JP6877278B2 - 中継装置 - Google Patents

中継装置 Download PDF

Info

Publication number
JP6877278B2
JP6877278B2 JP2017140035A JP2017140035A JP6877278B2 JP 6877278 B2 JP6877278 B2 JP 6877278B2 JP 2017140035 A JP2017140035 A JP 2017140035A JP 2017140035 A JP2017140035 A JP 2017140035A JP 6877278 B2 JP6877278 B2 JP 6877278B2
Authority
JP
Japan
Prior art keywords
white list
packet
relay device
information
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017140035A
Other languages
English (en)
Other versions
JP2019022118A (ja
Inventor
森 俊介
俊介 森
圭吾 内住
圭吾 内住
光 星野
光 星野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2017140035A priority Critical patent/JP6877278B2/ja
Priority to US16/019,580 priority patent/US11159533B2/en
Publication of JP2019022118A publication Critical patent/JP2019022118A/ja
Application granted granted Critical
Publication of JP6877278B2 publication Critical patent/JP6877278B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Description

本発明は、データを中継する中継装置に関する。
近年、発電所などの重要インフラ内のネットワークに攻撃者が侵入してシステムの制御が奪われるということがないよう、対策が必要である。重要インフラのネットワークにおいては、ファイアウォール装置やパーソナルコンピュータの端末に搭載されているウィルスソフトによる防御対策が実施されている。しかし、システム制御を奪おうとする攻撃者の侵入を防ぐために、より強力な対策が必要とされる。攻撃者に侵入された際のリスクを軽減する手法として、ホワイトリスト機能を利用する方法がある。ホワイトリスト機能は、ネットワークを流れる正規通信内情報に含まれる正規端末情報をホワイトリスト収容装置に登録し、ホワイトリスト収容装置に登録された正規端末以外からの非正規通信を遮断することでセキュリティレベルを高める機能である。
本技術の背景分野として、特許文献1〜特許文献3がある。特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「パケットフィルタリング装置は、SIPサーバから送信されたパケットを受信し、受信したパケットが、SIPクライアントから所定の間隔で送信される認証要求に対する応答であるか否かを判定し、認証要求に対する応答であると判定され、当該パケットの送信元情報がホワイトリストに記憶されていない場合に、当該パケットの送信元情報を取得してホワイトリストに格納する。そして、パケットフィルタリング装置は、ネットワークに輻輳が発生していると検出した場合に、ネットワーク上のパケットを受信し、当該受信されたパケットのうち、ホワイトリストに送信元が記憶されているパケットを、ホワイトリストに送信元が記憶されていないパケットよりも優先して送信先に転送する。」と記載されている(要約参照)。
特許文献3には、「第1データ受信部が受信した第1データの制御情報および第1データの複数種類のヘッダ情報を受信し、優先度情報が示す第1データ受信部が所属する第1データ受信部群の優先度と、ホワイトリスト格納第1メモリが格納することができるホワイトリストのエントリ数を示す収容条件と、に基づいて、第1データの複数種類のヘッダ情報から、パラメータを選択し、第1データの制御情報と、選択した1以上のパラメータと、を含むエントリを、ホワイトリストに追加する。」と記載されている(要約参照)。
特許文献4には、「不正アクセスログデータ取得部が、不正アクセスログファイルから不正アクセスログデータを取得し、不正アクセスログデータ解析処理部での解析処理の後、診断結果照合処理部が、シグネチャ−診断対応表格納部に格納されたシグネチャ−診断対応表とセキュリティ診断結果表格納部に格納されたセキュリティ診断結果表に基づき、不正アクセスログデータにおいてアラームレベルが高いと通知された不正アクセスに対する不正アクセス対象のセグメントの脆弱性を判断し、脆弱性の判断結果に基づいてアラームレベルを調整し、アラームレベル調整部が調整後のアラームレベルに従ってアラーム通知を行う。」と記載されている(要約参照)。
特開2015−050767号公報 特開2009−239525号公報 特開2017−046149号公報 特開2005−228177号公報
前述したようなホワイトリストでは、ログを取るやミラーパケットを送るなどの付随動作はあるものの、基本的にパケットを通過させるか廃棄させるかしか選択できない。しかし、リストに登録されているかどうかだけでは、本当にそのパケットを通過させるべきか廃棄するべきか判断できない場合がある。たとえば、緊急時にしか流れないようなパケットなどのリストへの登録漏れの場合である。このようなパケットが廃棄されることを防ぐために、リストに登録されてないパケットもログだけ取って通過させる方法がある。しかしこの方法では、未知の不正パケットが流れてきた場合、不正パケットを検知できても即時防御できない。
また、不正パケットによって防御対象ネットワーク内部の端末が感染した場合に、感染した端末から防御対象ネットワーク内部に感染が拡大してしまうことがある。ホワイトリストでは、ネットワークを監視している監視アプライアンスから通知される攻撃パケット情報をもとに、感染した端末のパケットは全てホワイトリストから削除して廃棄することで感染拡大を防ぐ方法がある。しかし、感染した端末のパケットがすべて攻撃パケットであるとは限らず、装置のモニタリングや運用を制御するような制御ネットワークでは、通信を完全に止めて正規のパケットも廃棄してしまうことになり、システム全体に甚大な影響を与える可能性もある。
本発明は、安全かつ柔軟性のあるデータ中継を実現することを目的とする。
本願において開示される発明の一側面となる中継装置は、防御対象ネットワーク内でデータを中継する中継装置であって、前記データの宛先および送信元により前記データが正規であることを示す正規情報を登録するホワイトリストを格納する記憶部と、第1データを受信する受信部と、前記受信部によって受信された第1データに関する正規情報が前記ホワイトリストに登録されているか否かを判定する判定部と、前記判定部によって前記第1データに関する正規情報が前記ホワイトリストに登録されていないと判定された場合、前記第1データの宛先への到達に要する残存寿命を、前記中継装置から前記防御対象ネットワーク内で最も近い通信装置から最も遠い通信装置までの間に存在する特定の通信装置までの到達に要する特定の寿命に書き換える書換部と、前記書換部による書換後の第1データを送信する送信部と、を有することを特徴とする。
本発明の代表的な実施の形態によれば、安全かつ柔軟性のあるデータ中継を実現することができる。前述した以外の課題、構成および効果は、以下の実施例の説明により明らかにされる。
図1は、データの一例であるパケットを中継する中継装置の構成例を示すブロック図である。 図2は、実施例1にかかるホワイトリスト格納メモリに格納されるホワイトリストの一例を示す説明図である。 図3は、転送設定メモリが保持する転送設定情報の一例を示す説明図である。 図4は、転送設定プログラムが入出力装置から入力を受け付ける転送設定に関する命令一覧の一例を示す説明図である。 図5は、中継装置の動作処理手順例を示すフローチャートである。 図6は、図5のステップS502において、生成状態であると判定された場合(ステップS502:Yes)の動作例を示すフローチャートである。 図7は、図5のステップS502において、運用状態と判定された場合(ステップS502:No)の動作例を示すフローチャートである。 図8は、実施例1にかかるパケット転送例を示す説明図である。 図9は、実施例2にかかるホワイトリスト格納メモリに格納されるホワイトリストの一例を示す説明図である。 図10は、実施例2にかかる中継装置が監視アプライアンスから通知される通知情報の一例を示す説明図である。 図11は、実施例2にかかる中継装置がホワイトリスト生成状態時に(ステップS502:Yes)、パケットを受信した場合の動作例を示すフローチャートである。 図12は、図5のステップS502において、実施例2にかかる中継装置100が運用状態時に(ステップS502:No)、パケットを受信した場合の動作例を示すフローチャートである。 図13は、実施例2にかかる中継装置がホワイトリスト運用状態時に(ステップS502:No)、監視アプライアンスから攻撃パケットの情報を入手した時の動作例を示すフローチャートである。 図14は、実施例2にかかるパケット転送例を示す説明図である。
実施例1の中継装置は、防御対象ネットワーク内に設けられる。中継装置は、ホワイトリスト登録外パケット受信時の動作として、受信したパケットのTTL(Time To Live)値をあらかじめ設定した値に書き換える。中継装置は、ホワイトリスト設定時に、書き換え時のTTL値として防御対象ネットワーク内部の最大ホップ数を登録する。これにより、ホワイトリスト登録外パケット受信時には、中継装置は、TTL値を登録した値に書き換えて転送する。したがって、中継装置から転送されるパケットの通信範囲が、防御対象ネットワーク内部に限定される。
<中継装置の構成例>
図1は、データの一例であるパケットを中継する中継装置の構成例を示すブロック図である。中継装置100は、通信装置の一例である。中継装置100は、パケットの中継、およびホワイトリストの生成を実行する。ホワイトリストとは、たとえば、中継装置100による転送が許可されたパケットの一覧である。中継装置100は、たとえば、複数のパケット受信部102、パケット転送部103、S/W(SoftWare)制御部104、複数のパケット送信部105、および入出力インタフェース106を含む。
パケット受信部102の各々は、たとえば、端末や他の中継装置等の外部装置と、メタルケーブルや光ケーブル等の回線で接続され、接続された外部装置からパケットを受信する。パケット受信部102の各々は、パケット受信部102を一意に識別する受信部番号を有する。
パケット受信部102の各々は、パケットを受信した際に、当該パケットに当該パケット受信部102に対応する制御情報(たとえば、パケット受信部番号、VLAN(Virtual Local Area Network)番号)を付加する。制御情報は、1以上のパケット受信部102を有するパケット受信部群を示す情報を含む。パケット受信部102のパケット受信部番号、および当該パケット受信部102が所属するVLAN識別子であるVLAN番号は、それぞれ当該パケット受信部102が付加する制御情報の一例である。
パケット転送部103は、パケット受信部102からパケットを受信し、S/W制御部104が生成したホワイトリストに従って、受信したパケットの転送、又は廃棄等を行う。S/W制御部104は、ホワイトリストを生成する。パケット送信部105の各々は、端末や他の中継装置等の外部装置と、メタルケーブルや光ケーブル等の回線で接続され、パケット転送部103から受信したパケットを、接続された外部装置へと送信する。
パケット受信部102およびパケット送信部105は、通常、ハードウェアで構成される。なお、パケット受信部102およびパケット送信部105は、図1では説明のため別の部として記載しているが、パケット受信部102とパケット送信部105が一体化したパケット送受信部であってもよい。
入出力インタフェース106は、入出力装置160に接続される。入出力インタフェース106は、入出力装置160を介して、利用者からの入力を受け付ける。また、入出力インタフェース106は、プログラムの実行結果等を入出力装置160に出力する。入出力装置160は、たとえば、キーボードやマウス等の利用者からの入力を受ける入力装置、およびディスプレイ装置やプリンタ等の中継装置100の処理結果を利用者が視認可能な形式で出力する出力装置を含む。
なお、図1では入出力装置160は、中継装置100と独立した装置として記載されているが、中継装置100にディスプレイや操作ボタン等の入出力装置160が備え付けられていてもよい。
パケット転送部103は、ホワイトリスト格納メモリ131と、転送先決定部132と、転送テーブルメモリ133と、転送設定メモリ134と、を含む。ホワイトリスト格納メモリ131は、たとえば、CAM(Content Addressable Memory)やDRAM(Dynamic Random Access Memory)であり、S/W制御部104が生成したホワイトリストを格納する。
転送テーブルメモリ133は、たとえば、CAMやDRAMであり、パケットのヘッダ情報(たとえば、Mac Address,IP Address,protocol,port番号)と、パケットの転送先、すなわちパケット送信部105と、の対応を示す対応情報を格納する。当該対応情報は管理者によって作成され、予め転送テーブルメモリ133に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応情報の一例である。
転送設定メモリ134は、たとえば、DRAMであり、後述する中継装置100の状態、ホワイトリスト登録外パケット受信時の動作を示す転送設定情報300を格納する。転送設定メモリ134に格納される転送設定情報300は、入出力装置160を介して、管理者により設定される。
転送先決定部132は、パケット受信部102からパケットを受信し、受信したパケットのヘッダ情報をキーに転送テーブルメモリ133内を検索することにより、受信したパケットの転送先を決定する。
また、転送先決定部132は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ131に格納されたホワイトリストを検索し、受信したパケットがホワイトリスト登録パケットであるか否かを判定する判定部132Aとして機能する。転送先決定部132は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、転送設定メモリ134が保持するホワイトリスト登録外パケット受信時動作設定(パケットの通過、パケットの廃棄、TTL値の書き換え)が示す処理を、当該パケットに対して行う書換部132Bとして機能する。
転送先決定部132は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報(たとえば、Mac Address,IP Address,protocol,port番号)および所定の制御情報(たとえば、パケット受信部番号、VLAN番号)を抽出し、S/W制御部104へと送信する。転送先決定部132は、転送設定メモリ134の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。
パケット転送部103は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成される。パケット転送部103は、たとえば、FPGA(Field Programmable Gate Array)等で構成されてもよい。
S/W制御部104は、CPU(Control Processing Unit)141と、S/Wメモリ142と、を含む。CPU141は、S/Wメモリ142に格納されたプログラムを実行するプロセッサを含む。S/Wメモリ142は、不揮発性の記憶素子であるROM(Read Only Memory)および揮発性の記憶素子であるRAM(Random Access Memory)を含む。
ROMは、不変のプログラム(たとえば、BIOS(Basic Input/Output System))などを格納する。RAMは、DRAMのような高速かつ揮発性の記憶素子であり、プロセッサが実行するプログラムおよびプログラムの実行時に使用されるデータを一時的に格納する。
S/Wメモリ142は、ホワイトリスト生成プログラム143、転送設定プログラム144を含む。S/Wメモリ142に格納されたプログラムはCPU141(プロセッサ)によって実行されることで、定められた処理を記憶装置および通信ポート(通信デバイス)等を用いながら行う。従って、本明細書においてプログラムを主語とする説明は、CPU141を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機および計算機システムが行う処理である。
CPU141は、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。たとえば、CPU141は、ホワイトリスト生成プログラム143に従って動作することでホワイトリスト生成部として機能し、転送設定プログラム144に従って動作することで転送設定部として機能する。さらに、CPU141は、各プログラムが実行する複数の処理のそれぞれを実現する機能部としても動作する。計算機および計算機システムは、これらの機能部を含む装置およびシステムである。
ホワイトリスト生成プログラム143は、転送先決定部132から受信した制御情報およびヘッダ情報から、ホワイトリスト(図2で後述)を生成し、ホワイトリスト格納メモリ131へと書き込む。転送設定プログラム144は、入出力装置160から入力された転送設定を転送設定メモリ134に書き込む。
<ホワイトリストの一例>
図2は、実施例1にかかるホワイトリスト格納メモリ131に格納されるホワイトリストの一例を示す説明図である。図2の例では、ホワイトリスト200は、n個のエントリを含む。ホワイトリスト200の各エントリは、複数のパラメータを含む。当該複数のパラメータの各々は、パケット受信部102から受信したパケットから転送先決定部132が抽出した制御情報またはヘッダ情報である。したがって、ホワイトリスト200の各エントリは、中継装置100により中継された正規なパケットを特定する正規パケット情報である。すなわち、ホワイトリスト200に登録されたエントリにより、正規な通信経路が特定される。
エントリ210は、ホワイトリスト200に含まれるエントリの一例である。エントリ210は、たとえば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号201、およびVLAN番号202を含む。エントリ210は、たとえば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address203、Destination Mac Address204、Protocol205、Source IP Address206、Destination IP Address207、Source port番号208、およびDestination Port番号209を含む。
パケット受信部番号201は、パケット受信部102の各々を一意に識別する番号である。パケット受信部番号201により、パケットを受信したパケット受信部102が特定される。VLAN番号202は、パケット受信部102が所属するVLANを一意に識別する番号である。
Source Mac Address203は、パケットの送信元Macアドレスを示す。Destination Mac Address204は、パケットの宛先Macアドレスを示す。protocol205は、プロトコルの種類を示す。Source IP Address206は、パケットの送信元IPアドレスを示す。Destination IP Address207は、パケットの宛先IPアドレスを示す。Source port番号208は、パケットの送信元ポート番号を示す。Destination port番号209は、パケットの宛先ポート番号を示す。
なお、エントリ210は、図2の例に限らず、1種類以上の制御情報を示すパラメータと、複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ210は、たとえば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、およびヘッダ値等のヘッダ情報を含んでもよい。
<転送設定情報の一例>
図3は、転送設定メモリ134が保持する転送設定情報の一例を示す説明図である。転送設定情報300は、たとえば、転送設定の種別を示す保持情報301、保持情報301の状態を示す保持内容302、および保持内容302の初期状態を示す初期状態303を含む。図3において、保持内容302を示す各セルには「/」で区切られた複数の値が記載されているが、実際には当該複数の値のいずれか1つが格納される。初期状態303は、対応する保持内容302に記載されている複数の値のいずれか1つを格納する。
レコード304は、保持情報301としてホワイトリスト機能を規定するレコードであり、具体的には、たとえば、保持内容302として生成状態/運用状態、初期状態303として運用状態を規定する。
レコード305は、保持情報301としてホワイトリスト登録外パケット受信時動作を規定するレコードであり、具体的には、たとえば、保持内容302として廃棄/通過/TLL書き換え、初期状態303として通過を規定する。
レコード306は、保持情報301としてTTL書き換え時TTL値を規定するレコードであり、具体的には、たとえば、保持内容302としてTTL値、初期状態303として最大ホップ数を規定する。最大ホップ数とは、中継装置100から防御対象ネットワークと防御対象外ネットワークとの境界に位置する中継装置までの最短経路のホップ数のうち最大値である。したがって、保持内容302のTTL値に書き換えられたパケットは、防御対象ネットワーク内では生存するため、防御対象ネットワーク内の端末に到達する。転送によりTTL値が「0」になった場合は、防御対象外ネットワークに転送されたことになり、防御対象外ネットワークでパケットは廃棄されることになる。
なお、保持内容302のTTL値を最大ホップ数よりも小さいホップ数に設定してもよい。たとえば、最小ホップ数(中継装置100から防御対象ネットワークと防御対象外ネットワークとの境界に位置する中継装置までの最短経路のホップ数のうち最小値)としてもよい。これにより、保持内容302のTTL値に書き換えられたパケットは、防御対象ネットワーク内では生存するため、防御対象ネットワーク内の端末に到達する。また、当該パケットは、転送によりTTL値が「0」になった場合でも、防御対象ネットワーク内で廃棄される。したがって、防御対象外ネットワークに転送されることはない。
すなわち、保持内容302のTTL値を大きくすればするほど、パケットは防御対象ネットワーク内の端末に到達するが、防御対象外ネットワークの端末にも到達する可能性がある。一方、保持内容302のTTL値を小さくすればするほど、パケットは防御対象ネットワーク内の端末に到達し、かつ、防御対象外ネットワークの端末には転送されにくくなるが、防御対象ネットワーク内の端末に到達しない可能性もある。すなわち、防御対象ネットワーク内の端末に到達しやすくすることで利便性の向上を図る場合には、保持内容302のTTL値を大きくし、よりセキュアに運用したい場合には、保持内容302のTTL値を小さくすればよい。
以下、転送設定情報300に従った中継装置100の動作例を説明する。転送先決定部132はパケットを受信すると、転送設定メモリ134を参照し、レコード304の保持内容302が、ホワイトリスト200を生成する生成状態であるか、ホワイトリスト200を用いた転送を行う運用状態であるかを判定する。
以下、レコード304の保持内容302が生成状態である場合の動作例を説明する。転送先決定部132は、受信したパケットに対してパケット転送処理を行いながら、受信したパケットの所定のヘッダ情報および所定の制御情報を、CPU141が実行するホワイトリスト生成プログラム143に送信する。CPU141は、ホワイトリスト生成プログラム143により、転送先決定部132から受信したパケットのヘッダ情報および制御情報からホワイトリスト200を生成し、生成した情報をホワイトリスト格納メモリ131へ書き込む。
以下、レコード304の保持内容302が運用状態である場合の動作例を説明する。転送先決定部132は、パケット受信部102から受信したパケットが、ホワイトリスト格納メモリ131に格納されたホワイトリスト200に登録済みか否かを判定する。当該パケットが当該ホワイトリスト200に登録済みである場合、転送先決定部132は、受信したパケットに対して、パケット転送処理を行う。
当該パケットが当該ホワイトリスト200に登録済みでない場合、転送先決定部132は、転送設定メモリ134を参照し、レコード305の保持内容302が示す処理を当該パケットに対して行う。レコード305の保持内容302が示す処理は、たとえば、当該パケットの廃棄、当該パケットの通過即ち当該パケットに対するパケット転送を含む。
<転送設定に関する命令一覧の一例>
図4は、転送設定プログラム144が入出力装置160から入力を受け付ける転送設定に関する命令一覧の一例を示す説明図である。転送設定に関する命令一覧400は、たとえば、命令の種別を示す命令種別401、命令種別401が示す命令による設定内容を示す設定内容402、および設定内容402の初期状態を示す初期状態903を含む。転送設定に関する命令一覧400を中継装置100に入力すると、転送設定情報300が設定される。
レコード404〜406が示す命令の各々は、転送設定メモリ134のレコード304〜306それぞれが示す転送設定を変更する命令である。レコード404〜406の命令種別401、設定内容402、および初期状態403の各々は、転送設定メモリ134のレコード304〜306の保持情報301、保持内容302、および初期状態303に対応する。
<中継装置の動作処理手順例>
図5は、中継装置100の動作処理手順例を示すフローチャートである。具体的には、たとえば、図5は、外部からのパケットを受信した際の転送設定メモリ134の設定内容による動作を示す。
中継装置100のパケット受信部102のいずれかがパケットを受信すると、受信パケットに前述のような制御情報を付加し、転送先決定部132へと送信する(ステップS501)。パケットを受信した転送先決定部132は、転送設定メモリ134のレコード304の保持内容302(生成状態/運用状態)を確認し、ホワイトリスト200を生成する生成状態であるか、ホワイトリスト200を用いた転送を行う運用状態であるかを判定する(ステップS502)。判定の結果、生成状態である場合には(ステップS502:Yes)、後述する図6のステップS601へと移行し、ホワイトリスト200の自動生成を実施する。判定の結果、運用状態である場合には(ステップS502:No)、後述する図7のステップS1201へと移行し、生成されたホワイトリスト200に基づく通信制御を実施する。
なお、ホワイトリスト200の生成状態、運用状態は、たとえば、前述の通り入出力装置160から管理者による入力によって変更される。生成状態についてはネットワーク構築時などの無菌期間を想定しており、無菌期間に正常な通信を実施させ、ホワイトリスト200を自動生成させた後、管理者によって運用状態へと遷移させることを想定している。
図6は、図5のステップS502において、生成状態であると判定された場合(ステップS502:Yes)の動作例を示すフローチャートである。パケットを受信した転送先決定部132は、受信パケットのヘッダ部分および制御情報をS/W制御部104へと送信する(ステップS601)。受信パケットのヘッダ部分および制御情報を受信したS/W制御部104は、その内部に存在するCPU141をホワイトリスト生成部として動作させ、ヘッダ部分および制御情報により、図2に記載の情報に従いホワイトリスト200を生成する(ステップS602)。
さらに、ホワイトリスト生成部として動作しているCPU141は、ホワイトリスト格納メモリ340へと生成したホワイトリスト200の書き込みを実施する(ステップS603)。そして、転送先決定部132は、受信パケットのヘッダ部分および制御情報をキーにして転送テーブルメモリ133の対応情報を検索し、転送先を決定する(ステップS604)。パケット転送部103は、転送先決定部132で送信先を決定されたパケットを、パケット送信部105のいずれかから送信し(ステップS605)、処理を終了する。
図7は、図5のステップS502において、運用状態と判定された場合(ステップS502:No)の動作例を示すフローチャートである。パケットを受信した転送先決定部132は、ホワイトリスト200を検索する(ステップS701)。そして、受信したパケットが持つヘッダ情報および制御情報が、ホワイトリスト200に格納されており、HITしたか否かを判定する(ステップS702)。
以下、ステップS702でHITした場合(ステップS702:Yes)を説明する。転送先決定部132は、受信パケットのヘッダ部分および制御情報をキーにして転送テーブルメモリ133の対応情報を検索し、送信先を決定する(ステップS703)。パケット転送部103は、パケット転送部103で送信先を決定されたパケットを、パケット送信部105のいずれかから送信し(ステップS704)、処理を終了する。
以下、ステップS702でHITしなかった場合(ステップS702:No)を説明する。転送先決定部132は、転送設定メモリ134内のレコード305の保持内容302を確認し、保持内容302が廃棄か、通過か、TTLを書き換えるかを判別する(ステップS705)。ステップS705で通過と判定された場合(ステップS705:通過)、ステップS703へと移る。
ステップS705で廃棄と判定された場合(ステップS705:廃棄)、転送先決定部132は、パケットを廃棄し(ステップS706)、処理を終了する。ステップS705でTTLを書き換えると判定された場合、転送先決定部132は、パケットのTTLを、転送設定情報300内のレコード306の保持内容302のTTL値に書き換える(ステップS707)。その後、転送先決定部132は、転送テーブルメモリ133の対応情報で送信先を決定し(ステップS703)、パケット送信部105からパケットを送信し(ステップS704)、処理を終了する。
<パケット転送例>
図8は、実施例1にかかるパケット転送例を示す説明図である。端末800、802は、たとえば、L3網である防御対象外ネットワーク801に設けられる。防御対象外ネットワーク801には、端末800、802以外の他の端末も設けられているが、図1では省略する。
端末804,806,807および中継装置100、803は、たとえば、L2網である防御対象ネットワーク805に設けられる。端末804は、中継装置100のパケット受信部102および送信部500で接続されている。中継装置803は、防御対象ネットワーク805と防御対象外ネットワーク801との境界に設けられる。なお、図1では、端末804は、中継装置100に接続されているが、端末806,807も防御対象ネットワーク内の中継装置(不図示)に接続されている。また、防御対象ネットワーク805には、端末804,806,807以外の他の端末や中継装置100以外の他の中継装置も設けられているが、図1では省略する。
ホワイトリスト格納メモリ131には、端末804から端末806へのパケットを特定するエントリ、端末806から端末804へのパケットを特定するエントリ、端末804から端末802へのパケットを特定するエントリ、端末802から端末804へのパケットを特定するエントリが登録されている。また、端末800は、C&Cサーバのような攻撃者の端末であると仮定している。
あらかじめ、ホワイトリスト生成状態の時に、中継装置100は、転送設定情報300のエントリ306(TTL書き換え時TTL値)のTTL値に防御対象ネットワーク805内部の最大ホップ数を登録する。また、中継装置100は、エントリ305(ホワイトリスト登録外パケット受信時動作)の保持内容302をTTL書き換えに設定する。
以下、中継装置100でのホワイトリスト200の運用状態の時(ステップS502:No)に、端末804からそれぞれ端末800、802、806、807へパケットを送信した場合の動作を詳細に説明する。
[経路R1:端末804→端末806]
端末804から宛先を端末806とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト200を検索する。端末804から端末806へのパケットを特定するエントリは、ホワイトリスト200に登録されている。したがって、中継装置100は、転送テーブルメモリ133の対応情報を検索して転送先を決定し、パケット送信部105からパケットを送信する。このように、端末806は、端末804から中継装置100で中継されたパケットを受信することができる。
[経路R2:端末804→端末807]
端末804から宛先を端末807とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト200を検索する。端末804から端末807へのパケットを特定するエントリは、ホワイトリスト200に登録されていない。したがって、中継装置100は、転送設定情報300を参照し、TTLの書き換えを選択し、TTLを登録されているTTL値に書き換える。その後、中継装置100は、転送テーブルメモリ133を検索して転送先を決定し、パケット送信部105からパケットを送信する。端末807までは到達可能なTTL値が設定されているため、端末807は、端末804から中継装置100で中継されたパケットを受信することができる。
[経路R3:端末804→端末802]
端末804から宛先を防御対象外ネットワーク801の端末802とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト200を検索する。端末804から端末802へのパケットを特定するエントリは、ホワイトリスト200に登録されている。したがって、中継装置100は、転送テーブルメモリ133を検索して転送先を決定し、パケット送信部105からパケットを送信する。このように、防御対象外ネットワーク801への通信であっても、ホワイトリスト200に登録されている端末802は、端末804から中継装置100で中継されたパケットを受信することができる。
[経路R4:端末804→端末800(攻撃者の端末)]
端末804から宛先を防御対象外ネットワーク801の端末800とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト200を検索する。端末804から端末800へのパケットはホワイトリスト200に登録されていない。
したがって、中継装置100は、転送設定情報300を参照し、TTLの書き換えを選択し、パケットのTTLを、転送設定情報300に登録されているTTL値に書き換える。その後、中継装置100は、転送テーブルメモリ133の対応情報を検索して転送先を決定し、パケット送信部105からパケットを送信する。端末800までは途中の防御対象ネットワーク805内の通信装置によってTTLが減算され、中継装置803に到達した時点でTTL=0となり、パケットが廃棄されてしまう。このため、端末800は、端末804からパケットを受信することはできない。その結果、攻撃者の端末(攻撃端末)である端末800との通信を遮断することができる。
このように、攻撃端末である端末800との通信は遮断することで、防御対象ネットワーク805内部の感染を防ぐことができる。一方で、ホワイトリスト200への登録漏れなどによるホワイトリスト登録外パケットであっても、防御対象ネットワーク805内部に範囲を限定して通信することが可能である。これによって、ホワイトリスト機能によるセキュリティの確保とシステムへの影響の最小化の両立が可能となる。
実施例2は、実施例1の中継装置について、ホワイトリスト格納メモリ131が保持するホワイトリスト200の情報を一部変更し、ネットワークを監視する監視アプライアンスと組み合わせた例である。実施例2では、実施例1との相違点を中心に説明し、実施例1と同一内容については説明を省略する。
実施例2の中継装置100は、ホワイトリストに登録されているパケットについて、それぞれのエントリごとにTTL値を、設定した値に書き換える。また、あらかじめ、中継装置100は、ホワイトリストの設定の時に、転送設定情報300の書き換え時TTL値の初期状態303に中継装置100からの防御対象ネットワーク805内部の最大ホップ数を登録し、転送設定情報300のホワイトリスト登録外パケット受信時動作を「廃棄」に設定する。
ホワイトリストの運用状態時に(ステップS502:No)、監視アプライアンスから通知される攻撃パケットがホワイトリストに登録されている場合は、その重要度に応じて、ホワイトリストのエントリの削除または変更を選択する。たとえば、中継装置100は、重要度が高いパケットについては完全な攻撃と判断してホワイトリストから削除し、重要度が低いパケットについては攻撃か判断できないためTTL値を設定した値に変更する。これによって、重要度が高い攻撃パケットは廃棄され、重要度が低い攻撃パケットは、防御対象ネットワーク805内部に範囲を限定して通信させることができる。
なお、監視アプライアンスは、特許文献5のように、重要度に応じたレベルのアラームを通知する技術を有する。特許文献5によると、防御対象ネットワーク805内の端末が感染した場合、監視アプライアンスは、不正パケットのパターンと比較して検知し、その重要度のレベルに応じたアラームを通知する。中継装置100は、アラームをもとにホワイトリスト200のエントリを削除または変更することで、防御対象ネットワーク805内部と攻撃端末との通信を遮断することができる。通常、感染した端末は外部の攻撃端末からの指示によって動作するようになるため、攻撃端末との通信を遮断することで感染した端末からのさらなる感染拡大を防ぐことができる。
<ホワイトリストの一例>
図9は、実施例2にかかるホワイトリスト格納メモリ131に格納されるホワイトリストの一例を示す説明図である。図9の例では、ホワイトリスト900において、エントリ920のヘッダ情報901〜909は、実施例1のホワイトリスト200のエントリ210のヘッダ情報201〜209と同様である。TTL値910は、当該エントリにヒットしたパケットについて、TTLを書き換えるときの値である。このTTL値910には、転送設定情報300のエントリ306(TTL書き換え時TTL値)の値、またはTTL値を書き換えないことを示す「0」が登録される。なお、実施例2ではTTL値を書き換えないことを示すのに「0」を使用するが、TTL値のとりうる1〜255以外の値であれば他の値でもよい。
<通知情報の一例>
図10は、実施例2にかかる中継装置が監視アプライアンスから通知される通知情報の一例を示す説明図である。通知情報1000は、攻撃種別1001と、攻撃元IP Address1002と、攻撃対象IP Address1003と、重要度1004と、を有する。攻撃種別1001は、Dos攻撃などの攻撃の種類を示す情報である。攻撃元IP Address1002は、攻撃端末のIPアドレスを示す情報である。攻撃対象IP Address1003は、攻撃端末からの攻撃対象となった端末のIPアドレスを示す情報である。重要度1004は、攻撃の危険度を「HIGH」、「NORMAL」、「LOW」の3段階で示す情報である。なお、実施例2では、攻撃端末を特定する情報として攻撃元IP Address、重要度を攻撃の危険度を3段階で表しているが、攻撃端末が特定でき、攻撃の重要度が段階で通知されれば他でもよい。
<動作処理手順例>
つぎに、中継装置100の動作処理手順例について説明する。なお、図5のフローチャートは、実施例2にも適用される。したがって、ここでは、図5のステップS502において生成状態の場合(ステップS502:Yes)の処理については図11で、運用状態の場合(ステップS502:No)の処理については図12で説明する。
図11は、実施例2にかかる中継装置100がホワイトリスト生成状態時に(ステップS502:Yes)、パケットを受信した場合の動作例を示すフローチャートである。パケットを受信した転送先決定部132は、受信パケットのヘッダ部分および制御情報をS/W制御部104へと送信する(ステップS1101)。受信パケットのヘッダ部分および制御情報を受信したS/W制御部104は、その内部に存在するCPU141をホワイトリスト生成部として動作させ、ヘッダ部分および制御情報により、図9のTTL値910に従いホワイトリスト900を生成する。
このとき、中継装置100は、各エントリのTTL値910にはTTLを書き換えないことを意味する「0」を登録する(ステップS1102)。TTL値910の初期値は「0」であるが、後述するステップS1318またはS1313で、転送設定情報300の書き換え時TTL値の初期状態303の値(中継装置100からの防御対象ネットワーク805内部の最大ホップ数)に書き換えられる。
さらに、ホワイトリスト生成部として動作しているCPU141は、ホワイトリスト格納メモリ340へと生成したホワイトリスト900の書き込みを実施する(ステップS1103)。そして、転送先決定部132は、受信パケットのヘッダ部分および制御情報をキーに転送テーブルメモリ133の対応情報を検索し、転送先を決定する(ステップS1104)。パケット転送部103は、転送先決定部132で送信先を決定されたパケットを、パケット送信部105のいずれかから送信し(ステップS1105)、処理を終了する。
図12は、図5のステップS502において、実施例2にかかる中継装置100が運用状態時に(ステップS502:No)、パケットを受信した場合の動作例を示すフローチャートである。パケットを受信した転送先決定部132は、ホワイトリスト900を検索する(ステップS1201)。そして、受信したパケットが持つヘッダ情報および制御情報が、ホワイトリスト200に格納されており、HITしたか否かを判定する(ステップS1202)。
以下、ステップS1202でHITしなかった場合(ステップS1202:No)を説明する。実施例2では、ホワイトリスト登録外パケットの受信時動作が「廃棄」に設定されている。したがって、転送先決定部132は、転送設定メモリ134内のレコード305の保持内容302である「廃棄」に従い、パケットを廃棄し(ステップS1203)、処理を終了する。
以下、ステップS1202でHITした場合(ステップS1202:Yes)を説明する。転送先決定部132は、ホワイトリスト900のHITしたエントリのTTL値910が「0」であるか否かを判断する(ステップS1204)。TTL値910が「0」である場合(ステップS1204:Yes)、ステップS1206に移行する。
一方、TTL値910が「0」でない場合(ステップS1204:No)、転送先決定部132は、ホワイトリスト900を確認し、パケットのTTLをTTL値910に書き換える(ステップS1205)。転送先決定部132は、受信パケットのヘッダ部分および制御情報をキーにして転送テーブルメモリ133の対応情報を検索し、送信先を決定する(ステップS1206)。パケット転送部103は、パケット転送部103で送信先を決定されたパケットを、パケット送信部105のいずれかから送信し(ステップS1207)、処理を終了する。
図13は、実施例2にかかる中継装置100がホワイトリスト運用状態時に(ステップS502:No)、監視アプライアンスから攻撃パケットの情報を入手した時の動作例を示すフローチャートである。本フローチャートは、中継装置100が監視アプライアンスから攻撃パケットの情報を含むパケットを受信することで開始される。
まず、転送先決定部132はホワイトリスト格納メモリ131に格納されたホワイトリスト900を検索し、パケット受信部102から受信したパケットを特定するエントリが、ホワイトリスト200に登録済みであることを確認する(ステップS1301)。すなわち、監視アプライアンスからのパケットであるため、ホワイトリスト200に登録済みであると確認される。
つぎに、転送先決定部132は、転送テーブルメモリ133の対応情報を検索した結果、受信パケットの転送先が中継装置100宛であることを特定し、受信パケットをCPU141へ転送する(ステップS1302)。
CPU141は、監視アプライアンスからの受信パケットの内容から、攻撃端末を特定する情報として攻撃端末IPアドレスを取得し、重要度の情報としてHIGH、NORMALまたはLOWを取得し、取得した情報(攻撃パケット情報)をホワイトリスト生成プログラム143に転送する(ステップS1303)。
ホワイトリスト生成プログラム143は、ホワイトリスト900の一行目のエントリを検索対象エントリとして、攻撃端末IPアドレスで当該検索対象エントリの宛先IPアドレス907を検索する(ステップS1304)。ステップS1304では、ホワイトリスト生成プログラム143は、検索対象エントリの検索が終了すると、つぎの行のエントリを検索対象エントリして検索し、攻撃端末IPアドレスに一致する検索対象エントリの宛先IPアドレス907が出現するまで当該検索を実行する。
ホワイトリスト生成プログラム143は、ホワイトリスト900内のエントリがHIT(一致)するかどうか判定する(ステップS1305)。すなわち、ホワイトリスト生成プログラム143は、現在の検索対象エントリについて、攻撃端末IPアドレスに一致する検索対象エントリの宛先IPアドレス907が出現したか否かを判定する。
HITした場合(ステップS1305:Yes)、ホワイトリスト生成プログラム143は、ステップS1303で取得した攻撃パケット情報の重要度を確認する(ステップS1306)。
重要度がHIGHである場合(ステップS1306:Yes)、ホワイトリスト生成プログラム143は、ホワイトリスト900からステップS1305でHITしたエントリを削除する(ステップS1307)。
一方、重要度がNORMALまたはLOWである場合(ステップS1306:No)、ホワイトリスト生成プログラム143は、ホワイトリスト900の当該HITしたエントリのTTL値910に転送設定メモリ134に格納されている転送設定情報300のエントリ306(TTL書き換え時TTL値)のTTL値の値を設定する(ステップS1308)。
ステップS1307またはステップS1308が終了したら、検索対象エントリを当該HITしたエントリの次の行のエントリに設定し、ステップS1304に戻り、ステップS1305でHITしなくなるまで繰り返す。ステップS1305でHITしない場合(ステップS1305:No)、すなわち、ホワイトリスト900の最終行のエントリに到達した場合、ステップS1309に移行する。
ステップS1309では、ホワイトリスト生成プログラム143は、ホワイトリスト900の一行目のエントリを検索対象エントリとして、攻撃端末IPアドレスで当該検索対象エントリの送信元IPアドレス906を検索する(ステップS1309)。ステップS1309では、ホワイトリスト生成プログラム143は、検索対象エントリの検索が終了すると、つぎの行のエントリを検索対象エントリして検索し、攻撃端末IPアドレスに一致する検索対象エントリの送信元IPアドレス906が出現するまで当該検索を実行する。
ホワイトリスト生成プログラム143は、ホワイトリスト900内のエントリがHIT(一致)するかどうか判定する(ステップS1310)。すなわち、ホワイトリスト生成プログラム143は、現在の検索対象エントリについて、攻撃端末IPアドレスに一致する検索対象エントリの送信元IPアドレス906が出現したか否かを判定する。
HITした場合(ステップS1310:Yes)、ホワイトリスト生成プログラム143は、ステップS1303で取得した攻撃パケット情報の重要度を確認する(ステップS1311)。
重要度がHIGHである場合(ステップS1311:Yes)、ホワイトリスト生成プログラム143は、ホワイトリスト900からステップS1310でHITしたエントリを削除する(ステップS1312)。
一方、重要度がNORMALまたはLOWである場合(ステップS1311:No)、ホワイトリスト生成プログラム143は、ホワイトリスト900の当該HITしたエントリのTTL値910に転送設定メモリ134に格納されている転送設定情報300のTTL値806の値を設定する(ステップS1313)。
ステップS1312またはステップS1313が終了したら、検索対象エントリを当該HITしたエントリの次の行のエントリに設定し、ステップS1309に戻り、ステップS1310でHITしなくなるまで繰り返す。ステップS1310でHITしない場合(ステップS1310:No)、すなわち、ホワイトリスト900の最終行のエントリに到達した場合、処理を終了する。
なお、実施例2では、ホワイトリスト生成プログラム143は、監視アプライアンスから通知されるパケットに含まれる攻撃端末IPアドレスでホワイトリスト900を検索したが、攻撃端末を特定できるものであれば他の情報でもよい。また、同様に通知される攻撃パケット情報の重要度のうち、HIGHの場合はパケット廃棄、NORMALまたはLOWの場合はTTL書き換えとしたが、パケット廃棄とTTL書き換えの選択の判断は実施例2の限りではない。また、ホワイトリスト生成状態についてはネットワーク構築時などの無菌期間を想定しており、監視アプライアンスから攻撃端末の通知は無効であるため、通知が来ても何もしなくてよい。
<パケット転送例>
図14は、実施例2にかかるパケット転送例を示す説明図である。端末1400、1402は、たとえば、L3網である防御対象外ネットワーク1401に設けられる。防御対象外ネットワーク1401には、端末1400、1402以外の他の端末も設けられているが、図14では省略する。
端末1404,1406,1407および中継装置100、1403は、たとえば、L2網である防御対象ネットワーク1405に設けられる。端末1404は、中継装置100のパケット受信部102および送信部500で接続されている。中継装置1403は、防御対象ネットワーク1405と防御対象外ネットワーク1401との境界に設けられる。なお、図14では、端末1404は、中継装置100に接続されているが、端末1406,1407も防御対象ネットワーク1405内の中継装置(不図示)に接続されている。また、防御対象ネットワーク1405には、端末1404,1406,1407以外の他の端末や中継装置100以外の他の中継装置も設けられているが、図14では省略する。
また、中継装置100のホワイトリスト格納メモリ131に格納されているホワイトリスト900には、端末1404から端末1406へのパケットを特定するエントリ、端末1406から端末1404へのパケットを特定するエントリ、端末1404から端末1407へのパケットを特定するエントリ、端末1407から端末1404へのパケットを特定するエントリ、端末1404から端末1402へのパケットを特定するエントリ、端末1402から端末1404へのパケットを特定するエントリが登録されている。また、端末1400はC&Cサーバのような攻撃者の端末(攻撃端末)であり、端末1408は監視アプライアンスが動作する端末(以降、監視アプライアンス端末1408)と仮定している。
また、あらかじめ、中継装置100は、ホワイトリスト900の設定時に、転送設定情報300のTTL値806に防御対象ネットワーク1401内部の最大ホップ数を登録する。また、中継装置100は、エントリ305(ホワイトリスト登録外パケット受信時動作)の保持内容302を「廃棄」に設定する。
監視アプライアンス端末1408が防御対象外ネットワーク1401の端末1402を攻撃端末と判断すると、中継装置100に、端末1402のIPアドレス(攻撃端末IPアドレス)および重要度HIGHを含む攻撃パケット情報を通知する。中継装置100のCPU141は、監視アプライアンス端末1408から当該攻撃パケット情報を取得し、ホワイトリスト生成プログラム143に転送する。
ホワイトリスト生成プログラム143は、図12に示したように、攻撃端末IPアドレスでホワイトリスト900を検索し、宛先IPアドレスまたは送信元IPアドレスにHITするエントリを探し出す。そして、ホワイトリスト生成プログラム143は、攻撃パケット情報に含まれる攻撃の重要度を確認する。当該重要度がHIGHであるため、ホワイトリスト生成プログラム143は、ホワイトリスト900から当該HITしたエントリを削除する。ホワイトリスト生成プログラム143は、ホワイトリスト900の全エントリを検索し、HITするエントリがなくなったら処理を終了する。
監視アプライアンス端末1408が防御対象ネットワーク1405の端末1407を攻撃端末と判断すると、中継装置100に端末1407のIPアドレス(攻撃端末IPアドレス)と重要度LOWを含む攻撃パケット情報を通知する。中継装置100のCPU141は、監視アプライアンス端末1408から当該攻撃パケット情報を取得し、ホワイトリスト生成プログラム143に転送する。
ホワイトリスト生成プログラム143は、図12に示したように、攻撃端末IPアドレスでホワイトリスト900を検索し、宛先IPアドレスまたは送信元IPアドレスにHITするエントリを探し出す。そして、ホワイトリスト生成プログラム143は、攻撃パケット情報に含まれる攻撃の重要度を確認する。当該重要度がLOWであるため、ホワイトリスト生成プログラム143は、ホワイトリスト900から当該HITしたエントリのTTL値910を転送設定情報300のTTL値806の値に変更する。ホワイトリスト生成プログラム143は、ホワイトリスト900の全エントリを検索し、HITするエントリがなくなったら処理を終了する。
以下、ホワイトリスト900の運用状態の時に(ステップS502:No)、防御対象ネットワーク1405の端末1404からそれぞれ端末1400、1402、1406、1407へパケットを送信した場合の動作を詳細に説明する。
[経路R11:端末1404→端末1406]
端末1404から宛先を端末1406とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト900を検索する。端末1404から端末1406へのパケットを特定するエントリは、ホワイトリスト900に登録されている。TTL値910には「0」が登録されているため、中継装置100は、TTL書き換え処理を実行しない。その後、中継装置100は、転送テーブルメモリ133の対応情報を検索して転送先を決定し、パケット送信部105からパケットを送信する。このように、端末1406は、端末1404から中継装置100で中継されたパケットを受信することができる。
[経路R12:端末1404→端末1407]
端末1404から宛先を端末1407とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト900を検索する。端末1404から端末1407へのパケットを特定するエントリは、ホワイトリスト900に登録されている。TTL値910には「0」以外の値が登録されているため、パケットのTTL値を登録されているTTL値910に書き換える。
その後、中継装置100は、転送テーブルメモリ133の対応情報を検索して転送先を決定し、パケット送信部105からパケットを送信する。このとき、書換後のパケットのTTL値は防御対象ネットワーク1405の最大ホップ数となっているため、端末1407までは設定された当該書換後のTTL値で到達可能である。このように、監視アプライアンス端末1408から重要度LOWの攻撃パケットとして通知されたパケットでも、防御対象ネットワーク1405内部に範囲を限定して通信可能となる。
[経路R13:端末1404→端末1402]
端末1404から宛先を端末1402とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト900を検索する。端末1404から端末1402へのパケットはホワイトリスト200に登録されていないため、中継装置100は、転送設定情報300を参照し、パケット廃棄を選択する。このように、監視アプライアンス端末1408から重要度HIGHの攻撃パケットとして通知されたパケットは端末1406に到着する前に廃棄される。したがって、攻撃パケットの通信が遮断される。
[経路R14:端末1404→端末1400]
端末1404から宛先を端末1400とするパケットが送信された場合、中継装置100のパケット受信部102でパケットを受信後、転送先決定部132は、ホワイトリスト900を検索する。端末1404から端末1400へのパケットはホワイトリスト200登録されていないため、中継装置100は、再び転送設定情報300を参照し、パケット廃棄を選択する。その結果、端末1400との通信を遮断することができる。
このように、防御対象ネットワーク1405内部のホワイトリスト900に登録されている端末であっても、監視アプライアンス端末1408によって重要度HIGHの攻撃と判断されたパケットは廃棄され、重要度LOWの攻撃と判断されたパケットは、すぐに廃棄をせずに防御対象ネットワーク1405内部に範囲を限定して通信させることができる。
防御対象ネットワーク1405内部の端末が感染し、当該端末から別の端末への攻撃が行われる場合、感染した端末は外部の攻撃端末からの指示によって動作するようになるため、外部との通信を遮断することで感染した端末からのさらなる感染の拡大を防ぐことにつながる。一方で、防御対象ネットワーク1405内部の範囲で通信が可能であるため、システムへの影響度を少なくすることができる。これによって、ホワイトリスト機能によるセキュリティの確保とシステムへの影響の最小化の両立が可能となる。
以上説明したように、中継装置100は、ホワイトリスト機能によるセキュリティの確保とシステムへの影響の最小化の両立という、これまでの廃棄または通過の2択では実現できない柔軟性のあるパケット中継を提供することができる。具体的には、たとえば、実施例1によれば、ホワイトリスト200の未登録の通信に対して、防御対象ネットワーク805内部の通信の許容と、防御対象外ネットワーク801の通信の遮断の両立を提供することができる。また、実施例2によれば、ホワイトリスト900に登録されている通信であっても攻撃の可能性がある端末に対しては、防御対象ネットワーク1405内部の通信の許容と、防御対象外ネットワーク1401の通信の遮断の両立を提供することができる。
なお、中継装置100は、ホワイトリスト200,900に登録されていないパケットについて、その宛先が防御対象ネットワーク805,1405の端末であれば、TTLを書き換えないようにしてもよい。この場合、中継装置100は、パケット転送部103に、防御対象ネットワーク805,1405内の端末のIPアドレスのリストを保持しておき、当該リストにパケットの宛先IPアドレスと一致するIPアドレスがある場合、当該パケットのTTL値を書き換えないようにする。これにより、ホップ数の不足による未達やホップ数の過剰による防御対象外ネットワーク801,1401への送出を抑制することができる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、IC(Integrated Circuit)カード、SDカード、DVD(Digital Versatile Disc)の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
100 中継装置
102 パケット受信部
103 パケット転送部
104 制御部
105 パケット送信部
106 入出力インタフェース
131 ホワイトリスト格納メモリ
132 転送先決定部
132A 判定部
132B 書換部
133 転送テーブルメモリ
134 転送設定メモリ
143 ホワイトリスト生成プログラム
144 転送設定プログラム
160 入出力装置
200,900 ホワイトリスト
300 転送設定情報
400 命令一覧
801,1401 防御対象外ネットワーク
805,1405 防御対象ネットワーク

Claims (9)

  1. 防御対象ネットワーク内でデータを中継する中継装置であって、
    前記データの宛先および送信元により前記データが正規であることを示す正規情報を登録するホワイトリストを格納する記憶部と、
    第1データを受信する受信部と、
    前記受信部によって受信された第1データに関する正規情報が前記ホワイトリストに登録されているか否かを判定する判定部と、
    前記判定部によって前記第1データに関する正規情報が前記ホワイトリストに登録されていないと判定された場合、前記第1データの宛先への到達に要する残存寿命を、前記中継装置から前記防御対象ネットワーク内で最も近い通信装置から最も遠い通信装置までの間に存在する特定の通信装置までの到達に要する特定の寿命に書き換える書換部と、
    前記書換部による書換後の第1データを送信する送信部と、
    を有することを特徴とする中継装置。
  2. 請求項1に記載の中継装置であって、
    前記特定の通信装置は、前記中継装置から前記防御対象ネットワーク内で前記最も遠い通信装置であることを特徴とする中継装置。
  3. 請求項1に記載の中継装置であって、
    前記特定の通信装置は、前記中継装置から前記防御対象ネットワーク内で前記最も近い通信装置であることを特徴とする中継装置。
  4. 請求項1に記載の中継装置であって、
    前記書換部は、前記第1データの宛先が前記防御対象ネットワーク内の通信装置である場合、前記第1データの宛先への到達に要する残存寿命を書き換えず、
    前記送信部は、前記書換部によって書き換えられていない第1データを送信することを特徴とする中継装置。
  5. 請求項1に記載の中継装置であって、
    前記書換部は、前記判定部によって前記第1データに関する正規情報が前記ホワイトリストに登録されていると判定された場合、前記第1データの宛先への到達に要する残存寿命を書き換えず、
    前記送信部は、前記書換部によって書き換えられていない第1データを送信することを特徴とする中継装置。
  6. 請求項1に記載の中継装置であって、
    前記記憶部は、不正データを送信する攻撃元を特定する攻撃情報を格納し、
    前記判定部は、前記ホワイトリストに前記攻撃元と一致する送信元または宛先を有する特定の正規情報があるか否かを判定し、
    前記書換部は、前記判定部によって前記特定の正規情報が前記ホワイトリストに登録されていると判定された場合、当該特定の正規情報を前記ホワイトリストから削除することを特徴とする中継装置。
  7. 請求項6に記載の中継装置であって、
    前記攻撃情報は、前記攻撃元からの攻撃に対する防御に関する重要度を有し、
    前記書換部は、前記判定部によって前記特定の正規情報が前記ホワイトリストに登録されていると判定され、かつ、前記重要度がしきい値以上である場合、当該特定の正規情報を前記ホワイトリストから削除することを特徴とする中継装置。
  8. 請求項1に記載の中継装置であって、
    前記記憶部は、不正データを送信する攻撃元を特定する攻撃情報を格納し、
    前記ホワイトリストは、前記データの廃棄を示す情報を前記正規情報に対応付け、
    前記書換部は、前記判定部によって前記第1データに関する正規情報が前記ホワイトリストに登録されていないと判定された場合、前記第1データの宛先への到達に要する残存寿命を、前記廃棄を示す情報に書き換え、
    前記送信部は、前記書換部によって前記廃棄を示す情報に書き換えられた第1データを廃棄し、
    前記判定部は、前記ホワイトリストに前記攻撃元と一致する送信元または宛先を有する特定の正規情報があるか否かを判定し、
    前記書換部は、前記特定の正規情報がある場合、当該特定の正規情報に対応付けられた前記廃棄を示す情報を、前記特定の寿命に書き換え、
    前記受信部は、前記第1データと宛先および送信元が同一である第2データを受信し、
    前記判定部は、前記受信部によって受信された第2データに関する正規情報が前記特定の正規情報として前記ホワイトリストに登録されているか否かを判定し、
    前記書換部は、前記判定部によって前記第2データに関する正規情報が前記特定の正規情報として前記ホワイトリストに登録されていると判定された場合、前記第2データの宛先への到達に要する残存寿命を、前記中継装置から前記特定の寿命に書き換え、
    前記送信部は、前記書換部による書換後の第2データを送信することを特徴とする中継装置。
  9. 請求項8に記載の中継装置であって、
    前記攻撃情報は、前記攻撃元からの攻撃に対する防御に関する重要度を有し、
    前記書換部は、前記判定部によって前記第2データに関する正規情報が前記特定の正規情報として前記ホワイトリストに登録されていると判定され、かつ、前記重要度がしきい値未満である場合、前記第2データの宛先への到達に要する残存寿命を、前記中継装置から前記特定の寿命に書き換えることを特徴とする中継装置。
JP2017140035A 2017-07-19 2017-07-19 中継装置 Active JP6877278B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017140035A JP6877278B2 (ja) 2017-07-19 2017-07-19 中継装置
US16/019,580 US11159533B2 (en) 2017-07-19 2018-06-27 Relay apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017140035A JP6877278B2 (ja) 2017-07-19 2017-07-19 中継装置

Publications (2)

Publication Number Publication Date
JP2019022118A JP2019022118A (ja) 2019-02-07
JP6877278B2 true JP6877278B2 (ja) 2021-05-26

Family

ID=65014169

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017140035A Active JP6877278B2 (ja) 2017-07-19 2017-07-19 中継装置

Country Status (2)

Country Link
US (1) US11159533B2 (ja)
JP (1) JP6877278B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2874449T3 (es) * 2012-11-22 2021-11-05 Koninklijke Kpn Nv Sistema para detectar el comportamiento en una red de telecomunicaciones
JP7273759B2 (ja) * 2020-03-19 2023-05-15 株式会社東芝 通信装置、通信方法、情報処理システムおよびプログラム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6970924B1 (en) * 1999-02-23 2005-11-29 Visual Networks, Inc. Methods and apparatus for monitoring end-user experience in a distributed network
JP3826100B2 (ja) * 2002-11-27 2006-09-27 株式会社東芝 通信中継装置、通信システム及び通信制御プログラム
JP3808839B2 (ja) * 2003-03-17 2006-08-16 株式会社東芝 コンテンツ送信装置、コンテンツ受信装置、コンテンツ送信方法及びコンテンツ受信方法
JP4437410B2 (ja) 2004-02-16 2010-03-24 三菱電機株式会社 セキュリティ管理装置及びプログラム
US7873731B1 (en) * 2004-04-08 2011-01-18 Cisco Technology, Inc. Use of per-flow monotonically decreasing TTLs to prevent IDS circumvention
US8881276B2 (en) * 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
JP2009239525A (ja) 2008-03-26 2009-10-15 Nippon Telegr & Teleph Corp <Ntt> フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
TW201002008A (en) * 2008-06-18 2010-01-01 Acer Inc Method and system for preventing from communication by hackers
JP4931881B2 (ja) * 2008-08-13 2012-05-16 日本電信電話株式会社 ホワイトリストを利用したサーバ割り当てシステムおよびその方法
US8539234B2 (en) * 2010-03-30 2013-09-17 Salesforce.Com, Inc. Secure client-side communication between multiple domains
CN102377680B (zh) * 2011-12-06 2014-03-26 杭州华三通信技术有限公司 路由收敛方法及设备
US9712412B2 (en) * 2013-01-30 2017-07-18 Cisco Technology, Inc. Aggregating status to be used for selecting a content delivery network
KR101455167B1 (ko) 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
US20170237749A1 (en) * 2016-02-15 2017-08-17 Michael C. Wood System and Method for Blocking Persistent Malware
JP6320329B2 (ja) * 2015-03-12 2018-05-09 株式会社東芝 ホワイトリスト作成装置
JP6433865B2 (ja) 2015-08-26 2018-12-05 アラクサラネットワークス株式会社 通信装置
US20180337932A1 (en) * 2017-05-16 2018-11-22 Securepush Ltd. Cyber-physical security

Also Published As

Publication number Publication date
JP2019022118A (ja) 2019-02-07
US11159533B2 (en) 2021-10-26
US20190028479A1 (en) 2019-01-24

Similar Documents

Publication Publication Date Title
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
US9118716B2 (en) Computer system, controller and network monitoring method
KR101263329B1 (ko) 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
US10033745B2 (en) Method and system for virtual security isolation
JP6433865B2 (ja) 通信装置
JP6387195B2 (ja) 通信装置及びシステム及び方法
US10560452B2 (en) Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network
JP6138714B2 (ja) 通信装置および通信装置における通信制御方法
US9060013B2 (en) Network system, network relay method, and network relay device
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
JP6793056B2 (ja) 通信装置及びシステム及び方法
JP2020017809A (ja) 通信装置及び通信システム
KR20140059818A (ko) 네트워크 환경 분리
JP4082613B2 (ja) 通信サービスを制限するための装置
WO2018157626A1 (zh) 一种威胁检测方法及装置
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
US11874845B2 (en) Centralized state database storing state information
JP6877278B2 (ja) 中継装置
JP7150552B2 (ja) ネットワーク防御装置およびネットワーク防御システム
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
US20170034166A1 (en) Network management apparatus, network management method, and recording medium
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
JP6101525B2 (ja) 通信制御装置、通信制御方法、通信制御プログラム
JP2024038058A (ja) 情報処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210420

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210427

R150 Certificate of patent or registration of utility model

Ref document number: 6877278

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE

Ref document number: 6877278

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250