JPWO2009031453A1 - ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム - Google Patents
ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム Download PDFInfo
- Publication number
- JPWO2009031453A1 JPWO2009031453A1 JP2009531199A JP2009531199A JPWO2009031453A1 JP WO2009031453 A1 JPWO2009031453 A1 JP WO2009031453A1 JP 2009531199 A JP2009531199 A JP 2009531199A JP 2009531199 A JP2009531199 A JP 2009531199A JP WO2009031453 A1 JPWO2009031453 A1 JP WO2009031453A1
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing terminal
- communication
- security monitoring
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
また、(ii)アクセスポリシーで許可されている通信端末間(通信端末C1と通信端末C2間)の通信が行われている時にアクセスポリシーが許可から不許可に変更されても、通信端末C1と通信端末C2の通信端末のARPテーブルが設定済である(ARP要求を送信しない)ため、通信端末C1と通信端末C2間の通信を遮断するアクセス制御ができないという問題点がある。
また、(iii)アクセスポリシーで許可されていない通信端末C1のARPテーブルが静的に設定された場合に、通信端末C1からARP要求を送信せずに通信端末C2へ情報が送信され、通信端末C1と通信端末C2間の通信を遮断するアクセス制御ができないという問題点がある。
すなわち、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、ネットワーク上に遅延が起きていると、通信を遮断するための情報を通信端末C1(またはC2)が受信した後に、正しいARP応答が情報処理端末C1(またはC2)に届くことがあり、この場合は後に届いた情報で情報処理端末C1(またはC2)のARPテーブルが書き換えられ、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、情報処理端末C1のARPテーブルが静的に設定された場合に、情報処理端末C1からARP要求を送信せずに情報処理端末C2へ情報が送信され、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
(1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2) 該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする。
(1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2) 情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケット応答を送信する
ことを特徴とする。
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime, Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。
すなわち、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、ネットワーク上に遅延が起きていると、通信を遮断するための情報を通信端末C1(またはC2)が受信した後に、正しいARP応答が情報処理端末C1(またはC2)に届くことがあり、この場合は後に届いた情報で情報処理端末C1(またはC2)のARPテーブルが書き換えられ、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、情報処理端末C1のARPテーブルが静的に設定された場合に、情報処理端末C1からARP要求を送信せずに情報処理端末C2へ情報が送信され、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime, Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。ハッシュ関数は、出力から入力のデータを推測できないこと、同じ出力を持つ入力データを容易に作成できないこと等の特徴がある。この特徴を利用して、不正に通信遮断を行うARPパケット中の「偽りのMACアドレス」とFMACの値とを比較照合することで、容易に不正に通信遮断を行う攻撃を検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
11 パケット監視手段
12 アクセス制御手段
13 通信遮断手段
14 ポリシー管理手段
15 アクセスポリシー
20 アプリケーションサーバ
31 情報処理端末
32 情報処理端末
33 情報処理端末
40 ルータ
50 ネットワーク
図2に示すように、ネットワークセキュリティ監視装置10は、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段11と、ネットワーク内の全ての情報処理端末に関するアクセスポリシー15を管理するポリシー管理手段14と、アクセスポリシー15に基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段12と、特定の情報処理端末間の通信を遮断する通信遮断手段13と、で構成され、アクセス制御手段12がパケット監視手段11から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、アクセスポリシー15に基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、通信遮断手段13が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持する。ここで前記「一定時間間隔毎に繰返して送信すること」は、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで行われるものとする。さらに時間間隔値はユーザが適宜に設定するものとする。すなわち不許可と判断された情報処理端末と他の(複数の)情報処理端末間の通信を一斉に遮断することで、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことができる。
パケット監視手段11が情報処理端末C2からのサーバA1に対して送信したパケット(ARP要求)を受信すると、アクセス制御手段12がパケット監視手段11から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、アクセスポリシー15に基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断する。この場合、情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間の通信が不許可であるため、情報処理端末C2とサーバA1間の通信を遮断するための情報を情報処理端末C2およびサーバA1に対して一定時間間隔毎に繰返して送信するとともに、情報処理端末C2と情報処理端末C1間の通信を遮断するための情報を情報処理端末C2および情報処理端末C1に対して一定時間間隔毎に繰返して送信する。この繰返して送信することは、情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間のアクセスポリシーが不許可から許可に更新されるまで行われる。以上から、情報処理端末C2からサーバA1に対して送信したパケット(ARP要求)受信を契機として、情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間の通信を迅速かつ確実に遮断することができる。同時にアクセスポリシー15で許可と定義された情報処理端末C2と情報処理端末C3間、および情報処理端末C2とルータR1間の通信可能状態を保持することになる。
すなわち、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、ネットワーク上に遅延が起きていると、通信を遮断するための情報を通信端末C1(またはC2)が受信した後に、正しいARP応答が情報処理端末C1(またはC2)に届くことがあり、この場合は後に届いた情報で情報処理端末C1(またはC2)のARPテーブルが書き換えられ、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、情報処理端末C1のARPテーブルが静的に設定された場合に、情報処理端末C1からARP要求を送信せずに情報処理端末C2へ情報が送信され、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
,C2間および情報処理端末C1とC2間のシーケンス例を示す。図4を用いて具体例(アクセス
ポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合の例
)を説明する。
(1) 情報処理端末C1は情報処理端末C2と通信を開始するにあたって、情報処理端末C2のMACアドレスを得るために、自身のIPアドレスとMACアドレス(mac_C1)、及びC2のIPアドレスを設定してARP要求をブロードキャスト送信する(S01)。
(2) 情報処理端末C2は、自身のIPアドレスが設定されたARP要求を受信すると、送信元C1に対して、自身のIPアドレスとMACアドレス(mac_C2)を設定してARP応答を送信する(S02)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_C2を設定)する。このARPテーブルの情報は一定時間キャッシュされるため、情報処理端末C1は以降ARP要求を送信せずにARPテーブルの情報を用いて通信が可能となる。
(3) セキュリティ監視装置は、情報処理端末C1から送信されたARP要求を受信し、アクセスポリシーに基づき情報処理端末C1と情報処理端末C2間通信の不許可を判断すると、 情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S03)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)する。情報処理端末C1はARPテーブルの情報を用いて通信しようとするが、MACアドレスが不正であるため、情報処理端末C2との通信ができなくなる。
(4) さらにセキュリティ監視装置は、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を送信する(S04)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_YYを設定)するため、情報処理端末C1との通信ができなくなる。
(5) 上記S02で述べたARP応答が、ネットワーク上に遅延が起きていると、情報処理端末C1に遅れて届くことがある(S02’)。この場合、情報処理端末C1のARPテーブルには、正しい情報が書き換えられる(情報処理端末C2のMACアドレスとしてmac_C2が設定される)ことになる。すなわち情報処理端末C1から情報処理端末C2に対して送信する通信を遮断する制御ができなくなる。
(6) そこでセキュリティ監視装置は、一定時間(T1)経過後に、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S05)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)するため、情報処理端末C2との通信ができなくなる。セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S07,S10)。
(7) 同様にセキュリティ監視装置は、一定時間(T1)経過後に、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を送信する(S06)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_YYを設定)するため、情報処理端末C1との通信ができなくなる。セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S08,S11)。
(8) 情報処理端末C1のARPテーブルが静的に設定(例えばC2のMACアドレスとしてmac_C2が設定)された場合(S09)に、情報処理端末C1から情報処理端末C2に対して送信する通信を遮断する制御ができなくなるが、セキュリティ監視装置は、一定時間(T1)経過後に、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S10)ため、情報処理端末C1は自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)し、情報処理端末C2との通信ができなくなる。
図5に示すように、セキュリティ監視装置が備えるアクセスポリシーには、情報処理端末C1,C2,C3間の通信許可/不許可が設定されており、この時点でセキュリティ監視装置は情報処理端末CXを認識していない状態にある。
セキュリティ監視装置は、ネットワークに接続された情報処理端末を監視するために、ネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信し、情報処理端末C1,C2,C3,CXからARP応答を受信する。受信したARP応答の送信元アドレス情報に基づき情報処理端末を特定し、アクセスポリシーに基づき情報処理端末C1,C2,C3,CX間の通信許可/不許可を判断するとともに、不許可と判断された情報処理端末に対して通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信する。また情報処理端末CXについては、アクセスポリシーに登録されていないため、情報処理端末CXをアクセスポリシーに追加登録し、情報処理端末CXと情報処理端末C1,C2,C3間の通信を不許可として設定する。これにより、不正に接続された情報処理端末CXの不正アクセスを確実に遮断することができる。
(1) セキュリティ監視装置は、ネットワークに接続された情報処理端末を監視するために、ネットワーク内の全てのIPアドレスに対してARP要求をブロードキャストで送信する(S61)。このS61のステップは一定時間間隔毎に繰返して行うものとする。
(2) セキュリティ監視装置は、情報処理端末C1,C2,C3,CXからARP応答を受信する(S62)。受信したARP応答の送信元アドレス情報に基づき情報処理端末を特定し、アクセスポリシーに基づき情報処理端末C1,C2,C3,CX間の通信許可/不許可を判断する。ここで情報処理端末CXについては、アクセスポリシーに登録されていないため、情報処理端末CXをアクセスポリシーに追加登録し、情報処理端末CXと情報処理端末C1,C2,C3間の通信を不許可として設定する。
(3) セキュリティ監視装置は、不許可と判断された情報処理端末CXと他の情報処理端末C1,C2,C3間の通信を遮断するために、情報処理端末CXに対して情報処理端末C1,C2,C3のMACアドレスとして偽造MACアドレス(mac_Z1,mac_Z2,
mac_Z3)を有するARP応答を送信するとともに、情報処理端末C1,C2,C3に対しても情報処理端末CXのMACアドレスとして偽造MACアドレス(mac_XX)を有するARP応答を送信する(S63)。情報処理端末CXはARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_Z1を設定、情報処理端末C2のMACアドレスとしてmac_Z2を設定、情報処理端末C3のMACアドレスとしてmac_Z3を設定)するため、情報処理端末C1,C2,C3との通信ができなくなる。同様にして、情報処理端末C1,C2,C3はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末CXのMACアドレスとしてmac_XXを設定)するため、情報処理端末CXとの通信ができなくなる。
(4) セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S64)。
(1) セキュリティ監視装置は、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が許可から不許可に変更された時に、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S71)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)する。情報処理端末C1はARPテーブルの情報を用いて通信しようとするが、MACアドレスが不正であるため、情報処理端末C2との通信ができなくなる。
(2) さらにセキュリティ監視装置は、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を送信する(S72)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_YYを設定)するため、情報処理端末C1との通信ができなくなる。
(3) セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S73,S74,S75,S76)。
(1) セキュリティ監視装置は、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されているため、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を一定時間間隔(T1)毎に繰返し送信する(S81,S83)とともに、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を一定時間間隔(T1)毎に繰返し送信する(S82,S84)。
(2) セキュリティ監視装置は、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可から許可に変更された時に、(S81,S83)および(S82,S84)の繰返し送信を停止するとともに、情報処理端末C1に対して情報処理端末C2の正しいMACアドレス(mac_C2)を有するARP応答を送信する(S85)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_C2を設定)し、情報処理端末C2との通信ができるようになる。
(3) さらにセキュリティ監視装置は、情報処理端末C2に対して情報処理端末C1の正しいMACアドレス(mac_C1)を有するARP応答を送信する(S86)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_C1を設定)し、情報処理端末C1との通信ができるようになる。
図9に示すように、ネットワークセキュリティ監視システムは、前記で説明したネットワークセキュリティ監視装置をセグメント毎に配置するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持している。これにより、セグメント内で不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。
この段階では情報処理端末A1と情報処理端末B間は通信可能状態にあり、情報処理端末A1のARPテーブルには情報処理端末BのMACアドレス(MAC-B)が設定され、情報処理端末BのARPテーブルには情報処理端末A1のMACアドレス(MAC-A1)が設定されている。
セキュリティ監視装置は、情報処理端末Zが情報処理端末A1と情報処理端末B間の通信を不正に遮断していることを検出する。
情報処理端末Zは、情報処理端末A1に対して、送信元IPアドレス(IP-B)と不正なMACアドレス(MAC-YY)とを有するARPパケットを送信する(P01)。情報処理端末A1は該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-YYを設定)する。この状態で情報処理端末A1がARPテーブルの情報を用いて情報処理端末Bに対して送信しようとすると、情報処理端末BのMACアドレスが不正であるため送信ができなくなる。
また情報処理端末Zは、情報処理端末Bに対して、送信元IPアドレス(IP-A1)と不正なMACアドレス(MAC-XX)とを有するARPパケットを送信する(P02)。情報処理端末Bは該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末A1のMACアドレスとしてMAC-XXを設定)する。この状態で情報処理端末BがARPテーブルの情報を用いて情報処理端末A1に対して送信しようとすると、情報処理端末A1のMACアドレスが不正であるため送信ができなくなる。
一方、セキュリティ監視装置は、常時ネットワーク上で送受信されるARPパケットを監
視し、ARPパケットの送信先IPアドレスが通信許可リストに登録された情報処理端末An(n:1以上の自然数)のIPアドレスと同じIPアドレスを有するARPパケットを抽出し、該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断すると共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する。
図10の例では、P01で送信されたARPパケットの送信先IPアドレス(IP-A1)が通信許可リストに登録されているため、該ARPパケットを抽出し、該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレス(MAC-B)と同じか判定する。該ARPパケットの送信元MACアドレスがMAC-YYであり、情報処理端末BのMACアドレス(MAC-B)と異なるため、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P03)と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P05)。
ここでセキュリティ監視装置が保持する通信許可リストは、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有するものである。
また、セキュリティ監視装置は、常時ネットワーク上で送受信されるARPパケットを監視し、ARPパケットの送信元IPアドレスが通信許可リストに登録された情報処理端末An(n:1以上の自然数)のIPアドレスと同じIPアドレスを有するARPパケットを抽出し、該ARPパケットの送信元MACアドレスが通信許可リストに登録された情報処理端末AnのMACアドレスと同じものがない場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断すると共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する。
