JP6591504B2 - パケットフィルタリング装置 - Google Patents

パケットフィルタリング装置 Download PDF

Info

Publication number
JP6591504B2
JP6591504B2 JP2017166596A JP2017166596A JP6591504B2 JP 6591504 B2 JP6591504 B2 JP 6591504B2 JP 2017166596 A JP2017166596 A JP 2017166596A JP 2017166596 A JP2017166596 A JP 2017166596A JP 6591504 B2 JP6591504 B2 JP 6591504B2
Authority
JP
Japan
Prior art keywords
packet
white list
destination
server
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017166596A
Other languages
English (en)
Other versions
JP2019047239A (ja
Inventor
将 細田
将 細田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secom Co Ltd
Original Assignee
Secom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secom Co Ltd filed Critical Secom Co Ltd
Priority to JP2017166596A priority Critical patent/JP6591504B2/ja
Publication of JP2019047239A publication Critical patent/JP2019047239A/ja
Application granted granted Critical
Publication of JP6591504B2 publication Critical patent/JP6591504B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明は、パケットの通信を制御するパケットフィルタリング装置に関する。
従来から、ネットワークに接続されたコンピュータなどの機器間におけるパケット通信を制限するパケットフィルタリング装置(レイヤ3のファイアウォール)が知られている(特許文献1)。例えば、パケットフィルタリング装置は、通過を許可(または不許可)するパケットのIPアドレス、プロトコル、ポート番号等の条件(フィルタリング条件)を予め設定及び記憶しておき、通過するパケットのヘッダ部に含まれるIPアドレス、プロトコル、ポート番号等がこの条件に合致しているか否かによってパケットの通過の可否を制御する。
特開2002−261788号公報
ところで、近年、PC等の通信端末だけでなく、多様な機器に通信機能を持たせ、インターネットへの接続や機器間の相互通信等を行うIoT(Internet of Things)機器が世の中において普及しつつある。これに伴って、これらのIoT機器への不正アクセスなどによって生じうる脅威も懸念されつつある。例えば、IoT機器への不正アクセスによって「乗っ取り」されたり、「ウイルス感染」したりする場合など、当該IoT機器を介して外部ネットワークが不正アクセスされる危険性がある。
このような脅威に対して、パケットフィルタリング型ファイアウォールは有効であるが、フィルタリング条件の設定に多大な手間を要する問題がある。すなわち、IoT機器の数や種類が増加するほど、IoT機器毎に通信を許可するアクセス先の設定数も増加し、専門的な知識を持たない利用者がフィルタリング条件を適切に設定して、維持管理していくことが困難である。
そこで、本発明は、利用者等による専門的な知識や設定操作を必要とすることなく、フィルタリング条件(ホワイトリスト)を設定することが可能なパケットフィルタリング装置を提供することを目的とする。
本発明の1つの態様は、送信元の機器と送信先の装置とが関連付けられたホワイトリストに基づいて、受信したパケットの通過の可否を制御するパケットフィルタリング装置であって、機器からパケットを受信したとき、前記ホワイトリストに当該機器と当該パケットの送信先の装置とが関連付けて登録されているならば当該パケットの通過を許可する通信制御手段と、機器ごとに、当該機器から最初にパケットを受信したときから初期化期間に当該機器から受信したパケットの送信先の装置の数を計数し、当該計数した送信先の装置の数に応じて当該機器に対する最大接続先数を設定する最大接続数設定手段と、機器からパケットを受信したとき、前記ホワイトリストに当該機器と当該パケットの送信先の装置とが関連付けて登録されておらず、前記ホワイトリストに当該機器を送信元として関連付けられている送信先の装置の数が当該機器に対する前記最大接続先数未満である場合、前記ホワイトリストに当該機器と当該パケットの送信先の装置とを関連付けて追加登録するホワイトリスト更新手段と、を備えることを特徴とするパケットフィルタリング装置である。
ここで、前記ホワイトリスト更新手段は、受信したパケットの送信元の機器と送信先の装置との最終通信時刻を記録する処理と、前記ホワイトリストにおいて、パケットの送信元の機器と送信先の装置との最終通信時刻から現在時刻までに至る時間がタイムアウト時間以上となっている場合、当該送信元の機器と当該送信先の装置との組み合わせを削除する処理と、を行うことが好適である。
また、受信したパケットを解析することによって、当該パケットの送信元の機器の属性を識別する機器識別手段を備え、前記最大接続数設定手段は、更に、前記機器識別手段にて識別された機器の属性に応じて当該機器に対する前記最大接続先数を設定することが好適である。
また、受信したパケットを解析することによって、当該パケットの送信元の機器の属性を識別する機器識別手段を備え、前記機器識別手段にて識別された機器の属性に応じて当該機器に対する前記初期化期間を設定することが好適である。
また、前記最大接続数設定手段は、受信したパケットの送信先の装置が通信を禁止する送信先として予め記憶されたブラックリストの装置に合致する場合、当該パケットの送信元の機器に対する前記最大接続先数を減ずることが好適である。
また、前記ホワイトリスト更新手段は、すべての機器からの通信が許可されている送信先の装置が予め記録されたマスターホワイトリストに基づいて、受信したパケットの送信先の装置が前記マスターホワイトリストに登録されている場合、当該パケットの送信元の機器と送信先の装置とを前記ホワイトリストに追加登録しないことが好適である。
本発明によれば、利用者等による操作を必要とすることなく、フィルタリング条件(ホワイトリスト)を設定することが可能なパケットフィルタリング装置を提供することができる。
本発明の実施の形態における通信システムの構成を示す図である。 本発明の実施の形態におけるパケットフィルタリング装置の構成を示す図である。 本発明の実施の形態における機器リストを示す図である。 本発明の実施の形態におけるホワイトリストを示す図である。 本発明の実施の形態における機器属性リストを示す図である。 本発明の実施の形態における通信制御処理を示すフローチャートである。
本発明の実施の形態における通信システム100は、図1に示すように、機器102(102a〜102c)、パケットフィルタリング装置(いわゆるファイアウォール)104及びサーバ106(106a〜106c)を含んで構成される。なお、本発明における「装置」は、本実施の形態における機器102とサーバ106とを含むものとする。
機器102は、パケットフィルタリング装置104を介してネットワーク(インターネット等)108に接続される。例えば、機器102とパケットフィルタリング装置104は家庭内等の小規模なLAN(Local Area Network)を構成しているものとすることができる。また、サーバ106もネットワーク108に接続される。これによって、機器102とサーバ106は、パケットフィルタリング装置104及びネットワーク108を介して相互に接続される。
なお、機器102とパケットフィルタリング装置104との間の接続、パケットフィルタリング装置104とネットワーク108との間の接続及びネットワーク108とサーバ106との間の接続は、有線であってもよいし、無線であってもよい。
機器102は、ネットワーク108に接続可能な装置である。機器102は、いわゆるIoT機器とすることができる。機器102の機能は、特に限定されるものではなく、例えば、テレビ、録画機器、冷蔵庫、洗濯機、エアコン等の様々な機能を有する機器とすることができる。機器102は、ネットワーク108を介してサーバ106に接続されることによってサーバ106と通信を行う。機器102は、例えば、内蔵されているセンサーで検出された測定値をサーバ106へ送信したり、サーバ106から制御の為の情報を取得したりするために通信を行う。
サーバ106は、いわゆるコンピュータの基本構成を備え、機器102と通信することで情報を管理したり、機器102を制御したりする装置である。サーバ106は、ネットワーク108を介して機器102と接続される。サーバ106は、例えば、機器102の製造会社、販売会社等の管理センタに配置され、機器102からパケットを受信することによって情報を収集したり、機器102に対してパケットを送信することによって制御プログラム(ファームウェア)や制御用情報を提供したりする管理コンピュータとすることができる。
パケットフィルタリング装置104は、機器102とサーバ106との通信においてデータを中継する通信機器である。本実施の形態では、パケットフィルタリング装置104は、機器102からサーバ106へ送信されるパケットの通過を許可又は不許可とする機能を有する。パケットフィルタリング装置104は、ルータとしての機能を有してもよい。
ここで、機器102とサーバ106との通信は、パケットを用いて行われる。パケットには、送信元である機器102を識別する機器IDと送信先となるサーバ106を識別するサーバIDとが含まれる。例えばTCP/IPに則った場合、機器ID及びサーバIDは、IPアドレスとすることができる。
なお、機器IDは、機器102のIPアドレスに限定されるものではなく、機器102のMACアドレスを用いてもよい。この場合、機器102とパケットフィルタリング装置104とがルータを介さずに直接接続されているものとする。また、サーバIDは、サーバ106のIPアドレスに限定されるものではなく、サーバ106のドメイン名を用いてもよい。この場合、パケットフィルタリング装置104は、受信したパケットの送信先IPアドレスを用いてDNSサーバに対してドメイン名を問い合わせることによってサーバ106のドメイン名を取得したり、機器102とサーバ106との間でやり取りされたDNS応答を参照することによりサーバ106のドメイン名を取得したりするものとすればよい。
パケットフィルタリング装置104は、図2に示すように、制御部10、記憶部12、出力部14、入力部16及び通信部18を含んで構成される。制御部10は、パケットフィルタリング装置104によるパケットの通信制御を統合的に制御する。記憶部12は、パケットフィルタリング装置104の制御に必要なデータを記憶する記憶手段である。記憶部12は、例えば、半導体メモリ、ハードディスク等とすることができる。記憶部12は、後述する機器リスト12a及びホワイトリスト12bを記憶する。出力部14は、パケットフィルタリング装置104での処理に関する情報を外部へ出力する手段である。出力部14は、例えば、パケットフィルタリング装置104の状態やパケットフィルタリング装置104で処理されるパケットに関する情報、例えば後述するようにパケットフィルタリング装置104におけるパケットの破棄に関する情報を表示するディスプレイとすることができる。入力部16は、パケットフィルタリング装置104へ情報を入力するための手段である。入力部16は、例えば、キーボードやポインティングデバイス等とすることができる。なお、出力部14及び入力部16は、DVDやメモリカードなどの可搬記憶媒体との間で情報を読み書きできるデバイスであってもよい。通信部18は、機器102やサーバ106とのパケットの交換を仲介するインターフェースである。例えばTCP/IPに則った場合、通信部18は、ネットワーク間におけるIPパケットの交換を行う。
機器リスト12aは、図3に示すように、パケットの送信元である機器102を特定する機器ID、当該機器102から最初にパケットが送信された時刻を示す初回通信時刻、及び当該機器102に対して接続が許される送信先の数を示す最大接続先数を関連付けたデータベースである。
ホワイトリスト12bは、図4に示すように、パケットの送信元である機器102を特定する機器ID、当該機器102からのパケットの送信が許可された送信先のサーバ106を特定するサーバID、及び当該機器102と当該サーバ106の最終通信時刻を関連付けたデータベースである。ここで最終通信時刻とは、機器102とサーバ106との間で最後に通信した時刻であり、より具体的には、パケットフィルタリング装置104が機器102から受信したパケットをサーバ106へ送信(転送)した最新の時刻である。
制御部10は、ホワイトリスト更新手段10a、最大接続数設定手段10b及び通信制御手段10cとして機能する。
ホワイトリスト更新手段10aは、ホワイトリスト12bの登録内容を更新する処理を行う。ホワイトリスト更新手段10aは、機器102からパケットを受信すると、所定の登録条件を満たした場合、当該機器102の機器IDに関連付けて当該パケットの送信先であるサーバ106のサーバIDをホワイトリスト12bに登録する。ここで、ホワイトリスト12bへの登録条件は、当該機器102に関連してホワイトリスト12bに登録された送信先であるサーバ106の数が後述の最大接続先数未満である場合とすることが好適である。すなわち、機器102からパケットを受信したとき、ホワイトリスト12bに当該機器102と当該パケットの送信先のサーバ106とが関連付けて登録されておらず、当該機器102を送信元として関連付けられている送信先のサーバ106の数が当該機器102に対する最大接続先数未満である場合にホワイトリスト12bに当該機器102と当該パケットの送信先のサーバ106とを関連付けて登録する。
また、ホワイトリスト更新手段10aは、既にホワイトリスト12bに登録されている機器102及びサーバ106の組み合わせについての最終通信時刻から現在時刻に至る時間が所定のタイムアウト時間以上となっている場合、当該機器102と当該サーバ106との組み合わせをホワイトリスト12bから削除する処理を行う。当該処理は、パケットフィルタリング装置104が機器102からパケットを受信する毎に行ってもよいし、機器102の各々について設定されている最大接続先数を超えてホワイトリスト12bにサーバ106が登録されている場合のみに行うようにしてもよいし、所定の期間おきに行うようにしてもよい。
最大接続数設定手段10bは、機器102の各々についてホワイトリスト12bに登録され得るサーバ106の最大数を示す最大接続先数を設定する。本実施の形態では、最大接続数設定手段10bは、パケットフィルタリング装置104が機器102から最初にパケットを受信した時刻から初期化期間に当該機器102から受信したパケットの送信先となったサーバ106の数を計数し、当該計数した送信先の数に応じて当該機器102に対する最大接続先数を設定する。最大接続数設定手段10bは、図3に示すように、設定された最大接続先数を設定対象となる機器102の機器IDに関連付けて機器リスト12aに登録する。
ここで、初期化期間は、予め設定された固定値とすることができる。また、初期化期間は、機器102毎に設定するようにしてもよい。例えば、図5に示す機器属性リストを記憶部12に予め登録しておき、当該機器属性リストを参照して機器102の機器属性に応じて初期化期間を設定してもよい。例えば、パケットを送信した機器102がA社製機器であれば初期化期間を1日(24時間)として設定し、B社製機器であれば初期化期間を18時間として設定する。また、パケットを送信した機器102が機器属性リストのいずれの属性にも該当しない場合はデフォルト値である3時間として初期化期間を設定する。なお、機器102の属性は、特に限定されるものではないが、例えば、機器の型番、機器の製造会社、機器の製造バージョン(ファームウェアバージョン)等とすることができる。そして、機器102の属性は機器102から送信されるパケットを解析することによって判定する。例えば、パケットに含まれるMACアドレスのベンダーコードを利用する、IPパケットのヘッダ情報を利用する、HTTPアクセスにおいてリクエストに含まれるヘッダの情報を利用する等の方法がある。これにより、制御部10は、機器識別手段として機能する。
また、機器102に対する最大接続先数は、所定の通信許可マージンを用いて設定することができる。通信許可マージンは、ファームウェアの供給元のサーバの変更などによって、初期期間の経過後に初めて接続され得る正規の接続先の数を見越して設定される。このマージンの設定により初期化期間経過後の正規の接続先を手間なくホワイトリストに追加できる。例えば、最大接続数設定手段10bは、最初にパケットを受信した時刻から初期化期間に当該機器102から受信したパケットの送信先となったサーバ106の数を計数し、当該計数した送信先の数に通信許可マージンを加算・乗算などの演算をすることによって最大接続数を求めるものとする。なお、通信許可マージンは管理者等によって予め設定された固定値とすることができる。また、通信許可マージンは、機器102毎に設定するようにしてもよい。例えば、図5に示す機器属性リストを記憶部12に予め登録しておき、当該機器属性リストを参照して判定した機器102の属性に応じて通信許可マージンを設定してもよい。機器102の機器属性の判定方法は、上記のとおりである。
また、通信許可マージンは、機器102の属性に応じて過去のパケットの送信先の数の履歴に基づいて設定するようにしてもよい。例えば、機器102の種類に応じて、過去において同じ種類の機器102が初期化期間内に通信した送信先のサーバ106の数に基づいて通信許可マージンを設定してもよい。また、機器102の製造会社に応じて、過去において同じ製造会社の機器102が初期化期間内に通信した送信先のサーバ106の数から通信許可マージンを設定してもよい。他の属性についても同様である。
最大接続数設定手段10bは、初期化期間内において機器102毎に受信したパケットの送信先の数に対して通信許可マージンの値を演算して最大接続先数を設定する。演算は、特に限定されるものではないが、初期化期間内に機器102毎に受信したパケットの送信先の数が増加すると最大接続先数も増加するようなものであることが好適である。演算方法は、例えば、加算、乗算、除算等や通信許可マージンを引数とする所定の関数とすればよい。
通信制御手段10cは、パケットフィルタリング装置104において受信された機器102からのパケットを解析してパケットの通信の可否を制御する。通信制御手段10cは、パケットのヘッダ情報に基づいて、パケットの送信元の機器102と送信先のサーバ106を識別する。通信がTCP/IPに則っている場合、識別処理には、パケットのIPアドレスを用いて識別し当該IPアドレスを機器102の機器ID、及び送信先のサーバ106のサーバIDとして用いることができる。ただし、これに限定されるものではなく、送信元の機器102の機器IDとしてMACアドレスを用いてもよい。また、送信先のサーバ106のサーバIDとして、ドメイン名を用いてもよい。さらに、IPアドレス(又はドメイン名)とポート番号との組を送信元の機器102の機器ID、又は送信先のサーバ106のサーバIDとして用いてもよい。また、ポート番号を識別に用いる場合、ポート番号別に最大接続数を管理してもよい。
次に、通信制御手段10cは、送信元の機器102が機器リスト12aに登録されていなければ、当該機器102を機器リスト12aに新たに登録すると共に、当該機器102に関連付けて当該パケットの受信時刻を初回通信時刻として登録する。そして、当該パケットの通過を許可し、当該パケットを送信先となっているサーバ106へ送信する。また、通信制御手段10cは、機器102からパケットを受信したとき、ホワイトリスト12bに当該機器102と当該パケットの送信先のサーバ106とが関連付けて登録されていれば、当該パケットの通過を許可し、当該パケットを当該サーバ106へ送信する。さらに、通信制御手段10cは、当該パケットの受信時刻を最終通信時刻として、当該機器102の機器IDと当該サーバ106のサーバIDに関連付けてホワイトリスト12bに登録する。
以下、図6に示すフローチャートを参照して、通信システム100におけるパケットの送受信処理について説明する。本実施の形態では、一般的なIoT機器のように、パケットフィルタリング装置104に対して機器102が新たに接続され、電源が投入されることによって自動でサーバ106へパケットを送信する通信が開始されるものとする。当該通信制御処理は、パケットフィルタリング装置104において機器102からパケットが受信した時に実行される処理であり、受信したパケットを送信先となるサーバ106へ転送するか否かを制御する処理である。
ステップS10では、受信されたパケットの送信元の機器102と送信先のサーバ106が識別される。通信制御手段10cは、受信されたパケットのヘッダ情報などを参照して、パケットの送信元の機器102と送信先のサーバ106とを識別する。
ステップS12では、受信されたパケットの送信元の機器102が機器リスト12aに既に登録されているか否かが判定される。通信制御手段10cは、受信されたパケットの送信元の機器102が機器リスト12aに既に登録されていればステップS16に処理を移行させ、登録されてなければステップS14に処理を移行させる。
ステップS14では、機器リスト12aにパケットの送信元の機器102を登録する。通信制御手段10cは、機器リスト12aに当該機器102の機器IDを新たに登録すると共に、当該パケットの受信時刻を初回通信時刻として登録する。その後、処理をステップS32に移行させる。
一方、ステップS16では、ホワイトリスト12bにおいてパケットの送信元の機器102と送信先のサーバ106が関連付けて登録されているか否かが判定される。通信制御手段10cは、ホワイトリスト12bにパケットの送信元の機器102の機器IDと送信先のサーバ106のサーバIDとが関連付けて登録されていればステップS34に処理を移行させ、登録されていなければステップS18に処理が移行される。
ステップS18では、現在時刻が初回通信時刻から初期化期間内であるか否かが判定される。最大接続数設定手段10bは、機器リスト12aからパケットの送信元の機器102に関連付けて登録されている初回通信時刻を読みだし、初回通信時刻から現在時刻までの経過時間を算出する。そして、最大接続数設定手段10bは、経過時間が初期化期間以下であればステップS32に処理を移行させ、そうでなければステップS20に処理を移行させる。なお、初期化期間は、上記のように設定される。
ステップS20では、パケットの送信元の機器102に対して最大接続先数が設定されているか否かが判定される。最大接続数設定手段10bは、機器リスト12aにおいてパケットの送信元の機器102に対して最大接続先数が設定されていればステップS24に処理を移行させ、設定されていなければステップS22に処理を移行させる。
ステップS22では、最大接続先数が設定される。最大接続数設定手段10bは、パケットの送信元の機器102から最初にパケットを受信したときから初期化期間に当該機器102からパケットの送信先となったサーバ106の数を計数する。そして、最大接続数設定手段10bは、当該計数されたサーバ106の数に応じて当該機器102に対する最大接続先数を設定する。設定方法は、上記のとおりである。最大接続数設定手段10bは、設定された最大接続先数を当該機器102の機器IDに関連付けて機器リスト12aに登録する。その後、ステップS24に処理を移行させる。
ステップS24では、ホワイトリスト12bにおいてパケットの送信元の機器102に対応して登録されているサーバ106の数が最大接続先数未満であるかが判定される。ホワイトリスト更新手段10aは、ホワイトリスト12bにおいてパケットの送信元の機器IDに関連付けて登録されているサーバIDの数が最大接続先数未満であればステップS32に処理を移行させ、そうでなければステップS26に処理を移行させる。
ステップS26では、ホワイトリスト12bにおいてパケットの送信元の機器102に対してタイムアウトとなったサーバ106が関連付けられているか判定される。ホワイトリスト更新手段10aは、ホワイトリスト12bにおいてパケットの送信元の機器IDに関連付けて登録されているサーバIDの最終通信時刻と、現在時刻とに基づいて所定のタイムアウト時間以上経過しているサーバIDが存在しているか否かを判定する。存在する場合、すなわちパケットの送信元の機器102との通信がタイムアウト時間以上行われていないサーバ106が存在する場合、ステップS30に処理を移行させ、存在しなければステップS28に処理を移行させる。
ステップS28では、パケットフィルタリング装置104にて受信されたパケットが破棄される。すなわち、当該パケットの送信元の機器102と送信先のサーバ106とが関連付けられてホワイトリスト12bに登録されておらず、さらにホワイトリスト12bに追加登録できる最大接続先数を超えており、タイムアウトしたサーバ106も存在しない場合、通信制御手段10cはパケットの通信を許可せず、当該パケットを破棄する。このとき、パケットを破棄したことを示す情報を出力部14にて出力したり、パケットの送信元の機器102に通知したりするようにしてもよい。
一方、ステップS30では、タイムアウトしたサーバ106を削除する処理を行う。ホワイトリスト更新手段10aは、パケットの送信元の機器102との通信がタイムアウト時間以上行われていないサーバ106をホワイトリスト12bから削除する。その後、処理をステップS32に移行させる。
ステップS32では、ホワイトリスト12bに新たに追加登録を行う。ホワイトリスト更新手段10aは、現在処理対象とされているパケットの送信元の機器102の機器IDと、送信先のサーバ106のサーバIDとの組を新たにホワイトリスト12bに登録する。その後、処理をステップS34に移行させる。
ステップS34では、パケットが送信先のサーバ106に送信される。通信制御手段10cは、通信対象のパケットを送信先のサーバ106へ転送する。そして、通信制御手段10cは、ホワイトリスト12bにおいてパケットの送信元の機器102の機器IDと送信先のサーバ106のサーバIDに関連付けてパケットの送信時刻を最終通信時刻として登録又は更新する。
以上のように、一般的に、IoT機器等では正規なアクセス先(パケットの送信先)は総数が限られており、かつ最初の利用時から短い期間におよそすべての正規のアクセス先との通信が行われる。また機器102が攻撃者によって不正アクセスされて制御を乗っ取られてしまった場合、攻撃者は自身の身元を隠すなどの目的で頻繁にアクセス先を変更することが多く、その結果アクセス先数が異常に増えるのが一般的である。そこで、本実施の形態では、新たにパケットフィルタリング装置104に接続された機器102について、最初のパケットの通信時刻から初期化期間内に通信が行われたアクセス先(送信先のサーバ106)の数を計数し、当該計数値に基づいて機器102の各々に対してアクセス先(パケットの送信先)となるサーバ106の最大接続先数を設定する。そして、当該最大接続先数の範囲内でホワイトリスト12bに通信が許可される機器102とサーバ106と登録される。これらの処理を自動的に行うことにより、機器102毎にアクセス先として許可されるサーバ106の総数を制限して管理する。このように、利用者等による操作を必要とすることなく、フィルタリング条件(ホワイトリスト)を設定することが可能となり、後に攻撃者によって機器102の制御を乗っ取られるような場合が生じても適切に当該通信を制限することが可能なパケットフィルタリング装置104を提供することができる。
なお、機器102から最初のパケットを受信した初回通信時刻においてタイマーを稼働させ、初回通信時刻から初期化期間を経過したか否かを常に監視しておき、初期化期間を経過したときに最大接続数設定手段10bによる最大接続数の設定処理を開始するようにしてもよい。
また、すべての機器102からの通信が許可されている送信先のサーバ106のサーバIDが予め記録されたマスターホワイトリストに基づいてパケットの通信の許可・不許可を制御するようにしてもよい。マスターホワイトリストは、予め記憶部12に記憶させておけばよい。パケットの送信先となるサーバ106のサーバIDがマスターホワイトリストに登録されている場合、通信制御手段10cは、ホワイトリスト12bの登録内容に関わらず、当該パケットの通信を許可する。また、パケットの送信先となるサーバ106がマスターホワイトリストに登録されている場合、ホワイトリスト更新手段10aは、当該パケットの送信元の機器102の機器IDと送信先のサーバ106のサーバIDとをホワイトリスト12bに追加登録しないようにすることが好適である。マスターホワイトリストに、DNS、NTPサーバなどインターネットの使用に対して必要性が高く、多くの機器102で登録されているサーバ106を登録することで、各機器102におけるこれら共通の通信先への許可に関するタイムアウトなどの処理を大幅に省くことができる。また、マスターホワイトリストを用いることによって計数された各機器102の接続先(サーバ106)の数は、各機器102に固有の接続先となるため、機器102毎により最適化された最大接続数が設定されることが期待される。
また、パケットの送信先のサーバ106が通信を禁止する送信先として予め記憶されたブラックリストに基づいてパケットの許可・不許可を制御するようにしてもよい。ブラックリストは、予め記憶部12に記憶させておけばよい。パケットの送信先となるサーバ106のサーバIDがブラックリストに登録されている場合、通信制御手段10cは、当該パケットについては通信を許可せず、破棄する処理とする。また、最大接続数設定手段10bは、当該パケットの送信元の機器102に対して設定されている最大接続先数を減ずる処理を行うことが好適である。これにより、ブラックリストに登録されているようなリスクのあるサーバ106への通信を試みた機器102に対して許可される接続先数を制限することができる。これにより、IoT機器の接続時における通信上のセキュリティをより一層高めることができる。
10 制御部、10a ホワイトリスト更新手段、10b 最大接続数設定手段、10c 通信制御手段、12 記憶部、12a 機器リスト、12b ホワイトリスト、14 出力部、16 入力部、18 通信部、100 通信システム、102 機器、104 パケットフィルタリング装置、106 サーバ、108 ネットワーク。

Claims (6)

  1. 送信元の機器と送信先の装置とが関連付けられたホワイトリストに基づいて、受信したパケットの通過の可否を制御するパケットフィルタリング装置であって、
    機器からパケットを受信したとき、前記ホワイトリストに当該機器と当該パケットの送信先の装置とが関連付けて登録されているならば当該パケットの通過を許可する通信制御手段と、
    機器ごとに、当該機器から最初にパケットを受信したときから初期化期間に当該機器から受信したパケットの送信先の装置の数を計数し、当該計数した送信先の装置の数に応じて当該機器に対する最大接続先数を設定する最大接続数設定手段と、
    機器からパケットを受信したとき、前記ホワイトリストに当該機器と当該パケットの送信先の装置とが関連付けて登録されておらず、前記ホワイトリストに当該機器を送信元として関連付けられている送信先の装置の数が当該機器に対する前記最大接続先数未満である場合、前記ホワイトリストに当該機器と当該パケットの送信先の装置とを関連付けて追加登録するホワイトリスト更新手段と、
    を備えることを特徴とするパケットフィルタリング装置。
  2. 請求項1に記載のパケットフィルタリング装置であって、
    前記ホワイトリスト更新手段は、
    受信したパケットの送信元の機器と送信先の装置との最終通信時刻を記録する処理と、
    前記ホワイトリストにおいて、パケットの送信元の機器と送信先の装置との最終通信時刻から現在時刻までに至る時間がタイムアウト時間以上となっている場合、当該送信元の機器と当該送信先の装置との組み合わせを削除する処理と、
    を行うことを特徴とするパケットフィルタリング装置。
  3. 請求項1又は2に記載のパケットフィルタリング装置であって、
    受信したパケットを解析することによって、当該パケットの送信元の機器の属性を識別する機器識別手段を備え、
    前記最大接続数設定手段は、更に、前記機器識別手段にて識別された機器の属性に応じて当該機器に対する前記最大接続先数を設定することを特徴とするパケットフィルタリング装置。
  4. 請求項1又は2に記載のパケットフィルタリング装置であって、
    受信したパケットを解析することによって、当該パケットの送信元の機器の属性を識別する機器識別手段を備え、
    前記機器識別手段にて識別された機器の属性に応じて当該機器に対する前記初期化期間を設定することを特徴とするパケットフィルタリング装置。
  5. 請求項1〜4のいずれか1項に記載のパケットフィルタリング装置であって、
    前記最大接続数設定手段は、受信したパケットの送信先の装置が通信を禁止する送信先として予め記憶されたブラックリストの装置に合致する場合、当該パケットの送信元の機器に対する前記最大接続先数を減ずることを特徴とするパケットフィルタリング装置。
  6. 請求項1〜5のいずれか1項に記載のパケットフィルタリング装置であって、
    前記ホワイトリスト更新手段は、すべての機器からの通信が許可されている送信先の装置が予め記録されたマスターホワイトリストに基づいて、受信したパケットの送信先の装置が前記マスターホワイトリストに登録されている場合、当該パケットの送信元の機器と送信先の装置とを前記ホワイトリストに追加登録しないことを特徴とするパケットフィルタリング装置。
JP2017166596A 2017-08-31 2017-08-31 パケットフィルタリング装置 Active JP6591504B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017166596A JP6591504B2 (ja) 2017-08-31 2017-08-31 パケットフィルタリング装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017166596A JP6591504B2 (ja) 2017-08-31 2017-08-31 パケットフィルタリング装置

Publications (2)

Publication Number Publication Date
JP2019047239A JP2019047239A (ja) 2019-03-22
JP6591504B2 true JP6591504B2 (ja) 2019-10-16

Family

ID=65814754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017166596A Active JP6591504B2 (ja) 2017-08-31 2017-08-31 パケットフィルタリング装置

Country Status (1)

Country Link
JP (1) JP6591504B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6655658B2 (ja) * 2018-06-01 2020-02-26 西日本電信電話株式会社 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006005879A (ja) * 2004-06-21 2006-01-05 Trend Micro Inc 通信装置、無線ネットワーク、プログラムおよび記録媒体
JP4538370B2 (ja) * 2005-05-13 2010-09-08 アラクサラネットワークス株式会社 異常通信探知装置
JP2009239525A (ja) * 2008-03-26 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
JP5088403B2 (ja) * 2010-08-02 2012-12-05 横河電機株式会社 不正通信検出システム
JP6086423B2 (ja) * 2012-11-14 2017-03-01 国立研究開発法人情報通信研究機構 複数センサの観測情報の突合による不正通信検知方法
JP6433865B2 (ja) * 2015-08-26 2018-12-05 アラクサラネットワークス株式会社 通信装置

Also Published As

Publication number Publication date
JP2019047239A (ja) 2019-03-22

Similar Documents

Publication Publication Date Title
US11722458B2 (en) Method and system for restricting transmission of data traffic for devices with networking capabilities
US9553858B2 (en) Hardware-based credential distribution
US10965789B2 (en) Method and system for updating a whitelist at a network node
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
US10742674B1 (en) Systems and methods for segmented attack prevention in internet of things (IoT) networks
CN101394399A (zh) 使用严格约束网络访问控制协议的网络访问控制信息交换
JP2020017809A (ja) 通信装置及び通信システム
JP6737610B2 (ja) 通信装置
US10484416B2 (en) System and method for repairing vulnerabilities of objects connected to a data network
US11647002B2 (en) Providing a notification system in a virtual private network
JP4613094B2 (ja) 通信端末及び通信方法
JP6591504B2 (ja) パケットフィルタリング装置
US8239930B2 (en) Method for controlling access to a network in a communication system
US10084812B2 (en) Method and system of repairing vulnerabilities of smart devices
EP3544252A1 (en) Methods and apparatus for controlling application-specific access to a secure network
CN107615263B (zh) 保护网络上的已连接设备的方法
US20160205099A1 (en) Communication system, control instruction apparatus, communication control method and program
CN107204969B (zh) 消除数据网络上的漏洞的方法和系统
JP6813030B2 (ja) 通信システム
US20170272460A1 (en) Method and system of eliminating vulnerabilities of smart devices
US11943202B1 (en) Utilization of multiple exit internet protocol addresses in a virtual private network
US11647001B1 (en) Optimizing communication in a virtual private network during blocking of an exit internet protocol address
US11729148B1 (en) Optimized utilization of internet protocol addresses in a virtual private network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181023

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190918

R150 Certificate of patent or registration of utility model

Ref document number: 6591504

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250