal identification information stored in the terminal storage means, packet transmission control means for transmitting a packet from the communication unit;
With
When the communication unit receives an ARP request packet that is an unregistered terminal whose transmission source is neither the registered terminal nor the specific terminal, the packet transmission control unit is configured to transmit the unregistered terminal to the target of the received ARP request packet . Sending a fake ARP response packet for changing the ARP cache to a fake one to the unregistered terminal;
The packet transmission control means transmits the fake ARP response packet to the violating terminal when the communication unit receives an ARP request packet whose source is the violating terminal and whose target is not the specific terminal.
It is characterized by that.
本発明の第2の観点に係るプログラムは、
コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対する該未登録端末のARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対する該違反端末のARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させる。
The program according to the second aspect of the present invention is:
A procedure for storing in a registered terminal storage means registered terminal identification information for identifying a registered terminal registered in advance in a computer;
A procedure for storing normal terminal identification information in the normal terminal storage means for identifying a normal terminal that is the registered terminal permitted to communicate in a network;
A procedure for storing in a specific terminal storage means specific terminal identification information for identifying a specific terminal that is specifically allowed to communicate with a violating terminal that is the registered terminal that is not permitted to communicate within the network;
When receiving the ARP request packet, the received ARP request packet, the registered terminal identification information stored in the registered terminal storage means, the normal terminal identification information stored in the normal terminal storage means, and the specific terminal storage means A procedure for determining the source and target of the ARP request packet based on the stored specific terminal identification information;
When an ARP request packet that is an unregistered terminal that is neither the registered terminal nor the specific terminal is received, the ARP cache of the unregistered terminal for the target of the received ARP request packet is changed to a false one. Sending to the unregistered terminal;
When the ARP request packet whose source is the violating terminal is received, a procedure for transmitting to the violating terminal that the ARP cache of the violating terminal for the target of the received ARP request packet is changed to a false one;
Is executed.
本発明によれば、違反端末を、特定の端末とは通信可能であるが、他の端末とは通信できないように制御する不正接続防止装置を提供することができる。
更に、本発明によれば、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく不正接続防止装置を導入することができる。
According to the present invention, it is possible to provide an unauthorized connection preventing apparatus that controls a violation terminal so that it can communicate with a specific terminal but cannot communicate with another terminal.
Furthermore, according to the present invention, it is possible to introduce an unauthorized connection preventing apparatus without changing the network configuration while maintaining the security level.
以下、本発明の実施形態に係る不正接続防止システムについて図面を参照して説明する。 Hereinafter, an unauthorized connection prevention system according to an embodiment of the present invention will be described with reference to the drawings.
本実施形態に係る不正接続防止システム1は、図1に示すように、正常端末110と、違反端末120と、未登録端末130と、パッチサーバ140と、不正接続防止装置150と、を備える。これらは、同一のネットワーク100に接続されている。
ネットワーク100に接続された正常端末110と、違反端末120と、未登録端末130と、パッチサーバ140とは、各々1個ずつとなっているが、複数でもよい。
As illustrated in FIG. 1, the unauthorized
Although there are one
また、正常端末110と、違反端末120とを総称して登録端末115と呼び、違反端末120と、未登録端末130とを総称して不正端末125と呼ぶ。
Further, the
正常端末110は、最適なパッチが適用されている端末である。正常端末110は、CPU(Central Processing Unit)とROM(Read Only Memory)とRAM(Random Access Memory)とを含む制御部と、ハードディスク装置を含む記憶部と、NIC(Network Interface Card)またはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
The
違反端末120は、最適なパッチが適用されていないため、不正接続防止装置150によってネットワーク100上の通信をブロックされる端末である。違反端末120は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
The violating
未登録端末130は、最適なパッチが適用されていてもネットワーク100上の通信を不正接続防止装置150によってブロックされる端末である。未登録端末130は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
The
パッチサーバ140は、登録端末115にパッチを提供する装置である。パッチサーバ140は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。パッチサーバ140は、記憶部に登録端末115に提供するパッチを保存する。
The
不正接続防止装置150は、図2に示すように、CPUとROMとRAMを含む制御部151と、ハードディスク装置を含む記憶部159と、NICまたはルータまたはモデム等を含む通信部152と、キーボードまたはマウス等を含む入力部153と、を備えるコンピュータである。記憶部159には、登録端末リスト154と、特定端末リスト155と、正常端末リスト156と、不正端末リスト157と、パッチリスト158が保存されている。
As shown in FIG. 2, the unauthorized
ROMは、プログラムデータ等を記憶するものであり、CPUは、ROMに記憶されたデータのプログラムに従って処理を実行する。RAMは、CPUが処理を実行するのに必要なデータを記憶するものである。 The ROM stores program data and the like, and the CPU executes processing according to the data program stored in the ROM. The RAM stores data necessary for the CPU to execute processing.
図3に示すように、登録端末リスト154には、正常端末110と違反端末120のMACアドレスが予め登録され、保存されている。
図4に示すように、特定端末リスト155には、パッチサーバ140のMACアドレスとIPアドレスが保存される。
図5に示すように、正常端末リスト156には、正常端末110のMACアドレスとIPアドレスが保存される。
図6に示すように、不正端末リスト157には、違反端末120のMACアドレス及びIPアドレスと、未登録端末130のMACアドレス及びIPアドレスと、が保存される。
図7に示すように、パッチリスト158には、不正接続防止装置150が登録端末115のパッチ適用状況を調べるためのパッチ情報が保存される。不正接続防止装置150は、パッチリスト158に保存されるパッチ情報を基準にして、登録端末115がネットワーク100で通信しても良いか否かを判定する。
As shown in FIG. 3, in the registered
As shown in FIG. 4, the specific
As shown in FIG. 5, the