図10の例では、P02で送信されたARPパケットの送信元IPアドレス(IP-A1)が通信許可リストに登録されているため、該ARPパケットを抽出し、該ARPパケットの送信元MACアドレスが通信許可リストに登録された情報処理端末A1のMACアドレスと同じものがないか判定する。該パケットの送信元MACアドレスがMAC-XXであり、通信許可リストに登録された情報処理端末A1のMACアドレス(MAC-A1) と異なるため、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P04) と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P05)。
セキュリティ監視装置はP03で不正な通信遮断を検出した場合、情報処理端末A1に対して情報処理端末Bの正しいMACアドレス(MAC-B)を有するARPパケットを送信する(P06)。情報処理端末A1は該パケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-Bを設定)する。この状態で情報処理端末A1がARPテーブルの情報を用いて情報処理端末Bに対して送信することが可能になる。
またセキュリティ監視装置はP04で不正な通信遮断を検出した場合、情報処理端末Bに対して情報処理端末A1の正しいMACアドレス(MAC-A1)を有するARPパケットを送信する(P07)。情報処理端末Bは該パケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-A1を設定)する。この状態で情報処理端末BがARPテーブルの情報を用いて情報処理端末A1に対して送信することが可能になる。
通信許可リストは、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を定義したものである。
図11の例では、情報処理端末A1のIPアドレスとして {IP-A1}、MACアドレスとして {MAC-A1}が定義されている。
また情報処理端末A2のIPアドレスとして {IP-A2}、MACアドレスとして {MAC-A21, MAC-A22,・・・, MAC-A2j}(j:2以上の自然数)が定義されている。
また情報処理端末A3のIPアドレスとして {IP-A31, IP-A32,・・・, IP-A3i}(i:2以上の自然数)、MACアドレスとして {MAC-A3}が定義されている。
また情報処理端末A4のIPアドレスとして {IP-A41, IP-A42,・・・, IP-A4k}(k:2以上の自然数)、MACアドレスとして {MAC-A41, MAC-A42,・・・, MAC-A4m}(m:2以上の自然数)が定義されている。
ここで情報処理端末AnのIPアドレス/MACアドレスが複数個定義されている理由は、例えば、仮想ルータのような場合に複数個のIPアドレスやMACアドレスを持つことがあることを考慮しているためである。
この段階では情報処理端末A1と情報処理端末B間は通信可能状態にあり、情報処理端末A1のARPテーブルには情報処理端末BのMACアドレス(MAC-B)が設定され、情報処理端末BのARPテーブルには情報処理端末A1のMACアドレス(MAC-A1)が設定されている。
セキュリティ監視装置は、情報処理端末Zが情報処理端末A1と情報処理端末B間の通信を不正に遮断していることを検出する。
情報処理端末Zは、情報処理端末A1に対して、送信元IPアドレス(IP-B)と不正なMACアドレス(MAC-YY)とを有するARPパケットを送信する(P11)。情報処理端末A1は該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-YYを設定)する。この状態で情報処理端末A1がARPテーブルの情報を用いて情報処理端末Bに対して送信しようとすると、情報処理端末BのMACアドレスが不正であるため送信ができなくなる。
また情報処理端末Zは、情報処理端末Bに対して、送信元IPアドレス(IP-A1)と不正なMACアドレス(MAC-XX)とを有するARPパケットを送信する(P12)。情報処理端末Bは該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末A1のMACアドレスとしてMAC-XXを設定)する。この状態で情報処理端末BがARPテーブルの情報を用いて情報処理端末A1に対して送信しようとすると、情報処理端末A1のMACアドレスが不正であるため送信ができなくなる。
一方、セキュリティ監視装置においては、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する時に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されることにする。ここで一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime, Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。ハッシュ関数は、出力から入力のデータを推測できないこと、同じ出力を持つ入力データを容易に作成できないこと等の特徴がある。
次にセキュリティ監視装置は、常時ネットワーク上で送受信されるARPパケットを監視し、偽りのMACアドレスを有するARPパケットを抽出する。ここで抽出の条件として、例えばARPパケットのMACアドレスが前記通信許可リストまたは前記アクセスポリシーに登録された情報処理端末のMACアドレスと同じでない場合とする。抽出されたARPパケットのMACアドレスが前記一方向関数genFMACを用いて生成したFMACの値と異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断する。すなわち抽出されたARPパケットが、セキュリティ監視装置がアクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために送信したARPパケットと同じものかを判定し、異なる場合には、該ARPパケットを不正に通信遮断を行う攻撃と判断する。なおFMACの値はハッシュ関数を利用して生成されているため、第三者が不正な通信遮断を行おうとしてこの値を利用することはできない。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
図12の例では、P11で送信されたARPパケットの送信元MACアドレス(MAC-YY)が偽りのMACアドレスであるため、該ARPパケットを抽出し、該ARPパケットの送信元MACアドレスが前記一方向関数genFMACを用いて生成したFMACの値と同じか判定する。異なる場合には、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P13)と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P15)。
またP12で送信されたARPパケットの送信元MACアドレス(MAC-XX)が偽りのMACアドレスであるため、該ARPパケットを抽出し、該ARPパケットの送信元MACアドレスが前記一方向関数genFMACを用いて生成したFMACの値と同じか判定する。異なる場合には、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P14)と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P15)。
なお時刻情報(Time)としては、年・月・日・時・分・秒などの情報を組合せて使用することが考えられる。この場合セキュリティ監視装置は、例えば、図12のP13で不正な通信遮断を検出するために、ARPパケットの送信元MACアドレスが一方向関数genFMACを用いて生成したFMACの値と同じか判定する時に、タイムラグを考慮した判定処理を行うことが必要になる。例えば次の様な判定処理を行う。
IF { ARPパケットの送信元MACアドレス = genFMAC(SeedMac, T1, Secret)} or
{
