JPWO2007116605A1 - 通信端末装置、ルール配布装置およびプログラム - Google Patents

通信端末装置、ルール配布装置およびプログラム Download PDF

Info

Publication number
JPWO2007116605A1
JPWO2007116605A1 JP2008509702A JP2008509702A JPWO2007116605A1 JP WO2007116605 A1 JPWO2007116605 A1 JP WO2007116605A1 JP 2008509702 A JP2008509702 A JP 2008509702A JP 2008509702 A JP2008509702 A JP 2008509702A JP WO2007116605 A1 JPWO2007116605 A1 JP WO2007116605A1
Authority
JP
Japan
Prior art keywords
rule
firewall
network
identification information
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008509702A
Other languages
English (en)
Inventor
卓弥 村上
卓弥 村上
正史 伊藤
正史 伊藤
嘉昭 奥山
嘉昭 奥山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2007116605A1 publication Critical patent/JPWO2007116605A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

通信端末装置10は、ネットワークに接続するための通信装置11と、ファイアウォールルールに従って機能するファイアウォール12とを備え、ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部14と、ルール配布装置20から受信されるファイアウォールルールを適用すべきネットワークの識別情報に対応付けてルール記憶部14に記憶するルール記憶制御部15と、ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出又は変化すると当該検出又は変化した識別情報に対応付けられているファイアウォールルールをルール記憶部14から読み出してファイアウォール12に設定又は更新するファイアウォール制御部13とを有する。

