ネットワークシステム及びセキュリティ装置
【課題】ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上するネットワークシステム及びセキュリティ装置を提供する。
【解決手段】内部ネットワーク4と外部ネットワーク3の間の通信を中継するルータ5と、内部ネットワーク4に接続されたクライアント6と、ルータ5とクライアント6との間の通信を監視するセキュリティ装置1とを備えるネットワークシステムにおいて、セキュリティ装置1が、ルータ5が送信したルータ広告の内容を、クライアント6がセキュリティ装置1をデフォルトゲートウェイとして設定するように変更するルータ広告変更部14と、ルータ広告変更部14が変更したルータ広告をクライアント6に送信するルータ広告送出部16とを備える。
【解決手段】内部ネットワーク4と外部ネットワーク3の間の通信を中継するルータ5と、内部ネットワーク4に接続されたクライアント6と、ルータ5とクライアント6との間の通信を監視するセキュリティ装置1とを備えるネットワークシステムにおいて、セキュリティ装置1が、ルータ5が送信したルータ広告の内容を、クライアント6がセキュリティ装置1をデフォルトゲートウェイとして設定するように変更するルータ広告変更部14と、ルータ広告変更部14が変更したルータ広告をクライアント6に送信するルータ広告送出部16とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークの通信を簡単に制御できるネットワークシステム及びセキュリティ装置に関する。
【背景技術】
【0002】
IPv4の通信において、プライベートネットワークとインターネットとは、それぞれプライベートIPアドレスとグローバルIPアドレス使用することにより直接通信できないようになっている。プライベートネットワークとインターネットとは、NAT(Network Address Translation)技術によりプライベートIPアドレスとグローバルIPアドレスを変換することにより通信可能である(特許文献1参照)。
【0003】
IPv6の通信では、ルータより内側の内部ネットワークに接続される端末にもグローバルIPアドレスが割り当てられる。この為、ルータより外側の外部ネットワークから、ルータを経由して直接内部ネットワークの端末にアクセスすることができてしまう。現在、IPv6においてNAT機能を提供するルータはなく、外部との通信を制限するには、ルータ等においてフィルタリングの設定をする必要がある。
【0004】
一方、IPv6における近隣者発見プロトコルのルータ広告(RA)を不正に利用して、他の端末がルータに成りすます問題が指摘されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2000−59430号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ルータ等の中継装置におけるフィルタリングの設定は煩雑であり、一般的なユーザにとって正確にフィルタリングの設定を行うことは困難である。
【0007】
本発明は、上記問題点を鑑み、IPv6において、ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上できるネットワークシステム及びセキュリティ装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の第1の態様は、内部ネットワークと外部ネットワークの間の通信を中継するルータと、前記内部ネットワークに接続されたクライアントと、前記ルータと前記クライアントとの間の通信を監視するセキュリティ装置とを備えるネットワークシステムであることを要旨とし、前記セキュリティ装置は、前記ルータが送信したルータ広告の内容を、前記クライアントが前記セキュリティ装置をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部とを備えることを特徴とする。
【0009】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、前記クライアントが送信したパケットの送信元アドレスを前記セキュリティ装置のアドレスに変更するアドレス変更部を更に備えることができる。
【0010】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記変更されたルータ広告の優先度を高に変更することができる。
【0011】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高の場合、前記ルータが送信したルータ広告のライフタイムを0に変更することができる。
【0012】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高、中、低のいずれかの場合、前記ルータが送信したルータ広告のMACアドレスを、前記セキュリティ装置のMACアドレスに変更することができる。
【0013】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、前記クライアントが、前記ルータが送信したルータ広告に応じて生成した近隣者要請に含まれるアドレスが、既に前記内部ネットワーク内に割り当てられている旨の近隣者広告を生成する近隣者広告生成部と、前記近隣者広告生成部が生成した近隣者広告を、前記クライアントに送信する近隣者広告送出部とを備えることができる。
【0014】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記クライアントに割り当てるアドレスを、前記クライアントと前記ルータとの直接の通信が不可なように設定するアドレス設定部を備えることができる。
【0015】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、仮想プライベートネットワークを提供する仮想プライベート提供サーバに、仮想プライベートネットワーク回線の登録要求をする仮想プライベートネットワーク処理部を更に備えることができる。