As illustrated in FIG. 6, the unauthorized
As shown in FIG. 7, the
不正接続防止装置150の制御部151は、通信部152が受信したARP要求パケットの送信元MACアドレス及び対象IPアドレスと、登録端末リスト154と、特定端末155リストと、正常端末リスト156と、不正端末リスト157に基づいて、不正端末125のネットワーク100での通信をブロックしつつ、違反端末120がパッチサーバ140と通信することを許可する。
The
不正接続防止装置150の構成についてさらに詳細に説明する。
The configuration of the unauthorized
図2に示される不正接続防止装置150の入力部153にMACアドレスが入力されると、制御部151は、入力されたMACアドレスを、記憶部159の登録端末リスト154(図3参照)に登録する。
When the MAC address is input to the
不正接続防止装置150の制御部151は、通信部152を介してネットワーク100に接続し、登録端末リスト154にMACアドレスを登録された登録端末115に繰り返しアクセスする。制御部151は、パッチリスト158に基づいて、アクセスした登録端末115が最適なパッチを適用しているか否かを判定する。制御部151は、その判定結果に基づいて、図5に示す正常端末リスト156と、図6に示す不正端末リスト157を繰り返し更新する。
不正接続防止装置150は、最適なパッチが適用されている登録端末115のMACアドレスとIPアドレスとを正常端末リスト156に登録し、最適なパッチが適用されていない登録端末115のMACアドレスとIPアドレスとを不正端末リスト157に登録する。
The
The unauthorized
不正端末125に対して最適なパッチが適用されていることが不正接続防止装置150によって確認されると、その不正端末125のMACアドレスとIPアドレスが、自動的に不正端末リスト157から消去され、代わりに、その不正端末125のMACアドレスとIPアドレスが、自動的に正常端末リスト156へ登録される。
同様に、正常端末110に対して最適なパッチが適用されていないことが不正接続防止装置150によって確認されると、その正常端末110のMACアドレスとIPアドレスが自動的に正常端末リスト156から消去され、代わりに、その正常端末110のMACアドレスとIPアドレスとが、自動的に不正端末リスト157へ登録される。
When the unauthorized
Similarly, when the unauthorized
また、制御部151は、ARP要求パケットを受信し、受信したARP要求パケットの送信元MACアドレスが登録端末リスト154に記憶されていなければ、そのARP要求パケットの送信元は未登録端末130であると判定する。この場合、制御部151は、受信したARP要求パケットの送信元のMACアドレスとIPアドレスを、不正端末リスト157に記憶する。
The
また、制御部151は、通信部152から受信したARP要求パケットの送信元MACアドレスと対象IPアドレスと、登録端末リスト154と、特定端末155リストと、正常端末リスト156と、不正端末リスト157と、に基づいて、ARP要求パケット受信時の不正接続防止処理(図8参照)を行う。これにより、制御部151は、不正端末125のネットワーク100内での通信をブロックしつつ、違反端末120がパッチサーバ140と通信するのを許可する。
In addition, the
なお、ARP要求パケット受信時の不正接続防止処理において、制御部151は、通信部152を介して受信したARP要求パケットの送信元MACアドレスを、正常端末リスト156と、登録端末リスト154と、特定端末リスト155と、から検索することによって、受信したARP要求パケットの送信元が、正常端末110なのか、違反端末120なのか、未登録端末130なのかを判別する。
また、制御部151は、通信部152を介して受信したARP要求パケットの対象IPアドレスを、特定端末リスト155と正常端末リスト156から検索することによって、受信したARP要求パケットの対象が、パッチサーバ140なのか不正端末125なのかを判別する。
制御部151は、判別した送信元と対象の組み合わせに対応して通信部152からパケットを送信する。
In the unauthorized connection prevention process at the time of receiving the ARP request packet, the
In addition, the
The
受信したARP要求パケットの送信元MACアドレスが正常端末リスト156に記憶されている場合、受信したARP要求パケットの送信元は正常端末110であると判定される。
また、受信したARP要求パケットの送信元MACアドレスが、正常端末リスト156に登録されておらず、かつ、登録端末リスト154に記憶されている場合、受信したARP要求パケットの送信元は違反端末120であると判定される。
また、受信したARP要求パケットの送信元MACアドレスが、特定端末リスト155に登録されておらず、かつ、登録端末リスト154に登録されていない場合、受信したARP要求パケットの送信元は未登録端末130であると判定される。
When the transmission source MAC address of the received ARP request packet is stored in the
If the source MAC address of the received ARP request packet is not registered in the
If the source MAC address of the received ARP request packet is not registered in the specific
なお、受信したARP要求パケットの対象IPアドレスが、特定端末リスト155に記憶されている場合、受信したARP要求パケットの対象は、パッチサーバ140であると判定される。
また、受信したARP要求パケットの対象IPアドレスが、特定端末リスト155に登録されておらず、正常端末リスト156に登録されていない場合、受信したARP要求パケットの対象は、不正端末125であると判定される。
If the target IP address of the received ARP request packet is stored in the specific
If the target IP address of the received ARP request packet is not registered in the specific
不正接続防止装置150は、ARP要求パケットを受信すると、受信したARP要求パケットの送信元が違反端末120であって、対象がパッチサーバ140でない場合、対象のARPキャッシュを偽りのものに変更するパケットP1(図9参照)をARP要求パケットの送信元である違反端末120に送信する。また、不正接続防止装置150は、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを偽りのものに変更するパケットP2(図10参照)をブロードキャストで送信する。さらに、不正接続防止装置150は、ARP要求パケットである違反端末120に対するARPキャッシュを正しいものに変更するパケットP3(図11参照)をパッチサーバ140に送信する。
When receiving the ARP request packet, the unauthorized
対象がパッチサーバ140でないARP要求パケットを送信した違反端末120は、対象からARP応答パケットを受信することによって、対象に対してARPキャッシュに正しいMACアドレスを一時的に記憶する。しかし、パケットP1を受信することによって違反端末120は、対象に対するARPキャッシュを偽りのものに変更するので、違反端末120はARP要求パケットの対象に対して通信ができなくなる。
また、ネットワーク100内の端末は、違反端末120からARP要求パケットを受信すると、違反端末120に対するARPキャッシュに、正しいMACアドレスを一時的に記憶する。しかし、パケットP2を受信することによって違反端末120に対するARPキャッシュが、偽りのものに変更されるので、ネットワーク100内の端末は、違反端末120に対して通信ができなくなる。
ただし、パッチサーバ140は、パケットP3を受信することによって、違反端末120に対するARPキャッシュを正しいMACアドレスに変更するので、違反端末120とパッチサーバ140との通信は許可される。
The violating
In addition, when a terminal in the
However, since the
また、受信したARP要求パケットの送信元が、違反端末120であって、受信したARP要求パケットの対象がパッチサーバ140であるとする。この場合、不正接続防止装置150は、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを偽りのものに変更するパケットP2(図10参照)をブロードキャストで送信する。さらに、不正接続防止装置150は、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを正しいものに変更するパケットP3(図11参照)をパッチサーバ140に送信する。
Further, it is assumed that the transmission source of the received ARP request packet is the
違反端末120からARP要求パケットを受信した端末は、送信元である違反端末120に対するARPキャッシュに正しいMACアドレスを一時的に記憶する。しかし、パケットP2を受信することによって、その端末は、違反端末120に対するARPキャッシュを偽りのものに変更する。このため、ネットワーク100内の端末は、ARP要求パケットの送信元である違反端末120に対して通信ができなくなる。
ただし、パッチサーバ140は、パケットP3を受信することによって、ARP要求パケットの送信元である違反端末120のARPキャッシュを正しいMACアドレスに変更する。また、ARP要求パケットの送信元である違反端末120は、パッチサーバ140からARP応答パケットを受信することによって、パッチサーバ140の正しいMACアドレスをARPキャッシュに記憶する。これによって違反端末120とパッチサーバ140との通信が可能になる。
The terminal that has received the ARP request packet from the violating
However, the
また、不正接続防止装置150が受信したARP要求パケットの送信元が正常端末110であって、受信したARP要求パケットの対象が不正端末125であるとする。この場合、不正接続防止装置150は、受信したARP要求パケットの対象に対するARPキャッシュを偽りのものに変更するパケットP1(図9参照)を、ARP要求パケットの送信元である正常端末110に送信する。さらに、不正接続防止装置150は、ARP要求パケットの送信元である正常端末110に対するARPキャッシュを偽りのものに変更するパケットP4(図12参照)を、MACアドレスとIPアドレスを不正端末リスト157に記憶される違反端末120と未登録端末130にユニキャストで送信する。
Further, it is assumed that the transmission source of the ARP request packet received by the unauthorized
対象が不正端末125であるARP要求パケットを送信した正常端末110は、対象である不正端末125からARP応答パケットを受信することによって、不正端末125の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、正常端末110は、パケットP1を受信することによって、ARP要求パケットの対象である不正端末125に対するARPキャッシュを偽りのMACアドレスに変更する。これによって、正常端末110は不正端末125に対して通信できなくなる。
また、不正端末125は、正常端末110からARP要求パケットを受信することによって、正常端末110の正しいMACアドレスARPキャッシュに一時的に記憶する。しかし、不正端末125は、正しいMACアドレスを記憶後、パケットP4を受信すると、正常端末110に対するARPキャッシュを偽のMACアドレスに変更する。これによって、不正端末125は正常端末110に対して通信ができなくなる。
The
In addition, the
