不正アクセス防止装置および不正アクセス防止プログラム
【目的】本発明は、不正アクセスを防止する不正アクセス防止装置および不正アクセス防止プログラムに関し、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することを目的とする。
【構成】 端末から当該端末の仮IPアドレスおよびMACアドレスをもとに、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、割り当てた本IPアドレスを要求元の端末に仮IPアドレスおよびMACアドレスをもとに送信し、本IPアドレスと端末のMACアドレスをもとに他の端末と通信可とする手段とをあるセグメントと他のセグメントとの間に設ける。
【構成】 端末から当該端末の仮IPアドレスおよびMACアドレスをもとに、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、割り当てた本IPアドレスを要求元の端末に仮IPアドレスおよびMACアドレスをもとに送信し、本IPアドレスと端末のMACアドレスをもとに他の端末と通信可とする手段とをあるセグメントと他のセグメントとの間に設ける。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセスを防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。
【背景技術】
【0002】
従来、ネットワークに接続された複数の端末がワームなどのウィルスに感染された端末からの感染を防ぐために、感染した端末のIPアドレスを調べて、その感染している端末が存在するセグメントにある他の端末が持つ当該感染端末のMACアドレスを書き換えることで、当該セグメント内の感染の拡大を防ぐ技術がある(特許文献1)。
【特許文献1】特開2005−286877号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述した技術では、セグメント内の他の端末へのアクセスを不可にして感染の拡大を防止できるが、しかし、感染端末が接続されているセグメント外にはアクセスできてしまい、充分な感染防止がされていないという問題があった。
【課題を解決するための手段】
【0004】
本発明は、これらの問題を解決するため、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にするようにしている。
【発明の効果】
【0005】
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックを行い、セキュリティ上の問題がないと判断したときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして、不正端末からの他のセグメントへのアクセスを不可にすることにより、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することが可能となる。
【発明を実施するための最良の形態】
【0006】
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することを実現した。
【実施例1】
【0007】
図1は、本発明のシステム構成図を示す。
図1の(a)は、特定セグメントに専用装置3を設置する場合を示す。図1の(a)は、本発明に係る専用装置3を1つの特定セグメントと、他のセグメントとの間に接続(設置)したものであって、当該特定セグメント内のネットワークに接続された端末1から、当該特定セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者を防止するものである。
【0008】
図1の(a)において、端末1は、不正アクセスを防止する端末であって、ここでは、セグメントA(特定セグメント)に接続された端末であり、エージェント11、クライアント情報12、およびARPテーブル13などから構成されるものである。
【0009】
エージェント11は、端末1にインストールしたものであって、端末1の不正アクセスを防止するためのもの(プログラム)である(図2から図7を用いて後述する)。
【0010】
クライアント情報12は、端末1が保持する情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報、MACアドレスなど)である(図5参照)。
【0011】
ARPテーブル13は、通信相手の端末のIPアドレス、MACアドレスなどを登録して管理するテーブルである(図7の(a)参照)。
【0012】
スイッチ2は、多数の端末1が相互に通信するための公知のスイッチ(宛先に向けてパケットを送信するもの)である。
【0013】
専用装置3は、本発明に係る装置であって、ここでは、1つの特定セグメント(セグメントA)と他のセグメントとの間に接続(設置)した装置であり、DHCPサーバ31、IP割当手段32、定義書換手段33、ファイアウォール34などから構成されるものである。
【0014】
DHCPサーバ31は、公知のセグメント内の端末に一意のIPアドレスを割り当てて相互に通信可能にするものである。
【0015】
ファイアウォール34は、特定セグメントと、外部の他のセグメントの端末との間の不正アクセスを防止する公知のものである(図2から図8参照)。
【0016】
図1の(b)は、複数のセグメントと、他のセグメントとの間に専用装置3を設置する場合を示す。図1の(b)は、本発明に係る専用装置3を複数のセグメントにそれぞれ設置(接続)したものであって、各セグメント内のネットワークに接続された複数の端末1が、当該各セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者をそれぞれ防止するものである。端末1、専用装置3は、図1の(a)の端末1、専用装置3と同じであるので説明を省略する。
【0017】
次に、図2のフローチャートの順番に従い、図1の構成の動作を詳細に説明する。
図2は、本発明の動作説明フローチャートを示す。ここで、端末1は、エージェント11、クライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12、ARPテーブル13から構成され、図1の端末1、エージェント11、クライアント情報12、ARPテーブル13と同じである。また、専用装置3は、情報送受信機能36、検疫機能37、メール送信機能38、DHCPサーバ31などから構成され、図1と図2の専用装置3、DHCPサーバ31は同じである。
【0018】
図2の本発明の動作説明フローチャートを用いて処理の一例の説明を行う。
(ステップS1)端末1は、専用装置3に接続要求する。本実施の一例では、端末1を例えば図1の(a)のセグメントAのLANに新規に接続し、当該端末1のMACアドレスを通知して仮IPアドレスの割当要求を行う。
【0019】
(ステップS2)専用装置3は、ステップS1で端末1から通知されたMACアドレスが、DHCPサーバ31に予め登録されているMACアドレスか判別する。MACアドレスが予め登録されている場合(YESの場合)には、専用装置3は予め仮IPアドレスの割当を行っても良いMACアドレスの端末1からの仮IPアドレスの要求と判断し、仮IPアドレスを割り当てる。
【0020】
(ステップS3)専用装置3は、当該仮IPアドレスを発行し、端末1に通知する。
(ステップS4)専用装置3は、ステップS2において、ステップS1で端末1から通知されたMACアドレスがDHCPサーバ31に予め登録されているMACアドレスではないと判断すると、仮IPアドレスを割り当てることなく、不正アクセスとしてログファイルなどに記録する。専用端末3が未登録のMACアドレスの端末1に対しては仮IPアドレスを発行しないことで、未登録のMACアドレスの端末1からのアクセスを不可にし、不正アクセスを防止する。
【0021】
(ステップS5)は、ステップS3で仮IPアドレスの発行を受けた端末1のエージェント11がパケットに仮IPアドレス、MACアドレス、および端末1のクライアント情報12を設定して当該パケットを専用装置3に送信し、正IPアドレスの要求を行う。
【0022】
(ステップS6)専用装置1の情報送受信機能は、ステップS5で受信したパケットに設定されているクライアント情報12を保存する。
【0023】
(ステップS7)専用装置1の情報送受信機能36が専用装置1の検疫機能37に検疫依頼する。
【0024】
(ステップS8)専用装置1は、ステップS7で検疫依頼を受けた検疫機能37がステップS6で保存した端末1のクライアント情報12と、セキュリティポリシ情報39に予め格納しておいた当該端末1のクライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12とを読み出し、ステップS5で正IPアドレスの要求を行った端末1の接続を許可するか否かを判断する。本実施の一例では、端末1から送られてきたクライアント情報12が、予め格納しておいたセキュリティポリシ情報39中のクライアント情報と一致しすると、真正の端末1からの正IPアドレスの割当要求と判断し、ステップS9に遷移する。
【0025】
(ステップS9)専用装置3は、DHCPサーバ設定ファイル40を編集して正IPアドレスを割り当てる。
【0026】
(ステップS10)専用装置3は、DHCPサーバを再起動して、ステップS9で割り当てた正IPアドレスを有効にする。
【0027】
(ステップS11)専用装置3は、結果(ここでは、正IPアドレスを割り当てた旨の通知)を情報送受信機能36を経由して端末1のエージェント11に通知する。
【0028】
一方、ステップS8において、端末1から送られてきたクライアント情報が専用装置3のセキュリティポリシ情報39のクライアント情報と一致しない場合、専用装置3は、一致しないクライアント情報を送信した端末1からの正IPアドレスの要求と判断し、ステップS12に遷移する。
【0029】
(ステップS12)専用端末3は、警告メッセージ送信要求して警告メッセージを端末1に送信する。これにより、正IPアドレスの発行を拒否された端末1は、正IPアドレスが発行されず、他の端末と通信不可であり、不正アクセスを防止できる。
【0030】
(ステップS13)ステップS11で正IPアドレスを割り当てた旨の連絡を受けた端末1のエージェント11が正IPアドレスの取得要求をDHCPサーバ31に送信する。
【0031】
(ステップS14)ステップS13の取得要求を受信したDHCPサーバ31が当該端末1に正IPアドレスを発行し、通知する。端末1では、発行された正IPアドレスと自身のMACアドレスなどをARPテーブル13に設定するなどし、以降、端末1は、発行された正IPドレスおよび自端末1のMACアドレスを用いて図1で自セグメント内、更に他のセグメント内の他の端末1と自由にパケット通信することが可能となる。
【0032】
以上のように、端末1をあるセグメントに接続すると、当該端末1は自端末1のMACアドレスを通知してDHCPサーバ31に仮IPアドレスの発行要求を行うが、登録されていないときは仮IPアドレスが発行されず、未登録MACアドレスの端末1は通信が不可とされ、不正アクセスを防止できる。次に、MACアドレスが登録されていて仮IPアドレスの発行を受けた端末11がクライアント情報を送信して正IPアドレスの発行要求しても、予め登録したセキュリティポリシ情報39中のクライアント情報と照合して一致しないときは正IPアドレスが発行されず、正しいMACアドレスを持っていても正しいクライアント情報を持っていない端末1には正IPアドレスの発行をしなく、不正アクセスを防止できる。ここで、正しいクライアント情報を持っている端末1は、初めて正IPアドレスの発行を受け、当該正IPアドレス、自端末のMACアドレスを用いて他の端末1と相互に通信することが可能となる。
【0033】
図3は、本発明の応答文例(DHCP.CONFの例)を示す。これは、既述した図2のS8で端末1から送信されてきたクライアント情報12と、予め登録しておいたセキュリティポリシ情報39中のクライアント情報とを比較し、一致したときに合格として、図中の合格とした電文(正IPアドレスなど)を端末1に専用装置3が送信する例を示す。一致しないときに不合格として、図中の不合格とした電文(仮IPアドレスなど)を端末1に専用装置3が送信する例を示す。
【0034】
図4は、本発明の動作説明フローチャート(情報送信)を示す。これは、管理者がセキュリティポリシ情報39、DHCPサーバ設定ファイル40などを変更し、セキュリティを管理するときの様子を示す。
【0035】
図4において、(ステップS21)専用装置3のセキュリティポリシ変更機能は、管理者が端末(管理)を操作したのを受け付けて、セキュリティポリシ情報を変更する。本実施の一例では、ウイルスパターン情報を最新のものに変更(更新)すると共に、セキュリティポリシ情報39中のウィルスパターン情報(バージョン情報)を最新の情報に変更(更新)する。
【0036】
(ステップS22)DHCPサーバ31は、ステップS21でセキュリティポリシ情報が編集されると、必要に応じてDHCPサーバ設定ファイル40の内容を編集する。本実施の一例では、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されると、端末1群に割り当て済の正IPアドレスが無効になるように、DHCPサーバ設定ファイル40を編集する。専用装置3は、DHCPサーバ設定ファイル40を編集した場合には、DHCPサーバ31を再起動し、編集後のDHCPサーバ設定ファイル40を有効にする。
【0037】
(ステップS23)専用装置3は、専用装置3の情報送受信機能36に、端末1に対して、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信するように指示を行う。
【0038】
(ステップS24)専用装置3の情報送受信機能36は、端末1に、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信する。
【0039】
端末1は、ステップS24の通知を受けて、ウイルスパターンを専用端末3のセキュリティポリシ情報が持つウイルスパターンの情報にバージョンアップを行うことでクライアント情報12のウイルスパターン情報を更新して、先述のステップS5以下の処理を行うことにより正IPアドレスの要求を行い、専用装置3に正IPアドレスの発行をさせる。
【0040】
以上によって、管理者が随時、ウイルスパータン情報(バージョン情報)などを更新して各端末1のクライアント情報12中の該等情報を最新に更新することにより、既述した図2のS8のチェック時に、端末1から送信されてきたクライアント情報12と、セキュリティポリシ情報39中のクライアント情報と照合して一致したときのみ正IPアドレスを割り当て、一方、一致しないときは正IPアドレスを割り当てない(あるいは既に正IPアドレスを割り当てていたときは仮IPアドレスに変更する)という手順を行うことにより、随時更新した最新のセキュリティポリシ情報をもとに不正アクセスをチェックし、不正アクセスのときは正IPアドレスの割り当てた端末1と言えども仮IPアドレスに変更し、セキュリティを確保することが可能となる。
【0041】
図5は、本発明のクライアント情報例を示す。これは、既述した図2、図4の端末1が保持するクライアント情報12の例を示す。クライアント情報12は、図示の下記の情報を対応づけて登録したものであり、図4で説明したように、管理者が随時、更新、変更可能なものである。
【0042】
・ハードウェア情報:
・BIOS Number
・CPU Nmmber
・ハードディスク Number
・ソフトウェア情報:
・ウイルスパターンバージョン
・OSバッチバージョン
・セキュリテイ情報:
・端末ID
・ログインID
ここで、ハードウェア情報は、端末1のハードウェア情報であって、例えば図示のBIOSの番号、CPUの番号、ハードディスク装置の番号などである。ソフトウェア情報は、端末1にインストールされているソフトウェアの情報であって、ウイルスパターンバージョン、OSのバッチバージョンなどである。セキュリティ情報は、端末のID,ログインIDなどである。
【0043】
以上のように、端末1のハードウェア情報、ソフトウェア情報、セキュリティ情報からなるクライアント情報12を、図4で説明したように、管理者がネットワークを介し随時更新、変更し、よりセキュリティの高いシステムを実現し、不正端末1による不正アクセスを防止することが可能となる。
【0044】
図6は、本発明の動作説明フローチャート(不正チェック)を示す。
図6の(a)は全体フローチャートを示し、図6の(b)は詳細フローチャートを示す。端末1、専用装置3は、図1の端末1、専用装置3である。
【0045】
図6の(a)において、(ステップS31)専用装置3の不正PCチェック機能42が不正PC監視する。本実施の一例では、後述する図6の(b)のステップS41で専用装置3がPingコマンドをブロードキャストアドレスで発行し、ステップS42で専用装置3がARPコマンドでARPテーブル13の一覧を取得する(Macアドレス一覧を取得する)。更に、図6の(b)のステップS43で専用装置3がネットワークに流れるパケットを取得し、ステップS44で専用装置3がパケット解析で送信元のIPアドレスとMACアドレスを取得する。
【0046】
以上によって、セグメント内のネットワークに接続されている端末1群のMACアドレス、更に、ARPテーブル13に登録されている通信相手のIPアドレスとMACアドレス、更に、ネットワークに流れているパケットに設定されている送信元のIPアドレスとMACアドレスを収集してその一覧を作成することが可能となる。
【0047】
(ステップS32)専用装置3は、DHCPサーバ設定ファイル40の内容(通信を許可されたMACアドレス)を読み込む。
【0048】
(ステップS33)専用装置3は、ステップS32で読み込んだMACアドレスは登録されているか判別する(図6の(b)のS45)。これは、ステップS31で収集したMACアドレスが、ステップS32で読み出したDHCPサーバ設定ファイル40にある通信許可された端末1のMACアドレスか判別する。YESの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスと判明したので、終了する。NOの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスでないと判明したので、ステップS34でクライアントPC状態情報を編集(即ち、不許可MACアドレスを登録)し、更に、ファイアウォール定義テーブル43に設定(当該MACアドレスを無効に設定)する。ファイアウォール定義テーブル43中の不正MACアドレスを無効(意味の値に変更)する(図8の(b)参照)ことで、ファイアウォール34で当該端末1からのパケットを阻止し、不正MACアドレスの端末1がファイアウォールを越えて外部のセグメントにパケット送信できないようにする。また、端末1のARPテーブル13に登録されている通信相手の端末1のIPアドレスとMACアドレスの対のうち、不正MACアドレスを無効にし、各端末1から不正MACアドレスの端末1へアクセスできないように設定する(図8の(a)参照)。
【0049】
(ステップS35)専用装置3は、警告メール送信要求をメール送信機能38に行い、メール送信する。これにより、不正MACアドレスの不正端末1がネットワークに接続されている旨をメールで管理者に知らせることが可能となる(図6の(b)のS47)。
【0050】
(ステップS36)専用装置3は、不正端末がネットワークに接続されている旨の警告メッセージを全ての端末1に送信して全ての利用者に知らせる(図6の(b)のS47)。