【0016】
本発明の第2の態様は、内部ネットワークに接続されたルータが、前記内部ネットワークに接続されたクライアントに送信したルータ広告の内容を、前記クライアントが、前記ルータをデフォルトゲートウェイとして設定しないように変更するルータ広告変更部と、前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部とを備えるセキュリティ装置であることを要旨とする。
【発明の効果】
【0017】
本発明によれば、ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上できるネットワークシステム及びセキュリティ装置を提供することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施の形態に係るネットワークシステムの基本的な構成を説明する模式的なブロック図である。
【図2】本発明の実施の形態に係るネットワークシステムが備えるセキュリティの基本的な論理構成を説明する模式的なブロック図である。
【図3】本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。
【図4】本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。
【図5】本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。
【図6】本発明の他の実施の形態に係るネットワークシステムが備えるセキュリティの基本的な論理構成を説明する模式的なブロック図である。
【図7】本発明の他の実施の形態に係るネットワークシステムの基本的な構成を説明する模式的なブロック図である。
【発明を実施するための形態】
【0019】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施の形態は、本発明の技術的思想を具体化するための装置や方法、及びこれらの装置を用いたシステムを例示するものであって、本発明の技術的思想は、下記の実施の形態に例示した装置や方法、及びこれらの装置を用いたシステムに特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
【0020】
(ネットワークシステム)
本発明の実施の形態に係るネットワークシステムは、図1に示すように、それぞれ、ローカルエリアネットワークである内部ネットワーク4に通信可能に接続された、セキュリティ装置1と、クライアント6と、ルータ5とを備える。ルータ5は、内部ネットワーク4とインターネット3との間の通信を中継する。セキュリティ装置1は、ルータ5とクライアント6との間の通信を中継する。ルータ5、クライアント6、セキュリティ装置1は、それぞれIPv6の通信により内部ネットワーク4に接続される。
【0021】
セキュリティ装置1は、ルータ5から定期的に送信されるルータ広告(RA)を受信し、RAの内容を変更してクライアント6に送信することで、ルータ5とクライアント6との間の通信を中継する。
【0022】
セキュリティ装置1は、図2に示すように、入出力制御部11と、受信バッファ部12と、RA検出部13と、RA変更部14と、RA送出部16とを備える。入出力制御部11は、セキュリティ装置1の送受信を制御するインターフェースである。受信バッファ部12は、入出力制御部11が内部ネットワーク4を介して受信した通信データをバッファリングする。RA検出部13は、受信バッファ部12がバッファリングしたデータから、ルータ5が送信したRARを検出する。RA変更部14は、RA検出部13が検出したRARの内容を変更しRASとする。RA変更部14は、RARに記述されたデフォルトゲートウェイを、セキュリティ装置1のアドレスに変更する。RA送出部16は、RA変更部14が変更したRASを、クライアント6に送信する。
【0023】
クライアント6は、RASを受信することにより、セキュリティ装置1をデフォルトゲートウェイとして設定する。クライアント6は、セキュリティ装置1を介してルータ5と通信する。セキュリティ装置1は、クライアント6とウェブサーバ7等との通信を監視し、外部からの攻撃者/マルウェア8等の不正な通信を遮断するファイアウォールとして機能する。
【0024】
セキュリティ装置1は、アドレス変更部25と、パケット送出部26とを更に備える。アドレス変更部25は、クライアント6が外部に宛てて送信したパケットを、受信バッファ部12から取得し、パケットの送信元アドレスを、クライアント6のアドレスからセキュリティ装置1のアドレスに変更する。パケット送出部26は、アドレス変更部25が送信元アドレスを変更したパケットを、パケットの送信先アドレスに宛てて送信する。
【0025】
このように、セキュリティ装置1は、アドレス変更部25が、クライアント6が送信したパケットの送信元アドレスをセキュリティ装置1のアドレスに変更するので、ルータ5から戻るパケットが、直接クライアント6に送信されることを阻止できる。
【0026】
アドレス変更部25は、クライアント6のアドレスと紐付けされた代表アドレスを生成してセキュリティ装置1に設定し、クライアント6が送信したパケットの送信元アドレスを、生成した代表アドレスに変更するようにしてもよい。これにより、外部ネットワークに対してクライアント6のアドレスを秘匿することができる。
【0027】
また、アドレス変更部25は、クライアント6の新たなサブネットのグローバルアドレスに紐付けされたグローバルアドレスをセキュリティ装置1に設定し、パケットの送信元アドレスを、設定したグローバルアドレスに変更するようにしてもよい。これにより、外部ネットワークに対して、クライアント6の通信路に変更がなかったように見せかけることができる。
【0028】
また、アドレス変更部25は、クライアント6のプライベートアドレスに紐付けされたグローバルアドレスをセキュリティ装置1に設定し、パケットの送信元アドレスを、設定したグローバルアドレスに変更するようにしてもよい。プライベートアドレスとグローバルアドレスとの紐付けは、NAT66により行うことができる。
ルータ5は、図3に示すように、ステップS1において、RARをクライアント6及びセキュリティ装置1にブロードキャストする。RAは、パラメータの一つとして優先度を「高(High)」、「中(Middle)」、「低(Low)」のいずれかに設定できる。通常、ルータ5から送信されるRARは、優先度が「中」となっている。RA変更部14は、RASの優先度を「高」に設定する。ステップS2において、RA送出部16は、RASを、ルータ5、クライアント6にブロードキャストする。
【0029】
クライアント6は、セキュリティ装置1からRASを受信すると、ルータ5から受信したRARを、優先度の高いRASに上書きする。このように、セキュリティ装置1は、クライアント6がルータ5をデフォルトゲートウェイとして設定されることを阻止し、クライアント6は、デフォルトゲートウェイをセキュリティ装置1として設定する。
【0030】
RAは、パラメータの一つとしてルータの有効期限を示すライフタイムを設定できる。RAは、ライフタイムが「0」以外であればRAが示すゲートウェイを使用するという規定になっている。そこで、RARの優先度が「高」に設定されている場合、セキュリティ装置1は、RARのライフタイムを「0」に変更して、クライアント6に送信することにより、クライアント6のデフォルトゲートウェイが、ルータ5に設定されることを阻止する。また、クライアント6がセキュリティ装置1をデフォルトゲートウェイとして設定した後においても、RARによりデフォルトゲートウェイがルータ5に変更されることを阻止できる。
【0031】
ルータ5は、図4に示すように、ステップS3において、定期的にRARをブロードキャストする。RA変更部14は、RARを複製して、ライフタイムのみが「0」に変更されたRACを生成する。ステップS4において、RA送出部16は、RACを、ルータ5、クライアント6にブロードキャストする。
【0032】
クライアント6は、セキュリティ装置1からRACを受信すると、直前にルータ5から受信したRARを無効なRAとして認識する。このように、セキュリティ装置1は、RARの優先度に影響されることなく、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止できる。
【0033】
或いは、RA変更部14は、RARに含まれるルータ5のMACアドレスをセキュリティ装置1のMACアドレスに変更することにより、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止するようにしてもよい。RA変更部14は、RARを複製し、ルータ5のMACアドレスのみをセキュリティ装置1のMACアドレスに変更されたRASを生成する。RA送出部16は、RASを、ルータ5、クライアント6にブロードキャストする。MACアドレスの変更は、優先度が「高」、「中」、「低」のいずれの場合であってもよい。
【0034】
クライアント6は、セキュリティ装置1からRASを受信すると、直前にルータ5から受信したRARをRASに上書きする。このように、セキュリティ装置1は、RARの優先度に影響されることなく、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止できる。
【0035】
上述のように、クライアント6がセキュリティ装置1をデフォルトゲートウェイとして設定し、セキュリティ装置1の割り込みが成立した後においても、ルータ5は、定期的にRARを送信する。クライアント6は、RARに応じて、新たなIPアドレスの生成を行い、生成したIPアドレスを自身に割り当て可能か確認する為、近隣者要請(NS:Neighbor Solicitation)を送信する。NSは、重複アドレスを確認する重複確認(DAD:Duplicate Address Detection)を含む。クライアント6は、他のノードから、生成したアドレスが重複する旨の近隣者広告(NA:Neighbor Advertisement)を受信しない場合、生成したアドレスを自身に割り当て、RARが示すデフォルトゲートウェイに設定してしまう。
【0036】
これに対して、セキュリティ装置1は、NS検出部21と、NA生成部22と、NA送出部23とを備える。NS検出部21は、受信バッファ部12がバッファリングしたデータから、クライアント6が送信したNSを検出する。NA生成部22は、クライアント6が送信したNSが示すIPアドレスが、既に内部ネットワーク4内に割り当てられている旨のNAを生成する。NA送出部23は、NA生成部22が生成したNAを、クライアント6に送信する。
【0037】
ルータ5は、図5に示すように、ステップS5において、定期的にRARをブロードキャストする。ステップS6において、クライアント6は、RARに応じて、新たなIPアドレスの生成を行い、生成したIPアドレスの重複確認を行うNSをブロードキャストする。NA生成部22は、クライアント6が生成したIPアドレスが既に割り当てられている旨のNAを生成する。ステップS7において、NA送出部23は、NA生成部22が生成したNAを、クライアント6に送信する。
【0038】
クライアント6は、セキュリティ装置1からNAを受信すると、生成したIPアドレスを自身に割り当てず、デフォルトゲートウェイの設定も行わない。このように、セキュリティ装置1は、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止できる。
【0039】
セキュリティ装置1のRA変更部14は、アドレス設定部15を有する。アドレス設定部15は、クライアント6に割り当てるアドレスを、ルータ5が内部ネットワーク4で使用するアドレスと直接の通信が不可なように設定する。
【0040】
例えば、アドレス設定部15は、ルータ5のグローバルプレフィックスのアドレスに対して、クライアント6にプライベートプレフィックスを配布するよう処理する。セキュリティ装置1は、NAT66により、プライベートアドレスとグローバルアドレスとをマッピング変換する。
【0041】
また、アドレス設定部15は、新たにサブネットを作成し、クライアント6に新たなサブネットのグローバルプレフィックスを配布するよう処理するようにしてもよい。セキュリティ装置1は、NATにより、新たなサブネットをルータ5のサブネットに変換する。或いは、アドレス設定部15は、ルータ5のプレフィックスでクライアント6にアドレスを配布し、セキュリティ装置1が、セキュリティ装置1の代表アドレスと、NATにより変換するようにしてもよい。これにより、セキュリティ装置1は、ルータ5とクライアント6との間の直接的な通信を、より困難にすることができる。
【0042】
実施の形態に係るネットワークシステムによれば、セキュリティ装置1が、ルータ5とクライアント6との間に割り込むことにより、ネットワークの通信を、煩雑な設定不要で簡単に制御し、ネットワークのセキュリティを向上できる
(その他の実施の形態)
上記のように、本発明は実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【0043】
既に述べた実施の形態においては、インターネットを介して、他のセキュリティ装置と仮想プライベートネットワーク(VPN)通信を行うようにしてもよい。すなわち、本発明のその他の実施の形態に係るネットワークシステムが備えるセキュリティ装置1aは、図6に示すように、VPN処理部31を備える点で、セキュリティ装置1と異なる。
【0044】
本発明のその他の実施の形態に係るネットワークシステムは、図7に示すように、インターネット3を介して、VPN提供サーバ9と、他の内部ネットワーク40に接続されたセキュリティ装置10a、ルータ50、クライアント60とを備える点において、既に述べた実施の形態と異なる。その他の実施の形態において説明しない他の構成は、既に述べた実施の形態と実質的に同様であるので、重複する説明を省略する。
【0045】
例えば、クライアント6からVPN構築の要求があると、セキュリティ装置1のVPN処理部31は、VPN提供サーバ9にVPN回線の登録要求を送信する。VPN提供サーバ9は、セキュリティ装置1に対してセキュア番号を発行する。次いで、他の内部ネットワークに接続されるクライアント60から、発行されたセキュア番号を入力し、セキュリティ装置10aを介して、VPN提供サーバ9にセキュア番号の照会要求をする。VPN提供サーバ9においてセキュア番号が照会されると、VPN提供サーバ9により、クライアント6とクライアント60との間でVPN回線が確立される。
【0046】
また、既に述べた実施の形態においては、内部ネットワーク4,40は、有線であってもよく、無線であってもよい。
【0047】
上記の他、実施の形態を応用した構成等、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0048】
1,1a,10a…セキュリティ装置
3…インターネット
4,40…内部ネットワーク
5,50…ルータ
6,60…クライアント
9…VPN提供サーバ
14…RA変更部
15…アドレス設定部
16…RA送出部
22…NA生成部
23…NA送出部
25…アドレス変更部
31…VPN処理部
【技術分野】
【0001】
本発明は、ネットワークの通信を簡単に制御できるネットワークシステム及びセキュリティ装置に関する。
【背景技術】
【0002】
IPv4の通信において、プライベートネットワークとインターネットとは、それぞれプライベートIPアドレスとグローバルIPアドレス使用することにより直接通信できないようになっている。プライベートネットワークとインターネットとは、NAT(Network Address Translation)技術によりプライベートIPアドレスとグローバルIPアドレスを変換することにより通信可能である(特許文献1参照)。
【0003】
IPv6の通信では、ルータより内側の内部ネットワークに接続される端末にもグローバルIPアドレスが割り当てられる。この為、ルータより外側の外部ネットワークから、ルータを経由して直接内部ネットワークの端末にアクセスすることができてしまう。現在、IPv6においてNAT機能を提供するルータはなく、外部との通信を制限するには、ルータ等においてフィルタリングの設定をする必要がある。
【0004】
一方、IPv6における近隣者発見プロトコルのルータ広告(RA)を不正に利用して、他の端末がルータに成りすます問題が指摘されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2000−59430号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ルータ等の中継装置におけるフィルタリングの設定は煩雑であり、一般的なユーザにとって正確にフィルタリングの設定を行うことは困難である。
【0007】
本発明は、上記問題点を鑑み、IPv6において、ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上できるネットワークシステム及びセキュリティ装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の第1の態様は、内部ネットワークと外部ネットワークの間の通信を中継するルータと、前記内部ネットワークに接続されたクライアントと、前記ルータと前記クライアントとの間の通信を監視するセキュリティ装置とを備えるネットワークシステムであることを要旨とし、前記セキュリティ装置は、前記ルータが送信したルータ広告の内容を、前記クライアントが前記セキュリティ装置をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部とを備えることを特徴とする。
【0009】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、前記クライアントが送信したパケットの送信元アドレスを前記セキュリティ装置のアドレスに変更するアドレス変更部を更に備えることができる。
【0010】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記変更されたルータ広告の優先度を高に変更することができる。
【0011】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高の場合、前記ルータが送信したルータ広告のライフタイムを0に変更することができる。
【0012】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高、中、低のいずれかの場合、前記ルータが送信したルータ広告のMACアドレスを、前記セキュリティ装置のMACアドレスに変更することができる。
【0013】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、前記クライアントが、前記ルータが送信したルータ広告に応じて生成した近隣者要請に含まれるアドレスが、既に前記内部ネットワーク内に割り当てられている旨の近隣者広告を生成する近隣者広告生成部と、前記近隣者広告生成部が生成した近隣者広告を、前記クライアントに送信する近隣者広告送出部とを備えることができる。
【0014】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記ルータ広告変更部は、前記クライアントに割り当てるアドレスを、前記クライアントと前記ルータとの直接の通信が不可なように設定するアドレス設定部を備えることができる。
【0015】
また、本発明の第1の態様に係るネットワークシステムにおいては、前記セキュリティ装置は、仮想プライベートネットワークを提供する仮想プライベート提供サーバに、仮想プライベートネットワーク回線の登録要求をする仮想プライベートネットワーク処理部を更に備えることができる。
【0016】
本発明の第2の態様は、内部ネットワークに接続されたルータが、前記内部ネットワークに接続されたクライアントに送信したルータ広告の内容を、前記クライアントが、前記ルータをデフォルトゲートウェイとして設定しないように変更するルータ広告変更部と、前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部とを備えるセキュリティ装置であることを要旨とする。
【発明の効果】
【0017】
本発明によれば、ネットワークの通信を簡単に制御し、ネットワークのセキュリティを向上できるネットワークシステム及びセキュリティ装置を提供することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施の形態に係るネットワークシステムの基本的な構成を説明する模式的なブロック図である。
【図2】本発明の実施の形態に係るネットワークシステムが備えるセキュリティの基本的な論理構成を説明する模式的なブロック図である。
【図3】本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。
【図4】本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。
【図5】本発明の実施の形態に係るネットワークシステムの基本的な動作を説明するシーケンス図である。
【図6】本発明の他の実施の形態に係るネットワークシステムが備えるセキュリティの基本的な論理構成を説明する模式的なブロック図である。
【図7】本発明の他の実施の形態に係るネットワークシステムの基本的な構成を説明する模式的なブロック図である。
【発明を実施するための形態】
【0019】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。但し、以下に示す実施の形態は、本発明の技術的思想を具体化するための装置や方法、及びこれらの装置を用いたシステムを例示するものであって、本発明の技術的思想は、下記の実施の形態に例示した装置や方法、及びこれらの装置を用いたシステムに特定するものでない。本発明の技術的思想は、特許請求の範囲に記載された技術的範囲内において、種々の変更を加えることができる。
【0020】
(ネットワークシステム)
本発明の実施の形態に係るネットワークシステムは、図1に示すように、それぞれ、ローカルエリアネットワークである内部ネットワーク4に通信可能に接続された、セキュリティ装置1と、クライアント6と、ルータ5とを備える。ルータ5は、内部ネットワーク4とインターネット3との間の通信を中継する。セキュリティ装置1は、ルータ5とクライアント6との間の通信を中継する。ルータ5、クライアント6、セキュリティ装置1は、それぞれIPv6の通信により内部ネットワーク4に接続される。
【0021】
セキュリティ装置1は、ルータ5から定期的に送信されるルータ広告(RA)を受信し、RAの内容を変更してクライアント6に送信することで、ルータ5とクライアント6との間の通信を中継する。
【0022】
セキュリティ装置1は、図2に示すように、入出力制御部11と、受信バッファ部12と、RA検出部13と、RA変更部14と、RA送出部16とを備える。入出力制御部11は、セキュリティ装置1の送受信を制御するインターフェースである。受信バッファ部12は、入出力制御部11が内部ネットワーク4を介して受信した通信データをバッファリングする。RA検出部13は、受信バッファ部12がバッファリングしたデータから、ルータ5が送信したRARを検出する。RA変更部14は、RA検出部13が検出したRARの内容を変更しRASとする。RA変更部14は、RARに記述されたデフォルトゲートウェイを、セキュリティ装置1のアドレスに変更する。RA送出部16は、RA変更部14が変更したRASを、クライアント6に送信する。
【0023】
クライアント6は、RASを受信することにより、セキュリティ装置1をデフォルトゲートウェイとして設定する。クライアント6は、セキュリティ装置1を介してルータ5と通信する。セキュリティ装置1は、クライアント6とウェブサーバ7等との通信を監視し、外部からの攻撃者/マルウェア8等の不正な通信を遮断するファイアウォールとして機能する。
【0024】
セキュリティ装置1は、アドレス変更部25と、パケット送出部26とを更に備える。アドレス変更部25は、クライアント6が外部に宛てて送信したパケットを、受信バッファ部12から取得し、パケットの送信元アドレスを、クライアント6のアドレスからセキュリティ装置1のアドレスに変更する。パケット送出部26は、アドレス変更部25が送信元アドレスを変更したパケットを、パケットの送信先アドレスに宛てて送信する。
【0025】
このように、セキュリティ装置1は、アドレス変更部25が、クライアント6が送信したパケットの送信元アドレスをセキュリティ装置1のアドレスに変更するので、ルータ5から戻るパケットが、直接クライアント6に送信されることを阻止できる。
【0026】
アドレス変更部25は、クライアント6のアドレスと紐付けされた代表アドレスを生成してセキュリティ装置1に設定し、クライアント6が送信したパケットの送信元アドレスを、生成した代表アドレスに変更するようにしてもよい。これにより、外部ネットワークに対してクライアント6のアドレスを秘匿することができる。
【0027】
また、アドレス変更部25は、クライアント6の新たなサブネットのグローバルアドレスに紐付けされたグローバルアドレスをセキュリティ装置1に設定し、パケットの送信元アドレスを、設定したグローバルアドレスに変更するようにしてもよい。これにより、外部ネットワークに対して、クライアント6の通信路に変更がなかったように見せかけることができる。
【0028】
また、アドレス変更部25は、クライアント6のプライベートアドレスに紐付けされたグローバルアドレスをセキュリティ装置1に設定し、パケットの送信元アドレスを、設定したグローバルアドレスに変更するようにしてもよい。プライベートアドレスとグローバルアドレスとの紐付けは、NAT66により行うことができる。
ルータ5は、図3に示すように、ステップS1において、RARをクライアント6及びセキュリティ装置1にブロードキャストする。RAは、パラメータの一つとして優先度を「高(High)」、「中(Middle)」、「低(Low)」のいずれかに設定できる。通常、ルータ5から送信されるRARは、優先度が「中」となっている。RA変更部14は、RASの優先度を「高」に設定する。ステップS2において、RA送出部16は、RASを、ルータ5、クライアント6にブロードキャストする。
【0029】
クライアント6は、セキュリティ装置1からRASを受信すると、ルータ5から受信したRARを、優先度の高いRASに上書きする。このように、セキュリティ装置1は、クライアント6がルータ5をデフォルトゲートウェイとして設定されることを阻止し、クライアント6は、デフォルトゲートウェイをセキュリティ装置1として設定する。
【0030】
RAは、パラメータの一つとしてルータの有効期限を示すライフタイムを設定できる。RAは、ライフタイムが「0」以外であればRAが示すゲートウェイを使用するという規定になっている。そこで、RARの優先度が「高」に設定されている場合、セキュリティ装置1は、RARのライフタイムを「0」に変更して、クライアント6に送信することにより、クライアント6のデフォルトゲートウェイが、ルータ5に設定されることを阻止する。また、クライアント6がセキュリティ装置1をデフォルトゲートウェイとして設定した後においても、RARによりデフォルトゲートウェイがルータ5に変更されることを阻止できる。
【0031】
ルータ5は、図4に示すように、ステップS3において、定期的にRARをブロードキャストする。RA変更部14は、RARを複製して、ライフタイムのみが「0」に変更されたRACを生成する。ステップS4において、RA送出部16は、RACを、ルータ5、クライアント6にブロードキャストする。
【0032】
クライアント6は、セキュリティ装置1からRACを受信すると、直前にルータ5から受信したRARを無効なRAとして認識する。このように、セキュリティ装置1は、RARの優先度に影響されることなく、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止できる。
【0033】
或いは、RA変更部14は、RARに含まれるルータ5のMACアドレスをセキュリティ装置1のMACアドレスに変更することにより、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止するようにしてもよい。RA変更部14は、RARを複製し、ルータ5のMACアドレスのみをセキュリティ装置1のMACアドレスに変更されたRASを生成する。RA送出部16は、RASを、ルータ5、クライアント6にブロードキャストする。MACアドレスの変更は、優先度が「高」、「中」、「低」のいずれの場合であってもよい。
【0034】
クライアント6は、セキュリティ装置1からRASを受信すると、直前にルータ5から受信したRARをRASに上書きする。このように、セキュリティ装置1は、RARの優先度に影響されることなく、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止できる。
【0035】
上述のように、クライアント6がセキュリティ装置1をデフォルトゲートウェイとして設定し、セキュリティ装置1の割り込みが成立した後においても、ルータ5は、定期的にRARを送信する。クライアント6は、RARに応じて、新たなIPアドレスの生成を行い、生成したIPアドレスを自身に割り当て可能か確認する為、近隣者要請(NS:Neighbor Solicitation)を送信する。NSは、重複アドレスを確認する重複確認(DAD:Duplicate Address Detection)を含む。クライアント6は、他のノードから、生成したアドレスが重複する旨の近隣者広告(NA:Neighbor Advertisement)を受信しない場合、生成したアドレスを自身に割り当て、RARが示すデフォルトゲートウェイに設定してしまう。
【0036】
これに対して、セキュリティ装置1は、NS検出部21と、NA生成部22と、NA送出部23とを備える。NS検出部21は、受信バッファ部12がバッファリングしたデータから、クライアント6が送信したNSを検出する。NA生成部22は、クライアント6が送信したNSが示すIPアドレスが、既に内部ネットワーク4内に割り当てられている旨のNAを生成する。NA送出部23は、NA生成部22が生成したNAを、クライアント6に送信する。
【0037】
ルータ5は、図5に示すように、ステップS5において、定期的にRARをブロードキャストする。ステップS6において、クライアント6は、RARに応じて、新たなIPアドレスの生成を行い、生成したIPアドレスの重複確認を行うNSをブロードキャストする。NA生成部22は、クライアント6が生成したIPアドレスが既に割り当てられている旨のNAを生成する。ステップS7において、NA送出部23は、NA生成部22が生成したNAを、クライアント6に送信する。
【0038】
クライアント6は、セキュリティ装置1からNAを受信すると、生成したIPアドレスを自身に割り当てず、デフォルトゲートウェイの設定も行わない。このように、セキュリティ装置1は、クライアント6のデフォルトゲートウェイがルータ5に設定されることを阻止できる。
【0039】
セキュリティ装置1のRA変更部14は、アドレス設定部15を有する。アドレス設定部15は、クライアント6に割り当てるアドレスを、ルータ5が内部ネットワーク4で使用するアドレスと直接の通信が不可なように設定する。
【0040】
例えば、アドレス設定部15は、ルータ5のグローバルプレフィックスのアドレスに対して、クライアント6にプライベートプレフィックスを配布するよう処理する。セキュリティ装置1は、NAT66により、プライベートアドレスとグローバルアドレスとをマッピング変換する。
【0041】
また、アドレス設定部15は、新たにサブネットを作成し、クライアント6に新たなサブネットのグローバルプレフィックスを配布するよう処理するようにしてもよい。セキュリティ装置1は、NATにより、新たなサブネットをルータ5のサブネットに変換する。或いは、アドレス設定部15は、ルータ5のプレフィックスでクライアント6にアドレスを配布し、セキュリティ装置1が、セキュリティ装置1の代表アドレスと、NATにより変換するようにしてもよい。これにより、セキュリティ装置1は、ルータ5とクライアント6との間の直接的な通信を、より困難にすることができる。
【0042】
実施の形態に係るネットワークシステムによれば、セキュリティ装置1が、ルータ5とクライアント6との間に割り込むことにより、ネットワークの通信を、煩雑な設定不要で簡単に制御し、ネットワークのセキュリティを向上できる
(その他の実施の形態)
上記のように、本発明は実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
【0043】
既に述べた実施の形態においては、インターネットを介して、他のセキュリティ装置と仮想プライベートネットワーク(VPN)通信を行うようにしてもよい。すなわち、本発明のその他の実施の形態に係るネットワークシステムが備えるセキュリティ装置1aは、図6に示すように、VPN処理部31を備える点で、セキュリティ装置1と異なる。
【0044】
本発明のその他の実施の形態に係るネットワークシステムは、図7に示すように、インターネット3を介して、VPN提供サーバ9と、他の内部ネットワーク40に接続されたセキュリティ装置10a、ルータ50、クライアント60とを備える点において、既に述べた実施の形態と異なる。その他の実施の形態において説明しない他の構成は、既に述べた実施の形態と実質的に同様であるので、重複する説明を省略する。
【0045】
例えば、クライアント6からVPN構築の要求があると、セキュリティ装置1のVPN処理部31は、VPN提供サーバ9にVPN回線の登録要求を送信する。VPN提供サーバ9は、セキュリティ装置1に対してセキュア番号を発行する。次いで、他の内部ネットワークに接続されるクライアント60から、発行されたセキュア番号を入力し、セキュリティ装置10aを介して、VPN提供サーバ9にセキュア番号の照会要求をする。VPN提供サーバ9においてセキュア番号が照会されると、VPN提供サーバ9により、クライアント6とクライアント60との間でVPN回線が確立される。
【0046】
また、既に述べた実施の形態においては、内部ネットワーク4,40は、有線であってもよく、無線であってもよい。
【0047】
上記の他、実施の形態を応用した構成等、本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0048】
1,1a,10a…セキュリティ装置
3…インターネット
4,40…内部ネットワーク
5,50…ルータ
6,60…クライアント
9…VPN提供サーバ
14…RA変更部
15…アドレス設定部
16…RA送出部
22…NA生成部
23…NA送出部
25…アドレス変更部
31…VPN処理部
【特許請求の範囲】
【請求項1】
内部ネットワークと外部ネットワークの間の通信を中継するルータと、前記内部ネットワークに接続されたクライアントと、前記ルータと前記クライアントとの間の通信を監視するセキュリティ装置とを備えるネットワークシステムであって、
前記セキュリティ装置は、
前記ルータが送信したルータ広告の内容を、前記クライアントが前記セキュリティ装置をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、
前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部と
を備えることを特徴とするネットワークシステム。
【請求項2】
前記セキュリティ装置は、前記クライアントが送信したパケットの送信元アドレスを前記セキュリティ装置のアドレスに変更するアドレス変更部を更に備えることを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記ルータ広告変更部は、前記変更されたルータ広告の優先度を高に変更することを特徴とする請求項1または2に記載のネットワークシステム。
【請求項4】
前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高、中、低のいずれかの場合、前記ルータが送信したルータ広告のライフタイムを0に変更することを特徴とする請求項3に記載のネットワークシステム。
【請求項5】
前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高の場合、前記ルータが送信したルータ広告のMACアドレスを、前記セキュリティ装置のMACアドレスに変更することを特徴とする請求項3に記載のネットワークシステム。
【請求項6】
前記セキュリティ装置は、
前記クライアントが、前記ルータが送信したルータ広告に応じて生成した近隣者要請に含まれるアドレスが、既に前記内部ネットワーク内に割り当てられている旨の近隣者広告を生成する近隣者広告生成部と、
前記近隣者広告生成部が生成した近隣者広告を、前記クライアントに送信する近隣者広告送出部と
を備えることを特徴とする請求項1〜5のいずれか1項に記載のネットワークシステム。
【請求項7】
前記ルータ広告変更部は、前記クライアントに割り当てるアドレスを、前記クライアントと前記ルータとの直接の通信が不可なように設定するアドレス設定部を備えることを特徴とする請求項1〜6のいずれか1項に記載のネットワークシステム。
【請求項8】
前記セキュリティ装置は、仮想プライベートネットワークを提供する仮想プライベート提供サーバに、仮想プライベートネットワーク回線の登録要求をする仮想プライベートネットワーク処理部を更に備えることを特徴とする請求項1〜7のいずれか1項に記載のネットワークシステム。
【請求項9】
内部ネットワークに接続されたルータが、前記内部ネットワークに接続されたクライアントに送信したルータ広告の内容を、前記クライアントが、前記ルータをデフォルトゲートウェイとして設定しないように変更するルータ広告変更部と、
前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部と
を備えることを特徴とするセキュリティ装置。
【請求項1】
内部ネットワークと外部ネットワークの間の通信を中継するルータと、前記内部ネットワークに接続されたクライアントと、前記ルータと前記クライアントとの間の通信を監視するセキュリティ装置とを備えるネットワークシステムであって、
前記セキュリティ装置は、
前記ルータが送信したルータ広告の内容を、前記クライアントが前記セキュリティ装置をデフォルトゲートウェイとして設定するように変更するルータ広告変更部と、
前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部と
を備えることを特徴とするネットワークシステム。
【請求項2】
前記セキュリティ装置は、前記クライアントが送信したパケットの送信元アドレスを前記セキュリティ装置のアドレスに変更するアドレス変更部を更に備えることを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記ルータ広告変更部は、前記変更されたルータ広告の優先度を高に変更することを特徴とする請求項1または2に記載のネットワークシステム。
【請求項4】
前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高、中、低のいずれかの場合、前記ルータが送信したルータ広告のライフタイムを0に変更することを特徴とする請求項3に記載のネットワークシステム。
【請求項5】
前記ルータ広告変更部は、前記ルータが送信したルータ広告の優先度が高の場合、前記ルータが送信したルータ広告のMACアドレスを、前記セキュリティ装置のMACアドレスに変更することを特徴とする請求項3に記載のネットワークシステム。
【請求項6】
前記セキュリティ装置は、
前記クライアントが、前記ルータが送信したルータ広告に応じて生成した近隣者要請に含まれるアドレスが、既に前記内部ネットワーク内に割り当てられている旨の近隣者広告を生成する近隣者広告生成部と、
前記近隣者広告生成部が生成した近隣者広告を、前記クライアントに送信する近隣者広告送出部と
を備えることを特徴とする請求項1〜5のいずれか1項に記載のネットワークシステム。
【請求項7】
前記ルータ広告変更部は、前記クライアントに割り当てるアドレスを、前記クライアントと前記ルータとの直接の通信が不可なように設定するアドレス設定部を備えることを特徴とする請求項1〜6のいずれか1項に記載のネットワークシステム。
【請求項8】
前記セキュリティ装置は、仮想プライベートネットワークを提供する仮想プライベート提供サーバに、仮想プライベートネットワーク回線の登録要求をする仮想プライベートネットワーク処理部を更に備えることを特徴とする請求項1〜7のいずれか1項に記載のネットワークシステム。
【請求項9】
内部ネットワークに接続されたルータが、前記内部ネットワークに接続されたクライアントに送信したルータ広告の内容を、前記クライアントが、前記ルータをデフォルトゲートウェイとして設定しないように変更するルータ広告変更部と、
前記ルータ広告変更部が変更したルータ広告を前記クライアントに送信するルータ広告送出部と
を備えることを特徴とするセキュリティ装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2013−110639(P2013−110639A)
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願番号】特願2011−254969(P2011−254969)
【出願日】平成23年11月22日(2011.11.22)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成25年6月6日(2013.6.6)
【国際特許分類】
【出願日】平成23年11月22日(2011.11.22)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]