WO2013076995A1 - ネットワークシステム及びセキュリティ装置 - Google Patents

Abstract

　内部ネットワーク４と外部ネットワーク３の間の通信を中継するルータ５と、内部ネットワーク４に接続されたクライアント６と、ルータ５とクライアント６との間の通信を監視するセキュリティ装置１とを備えるネットワークシステムにおいて、セキュリティ装置１が、ルータ５が送信したルータ広告の内容を、クライアント６がセキュリティ装置１をデフォルトゲートウェイとして設定するように変更するルータ広告変更部１４と、ルータ広告変更部１４が変更したルータ広告をクライアント６に送信するルータ広告送出部１６とを備える。

Description

ネットワークシステム及びセキュリティ装置

　本発明は、ネットワークの通信を簡単に制御できるネットワークシステム及びセキュリティ装置に関する。

　ＩＰｖ４の通信において、プライベートネットワークとインターネットとは、それぞれプライベートＩＰアドレスとグローバルＩＰアドレス使用することにより直接通信できないようになっている。プライベートネットワークとインターネットとは、ＮＡＴ（Network Address Translation）技術によりプライベートＩＰアドレスとグローバルＩＰアドレスを変換することにより通信可能である（特許文献１参照）。

　ＩＰｖ６の通信では、ルータより内側の内部ネットワークに接続される端末にもグローバルＩＰアドレスが割り当てられる。この為、ルータより外側の外部ネットワークから、ルータを経由して直接内部ネットワークの端末にアクセスすることができてしまう。現在、ＩＰｖ６においてＮＡＴ機能を提供するルータはなく、外部との通信を制限するには、ルータ等においてフィルタリングの設定をする必要がある。

　一方、ＩＰｖ６における近隣者発見プロトコルのルータ広告（ＲＡ）を不正に利用して、他の端末がルータに成りすます問題が指摘されている。

特開２０００－５９４３０号公報

　ルータ等の中継装置におけるフィルタリングの設定は煩雑であり、一般的なユーザにとって正確にフィルタリングの設定を行うことは困難である。

　本発明は、上記問題点を鑑み、ＩＰｖ６において、ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上できるネットワークシステム及びセキュリティ装置を提供することを目的とする。

　上記目的を達成するために、本発明の第１の態様は、内部ネットワークと外部ネットワークの間の通信を中継するルータと、前記内部ネットワークに接続されたクライアントと、前記ルータと前記クライアントとの間の通信を監視するセキュリティ装置とを備えるネットワークシステムであることを要旨とし、前記セキュリティ装置は、前記ルータが送信したルータ広告の内容を、前記クライアントが前記セキュリティ装置をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部とを備えることを特徴とする。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、前記クライアントが送信したパケットの送信元アドレスを前記セキュリティ装置のアドレスに変更するアドレス変更部を更に備えることができる。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記変更されたルータ広告の優先度を高に変更することができる。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高の場合、前記ルータが送信したルータ広告のライフタイムを０に変更することができる。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高、中、低のいずれかの場合、前記ルータが送信したルータ広告のＭＡＣアドレスを、前記セキュリティ装置のＭＡＣアドレスに変更することができる。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、前記クライアントが、前記ルータが送信したルータ広告に応じて生成した近隣者要請に含まれるアドレスが、既に前記内部ネットワーク内に割り当てられている旨の近隣者広告を生成する近隣者広告生成部と、前記近隣者広告生成部が生成した近隣者広告を、前記クライアントに送信する近隣者広告送出部とを備えることができる。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記クライアントに割り当てるアドレスを、前記クライアントと前記ルータとの直接の通信が不可なように設定するアドレス設定部を備えることができる。

　また、本発明の第１の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、仮想プライベートネットワークを提供する仮想プライベート提供サーバに、仮想プライベートネットワーク回線の登録要求をする仮想プライベートネットワーク処理部を更に備えることができる。

　本発明の第２の態様は、内部ネットワークに接続されたルータが、前記内部ネットワークに接続されたクライアントに送信したルータ広告の内容を、前記クライアントが、自己をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部とを備えるセキュリティ装置であることを要旨とする。