ARPパケットの送信元MACアドレス = genFMAC(SeedMac,
T2, Secret)}
ELSE ・・・・不正な通信遮断を検出
ここで、例えばT1=14時11分、T2=14時12分などが使用される。
本発明によれば、ネットワーク上に接続された情報処理端末間の通信許可/不許可をアクセスポリシーに基づき判断し、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで、不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信すること、および不許可と判断された情報処理端末と他の(複数の)情報処理端末間の通信を一斉に遮断することで、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。同時にアクセスポリシーで許可と定義された情報処理端末間の通信可能状態を保持することになる。また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速に対処することが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
記載のアクセス制御装置は、アクセスポリシーに基づき特定の通信端末間の通信許可/不許可を判断しアクセス制御を行っているのに対して、特許文献3に記載のネットワーク不正接続防止装置は、アドレス情報データベース部に登録されていない不許可装置とアドレス情報データベース部に登録されている全情報処理装置との通信を遮断することとしている点に相違はあるが、アクセスポリシーをアドレス情報データベース部に置き換えると、上記問題点(ii)および(iii)は解消されていない。
[0010]
本発明は、上記問題を解決するため、アクセスポリシーに基づきネットワーク上に接続された情報処理端末間の通信許可/不許可を判断し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システムを提供することを目的とする。
課題を解決するための手段
[0011]
[0018]
[0019]
[0020]
[0021]
上記目的を達成するため、請求項11に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP−An1,IP−An2,・・・,IP−Ani}(i:1以上の自然数)及びMACアドレス{MAC−An1,MAC−An2,・・・,MAC−Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信元IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、前記通信許可リストに登録された情報処理端末AkのMACアドレスの中に該ARPパケットの送信元MACアドレスと同じものがない場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1)不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2)該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする。
[0022]
請求項12に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP−An1,IP−An2,・・・,IP−Ani}(i:1以上の自然数)及びMACアドレス{MAC−An1,MAC−An2,・・・,MAC−Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信先IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、前記アクセスポリシーに登録された情報処理端末BのMACアドレスの中に該ARPパケットの送信元MACアドレスと同じものがない場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1)不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2)情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする。
[0023]
請求項13に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手
段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、前記通信遮断手段が、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する際に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されるとともに、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から、偽りのMACアドレスを有するARPパケットを抽出し、該MACアドレスが前記一方向関数genFMACを用いて生成したFMACと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断し、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信することを特徴とする。ここで前記一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC=genFMAC(SeedMac,Time,Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI:Organizationally Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime,Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。
[0024]
請求項14に記載のネットワークセキュリティ監視システムは、一つまたは複数のセグメントで構成されるネットワークにおいて、請求項11乃至請求項13に記載のネットワークセキュリティ監視装置をセグメント毎に配置し、該ネットワークセキュリティ監視装置がセグメント内で不正に通信遮断を行う攻撃を検出した場合にアラームを発信するとともに、不正に通信遮断された情報処理端末間の通信を通信可能状態に復旧することを特徴とする。
発明の効果
[0025]
[0034]
[0035]
請求項11に係る発明によれば、ARPパケットの送信元IPアドレスが通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出し、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断することで、不正に通信遮断を行う攻撃を確実かつ容易に検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
[0036]
請求項12に係る発明によれば、ARPパケットの送信先IPアドレスが通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断することで、不正に通信遮断を行う攻撃を確実かつ容易に検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
[0037]