【0051】
以上によって、セグメント内のネットワークに接続されている端末1のMACアドレスを収集およびネットワークに流れているパケットを監視して送信元のMACアドレスを収集し、これら収集したMACアドレスが通信許可された端末1のMACアドレスか判別し、通信許可されていないMACアドレスが検出されたときに、当該不正MACアドレスについて全端末1および管理者に知らせて注意を促すことが可能となる。更に、ファイアウォール定義テーブル43中の当該不正MACアドレスを無効(意味のないMACアドレスに書き換える)にし、セグメントと他のセグメントとの間に接続したファイアウォール34で当該不正MACアドレスのパケットを阻止し、不正MACアドレスの端末1がセグメントの外に通信不可とすることが可能となる。また、専用装置3が全端末1のARPテーブル13中のIPアドレスとMACアドレスのうちの不正MACアドレスを無効に自動的に書き換えることにより、当該端末1から不正端末1に通信不可にすることが可能となる。尚、各端末1のARPテーブル13は所定時間毎にクリアされるので、その毎あるいはそれよりも短い時間毎に、専用装置3が全端末1のARPテーブル13中の不正MACアドレスを見つけたときに無効に書き換える。
【0052】
図7は、本発明のテーブル例を示す。
図7の(a)は、ARPテーブルの例を示す。ARPテーブル13は、各端末1が持つものであって、図示の下記の情報を対応づけて登録したものである。
【0053】
・IPアドレス:
・MACアドレス:
・Type:
ここで、IPアドレスはセグメント内で一意に割り当てられたアドレスである。MACアドレスは端末1が持つ固有の一意のID(アドレス)である。TypeはIPアドレス,MACアドレスのタイプを表す(ここでは、動的に書換可能なタイプを表す)。ここで、上段のMACアドレスは、00−00−00−00−00−00は無効に設定した例を示す。尚、ARPテーブル13には、通信相手の端末1のIPアドレス、MACアドレスMの対を登録する。
【0054】
図7の(b)は、ファイアウォール定義テーブルの例を示す。ファイアフォール定義テーブル35は、ファイアフォール34が保持するテーブルであって、当該ファイルフォール34を通過あるいは阻止するための情報を設定するものであり、本発明では不正MACアドレスについて無効に設定し、パケットの通過を阻止し、セグメント内の不正端末1からセグメント外のネットワークへの送信(アクセス)を不可にするものである。
【0055】
(付記1)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と、
を有すること特徴とする不正アクセス防止装置。
【0056】
(付記2)
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と、
を併せて有することを特徴とする付記1記載の不正アクセス防止装置。
【0057】
(付記3)
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【0058】
(付記4)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【0059】
(付記5)
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。
【0060】
(付記6)
あるセグメントと他のセグメントとの間に接続したファイアウォールで不正アクセスを防止する不正アクセス防止プログラムにおいて、
コンピュータを、
あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスを検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
して動作させるための不正アクセス防止プログラム。
【産業上の利用可能性】
【0061】
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。
【図面の簡単な説明】
【0062】
【図1】本発明のシステム構成図である。
【図2】本発明の動作説明フローチャートである。
【図3】本発明の応答文例である。
【図4】本発明の動作説明フローチャート(情報送信)である。
【図5】本発明のクライアント情報例である。
【図6】本発明の動作説明フローチャート(不正チェック)である。
【図7】本発明のテーブル例である。
【符号の説明】
【0063】
1:端末
11:エージェント
12:クライアント情報
13:ARPテーブル
2:スイッチ
3:専用装置
31:DHCPサーバ
34:ファイアウォール
35:検疫マネージャ
36:情報送受信機能
37:検疫機能
38:メール送信機能
39:セキュリティポリシ情報
40:DHCPサーバ設定ファイル
41:セキュリティポリシ変更機能
42:不正PCチェック機能
【技術分野】
【0001】
本発明は、不正アクセスを防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。
【背景技術】
【0002】
従来、ネットワークに接続された複数の端末がワームなどのウィルスに感染された端末からの感染を防ぐために、感染した端末のIPアドレスを調べて、その感染している端末が存在するセグメントにある他の端末が持つ当該感染端末のMACアドレスを書き換えることで、当該セグメント内の感染の拡大を防ぐ技術がある(特許文献1)。
【特許文献1】特開2005−286877号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述した技術では、セグメント内の他の端末へのアクセスを不可にして感染の拡大を防止できるが、しかし、感染端末が接続されているセグメント外にはアクセスできてしまい、充分な感染防止がされていないという問題があった。
【課題を解決するための手段】
【0004】
本発明は、これらの問題を解決するため、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にするようにしている。
【発明の効果】
【0005】
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックを行い、セキュリティ上の問題がないと判断したときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして、不正端末からの他のセグメントへのアクセスを不可にすることにより、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することが可能となる。
【発明を実施するための最良の形態】
【0006】
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止することを実現した。
【実施例1】
【0007】
図1は、本発明のシステム構成図を示す。
図1の(a)は、特定セグメントに専用装置3を設置する場合を示す。図1の(a)は、本発明に係る専用装置3を1つの特定セグメントと、他のセグメントとの間に接続(設置)したものであって、当該特定セグメント内のネットワークに接続された端末1から、当該特定セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者を防止するものである。
【0008】
図1の(a)において、端末1は、不正アクセスを防止する端末であって、ここでは、セグメントA(特定セグメント)に接続された端末であり、エージェント11、クライアント情報12、およびARPテーブル13などから構成されるものである。
【0009】
エージェント11は、端末1にインストールしたものであって、端末1の不正アクセスを防止するためのもの(プログラム)である(図2から図7を用いて後述する)。
【0010】
クライアント情報12は、端末1が保持する情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報、MACアドレスなど)である(図5参照)。
【0011】
ARPテーブル13は、通信相手の端末のIPアドレス、MACアドレスなどを登録して管理するテーブルである(図7の(a)参照)。
【0012】
スイッチ2は、多数の端末1が相互に通信するための公知のスイッチ(宛先に向けてパケットを送信するもの)である。
【0013】
専用装置3は、本発明に係る装置であって、ここでは、1つの特定セグメント(セグメントA)と他のセグメントとの間に接続(設置)した装置であり、DHCPサーバ31、IP割当手段32、定義書換手段33、ファイアウォール34などから構成されるものである。
【0014】
DHCPサーバ31は、公知のセグメント内の端末に一意のIPアドレスを割り当てて相互に通信可能にするものである。
【0015】
ファイアウォール34は、特定セグメントと、外部の他のセグメントの端末との間の不正アクセスを防止する公知のものである(図2から図8参照)。
【0016】
図1の(b)は、複数のセグメントと、他のセグメントとの間に専用装置3を設置する場合を示す。図1の(b)は、本発明に係る専用装置3を複数のセグメントにそれぞれ設置(接続)したものであって、各セグメント内のネットワークに接続された複数の端末1が、当該各セグメント内の他の端末1への不正アクセス、および他のセグメントの端末1への不正アクセスの両者をそれぞれ防止するものである。端末1、専用装置3は、図1の(a)の端末1、専用装置3と同じであるので説明を省略する。
【0017】
次に、図2のフローチャートの順番に従い、図1の構成の動作を詳細に説明する。
図2は、本発明の動作説明フローチャートを示す。ここで、端末1は、エージェント11、クライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12、ARPテーブル13から構成され、図1の端末1、エージェント11、クライアント情報12、ARPテーブル13と同じである。また、専用装置3は、情報送受信機能36、検疫機能37、メール送信機能38、DHCPサーバ31などから構成され、図1と図2の専用装置3、DHCPサーバ31は同じである。
【0018】
図2の本発明の動作説明フローチャートを用いて処理の一例の説明を行う。
(ステップS1)端末1は、専用装置3に接続要求する。本実施の一例では、端末1を例えば図1の(a)のセグメントAのLANに新規に接続し、当該端末1のMACアドレスを通知して仮IPアドレスの割当要求を行う。
【0019】
(ステップS2)専用装置3は、ステップS1で端末1から通知されたMACアドレスが、DHCPサーバ31に予め登録されているMACアドレスか判別する。MACアドレスが予め登録されている場合(YESの場合)には、専用装置3は予め仮IPアドレスの割当を行っても良いMACアドレスの端末1からの仮IPアドレスの要求と判断し、仮IPアドレスを割り当てる。
【0020】
(ステップS3)専用装置3は、当該仮IPアドレスを発行し、端末1に通知する。
(ステップS4)専用装置3は、ステップS2において、ステップS1で端末1から通知されたMACアドレスがDHCPサーバ31に予め登録されているMACアドレスではないと判断すると、仮IPアドレスを割り当てることなく、不正アクセスとしてログファイルなどに記録する。専用端末3が未登録のMACアドレスの端末1に対しては仮IPアドレスを発行しないことで、未登録のMACアドレスの端末1からのアクセスを不可にし、不正アクセスを防止する。
【0021】
(ステップS5)は、ステップS3で仮IPアドレスの発行を受けた端末1のエージェント11がパケットに仮IPアドレス、MACアドレス、および端末1のクライアント情報12を設定して当該パケットを専用装置3に送信し、正IPアドレスの要求を行う。
【0022】
(ステップS6)専用装置1の情報送受信機能は、ステップS5で受信したパケットに設定されているクライアント情報12を保存する。
【0023】
(ステップS7)専用装置1の情報送受信機能36が専用装置1の検疫機能37に検疫依頼する。
【0024】
(ステップS8)専用装置1は、ステップS7で検疫依頼を受けた検疫機能37がステップS6で保存した端末1のクライアント情報12と、セキュリティポリシ情報39に予め格納しておいた当該端末1のクライアント情報(ハードウェア情報、ソフトウェア情報、セキュリティ情報)12とを読み出し、ステップS5で正IPアドレスの要求を行った端末1の接続を許可するか否かを判断する。本実施の一例では、端末1から送られてきたクライアント情報12が、予め格納しておいたセキュリティポリシ情報39中のクライアント情報と一致しすると、真正の端末1からの正IPアドレスの割当要求と判断し、ステップS9に遷移する。
【0025】
(ステップS9)専用装置3は、DHCPサーバ設定ファイル40を編集して正IPアドレスを割り当てる。
【0026】
(ステップS10)専用装置3は、DHCPサーバを再起動して、ステップS9で割り当てた正IPアドレスを有効にする。
【0027】
(ステップS11)専用装置3は、結果(ここでは、正IPアドレスを割り当てた旨の通知)を情報送受信機能36を経由して端末1のエージェント11に通知する。
【0028】
一方、ステップS8において、端末1から送られてきたクライアント情報が専用装置3のセキュリティポリシ情報39のクライアント情報と一致しない場合、専用装置3は、一致しないクライアント情報を送信した端末1からの正IPアドレスの要求と判断し、ステップS12に遷移する。
【0029】
(ステップS12)専用端末3は、警告メッセージ送信要求して警告メッセージを端末1に送信する。これにより、正IPアドレスの発行を拒否された端末1は、正IPアドレスが発行されず、他の端末と通信不可であり、不正アクセスを防止できる。
【0030】
(ステップS13)ステップS11で正IPアドレスを割り当てた旨の連絡を受けた端末1のエージェント11が正IPアドレスの取得要求をDHCPサーバ31に送信する。
【0031】
(ステップS14)ステップS13の取得要求を受信したDHCPサーバ31が当該端末1に正IPアドレスを発行し、通知する。端末1では、発行された正IPアドレスと自身のMACアドレスなどをARPテーブル13に設定するなどし、以降、端末1は、発行された正IPドレスおよび自端末1のMACアドレスを用いて図1で自セグメント内、更に他のセグメント内の他の端末1と自由にパケット通信することが可能となる。
【0032】
以上のように、端末1をあるセグメントに接続すると、当該端末1は自端末1のMACアドレスを通知してDHCPサーバ31に仮IPアドレスの発行要求を行うが、登録されていないときは仮IPアドレスが発行されず、未登録MACアドレスの端末1は通信が不可とされ、不正アクセスを防止できる。次に、MACアドレスが登録されていて仮IPアドレスの発行を受けた端末11がクライアント情報を送信して正IPアドレスの発行要求しても、予め登録したセキュリティポリシ情報39中のクライアント情報と照合して一致しないときは正IPアドレスが発行されず、正しいMACアドレスを持っていても正しいクライアント情報を持っていない端末1には正IPアドレスの発行をしなく、不正アクセスを防止できる。ここで、正しいクライアント情報を持っている端末1は、初めて正IPアドレスの発行を受け、当該正IPアドレス、自端末のMACアドレスを用いて他の端末1と相互に通信することが可能となる。
【0033】
図3は、本発明の応答文例(DHCP.CONFの例)を示す。これは、既述した図2のS8で端末1から送信されてきたクライアント情報12と、予め登録しておいたセキュリティポリシ情報39中のクライアント情報とを比較し、一致したときに合格として、図中の合格とした電文(正IPアドレスなど)を端末1に専用装置3が送信する例を示す。一致しないときに不合格として、図中の不合格とした電文(仮IPアドレスなど)を端末1に専用装置3が送信する例を示す。
【0034】
図4は、本発明の動作説明フローチャート(情報送信)を示す。これは、管理者がセキュリティポリシ情報39、DHCPサーバ設定ファイル40などを変更し、セキュリティを管理するときの様子を示す。
【0035】
図4において、(ステップS21)専用装置3のセキュリティポリシ変更機能は、管理者が端末(管理)を操作したのを受け付けて、セキュリティポリシ情報を変更する。本実施の一例では、ウイルスパターン情報を最新のものに変更(更新)すると共に、セキュリティポリシ情報39中のウィルスパターン情報(バージョン情報)を最新の情報に変更(更新)する。
【0036】
(ステップS22)DHCPサーバ31は、ステップS21でセキュリティポリシ情報が編集されると、必要に応じてDHCPサーバ設定ファイル40の内容を編集する。本実施の一例では、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されると、端末1群に割り当て済の正IPアドレスが無効になるように、DHCPサーバ設定ファイル40を編集する。専用装置3は、DHCPサーバ設定ファイル40を編集した場合には、DHCPサーバ31を再起動し、編集後のDHCPサーバ設定ファイル40を有効にする。
【0037】
(ステップS23)専用装置3は、専用装置3の情報送受信機能36に、端末1に対して、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信するように指示を行う。
【0038】
(ステップS24)専用装置3の情報送受信機能36は、端末1に、専用装置3のセキュリティポリシ情報のウイルスパターン情報が変更されたこと、正IPアドレスが変更されたことを示す情報を送信する。
【0039】
端末1は、ステップS24の通知を受けて、ウイルスパターンを専用端末3のセキュリティポリシ情報が持つウイルスパターンの情報にバージョンアップを行うことでクライアント情報12のウイルスパターン情報を更新して、先述のステップS5以下の処理を行うことにより正IPアドレスの要求を行い、専用装置3に正IPアドレスの発行をさせる。
【0040】
以上によって、管理者が随時、ウイルスパータン情報(バージョン情報)などを更新して各端末1のクライアント情報12中の該等情報を最新に更新することにより、既述した図2のS8のチェック時に、端末1から送信されてきたクライアント情報12と、セキュリティポリシ情報39中のクライアント情報と照合して一致したときのみ正IPアドレスを割り当て、一方、一致しないときは正IPアドレスを割り当てない(あるいは既に正IPアドレスを割り当てていたときは仮IPアドレスに変更する)という手順を行うことにより、随時更新した最新のセキュリティポリシ情報をもとに不正アクセスをチェックし、不正アクセスのときは正IPアドレスの割り当てた端末1と言えども仮IPアドレスに変更し、セキュリティを確保することが可能となる。
【0041】
図5は、本発明のクライアント情報例を示す。これは、既述した図2、図4の端末1が保持するクライアント情報12の例を示す。クライアント情報12は、図示の下記の情報を対応づけて登録したものであり、図4で説明したように、管理者が随時、更新、変更可能なものである。
【0042】
・ハードウェア情報:
・BIOS Number
・CPU Nmmber
・ハードディスク Number
・ソフトウェア情報:
・ウイルスパターンバージョン
・OSバッチバージョン
・セキュリテイ情報:
・端末ID
・ログインID
ここで、ハードウェア情報は、端末1のハードウェア情報であって、例えば図示のBIOSの番号、CPUの番号、ハードディスク装置の番号などである。ソフトウェア情報は、端末1にインストールされているソフトウェアの情報であって、ウイルスパターンバージョン、OSのバッチバージョンなどである。セキュリティ情報は、端末のID,ログインIDなどである。
【0043】
以上のように、端末1のハードウェア情報、ソフトウェア情報、セキュリティ情報からなるクライアント情報12を、図4で説明したように、管理者がネットワークを介し随時更新、変更し、よりセキュリティの高いシステムを実現し、不正端末1による不正アクセスを防止することが可能となる。
【0044】
図6は、本発明の動作説明フローチャート(不正チェック)を示す。
図6の(a)は全体フローチャートを示し、図6の(b)は詳細フローチャートを示す。端末1、専用装置3は、図1の端末1、専用装置3である。
【0045】
図6の(a)において、(ステップS31)専用装置3の不正PCチェック機能42が不正PC監視する。本実施の一例では、後述する図6の(b)のステップS41で専用装置3がPingコマンドをブロードキャストアドレスで発行し、ステップS42で専用装置3がARPコマンドでARPテーブル13の一覧を取得する(Macアドレス一覧を取得する)。更に、図6の(b)のステップS43で専用装置3がネットワークに流れるパケットを取得し、ステップS44で専用装置3がパケット解析で送信元のIPアドレスとMACアドレスを取得する。
【0046】
以上によって、セグメント内のネットワークに接続されている端末1群のMACアドレス、更に、ARPテーブル13に登録されている通信相手のIPアドレスとMACアドレス、更に、ネットワークに流れているパケットに設定されている送信元のIPアドレスとMACアドレスを収集してその一覧を作成することが可能となる。
【0047】
(ステップS32)専用装置3は、DHCPサーバ設定ファイル40の内容(通信を許可されたMACアドレス)を読み込む。
【0048】
(ステップS33)専用装置3は、ステップS32で読み込んだMACアドレスは登録されているか判別する(図6の(b)のS45)。これは、ステップS31で収集したMACアドレスが、ステップS32で読み出したDHCPサーバ設定ファイル40にある通信許可された端末1のMACアドレスか判別する。YESの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスと判明したので、終了する。NOの場合には、収集したMACアドレスが通信許可された端末1のMACアドレスでないと判明したので、ステップS34でクライアントPC状態情報を編集(即ち、不許可MACアドレスを登録)し、更に、ファイアウォール定義テーブル43に設定(当該MACアドレスを無効に設定)する。ファイアウォール定義テーブル43中の不正MACアドレスを無効(意味の値に変更)する(図8の(b)参照)ことで、ファイアウォール34で当該端末1からのパケットを阻止し、不正MACアドレスの端末1がファイアウォールを越えて外部のセグメントにパケット送信できないようにする。また、端末1のARPテーブル13に登録されている通信相手の端末1のIPアドレスとMACアドレスの対のうち、不正MACアドレスを無効にし、各端末1から不正MACアドレスの端末1へアクセスできないように設定する(図8の(a)参照)。
【0049】
(ステップS35)専用装置3は、警告メール送信要求をメール送信機能38に行い、メール送信する。これにより、不正MACアドレスの不正端末1がネットワークに接続されている旨をメールで管理者に知らせることが可能となる(図6の(b)のS47)。
【0050】
(ステップS36)専用装置3は、不正端末がネットワークに接続されている旨の警告メッセージを全ての端末1に送信して全ての利用者に知らせる(図6の(b)のS47)。
【0051】
以上によって、セグメント内のネットワークに接続されている端末1のMACアドレスを収集およびネットワークに流れているパケットを監視して送信元のMACアドレスを収集し、これら収集したMACアドレスが通信許可された端末1のMACアドレスか判別し、通信許可されていないMACアドレスが検出されたときに、当該不正MACアドレスについて全端末1および管理者に知らせて注意を促すことが可能となる。更に、ファイアウォール定義テーブル43中の当該不正MACアドレスを無効(意味のないMACアドレスに書き換える)にし、セグメントと他のセグメントとの間に接続したファイアウォール34で当該不正MACアドレスのパケットを阻止し、不正MACアドレスの端末1がセグメントの外に通信不可とすることが可能となる。また、専用装置3が全端末1のARPテーブル13中のIPアドレスとMACアドレスのうちの不正MACアドレスを無効に自動的に書き換えることにより、当該端末1から不正端末1に通信不可にすることが可能となる。尚、各端末1のARPテーブル13は所定時間毎にクリアされるので、その毎あるいはそれよりも短い時間毎に、専用装置3が全端末1のARPテーブル13中の不正MACアドレスを見つけたときに無効に書き換える。
【0052】
図7は、本発明のテーブル例を示す。
図7の(a)は、ARPテーブルの例を示す。ARPテーブル13は、各端末1が持つものであって、図示の下記の情報を対応づけて登録したものである。
【0053】
・IPアドレス:
・MACアドレス:
・Type:
ここで、IPアドレスはセグメント内で一意に割り当てられたアドレスである。MACアドレスは端末1が持つ固有の一意のID(アドレス)である。TypeはIPアドレス,MACアドレスのタイプを表す(ここでは、動的に書換可能なタイプを表す)。ここで、上段のMACアドレスは、00−00−00−00−00−00は無効に設定した例を示す。尚、ARPテーブル13には、通信相手の端末1のIPアドレス、MACアドレスMの対を登録する。
【0054】
図7の(b)は、ファイアウォール定義テーブルの例を示す。ファイアフォール定義テーブル35は、ファイアフォール34が保持するテーブルであって、当該ファイルフォール34を通過あるいは阻止するための情報を設定するものであり、本発明では不正MACアドレスについて無効に設定し、パケットの通過を阻止し、セグメント内の不正端末1からセグメント外のネットワークへの送信(アクセス)を不可にするものである。
【0055】
(付記1)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と、
を有すること特徴とする不正アクセス防止装置。
【0056】
(付記2)
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と、
を併せて有することを特徴とする付記1記載の不正アクセス防止装置。
【0057】
(付記3)
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【0058】
(付記4)
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【0059】
(付記5)
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。
【0060】
(付記6)
あるセグメントと他のセグメントとの間に接続したファイアウォールで不正アクセスを防止する不正アクセス防止プログラムにおいて、
コンピュータを、
あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスを検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
して動作させるための不正アクセス防止プログラム。
【産業上の利用可能性】
【0061】
本発明は、端末に仮IPアドレスを付与してセキュリティ情報のチェックがOKのときに正IPアドレスを付与して不正アクセスを防止すると共に、不正アクセスを監視して見つけたときに不正端末のMACアドレスを無効にすると共にファイアウォールが持つ定義テーブルの当該不正端末のMACアドレスを無効にして他のセグメントへのアクセスを不可にし、不正端末のセグメント内のアクセスおよびセグメント外へのアクセスを不可にして不正アクセスを完全に防止する不正アクセス防止装置および不正アクセス防止プログラムに関するものである。
【図面の簡単な説明】
【0062】
【図1】本発明のシステム構成図である。
【図2】本発明の動作説明フローチャートである。
【図3】本発明の応答文例である。
【図4】本発明の動作説明フローチャート(情報送信)である。
【図5】本発明のクライアント情報例である。
【図6】本発明の動作説明フローチャート(不正チェック)である。
【図7】本発明のテーブル例である。
【符号の説明】
【0063】
1:端末
11:エージェント
12:クライアント情報
13:ARPテーブル
2:スイッチ
3:専用装置
31:DHCPサーバ
34:ファイアウォール
35:検疫マネージャ
36:情報送受信機能
37:検疫機能
38:メール送信機能
39:セキュリティポリシ情報
40:DHCPサーバ設定ファイル
41:セキュリティポリシ変更機能
42:不正PCチェック機能
【特許請求の範囲】
【請求項1】
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と
を有すること特徴とする不正アクセス防止装置。
【請求項2】
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と
を併せて有することを特徴とする請求項1記載の不正アクセス防止装置。
【請求項3】
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【請求項4】
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【請求項5】
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。
【請求項1】
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してアクセスを許可するかどうかを判断するアクセス判断手段と、
前記アクセス判断手段がアクセスを許可すると判断すると本IPアドレスを割り当てるIP割当手段と、
前記IP割当手段が割り当てた本IPアドレスを要求元の端末に返信する返信手段と
を有すること特徴とする不正アクセス防止装置。
【請求項2】
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する収集手段と、当該IPアドレスおよびMACアドレスから不正アクセスを検出したときに、前記各端末が有する通信先の不正端末のIPアドレスおよびMACアドレスの対のうち当該MACアドレスを無効に書き換える書換え手段と
を併せて有することを特徴とする請求項1記載の不正アクセス防止装置。
【請求項3】
不正アクセスを防止する不正アクセス防止装置において、
あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【請求項4】
不正アクセスを防止する不正アクセス防止装置において、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信し、当該本IPアドレスと当該端末のMACアドレスを設定して他の端末と通信可とする手段と
をあるセグメントと他のセグメントとの間に設けると共に、
前記あるセグメントと他のセグメントとの間にファイアウォールを設け、
前記あるセグメント内の端末のアクセスを監視してIPアドレスおよびMACアドレスを収集する手段と、
前記収集したIPアドレスおよびMACアドレスから不正アクセスの端末を検出する手段と、
前記不正アクセスの端末が検出されたときに、前記ファイアウォールが持つ、前記他のセグメントの端末と通信可のMACアドレスを定義する定義テーブル中の不正端末のMACアドレスを無効に設定する手段と
を備えたことを特徴とする不正アクセス防止装置。
【請求項5】
不正アクセスを防止する不正アクセス防止プログラムにおいて、
あるセグメントと他のセグメントとの間に接続した装置内に設けたコンピュータを、
端末から当該端末の仮IPアドレスおよびMACアドレスを設定した、セキュリティ情報を付加した本IPアドレスの要求の通信が受信されたときに、保持するセキュリティ情報と照合してチェックする手段と、
前記照合の結果、OKと判明したときに本IPアドレスを割り当てる手段と、
前記割り当てた本IPアドレスを要求元の端末に前記仮IPアドレスおよびMACアドレスを設定して返信する手段と
して動作させるための不正アクセス防止プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−174406(P2007−174406A)
【公開日】平成19年7月5日(2007.7.5)
【国際特許分類】
【出願番号】特願2005−370977(P2005−370977)
【出願日】平成17年12月22日(2005.12.22)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成19年7月5日(2007.7.5)
【国際特許分類】
【出願日】平成17年12月22日(2005.12.22)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]