図１は、本発明の実施の形態に係るネットワークシステムの基本的な構成を説明する模式的なブロック図である。 図２は、本発明の実施の形態に係るネットワークシステムが備えるセキュリティの基本的な論理構成を説明する模式的なブロック図である。 図３は、本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。 図４は、本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。 図５は、本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。 図６は、本発明の他の実施の形態に係るネットワークシステムが備えるセキュリティの基本的な論理構成を説明する模式的なブロック図である。 図７は、本発明の他の実施の形態に係るネットワークシステムの基本的な構成を説明する模式的なブロック図である。

　次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施の形態は、本発明の技術的思想を具体化するための装置や方法、及びこれらの装置を用いたシステムを例示するものであって、本発明の技術的思想は、下記の実施の形態に例示した装置や方法、及びこれらの装置を用いたシステムに特定するものでない。本発明の技術的思想は、請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。

（ネットワークシステム）
　本発明の実施の形態に係るネットワークシステムは、図１に示すように、それぞれ、ローカルエリアネットワークである内部ネットワーク４に通信可能に接続された、セキュリティ装置１と、クライアント６と、ルータ５とを備える。ルータ５は、内部ネットワーク４とインターネット３との間の通信を中継する。セキュリティ装置１は、ルータ５とクライアント６との間の通信を中継する。ルータ５、クライアント６、セキュリティ装置１は、それぞれＩＰｖ６の通信により内部ネットワーク４に接続される。

　セキュリティ装置１は、ルータ５から定期的に送信されるルータ広告（ＲＡ）を受信し、ＲＡの内容を変更してクライアント６に送信することで、ルータ５とクライアント６との間の通信を中継する。

　セキュリティ装置１は、図２に示すように、入出力制御部１１と、受信バッファ部１２と、ＲＡ検出部１３と、ＲＡ変更部１４と、ＲＡ送出部１６とを備える。入出力制御部１１は、セキュリティ装置１の送受信を制御するインターフェースである。受信バッファ部１２は、入出力制御部１１が内部ネットワーク４を介して受信した通信データをバッファリングする。ＲＡ検出部１３は、受信バッファ部１２がバッファリングしたデータから、ルータ５が送信したＲＡであるＲＡ_Ｒを検出する。ＲＡ変更部１４は、ＲＡ検出部１３が検出したＲＡ_Ｒの内容を変更しＲＡ_Ｓとする。ＲＡ変更部１４は、ＲＡ_Ｒに記述されたデフォルトゲートウェイを、セキュリティ装置１（自己）のアドレスに変更する。ＲＡ送出部１６は、ＲＡ変更部１４が変更したＲＡ_Ｓを、クライアント６に送信する。

　クライアント６は、ＲＡ_Ｓを受信することにより、セキュリティ装置１をデフォルトゲートウェイとして設定する。クライアント６は、セキュリティ装置１を介してルータ５と通信する。セキュリティ装置１は、クライアント６とウェブサーバ７等との通信を監視し、外部からの攻撃者／マルウェア８等の不正な通信を遮断するファイアウォールとして機能する。

　セキュリティ装置１は、アドレス変更部２５と、パケット送出部２６とを更に備える。アドレス変更部２５は、クライアント６が外部に宛てて送信したパケットを、受信バッファ部１２から取得し、パケットの送信元アドレスを、クライアント６のアドレスからセキュリティ装置１のアドレスに変更する。パケット送出部２６は、アドレス変更部２５が送信元アドレスを変更したパケットを、パケットの送信先アドレスに宛てて送信する。

　このように、セキュリティ装置１は、アドレス変更部２５が、クライアント６が送信したパケットの送信元アドレスをセキュリティ装置１のアドレスに変更するので、ルータ５から戻るパケットが、直接クライアント６に送信されることを阻止できる。

　アドレス変更部２５は、クライアント６のアドレスと紐付けされた代表アドレスを生成してセキュリティ装置１に設定し、クライアント６が送信したパケットの送信元アドレスを、生成した代表アドレスに変更するようにしてもよい。これにより、外部ネットワークに対してクライアント６のアドレスを秘匿することができる。

　また、アドレス変更部２５は、クライアント６の新たなサブネットのグローバルアドレスに紐付けされたグローバルアドレスをセキュリティ装置１に設定し、パケットの送信元アドレスを、設定したグローバルアドレスに変更するようにしてもよい。これにより、外部ネットワークに対して、クライアント６の通信路に変更がなかったように見せかけることができる。

　また、アドレス変更部２５は、クライアント６のプライベートアドレスに紐付けされたグローバルアドレスをセキュリティ装置１に設定し、パケットの送信元アドレスを、設定したグローバルアドレスに変更するようにしてもよい。プライベートアドレスとグローバルアドレスとの紐付けは、ＮＡＴ６６により行うことができる。　

　ルータ５は、図３に示すように、ステップＳ１において、ＲＡ_Ｒをクライアント６及びセキュリティ装置１にブロードキャストする。ＲＡは、パラメータの一つとして優先度を「高（Ｈｉｇｈ）」、「中（Ｍｉｄｄｌｅ）」、「低（Ｌｏｗ）」のいずれかに設定できる。通常、ルータ５から送信されるＲＡ_Ｒは、優先度が「中」となっている。ＲＡ変更部１４は、ＲＡ_Ｓの優先度を「高」に設定する。ステップＳ２において、ＲＡ送出部１６は、ＲＡ_Ｓを、ルータ５、クライアント６にブロードキャストする。

　クライアント６は、セキュリティ装置１からＲＡ_Ｓを受信すると、ルータ５から受信したＲＡ_Ｒを、優先度の高いＲＡ_Ｓに上書きする。このように、セキュリティ装置１は、クライアント６がルータ５をデフォルトゲートウェイとして設定されることを阻止し、クライアント６は、デフォルトゲートウェイをセキュリティ装置１として設定する。

　ＲＡは、パラメータの一つとしてルータの有効期限を示すライフタイムを設定できる。ＲＡは、ライフタイムが「０」以外であればＲＡが示すゲートウェイを使用するという規定になっている。そこで、ＲＡ_Ｒの優先度が「高」に設定されている場合、セキュリティ装置１は、ＲＡ_Ｒのライフタイムを「０」に変更して、クライアント６に送信することにより、クライアント６のデフォルトゲートウェイが、ルータ５に設定されることを阻止する。また、クライアント６がセキュリティ装置１をデフォルトゲートウェイとして設定した後においても、ＲＡ_Ｒによりデフォルトゲートウェイがルータ５に変更されることを阻止できる。

　ルータ５は、図４に示すように、ステップＳ３において、定期的にＲＡ_Ｒをブロードキャストする。ＲＡ変更部１４は、ＲＡ_Ｒを複製して、ライフタイムのみが「０」に変更されたＲＡ_Ｃを生成する。ステップＳ４において、ＲＡ送出部１６は、ＲＡ_Ｃを、ルータ５、クライアント６にブロードキャストする。

　クライアント６は、セキュリティ装置１からＲＡ_Ｃを受信すると、直前にルータ５から受信したＲＡ_Ｒを無効なＲＡとして認識する。このように、セキュリティ装置１は、ＲＡ_Ｒの優先度に影響されることなく、クライアント６のデフォルトゲートウェイがルータ５に設定されることを阻止できる。

　或いは、ＲＡ変更部１４は、ＲＡ_Ｒに含まれるルータ５のＭＡＣアドレスをセキュリティ装置１のＭＡＣアドレスに変更することにより、クライアント６のデフォルトゲートウェイがルータ５に設定されることを阻止するようにしてもよい。ＲＡ変更部１４は、ＲＡ_Ｒを複製し、ルータ５のＭＡＣアドレスのみをセキュリティ装置１のＭＡＣアドレスに変更されたＲＡ_Ｓを生成する。ＲＡ送出部１６は、ＲＡ_Ｓを、ルータ５、クライアント６にブロードキャストする。ＭＡＣアドレスの変更は、優先度が「高」、「中」、「低」のいずれの場合であってもよい。

　クライアント６は、セキュリティ装置１からＲＡ_Ｓを受信すると、直前にルータ５から受信したＲＡ_ＲをＲＡ_Ｓに上書きする。このように、セキュリティ装置１は、ＲＡ_Ｒの優先度に影響されることなく、クライアント６のデフォルトゲートウェイがルータ５に設定されることを阻止できる。

　上述のように、クライアント６がセキュリティ装置１をデフォルトゲートウェイとして設定し、セキュリティ装置１の割り込みが成立した後においても、ルータ５は、定期的にＲＡ_Ｒを送信する。クライアント６は、ＲＡ_Ｒに応じて、新たなＩＰアドレスの生成を行い、生成したＩＰアドレスを自身に割り当て可能か確認する為、近隣者要請（ＮＳ：Neighbor Solicitation）を送信する。ＮＳは、重複アドレスを確認する重複確認（ＤＡＤ：Duplicate Address Detection）を含む。クライアント６は、他のノードから、生成したアドレスが重複する旨の近隣者広告（ＮＡ：Neighbor Advertisement）を受信しない場合、生成したアドレスを自身に割り当て、ＲＡ_Ｒが示すデフォルトゲートウェイに設定してしまう。

　これに対して、セキュリティ装置１は、ＮＳ検出部２１と、ＮＡ生成部２２と、ＮＡ送出部２３とを備える。ＮＳ検出部２１は、受信バッファ部１２がバッファリングしたデータから、クライアント６が送信したＮＳを検出する。ＮＡ生成部２２は、クライアント６が送信したＮＳが示すＩＰアドレスが、既に内部ネットワーク４内に割り当てられている旨のＮＡを生成する。ＮＡ送出部２３は、ＮＡ生成部２２が生成したＮＡを、クライアント６に送信する。

　ルータ５は、図５に示すように、ステップＳ５において、定期的にＲＡ_Ｒをブロードキャストする。ステップＳ６において、クライアント６は、ＲＡ_Ｒに応じて、新たなＩＰアドレスの生成を行い、生成したＩＰアドレスの重複確認を行うＮＳをブロードキャストする。ＮＡ生成部２２は、クライアント６が生成したＩＰアドレスが既に割り当てられている旨のＮＡを生成する。ステップＳ７において、ＮＡ送出部２３は、ＮＡ生成部２２が生成したＮＡを、クライアント６に送信する。

　クライアント６は、セキュリティ装置１からＮＡを受信すると、生成したＩＰアドレスを自身に割り当てず、デフォルトゲートウェイの設定も行わない。このように、セキュリティ装置１は、クライアント６のデフォルトゲートウェイがルータ５に設定されることを阻止できる。

　セキュリティ装置１のＲＡ変更部１４は、アドレス設定部１５を有する。アドレス設定部１５は、クライアント６に割り当てるアドレスを、ルータ５が内部ネットワーク４で使用するアドレスと直接の通信が不可なように設定する。

　例えば、アドレス設定部１５は、ルータ５のグローバルプレフィックスのアドレスに対して、クライアント６にプライベートプレフィックスを配布するよう処理する。セキュリティ装置１は、ＮＡＴ６６により、プライベートアドレスとグローバルアドレスとをマッピング変換する。

　また、アドレス設定部１５は、新たにサブネットを作成し、クライアント６に新たなサブネットのグローバルプレフィックスを配布するよう処理するようにしてもよい。セキュリティ装置１は、ＮＡＴにより、新たなサブネットをルータ５のサブネットに変換する。或いは、アドレス設定部１５は、ルータ５のプレフィックスでクライアント６にアドレスを配布し、セキュリティ装置１が、セキュリティ装置１の代表アドレスと、ＮＡＴにより変換するようにしてもよい。これにより、セキュリティ装置１は、ルータ５とクライアント６との間の直接的な通信を、より困難にすることができる。

　実施の形態に係るネットワークシステムによれば、セキュリティ装置１が、ルータ５とクライアント６との間に割り込むことにより、ネットワークの通信を、煩雑な設定不要で簡単に制御し、ネットワークのセキュリティを向上できる

（その他の実施の形態）
　上記のように、本発明は実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。

　既に述べた実施の形態においては、インターネットを介して、他のセキュリティ装置と仮想プライベートネットワーク（ＶＰＮ）通信を行うようにしてもよい。すなわち、本発明のその他の実施の形態に係るネットワークシステムが備えるセキュリティ装置１ａは、図６に示すように、ＶＰＮ処理部３１を備える点で、セキュリティ装置１と異なる。

　本発明のその他の実施の形態に係るネットワークシステムは、図７に示すように、インターネット３を介して、ＶＰＮ提供サーバ９と、他の内部ネットワーク４０に接続されたセキュリティ装置１０ａ、ルータ５０、クライアント６０とを備える点において、既に述べた実施の形態と異なる。その他の実施の形態において説明しない他の構成は、既に述べた実施の形態と実質的に同様であるので、重複する説明を省略する。

　例えば、クライアント６からＶＰＮ構築の要求があると、セキュリティ装置１のＶＰＮ処理部３１は、ＶＰＮ提供サーバ９にＶＰＮ回線の登録要求を送信する。ＶＰＮ提供サーバ９は、セキュリティ装置１に対してセキュア番号を発行する。次いで、他の内部ネットワークに接続されるクライアント６０から、発行されたセキュア番号を入力し、セキュリティ装置１０ａを介して、ＶＰＮ提供サーバ９にセキュア番号の照会要求をする。ＶＰＮ提供サーバ９においてセキュア番号が照会されると、ＶＰＮ提供サーバ９により、クライアント６とクライアント６０との間でＶＰＮ回線が確立される。

　また、既に述べた実施の形態においては、内部ネットワーク４，４０は、有線であってもよく、無線であってもよい。

　上記の他、実施の形態を応用した構成等、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な請求の範囲に係る発明特定事項によってのみ定められるものである。

　特願２０１１－２５４９６９号（出願日：２０１１年１１月２２日）の全内容は、ここに援用される。

　本発明によれば、ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上できるネットワークシステム及びセキュリティ装置を提供することができる。

　１，１ａ，１０ａ　セキュリティ装置
　３　インターネット
　４，４０　内部ネットワーク
　５，５０　ルータ
　６，６０　クライアント
　９　ＶＰＮ提供サーバ
　１４　ＲＡ変更部
　１５　アドレス設定部
　１６　ＲＡ送出部
　２２　ＮＡ生成部
　２３　ＮＡ送出部
　２５　アドレス変更部
　３１　ＶＰＮ処理部

Claims (9)

1. 　内部ネットワークと外部ネットワークの間の通信を中継するルータと、前記内部ネットワークに接続されたクライアントと、前記ルータと前記クライアントとの間の通信を監視するセキュリティ装置とを備えるネットワークシステムであって、
   　前記セキュリティ装置は、
   　前記ルータが送信したルータ広告の内容を、前記クライアントが前記セキュリティ装置をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、
   　前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部と
   　を備えることを特徴とするネットワークシステム。
2. 　前記セキュリティ装置は、前記クライアントが送信したパケットの送信元アドレスを前記セキュリティ装置のアドレスに変更するアドレス変更部を更に備えることを特徴とする請求項１に記載のネットワークシステム。
3. 　前記ルータ広告変更部は、前記変更されたルータ広告の優先度を高に変更することを特徴とする請求項１または２に記載のネットワークシステム。
4. 　前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高、中、低のいずれかの場合、前記ルータが送信したルータ広告のライフタイムを０に変更することを特徴とする請求項３に記載のネットワークシステム。
5. 　前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高の場合、前記ルータが送信したルータ広告のＭＡＣアドレスを、前記セキュリティ装置のＭＡＣアドレスに変更することを特徴とする請求項３に記載のネットワークシステム。
6. 　前記セキュリティ装置は、
   　前記クライアントが、前記ルータが送信したルータ広告に応じて生成した近隣者要請に含まれるアドレスが、既に前記内部ネットワーク内に割り当てられている旨の近隣者広告を生成する近隣者広告生成部と、
   　前記近隣者広告生成部が生成した近隣者広告を、前記クライアントに送信する近隣者広告送出部と
   　を備えることを特徴とする請求項１～５のいずれか１項に記載のネットワークシステム。
7. 　前記ルータ広告変更部は、前記クライアントに割り当てるアドレスを、前記クライアントと前記ルータとの直接の通信が不可なように設定するアドレス設定部を備えることを特徴とする請求項１～６のいずれか１項に記載のネットワークシステム。
8. 　前記セキュリティ装置は、仮想プライベートネットワークを提供する仮想プライベート提供サーバに、仮想プライベートネットワーク回線の登録要求をする仮想プライベートネットワーク処理部を更に備えることを特徴とする請求項１～７のいずれか１項に記載のネットワークシステム。　
9. 　内部ネットワークに接続されたルータが、前記内部ネットワークに接続されたクライアントに送信したルータ広告の内容を、前記クライアントが、自己をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、
   　前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部と
   　を備えることを特徴とするセキュリティ装置。

Images