Description

本発明は、ファイアウォールを備えた通信端末装置、及び通信端末装置のプログラムに関する。また、ファイアウォールルールを各通信端末装置へ配布するルール配布装置、及びルール配布装置のプログラムに関する。
近年、携帯電話網、無線LAN(Local Area Network)をはじめとする無線ネットワークの普及に伴い、移動端末装置を用いて多種多様なネットワークに接続するというユースケースが増大している。
多種多様なネットワークに端末を接続する場合、悪意を持った攻撃者によりネットワーク経由で端末が攻撃される恐れが高くなる。これを防御するために、端末内にパーソナルファイアウォール(以下ファイアウォール)機能を実装する方法がある。ファイアウォールは、端末とネットワークの間の通信を監視し、必要な通信のみを通過させ、不要な通信を遮断する。これにより、ネットワーク側からの不正な通信や攻撃を防御することができる。
従来、ファイアウォール機能は、おもにパーソナルコンピュータ上のソフトウェアとして実装されることが多く、携帯電話のような移動体通信端末装置に実装されることはあまりなかった。しかし、移動体通信端末装置は、セキュリティレベルの異なるネットワークを頻繁に切り替えて接続するため、移動体通信端末装置のファイアウォールには、あまり移動を想定していないパーソナルファイアウォールよりもさらに高度な機能が要求される。具体的には、ネットワークが切り替わったときに、切り替え先のネットワークのセキュリティレベルに応じてファイアウォールルールを迅速に切り替える必要がある。
また、携帯電話のような移動体端末装置の利用者の多くは、ファイアウォールの設定などに精通していないので、ファイアウォールの設定を、携帯電話サービスの提供者が設定することが望まれる。特に、新種のコンピュータウィルスやワームが発生した場合には、特定の攻撃が短時間のうちに増加するため、各通信端末装置のファイアウォールに速やかに攻撃を防御するためのルールを適用し、攻撃を未然に防御する必要がある。
(1)特開2004−094723号公報(特許文献1)には、ユーザのシステムがサービス提供会社のシステムに対してファイアウォールの設定変更データを要求すると、提供会社のシステムがユーザのシステムへ変更データを送信して、ファイアウォールの設定を変更することが記載されている。
(2)特開2005−191721号公報(特許文献2)には、無線LANネットワーク検出部が検出したネットワーク識別子に対応するネットワーク設定情報を持っていない場合に、当該無線LANに接続するための無線部とは異なる無線部を用いてディレクトリサーバにアクセスして当該無線LANのネットワーク設定情報をダウンロードして登録する機能を備えた無線端末装置が記載されている。
(3)特開2005−031720号公報(特許文献3)には、ユーザ毎にファイアウォールルールを記憶しており、接続に応じてファイアウォールルールを切り換えるファイアウォール装置が記載されている。
特開2004−094723号公報 特開2005−191721号公報 特開2005−031720号公報
特許文献1や2に記載の設定変更方式は、何れも、ユーザからの要求に応じてサービス提供者が更新データを返す方式であるため、例えば、新種のコンピュータウィルスやワームが発生した場合等のように、緊急に各通信端末装置のファイアウォールルールを更新する必要が生じたような場合に対応できない。従来の方式で上記のような緊急事態に対応するためには、常時ユーザ側からポーリングを繰り返している必要があり、ネットワークの負荷が増大する。また、たいていは緊急事態ではないことに鑑みると、通信の大部分が無駄となってしまう。
本発明は、新種のコンピュータウィルス等が発生したような緊急事態でも、各通信端末装置のファイアウォールルールを速やかに更新できるようにすることを目的とする。
また、従来は、通信端末装置が攻撃を受けている場合、サービス提供者が、その事実や攻撃パターン或いは攻撃を受けているネットワークを速やかに知る手法が無い。このため例えば新種のネットワーク攻撃への対応も後手になりがちである。
本発明は、ネットワーク攻撃を速やかに検出してファイアウォールルール更新等の対応を適時にとり得るようにすることを目的とする。
本発明は、下記[1]〜[11]のように構成される。
[1]構成1:
ネットワークに接続するための通信装置と、設定されているファイアウォールルールに従ってネットワークと自装置との間のデータの通過と遮断を制御するファイアウォールと、を備えた通信端末装置であって、
ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部と、
所定のルール配布装置から受信されるファイアウォールルールを、当該ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて前記ルール記憶部に記憶するルール記憶制御部と、
ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化した識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部と、
を有することを特徴とする通信端末装置。
[2]構成2:
構成1に於いて、
前記ルール記憶制御部は、所定のルール配布装置から受信されるファイアウォールルールにネットワークの識別情報が対応付けられている場合は当該識別情報をファイアウォールルールに対応付けて前記ルール記憶部に記憶し、前記ファイアウォールルールにネットワークの識別情報が対応付けられていない場合は前記ファイアウォール制御部が検出している識別情報を前記ファイアウォールルールに対応付けて前記ルール記憶部に記憶する、
ことを特徴とする通信端末装置。
[3]構成3:
構成1に於いて、
前記ファイアウォール制御部は、前記ルール記憶部にファイアウォールルールとネットワークの識別情報が対応付けて記憶されると、当該識別情報を現在検出している識別情報と比較して、両者が合致する場合は当該識別情報に対応付けられたファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定されているファイアウォールルールを当該読み出したファイアウォールルールに更新する、
ことを特徴とする通信端末装置。
[4]構成4
構成1に於いて、
前記ルール記憶制御部は、所定のルール配布装置から受信されるファイアウォールルールであることを所定の電子署名を検証することで確認する、
ことを特徴とする通信端末装置。
[5]構成5:
構成1に於いて、さらに、
前記通信装置で受信されるデータを監視して所定のパターンに合致するネットワーク攻撃を検出する攻撃検出部と、
前記攻撃検出部がネットワーク攻撃を検出すると、該ネットワーク攻撃のパターン情報と前記ファイアウォール制御部が検出している識別情報とを対応付けて当該パターン情報と当該識別情報とを所定のルール配布装置へ宛てて送信する攻撃通知部と、
を有することを特徴とする通信端末装置。
[6]構成6:
構成5に於いて、
前記攻撃通知部は、前記ネットワーク攻撃のパターン情報に所定のルール配布装置が要求する電子署名を付して、当該パターン情報と前記識別情報とを送信する、
ことを特徴とする通信端末装置。
[7]構成7:
ネットワークに接続するための通信装置を備えたルール配布装置であって、
ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部と、
管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末装置記憶部と、
前記ルール記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を当該ファイアウォールルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信するルール通知部と、
を有することを特徴とするルール配布装置。
[8]構成8:
構成7に於いて、
前記ルール通知部は、所定の電子署名を付して前記ファイアウォールルールと前記識別情報とを送信する、
ことを特徴とするルール配布装置。
[9]構成9:
構成7に於いて、
通信端末装置から受信されるネットワーク攻撃のパターン情報とネットワーク識別情報に基づいて、当該識別情報が対応付けられているファイアウォールルールで当該ネットワーク攻撃に対応可能か否かを調べるルール検査部と、
前記ルール検査部が対応不可と認定した場合は当該ネットワーク攻撃に対応可能なファイアウォールルールを作成するルール作成部と、
を更に有し、
前記ルール通知部は、前記ルール作成部が作成したファイアウォールルールに当該ネットワークの識別情報を対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信する、
ことを特徴とするルール配布装置。
[10]構成10:
ネットワークに接続するための通信装置と、設定されているファイアウォールルールに従ってネットワークと自コンピュータとの間のデータの通過と遮断を制御するファイアウォールと、を備えたコンピュータを、
ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部に、所定のルール配布装置から受信されるファイアウォールルールを、当該ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて記憶するルール記憶制御部、
ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化した識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部、
として機能させるためのプログラム。
[11]構成11:
ネットワークに接続するための通信装置を備えたコンピュータを、
管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末装置記憶部、
ネットワークの識別情報とファイアウォールルールを対応付けてネットワーク毎に保持しているルール記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を当該ファイアウォールルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信するルール通知部、
として機能させるためのプログラム。
構成1の通信端末装置は、ネットワークに接続するための通信装置と、設定されているファイアウォールルールに従ってネットワークと自装置との間のデータの通過と遮断を制御するファイアウォールと、を備えた通信端末装置であって、ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部と、所定のルール配布装置から受信されるファイアウォールルールを当該ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて前記ルール記憶部に記憶するルール記憶制御部と、ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化した識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部と、を有する。このため、新種のコンピュータウィルス等が発生したような緊急事態でも、サービス提供者側からの更新データを受け入れてファイアウォールルールを速やかに更新することができる。
構成2の通信端末装置は、構成1に於いて、前記ルール記憶制御部は、所定のルール配布装置から受信されるファイアウォールルールにネットワークの識別情報が対応付けられている場合は当該識別情報をファイアウォールルールに対応付けて前記ルール記憶部に記憶し、前記ファイアウォールルールにネットワークの識別情報が対応付けられていない場合は前記ファイアウォール制御部が検出している識別情報を前記ファイアウォールルールに対応付けて前記ルール記憶部に記憶する。このため、構成1が奏する効果に加えて、ネットワークの識別情報の対応付けについての具体的構成を与えることができる効果がある。
構成3の通信端末装置は、構成1に於いて、前記ファイアウォール制御部は、前記ルール記憶部にファイアウォールルールとネットワークの識別情報が対応付けて記憶されると、当該識別情報を現在検出している識別情報と比較して、両者が合致する場合は当該識別情報に対応付けられたファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定されているファイアウォールルールを当該読み出したファイアウォールルールに更新する。このため、構成1が奏する効果に加えて、現在接続中のネットワークに関してファイアウォールルールが更新された場合は、直ちに、更新後のファイアウォールルールを設定できる効果がある。
構成4の通信端末装置は、構成1に於いて、前記ルール記憶制御部は、所定のルール配布装置から受信されるファイアウォールルールであることを所定の電子署名を検証することで確認する。このため、構成1が奏する効果に加えて、正規のファイアウォールルールの更新であることを確認できる効果がある。
構成5の通信端末装置は、構成1に於いて、さらに、前記通信装置で受信されるデータを監視して所定のパターンに合致するネットワーク攻撃を検出する攻撃検出部と、前記攻撃検出部がネットワーク攻撃を検出すると、該ネットワーク攻撃のパターン情報と前記ファイアウォール制御部が検出している識別情報とを対応付けて当該パターン情報と当該識別情報とを所定のルール配布装置へ宛てて送信する攻撃通知部と、を有する。このため、サービス提供者(ルール配布装置)は、各通信端末装置から受信される情報により、新種のネットワーク攻撃を速やかに検出してそのネットワーク攻撃に対応することができる。
構成6の通信端末装置は、構成5に於いて、前記攻撃通知部は、所定のルール配布装置が要求する電子署名を付して前記パターン情報と前記識別情報と送信する。このため、サービス提供者(ルール配布装置)は、構成5が奏する効果に加えて、正規の通知であることを確認可能にする効果がある。
構成7のルール配布装置は、ネットワークに接続するための通信装置を備えたルール配布装置であって、ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部と、管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末装置記憶部と、前記ルール記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を当該ファイアウォールルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信するルール通知部と、を有する。このため、新種のコンピュータウィルス等が発生したような緊急事態でも、各通信端末装置のファイアウォールルールを速やかに更新させることができる。
構成8のルール配布装置は、構成7に於いて、前記ルール通知部は、所定の電子署名を付して当該ファイアウォールルールと当該識別情報とを送信する。このため、構成7が奏する効果に加えて、正規の更新であることを確認可能にする効果がある。
構成9のルール配布装置は、構成7に於いて、通信端末装置から受信されるネットワーク攻撃のパターン情報とネットワーク識別情報に基づいて、当該識別情報が対応付けられているファイアウォールルールで当該ネットワーク攻撃に対応可能か否かを調べるルール検査部と、前記ルール検査手段が対応不可と認定した場合は当該ネットワーク攻撃に対応可能なファイアウォールルールを作成するルール作成部とを更に有し、前記ルール通知部は、前記ルール作成部が作成したファイアウォールルールに当該ネットワークの識別情報を対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信させる。このため、新種のネットワーク攻撃を各通信端末装置からの情報に基づいて速やかに検出して、ファイアウォールルール更新等の対応を適時にとり得るようにすることができる。
構成10は、ネットワークに接続するための通信装置と、設定されているファイアウォールルールに従ってネットワークと自コンピュータとの間のデータの通過と遮断を制御するファイアウォールと、を備えたコンピュータを、ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部に、所定のルール配布装置から受信されるファイアウォールルールを、当該ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて記憶するルール記憶制御部、ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化した識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部、として機能させるためのプログラムである。このため、コンピュータを構成1の装置として機能させるためのプログラムを提供することができる。
構成11は、ネットワークに接続するための通信装置を備えたコンピュータを、管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末装置記憶部、ネットワークの識別情報とファイアウォールルールを対応付けてネットワーク毎に保持しているルール記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信するルール通知部、として機能させるためのプログラムである。このため、コンピュータを構成7の装置として機能させるためのプログラムを提供することができる。
図1は、実施の形態の通信端末装置10とルール配布装置20を示した機能ブロック図である。 図2は、通信端末装置10のファイアウォールルールデータベース14と、ルール配布装置のファイアウォールルールデータベース24に保持されるルールテーブルの構成を示した説明図である。
符号の説明
10 通信端末装置
11 通信装置
12 ファイアウォール
13 ファイアウォール適応制御部(ファイアウォール制御部)
14 ファイアウォールルールデータベース(ルール記憶部)
15 ファイアウォール記憶制御部(ファイアウォール制御部)
18 ネットワーク攻撃検出制御部(攻撃検出部)
19 攻撃通知制御部(攻撃通知部)
20 ルール配布装置
21 通信装置
24 ファイアウォールルールデータベース(ルール記憶部)
25 ルール通知制御部(ルール通知部)
26 通信端末装置データベース
28 ルール作成部(ルール作成部)
29 ルール検査部(ルール検査部)
図面を参照して本発明の実施の形態を説明する。図1は、本発明の実施の形態の通信端末装置10およびルール配布装置20の構成を示すブロック図である。図1において、通信端末装置10は、ネットワークA30やネットワークB40に接続してネットワークサービスを受けるための通信端末装置である。
ネットワーク30、ネットワーク40としては、インターネット、イントラネット、無線LANスポット、家庭内LAN、店舗内LANなど、さまざまなネットワークが想定される。
通信端末装置10は、通信装置11を使用してネットワーク30やネットワーク40に接続する。この際、通信端末装置10は、例えば有線LAN(Local Area Network)、無線LAN、公衆電話網、携帯電話網、PHS(Personal Handy-phone System)、IrDA(Infrared Data Association)、Bluetooh、シリアル通信等によって、ネットワーク30やネットワーク40に接続する。通信に使用するプロトコルは、TCP/IPである。
ファイアウォール12は、通信装置11を使用してネットワーク30やネットワーク40と通信する際に、不要な通信を遮断することで通信端末装置10の外部からの攻撃を防御するための手段である。具体的には、ファイアウォール12は、通信装置11を通過するTCP/IPのパケットの内容を確認し、不必要なパケットを廃棄することで不正な通信を遮断する。ファイアウォール12には、どのような種別の通信を遮断すべきかというファイアウォールルールが設定されている。ファイアウォールルールは、ファイアウォール適応制御部13によりファイアウォールルールデータベース14から読み出されて、ファイアウォール12設定される。ファイアウォール適応制御部13は、現在接続されているネットワーク(図1ではネットワーク30)の識別子を検出し、該識別子に対応するファイアウォールルールをファイアウォールルールデータベース14から読み出してファイアウォール12に設定する。
このため、ファイアウォールルールデータベース14内には、ファイアウォールルールが、図2(a)のルールテーブルに示すように、ネットワークの識別子に対応付けてネットワーク毎に保持されている。ネットワークの識別子としては、セルラ網の識別名(アクセスポイント名)、無線LANのESS−ID(Extended Service Set Identifier)、ネットワークのIPアドレスなどが使用できる。
本発明では、ファイアウォールルールは、サービス提供側である配布装置20によって指定される。即ち、ルール配布装置20のルール通知制御部25が、ファイアウォールルールを管理しており、必要に応じて、管理下の各通信端末装置10のアドレスを通信端末装置データベース26から読み出して、そのアドレスを用いてファイアウォールルールを配布する。本実施の形態では、ルール配布装置20は、ネットワーク30とネットワーク40とに共通に設けられているが、これに代えて、ルール配布装置20は、ネットワーク毎に設けられてもよい。
図1では、ファイアウォールルールは、ネットワーク30またはネットワーク40を使用して通信端末装置10に配布される。通信端末装置10では、ファイアウォール記憶制御部15が、通信装置11を経由して、このファイアウォールルールを受信して、このファイアウォールルールをファイアウォールルールデータベース14に登録する。ファイアウォールルールには電子署名が付与されており、ファイアウォールルール記憶制御部15内の署名検証制御部(電子署名検証部)が、この署名を検証する。
ファイアウォールルールを、実際に通信するネットワークとは異なるネットワークから受信するように構成することも可能である。たとえば、無線LANを使って通信する際に、無線LANに対するファイアウォールルールを、携帯電話網の電子メールなどを用いて受信するように構成することも可能である。
ネットワーク攻撃の検出と通知について述べる。
通信端末装置10は、前述の構成に加えて、ネットワーク攻撃検出制御部18と攻撃通知制御部19を更に有し、攻撃通知制御部19は電子署名付加機能を備えている。
ネットワーク攻撃検出制御部18は、通信装置11に対して行われるネットワーク攻撃を検出する。これは一般的にはIDS(Intrusion Detection System, 侵入検知システム)と呼ばれるもので、通信パケットの内容がネットワーク攻撃パケットのパターンと一致するかどうかを、両者を比較することによって判定して、攻撃を検出するものである。
攻撃通知制御部19は、ネットワーク攻撃検出制御部18が攻撃を検出すると、その報告をルール配布装置20のルール検査部29へ送信する。この報告には、攻撃通知制御部19の電子署名付加機能が電子署名を付加している。
ルール配布装置20のルール検査部29は、ネットワーク攻撃パケットのパターンや度数等を調べ、必要に応じて当該ネットワークに対応付けるべきファイアウォールルールをルール作成部28に作成/修正させ、ファイアウォールルールデータベース24のデータを更新する。ルール検査部29は、電子署名の検証も行なう。
次に、動作を説明する。
通信端末装置10の電源が投入されると、通信端末装置10は通信装置11を使用してネットワークに接続する。ここでは、通信端末装置10がネットワーク30に接続された場合を述べる。通信端末装置10がネットワーク30に接続されると、通信アプリケーション17が通信を開始する。この時、ファイアウォール12は、不必要な通信を遮断するように動作する。また、ファイアウォール記憶制御部15は、ルール配布装置20からのファイアウォールルールをいつでも受信できるように、待機状態に入る。
ルール配布装置20でファイアウォールルールが更新されると、ルール配布装置20のルール通知制御部25は、当該更新されたファイアウォールルールを、ネットワークを経由して通信端末装置10へ送信する。ここでは、ルール通知制御部25は、ネットワーク30を経由して通信端末装置10へファイアウォールルールを送信したものとする。
このとき、ルール通知制御部25は、ファイアウォールルールを電子メールに添付して送信したり、通信端末装置10内のファイアウォールルール記憶制御部15へ、直接、ファイアウォールルールのIPパケットを送信することで、ファイアウォールルールを配布するといった方式が考えられる。
通信端末装置10では、ファイアウォールルール記憶制御部15が、当該ファイアウォールルールを、通信装置11経由で受信する。ファイアウォールルール記憶制御部15は、当該受信したファイアウォールルールの電子署名を、電子署名検証部を用いて検証する。この電子署名検証部は、ルール配布装置20のサーバ証明書或いは電子証明局の証明書を保持しており、これを用いて電子署名を検証する。検証の結果、正等な電子署名が付与されていない場合には、ファイアウォールルール記憶制御部15は、当該ファイアウォールルールを破棄する。
一方、検証の結果、正当な電子署名が付されていた場合は、ファイアウォールルール記憶制御部15は、当該ファイアウォールルールを、ファイアウォールルールデータベース14に格納する。このとき、ファイアウォールルールにネットワークの識別子が付与されている場合は、ファイアウォールルール記憶制御部15は、この識別子と対応づけてファイアウォールルールをファイアウォールルールデータベース14に格納する。このようにすることで、ネットワーク別にファイアウォールルールを設定することができる。また、ネットワーク識別子が付されていなかった場合は、ファイアウォールルール記憶制御部15は、ファイアウォールルールを受信したネットワーク、すなわちこの例ではネットワーク30を識別子として、これに対応付けてファイアウォールルールをファイアウォールルールデータベース14に格納する。こうすることで、現在接続中のネットワークに対応したファイアウォールルールを設定することができる。このように処理する構成は、ルール配布装置20がネットワーク毎にそれぞれ設けられている場合に有用である。
新しく格納されたファイアウォールルールが、現在接続中のネットワークに対するルールである場合には、例えば、ファイアウォールルールデータベース14にファイアウォールルールとネットワークの識別情報が対応付けて記憶され、ファイアウォール適用制御部13が、その識別情報を現在検出している識別情報と比較して両者が合致する場合には、次に、ファイアウォール適応制御部13が、当該新しく格納されたファイアウォールルールをファイアウォールルールデータベース14から読み出して、ファイアウォール12に設定されているファイアウォールルールを、当該読み出したファイアウォールルールに更新する。ファイアウォール12は、以後、当該更新されたファイアウォールルールにしたがって通信の遮断処理を行う。
通信端末装置10が、接続先のネットワークを切り換えた場合について説明する。
通信装置11が接続先のネットワークをネットワーク30からネットワーク40に切り替えると、ファイアウォールルール適応制御部13が、その切換を検出し、ネットワーク40の識別子に対応付けられているファイアウォールルールをファイアウォールルールデータベース14から読み出して、ファイアウォール12に設定されているファイアウォールルールを、当該読み出したファイアウォールルールに更新する。以後、ファイアウォール12は、この切換後のファイアウォールルールにしたがって通信の遮断を行う。
このようにして、接続先のネットワークに適合するファイアウォールルールを動的に切り替える制御が行なわれる。
ネットワーク攻撃の検出時の動作について説明する。
通信端末装置10がネットワークに接続されると、ネットワーク攻撃検出制御部18が起動される。ネットワーク攻撃検出制御部18は、通信装置11を通過するパケットを精査して、攻撃パケットの特徴(所定のパターン)と一致しているものを探す。一致しているパケットが発見されると、攻撃通知制御部19は、そのパケット(ネットワーク攻撃のパターン情報)に、電子署名付加機能を用いて電子署名を付加して、ネットワーク経由で、電子署名が付加されたパケットをルール配布装置20のルール検査部29へ送信する。この時、攻撃通知制御部19は、攻撃が検出されたネットワークを指す識別子も対応付けて送信する。なお、電子署名付加機能では、ルール配布装置20が要求する電子署名が付加される。
ルール配布装置20のルール検査部29は、ネットワーク攻撃の報告が受信されると、まず、電子署名を検証し、不正なものであれば当該報告を破棄する。一方、正当なものであった場合は、ルール検査部29は、この報告を受け入れ、この情報に応じて各ネットワークにおける攻撃の統計を取る。たとえば、ルール検査部29は、ネットワーク30ではTCPの80番ポートに対する攻撃が全通信端末装置の20%に対して発生している、といった統計を取る。
ルール配布装置20のルール作成部28は、上記の情報を利用してファイアウォールルールを効果的に作成することができる。作成したファイアウォールルールは、ファイアウォールルールデータベース24に記録されて、ルール通知制御部25によって各通信端末装置10に配布される。なお、ファイアウォールルールを、人間が上記の統計情報を監視して手動で更新するようにしてもよく、ルール作成部28が自動的に更新するようにしてもよい。
実施の形態の効果について述べる。
上述した実施の形態では、ルール配布装置20が、通信端末装置10へファイアウォールルールを送信して更新させ得るため、ルール配布装置20が各通信端末装置10を集中管理しやすく、新種のコンピュータウィルス等が発生したような緊急事態でも、ファイアウォールルールを迅速に配布することができる。
また、各通信端末装置10がファイアウォールルールを要求してダウンロードする方式に比べると、本方式では、ルール配布装置20がファイアウォールルールを各通信端末装置10へ送信するため、全体の通信量を削減できる。また、ルール配布装置20の負荷も低減できる。
また、各通信端末装置10は、接続先のネットワークに応じてファイアウォールルールを動的に切り替えることができるので、ネットワークのセキュリティ状態に応じた最適なファイアウォール設定を使用することができる。
また、本実施の形態では、各通信端末装置10から送信されて来る攻撃に関する情報をルール配布装置20のルール検査部29が調べて、各通信端末装置10がどのネットワークでどのような攻撃を受けているか、すなわちネットワーク毎にどのような攻撃が発生しているかという情報を収集することができるため、これにより、ネットワーク毎に最適なファイアウォールのファイアウォールルールを手動あるいは自動的に更新し、迅速に端末に配布することができる。
なお、通信端末装置10は、プログラムにしたがって動作するコンピュータでもよい。このコンピュータは、通信装置11とファイアウォール12とファイアウォールルールデータベース14とを備える。また、このコンピュータは、そのプログラムを実行することによって、ファイアウォール記憶制御部15、ファイアウォール適用制御部13、ネットワーク攻撃検出制御部18および攻撃通知制御部19として機能する。
また、ルール配布装置20は、プログラムにしたがって動作するコンピュータでもよい。このコンピュータは、通信装置21とファイアウォールルールデータベース24とを備える。また、このコンピュータは、そのプログラムを実行することによって、ルール検査部29とルール作成部28とルール通知制御部25として機能する。
以上説明した実施形態において、図示した構成は単なる一例であって、本発明はその構成に限定されるものではない。

Claims (11)

  1. ネットワークに接続するための通信装置と、設定されているファイアウォールルールに従ってネットワークと自装置との間のデータの通過と遮断を制御するファイアウォールと、を備えた通信端末装置であって、
    ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部と、
    所定のルール配布装置から受信されるファイアウォールルールを当該ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて前記ルール記憶部に記憶するルール記憶制御部と、
    ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化した識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部と、
    を有する通信端末装置。
  2. 前記ルール記憶制御部は、所定のルール配布装置から受信されるファイアウォールルールにネットワークの識別情報が対応付けられている場合は当該識別情報をファイアウォールルールに対応付けて前記ルール記憶部に記憶し、前記ファイアウォールルールにネットワークの識別情報が対応付けられていない場合は前記ファイアウォール制御部が検出している識別情報を前記ファイアウォールルールに対応付けて前記ルール記憶部に記憶する、
    請求の範囲1に記載の通信端末装置。
  3. 前記ファイアウォール制御部は、前記ルール記憶部にファイアウォールルールとネットワークの識別情報が対応付けて記憶されると、当該識別情報を現在検出している識別情報と比較して、両者が合致する場合は当該識別情報に対応付けられたファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定されているファイアウォールルールを当該読み出したファイアウォールルールに更新する、
    請求の範囲1に記載の通信端末装置。
  4. 前記ルール記憶制御部は、所定のルール配布装置から受信されるファイアウォールルールであることを所定の電子署名を検証することで確認する、
    請求の範囲1に記載の通信端末装置。
  5. 前記通信装置で受信されるデータを監視して所定のパターンに合致するネットワーク攻撃を検出する攻撃検出部と、
    前記攻撃検出部がネットワーク攻撃を検出すると、該ネットワーク攻撃のパターン情報に前記ファイアウォール制御部が検出している識別情報を対応付けて当該パターン情報と当該識別情報とを所定のルール配布装置へ宛てて送信する攻撃通知部と、をさらに有する
    請求の範囲1に記載の通信端末装置。
  6. 前記攻撃通知部は、前記ネットワーク攻撃のパターン情報に所定のルール配布装置が要求する電子署名を付して送信する、
    請求の範囲5に記載の通信端末装置。
  7. ネットワークに接続するための通信装置を備えたルール配布装置であって、
    ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部と、
    管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末装置記憶部と、
    前記ルール記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を当該ファイアウォールルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信するルール通知部と、
    を有するルール配布装置。
  8. 前記ルール通知部は、所定の電子署名を付して前記ファイアウォールルールと前記識別情報とを送信する、
    請求の範囲7に記載のルール配布装置。
  9. 通信端末装置から受信されるネットワーク攻撃のパターン情報とネットワーク識別情報に基づいて、当該識別情報が対応付けられているファイアウォールルールで当該ネットワーク攻撃に対応可能か否かを調べるルール検査部と、
    前記ルール検査部が対応不可と認定した場合は当該ネットワーク攻撃に対応可能なファイアウォールルールを作成するルール作成部と、
    を更に有し、
    前記ルール通知部は、前記ルール作成部が作成したファイアウォールルールに当該ネットワークの識別情報を対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信する、
    請求の範囲7に記載のルール配布装置。
  10. ネットワークに接続するための通信装置と、設定されているファイアウォールルールに従ってネットワークと自コンピュータとの間のデータの通過と遮断を制御するファイアウォールと、を備えたコンピュータを、
    ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルール記憶部に、所定のルール配布装置から受信されるファイアウォールルールを当該ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて記憶するルール記憶制御部、
    ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化した識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部、
    として機能させるためのプログラム。
  11. ネットワークに接続するための通信装置を備えたコンピュータを、
    管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末装置記憶部、
    ネットワークの識別情報とファイアウォールルールを対応付けてネットワーク毎に保持しているルール記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を当該ファイアウォールルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛てて送信するルール通知部、
    として機能させるためのプログラム。
JP2008509702A 2006-03-30 2007-02-09 通信端末装置、ルール配布装置およびプログラム Pending JPWO2007116605A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2006093261 2006-03-30
JP2006093261 2006-03-30
PCT/JP2007/052322 WO2007116605A1 (ja) 2006-03-30 2007-02-09 通信端末装置、ルール配布装置およびプログラム

Publications (1)

Publication Number Publication Date
JPWO2007116605A1 true JPWO2007116605A1 (ja) 2009-08-20

Family

ID=38580907

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008509702A Pending JPWO2007116605A1 (ja) 2006-03-30 2007-02-09 通信端末装置、ルール配布装置およびプログラム

Country Status (3)

Country Link
US (1) US20100180331A1 (ja)
JP (1) JPWO2007116605A1 (ja)
WO (1) WO2007116605A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007538444A (ja) * 2004-05-20 2007-12-27 キネティック リミテッド ファイアウォール・システム
US8266685B2 (en) * 2007-05-18 2012-09-11 Microsoft Corporation Firewall installer
US8166534B2 (en) 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
US8132248B2 (en) * 2007-07-18 2012-03-06 Trend Micro Incorporated Managing configurations of a firewall
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
JP5433340B2 (ja) * 2009-07-31 2014-03-05 Necパーソナルコンピュータ株式会社 通信システム、vpn装置、nicおよびプログラム
US8826413B2 (en) * 2009-12-30 2014-09-02 Motorla Solutions, Inc. Wireless local area network infrastructure devices having improved firewall features
JP5751172B2 (ja) * 2010-01-21 2015-07-22 日本電気株式会社 通信制御装置、通信制御方法、通信制御用プログラム記憶媒体
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US20130212680A1 (en) * 2012-01-12 2013-08-15 Arxceo Corporation Methods and systems for protecting network devices from intrusion
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
US9215213B2 (en) * 2014-02-20 2015-12-15 Nicira, Inc. Method and apparatus for distributing firewall rules
US9680706B2 (en) 2015-06-30 2017-06-13 Nicira, Inc. Federated firewall management for moving workload across data centers
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
JP6822248B2 (ja) * 2017-03-21 2021-01-27 富士通株式会社 情報処理システム、情報処理方法および携帯端末
US11540130B2 (en) 2019-02-04 2022-12-27 802 Secure, Inc. Zero trust wireless monitoring-system and method for behavior based monitoring of radio frequency environments
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11245669B1 (en) * 2019-09-16 2022-02-08 Juniper Networks, Inc. Firewall filter comprising one or more objects
US12132707B2 (en) * 2021-06-29 2024-10-29 Hewlett Packard Enterprise Development Lp Host firewall interfaces for controllers

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002351766A (ja) * 2001-05-29 2002-12-06 Denso Corp 設定ファイル送信システムおよび設定ファイルの送信方法
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2004266483A (ja) * 2003-02-28 2004-09-24 Nec Corp 不正アクセス防止方法、装置、プログラム
JP2005020112A (ja) * 2003-06-24 2005-01-20 Hitachi Ltd ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143439B2 (en) * 2000-01-07 2006-11-28 Security, Inc. Efficient evaluation of rules
US7406709B2 (en) * 2002-09-09 2008-07-29 Audiocodes, Inc. Apparatus and method for allowing peer-to-peer network traffic across enterprise firewalls
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US8230480B2 (en) * 2004-04-26 2012-07-24 Avaya Inc. Method and apparatus for network security based on device security status
US7826602B1 (en) * 2004-10-22 2010-11-02 Juniper Networks, Inc. Enabling incoming VoIP calls behind a network firewall
US7509493B2 (en) * 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
US7665128B2 (en) * 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7685627B2 (en) * 2005-12-30 2010-03-23 Microsoft Corporation Unified networking diagnostics
US8099774B2 (en) * 2006-10-30 2012-01-17 Microsoft Corporation Dynamic updating of firewall parameters
US8316427B2 (en) * 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
US7941838B2 (en) * 2007-05-09 2011-05-10 Microsoft Corporation Firewall control with multiple profiles
US9215212B2 (en) * 2009-06-22 2015-12-15 Citrix Systems, Inc. Systems and methods for providing a visualizer for rules of an application firewall
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002351766A (ja) * 2001-05-29 2002-12-06 Denso Corp 設定ファイル送信システムおよび設定ファイルの送信方法
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2004266483A (ja) * 2003-02-28 2004-09-24 Nec Corp 不正アクセス防止方法、装置、プログラム
JP2005020112A (ja) * 2003-06-24 2005-01-20 Hitachi Ltd ネットワーク設定システム、管理装置、端末装置及びネットワーク設定方法

Also Published As

Publication number Publication date
WO2007116605A1 (ja) 2007-10-18
US20100180331A1 (en) 2010-07-15

Similar Documents

Publication Publication Date Title
JPWO2007116605A1 (ja) 通信端末装置、ルール配布装置およびプログラム
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
US9118716B2 (en) Computer system, controller and network monitoring method
JP4777461B2 (ja) ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
JP4195480B2 (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
US10554671B2 (en) System, method and computer readable medium for processing unsolicited electronic mail
WO2012019410A1 (zh) 智能家居内部网络防止非法入侵的方法及装置
EP1802058A1 (en) Method for protection from service-disabling attack, system for protection from service-disabling attack, device for protection from service-disabling attack, relay device, program for protection from service-disabling attack, and relay device program
JP4120415B2 (ja) トラフィック制御計算装置
JP6117050B2 (ja) ネットワーク制御装置
JP6616733B2 (ja) ネットワークシステムおよびサーバ装置
JPWO2006035928A1 (ja) Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム
JP4020134B2 (ja) スイッチングハブ装置、ルータ装置
JP4002276B2 (ja) 不正接続検知システム
JP2008141352A (ja) ネットワークセキュリティシステム
KR20110074028A (ko) 분산 서비스 거부 공격 생성 방지 장치
JP2008227600A (ja) 通信妨害装置及び通信妨害プログラム
JP5393286B2 (ja) アクセス制御システム、アクセス制御装置及びアクセス制御方法
JP2004054488A (ja) ファイアウォール装置
KR100427448B1 (ko) 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법
JP3976058B2 (ja) ネットワーク装置
JP3739772B2 (ja) ネットワークシステム
JP2006320024A (ja) 不正接続検知システム
KR20050029800A (ko) 네트워크 접속 제어 방법
KR100811831B1 (ko) 사설 네트워크의 인증장치 및 인증방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111102

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120508