また、受信したARP要求パケットの送信元が正常端末110であって、受信したARP要求パケットの対象が不正端末125でなかったとする。この場合、不正接続防止装置150は、受信したARP要求パケットの送信元である正常端末110に対するARPキャッシュを偽りのものに変更するパケットP4(図12参照)を、MACアドレスとIPアドレスが不正端末リスト157に記憶される違反端末120と未登録端末130にユニキャストで送信する。
Also, assume that the transmission source of the received ARP request packet is the
ネットワーク100内の端末は、正常端末110から送信されたARP要求パケットを受信することによって、正常端末110の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、不正端末125は、ユニキャストで送信されたパケットP4を受信することによって、正常端末110のMACアドレスとして偽のMACアドレスをARPキャッシュに記憶することになる。これによって、不正端末125は正常端末110に対して通信ができなくなる。
A terminal in the
また、不正接続防止装置150が、受信したARP要求パケットの送信元が未登録端末130であった場合について説明する。この場合、不正接続防止装置150は、受信したARP要求パケットの対象に対するARPキャッシュを偽りのものに変更するパケットP1(図9参照)を、ARP要求パケットの送信元である未登録端末130に送信する。さらに、不正接続防止装置150は、ARP要求パケットの送信元である未登録端末130に対するARPキャッシュを偽りのものに変更するパケットP4(図12参照)をブロードキャストで送信する。
In addition, a case will be described in which the unauthorized
未登録端末130は、送信したARP要求パケットの対象からARP応答パケットを受信することによって、対象の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ARP要求パケットを送信した未登録端末130は、正しいMACアドレスを記憶後、パケットP1を受信することによって、送信したARP要求パケットの対象に対するARPキャッシュに偽のMACアドレスを記憶する。これによって、未登録端末130はネットワーク内の端末に対して通信ができなくなる。
ネットワーク100内の端末は、未登録端末130から送信されたARP要求パケットを受信することによって、一時的に未登録端末の正しいMACアドレスをARPキャッシュに記憶する。しかし、パケットP4を受信することによって、ネットワーク100内の端末は、ARP要求パケットの送信元である未登録端末に対するARPキャッシュを偽のMACアドレスに変更する。このため、ネットワーク100内の端末は未登録端末130に対して通信ができなくなる。
The
By receiving the ARP request packet transmitted from the
なお、ARP応答パケットの順序性が保証されていないことから、不正接続防止装置150は、パケットP1を送信する際には、パケットP1送信後に、予備パケットとして、例えば、パケットP1を500ミリ秒おきに20回送信する。
Since the order of the ARP response packets is not guaranteed, the unauthorized
ARP応答パケットの順序性が保証されていないことから、例えば、未登録端末130が、ARP要求パケットを送信し、送信したARP要求パケットに対して不正接続防止装置150からパケットP1を受信した後に、送信したARP要求パケットの対象から正しいMACアドレスを有するARP応答パケットを受信する場合がある。
この場合、この未登録端末130は、送信したARP要求パケットの対象に対して通信する事が可能である。
しかし、不正接続防止装置150が予備パケットとしてパケットP1を500ミリ秒おきに20回送信するので、未登録端末130は再びARP要求パケットの対象のMACアドレスとして偽のMACアドレス有する予備パケットを受信することになる。
これによって、未登録端末130は、送信したARP要求パケットの対象に対して通信することができなくなる。
このように、予備パケットを送信することにより、ARP応答パケットの順序がずれたとしても、通信のブロックを正確に実行することができるようになる。
Since the order of the ARP response packets is not guaranteed, for example, after the
In this case, the
However, since the unauthorized
As a result, the
As described above, by transmitting the spare packet, even if the order of the ARP response packet is shifted, the communication block can be accurately executed.
次に、不正接続防止装置150がARP要求パケットを受信した時に行う不正接続防止処理について、図8を参照して説明する。
Next, unauthorized connection prevention processing performed when the unauthorized
不正接続防止装置150は、ARP要求パケットを受信すると、受信したARP要求パケットの送信元MACアドレスと、ARP要求パケットの対象IPアドレスとを、登録端末リスト154と特定端末リスト155と正常端末リスト156と不正端末リスト157からそれぞれ検索する。この検索により、ARP要求パケットの送信元と対象とが特定される。不正接続防止装置150は、特定された送信元と対象の組み合わせに対応してパケットを送信する。
まず、不正接続防止装置150は、受信したARP要求パケットの送信元が違反端末120であるか否かを判定する(ステップS210)。
Upon receiving the ARP request packet, the unauthorized
First, the unauthorized
受信したARP要求パケットの送信元が違反端末120であった場合(ステップS210が“YES”)、不正接続防止装置150は、受信したARP要求パケットの対象がパッチサーバ140であるか否かを判定する(ステップS211)。受信したARP要求パケットの対象がパッチサーバ140でなければ(ステップS211が“NO”)、不正接続防止装置150は、パケットP1を送信し(ステップS212)、パケットP2を送信し(ステップS213)、パケットP3を送信する(ステップS214)。
When the transmission source of the received ARP request packet is the violating terminal 120 (“YES” in step S210), the unauthorized
パケットP1は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに変更させるARP応答パケットである。パケットP1は、ARP要求パケットの送信元へ送信される。ここで、偽MACアドレスとは、ネットワーク100に存在しない架空のMACアドレスである。
図9に示すように、パケットP1のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスは、それぞれ、受信したARP要求パケットの送信元MACアドレス、不正接続防止装置150のMACアドレスである。パケットP1のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、受信したARP要求パケットの対象IPアドレス、受信したARP要求パケットの送信元MACアドレス、受信したARP要求パケットの送信元IPアドレスである。パケットP1は、ARP要求パケットの送信元である違反端末120宛へユニキャストされる。
As described above, the packet P1 is an ARP response packet that changes the ARP cache for the target of the ARP request packet received by the unauthorized
As shown in FIG. 9, the destination MAC address and the source MAC address of the Ethernet (registered trademark) header of the packet P1 are the source MAC address of the received ARP request packet and the MAC address of the unauthorized
ARP要求パケット(パケットP1)を送信した違反端末120は、対象からARP応答パケットを受信することにより、対象の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ARP応答パケットを受信した後、違反端末120は、パケットP1を受信することにより、送信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに書き換える。これによって、違反端末120は、ARP要求パケットの対象に対しての通信ができなくなる。
The violating
パケットP2は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを偽MACアドレスに更新させるARP応答パケットである。パケットP2は、ネットワーク100内の全端末にブロードキャストで送信される。
図10に示すように、パケットP2のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスはそれぞれブロードキャストアドレス、不正接続防止装置150のMACアドレスである。また、パケットP2のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、ARP要求パケットの送信元IPアドレス、ブロードキャストアドレス、ARP要求パケットの送信元IPアドレスである。
As described above, the packet P2 is an ARP response packet that updates the ARP cache for the transmission source of the ARP request packet received by the unauthorized
As shown in FIG. 10, the destination MAC address and the source MAC address of the Ethernet (registered trademark) header of the packet P2 are the broadcast address and the MAC address of the unauthorized
ネットワーク100内の端末は、違反端末120がブロードキャストで送信したARP要求パケットを受信するため、送信元である違反端末120の正しいMACアドレスをARPキャッシュに、一時的に記憶する。しかし、ネットワーク100内の端末は、ARP要求パケットを受信した後、パケットP2を受信するので、ARP要求パケットの送信元である違反端末120に対するARPキャッシュが偽のMACアドレスに変更される。これによって、ネットワーク100内の端末は、ARP要求パケットの送信元である違反端末120に対して通信ができなくなる。
The terminals in the
パケットP3は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを正しいMACアドレスに更新させるARP応答パケットである。パケットP3は、特定端末リスト155にMACアドレスとIPアドレスを記憶されているパッチサーバ140宛にユニキャスト送信される。
図11に示すように、パケットP3のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスはそれぞれパッチサーバ140のMACアドレス、ARP要求パケットの送信元である違反端末120のMACアドレスである。パケットP3のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ、ARP要求パケットの送信元である違反端末120の正しいMACアドレス、ARP要求パケットの送信元の違反端末120のIPアドレス、パッチサーバ140のMACアドレス、パッチサーバ140のIPアドレスである。
As described above, the packet P3 is an ARP response packet that updates the ARP cache for the transmission source of the ARP request packet received by the unauthorized
As shown in FIG. 11, the destination MAC address and the source MAC address of the Ethernet (registered trademark) header of the packet P3 are the MAC address of the
パケットP2を受信したパッチサーバ140では、ARP要求パケットの送信元である違反端末120に対するARPキャッシュが、偽のMACアドレスに一時的に変更される。しかし、パッチサーバ140は、パケットP2を受信した後、パケットP3を受信すると、ARP要求パケットの送信元である違反端末120に対するARPキャッシュを、正しいMACアドレスに変更する。これによって、パッチサーバ140は、ARP要求パケットの送信元である違反端末120との通信が可能になる。
In the
また、不正接続防止装置150は、予備パケットとして、パケットP1を500ミリ秒おきに20回送信する(ステップS215)。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である違反端末120が、パケットP1を受信した後に、対象から正しいMACアドレスを取得したとしても、予備パケットとして送信されたパケットP1をさらに受信することによって、違反端末120のネットワーク100内での通信を、確実にブロックすることができる。
Further, the unauthorized
Even if the ARP response packet is out of order and the violating
ARP要求パケットの送信元が違反端末120であり(ステップS210が“YES”)、対象がパッチサーバ140である場合(ステップS211が“YES”)、 不正接続防止装置150は、パケットP2を送信し(ステップS216)、パケットP3を送信する(ステップS217)。
When the transmission source of the ARP request packet is the violating terminal 120 (“YES” in step S210) and the target is the patch server 140 (“YES” in step S211), the unauthorized
不正接続防止装置150は、まず、受信したARP要求パケットの送信元に対するARPキャッシュを偽MACアドレスに更新させるパケットP2(図10参照)をブロードキャストする。続いて、不正接続防止装置150は、受信したARP要求パケットの送信元に対するARPキャッシュを正しいMACアドレスに更新させるパケットP3を、特定端末リスト155に登録されているすべてのパッチサーバ140宛へユニキャストする。
パケットP2を受信した端末では、ARP要求パケット送信元の違反端末120に対するARPキャッシュが偽MACアドレスに変更される。これにより、その端末と、ARP要求パケットの送信元である違反端末120との通信ができなくなる。ただし、パッチサーバ140は、パケットP2を受信した後、パケットP3を受信し、違反端末120に対するARPキャッシュが正しいMACアドレスへ変更されるので、違反端末120に対して通信可能となる。
The unauthorized
In the terminal that has received the packet P2, the ARP cache for the violating
ステップS210乃至ステップS217によって、違反端末120は、ネットワーク100内での通信をブロックされる。ただし、違反端末120とパッチサーバ140との通信は許可される。
Through steps S210 to S217, the violating
ARP要求パケットの送信元が違反端末120でない場合(ステップS210が“NO”)、不正接続防止装置150は、受信したARP要求パケットの送信元が正常端末110であるか否かを判定する(ステップS220)。送信元が正常端末110であった場合(ステップS220が“YES”)、不正接続防止装置150は、受信したARP要求パケットの対象が、不正端末125であるか否かを判定する(ステップS221)。受信したARP要求パケットの対象が、不正端末125である場合(ステップS221が“YES”)、 不正接続防止装置150は、パケットP1を送信し(ステップS222)、パケットP4を送信する(ステップS223)。
When the transmission source of the ARP request packet is not the violating terminal 120 (Step S210 is “NO”), the unauthorized
パケットP1は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの対象に対するARPキャッシュを、偽MACアドレスに変更させるARP応答パケットである。パケットP1は、ARP要求パケットの送信元へ送信される。
As described above, the packet P1 is an ARP response packet that changes the ARP cache for the target of the ARP request packet received by the unauthorized
ARP要求パケットの送信元である正常端末110は、対象である不正端末125からARP応答パケットを受信することによって、対象である不正端末125の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ARP要求パケットの送信元である正常端末110は、正しいMACアドレスを記憶した後、パケットP1を受信することで、対象である不正端末125に対するARPキャッシュを偽のMACアドレスに書き換える。これによって、正常端末110から不正端末125への通信が確実にブロックされる。
The
パケットP4は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを、偽MACアドレスに変更させるARP応答パケットである。パケットP4は、不正端末リスト157にMACアドレスとIPアドレスを記憶される不正端末125に、ユニキャストで送信される。
図12に示すように、パケットP4のEthernet(登録商標)ヘッダの宛先MACアドレス、送信元MACアドレスは、それぞれ不正端末リストに保存される不正端末125のMACアドレス、ARP要求パケットの送信元MACアドレスである。パケットP4のARPヘッダの送信元MACアドレス、送信元IPアドレス、対象MACアドレス、対象IPアドレスは、それぞれ偽MACアドレス、ARP要求パケットの送信元IPアドレス、宛先である不正端末125のMACアドレス、宛先である不正端末125のIPアドレスである。
As described above, the packet P4 is an ARP response packet that changes the ARP cache for the transmission source of the ARP request packet received by the unauthorized
As shown in FIG. 12, the destination MAC address and the source MAC address of the Ethernet (registered trademark) header of the packet P4 are the MAC address of the
ネットワーク100内の不正端末125は、正常端末110から送信されたARP要求パケットを受信することによって、送信元の正常端末110に対して正しいMACアドレスを、ARPキャッシュに一時的に記憶する。しかし、ネットワーク100内の不正端末125は、正しいMACアドレスを記憶した後、パケットP4を受信することによって、ARP要求パケットの送信元である正常端末110に対するARPキャッシュを偽のMACアドレスに書き換える。これによって、正常端末110からARP要求パケットが送信されたとしても、不正端末125は、正常端末110の正しいMACアドレスをARPキャッシュに記憶することができず、正常端末110に対して通信ができなくなる。
By receiving the ARP request packet transmitted from the
続いて、不正接続防止装置150は、予備パケットとして、パケットP1を500ミリ秒おきに20回送信する(ステップS224)。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である正常端末110が、パケットP1を受信した後に、ARP要求パケットの対象である不正端末125から正しいARP応答パケットを受信したとしても、予備パケットとして送信されたパケットP1によって、正常端末110の不正端末125に対する通信をブロックすることができる。
Subsequently, the unauthorized
Even if the ARP response packet is out of order and the
不正接続防止装置150は、受信したARP要求パケットの送信元が正常端末110であり(ステップS220が”YES”)、受信したARP要求パケットの対象が不正端末125でない場合(ステップS221が“NO”)、不正端末リスト157にMACアドレスとIPアドレスを記憶される各不正端末125に、パケットP4をユニキャストで送信する。
In the unauthorized
ネットワーク100内の不正端末125は、正常端末110からブロードキャストで送信されたARP要求パケットを受信することによって、送信元である正常端末110の正しいMACアドレスを、ARPキャッシュに一時的に記憶する。しかし、正しいMACアドレスを記憶後、パケットP4を受信することによって、不正端末125は、正常端末110に対するARPキャッシュを偽のMACアドレスに書き換える。これによって、不正端末125は、正常端末110との通信をブロックされる。
また、ARP要求パケットの送信元である正常端末110は、ARP要求パケットの対象から正しいMACアドレスを取得するので、正常端末110は、ネットワーク100内での通信を許可されることになる。
The
Further, since the
上記ステップS220乃至ステップS225が実行されることによって、正常端末110は、不正端末125からのアクセスから防御されつつ、ネットワーク100内での通信を行うことができる。
By executing steps S220 to S225, the
不正接続防止装置150は、受信したARP要求パケットの送信元が正常端末110でない場合(ステップS220が“NO”)、受信したARP要求パケットの送信元が未登録端末130であるか否かを判定する(ステップS230)。
If the transmission source of the received ARP request packet is not the normal terminal 110 (step S220 is “NO”), the unauthorized
受信したARP要求パケットの送信元が未登録端末130であると(ステップS230が“YES”)、不正接続防止装置150は、パケットP1を送信し(ステップS231)、パケットP2を送信する(ステップS232)。
If the transmission source of the received ARP request packet is the unregistered terminal 130 (step S230 is “YES”), the unauthorized
パケットP1は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに変更させるARP応答パケットである。パケットP1は、ARP要求パケットの送信元へ送信される。
As described above, the packet P1 is an ARP response packet that changes the ARP cache for the target of the ARP request packet received by the unauthorized
ARP要求パケットの送信元である未登録端末130は、送信したARP要求パケットの対象からARP応答パケットを受信することにより、送信したARP要求パケットの対象に対して、正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、未登録端末130は、パケットP1を受信することにより、送信したARP要求パケットの対象に対するARPキャッシュを偽MACアドレスに書き換える。これにより、未登録端末130は、ARP要求パケットの対象に対して通信ができなくなる。
By receiving the ARP response packet from the target of the transmitted ARP request packet, the
パケットP2は、先に説明したように、不正接続防止装置150が受信したARP要求パケットの送信元に対するARPキャッシュを偽MACアドレスに更新させるARP応答パケットである。パケットP2は、ネットワーク100内の全端末にブロードキャストで送信される。
As described above, the packet P2 is an ARP response packet that updates the ARP cache for the transmission source of the ARP request packet received by the unauthorized
ネットワーク100内の端末は、未登録端末130から送信されたARP要求パケットを受信することによって、未登録端末130の正しいMACアドレスをARPキャッシュに一時的に記憶する。しかし、ネットワーク100内の端末は、パケットP2を受信することによって、未登録端末130に対するARPキャッシュが偽のMACアドレスに変更する。このため、その端末は、この未登録端末130に対して通信ができなくなる。
The terminal in the
続いて、不正接続防止装置150は、予備パケットとして、パケットP1を500ミリ秒おきに20回送信する(ステップS233)。
ARP応答パケットの順序がずれ、ARP要求パケットの送信元である未登録端末130が、パケットP1を受信した後に、ARP要求パケットの対象から正しいMACアドレスを取得したとしても、予備パケットとして送信されたパケットP1によって、違反端末120のネットワーク内での通信をブロックすることができる。
Subsequently, the unauthorized
Even if the
ステップS230乃至ステップS233によって、未登録端末130のネットワーク内での通信がブロックされる。
Communication in the network of the
以上説明したように、本実施形態によれば、不正端末125のネットワーク100内で通信をブロックしつつ、事前に登録したパッチサーバ140と違反端末120との通信を可能とした。また、違反端末120については、最適なパッチを適用すると、自動的に正常端末110と通信ができるようにした。
また、ARP要求パケットがブロードキャストで送信されることを利用しているため、ネットワークの構成を変更することなく、セキュリティレベルを維持しつつ、不正接続防止装置150を導入することができる。
As described above, according to the present embodiment, communication between the
Further, since the ARP request packet is transmitted by broadcast, the unauthorized
これまで、本発明の実施形態について詳細に説明したが、具体的な構成は上記実施形態に限られるものではなく、本発明は、請求項に記載の意図する範囲を超えない限りにおいては、様々な変形や応用が可能である。 The embodiment of the present invention has been described in detail so far, but the specific configuration is not limited to the above-described embodiment, and the present invention is not limited to the intended scope described in the claims. Various modifications and applications are possible.
例えば、正常端末110と違反端末120と未登録端末130は、コンピュータ端末として説明した。しかしながら、正常端末110、違反端末120、未登録端末130は、制御部と記憶部と通信部を備えた、ネットワーク100に接続された電子機器端末などであってもよい。
For example, the
また、登録端末リスト154には、登録端末115のMACアドレスが、予め登録されていると説明した。しかしながら、登録端末115に、特定のアプリケーションをインストールすることによって、登録端末リスト154への登録を自動化するようにしてもよい。
この場合、ネットワーク100内の端末にインストールされた特定のアプリケーションが端末に特定の情報を含むパケットを送信させ、特定の情報を含むパケットを不正接続防止装置150が受信すると、不正接続防止装置150は、このパケットの送信元のMACアドレスを登録端末リスト154に登録する。
Further, it has been described that the MAC address of the registered terminal 115 is registered in advance in the registered
In this case, when a specific application installed in a terminal in the
また、上記実施形態では、不正接続防止装置150は、登録端末115にアクセスすることによって、パッチ適用状況を調べたが、特定のアプリケーションを登録端末115にインストールすることによってパッチ適用状況を調べるようにしても良い。
このアプリケーションが、インストールされた端末に、パッチ適用状況を不正接続防止装置150へ送信させる。不正接続防止装置150は、パッチ適用状況を受信し、受信したパッチ適用状況を確認することによって、登録端末115が最適なパッチを適用しているかを確認する。
In the above embodiment, the unauthorized
This application causes the installed terminal to transmit the patch application status to the unauthorized
また、特定のアプリケーションを登録端末115にインストールすることによって、インストールされたこのアプリケーションが、登録端末115の登録端末リスト154への登録と、パッチ適用状況の確認との両方を行っても良い。
Further, by installing a specific application in the registration terminal 115, the installed application may perform both registration in the
また、上記実施形態では、パッチサーバ140を、コンピュータ端末であるものとして説明した。しかしながら、パッチサーバ140は、ハードディスクとネットワークインターフェースと、OS(Operating System)と、管理用ユーティリティなどが一体化されて構成されるNAS(Network Attached Storage)であってもよいし、パッチ以外のファイルを保存してもよい。
In the above embodiment, the
また、上記実施形態では、パッチサーバ140を、単体の装置として説明したが、パッチサーバ140は、不正接続防止装置150に組み込まれていても良い。
また、上記実施形態では、不正接続防止装置150が、登録端末115のパッチ適用状況を調べていたが、不正接続防止装置150ではない端末がパッチ適用状況を調べ、調べたパッチ適用状況を不正接続防止装置150に送信しても良い。
In the above embodiment, the
In the above-described embodiment, the unauthorized
また、正常端末110は、最適なパッチを適用された登録端末115であり、違反端末120は最適なパッチを適用されていない登録端末115であるとして説明した。しかしながら、最適なパッチが当てられているか否かを判断基準とする必要はない。判断基準は、不正接続防止装置150が導入されるシステムに合わせて適宜変更することが可能である。
例えば、指紋認証や、USB(Universal Serial Bus)ドングルに含まれる情報や、パスワードを利用するようにしてもよい。登録端末115は、特定の情報(指紋画像又はUSBドングルに含まれる情報やパスワード等の暗号コード)を不正接続防止装置150に送信する。不正接続防止装置150は、特定の情報を受信すると、受信された情報と記憶する情報とを照合し、それらが一致したことを受けて、該当する登録端末115のMACアドレスとIPアドレスを正常端末リスト156に一時的に登録するようにしてもよい。
この場合、パッチサーバ140は、パッチを保存しているサーバである必要はなく、例えば、ネットワーク100上の共有ファイルを保存するサーバやNASとして機能することができる。
Further, the
For example, fingerprint authentication, information included in a USB (Universal Serial Bus) dongle, or a password may be used. The registration terminal 115 transmits specific information (information included in a fingerprint image or USB dongle, an encryption code such as a password) to the unauthorized
In this case, the
また、ARP要求パケット受信時の不正接続防止処理は、上記実施形態で説明したフローチャートのものに限定されない。例えば、ステップS220乃至ステップS225を実行し、ステップS210乃至ステップS217を実行し、ステップS230乃至ステップS233を実行してもよい。
また、図13に示すように、不正接続防止装置150は、受信したARP要求パケットの送信元が違反端末120であるか否かを判定し(ステップS310)、違反端末120であれば(ステップS310が“YES”)、パケットP2を送信し(ステップS311)、パケットP3を送信する(ステップS312)。パケットP3送信後、不正接続防止装置150は、対象がパッチサーバ140であるか否か判定し(ステップS313)、対象がパッチサーバ140であれば(ステップS313が“YES”)、処理を終了し、対象がパッチサーバ140でなければ(ステップS313が“NO”)、パケットP1を送信し(ステップS314)、予備パケットとしてパケットP1を送信してもよい(ステップS315)。
同様に、図13に示すように、受信したARP要求パケットの送信元が正常端末であれば(ステップS320が“YES”)、不正接続防止装置150は、まずパケットP4を送信し(ステップS321)、対象が不正端末125であるかを調べ(ステップS322)、対象が不正端末125でなければ(ステップS322が“NO”)、処理を終了し、対象が不正端末125であれば(ステップS322が“YES”)、パケット1を送信し(ステップS323)、予備パケットとしてパケットP1を送信し(ステップS324)てもよい。
Further, the unauthorized connection prevention process at the time of receiving the ARP request packet is not limited to the flowchart described in the above embodiment. For example, steps S220 to S225 may be executed, steps S210 to S217 may be executed, and steps S230 to S233 may be executed.
Further, as shown in FIG. 13, the unauthorized
Similarly, as shown in FIG. 13, if the transmission source of the received ARP request packet is a normal terminal (“YES” in step S320), the unauthorized
上記実施形態では、プログラムが、それぞれメモリ等に予め記憶されているものとして説明した。しかし、通信装置を、装置の全部又は一部として動作させ、あるいは、上述の処理を実行させるためのプログラムを、フレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、MO(Magneto Optical disk)などのコンピュータ読み取り可能な記録媒体に格納して配布し、これを別のコンピュータにインストールし、上述の手段として動作させ、あるいは、上述の工程を実行させてもよい。 In the above-described embodiment, the program is described as being stored in advance in a memory or the like. However, a program for causing the communication apparatus to operate as all or part of the apparatus or to execute the above-described processing is a flexible disk, a CD (Compact Disk), a DVD (Digital Versatile Disk), or a MO (Magneto Optical disk). ) Or the like may be stored and distributed in a computer-readable recording medium, installed in another computer, and operated as the above-described means, or the above-described steps may be executed.
さらに、インターネット上のサーバ装置が有するディスク装置等にプログラムを格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するものとしてもよい。 Furthermore, the program may be stored in a disk device or the like included in a server device on the Internet, and may be downloaded onto a computer by being superimposed on a carrier wave, for example.
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 A part or all of the above-described embodiment can be described as in the following supplementary notes, but is not limited thereto.
(付記1)ネットワークに接続し、前記ネットワーク内で通信を行う通信部と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする不正接続防止装置。
(Supplementary Note 1) A communication unit that connects to a network and performs communication within the network;
Registered terminal storage means for storing registered terminal identification information for identifying a registered terminal registered in advance;
Normal terminal storage means for storing normal terminal identification information for identifying a normal terminal that is the registered terminal permitted to communicate in the network;
Specific terminal storage means for storing specific terminal identification information for identifying a specific terminal that is specifically permitted to communicate with a violation terminal that is the registered terminal that is not permitted to communicate within the network;
When the communication unit receives the ARP request packet, the received ARP request packet, the registered terminal identification information stored in the registered terminal storage unit, the normal terminal identification information stored in the normal terminal storage unit, and the specific Based on the specific terminal identification information stored in the terminal storage means, packet transmission control means for transmitting a packet from the communication unit;
With
When the communication unit receives an ARP request packet that is an unregistered terminal whose transmission source is neither the registered terminal nor the specific terminal, the packet transmission control unit falsely sets an ARP cache for the target of the received ARP request packet. Send a fake ARP response packet to change to the unregistered terminal,
The packet transmission control means transmits the fake ARP response packet to the violating terminal when the communication unit receives an ARP request packet whose source is the violating terminal and whose target is not the specific terminal.
A device for preventing unauthorized connection.
(付記2)前記パケット送信制御手段は、
送信元が前記未登録端末であるARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該未登録端末に送信するとともに、
該未登録端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信する、
ことを特徴とする付記1に記載の不正接続防止装置。
(Supplementary Note 2) The packet transmission control means includes:
When the communication unit receives an ARP request packet whose source is the unregistered terminal,
Sending the fake ARP response packet to the unregistered terminal;
Broadcast to change the ARP cache for the unregistered terminal to a fake one,
The unauthorized connection prevention apparatus according to
(付記3)前記パケット送信制御手段は、
送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該違反端末に送信するとともに、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1または2に記載の不正接続防止装置。
(Supplementary Note 3) The packet transmission control means includes:
When the communication unit receives an ARP request packet whose source is the violating terminal and whose target is not the specific terminal,
Sending the fake ARP response packet to the violating terminal;
Broadcasting to change the ARP cache for the violating terminal to a false one,
After broadcasting that the ARP cache for the violating terminal is changed to a false one, the fact that the ARP cache for the violating terminal is changed to a correct one is transmitted to the specific terminal.
The unauthorized connection preventing apparatus according to
(付記4)前記パケット送信制御手段は、
送信元が前記違反端末であって対象が前記特定端末であるARP要求パケットを前記通信部が受信すると、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1乃至3の何れかに記載の不正接続防止装置。
(Supplementary Note 4) The packet transmission control means includes:
When the communication unit receives an ARP request packet whose transmission source is the violating terminal and whose target is the specific terminal,
Broadcasting to change the ARP cache for the violating terminal to a false one,
After broadcasting that the ARP cache for the violating terminal is changed to a false one, the fact that the ARP cache for the violating terminal is changed to a correct one is transmitted to the specific terminal.
The unauthorized connection prevention device according to any one of
(付記5)前記パケット送信制御手段は、
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを、受信した前記ARP要求パケットの送信元である前記正常端末に送信する、
ことを特徴とする付記1乃至4の何れかに記載の不正接続防止装置。
(Supplementary Note 5) The packet transmission control means includes:
When the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the unregistered terminal, and the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the violation terminal. If received,
Sending the fake ARP response packet to the normal terminal that is the source of the received ARP request packet;
The unauthorized connection prevention apparatus according to any one of
(付記6)前記違反端末を識別する違反端末識別情報を記憶する違反端末記憶手段と、
前記通信部が前記未登録端末から送信されたARP要求パケットを受信すると、受信した当該ARP要求パケットに含まれる該未登録端末を識別する未登録端末識別情報を記憶する未登録端末記憶手段を更に備え、
前記パケット送信制御手段は、送信元が前記正常端末であるARP要求パケットを前記通信部が受信すると、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記未登録端末記憶手段が記憶する前記未登録端末識別情報に基づいて、受信したARP要求パケットの送信元である前記正常端末に対するARPキャッシュを偽りのものに変更する旨を前記違反端末と前記未登録端末にそれぞれユニキャストで送信する、
ことを特徴とする付記1乃至5の何れかに記載の不正接続防止装置。
(Appendix 6) Violation terminal storage means for storing violation terminal identification information for identifying the violation terminal,
When the communication unit receives an ARP request packet transmitted from the unregistered terminal, unregistered terminal storage means for storing unregistered terminal identification information for identifying the unregistered terminal included in the received ARP request packet is further provided. Prepared,
When the communication unit receives an ARP request packet whose transmission source is the normal terminal, the packet transmission control means stores the violation terminal identification information stored in the violation terminal storage means and the unregistered terminal storage means Based on the unregistered terminal identification information, the fact that the ARP cache for the normal terminal that is the transmission source of the received ARP request packet is changed to a false one is transmitted to each of the violating terminal and the unregistered terminal by unicast,
The unauthorized connection preventing apparatus according to any one of
(付記7)前記パケット送信制御手段は、
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを該正常端末に送信するとともに、
前記正常端末に対するARPキャッシュを偽りのものに変更する旨を各前記違反端末と各前記未登録端末にユニキャストで送信する、
ことを特徴とする付記1乃至6の何れかに記載の不正接続防止装置。
(Supplementary note 7) The packet transmission control means includes:
When the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the unregistered terminal, and the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the violation terminal. If received,
Sending the fake ARP response packet to the normal terminal;
The ARP cache for the normal terminal is changed to a false one and transmitted to each of the violating terminals and each of the unregistered terminals by unicast.
The unauthorized connection preventing apparatus according to any one of
(付記8)前記パケット送信制御手段は、
前記通信部がARP要求パケットを受信し、
前記偽ARP応答パケットを、受信した当該ARP要求パケットの送信元に送信すると、
送信後、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する予備パケットを、一定期間に複数回、受信した当該ARP要求パケットの送信元に送信する、
ことを特徴とする付記1乃至7の何れかに記載の不正接続防止装置。
(Supplementary note 8) The packet transmission control means includes:
The communication unit receives an ARP request packet;
When the fake ARP response packet is transmitted to the transmission source of the received ARP request packet,
After transmission, a spare packet for changing the ARP cache for the target of the received ARP request packet to a false one is transmitted to the transmission source of the received ARP request packet a plurality of times in a certain period.
The unauthorized connection prevention device according to any one of
(付記9)前記ネットワーク内の端末が前記ネットワーク内で通信してもよいか、いけないかを判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末が前記ネットワーク内で通信してもよいかを繰り返し判定し、前記登録端末が前記ネットワークで通信してもよいと判定すると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新する、
ことを特徴とする付記1乃至8の何れかに記載の不正接続防止装置。
(Supplementary Note 9) A connection determination criterion storage unit that stores a connection determination criterion that is a criterion for determining whether or not a terminal in the network may communicate within the network;
Based on the connection determination criterion stored in the connection determination criterion storage means, it is repeatedly determined whether the registration terminal may communicate within the network, and it is determined that the registration terminal may communicate over the network. Then, normal terminal determination means for outputting the registered terminal identification information for identifying the registered terminal for each determination,
Further comprising
The normal terminal storage means receives the registered terminal identification information output for each determination by the normal terminal determination means, and updates the stored normal terminal identification information based on the received registered terminal identification information.
The unauthorized connection preventing apparatus according to any one of
(付記10)前記ネットワークに接続する端末の登録を受け付け、登録を受け付けた前記端末を識別する端末識別情報を出力する端末登録手段を、
更に備え、
前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
ことを特徴とする付記1乃至9の何れかに記載の不正接続防止装置。
(Supplementary Note 10) Terminal registration means for receiving registration of a terminal connected to the network and outputting terminal identification information for identifying the terminal that has accepted registration;
In addition,
The registered terminal storage means receives the terminal identification information output by the terminal registration means, and stores the received terminal identification information;
The unauthorized connection preventing apparatus according to any one of
(付記11)コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対するARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させるためのプログラム。
(Additional remark 11) The procedure which memorize | stores the registration terminal identification information which identifies the registration terminal previously registered in the computer in a registration terminal memory | storage means,
A procedure for storing normal terminal identification information in the normal terminal storage means for identifying a normal terminal that is the registered terminal permitted to communicate in a network;
A procedure for storing in a specific terminal storage means specific terminal identification information for identifying a specific terminal that is specifically allowed to communicate with a violating terminal that is the registered terminal that is not permitted to communicate within the network;
When receiving the ARP request packet, the received ARP request packet, the registered terminal identification information stored in the registered terminal storage means, the normal terminal identification information stored in the normal terminal storage means, and the specific terminal storage means A procedure for determining the source and target of the ARP request packet based on the stored specific terminal identification information;
When an ARP request packet that is an unregistered terminal that is neither the registered terminal nor the specific terminal is received, the unregistered terminal is notified that the ARP cache for the target of the received ARP request packet is changed to a false one. Sending instructions,
A procedure for transmitting to the violating terminal that the ARP cache for the target of the received ARP request packet is changed to a false one when receiving the ARP request packet whose transmission source is the violating terminal;
A program for running
1 不正接続防止システム
100 ネットワーク
110 正常端末
115 登録端末
120 違反端末
125 不正端末
130 未登録端末
140 パッチサーバ
150 不正接続防止装置
151 制御部
152 通信部
153 入力部
154 登録端末リスト
155 特定端末リスト
156 正常端末リスト
157 不正端末リスト
158 パッチリスト
159 記憶部
1 Unauthorized
Claims (10)
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信部がARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信部からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを前記通信部が受信すると、受信した当該ARP要求パケットの対象に対する該未登録端末のARPキャッシュを偽りのものに変更する偽ARP応答パケットを該未登録端末に送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、前記偽ARP応答パケットを該違反端末に送信する、
ことを特徴とする不正接続防止装置。 A communication unit connected to the network and performing communication in the network;
Registered terminal storage means for storing registered terminal identification information for identifying a registered terminal registered in advance;
Normal terminal storage means for storing normal terminal identification information for identifying a normal terminal that is the registered terminal permitted to communicate in the network;
Specific terminal storage means for storing specific terminal identification information for identifying a specific terminal that is specifically permitted to communicate with a violation terminal that is the registered terminal that is not permitted to communicate within the network;
When the communication unit receives the ARP request packet, the received ARP request packet, the registered terminal identification information stored in the registered terminal storage unit, the normal terminal identification information stored in the normal terminal storage unit, and the specific Based on the specific terminal identification information stored in the terminal storage means, packet transmission control means for transmitting a packet from the communication unit;
With
When the communication unit receives an ARP request packet that is an unregistered terminal whose transmission source is neither the registered terminal nor the specific terminal, the packet transmission control unit is configured to transmit the unregistered terminal to the target of the received ARP request packet . Sending a fake ARP response packet for changing the ARP cache to a fake one to the unregistered terminal;
The packet transmission control means transmits the fake ARP response packet to the violating terminal when the communication unit receives an ARP request packet whose source is the violating terminal and whose target is not the specific terminal.
A device for preventing unauthorized connection.
送信元が前記未登録端末であるARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該未登録端末に送信するとともに、
該未登録端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信する、
ことを特徴とする請求項1に記載の不正接続防止装置。 The packet transmission control means includes
When the communication unit receives an ARP request packet whose source is the unregistered terminal,
Sending the fake ARP response packet to the unregistered terminal;
Broadcast to change the ARP cache for the unregistered terminal to a fake one,
The unauthorized connection preventing apparatus according to claim 1.
送信元が前記違反端末であって対象が前記特定端末でないARP要求パケットを前記通信部が受信すると、
前記偽ARP応答パケットを該違反端末に送信するとともに、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする請求項1または2に記載の不正接続防止装置。 The packet transmission control means includes
When the communication unit receives an ARP request packet whose source is the violating terminal and whose target is not the specific terminal,
Sending the fake ARP response packet to the violating terminal;
Broadcasting to change the ARP cache for the violating terminal to a false one,
After broadcasting that the ARP cache for the violating terminal is changed to a false one, the fact that the ARP cache for the violating terminal is changed to a correct one is transmitted to the specific terminal.
The unauthorized connection prevention device according to claim 1 or 2.
送信元が前記違反端末であって対象が前記特定端末であるARP要求パケットを前記通信部が受信すると、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信し、
該違反端末に対するARPキャッシュを偽りのものに変更する旨をブロードキャストで送信した後に、該違反端末に対するARPキャッシュを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする請求項1乃至3の何れか一項に記載の不正接続防止装置。 The packet transmission control means includes
When the communication unit receives an ARP request packet whose transmission source is the violating terminal and whose target is the specific terminal,
Broadcasting to change the ARP cache for the violating terminal to a false one,
After broadcasting that the ARP cache for the violating terminal is changed to a false one, the fact that the ARP cache for the violating terminal is changed to a correct one is transmitted to the specific terminal.
The unauthorized connection prevention device according to any one of claims 1 to 3.
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを、受信した前記ARP要求パケットの送信元である前記正常端末に送信する、
ことを特徴とする請求項1乃至4の何れか一項に記載の不正接続防止装置。 The packet transmission control means includes
When the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the unregistered terminal, and the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the violation terminal. If received,
Sending the fake ARP response packet to the normal terminal that is the source of the received ARP request packet;
The unauthorized connection prevention apparatus according to any one of claims 1 to 4.
前記通信部が前記未登録端末から送信されたARP要求パケットを受信すると、受信した当該ARP要求パケットに含まれる該未登録端末を識別する未登録端末識別情報を記憶する未登録端末記憶手段を更に備え、
前記パケット送信制御手段は、送信元が前記正常端末であるARP要求パケットを前記通信部が受信すると、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記未登録端末記憶手段が記憶する前記未登録端末識別情報に基づいて、受信したARP要求パケットの送信元である前記正常端末に対するARPキャッシュを偽りのものに変更する旨を前記違反端末と前記未登録端末にそれぞれユニキャストで送信する、
ことを特徴とする請求項1乃至5の何れか一項に記載の不正接続防止装置。 Violation terminal storage means for storing violation terminal identification information for identifying the violation terminal,
When the communication unit receives an ARP request packet transmitted from the unregistered terminal, unregistered terminal storage means for storing unregistered terminal identification information for identifying the unregistered terminal included in the received ARP request packet is further provided. Prepared,
When the communication unit receives an ARP request packet whose transmission source is the normal terminal, the packet transmission control means stores the violation terminal identification information stored in the violation terminal storage means and the unregistered terminal storage means Based on the unregistered terminal identification information, the fact that the ARP cache for the normal terminal that is the transmission source of the received ARP request packet is changed to a false one is transmitted to each of the violating terminal and the unregistered terminal by unicast,
The unauthorized connection prevention device according to any one of claims 1 to 5.
送信元が前記正常端末で対象が前記未登録端末であるARP要求パケットを前記通信部が受信した場合と、送信元が前記正常端末で対象が前記違反端末であるARP要求パケットを前記通信部が受信した場合に、
前記偽ARP応答パケットを該正常端末に送信するとともに、
前記正常端末に対するARPキャッシュを偽りのものに変更する旨を各前記違反端末と各前記未登録端末にユニキャストで送信する、
ことを特徴とする請求項1乃至6の何れか一項に記載の不正接続防止装置。 The packet transmission control means includes
When the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the unregistered terminal, and the communication unit receives an ARP request packet in which the transmission source is the normal terminal and the target is the violation terminal. If received,
Sending the fake ARP response packet to the normal terminal;
The ARP cache for the normal terminal is changed to a false one and transmitted to each of the violating terminals and each of the unregistered terminals by unicast.
The unauthorized connection preventing apparatus according to any one of claims 1 to 6.
前記通信部がARP要求パケットを受信し、
前記偽ARP応答パケットを、当該ARP要求パケットの送信元に送信すると、
送信後、当該ARP要求パケットの対象に対する当該ARP要求パケットの送信元のARPキャッシュを偽りのものに変更する予備パケットを、一定期間に複数回、受信した当該ARP要求パケットの送信元に送信する、
ことを特徴とする請求項1乃至7の何れか一項に記載の不正接続防止装置。 The packet transmission control means includes
The communication unit receives an ARP request packet;
When the fake ARP response packet, and transmits to the transmission source of those the ARP request packet,
After transmission, it transmits the source of the ARP cache of the ARP request packet to the target of those the ARP request packet the preliminary packets to change false ones, multiple times a period of time, the sender of the ARP request packet received ,
The unauthorized connection prevention device according to any one of claims 1 to 7.
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末が前記ネットワーク内で通信してもよいかを繰り返し判定し、前記登録端末が前記ネットワークで通信してもよいと判定すると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新する、
ことを特徴とする請求項1乃至8の何れか一項に記載の不正接続防止装置。 A connection criterion storage means for storing a connection criterion that is a criterion for determining whether or not a terminal in the network may communicate within the network;
Based on the connection determination criterion stored in the connection determination criterion storage means, it is repeatedly determined whether the registration terminal may communicate within the network, and it is determined that the registration terminal may communicate over the network. Then, normal terminal determination means for outputting the registered terminal identification information for identifying the registered terminal for each determination,
Further comprising
The normal terminal storage means receives the registered terminal identification information output for each determination by the normal terminal determination means, and updates the stored normal terminal identification information based on the received registered terminal identification information.
The unauthorized connection prevention device according to any one of claims 1 to 8.
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
ARP要求パケットを受信すると、受信した当該ARP要求パケットと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該ARP要求パケットの送信元と対象を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない未登録端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対する該未登録端末のARPキャッシュを偽りのものに変更する旨を該未登録端末に送信する手順と、
送信元が前記違反端末であるARP要求パケットを受信すると、受信した当該ARP要求パケットの対象に対する該違反端末のARPキャッシュを偽りのものに変更する旨を該違反端末に送信する手順と、
を実行させるためのプログラム。 A procedure for storing in a registered terminal storage means registered terminal identification information for identifying a registered terminal registered in advance in a computer;
A procedure for storing normal terminal identification information in the normal terminal storage means for identifying a normal terminal that is the registered terminal permitted to communicate in a network;
A procedure for storing in a specific terminal storage means specific terminal identification information for identifying a specific terminal that is specifically allowed to communicate with a violating terminal that is the registered terminal that is not permitted to communicate within the network;
When receiving the ARP request packet, the received ARP request packet, the registered terminal identification information stored in the registered terminal storage means, the normal terminal identification information stored in the normal terminal storage means, and the specific terminal storage means A procedure for determining the source and target of the ARP request packet based on the stored specific terminal identification information;
When an ARP request packet that is an unregistered terminal that is neither the registered terminal nor the specific terminal is received, the ARP cache of the unregistered terminal for the target of the received ARP request packet is changed to a false one. Sending to the unregistered terminal;
When the ARP request packet whose source is the violating terminal is received, a procedure for transmitting to the violating terminal that the ARP cache of the violating terminal for the target of the received ARP request packet is changed to a false one;
A program for running
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010073025A JP5477104B2 (en) | 2010-03-26 | 2010-03-26 | Unauthorized connection prevention device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010073025A JP5477104B2 (en) | 2010-03-26 | 2010-03-26 | Unauthorized connection prevention device and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011205560A JP2011205560A (en) | 2011-10-13 |
JP5477104B2 true JP5477104B2 (en) | 2014-04-23 |
Family
ID=44881683
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010073025A Active JP5477104B2 (en) | 2010-03-26 | 2010-03-26 | Unauthorized connection prevention device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5477104B2 (en) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
JP2006352719A (en) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | Apparatus, method for monitoring network, network system, network monitoring method and network communication method |
-
2010
- 2010-03-26 JP JP2010073025A patent/JP5477104B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011205560A (en) | 2011-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7836121B2 (en) | Dynamic executable | |
US7840688B2 (en) | Information processing device, server client system, method, and computer program | |
US7539863B2 (en) | Remote services for portable computing environment | |
US20190253385A1 (en) | Dynamic firewall configuration | |
CN101802837B (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
JP5704518B2 (en) | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program | |
CN107690646B (en) | USB attack protection | |
US20060075140A1 (en) | Client compliancy in a NAT environment | |
US20220174469A1 (en) | Distributed, crowdsourced internet of things (iot) discovery and identification using block chain | |
US20100031308A1 (en) | Safe and secure program execution framework | |
CN116471109B (en) | Data transmission method, system, first end and control equipment | |
KR102010488B1 (en) | SYSTEM AND METHOD FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD | |
JP2020017809A (en) | Communication apparatus and communication system | |
KR100954370B1 (en) | Software execution management device and method thereof | |
JP5340041B2 (en) | Access control system, access control method, and program | |
EP2790374A1 (en) | Certificate generation method, certificate generation apparatus and information processing apparatus | |
US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
JP6442449B2 (en) | Method and system for removing router vulnerabilities | |
KR20050100143A (en) | System and method for blocking p2p data communication | |
CN107623662B (en) | Access control method, device and system | |
US10817592B1 (en) | Content tracking system that dynamically tracks and identifies pirated content exchanged over a network | |
JP5477104B2 (en) | Unauthorized connection prevention device and program | |
KR20190036662A (en) | Network Securing Device and Securing method Using The Same | |
Kalil | Policy Creation and Bootstrapping System for Customer Edge Switching | |
US20050138431A1 (en) | Network protection software and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120924 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130809 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130813 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131009 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140127 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5477104 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |