JP5509999B2 - 不正接続防止装置及びプログラム - Google Patents

不正接続防止装置及びプログラム Download PDF

Info

Publication number
JP5509999B2
JP5509999B2 JP2010081430A JP2010081430A JP5509999B2 JP 5509999 B2 JP5509999 B2 JP 5509999B2 JP 2010081430 A JP2010081430 A JP 2010081430A JP 2010081430 A JP2010081430 A JP 2010081430A JP 5509999 B2 JP5509999 B2 JP 5509999B2
Authority
JP
Japan
Prior art keywords
terminal
identification information
normal
address
registered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010081430A
Other languages
English (en)
Other versions
JP2011217016A (ja
Inventor
謙一 鹿島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010081430A priority Critical patent/JP5509999B2/ja
Publication of JP2011217016A publication Critical patent/JP2011217016A/ja
Application granted granted Critical
Publication of JP5509999B2 publication Critical patent/JP5509999B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークへの不正接続を防止する不正接続防止装置及びプログラムに関する。
近年、企業内のLAN(Local Area Network)などへの不正接続や、ネットワーク内の端末がウィルスに感染することによって、ネットワーク内の情報資産が不正アクセスされ、秘密情報が漏洩してしまうことが問題になっている。また、秘密情報の漏洩のみならず、セキュリティが不十分であるために、ウィルスに感染してしまった端末から、ネットワーク全体にウィルス感染が拡大するおそれもある。そのため、パッチ等が万全でない端末からの接続も、不正接続とみなす必要がある。
一般に、IPv6(Internet Protocol Version 6)環境において、ネットワークに接続された端末は、重複アドレス検出の為に、送信元IPアドレスが未指定である近隣要請メッセージを、マルチキャストで送信する。重複アドレス検出の近隣要請メッセージを送信した後、送信された近隣要請メッセージに対応した近隣広告メッセージが1秒以内に返ってこなければ、アドレスが重複していないということなので、目標のアドレスは利用可能アドレスとなる。
また、ネットワークに接続された端末は、目的のIPアドレスに対応するMACアドレスを取得するため、近隣要請メッセージをマルチキャストで送信する。近隣要請メッセージを受信した端末のうち、目的のMACアドレスを記憶している端末は、目的の端末のMACアドレスを格納した近隣広告メッセージを送信してアドレス解決を行う。
そこで、受信した近隣要請メッセージに対して近隣要請メッセージを送ることによって不正接続を防止する方法が開示されている(例えば、特許文献1参照)。この方法は、IPv6環境、あるいはIPv6とIPv4(Internet Protocol Version 4)とが混在するネットワークに適用される。この方法によれば、上記ネットワークにおいて、防御対象への不正なアクセスを防ぐため、ネットワークエージェントが、ネットワークを監視する。ネットワークエージェントは、受信した近隣要請メッセージに含まれるMACアドレスに基づいて、不正接続を防止する。
さらに、この方法では、重複アドレス検出の為に送信された近隣要請メッセージと、アドレス解決のために送信された近隣要請メッセージに対し、ネットワークエージェントが偽の近隣広告メッセージを送信する。
ユーザは、予めネットワーク内での接続を許可される端末のMACアドレスをデータベースに登録する。ネットワークエージェントは、マルチキャストで送信された近隣要請メッセージを受信すると、近隣要請メッセージの送信元MACアドレスをデータベースに照合して不正接続であるか否かを判定する。不正接続であれば、ネットワークエージェントは、送信元IPアドレスが未指定であるか否かを判定する。未指定であれば、この近隣要請メッセージは、重複アドレス検出のために送信されたものである。この場合、ネットワークエージェントは、アドレスが重複している旨の近隣広告メッセージを送信する。送信元IPアドレスが指定されていれば、ネットワークエージャントは、送信元のリンク層アドレスを架空のものに設定した近隣広告の非要請メッセージを、全ノードにマルチキャストで送信する。
このようにして、ネットワークエージェントは、予めデータベースに登録されていない端末がネットワークに接続することを防止する。
特開2006−287299号公報
しかし、特許文献1に記載の方法では、データベースに登録されていない端末は、ネットワーク上の他の全ての端末と通信できないように制御される。このため、パッチ等が未適用などの理由によりデータベースに登録されていない違反端末もまた、ネットワーク上の他の全ての端末と通信できないよう制御される。
パッチを適用するためには、ネットワークを介さずにパッチを入手する、あるいは、パッチを適用するための閉鎖的なネットワークを作成し、そのネットワークに端末を接続する、などの方法をとる必要がある。これらの方法は、いずれも煩雑であり、ユーザ、管理者双方の負担が大きくなる。
本発明は、上記問題点に鑑みてなされたものであり、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく導入可能な、違反端末を、特定の端末とは通信可能であるが、他の端末とは通信できないように制御する不正接続防止装置及びプログラムを提供することを目的とする。
上記目的を達成するため、本発明第1の観点に係る不正接続防止装置は、
ネットワークに接続し、前記ネットワーク内で通信を行う通信手段と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末との通信を特別に許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信手段が近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末である重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、該未登録端末に、アドレスが重複している旨を送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末に、該違反端末が目標に対するリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを送信する、
ことを特徴とする。
本発明の第2の観点に係るプログラムは、
コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該近隣要請メッセージの送信元と目標を判定する手順と、
送信元が前記登録端末でもなく前記特定端末でもない重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、アドレスが重複している旨を返信する手順と、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末が目標のリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを該違反端末に送信する手順と、
を実行させる。
本発明によれば、セキュリティレベルを維持しつつ、ネットワーク構成を変更することなく導入可能な、違反端末を、特定の端末とは通信可能であるが、他の端末とは通信できないように制御する不正接続防止装置及びプログラムを提供することができる。
本発明の実施形態に係る不正接続防止装置が接続されたネットワークの構成を示すブロック図である。 図1の不正接続防止装置の構成を示すブロック図である。 図2の不正接続防止装置が有する登録端末データベースのデータ構造を示す図である。 図2の不正接続防止装置が有する特定端末データベースのデータ構造を示す図である。 図2の不正接続防止装置が有する正常端末データベースのデータ構造を示す図である。 図2の不正接続防止装置が有する不正端末データベースのデータ構造を示す図である。 近隣要請メッセージ受信時の不正接続防止処理を示すフローチャートを示す図である。 図7のパケットP1のデータを示す図である。 図7のパケットP2のデータを示す図である。 図7のパケットP3のデータを示す図である。 図7のパケットP4のデータを示す図である。 図1の不正接続防止装置が行う定期不正接続防止処理を示すフローチャートである。 図12のパケットP5のデータを示す図である。 図12のパケットP6のデータを示す図である。 図12のパケットP7のデータを示す図である。 違反端末が、正常端末に変化した場合の、端末設定変更処理を示すフローチャートである。 図16のパケットP8のデータを示す図である。
以下、本発明の実施形態に係る不正接続防止装置について、図面を参照して詳細に説明する。
図1に示すように、本実施形態に係る不正接続防止装置100は、ネットワーク10に接続されている。このネットワーク10には、複数の正常端末110−a、110−bと、複数の違反端末120−a、120−bと、複数の未登録端末130−a、130−bと、パッチサーバ140と、ポリシーマネージャ150とが、接続されている。
以下では、正常端末110−a、110−bを、総称して正常端末110とも呼ぶ。また、違反端末120−a、120ーbを、適宜、総称して違反端末120とも呼ぶ。さらに、未登録端末130−a、130−bを、適宜、総称して、未登録端末130とも呼ぶ。
また、正常端末110と、違反端末120と、を総称して登録端末115とも呼ぶ。また、違反端末120と、未登録端末130と、を総称して不正端末125とも呼ぶ。
それぞれの端末は、固有の識別情報であるMACアドレスを有する。
また、ネットワーク10に接続した端末には、それぞれ固有のIPアドレスが割り振られる。ただし、未登録端末130は、重複アドレス検出の近隣要請メッセージを送信すると、後述のように、不正接続防止装置100によってIPアドレスが割り振られないので、通常は、IPアドレスを有しない。
正常端末110は、ネットワーク10内での通信を許可された端末である。正常端末110は、CPU(Central Processing Unit)とROM(Read Only Memory)とRAM(Random Access Memory)とを含む制御部と、ハードディスク装置を含む記憶部と、NIC(Network Interface Card)またはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
ROMは、プログラムデータ等を記憶するものであり、CPUは、ROMに記憶されたデータのプログラムに従って処理を実行する。RAMは、CPUが処理を実行するのに必要なデータを記憶するものである。
違反端末120は、不正接続防止装置100によってネットワーク10内での通信を、原則としてブロックされる端末である。違反端末120は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
未登録端末130は、後述の登録端末データベース105に登録されていないため、不正接続防止装置100によってネットワーク10上の通信がブロックされる端末である。未登録端末130は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。
パッチサーバ140は、違反端末120との通信を、特別に許可された特定端末である。パッチサーバ140は、登録端末115にパッチを提供する。パッチサーバ140は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。パッチサーバ140は、記憶部に登録端末115に提供するパッチを保存する。
ポリシーマネージャ150は、特別に違反端末120と通信することを許可される特定端末である。ポリシーマネージャ150は、ネットワーク10内の登録端末115が、ネットワーク10内で通信をしてもよいか否かを判定する。ポリシーマネージャ150は、CPUとROMとRAMを含む制御部と、ハードディスク装置を含む記憶部と、NICまたはルータまたはモデム等を含む通信部と、を備えるコンピュータである。ポリシーマネージャ150は、登録端末115が、ネットワーク10内で通信をしてもよいか否かを判定する基準であるセキュリティポリシー151を記憶部に保存する。
ポリシーマネージャ150は、ネットワーク10内の登録端末115にアクセスし、登録端末115がセキュリティポリシー151に合致するか否かを繰り返し判定する。ポリシーマネージャ150は、その判定結果が得られる度に、その判定結果を、不正接続防止装置100に送信する。
不正接続防止装置100は、図2に示すように、制御部101と、通信部102と、タイマ103と、入力部104と、記憶部109と、を備える。
制御部101は、CPUとROMとRAMと、を有する。
通信部102は、NIC、ルータ又はモデム等を有する。タイマ103は、現在時刻をカウントする。入力部104は、キーボードまたはマウス等を備える。記憶部109は、ハードディスク装置を有する。記憶部109には、登録端末データベース105と、特定端末データベース106と、正常端末データベース107と、不正端末データベース108と、が格納されている。
図3に示すように、登録端末データベース105には、正常端末110と違反端末120のMACアドレスが予め登録され、保存されている。
図4に示すように、特定端末データベース106には、特定端末、すなわちパッチサーバ140とポリシーマネージャ150のMACアドレスとIPアドレスが、対応付けられてエントリに格納され、保存されている。
図5に示すように、正常端末データベース107には、正常端末110のMACアドレスとIPアドレスが、エントリに格納され、保存されている。
図6に示すように、不正端末データベース108には、通信部102が受信した近隣要請メッセージの送信元である不正端末125のIPアドレスとMACアドレスと、受信した近隣要請メッセージの目標である正常端末110のIPアドレスとMACアドレスと、登録されてからの経過時間であるエージングタイムと、が対応付けられてエントリに格納される。
エントリは、決まったデータ長を持ったデータであり、具体的には、受信した近隣要請メッセージの送信元である不正端末125のIPアドレスとMACアドレスと、目標である正常端末110のIPアドレスとMACアドレスと、エージングタイムとが、エントリの決まった領域にそれぞれ保存される。
不正接続防止装置100の制御部101は、通信部102によって受信された近隣要請メッセージの送信元のMACアドレスと、目標のIPアドレスと、に基づいて、登録端末データベース105と、特定端末データベース106と、正常端末データベース107と、不正端末データベース108を参照して、不正端末125と正常端末110との間の通信をブロックしつつ、違反端末120がパッチサーバ140とポリシーマネージャ150と通信するのを許可する。
次に、本発明の実施形態に係る不正接続防止装置100の構成について、詳細に説明する。
図2に示される不正接続防止装置100の入力部104に、MACアドレスが入力されると、制御部101は、入力されたMACアドレスを、記憶部109の登録端末データベース105(図3参照)に登録する。
不正接続防止装置100では、通信部102が、ポリシーマネージャ150から出力される判定結果を、ネットワーク10を介して受信する。制御部101は、通信部102によって受信された判定結果に対応して、図4の正常端末データベース107と図5の不正端末データベース108を繰り返し更新する。
制御部101は、セキュリティポリシー151に合致する登録端末115のMACアドレスとIPアドレスを正常端末データベース107に登録する。
また、制御部101は、セキュリティポリシー151に合致するようになった不正端末125のエントリを、不正端末データベース108から消去する。代わりに、制御部101は、消去したMACアドレスとIPアドレスを正常端末データベース107へ登録する。
また、制御部101は、セキュリティポリシー151に合致しなくなった正常端末110のMACアドレスとIPアドレスを正常端末データベース107から消去する。
不正接続防止装置100では、ネットワーク10を介してマルチキャストで送信された近隣要請メッセージを、通信部102が受信する。制御部101は、受信した近隣要請メッセージと、登録端末データベース105と、特定端末データベース106と、正常端末データベース107と、に基づいて、後に詳しく説明する不正接続防止処理(図7参照)を行う。
不正接続防止処理で、不正接続防止装置100は、受信した近隣要請メッセージに対して、パケットP1乃至P4を送信する。不正接続防止装置100は、パケットP1乃至P4を送信することによって、ネットワーク10内で不正端末125が通信を行うことをブロックしつつ、違反端末120とパッチサーバ140及びポリシーマネージャ150とが通信することを許可する。
パケットP1は、未登録端末130から送信された重複アドレス検出の近隣要請メッセージに対して、アドレスが重複している旨を返信するための近隣広告メッセージである。
図8に示すように、パケットP1のIPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、全ノードマルチキャストアドレス、重複アドレス検出の対象であるIPアドレスである。パケットP1のICMPフィールドの目標IPアドレス、S(Solicited)フラグ、目標リンク層アドレスはそれぞれ、重複アドレス検出の対象であるIPアドレス、0、重複アドレス検出の近隣要請メッセージを送信した未登録端末130のMACアドレスである。
ここで、近隣広告メッセージのSフラグが1であることは、その近隣広告メッセージが、近隣要請メッセージへの返信のメッセージであることを示している。ただし、重複アドレス検出の近隣要請メッセージへの応答で用いられる近隣広告メッセージのSフラグは0を用いることが一般的である。
パケットP2は、不正端末125から送信された近隣要請メッセージに対して、対象のリンク層アドレスを偽MACアドレスに変更する近隣広告メッセージである。
図9に示すように、パケットP2は、IPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、受信した近隣要請メッセージの送信元のMACアドレス、不正接続防止装置100のIPアドレスである。パケットP2のICMPフィールドの目標IPアドレス、Sフラグ、O(Override)フラグ、目標リンク層アドレスはそれぞれ、受信した近隣要請メッセージの目標のIPアドレス、1、1、偽MACアドレスである。
ここで、Oフラグが1である近隣広告メッセージを受信した端末の既存のリンク層アドレスは、受信した近隣広告メッセージに含まれている目標リンク層アドレスに上書きされる。
Oフラグが0のとき、対象のリンク層アドレスが記憶されていない場合にのみ、近隣広告メッセージに含まれるリンク層アドレスにより対象のリンク層アドレスが更新される。
パケットP3は、不正端末125が送信した近隣要請メッセージの送信元に対するリンク層アドレスを偽MACアドレスに変更する、全ノードにマルチキャスト送信される近隣広告メッセージである。
図10に示すように、パケットP3のIPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、全ノードマルチキャストアドレス、受信した近隣要請メッセージの送信元IPアドレスである。パケットP3のICMPフィールドの目標IPアドレス、Sフラグ、Oフラグ、目標リンク層アドレスはそれぞれ、受信した近隣要請メッセージの送信元IPアドレス、0、1、偽MACアドレスである。
パケットP4は、近隣要請メッセージの送信元に対するリンク層アドレスを、正しいMACアドレスに変更する旨をパッチサーバ140とポリシーマネージャ150とに送信する近隣要請メッセージである。
図11に示すように、パケットP4のIPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、特定端末データベース106に登録されているIPアドレス、受信した近隣要請メッセージの送信元IPアドレスである。パケットP4のICMPフィールドの目標IPアドレス、送信元リンク層アドレスはそれぞれ、IPフィールドの宛先IPアドレスと同一のIPアドレス、受信した近隣要請メッセージの正しいアドレスである。
不正接続防止処理において、不正接続防止装置100の制御部101は、受信した近隣要請メッセージの送信元リンク層アドレスを、登録端末データベース105と、特定端末データベース106と、正常端末データベース107と、から検索することによって、受信した近隣要請メッセージの送信元が、未登録端末130なのか、違反端末120なのかを判定する。
送信元リンク層アドレスが、登録端末データベース105と、特定端末データベース106のいずれからも検出できない場合、制御部101は、送信元が、未登録端末130であると判定する。
また、送信元リンク層アドレスを、登録端末データベース105から検出でき、かつ、正常端末データベース107から検出できない場合、制御部101は、送信元が違反端末120であると判定する。
受信した近隣要請メッセージの送信元が、未登録端末130であると判定されると、制御部101は、受信した近隣要請メッセージの送信元IPアドレスが、未指定であるか否かを判定する。送信元IPアドレスが未指定であると、受信した近隣要請メッセージは、重複アドレス検出の近隣要請メッセージであると判定することができる。
送信元が違反端末120であると判定されると、制御部101は、受信した近隣要請メッセージの目標IPアドレスを、特定端末データベース106から検索し、受信した近隣要請メッセージの目標がパッチサーバ140又はポリシーマネージャ150であるか否かを判定する。目標IPアドレスが特定端末データベース106から検出された場合には、制御部101は、受信した近隣要請メッセージの目標が、パッチサーバ140またはポリシーマネージャ150であると判定する。
未登録端末130から送信された重複アドレス検出の近隣要請メッセージを受信すると、不正接続防止装置100は、受信した重複アドレス検出の近隣要請メッセージに対し、アドレスが重複している旨のパケットP1(図8参照)を、通信部102から送信する。
これにより、未登録端末130は、アドレスが重複していることを検出するので、未登録端末130は、ネットワーク10内でIPアドレスが割り振らなくなる。この結果、未登録端末130は、ネットワーク10内で通信を行うことができない。
また、送信元が違反端末120であり、目標がパッチサーバ140でもポリシーマネージャ150でもない近隣要請メッセージを受信すると、不正接続防止装置100は、受信した近隣要請メッセージの送信元である違反端末120に、目標のリンク層アドレスを偽りのものに変更するパケットP2(図9参照)を送信し、受信した近隣要請メッセージの送信元である違反端末120に対するリンク層アドレスを偽りのものに変更するパケットP3(図10参照)を全ノードにマルチキャスト送信する。送信後、不正接続防止装置100は、受信した近隣要請メッセージの送信元である違反端末120に対するリンク層アドレスを正しいものに変更するパケットP4(図11参照)をパッチサーバ140とポリシーマネージャ150とにそれぞれ送信する。
近隣要請メッセージを送信した違反端末120は、目標から近隣広告メッセージを受信することにより、目標に対するリンク層アドレスに正しいMACアドレスを一時的に記憶する。しかし、パケットP2を受信することによって、目標に対するリンク層アドレスには、偽MACアドレスが上書きされるため、目標との通信を行うことができなくなる。
また、ネットワーク10内の端末は、違反端末120から送信された近隣要請メッセージを受信することにより、送信元の違反端末120に対して、正しいMACアドレスをリンク層アドレスに一時的に記憶する。しかし、パケットP3を受信することにより、ネットワーク10内の端末は、受信した近隣要請メッセージの送信元である違反端末120に対するリンク層アドレスを、偽MACアドレスに変更する。
ただし、パッチサーバ140とポリシーマネージャ150は、パケットP4を受信し、違反端末120に対するリンク層アドレスを正しいものに変更する。そのため、パッチサーバ140ならびにポリシーマネージャ150は、違反端末120と通信することが可能になる。
また、不正接続防止装置100は、送信元が未登録端末130である近隣要請メッセージを受信すると、受信した近隣要請メッセージの送信元に、目標のリンク層アドレスを、偽りのものに変更するパケットP2(図9参照)を送信し、ネットワーク10内の全端末に近隣要請メッセージの送信元である未登録端末130に対するリンク層アドレスを偽りのものに変更するパケットP3(図10参照)をマルチキャストで送信する。
これによって、重複アドレス検出の近隣要請メッセージが送信されなかった場合など、なんらかの理由で未登録端末130にIPアドレスが割り振られることがあったとしても、未登録端末130は、目標IPアドレスに対して偽のMACアドレスを記憶するため、ネットワーク10内の端末との間で、正しく通信ができなくなる。
また、ネットワーク10内の端末は、未登録端末130が送信した近隣要請メッセージを受信しても、パケットP3を受信することによって、未登録端末130に対して偽のMACアドレスを記憶するため、未登録端末130との間で、正しく通信ができなくなる。
また、ネットワーク10上の端末が、マルチキャストで送信する近隣要請メッセージを受信すると、不正接続防止装置100は、受信した近隣要請メッセージに基づいて、登録端末データベース105と、特定端末データベース106と、正常端末データベース107とを参照して、受信した近隣要請メッセージの送信元と目標とを調べる。送信元が不正端末125であり、目標が正常端末110である場合、不正接続防止装置100は、送信元の端末のIPアドレスとMACアドレスと、目標の端末のIPアドレスとMACアドレスとを対応付けて、受信した近隣要請メッセージ毎に、それぞれエントリに保存する。
また、不正接続防止装置100は、各エントリの登録に合わせて、タイマ103が出力する時間に基づいて、不正端末データベース108の各エントリに、近隣要請メッセージを受信してからの経過時間であるエージングタイムを登録する。エージングタイムは、0秒から始まってカウントされ、300秒になるとそのエントリは削除される。また、エントリに記憶される組み合わせと同じ組み合わせの送信元と目標である近隣要請メッセージを受信すると、不正接続防止装置100は、該当するエントリのエージングタイムを0秒にリセットし、カウントをリスタートする。
しかし、不正接続防止処理において、パケットP1乃至パケットP4のいずれかが送信エラーなどによって、宛先に届かない場合もある。そこで、不正接続防止装置100の制御部101は、不正端末データベース108と登録端末データベース105とに基づいて、後に詳しく説明する定期不正接続防止処理(図12参照)を行う。
定期不正接続防止処理において、不正接続防止装置100は、不正端末125に、アドレス解決の目標であった正常端末110に対するリンク層アドレスを、偽りのものに変更するパケットP5(図13参照)を、1秒おきに送信する。
パケットP5は、図13に示すように、不正端末データベース108に保存されるエントリに登録されている不正端末125のIPアドレスを、宛先IPアドレスと目標IPアドレスに格納し、同エントリに記憶される正常端末110のIPアドレスを、送信元IPアドレスに格納し、偽MACアドレスを送信元リンク層アドレスに格納した、近隣要請メッセージである。
正常端末110の正しいMACアドレスを取得した不正端末125も、パケットP5を受信することによって、正常端末110に対して偽MACアドレスを記憶することになる。
パケットP5を送信後、不正接続防止装置100は、更に、パケットP5の宛先であった不正端末125に対するリンク層アドレスを偽りのものに変更するパケットP6(図14参照)を、ネットワーク10内の全端末にマルチキャストで送信する。
パケットP6は、図14に示すように、宛先IPアドレスが全ノードマルチキャストアドレスで、送信元IPアドレスと目標IPアドレスとがパケットP5の目標IPアドレスと同じIPアドレスで、Sフラグが0で、Oフラグが1で、目標リンク層アドレスが偽MACアドレスである、近隣広告メッセージである。
不正端末125の正しいMACアドレスを取得したネットワーク10内の端末も、パケットP6を受信することによって、不正端末125に対して偽のMACアドレスを記憶することになる。
また、パケットP6を送信した後、不正接続防止装置100は、登録端末データベース105を参照して、パケットP6の宛先であった不正端末125が違反端末120であるか否かを判定する。パケットP6の宛先である不正端末125が違反端末120であれば、不正接続防止装置100は、パケットP6の宛先である違反端末120に対応するリンク層アドレスを正しいものに変更するパケットP7(図15参照)を、パッチサーバ140とポリシーマネージャ150にそれぞれ送信する。
パケットP7は、図15に示すように、宛先IPアドレスが特定端末データベース106に登録されているIPアドレスで、送信元IPアドレスと目標IPアドレスがパケットP5の目標になった違反端末120のIPアドレスで、送信元リンク層アドレスが目標IPアドレスに対応する正しいMACアドレスである、近隣要請メッセージである。
パケットP6によって違反端末120に対して通信ができなくなったパッチサーバ140及びポリシーマネージャ150は、パケットP7を受信することにより、通信できなくなった違反端末120に対して再び通信ができるようになる。
また、不正接続防止装置100は、登録端末データベース105と正常端末データベース107と不正端末データベース108と、ポリシーマネージャ150から受信した判定結果とに基づいて、更新前はセキュリティポリシー151を満たしておらず、更新後セキュリティポリシー151を満たすようになった(すなわち、正常端末110に変化した)違反端末120に対して端末設定変更処理(図16参照)を行う。
端末設定変更処理では、不正接続防止装置100は、不正端末データベース108に基づいて、正常端末110に変化した違反端末120が、そのように変化する前にアドレス解決しようとした正常端末110に対するリンク層アドレスを正しいものに変更するパケットP8(図17参照)を、正常端末110に変化した違反端末120に送信する。
パケットP8は、IPフィールドの宛先IPアドレス、送信元IPアドレスがそれぞれ、正常端末に変化した違反端末120のIPアドレス、正常端末に変化した違反端末120がアドレス解決しようとした正常端末110のIPアドレスで、ICMPフィールドの目標IPアドレス、送信元リンク層アドレスがそれぞれ、正常端末110に変化した違反端末120のIPアドレス、正常端末110に変化した違反端末120がアドレス解決しようとした正常端末110の正しいMACアドレスである、近隣要請メッセージである。
不正接続防止装置100は、送信元が違反端末120で目標が正常端末110である近隣要請メッセージを受信すると、不正接続防止処理によって、パケットP2を送信する。パケットP2を受信した違反端末120は、対象の正常端末110に対して、偽のMACアドレスを記憶することになる。
しかし、違反端末120が正常端末110に変化すると、不正接続防止装置100は、違反端末正常化処理で、パケットP8を送信する。パケットP8を受信した違反端末120(正常端末110に遷移した端末)は、アドレス解決をしようとした目標の正常端末110の正しいMACアドレスを記憶する。
これによって、記憶する偽MACアドレスを正しいMACアドレスに変更するので、正常端末110に変化した違反端末120は、正常端末110と通信することが、短時間で可能になる。
また、不正接続防止装置100は、正常端末110に変化した違反端末120のMACアドレスとIPアドレスを正常端末データベース107に登録する。また、不正端末データベース108から正常端末に変化した違反端末120に関するエントリを削除する。
このようにして、正常端末110に変化した違反端末120は、不正接続防止装置100により、他の正常端末110と通信できない状態を解除される。
次に、図7を参照して、近隣要請メッセージ受信時に不正接続防止装置100が行う不正接続防止処理を詳細に説明する。
不正接続防止装置100は、近隣要請メッセージを受信すると(ステップS100)、受信した近隣要請メッセージの送信元が未登録端末130であるか否かを判定する(ステップS110)。受信したパケットの送信元が未登録端末130であると(ステップS110が“YES”)、不正接続防止装置100は、受信したパケットが重複アドレス検出の近隣要請メッセージであるか否かを判定する(ステップS111)。
受信した近隣要請メッセージの送信元が未登録端末130であり、受信した近隣要請メッセージが重複アドレス検出の近隣要請メッセージであった場合(ステップS111が“YES”)、不正接続防止装置100はパケットP1を送信する(ステップS112)。
受信した近隣要請メッセージの送信元が未登録端末130であり、受信した近隣要請メッセージが重複アドレス検出の近隣要請メッセージではない場合(ステップS111が“NO”)、不正接続防止装置100は、パケットP2を送信し(ステップS113)、パケットP3を送信する(ステップS114)。
送信後、不正接続防止装置100は、受信した近隣要請メッセージの目標が正常端末110であるか調べる(ステップS115)。目標が正常端末110でなければ(ステップS115が“NO”)、不正接続防止装置100は処理を終了する。目標が正常端末110であれば(ステップS115が“YES”)、不正接続防止装置100は、不正端末データベース108を更新する(ステップS116)。
受信した近隣要請メッセージの送信元が未登録端末130でない場合(ステップS110が“NO”)、不正接続防止装置100は、送信元が違反端末であるか否かを判定する(ステップ120)。
受信した近隣要請メッセージ送信元が違反端末120でない場合(ステップS120が“NO”)、不正接続防止装置100は作業を終了する。
送信元の違反端末120であった場合(ステップS120が“YES”)、不正接続防止装置100は、受信した近隣要請メッセージの宛先IPアドレスを登録端末データベース105から検索することによって、近隣要請メッセージの宛先がポリシーマネージャ150又はパッチサーバ140であるか否かを判定する(ステップS121)。
受信した近隣要請メッセージの目標がポリシーマネージャ150又はパッチサーバ140である場合(ステップS121が“YES”)、不正接続防止装置100は作業を終了する。
受信した近隣要請メッセージ目標がポリシーマネージャ150とパッチサーバ140のうちのいずれでもない場合(ステップS121が“NO”)、不正接続防止装置100はパケットP2を送信し(ステップS122)、パケットP3を送信し(ステップS123)、パケットP4を送信する(ステップS124)。
更に、不正接続防止装置100は、受信した近隣要請メッセージの目標が正常端末110であるか否かを判定する(ステップS125)。目標が正常端末110でなければ(ステップS125が“NO”)不正接続防止装置100は処理を終了する。目標が正常端末110であれば(ステップS125が“YES”)、不正接続防止装置100は、不正端末データベース108を更新する(ステップS126)。
理解を容易にするために、未登録端末130から重複アドレス検出の近隣要請メッセージを受信した場合の具体例について説明する。
例えば、MACアドレスがMAC−3BでIPアドレスが割り振られていない未登録端末130−bから送信された重複アドレス検出の近隣要請メッセージを、不正接続防止装置100が受信したとする。なお、重複アドレス検出の対象のIPアドレスは、実際にはネットワーク10内では使用されていないIP−3Bとする。
不正接続防止装置100は未登録端末130−bから送信された重複アドレス検出の近隣要請メッセージに対して、パケットP1−1を送信する。
パケットP1−1は、図8に示すように、IPフィールドの宛先IPアドレス、送信元IPアドレスはそれぞれ、全ノードマルチキャストアドレス、IP−3Bである。パケットP1のICMPフィールドの目標IPアドレス、Sフラグ、目標リンク層アドレスはそれぞれ、IP−3B、0、MAC−3Bである。
パケットP1−1を受信した重複アドレス検出中の未登録端末130−bは、IP−3Bが重複していると判定し、IP−3Bを使用することができない。また、未登録端末130−bが、他のIPアドレスで重複アドレス検出の近隣要請メッセージを作成しても同じ結果となる。
結果として、未登録端末130に対しては、有効なIPアドレスの割り当てが行われず、未登録端末130は、ネットワーク10内で通信を行うことができない。
また、理解を容易にするために、具体的に、未登録端末130−aが送信元であり、目標が正常端末110−aである近隣要請メッセージを、不正接続防止装置100が受信した場合について説明する。
不正接続防止装置100は、パケットP2−1を送信し(ステップS113)、パケットP3−1を送信する(ステップS114)。
なお、未登録端末130−aは、重複アドレス検出を行うことなくIPアドレスが割り振られた未登録端末130であり、MACアドレス、IPアドレスはそれぞれ、MAC−3A、IP−3Aである。また、正常端末110−aのMACアドレス、IPアドレスはそれぞれ、MAC−1A、IP−1Aである。
パケットP2−1は近隣広告メッセージであり、図9に示すように、宛先IPアドレスがIP−1Aで、送信元IPアドレスがIP−0Aで、目標IPアドレスが不正接続防止装置100の受信した近隣要請メッセージの目標IPアドレスで、Sフラグが1で、Oフラグが1で、目標リンク層アドレスが不正接続防止装置100の保存する全てのデータベースに登録されていない偽MACアドレスである。
なお、IP−0Aは、不正接続防止装置100に割り振られたIPアドレスである。
未登録端末130−aは、正常端末110−aから正しいMACアドレスが格納された近隣広告メッセージを受信することで、目標である正常端末110−aの正しいMACアドレスをリンク層アドレスに一時的に記憶する。
しかし、パケットP2−1を受信することによって、未登録端末130−aは、アドレス解決の目標である正常端末110−aに対して偽のMACアドレスを取得するため、正しく通信できない。
パケットP3−1は、近隣広告メッセージであり、図10に示すように、宛先IPアドレスが全ノードマルチキャストアドレスで、送信元IPアドレスがIP−3Aで、目標IPアドレスがIP−3Aで、Sフラグが0で、Oフラグが1で、目標リンク層アドレスが偽MACアドレスである。
ネットワーク10内の端末は、未登録端末130−aから送信された近隣要請メッセージを受信することで、未登録端末130−aのMACアドレスを、一時的にリンク層アドレスに記憶する。
しかし、パケットP3−1を受信することによって、ネットワーク10内の端末は、未登録端末130−aに対して偽のMACアドレスを取得するため、未登録端末130−aに対して正しく通信を行えない。
また、不正接続防止装置100は、受信した近隣要請メッセージの目標が正常端末110−aであるので、パケットP2−1とパケットP3−1を送信後、不正端末データベース108を更新する(ステップS116)。
不正端末データベース108には、未登録端末130−aのIP−3AとMAC−3Aと、正常端末110−aのIP−1AとMAC−1Aと、がエントリに登録される。
また、同エントリにはエージングタイムが登録され、エージングタイムは0秒から開始される。なお、同一のエントリがすでに存在している場合は、エージングタイムを0秒にリセットする。
ステップS111乃至S116によって、未登録端末130は、不正接続防止装置100が接続されたネットワーク10内において通信ができない。
理解を容易にするために、更に、違反端末120−aが送信元であり、目標が正常端末110−aである近隣要請メッセージを、不正接続防止装置100が受信した場合について説明する。
なお、違反端末120−aのMACアドレス、IPアドレスはそれぞれ、MAC−2A、IP−2Aである。また、正常端末110−aのMACアドレス、IPアドレスはそれぞれ、MAC−1A、IP−1Aである。
近隣要請メッセージの送信元が違反端末120であるので(ステップS120が“YES”)、不正接続防止装置100は、パケットP2−2を送信し(ステップS122)、パケットP3−2を送信する(ステップS123)。また、目標が正常端末110なので(ステップS124が“YES”)、不正接続防止装置100は、パケットP4−2を送信する(ステップS125)。
パケットP2−2は近隣広告メッセージであり、図9に示すように、宛先IPアドレスがIP−2Aで、送信元IPアドレスがIP−0Aで、目標IPアドレスがIP−1Aで、Sフラグが1で、Oフラグが1で、目標リンク層アドレスが偽MACアドレスである。
アドレス解決のために正常端末110−aに近隣要請メッセージを送信した違反端末120−aは、正常端末110−aから近隣広告メッセージを受信する。正常端末110−aから送信された近隣広告メッセージを受信した違反端末120−aは、正常端末110−aの正しいMACアドレスであるMAC−1AをIP−1Aに対応付けて記憶する。
しかし、違反端末120−aは、更にパケットP2−2を受信することによって、IP−1Aに対して偽MACアドレスを記憶する。そのため、違反端末120−aは、アドレス解決を行った正常端末110−aに対して正しく通信をできない。
パケットP3−2は近隣広告メッセージであり、図10に示すように、宛先IPアドレスが全ノードマルチキャストアドレスで、送信元IPアドレスがIP−2Aで、目標IPアドレスがIP−2Aで、Sフラグが0で、Oフラグが1で、目標リンク層アドレスが偽MACアドレスである。
ネットワーク10内の端末は、違反端末120−aが送信した近隣要請メッセージを受信することで、違反端末120−aのMAC−2AとIP−2Aを対応付けて記憶する。
しかし、ネットワーク10内の端末は、更にパケットP3−2を受信することによって、不違反端末120−aに対して偽のMACアドレスを記憶する。これによって、ネットワーク10内の端末は、違反端末120−aに対して正しく通信を行えない。
パケットP4−2は、パッチサーバ140とポリシーマネージャ150にそれぞれ送信される。パケットP4−2のうちパッチサーバ140に送信されるパケットP4−2−1は、図11に示すように宛先IPアドレスがIP−4Aで、送信元IPアドレスがIP−2Aで、目標IPアドレスがIP−4Aで、送信元リンク層アドレスがMAC−2Aである、近隣要請メッセージである。
なお、同様のパケットP4−2−2は、ポリシーマネージャ150に送信される。
パッチサーバ140とポリシーマネージャ150は、パケットP3−2を受信することによって違反端末120−aと一時的に正しく通信できなくなる。しかしパッチサーバ140とポリシーマネージャ150は、更にパケットP4−2を受信することによって、違反端末120−aの正しいMACアドレスを記憶する。これによって、パッチサーバ140ならびにポリシーマネージャ150は、違反端末120−aに対して通信することができるようになる。
更に、不正接続防止装置100は、受信した近隣要請メッセージの目標が正常端末110であるから(ステップS124が“YES”)、パケットP2−2とパケットP3−2とパケットP4−2を送信後、不正端末データベース108を更新する(ステップS125)。
不正接続防止装置100は、不正端末データベース108に、違反端末120−aのIP−2AとMAC−2Aと、正常端末110−aのIP−1AとMAC−1Aを一つのエントリに登録する。
また、同エントリにはエージングタイムが登録され、エージングタイムは0秒から開始される。なお、同一のエントリがすでに存在している場合は、エージングタイムを0秒にリセットする。
以上説明した近隣要請メッセージ受信時の不正接続防止処理によって、不正接続防止装置100は、不正端末125がネットワーク10内で通信を行うことをブロックしつつ、パッチサーバ140及びポリシーマネージャ150が違反端末120と通信することを許可する。
次に、図12を参照して、不正接続防止装置100が定期的に行う定期不正接続防止処理について詳細に説明する。
定期不正接続防止処理で、不正接続防止装置100は、不正端末データベース108に保存される各エントリに基づいて、パケットP5を送信し(ステップS301)、パケットP6を送信する(ステップS302)。また、パケットP6を送信後、不正接続防止装置100は、パケットP6の目標にした不正端末125が違反端末120であるか否かを判定する(ステップS303)。目標にした不正端末125が違反端末120である場合(ステップS303が“YES”)、更にパケットP7を送信し(ステップS304)、不正端末125が違反端末120でないなら(ステップS303が“NO”)、処理を終了する。
理解を容易にするために、具体的に、図6に示す不正端末データベース108に記憶されている、違反端末120−aと正常端末110−aのMACアドレス並びにIPアドレスに対して定期不正接続防止処理を行う場合について説明する。
なお、違反端末120−aのMACアドレス、IPアドレスはそれぞれ、MAC−2A、IP−2Aである。また、正常端末110−aのMACアドレス、IPアドレスはそれぞれ、MAC−1A、IP−1Aである。
パケットP5−1は、図13に示すように、IP−2Aを宛先IPアドレスと目標IPアドレスに格納し、IP−1Aを送信元IPアドレスに格納し、偽MACアドレスを送信元リンク層アドレスに格納した、近隣要請メッセージである。
例えば、違反端末120−aが、正常端末110−aに対し近隣要請メッセージを送信した際、不正接続防止処理によるパケットP2が受信できなかったとする。違反端末120−aは正常端末110−aの正しいMACアドレスを取得し、正常端末110−aに対して通信が可能になる。しかし、パケットP5−1を受信することによって、違反端末120−aは、送信元の正常端末110−aに関するリンク層アドレスが、偽MACアドレスに更新される。
つまり、不正端末125が、アドレス解決のために近隣要請メッセージを送信後、なんらかの理由でアドレス解決の目標である正常端末110の正しいMACアドレスを取得したとしても、パケットP5を受信することによって、不正端末125は、正常端末110と通信ができない。
パケットP6−1は近隣広告メッセージであり、図14に示すように、宛先IPアドレスが全ノードマルチキャストアドレスで、送信元IPアドレスと目標IPアドレスとがIP−2Aで、Sフラグが0で、Oフラグが1で、目標リンク層アドレスが偽MACアドレスである。
例えば、不正接続防止処理においてパケットP3が正常端末110−bに届かず、正常端末110−bが、違反端末120−aの正しいMACアドレスを取得したとする。しかし、正常端末110−bは、パケットP6−1を受信することによって、違反端末120−aに対し、偽のMACアドレスを取得する。そのため、正常端末110−aは、違反端末120−aに対して正しく通信を行えない。
パケットP7−1は、パッチサーバ140とポリシーマネージャ150に対してそれぞれユニキャストで送信される。図15に示すように、パケットP7−1のうち、パッチサーバ140に送信されるパケットP7−1−1は、送信元IPアドレスがIP−2Aで、目標IPアドレスがIP−2Aで、送信元リンク層アドレスがMAC−2Aである、近隣要請メッセージである。また、同様のパケットP7−1−2が、ポリシーマネージャ150にも送信される。
パッチサーバ140とポリシーマネージャ150は、パケットP6−1を受信することによって、違反端末120−aに対して通信できなくなる。しかし、更にパケットP7−1を受信することによって、パッチサーバ140とポリシーマネージャ150は、違反端末120−aの正しいMACアドレスを取得する。そのため、パッチサーバ140とポリシーマネージャ150は、違反端末120−aに対して通信することができる。
以上説明した定期不正接続防止処理によって、不正接続防止装置100は、より厳重に、不正端末125と正常端末110との通信を防止しつつ、パッチサーバ140及びポリシーマネージャ150と違反端末120とが通信することを許可することができる。
次に、図16のフローチャートを参照して、端末設定変更処理について詳細に説明する。
不正接続防止装置100は、ポリシーマネージャ150から送信された判定結果を受信し、正常端末データベース107と照らし合わすことで、違反端末120が正常端末110に変化したことを検出する。正常端末110に変化した違反端末120を検出した不正接続防止装置100は、図16に示す端末設定変更処理を実行する。
端末設定変更処理で、不正接続防止装置100は、パケットP8を送信し(ステップS401)、不正端末データベース108を更新し(ステップS402)、正常端末110データベースを更新する(ステップS403)。
理解を容易にするために、具体的に、違反端末120−aが正常端末110に変化した場合について説明する。
図6に示すように、違反端末120−aのIPアドレスとMACアドレスであるIP−2AとMAC−2Aは、不正端末データベース108において、2つのエントリに保存されている。それぞれのエントリには、124秒のエージングタイムとIP−1AとMAC−1A、17秒のエージングタイムとIP−1BとMAC−1B、が格納されている。
これは、エージングタイムに相当する時間だけ遡った時点で、違反端末120−aが、正常端末110−aと正常端末110−bに対してそれぞれ、アドレス解決の為に近隣要請メッセージを送信したことを意味する。ただし、違反端末120−aは、不正接続防止装置100から送信された偽の近隣広告メッセージを受信し、偽MACアドレスを記憶しているため、正常端末110に対して通信ができない。
また、セキュリティポリシー151を満たした違反端末120−aは、ポリシーマネージャ150によって、正常端末110であると判定される。正常端末110であるとポリシーマネージャ150に判定された違反端末120−aが、ネットワーク10内で通信できるようにするために、不正接続防止装置100は、端末設定変更処理を実行する。
不正接続防止装置100は、IP−1Aに対してMAC−1Aを格納したパケットP8−1と、IP−1Bに対してMAC−1Bを格納したパケットP8−2とを送信し(ステップS401)、不正端末データベース108を更新し(ステップS402)、正常端末データベース107を更新する(ステップS403)。
図17に示すように、パケットP8−1は、宛先IPアドレスがIP−2Aで、送信元IPアドレスがIP−1Aで、目標IPアドレスがIP−2Aで、送信元リンク層アドレスがMAC−1Aである近隣要請メッセージである。同様に、パケットP8−2は、宛先IPアドレスがIP−2Aで、送信元IPアドレスがIP−1Bで、目標IPアドレスがIP−2Aで、送信元リンク層アドレスがMAC−1Bである近隣要請メッセージである。
パケットP8−1とパケットP8−2を受信した違反端末120−aは、正常端末110−aと正常端末110−bに対してのリンク層アドレスを、偽のMACアドレスから正しいMACアドレスへ変更する。これによって、正常端末に変化した違反端末120−aは、正常端末110−aならびに正常端末110−bに通信することが自動的に可能になる。
また、不正接続防止装置100は、不正端末データベース108から違反端末120−aのエントリを全て削除し(ステップS402)、正常端末110データベースに違反端末120−aのIPアドレスとMACアドレスを登録する(ステップS403)。
正常端末データベース107が更新されることにより、違反端末120−aは、アドレス解決のために近隣要請メッセージを送信しても不正接続防止装置100にブロックされることはない。
また、不正端末データベース108が更新されることにより、違反端末120−aは、定期不正接続防止処理による通信のブロックが解除される。
このように、違反端末120がセキュリティポリシー151を満たしたことがポリシーマネージャ150によって検知されると、端末設定変更処理によって、正常端末110に変化した違反端末120は、ネットワーク10内において通信することが自動的に可能になる。
以上説明したように、本実施形態によれば、不正端末125と正常端末110との通信をブロックしつつ、事前に登録されたパッチサーバ140及びポリシーマネージャ150と、違反端末120との間では、通信できるようにした。また、違反端末120がセキュリティポリシー151を満たすと、セキュリティポリシー151を満たす違反端末120が自動的に正常端末110と通信ができるようにした。
また、マルチキャストで送信される近隣要請メッセージを利用しているため、ネットワークの構成を変更することなく、セキュリティレベルを維持しつつ、不正接続防止装置150を導入することができる。
これまで、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の趣旨を逸脱しない範囲の設計変更等も含まれる。
例えば、正常端末110と違反端末120と未登録端末130はコンピュータ端末に限定したが、制御部と記憶部と通信部を備えた、ネットワーク10に接続された電子機器端末でもよい。
また、登録端末データベース105には、予め登録端末115のMACアドレスが登録されているものとして説明したが、登録端末115に特定のアプリケーションをインストールすることによって、登録端末データベース105への登録を自動化してもよい。
この場合、特定のアプリケーションがインストールされた端末から特定の情報を含むパケットを不正接続防止装置100に送信する。不正接続防止装置100は、特定の情報を含むパケットを受信すると、受信したパケットの送信元のMACアドレスを登録端末データベース105に登録するようにすればよい。
また、ポリシーマネージャ150は、登録端末115にアクセスすることによって、パッチ適応状況を調べるものとして説明したが、特定のアプリケーションを登録端末115にインストールすることによってパッチ適応状況を調べても良い。
この場合、特定のアプリケーションがインストールされた端末からパッチ適用状況を、ポリシーマネージャ150に送信する。パッチ適用状況を受信したポリシーマネージャ150は、セキュリティポリシー151と受信したパッチ適応状況を比較して、登録端末115が最新のパッチを適応しているかを確認する。
また、特定のアプリケーションを登録端末115にインストールすることによって、インストールされたこのアプリケーションが、登録端末115の登録端末データベース105への登録と、パッチ適応状況の確認の両方を行っても良い。
また、本実施形態では、パッチサーバ140はコンピュータ端末であるものとして説明したが、ハードディスクとネットワークインターフェースと、OS(Operating System)と、管理用ユーティリティなどが一体化されて構成されるNAS(Network Attached Storage)であってもよい。
また、パッチサーバ140は単体の装置であるものとして説明したが、ポリシーマネージャ150に組み込まれていても良いし、不正接続防止装置100に組み込まれていても良い。
また、同様に、ポリシーマネージャ150が、不正接続防止装置100に組み込まれていても良いし、不正接続防止装置100がパッチサーバ140とポリシーマネージャ150が一つの装置であっても良い。
また、不正端末データベース108において、エージングタイムが300秒になったエントリは消去されると説明したが、消去される基準となる時間は、任意に変更可能である。
また、定期不正接続防止処理において、1秒おきに、パケットを送信すると説明したが、時間は1秒に限られず、任意に変更可能である。ただし、エージングタイムより短いことが好ましい。
上記実施形態では、プログラムが、それぞれメモリ等に予め記憶されているものとして説明した。しかし、通信装置を、装置の全部又は一部として動作させ、あるいは、上述の処理を実行させるためのプログラムを、フレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、MO(Magneto Optical disk)などのコンピュータ読み取り可能な記録媒体に格納して配布し、これを別のコンピュータにインストールし、上述の手段として動作させ、あるいは、上述の工程を実行させてもよい。
さらに、インターネット上のサーバ装置が有するディスク装置等にプログラムを格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するものとしてもよい。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)ネットワークに接続し、前記ネットワーク内で通信を行う通信手段と、
予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末との通信を特別に許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
前記通信手段が近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信するパケット送信制御手段と、
を備え、
前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末である重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、該未登録端末に、アドレスが重複している旨を送信し、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末に、目標に対するリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを送信する、
ことを特徴とする不正接続防止装置。
(付記2)前記パケット送信制御手段は、
送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを、前記通信手段が受信すると、
前記偽近隣広告メッセージを該違反端末に送信するとともに、
該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信し、
該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信した後に、該違反端末に対するリンク層アドレスを正しいものに変更する旨を前記特定端末に送信する、
ことを特徴とする付記1に記載の不正接続防止装置。
(付記3)前記パケット送信制御手段は、
送信元が前記未登録端末である近隣要請メッセージを前記通信手段が受信すると、
前記偽近隣広告メッセージを該未登録端末に送信し、
該未登録端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信する、
ことを特徴とする付記1または2に記載の不正接続防止装置。
(付記4)前記パケット送信制御手段は、前記正常端末記憶手段を参照し、新規に前記正常端末記憶手段に登録された前記正常端末識別情報を検知すると、該正常端末識別情報で識別される前記正常端末に、他の前記正常端末に対するリンク層アドレスを正しいものに変更する旨をマルチキャストで送信する、
ことを特徴とする付記1乃至3の何れかに記載の不正接続防止装置。
(付記5)送信元が前記違反端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記違反端末を識別する違反端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する違反端末記憶手段と、
送信元が前記未登録端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記未登録端末を識別する未登録端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する未登録端末記憶手段と、
を更に備え、
前記パケット送信制御手段は、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記正常端末識別情報と、前記未登録端末記憶手段が記憶する前記未登録端末識別情報と前記正常端末識別情報に基づいて、前記正常端末識別情報に対するリンク層アドレスを偽りのものに変更する旨を、該正常端末識別情報に識別情報を対応付けられる前記違反端末と前記未登録端末に、定期的に送信する、
ことを特徴とする付記1乃至4の何れかに記載の不正接続防止装置。
(付記6)時刻情報をカウントし、カウントした当該時刻情報を出力する時刻情報カウント手段を更に備え、
前記違反端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記違反端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去し、
前記未登録端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記未登録端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去する、
ことを特徴とする付記5に記載の不正接続防止装置。
(付記7)前記ネットワークに接続する端末の登録を受け付け、登録を受け付けた前記端末を識別する端末識別情報を出力する端末登録手段を、
更に備え、
前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
ことを特徴とする付記1乃至6の何れかに記載の不正接続防止装置。
(付記8)前記ネットワーク内の端末の前記ネットワーク内における通信の可否を判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末の前記ネットワーク内での通信の可否を繰り返し判定し、前記登録端末の前記ネットワークで通信が可であると判定されると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
を更に備え、
前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新し、
前記パケット送信制御手段は、前記通信手段が近隣要請メッセージを受信すると、前記通信手段が受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が更新した最新の前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信する、
ことを特徴とする付記1乃至7の何れかに記載の不正接続防止装置。
(付記9)コンピュータに
予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該近隣要請メッセージの送信元と目標を判別する手順と、
送信元が前記登録端末でもなく前記特定端末でもない重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、アドレスが重複している旨を返信する手順と、
前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、目標のリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを該違反端末に送信する手順と、
を実行させるためのプログラム。
10 ネットワーク
100 不正接続防止装置
101 制御部
102 通信部
103 タイマ
104 入力部
105 登録端末データベース
106 特定端末データベース
107 正常端末データベース
108 不正端末データベース
110 正常端末
115 登録端末
120 違反端末
125 不正端末
130 未登録端末
140 パッチサーバ
150 ポリシーマネージャ

Claims (9)

  1. ネットワークに接続し、前記ネットワーク内で通信を行う通信手段と、
    予め登録された登録端末を識別する登録端末識別情報を記憶する登録端末記憶手段と、
    前記ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を記憶する正常端末記憶手段と、
    前記ネットワーク内での通信を許可されていない前記登録端末である違反端末との通信を特別に許可される特定端末を識別する特定端末識別情報を記憶する特定端末記憶手段と、
    前記通信手段が近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信するパケット送信制御手段と、
    を備え、
    前記パケット送信制御手段は、送信元が前記登録端末でもなく前記特定端末でもない未登録端末である重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、該未登録端末に、アドレスが重複している旨を送信し、
    前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末に、該違反端末が目標に対するリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを送信する、
    ことを特徴とする不正接続防止装置。
  2. 前記パケット送信制御手段は、
    送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを、前記通信手段が受信すると、
    前記偽近隣広告メッセージを該違反端末に送信するとともに、
    マルチキャストを受信する端末が該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信し、
    マルチキャストを受信する端末が該違反端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信した後に、前記特定端末が該違反端末に対するリンク層アドレスを正しいものに変更する旨を特定端末に送信する、
    ことを特徴とする請求項1に記載の不正接続防止装置。
  3. 前記パケット送信制御手段は、
    送信元が前記未登録端末である近隣要請メッセージを前記通信手段が受信すると、
    前記偽近隣広告メッセージを該未登録端末に送信し、
    マルチキャストを受信する端末が該未登録端末に対するリンク層アドレスを偽りのものに変更する旨をマルチキャストで送信する、
    ことを特徴とする請求項1または2に記載の不正接続防止装置。
  4. 前記パケット送信制御手段は、前記正常端末記憶手段を参照し、新規に前記正常端末記憶手段に登録された前記正常端末識別情報を検知すると、該正常端末識別情報で識別される前記正常端末に、該正常端末識別情報で識別される前記正常端末が他の前記正常端末に対するリンク層アドレスを正しいものに変更する旨をマルチキャストで送信する、
    ことを特徴とする請求項1乃至3の何れか一項に記載の不正接続防止装置。
  5. 送信元が前記違反端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記違反端末を識別する違反端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する違反端末記憶手段と、
    送信元が前記未登録端末で、目標が前記正常端末である近隣要請メッセージを前記通信手段が受信すると、受信した当該近隣要請メッセージの送信元である前記未登録端末を識別する未登録端末識別情報と、受信した当該近隣要請メッセージの目標である前記正常端末を識別する前記正常端末識別情報とを、対応付けて記憶する未登録端末記憶手段と、
    を更に備え、
    前記パケット送信制御手段は、前記違反端末記憶手段が記憶する前記違反端末識別情報と前記正常端末識別情報に基づいて、該正常端末識別情報に識別情報を対応付けられる前記違反端末が前記正常端末識別情報に対するリンク層アドレスを偽りのものに変更する旨を、該正常端末識別情報に識別情報を対応付けられる前記違反端末に、定期的に送信し、
    前記パケット送信制御手段は、前記未登録端末記憶手段が記憶する前記未登録端末識別情報と前記正常端末識別情報に基づいて、該正常端末識別情報に識別情報を対応付けられる前記未登録端末が前記正常端末識別情報に対するリンク層アドレスを偽りのものに変更する旨を、該正常端末識別情報に識別情報を対応付けられる前記未登録端末に、定期的に送信する、
    ことを特徴とする請求項1乃至4の何れか一項に記載の不正接続防止装置。
  6. 時刻情報をカウントし、カウントした当該時刻情報を出力する時刻情報カウント手段を更に備え、
    前記違反端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記違反端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去し、
    前記未登録端末記憶手段は、前記時刻情報カウント手段が出力する前記時刻情報に基づいて、近隣要請メッセージを受信してからの経過時間を、当該近隣要請メッセージの送信元の前記未登録端末識別情報と、当該近隣要請メッセージの目標の前記正常端末識別情報に、更に対応付けて記憶し、前記経過時間が一定の時間になると、当該経過時間に対応付けられる情報を消去する、
    ことを特徴とする請求項5に記載の不正接続防止装置。
  7. 前記ネットワークに接続する端末の登録を受け付け、登録を受け付けた前記端末を識別する端末識別情報を出力する端末登録手段を、
    更に備え、
    前記登録端末記憶手段は、前記端末登録手段が出力する前記端末識別情報を受信し、受信した当該端末識別情報を記憶する、
    ことを特徴とする請求項1乃至6の何れか一項に記載の不正接続防止装置。
  8. 前記ネットワーク内の端末の前記ネットワーク内における通信の可否を判定する基準である接続判定基準を記憶する接続判定基準記憶手段と、
    前記接続判定基準記憶手段が記憶する前記接続判定基準に基づいて、前記登録端末の前記ネットワーク内での通信の可否を繰り返し判定し、前記登録端末の前記ネットワークで通信が可であると判定されると、該登録端末を識別する前記登録端末識別情報を判定毎に出力する正常端末判定手段と、
    を更に備え、
    前記正常端末記憶手段は、前記正常端末判定手段が判定毎に出力する前記登録端末識別情報を受信し、受信した当該登録端末識別情報に基づいて、記憶する前記正常端末識別情報を更新し、
    前記パケット送信制御手段は、前記通信手段が近隣要請メッセージを受信すると、前記通信手段が受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が更新した最新の前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、前記通信手段からパケットを送信する、
    ことを特徴とする請求項1乃至7の何れか一項に記載の不正接続防止装置。
  9. コンピュータに
    予め登録された登録端末を識別する登録端末識別情報を登録端末記憶手段に記憶する手順と、
    ネットワーク内での通信を許可された前記登録端末である正常端末を識別する正常端末識別情報を正常端末記憶手段に記憶する手順と、
    前記ネットワーク内での通信を許可されていない前記登録端末である違反端末と特別に通信を許可される特定端末を識別する特定端末識別情報を特定端末記憶手段に記憶する手順と、
    近隣要請メッセージを受信すると、受信した当該近隣要請メッセージと、前記登録端末記憶手段が記憶する登録端末識別情報と、前記正常端末記憶手段が記憶する前記正常端末識別情報と、前記特定端末記憶手段が記憶する特定端末識別情報に基づいて、該近隣要請メッセージの送信元と目標を判別する手順と、
    送信元が前記登録端末でもなく前記特定端末でもない重複アドレス検出の近隣要請メッセージを前記通信手段が受信すると、アドレスが重複している旨を返信する手順と、
    前記パケット送信制御手段は、送信元が前記違反端末であって目標が前記特定端末でない近隣要請メッセージを前記通信手段が受信すると、該違反端末が目標のリンク層アドレスを偽りのものに変更する偽近隣広告メッセージを該違反端末に送信する手順と、
    を実行させるためのプログラム。
JP2010081430A 2010-03-31 2010-03-31 不正接続防止装置及びプログラム Active JP5509999B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010081430A JP5509999B2 (ja) 2010-03-31 2010-03-31 不正接続防止装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010081430A JP5509999B2 (ja) 2010-03-31 2010-03-31 不正接続防止装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2011217016A JP2011217016A (ja) 2011-10-27
JP5509999B2 true JP5509999B2 (ja) 2014-06-04

Family

ID=44946339

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010081430A Active JP5509999B2 (ja) 2010-03-31 2010-03-31 不正接続防止装置及びプログラム

Country Status (1)

Country Link
JP (1) JP5509999B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101312074B1 (ko) 2012-12-06 2013-09-25 (주)넷맨 Mac주소 정보를 감시하면서 복구하는 방법
WO2016170598A1 (ja) * 2015-04-21 2016-10-27 株式会社Pfu 情報処理装置、方法およびプログラム
JP7444600B2 (ja) 2019-12-25 2024-03-06 アズビル株式会社 検出装置および検出方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4179300B2 (ja) * 2005-03-31 2008-11-12 日本電気株式会社 ネットワーク管理方法および装置並びに管理プログラム
JP2006352719A (ja) * 2005-06-20 2006-12-28 Hitachi Ltd ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法

Also Published As

Publication number Publication date
JP2011217016A (ja) 2011-10-27

Similar Documents

Publication Publication Date Title
US7694343B2 (en) Client compliancy in a NAT environment
US7836501B2 (en) Client compliancy with self-policing clients
JP4327630B2 (ja) インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
US6754716B1 (en) Restricting communication between network devices on a common network
US7725932B2 (en) Restricting communication service
US20050283831A1 (en) Security system and method using server security solution and network security solution
US20050050365A1 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
US10630700B2 (en) Probe counter state for neighbor discovery
CN101827138A (zh) 一种优化的ipv6过滤规则处理方法和设备
US20070294699A1 (en) Conditionally reserving resources in an operating system
KR20080071208A (ko) 소프트웨어 실행 관리 장치, 그 방법 및 프로그램
Song et al. Novel duplicate address detection with hash function
Nam et al. Mitigating ARP poisoning-based man-in-the-middle attacks in wired or wireless LAN
US8234503B2 (en) Method and systems for computer security
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
CN107395615B (zh) 一种打印机安全防护的方法和装置
JP4321375B2 (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP2009225045A (ja) 通信妨害装置及び通信妨害プログラム
JP2008227600A (ja) 通信妨害装置及び通信妨害プログラム
JP5540679B2 (ja) ネットワーク機器、通信制御方法、及びプログラム
Kalil Policy Creation and Bootstrapping System for Customer Edge Switching

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140310

R150 Certificate of patent or registration of utility model

Ref document number: 5509999

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150