請求項13に係る発明によれば、アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために送信する層パケット中の「偽りのMACアドレス(FMAC)」を、一方向関数genFMACを用いて生成することで、不正に通信遮断を行うARPパケットと本発明で通信を遮断するために送信するARPパケットとを容易に判別ができるようになる。ここで一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC=genFMAC(SeedMac,Time,Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI:Organizationally Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime,Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。ハッシュ関数は、出力から入力のデータを推測できないこと、同じ出力を持つ入力データを容易に作成できないこと等の特徴がある。この特徴を利用して、不正に通信遮断を行うARPパケット中の「偽りのMACアドレス」とFMACの値とを比較照合することで、容易に不正に通信遮断を行う攻撃を検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
[0038]
請求項14に係る発明によれば、セグメント内に配置されたセキュリティ監視装置が容易に且つ確実に不正に通信遮断を行う攻撃を検出することが可能になる。また攻撃を検出した場合にアラームを発信することで、迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信するこ
Claims (14)
- ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、前記アクセス制御手段が前記パケット監視手段から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視装置。
- 請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク上に接続された情報処理端末から送信されるARP要求を受取り、前記アクセス制御手段が該ARP要求の送信元アドレス情報から情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを特徴とする請求項1に記載のネットワークセキュリティ監視装置。
- 請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信するとともに、受け取ったARP応答の送信元アドレス情報に基づき前記アクセス制御手段が情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを特徴とする請求項1に記載のネットワークセキュリティ監視装置。
- 請求項1乃至請求項3に記載のネットワークセキュリティ監視装置において、前記通信遮断手段が、不許可と判断された情報処理端末CXと情報処理端末{C1,C2,・・・,CN}(1≦N≦ネットワーク内の情報処理端末数)間の通信を遮断するために、情報処理端末CXに対して情報処理端末{C1,C2,・・・, CN}のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末{C1, C2,・・・, CN}に対しても情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする請求項1乃至請求項3に記載のネットワークセキュリティ監視装置。
- 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが許可から不許可に変更された時に、前記通信遮断手段が情報処理端末C1に対して情報処理端末C2のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末C2に対して情報処理端末C1のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信する手段を有することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。
- 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが不許可から許可に変更された時に、前記通信遮断手段が情報処理端末C1,C2間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを停止するとともに、情報処理端末C1に対して情報処理端末C2の正しいMACアドレスを有するARP応答を送信し、情報処理端末C2に対して情報処理端末C1の正しいMACアドレスを有するARP応答を送信する手段を有することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。
- 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、不許可と判断された情報処理端末CXがネットワーク外部の情報処理端末と接続しようとしている場合、前記通信遮断手段が情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、ネットワーク内の全ての中継装置に対して情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。
- 請求項1乃至請求項7に記載のネットワークセキュリティ監視装置において、前記ポリシー管理手段はネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報ならびに接続状況などの情報を保持するとともに、前記の情報に基づき情報処理端末間の通信許可/不許可を判断するためのアクセスポリシーを管理することを特徴とする請求項1乃至請求項7に記載のネットワークセキュリティ監視装置。
- 一つまたは複数のセグメントで構成されるネットワークにおいて、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置をセグメント毎に配置するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視システム。
- 請求項9に記載のネットワークセキュリティ監視システムに、ネットワーク全体のアクセスポリシーを一元管理するセキュリティマネージャ装置を備え、該マネージャ装置から最新のポリシー情報を各セグメントに配置されたネットワークセキュリティ監視装置にタイムリーに配布するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視システム。
- 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信元IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2) 該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。 - 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信先IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2) 情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。 - 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する時に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されるとともに、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から、偽りのMACアドレスを有するARPパケットを抽出し、該MACアドレスが前記一方向関数genFMACを用いて生成したFMACと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断し、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信することを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。
- 請求項9乃至請求項10に記載のネットワークセキュリティ監視システムにおいて、請求項11乃至請求項13に記載のネットワークセキュリティ監視装置をセグメント毎に配置し、該ネットワークセキュリティ監視装置がセグメント内で不正に通信遮断を行う攻撃を検出した場合にアラームを発信するとともに、不正に通信遮断された情報処理端末間の通信を通信可能状態に復旧することを特徴とするネットワークセキュリティ監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009531199A JP4777461B2 (ja) | 2007-09-07 | 2008-08-28 | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007232894 | 2007-09-07 | ||
JP2007232894 | 2007-09-07 | ||
JP2008088007 | 2008-03-28 | ||
JP2008088007 | 2008-03-28 | ||
PCT/JP2008/065439 WO2009031453A1 (ja) | 2007-09-07 | 2008-08-28 | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
JP2009531199A JP4777461B2 (ja) | 2007-09-07 | 2008-08-28 | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2009031453A1 true JPWO2009031453A1 (ja) | 2010-12-16 |
JP4777461B2 JP4777461B2 (ja) | 2011-09-21 |
Family
ID=40428774
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009531199A Active JP4777461B2 (ja) | 2007-09-07 | 2008-08-28 | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US8819764B2 (ja) |
JP (1) | JP4777461B2 (ja) |
WO (1) | WO2009031453A1 (ja) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8510801B2 (en) * | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
JP5395036B2 (ja) * | 2010-11-12 | 2014-01-22 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
KR101563413B1 (ko) | 2011-03-17 | 2015-10-26 | 닛본 덴끼 가부시끼가이샤 | 통신 시스템, 기지국, 사이버 공격 대처 방법 |
JP5701715B2 (ja) * | 2011-08-12 | 2015-04-15 | 株式会社東芝 | エネルギー管理装置、電力管理システムおよびプログラム |
JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
JP5920169B2 (ja) * | 2012-10-22 | 2016-05-18 | 富士通株式会社 | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
TWI506472B (zh) * | 2014-03-12 | 2015-11-01 | Hon Hai Prec Ind Co Ltd | 網路設備及其防止位址解析協定報文攻擊的方法 |
US9761123B2 (en) * | 2014-03-27 | 2017-09-12 | Honeywell International Inc. | System and method for identifying alarm system problems |
WO2016148641A1 (en) * | 2015-03-18 | 2016-09-22 | Certis Cisco Security Pte Ltd | System and method for information security threat disruption via a border gateway |
WO2019028293A1 (en) * | 2017-08-02 | 2019-02-07 | CipherTooth, Inc. | DETECTION OF INTERCEPTOR ATTACKS ON A LOCAL NETWORK |
US11394599B2 (en) | 2018-03-12 | 2022-07-19 | Cyber Solutions Inc. | System for estimating contact duration between a pair of communication apparatuses |
US10938772B2 (en) * | 2019-02-25 | 2021-03-02 | Ambit Microsystems (Shanghai) Ltd. | Access device for analysis of physical links and method thereof |
JP7232121B2 (ja) * | 2019-05-10 | 2023-03-02 | アズビル株式会社 | 監視装置および監視方法 |
US11050650B1 (en) * | 2019-05-23 | 2021-06-29 | Juniper Networks, Inc. | Preventing traffic outages during address resolution protocol (ARP) storms |
US10762773B1 (en) | 2019-08-19 | 2020-09-01 | Ademco Inc. | Systems and methods for building and using a false alarm predicting model to determine whether to alert a user and/or relevant authorities about an alarm signal from a security system |
RU2748745C1 (ru) * | 2020-07-14 | 2021-05-31 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ контроля и управления информационной безопасностью узлов сети передачи данных |
US20220231990A1 (en) * | 2021-01-20 | 2022-07-21 | AVAST Software s.r.o. | Intra-lan network device isolation |
TWI821633B (zh) * | 2021-01-22 | 2023-11-11 | 飛泓科技股份有限公司 | 網路終端設備隔離認證方法 |
CN113507476B (zh) * | 2021-07-15 | 2023-07-07 | 北京融汇画方科技有限公司 | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 |
KR102472556B1 (ko) * | 2021-12-23 | 2022-11-30 | 주식회사 엠엘소프트 | 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법 |
CN114598675A (zh) * | 2022-01-20 | 2022-06-07 | 北京北信源软件股份有限公司 | 基于arp实现主机阻断的控制方法、装置、设备及介质 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001211180A (ja) * | 2000-01-26 | 2001-08-03 | Nec Commun Syst Ltd | クライアント認証機能付きdhcpサーバ、及びその認証方法 |
JP3534305B2 (ja) * | 2000-02-29 | 2004-06-07 | 日本電気株式会社 | アドレス解決プロトコルを用いたipアドレス重複検出方法 |
US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
JP4174392B2 (ja) * | 2003-08-28 | 2008-10-29 | 日本電気株式会社 | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 |
US20050198242A1 (en) * | 2004-01-05 | 2005-09-08 | Viascope Int. | System and method for detection/interception of IP collision |
JP4245486B2 (ja) * | 2004-01-08 | 2009-03-25 | 富士通株式会社 | ネットワーク不正接続防止方法及び装置 |
US7623518B2 (en) * | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
US20060193328A1 (en) * | 2005-02-25 | 2006-08-31 | Ramana Rao | Network address filter including random access memory |
US8107396B1 (en) * | 2006-07-24 | 2012-01-31 | Cisco Technology, Inc. | Host tracking in a layer 2 IP ethernet network |
EP2103075A1 (en) * | 2006-12-22 | 2009-09-23 | Telefonaktiebolaget LM Ericsson (PUBL) | Preventing spoofing |
CN101309165B (zh) * | 2007-05-14 | 2012-04-04 | 华为技术有限公司 | 信息报告的控制方法、装置和设备 |
-
2008
- 2008-08-28 JP JP2009531199A patent/JP4777461B2/ja active Active
- 2008-08-28 WO PCT/JP2008/065439 patent/WO2009031453A1/ja active Application Filing
- 2008-08-28 US US12/676,833 patent/US8819764B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP4777461B2 (ja) | 2011-09-21 |
US8819764B2 (en) | 2014-08-26 |
WO2009031453A1 (ja) | 2009-03-12 |
US20100242084A1 (en) | 2010-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4777461B2 (ja) | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム | |
US20220231987A1 (en) | Network anti-tampering system | |
JP4327630B2 (ja) | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 | |
RU2507702C2 (ru) | Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям | |
US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
KR101910605B1 (ko) | 무선 단말의 네트워크 접속 제어 시스템 및 방법 | |
CN103413083B (zh) | 单机安全防护系统 | |
US20010014912A1 (en) | Distributed security system for a communication network | |
WO2003030001A1 (en) | Anti-virus policy enforcement system and method | |
JPWO2007116605A1 (ja) | 通信端末装置、ルール配布装置およびプログラム | |
CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
KR100789504B1 (ko) | 통신 방법, 통신 네트워크에 대한 침입 방지 방법 및 침입시도 검출 시스템 | |
JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
JP2006287299A (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
US20040158643A1 (en) | Network control method and equipment | |
KR101039092B1 (ko) | IPv6 네트워크 내 호스트 보호 및 격리방법 | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
KR100478535B1 (ko) | Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법 | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
KR20180103487A (ko) | 네트워크 접속 제어 시스템 및 방법 | |
JP2004062416A (ja) | 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ | |
JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
CN115834205A (zh) | 一种监控系统违规外联告警系统 | |
CN100484132C (zh) | 一种防范网际协议以太网中假冒主机的方法 | |
JP5393286B2 (ja) | アクセス制御システム、アクセス制御装置及びアクセス制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110622 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110629 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4777461 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140708 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |