JP5581141B2 - 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム - Google Patents
管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム Download PDFInfo
- Publication number
- JP5581141B2 JP5581141B2 JP2010171037A JP2010171037A JP5581141B2 JP 5581141 B2 JP5581141 B2 JP 5581141B2 JP 2010171037 A JP2010171037 A JP 2010171037A JP 2010171037 A JP2010171037 A JP 2010171037A JP 5581141 B2 JP5581141 B2 JP 5581141B2
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- information
- blocking
- information processing
- segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、ネットワークに接続された情報処理装置を管理する技術に関する。
従来、ネットワークを介してARP(Address Resolution Protocol)要求を受信したときに、ARP要求の要求元の端末が正規端末か否かを判断するアクセス権判断部と、要求元の端末が不正端末であると判断されたときに、不正端末の送信機能を停止させるPAUSEフレームを予め設定された期間にわたって不正端末または正規端末の少なくともいずれか一方を宛先として送信するPAUSEフレーム送信部と、PAUSEフレーム送信部からPAUSEフレームが送信されている間にARP要求に対する偽のARP応答を不正端末に送信して正規端末との通信を不可能にさせる偽ARP応答部とを備える不正アクセス防止装置がある(特許文献1を参照)。
また、相手端末のIPアドレス宛のARPパケットをブロードキャスト送信すると共に、自側のIPアドレス宛のARPパケット又はARP応答を受信するARP通信部と、相手端末からのARPパケットに対するARP応答を返信するARP応答部と、セッション開始時に相手側MAC(Media Access Control)アドレスを相互に受信するMACアドレス通信部と、相手側MACアドレスを使用して、相手端末との音声パケット通信を実行するパケット通信部とを有し、ARP応答部は、相手側MACアドレスを受信すると、セッション終了まで自側のIPアドレス宛のARPパケットを受信したとしても、同ARPパケットに対するARP応答の返信を停止するようにしたIP端末装置がある(特許文献2を参照)。
例えば、ネットワークの不正利用を防止する目的で、未承認の情報処理装置による通信を遮断する場合、ネットワークに接続された情報処理装置が承認済か未承認かを管理する必要がある。従来、このような管理では、承認済の情報処理装置の識別子をホワイトリストに記録し、また、必要であれば未承認の装置の識別子をブラックリストに記録する方法等が採用される。
しかし、このような、情報処理装置の識別子を登録したリストを用いて情報処理装置を管理する方法では、同一の識別子を有する情報処理装置が複数接続された場合に、これらの情報処理装置を識別(区別)することが困難である。特に、承認済の情報処理装置と同一の識別子で偽装された未承認の情報処理装置が接続された場合に、これらの情報処理装置を識別し、承認済か未承認であるかを判断することは困難であった。
本発明は、上記した問題に鑑み、ネットワークに接続された情報処理装置を管理するシステムにおいて、同一の識別子を有する複数の情報処理装置を識別することを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明は、複数のネットワークセグメントを管理する管理サーバであって、前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、前記遮断要否判定手段によって判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知手段と、を備える管理サーバである。
ここで、ネットワークセグメントとは、ネットワーク全体を所定の基準に従って分割した場合の、ネットワークの各部分である。換言すれば、複数のネットワークセグメントを、ルータやスイッチ等の中継装置を介して互いに通信可能に接続することで、本発明の情報処理システムに係るネットワークが構築される。例えば、ネットワークセグメントは、データリンク層におけるブロードキャストパケットが到達する範囲とすることが出来る。
本発明によれば、セグメント識別情報と関連付けられて装置識別情報が蓄積されることで、異なるネットワークセグメントにおいて同一の装置識別情報を有する情報処理装置が接続された場合であっても、異なる情報処理装置であることを正しく認識し、夫々の情報処理装置に対して通信遮断または通信許可等の制御を行うことが可能となる。
また、本発明において、前記管理情報取得手段は、前記装置識別情報および前記セグメント識別情報を、該装置識別情報が示す情報処理装置が属するネットワークセグメントに接続されている前記通信遮断装置から取得してもよい。
また、本発明において、前記管理情報取得手段は、前記セグメント識別情報として、前記通信遮断装置の識別子を取得してもよいし、前記セグメント識別情報として、前記ネットワークセグメントに接続されている該通信遮断装置のインターフェースの識別子を更に取得してもよい。
セグメント識別情報として、通信遮断装置の識別子、および通信遮断装置のインターフェースの識別子を取得することで、複数のインターフェースを有する単一の通信遮断装置が、夫々のインターフェースを介して複数の異なるネットワークセグメントに接続されているような場合であっても、これらのネットワークセグメントにおいて同一の装置識別情報を有する情報処理装置が接続された際には、異なる情報処理装置であることを正しく認識し、夫々の情報処理装置に対して通信遮断または通信許可等の制御を行うことが可能となる。
また、本発明に係る管理サーバは、前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、を更に備えてもよい。
本発明によれば、上記のような抽出手段および抽出結果通知手段を備えることで、複数のネットワークセグメントが互いに接続された情報処理システムにおいて、装置識別情報が重複する情報処理装置が接続された場合にも、重複を検出し、管理者等のユーザに通知する事が可能となる。
また、本発明は、ネットワークセグメントに接続される通信遮断装置の発明としても把握する事が可能である。即ち、本発明は、ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得手段と、前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信手段と、前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得手段と、前記遮断要否取得手段によって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断手段と、を備える通信遮断装置である。
また、本発明において、前記管理情報送信手段は、前記セグメント識別情報として、該通信遮断装置の識別子を送信してもよい。
また、本発明に係る通信遮断装置は、夫々を異なるセグメントに接続可能な複数のインターフェースを有し、前記管理情報送信手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続される前記インターフェースの識別子を更に送信してもよい。
また、本発明に係る通信遮断装置は、前記情報処理装置に対して、他の装置の物理アドレス(例えば、MACアドレス)として、該通信遮断装置の物理アドレスを通知することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置に係る通信の少なくとも一部を遮断してもよい。
また、本発明は、複数のネットワークセグメントを有する情報処理システムの発明としても把握することが可能である。即ち、本発明は、複数のネットワークセグメントを有する情報処理システムであって、前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、前記遮断要否判定手段によって、前記情報処理装置に係る通信の遮断が必要であると判定された場合に、前記装置識別情報が示す情報処理装置に係る通信を遮断する通信遮断手段と、を備える情報処理システムである。
また、本発明に係る情報処理システムは、前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、を更に備えてもよい。
更に、本発明は、方法、又はコンピュータによって実行されるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によれば、ネットワークに接続された装置を管理するシステムにおいて、同一の識別子を有する複数の装置を識別することが可能となる。
以下、本発明に係る情報処理システムを、検疫システムとして実施した場合の実施の形態について、図面に基づいて説明する。但し、本発明に係る情報システムは、ネットワークに属する情報処理装置を管理する目的に広く用いることが可能であり、本発明の適用対象は、検疫システムに限定されない。
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる複数の情報処理装置90(以下、「ノード90」と称する)が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、夫々のネットワークセグメント2には、検疫が完了していないノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる複数の情報処理装置90(以下、「ノード90」と称する)が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、夫々のネットワークセグメント2には、検疫が完了していないノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
なお、ネットワーク監視装置20は、本発明に係る通信遮断装置に相当し、検疫サーバ30は、本発明に係る、複数のネットワークセグメント2を管理する管理サーバに相当する。また、業務サーバ50は、ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2に接続されたノード90に対して検疫サービスを提供する。
なお、本実施形態に係る検疫システム1では、ノード90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
図2は、本実施形態に係るネットワーク監視装置20および検疫サーバ30のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20および検疫サーバ30は、それぞれ、CPU
(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
ここで、ネットワーク監視装置20の記憶装置14aには、ネットワーク監視装置20を制御するためのプログラムの他に、検疫済端末リスト28aおよび未検疫端末リスト28bが記録されている。検疫済端末リスト28aには、検疫サーバ30による検疫が完了しており、業務サーバ50や他のノード90への接続を行うことが許可された端末を識別するための情報がリストアップされている。また、未検疫端末リスト28bには、検疫サーバ30による検疫が完了していないために、ネットワークにおける通信がネットワーク監視装置20によって遮断されるべき端末を識別するための情報がリストアップされている。本実施形態では、検疫済端末リスト28aおよび未検疫端末リスト28bは、ノード90のMACアドレスを記録することによって、検疫済みの端末、および未検疫の端末を識別することとしている。
また、検疫サーバ30の記憶装置14bには、検疫サーバ30を制御するためのプログラムの他に、条件リスト41およびホワイトリスト42が記録されている。条件リスト41には、ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、マルウェア検知エンジンのバージョン条件、等)が蓄積されている。
ホワイトリスト42には、検疫サーバ30による検疫が完了しており、業務サーバ50や他のノード90への接続を行うことが許可されたノード90を識別するための情報がリストアップされている。具体的には、ホワイトリストには、通信が許可されたノード90を識別可能な装置識別情報(以下、「ノードID」と称する)が記録される。なお、本実施形態において、ホワイトリスト42はネットワークセグメント2毎に生成され、個々のネットワークセグメント2を識別可能なセグメント識別情報(以下、「セグメントID」と称する)と関連付けられて管理される。このようにして、本実施形態では、ネットワーク監視装置20が管理するネットワークセグメント2と、ノード90のノードID(MACアドレス)と、が紐付けて管理される。但し、ノードIDと併せてセグメントIDを記録することで、単一のホワイトリスト42で複数のネットワークセグメント2に属するノード90を管理することとしてもよい。
図3は、本実施形態に係るネットワーク監視装置20および検疫サーバ30の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14aに記録されているプログラムが、RAM13aに読み出され、CPU11aによって実行されることで、通信遮断部21と、リダイレクト部22と、装置識別情報取得部23と、管理情報送信部24と、遮断要否取得部25と、物理アドレス偽装部27と、を備える通信遮断装置として機能する。なお、本実施形態では、通信遮断装置の備える各機能は、汎用プロセッサであるCPU11aによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
また、検疫サーバ30は、記憶装置14bに記録されているプログラムが、RAM13bに読み出され、CPU11bによって実行されることで、接続受入部31と、検疫部33と、管理情報取得部34と、管理情報蓄積部35と、遮断要否判定部36と、遮断要否通知部37と、抽出部38と、抽出結果通知部39と、を備える管理サーバとして機能する。なお、本実施形態では、管理サーバの備える各機能は、汎用プロセッサであるCPU11bによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
図4は、本実施形態に係るノード管理処理の流れを示すフローチャートである。本実施形態に係るノード管理処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS101では、ネットワーク監視装置20によって、ネットワークセグメント2に属する個々のノード90を識別可能なノードID(装置識別情報)が取得される。本実施形態では、ノードIDとして、ノード90のMACアドレスが用いられる。ネットワーク監視装置20の装置識別情報取得部23は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送信されたARPのアドレス解決要求等のブロードキャストパケット等を取得し、ノード90のMACアドレスを取得する。
より具体的には、ネットワーク監視装置20は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得し、取得されたパケットの送信元MACアドレスと、検疫済端末リスト28aおよび未検疫端末リスト28bに保持されているMACアドレスとを照合する。照合の結果、取得されたパケットの送信元MACアドレスが検疫済端末リスト28aおよび未検疫端末リスト28bの何れにも含まれていない場合、通信遮断部21は、セグメント2に新たなノード90が接続されたと判断し、新たなノード90のMACアドレスを取得する。その後、処理はステップS102へ進む。
ステップS102では、ノードIDおよびセグメントIDが送信される。ネットワーク監視装置20の管理情報送信部24は、個々のネットワークセグメント2を識別可能なセグメントID(セグメント識別情報)を、記憶装置14aから読み出す等の方法で取得し、ステップS101で取得されたノードIDと、セグメントIDと、を関連付けて検疫サーバ30へ送信する。本実施形態では、セグメントIDとして、ネットワーク監視装置20のMACアドレスが用いられる。但し、セグメントIDとしては、ネットワーク監視装置20の製造シリアル番号や、ルータ10のWAN側アドレス等、ネットワークセグメント2を識別可能なその他の情報が用いられてもよい。その後、処理はステップS103へ進む。
ステップS103およびステップS104では、ノードIDおよびセグメントIDが受信され、ホワイトリスト42が検索される。検疫サーバ30の管理情報取得部34は、ネットワーク監視装置20から送信されたノードID、およびセグメントIDを受信する(ステップS103)。そして、検疫サーバ30の遮断要否判定部36は、ステップS10
3において受信されたセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104)。その後、処理はステップS105へ進む。
3において受信されたセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104)。その後、処理はステップS105へ進む。
ステップS105からステップS107では、ホワイトリスト42の検索結果に従って、通信許可通知または通信遮断通知が送信される。検疫サーバ30の遮断要否判定部36は、検索の結果、取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されているか否か、を判定することで、ノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定する(ステップS105)。取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されている場合、検疫サーバ30の遮断要否通知部37は、ネットワーク監視装置20に対して、ノードIDが示すノード90に係る通信の遮断が不要であることを示す通信許可通知を送信する(ステップS106)。取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されていない場合、検疫サーバ30の遮断要否通知部37は、ネットワーク監視装置20に対して、ノードIDが示すノード90に係る通信の遮断が必要であることを示す通信遮断通知を送信する(ステップS107)。その後、処理はステップS108へ進む。
ステップS108からステップS112では、検疫サーバ30から送信されたホワイトリスト42の検索結果の通知が受信され、通知の内容に従ってノード90に対する通信許可または通信遮断が行われる。ネットワーク監視装置20の遮断要否取得部25は、検疫サーバ30から送信された通信許可通知または通信遮断通知を受信すると(ステップS108)、受信された通知の内容が、通信許可通知であるか通信遮断通知であるかを判定する(ステップS109)。受信された通知の内容が通信許可通知であった場合、ネットワーク監視装置20は、通信許可通知に係るノード90のMACアドレスを、検疫済端末リスト28aに追加する(ステップS112)。なお、ネットワーク監視装置20は、通信許可通知に係るノード90のMACアドレスが、未検疫端末リスト28bに登録されている場合には、これを削除する。
本実施形態において用いられるネットワーク監視装置20は、ARP偽装によるパケット送信先の誘導によってノード90による通信を遮断するものであるため、受信された通知の内容が通信許可通知であった場合、ネットワーク監視装置20は、ノード90による通信を許可するために特段の処理を行う必要はない。但し、対象のノード90に対して既にARP偽装による通信遮断が行われている場合には、ネットワーク監視装置20は、対象のノード90に対してルータ10の正しいMACアドレスを通知してARP偽装を解除する方法や、ARP偽装によってネットワーク監視装置20へ誘導されたノード90からのパケットを正しい宛先に転送する方法等を用いて、ノード90による通信を許可する。
これに対して、受信された通知の内容が通信遮断通知であった場合、ネットワーク監視装置20の物理アドレス偽装部27および通信遮断部21は、ノード90に対してARP偽装によるパケット送信先の誘導を行う等の方法で、ノード90による通信を遮断する(ステップS110)。また、ネットワーク監視装置20の物理アドレス偽装部27は、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する等の方法で、検疫ページへの誘導処理を行う(ステップS111)。通信遮断処理(ステップS110)および検疫ページへの誘導処理(ステップS111)の詳細については、図5を用いて後述する。
図5は、本実施形態に係る通信遮断処理、および検疫ページへの誘導処理の流れを示すフローチャートである。本フローチャートは、図4のステップS110およびステップS111に示された通信遮断処理、および検疫ページへの誘導処理を、より詳細に説明する
ものである。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ものである。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
はじめに、通信遮断処理について説明する。ネットワーク監視装置20は、図4のステップS108で受信した通信遮断通知に係るノード90のMACアドレスを未検疫端末リスト28bに記録する(ステップS201)。そして、ネットワーク監視装置20の物理アドレス偽装部27は、ノード90に対して、ネットワークセグメント2内の他の端末やルータ10のMACアドレスとして、自身(ネットワーク監視装置20)のMACアドレス(以下、「偽装アドレス」とも称する)を送信する(ステップS202)。
例えば、ネットワークに参加したノード90は、通信したい端末(例えば、業務サーバ50)と通信を行うために、ARPのアドレス解決要求をブロードキャスト送信する。ここで、一般的なネットワークであれば、業務サーバ50はネットワークセグメント2の外に存在するため、ルータ10が自身(ルータ10)のMACアドレスを通知することとなる。しかし、本実施形態に係るネットワーク構成では、ネットワークセグメント2にはネットワーク監視装置20が接続されており、このネットワーク監視装置20は、ノード90によるアドレス解決要求に対して、自身(ネットワーク監視装置20)のMACアドレス(偽装アドレス)をノード90へ通知する。
また、ネットワーク監視装置20からノード90に対する偽装アドレスの通知は、ノード90から送信されたアドレス解決要求への応答としてではなく、ネットワーク監視装置20からのARP要求として送信されてもよい。
いずれにしても、ここでノード90へ通知されるMACアドレスは、デフォルトルータやネットワークセグメント2内の他の端末のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。このため、本実施形態に係るネットワーク監視装置20によれば、未検疫のノード90は、業務サーバ50やネットワークセグメント2内の他の端末等のMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録することとなる(ステップS203、ステップS204)。
このため、未検疫のノード90は、業務サーバ50やネットワークセグメント2内の他の端末等へのアクセスを試みる場合に、ネットワーク監視装置20によって偽装されたMACアドレス宛にパケットを送信することとなる。換言すれば、物理アドレス偽装部27は、ノード90に対して、他の装置のMACアドレスとして、ネットワーク監視装置20のMACアドレスを通知することで、ノード90から送信される情報をネットワーク監視装置20に誘導する。そして、ネットワーク監視装置20は、後述する検疫のために必要な通信を除いて、未検疫端末リスト28bに記録されているノード90から送信されたパケットの一部または全部を破棄する(転送しない)。上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫のノード90による通信の一部または全部を遮断する。
なお、ネットワーク監視装置20は、未検疫のノード90が保持するアクセスリストが、正しい通信相手のMACアドレスを保持することを防止するため、偽装のためのARP応答を、時間をおいて複数回送信することが好ましい。
次に、検疫ページへの誘導処理について説明する。ネットワーク監視装置20のリダイレクト部22は、通信遮断中のノード90から取得した通信がHTTP通信であった場合、HTTPの接続要求に指定された通信相手(図5に示した例では、業務サーバ50)に拘らず、検疫サーバ30へ接続するようリダイレクトする(ステップS205からステッ
プS207)。ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する(ステップS208、S209)。なお、この際、ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット廃棄)することなく転送する。
プS207)。ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する(ステップS208、S209)。なお、この際、ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット廃棄)することなく転送する。
以後、ノード90が未検疫端末リスト28bに記録されている間、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては転送を行い、それ以外のパケットは転送することなく廃棄(通信遮断)する。このような処理によって、ノード90は、ネットワークセグメント2のセキュリティを確保しつつ、検疫サービスを受けることが出来る。なお、本実施形態では、パケット転送の要否は宛先IPアドレスを参照することで判断されるが、その他の方法が採用されてもよい。例えば、宛先IPアドレスに加えて、通信プロトコルの種類やポート番号、URL等を参照して、転送の要否が判断されてもよい。
検疫サーバ30の接続受入部31は、リダイレクトされたHTTP接続を受信し、検疫サーバ30は、検疫用のWebページを、ノード90に対して送信する(ステップS210、S211)。検疫用のWebページを受信したノード90は、検疫用のWebページを表示する(ステップS212、S213)。本実施形態に係る検疫システム1では、検疫用のWebページには、ノード90のユーザまたはノード90を認証するための認証用情報(例えば、ユーザIDやパスワード等)を入力するための入力フィールドが含まれ、ユーザは、ノード90の入力装置(キーボードやマウス等)を用いて認証用の情報を入力することで認証を求める。但し、実施の形態によっては、認証の方法にその他の方法が採用されてもよいし、認証が行われなくてもよい。
図6は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、ノード90によって表示された検疫用のWebページにおいて、ユーザが認証用の情報を入力したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ノード90は、ユーザによって入力された認証用の情報(ユーザIDやパスワード等)を含む認証要求および検疫要求を、検疫サーバ30に送信する(ステップS301)。認証要求および検疫要求を受信した検疫サーバ30は、受信した情報に含まれるユーザIDやパスワード等を、予め保持しているユーザ情報に照会することで、ユーザまたはノード90を認証する(ステップS302)。
また、ノード90は、検疫用の情報(以下、「インベントリ」とも称する)を収集する(ステップS303)。但し、ノード90によってインベントリが収集されるタイミングは、本フローチャートに示した例に限定されない。インベントリは、検疫サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。ノード90は、ステップS303で収集したインベントリを、検疫サーバ30へ送信する(ステップS304)。
検疫サーバ30がインベントリを受信すると(ステップS305)、検疫サーバ30の検疫部33は、受信されたインベントリの内容を調査することで、ノード90を検疫する。具体的には、インベントリ(検疫用の情報)に含まれる、ノード90の環境に関連する各種情報(例えば、ノード90のシステム情報、システムソフトウェアのバージョン情報
、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、マルウェア検知エンジンのバージョン情報、等)が、条件リスト41に挙げられた所定の条件を満たしているか否かを確認することで、ノード90に対して現在適用されている通信遮断を解除してよいか否かを判定する(ステップS306)。判定の結果、ノード90の環境が所定の条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、ノード90の環境が所定の条件を満たしていないと判定された場合、検疫は不合格となる。
、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、マルウェア検知エンジンのバージョン情報、等)が、条件リスト41に挙げられた所定の条件を満たしているか否かを確認することで、ノード90に対して現在適用されている通信遮断を解除してよいか否かを判定する(ステップS306)。判定の結果、ノード90の環境が所定の条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、ノード90の環境が所定の条件を満たしていないと判定された場合、検疫は不合格となる。
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれるノード90の環境に関連する各種情報と、条件リスト41に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
検疫結果が検疫完了(所定の条件を満たしている)であった場合、検疫サーバ30の管理情報蓄積部35は、検疫結果に係るノードIDを、該ノードIDに係るノード90が属するセグメントIDに対応するホワイトリスト42に登録する(ステップS307)。このため、以降、同一のネットワークセグメント2を管理するネットワーク監視装置20から同一ノードIDの照会があった場合には、検疫サーバ30はネットワーク監視装置20に対して通信許可通知を送信する(ステップS101からステップS106を参照)。しかし、検疫結果に係るノード90が検疫を受けたネットワークセグメント2以外のネットワークセグメント(第二のネットワークセグメント)に、検疫結果に係るノード90と同一のノードIDを有するノード90が接続された場合には、ホワイトリストがネットワークセグメント2毎に管理されているため、検疫サーバ30は、第二のネットワークセグメント2に係るホワイトリストを参照し、通信許可通知を送信するか、通信遮断通知を送信するかを判断する(ステップS104からステップS107を参照)。
検疫サーバ30は、検疫の結果、即ち、ノード90の環境が所定の条件を満たしているか否かの判定結果をログに出力し(ステップS308)、Webページとしてノード90に送信する(ステップS309、S310)。
検疫結果が検疫完了(所定の条件を満たしている)であった場合、ノード90は、ネットワーク監視装置20に対して、遮断解除要求を送信する(ステップS311、ステップS313)。遮断解除要求は、検疫結果に係るノードIDと、ネットワーク監視装置20によるノード90の通信遮断が解除されてよいことを示す遮断解除許可情報と、を含む。遮断解除要求を受けたネットワーク監視装置20は、遮断解除要求の内容を精査することで要求の正当性を判断し、正当な遮断解除要求であると判断された場合には、該当するMACアドレスを未検疫端末リスト28bから削除し、検疫済端末リスト28aに追加する(ステップS314)。また、遮断解除要求を受けたネットワーク監視装置20は、ノード90に対する通信遮断を解除する。解除の具体的な方法は、先述した通信の許可の方法と概略同様であるため、説明を省略する。
なお、遮断解除要求は、検疫サーバ30からネットワーク監視装置20に対して送信されてもよい。この場合、検疫サーバ30は、ネットワーク監視装置20に対して、遮断解除要求を送信する(ステップS312、ステップS313)。
本実施形態に係る検疫システム1によれば、ネットワークセグメント2毎にホワイトリストが管理されている(即ち、セグメントIDと関連付けられてノードIDが管理されている)ことで、異なるネットワークセグメント2において同一のノードID(MACアドレス)を有するノード90が接続された場合(MACアドレスが重複している場合)であ
っても、異なるノード90であることを正しく認識し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90による通信を遮断することが可能となり、セキュリティレベルを高めることが可能となる。
っても、異なるノード90であることを正しく認識し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90による通信を遮断することが可能となり、セキュリティレベルを高めることが可能となる。
図7は、本実施形態に係る重複検出処理の流れを示すフローチャートである。本実施形態に係る重複検出処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS401からステップS403では、ノードIDおよびセグメントIDが取得され、送受信される。ステップS401からステップS403までの処理は、図4を用いて説明したステップS101からステップS103までの処理と概略同様であるため、説明を省略する。
ステップS404およびステップS405では、受信されたノードIDを用いて、受信されたセグメントIDに係るホワイトリスト42を除く全てのホワイトリスト42が検索され、ノードIDが重複するノード90の有無が判定される。検疫サーバ30の抽出部38は、ステップS403において受信されたセグメントIDに対応するホワイトリスト42以外のホワイトリスト42(以下、「検索対象のホワイトリスト42」とも称する)を、受信されたノードIDを用いて検索することで、異なるネットワークセグメント2に属する、ノードIDが重複するノード90を抽出する(ステップS404)。そして、検疫サーバ30の抽出部38は、検索の結果、検索対象のホワイトリスト42の何れかに、取得されたノードIDが記録されていたか否か、を判定することで、ノードIDが重複するノード90の有無を判定する(ステップS405)。ここで、検索対象のホワイトリストの何れにも、取得されたノードIDが登録されていない場合(即ち、重複が発見されなかった場合)、本フローチャートに示された処理は終了する。これに対して、検索対象のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合(即ち、重複が発見された場合)、処理はステップS407へ進む。
ステップS407からステップS411では、通信遮断通知が送受信され、ノード90に対する通信遮断が行われる。検疫サーバ30の遮断要否通知部37は、ノードIDが重複するノード90が、他のネットワークセグメント2において発見された場合、ネットワーク監視装置20に対して、通信遮断通知を送信する(ステップS407)。ネットワーク監視装置20において、検疫サーバ30から送信された通信遮断通知を受信すると(ステップS408)、ネットワーク監視装置20の物理アドレス偽装部27および通信遮断部21は、ノード90に対してARP偽装によるパケット送信先の誘導を行う等の方法で、ノード90による通信を遮断する(ステップS410)。また、ネットワーク監視装置20の物理アドレス偽装部27は、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する等の方法で、検疫ページへの誘導処理を行う(ステップS411)。ステップS410およびステップS411の処理の詳細は、図5を用いて説明した通信遮断処理、および検疫ページへの誘導処理と概略同様であるため、説明を省略する。
また、ステップS413では、システム管理者に対して、異なるネットワークセグメント2においてノードID(MACアドレス)が重複するノード90が検出された旨が通知される。検疫サーバ30の抽出結果通知部39は、取得されたセグメントIDに係るホワ
イトリスト42以外のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合、管理者に対して、ステップS402で送信されたノードIDが示すノード90とノードID(ここでは、MACアドレス)が重複するノード90が、他のネットワークセグメント2に存在することを示す重複通知を送信する(ステップS413)。その後、本フローチャートに示された処理は終了する。
イトリスト42以外のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合、管理者に対して、ステップS402で送信されたノードIDが示すノード90とノードID(ここでは、MACアドレス)が重複するノード90が、他のネットワークセグメント2に存在することを示す重複通知を送信する(ステップS413)。その後、本フローチャートに示された処理は終了する。
本フローチャートに示された重複検出処理によれば、複数のネットワークセグメント2を有する検疫システム1において、他のネットワークセグメント2においてノードID(MACアドレス)が重複するノード90が接続された場合に、重複を検出し、管理者等のユーザに通知する事が可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90を発見することが可能となり、セキュリティレベルを高めることが可能となる。
次に、検疫システムのネットワーク構成のバリエーションを説明する。図8および図9は、本発明の実施を行うにあたって採用されてよいネットワーク構成のバリエーションを示す図である。図8および図9において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。
図8は、本実施形態に係る検疫システム1bの構成を示す概略図である。本実施形態に係る検疫システム1bは、検疫対象となる複数の情報処理装置90が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、ネットワーク監視装置20は複数のインターフェースを有し、これらの複数のインターフェースが、夫々異なるネットワークセグメント2に接続されている。
このため、本実施形態に係る検疫システム1bでは、1つのネットワーク監視装置20によって、複数のネットワークセグメント2が監視される。そして、検疫システム1bでは、同一のネットワーク監視装置20によって監視されている異なるネットワークセグメント2を識別(区別)する目的で、ネットワーク監視装置20の識別情報(MACアドレスやシリアル番号等)に加えて、ネットワーク監視装置20のインターフェース番号(物理ポートの番号)がセグメントIDとして用いられる。このため、検疫システム1bにおいて用いられるホワイトリスト42は、ネットワーク監視装置20の識別情報、およびネットワークセグメント2に接続されているインターフェースの識別子を含むセグメントID毎に生成され、セグメントIDに関連付けられて管理される(ステップS307)。
即ち、ネットワーク監視装置20が、夫々を異なるネットワークセグメント2に接続可能な複数のインターフェースを有する場合、ネットワーク監視装置20の管理情報送信部24は、セグメントIDとして、ネットワーク監視装置20の識別情報に加えて、ネットワークセグメント2に接続されているインターフェースの識別子を送信する(ステップS102、ステップS402)。そして、検疫サーバ30の管理情報取得部34は、セグメントIDとして、ネットワーク監視装置20の識別情報に加えて、ネットワークセグメント2に接続されているネットワーク監視装置20のインターフェースの識別子を取得する(ステップS103、ステップS403)。具体的には、インターフェースの識別子として、物理ポートに割り当てられた番号、例えばLAN1、LAN2、LAN3・・・等のような識別子が送受信される。
このため、検疫サーバ30の遮断要否判定部36は、ステップS103やステップS403において受信された、ネットワーク監視装置20の識別情報およびインターフェース識別子を含むセグメントIDに基づいて、ネットワークセグメント2に対応するホワイト
リスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1bによれば、複数のインターフェースを有する1台のネットワーク監視装置20によって複数のネットワークセグメント2を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
リスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1bによれば、複数のインターフェースを有する1台のネットワーク監視装置20によって複数のネットワークセグメント2を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
図9は、本実施形態に係る検疫システム1cの構成を示す概略図である。本実施形態に係る検疫システム1cは、検疫対象となる複数の情報処理装置90が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、ネットワーク監視装置20は、複数のVLAN(Virtual Local Area Network)に接続されている。
ここで、VLANは、ネットワークセグメント2に相当する。即ち、本実施形態に係る検疫システム1cでは、1つのネットワーク監視装置20によって、複数のVLAN(ネットワークセグメント2)が監視される。そして、検疫システム1cでは、同一のネットワーク監視装置20によって監視されている異なるVLANを識別(区別)する目的で、ネットワーク監視装置20の識別情報(MACアドレスやシリアル番号等)に加えて、VLANの識別情報がセグメントIDとして用いられる。このため、検疫システム1cにおいて用いられるホワイトリスト42は、ネットワーク監視装置20の識別情報、およびVLANの識別情報を含むセグメントID毎に生成され、セグメントIDに関連付けられて管理される(ステップS307)。
管理情報送信部24、および遮断要否判定部36等による処理において、ネットワーク監視装置20の識別情報、およびVLANの識別情報を含むセグメントIDが送受信され、ホワイトリスト42の特定に用いられることは、上記説明した検疫システム1bと同様である。具体的には、VLANの識別情報として、ルータ10によって管理されるVLANに割り当てられた識別子、例えばVLAN1、VLAN2等のような識別情報が送受信される。
このため、検疫サーバ30の遮断要否判定部36は、ステップS103やステップS403において受信された、ネットワーク監視装置20の識別情報およびVLANの識別情報を含むセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1cによれば、1台のネットワーク監視装置20によって複数のVLAN(ネットワークセグメント2)を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
1 検疫システム
20 ネットワーク監視装置(通信遮断装置)
30 検疫サーバ
90 ノード(情報処理装置)
20 ネットワーク監視装置(通信遮断装置)
30 検疫サーバ
90 ノード(情報処理装置)
Claims (14)
- 複数のネットワークセグメントを管理する管理サーバであって、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報と該セグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、
前記管理情報蓄積手段によって蓄積された装置識別情報とセグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、
前記遮断要否判定手段によって判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知手段と、
を備える管理サーバ。 - 前記管理情報取得手段は、前記装置識別情報および前記セグメント識別情報を、該装置識別情報が示す情報処理装置が属するネットワークセグメントに接続されている前記通信遮断装置から取得する、
請求項1に記載の管理サーバ。 - 前記管理情報取得手段は、前記セグメント識別情報として、前記通信遮断装置の識別子を取得する、
請求項2に記載の管理サーバ。 - 前記管理情報取得手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続されている該通信遮断装置のインターフェースの識別子を更に取得する、
請求項3に記載の管理サーバ。 - 前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、
前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生して
いることをユーザに通知する抽出結果通知手段と、
を更に備える、請求項1から4の何れか一項に記載の管理サーバ。 - 通信遮断装置であって、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得手段と、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報としての該通信遮断装置の識別子と、を関連付けて管理サーバに送信する管理情報送信手段と、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得手段と、
前記遮断要否取得手段によって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断手段と、
を備える通信遮断装置。 - 夫々を異なるセグメントに接続可能な複数のインターフェースを有し、
前記管理情報送信手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続される前記インターフェースの識別子を更に送信する、
請求項6に記載の通信遮断装置。 - 前記情報処理装置に対して、他の装置の物理アドレスとして、該通信遮断装置の物理アドレスを通知することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、
前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置に係る通信の少なくとも一部を遮断する、
請求項6または7に記載の通信遮断装置。 - 複数のネットワークセグメントを有する情報処理システムであって、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報と該セグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、
前記管理情報蓄積手段によって蓄積された装置識別情報とセグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、
前記遮断要否判定手段によって、前記情報処理装置に係る通信の遮断が必要であると判定された場合に、前記装置識別情報が示す情報処理装置に係る通信を遮断する通信遮断手段と、
を備える情報処理システム。 - 前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、
前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、
を更に備える、請求項9に記載の情報処理システム。 - 複数のネットワークセグメントを管理するコンピュータが、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得ステップと、
前記管理情報取得ステップにおいて取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報と該セグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積ステップと、
前記管理情報蓄積ステップにおいて蓄積された装置識別情報とセグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定ステップと、
前記遮断要否判定ステップにおいて判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知ステップと、
を実行する管理方法。 - 複数のネットワークセグメントを管理するコンピュータに、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得ステップと、
前記管理情報取得ステップにおいて取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報と該セグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積ステップと、
前記管理情報蓄積ステップにおいて蓄積された装置識別情報とセグメント識別情報との組合せが示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定ステップと、
前記遮断要否判定ステップにおいて判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知ステップと、
を実行させるための管理用プログラム。 - コンピュータが、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得ステップと、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報としての該コンピュータの識別子と、を関連付けて管理サーバに送信する管理情報送信ステップと、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得ステップと、
前記遮断要否取得ステップによって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断ステップと、
を実行する通信遮断方法。 - コンピュータに、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得ステップと、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報としての該コンピュータの識別子と、を関連付けて管理サーバに送信する管理情報送信ステップと、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得ステップと、
前記遮断要否取得ステップによって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断ステップと、
を実行させるための通信遮断用プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010171037A JP5581141B2 (ja) | 2010-07-29 | 2010-07-29 | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
| US13/190,611 US9444821B2 (en) | 2010-07-29 | 2011-07-26 | Management server, communication cutoff device and information processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010171037A JP5581141B2 (ja) | 2010-07-29 | 2010-07-29 | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012034129A JP2012034129A (ja) | 2012-02-16 |
| JP5581141B2 true JP5581141B2 (ja) | 2014-08-27 |
Family
ID=45527852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010171037A Active JP5581141B2 (ja) | 2010-07-29 | 2010-07-29 | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9444821B2 (ja) |
| JP (1) | JP5581141B2 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5445626B2 (ja) | 2012-06-25 | 2014-03-19 | 横河電機株式会社 | ネットワーク管理システム |
| WO2014125708A1 (ja) * | 2013-02-12 | 2014-08-21 | 日本電気株式会社 | 受信装置、受信装置制御方法、受信装置制御プログラム、ネットワークシステム、ネットワークシステム制御方法、及びネットワークシステム制御プログラム |
| CN103619018A (zh) * | 2013-11-21 | 2014-03-05 | 北京奇虎科技有限公司 | 一种无线网络访问权限的检测方法,装置及路由器 |
| US9992202B2 (en) * | 2015-02-28 | 2018-06-05 | Aruba Networks, Inc | Access control through dynamic grouping |
| JP6310874B2 (ja) | 2015-03-12 | 2018-04-11 | 株式会社日立製作所 | インシデント検知システム |
| CN105682095A (zh) * | 2015-12-24 | 2016-06-15 | 北京奇虎科技有限公司 | 基于局域网的无线热点控制方法和装置 |
| JP6558279B2 (ja) * | 2016-03-08 | 2019-08-14 | 富士通株式会社 | 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム |
| JP6058857B1 (ja) * | 2016-08-05 | 2017-01-11 | 株式会社ナビック | ネットワーク監視装置、ネットワーク監視システム、およびネットワーク監視方法 |
| CN106533945A (zh) * | 2016-09-23 | 2017-03-22 | 深圳创维数字技术有限公司 | 一种基于智能路由器的终端类型自动识别的方法及系统 |
| JP2018064228A (ja) * | 2016-10-14 | 2018-04-19 | アンリツネットワークス株式会社 | パケット制御装置 |
| US20180152543A1 (en) * | 2016-11-29 | 2018-05-31 | International Business Machines Corporation | Emergency data cutoff for storage systems |
| CN107241307B (zh) * | 2017-04-26 | 2023-08-08 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
| US20220321560A1 (en) * | 2021-04-02 | 2022-10-06 | Arista Networks, Inc. | System for assigning and distributing device security segment identification |
| US20230308484A1 (en) * | 2022-03-08 | 2023-09-28 | Arista Networks, Inc. | Fallback segmentation security |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6070243A (en) * | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
| JP2002204252A (ja) * | 2000-12-28 | 2002-07-19 | Oki Electric Ind Co Ltd | 重複プライベートアドレス変換システム |
| JP2002354006A (ja) * | 2001-05-24 | 2002-12-06 | Oki Electric Ind Co Ltd | 重複アドレスのネットワークシステム |
| US20020133698A1 (en) * | 2001-03-14 | 2002-09-19 | Wank Richard B. | Method and apparatus for a network element to support a protected communication link in a communication network |
| US20020131368A1 (en) * | 2001-03-14 | 2002-09-19 | Raftelis Michael T. | Method and apparatus for processing a network manager command in a communication network |
| US20020131418A1 (en) * | 2001-03-14 | 2002-09-19 | Michael Raftelis | Method and apparatus for establishing a path identifier in a communication network |
| US20020131431A1 (en) * | 2001-03-14 | 2002-09-19 | Wank Richard B. | Method and apparatus for a network element to support a communication link in a communication network |
| US6745333B1 (en) * | 2002-01-31 | 2004-06-01 | 3Com Corporation | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself |
| JP4029768B2 (ja) * | 2003-05-09 | 2008-01-09 | 株式会社日立製作所 | レイヤ2網制御装置および制御方法 |
| US8543672B2 (en) * | 2003-06-02 | 2013-09-24 | Alcatel Lucent | Method for reconfiguring a ring network, a network node, and a computer program product |
| US8103800B2 (en) * | 2003-06-26 | 2012-01-24 | Broadcom Corporation | Method and apparatus for multi-chip address resolution lookup synchronization in a network environment |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| WO2005069551A1 (ja) * | 2004-01-16 | 2005-07-28 | Nippon Telegraph And Telephone Corporation | ユーザmacフレーム転送方法、エッジ転送装置、およびプログラム |
| US7417995B2 (en) * | 2004-01-20 | 2008-08-26 | Nortel Networks Limited | Method and system for frame relay and ethernet service interworking |
| WO2006006217A1 (ja) * | 2004-07-09 | 2006-01-19 | Intelligent Wave Inc. | 不正接続検知システム及び不正接続検知方法 |
| US7827402B2 (en) * | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
| US7917944B2 (en) * | 2004-12-13 | 2011-03-29 | Alcatel Lucent | Secure authentication advertisement protocol |
| JP4823717B2 (ja) * | 2006-02-28 | 2011-11-24 | 株式会社日立製作所 | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 |
| JP2007235662A (ja) * | 2006-03-02 | 2007-09-13 | Nippon Telegraph & Telephone East Corp | 不正アクセス防止装置、不正アクセス防止方法、および不正アクセス防止用のプログラム |
| US20090168645A1 (en) * | 2006-03-22 | 2009-07-02 | Tester Walter S | Automated Network Congestion and Trouble Locator and Corrector |
| JP4745922B2 (ja) * | 2006-08-30 | 2011-08-10 | 三菱電機株式会社 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
| JP2008118259A (ja) | 2006-11-01 | 2008-05-22 | Matsushita Electric Ind Co Ltd | Ip端末装置 |
| JP2008160803A (ja) * | 2006-11-28 | 2008-07-10 | Hitachi Ltd | アクセス制御システム |
| JP2008227600A (ja) * | 2007-03-08 | 2008-09-25 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| US8200798B2 (en) * | 2007-12-29 | 2012-06-12 | Cisco Technology, Inc. | Address security in a routed access network |
| JP5042127B2 (ja) * | 2008-06-09 | 2012-10-03 | アラクサラネットワークス株式会社 | 認証ロギングシステム、情報処理装置およびロギング方法 |
| JP4672780B2 (ja) * | 2009-03-18 | 2011-04-20 | 株式会社東芝 | ネットワーク監視装置及びネットワーク監視方法 |
| JP2011087068A (ja) * | 2009-10-14 | 2011-04-28 | Mitsubishi Electric Corp | 通信装置及び輻輳制御方法 |
| JP2011198299A (ja) * | 2010-03-23 | 2011-10-06 | Fujitsu Ltd | プログラム、コンピュータ、通信装置および通信制御システム |
| JP2012027869A (ja) * | 2010-07-28 | 2012-02-09 | Pfu Ltd | 管理サーバ、情報処理装置、方法およびプログラム |
| US8612606B2 (en) * | 2010-10-12 | 2013-12-17 | Juniper Networks, Inc. | Preserving an authentication state by maintaining a virtual local area network (VLAN) association |
-
2010
- 2010-07-29 JP JP2010171037A patent/JP5581141B2/ja active Active
-
2011
- 2011-07-26 US US13/190,611 patent/US9444821B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9444821B2 (en) | 2016-09-13 |
| US20120030351A1 (en) | 2012-02-02 |
| JP2012034129A (ja) | 2012-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5581141B2 (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| EP2612488B1 (en) | Detecting botnets | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| US8990573B2 (en) | System and method for using variable security tag location in network communications | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| WO2018080976A1 (en) | Detection of vulnerable devices in wireless networks | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| CN105681353A (zh) | 防御端口扫描入侵的方法及装置 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| JP2010508598A (ja) | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| JP5551061B2 (ja) | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム | |
| JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
| JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
| JP2008283495A (ja) | パケット転送システムおよびパケット転送方法 | |
| JP2002164938A (ja) | 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム | |
| CN102231733A (zh) | 访问控制方法、主机设备和标识路由器 | |
| JP3685062B2 (ja) | 不正アクセス監視方法および内部通信ネットワーク | |
| JP2008227600A (ja) | 通信妨害装置及び通信妨害プログラム | |
| JP5420465B2 (ja) | 通信監視装置、方法およびプログラム | |
| JP4661554B2 (ja) | 不正アクセス検知方法および装置ならびにプログラム | |
| CN111918286B (zh) | 通信连接检测方法、装置、设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121214 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130822 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131001 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131011 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140701 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140714 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5581141 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |