特許第6134954号(P6134954)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社PFU

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社PFUの特許一覧

特許6134954ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム
<>
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000002
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000003
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000004
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000005
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000006
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000007
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000008
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000009
  • 特許6134954-ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6134954
(24)【登録日】2017年5月12日
(45)【発行日】2017年5月31日
(54)【発明の名称】ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム
(51)【国際特許分類】
   H04L 12/28 20060101AFI20170522BHJP
   H04L 12/70 20130101ALI20170522BHJP
【FI】
   H04L12/28 200M
   H04L12/28 200A
   H04L12/70 100Z
【請求項の数】8
【全頁数】15
(21)【出願番号】特願2016-5032(P2016-5032)
(22)【出願日】2016年1月14日
【審査請求日】2016年1月27日
(73)【特許権者】
【識別番号】000136136
【氏名又は名称】株式会社PFU
(74)【代理人】
【識別番号】100137394
【弁理士】
【氏名又は名称】横井 敏弘
(72)【発明者】
【氏名】岸田 慎也
(72)【発明者】
【氏名】角谷 夏樹
(72)【発明者】
【氏名】中園 暢
【審査官】 宮島 郁美
(56)【参考文献】
【文献】 特開2013−145956(JP,A)
【文献】 特開2001−211180(JP,A)
【文献】 特開2005−79706(JP,A)
【文献】 特開2007−274086(JP,A)
【文献】 特開2005−198090(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00−12/955
(57)【特許請求の範囲】
【請求項1】
通信を遮断すべき端末を特定する対象特定部と、
DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得部と、
前記DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知部と、
前記対象特定部により特定された端末のDHCP要求情報が前記要求取得部により取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、前記DHCPサーバに送信するアドレス解放部と
を有するネットワークセキュリティ装置。
【請求項2】
前記不可通知部は、前記対象特定部により特定された端末に対して、前記DHCP要求情報により要求されたIPアドレスが使用中である旨を通知する
請求項1に記載のネットワークセキュリティ装置。
【請求項3】
前記アドレス解放部は、前記不可通知部により通知された端末がDHCPデクライン情報を送出する前に、DHCPリリース情報を送信する
請求項1に記載のネットワークセキュリティ装置。
【請求項4】
前記アドレス解放部は、前記要求取得部により取得されたDHCP要求情報と同じ識別情報を用いて、DHCPリリース情報を送信する
請求項1に記載のネットワークセキュリティ装置。
【請求項5】
前記DHCP要求情報に対する応答情報であるDHCP応答情報を取得するDHCP応答取得部
をさらに有し、
前記アドレス解放部は、前記DHCP要求情報及びこれに対するDHCP応答情報が取得されたことを条件として、これらの情報に基づいてDHCPリリース情報を生成し、生成されたDHCPリリース情報を送信する
請求項4に記載されたネットワークセキュリティ装置。
【請求項6】
前記アドレス解放部は、前記DHCP要求情報が取得された後、既定期間内に、これに対するDHCP応答情報が取得されていない場合、当該DHCP要求情報と、予め用意された情報とに基づいて、DHCPリリース情報を生成し、生成されたDHCPリリース情報を送信する
請求項5に記載のネットワークセキュリティ装置。
【請求項7】
通信を遮断すべき端末を特定する対象特定ステップと、
DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得ステップと、
前記DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知ステップと、
前記対象特定ステップにおいて特定された端末のDHCP要求情報が、前記要求取得ステップにおいて取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、前記DHCPサーバに送信するアドレス解放ステップと
を有するネットワーク管理方法。
【請求項8】
通信を遮断すべき端末を特定する対象特定ステップと、
DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得ステップと、
前記DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知ステップと、
前記対象特定ステップにおいて特定された端末のDHCP要求情報が、前記要求取得ステップにおいて取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、前記DHCPサーバに送信するアドレス解放ステップと
をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラムに関する。
【背景技術】
【0002】
例えば、特許文献1には、許可端末に相当しないと判断された場合にフレームを送信した端末を特定するアドレスがネットワークで用いられていることを示すフレームをネットワークに流すネットワーク監視方法が開示されている。
【0003】
また、特許文献2には、DHCPを使用して加入者端末に動的にIPアドレス割当を行うケーブルモデム装置に関し、割り当てられたIPアドレス以外のIPアドレスを加入者端末が不正に使用することを防止するケーブルモデム装置が開示されている。
【0004】
また、特許文献3には、ユーザアドレス管理テーブルのエントリ数が、サブI/F毎に配布IPアドレス数を超えると、登録されている古い配布IPアドレスが削除され、削除されたIPアドレスを使用したバックボーンネットワークへのアクセスを拒否して、不正アクセスを防ぐネットワークアドレス管理方法が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−260615
【特許文献2】特開2002−158701
【特許文献3】特開2004−104355
【発明の概要】
【発明が解決しようとする課題】
【0006】
通信遮断に伴うネットワークアドレスの枯渇を防止するネットワーク管理方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明に係るネットワークセキュリティ装置は、通信を遮断すべき端末を特定する対象特定部と、DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得部と、前記DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知部と、前記対象特定部により特定された端末のDHCP要求情報が前記要求取得部により取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、前記DHCPサーバに送信するアドレス解放部とを有する。
【0008】
好適には、前記不可通知部は、前記対象特定部により特定された端末に対して、前記DHCP要求情報により要求されたIPアドレスが使用中である旨を通知する。
【0009】
好適には、前記アドレス解放部は、前記不可通知部により通知された端末がDHCPデクライン情報を送出する前に、DHCPリリース情報を送信する。
【0010】
好適には、前記アドレス解放部は、前記要求取得部により取得されたDHCP要求情報と同じ識別情報を用いて、DHCPリリース情報を送信する。
【0011】
好適には、前記DHCP要求情報に対する応答情報であるDHCP応答情報を取得するDHCP応答取得部をさらに有し、前記アドレス解放部は、前記DHCP要求情報及びこれに対するDHCP応答情報が取得されたことを条件として、これらの情報に基づいてDHCPリリース情報を生成し、生成されたDHCPリリース情報を送信する。
【0012】
好適には、前記アドレス解放部は、前記DHCP要求情報が取得された後、既定期間内に、これに対するDHCP応答情報が取得されていない場合、当該DHCP要求情報と、予め用意された情報とに基づいて、DHCPリリース情報を生成し、生成されたDHCPリリース情報を送信する。
【0013】
本発明に係るネットワーク管理方法は、通信を遮断すべき端末を特定する対象特定ステップと、DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得ステップと、前記DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知ステップと、前記対象特定ステップにおいて特定された端末のDHCP要求情報が、前記要求取得ステップにおいて取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、前記DHCPサーバに送信するアドレス解放ステップとを有する。
【0014】
本発明に係るプログラムは、通信を遮断すべき端末を特定する対象特定ステップと、DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得ステップと、前記DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知ステップと、前記対象特定ステップにおいて特定された端末のDHCP要求情報が、前記要求取得ステップにおいて取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、前記DHCPサーバに送信するアドレス解放ステップとをコンピュータに実行させる。
【発明の効果】
【0015】
通信遮断に伴うネットワークアドレスの枯渇を防止できる。
【図面の簡単な説明】
【0016】
図1】情報処理システム1のハードウェア構成を例示する図である。
図2】セキュリティ装置2のハードウェア構成を例示する図である。
図3】セキュリティ装置2の機能構成を例示する図である。
図4】(A)は、通信規則DB600に登録される情報を例示し、(B)は、解析結果DB610に登録される情報を例示する図である。
図5】DHCP応答情報を取得できた場合の通信遮断処理(S10)のシーケンス図である。
図6】DHCP応答情報を取得できなかった場合の通信遮断処理(S20)のシーケンス図である。
図7】セキュリティ装置2によるDHCP REQUESTパケット解析処理(S30)のフローチャートである。
図8】セキュリティ装置2によるDHCP ACKパケット解析処理(S40)のフローチャートである。
図9】セキュリティ装置2によるIP重複通知処理(S50)のフローチャートである。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態を、図面を参照して説明する。
図1は、情報処理システム1のハードウェア構成を例示する図である。
図1に例示するように、情報処理システム1は、セキュリティ装置2と、DHCPサーバ8と、クライアント端末9とを含み、これらはネットワーク3を介して互いに接続している。
セキュリティ装置2は、ネットワーク3で送受信されるデータを監視し、所定の通信を遮断するコンピュータである。セキュリティ装置2は、本発明に係るネットワークセキュリティ装置の一例である。
本例では、ネットワーク3がIPv4のIPアドレスで通信が行われるLAN(Local Area Network)であり、セキュリティ装置2は、LAN内で送受信されるパケットを監視し、遮断対象となるクライアント端末9Aの通信をIPアドレスの衝突により遮断する。
【0018】
DHCPサーバ8は、クライアント端末9に対して、動的にIPアドレスを割り当てるサーバ装置である。本例のDHCPサーバ8は、クライアント端末9からの要求に応じて、IPv4のIPアドレスを割り当てる。
クライアント端末9は、ネットワーク3に接続されたコンピュータであり、セキュリティ装置2の監視下にある。本例のクライアント端末9は、DHCPサーバ8により割り当てられたIPアドレスを用いて、通信を行う。
【0019】
ここで、IPアドレスの衝突による通信遮断が必要となった背景を説明する。
近年、ARPテーブルを書き換えることにより通信を誘導・遮断することは、いわゆる「ARPスプーフィング」と呼ばれ、通信盗聴のための手法としても用いられることから、ARPスプーフィング対策を行うソフトウェアが出現し、クライアント端末にインストールされるようになってきた。
そういったソフトウェアの動作の一例としては、クライアント端末のARPテーブルが書き換えられるようなARPリプライパケットを検知すると、ARPリクエストパケットを受けたクライアント端末自身から再度ARPリクエストパケットを送信することで、クライアント端末のARPテーブルの書き換えを防止する、というものである。また、クライアント端末の通信先の端末のARPテーブルに対しても同様に、ARPテーブルの書き換えを防止する場合もある。
一方で、セキュリティ装置(比較例)は、ARPテーブル書き換えを行うことでクライアント端末の通信をセキュリティ装置へと誘導し遮断しているため、ARPテーブルの書き換えを防ぐようなソフトウェアが導入されたクライアント端末に対しては通信の誘導や遮断できなかった。
そこで、本例のセキュリティ装置2は、これまでのARPテーブルを書き換えるような手法から、IPアドレスの衝突を利用し、クライアント端末9へのIPアドレス割り当て自体を妨害することで、通信を遮断する手法に変更することとなった。
【0020】
図2は、セキュリティ装置2のハードウェア構成を例示する図である。
図2に例示するように、セキュリティ装置2は、CPU200、メモリ202、HDD204、及び、ネットワークインタフェース206(ネットワークIF206)を有し、これらの構成はバス212を介して互いに接続している。
CPU200は、例えば、中央演算装置である。
メモリ202は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD204は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラムやその他のデータファイルを格納する。
ネットワークIF206は、有線又は無線で通信するためのインタフェースであり、ネットワーク3を介した通信を実現する。
【0021】
図3は、セキュリティ装置2の機能構成を例示する図である。
図3に例示するように、本例のセキュリティ装置2には、セキュリティプログラム5がインストールされると共に、通信規則データベース600(通信規則DB600)及び解析結果データベース610(解析結果DB610)が構成される。
セキュリティプログラム5は、遮断対象特定部500、リスト作成部510、要求パケット取得部520、要求パケット解析部530、ACKパケット取得部540、ACKパケット解析部550、不可通知部560、及びアドレス解放部570を有する。
なお、セキュリティプログラム5の一部又は全部は、ASICなどのハードウェアにより実現されてもよい。
【0022】
セキュリティプログラム5において、遮断対象特定部500は、通信を遮断すべき端末を特定する。例えば、遮断対象特定部500は、ネットワーク3で送受信されるデータを監視し、既定の条件に合致するクライアント端末を遮断対象として特定する。本例の遮断対象特定部500は、管理者により通信規則DB600に登録されたMACアドレス(Media Access Control address)、有効期間、及びOS(Operating System)種別に基づいて、遮断対象のクライアント端末9Aを特定する。
【0023】
リスト作成部510は、ネットワーク3に接続しているクライアント端末9に関して、IPアドレス衝突発生処理(後述)又はIPアドレス解放処理に用いる情報を収集する。本例のリスト作成部510は、ネットワーク3に接続しているクライアント端末9それぞれに対してARP要求を行い、各クライアント端末9のMACアドレスを収集する。
【0024】
要求パケット取得部520は、DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する。本例の要求パケット取得部520は、ネットワーク3上で送受信されるパケットを監視して、DHCP REQUESTパケット(DHCPリクエストパケット)を取得する。
【0025】
要求パケット解析部530は、要求パケット取得部520により取得されたDHCP要求情報を解析し、解析結果を解析結果DB610に登録する。本例の要求パケット解析部530は、DHCP REQUESTパケットが遮断対象のクライアント端末9Aから送信されたものである場合に、このDHCP REQUESTパケットに含まれるトランザクションID(Transaction ID)、クライアント端末のMACアドレス(送信元のMACアドレス)、クライアント端末が使用することを希望するIPアドレス、及び、DHCPサーバのIPアドレスを解析結果DB610に登録し、これ以外の場合に、DHCP REQUESTパケットを破棄する。
【0026】
ACKパケット取得部540は、DHCP要求情報に対する応答情報であるDHCP応答情報を取得する。例えば、ACKパケット取得部540は、DHCP REQUESTパケットに対してDHCPサーバ8から返信されるDHCP ACKパケットを取得する。ACKパケット取得部540は、DHCP REQUESTパケットに対してDHCPサーバ8から返信されるDHCP ACKパケットを取得する。
【0027】
ACKパケット解析部550は、ACKパケット取得部540により取得されたDHCP応答情報を解析し、解析結果を解析結果DB610に登録する。例えば、ACKパケット解析部550は、遮断対象のクライアント端末9Aに対するDHCP ACKパケットがACKパケット取得部540により取得された場合に、このDHCP ACKパケットに含まれるDHCPサーバのMACアドレス及びIPアドレスを解析結果DB610に登録し、これ以外の場合に、取得されたDHCP ACKパケットを破棄する。本例のACKパケット解析部550は、トランザクションIDに基づいて、遮断対象のクライアント端末9Aから送信されたDHCP REQUESTパケット(すなわち、解析結果DB610に登録されているDHCP REQUESTパケット)に対応するDHCP ACKパケットを特定する。
【0028】
不可通知部560は、DHCP要求情報により要求されたIPアドレスが使用不可能であることを、遮断対象特定部500により遮断対象であると特定されたクライアント端末9Aに対して通知する。より具体的には、不可通知部560は、DHCP要求情報により要求されたIPアドレスが使用中である旨を遮断対象のクライアント端末9Aに通知して、要求されたIPアドレスが使用不可能であることを認識させる。
【0029】
本例の不可通知部560は、ARP解析部562及びARP返信部564を含む。
ARP解析部562は、ネットワーク3で送出されるARPリクエストパケットを解析し、遮断対象特定部500により遮断対象であると特定されたクライアント端末9AからのARPリクエストパケットである場合に、ARP返信部564に対して、IPアドレスが使用中である旨を示す返信を行うよう指示し、これ以外の場合に、ARPリクエストパケットを破棄する。
ARP返信部564は、ARP解析部562による解析結果に応じて、ARPリクエストパケットに対する返信情報として、IPアドレスが使用中である旨を示すARPリプライパケットをネットワーク3に送出する。
【0030】
アドレス解放部570は、遮断対象特定部500により特定された遮断対象のクライアント端末9Aから送出されたDHCP要求情報が要求パケット取得部520により取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCP RELEASE(DHCPリリース)情報を、DHCPサーバ8に送信する。より具体的には、アドレス解放部570は、不可通知部560によりIPアドレスが使用中である旨を通知された遮断対象のクライアント端末9AがDHCP DECLINE(DHCPデクライン)情報を送出する前に、DHCP RELEASE情報をDHCPサーバ8に送信する。
【0031】
DHCP RELEASE情報は、解析結果DB610に登録されている情報を用いて、遮断対象のクライアント端末9Aから送信されたようなDHCP RELEASEパケット(DHCPリリースパケット)としてアドレス解放部570により作成される。すなわち、アドレス解放部570は、要求パケット取得部520により取得された遮断対象のクライアント端末9AのDHCP要求情報と同じ識別情報(トランザクションID、クライアント端末のMACアドレス、クライアント端末が使用することを希望するIPアドレス、及び、DHCPサーバのIPアドレス)を用いて、DHCP RELEASEパケットを作成する。
アドレス解放部570は、DHCP RELEASEパケットを作成する際に、ACKパケット取得部540により取得された遮断対象のクライアント端末9AへのDHCP応答情報と同じ識別情報(DHCPサーバのMACアドレス)を用いるが、DHCP応答情報が取得できなかった場合には、リスト作成部510により収集された情報を用いて、DHCP RELEASEパケットを作成し、DHCP DECLINE情報が送出される前に、作成されたDHCP RELEASEパケットを送信する。
【0032】
図4(A)は、通信規則DB600に登録される情報を例示し、図4(B)は、解析結果DB610に登録される情報を例示する図である。
図4(A)に例示するように、本例の通信規則DB600は、クライアント端末のMACアドレスに関連付けて、通信規則を格納している。通信規則は、例えば、通信不可である旨であってもよいし、有効期限や有効なOSなどの条件であってもよい。
図4(B)に例示するように、本例の解析結果DB610は、遮断対象のクライアント端末に関して、DHCP REQUESTパケットから抽出した「トランザクションID」、「クライアント端末のMACアドレス」、「使用を希望しているIPアドレス」、及び「DHCPサーバのIPアドレス」と、DHCP ACKパケットから抽出した「DHCPサーバのMACアドレス」及び「DHCPサーバのIPアドレス」とを格納する。
【0033】
図5は、DHCP応答情報を取得できた場合の通信遮断処理(S10)のシーケンス図である。
図5に示すように、ステップ100(S100)において、遮断対象のクライアント端末9Aが、DHCPによりIPアドレス割り当てを要求する場合は、DHCPサーバ8に対してDHCP DISCOVERパケットを送信する。
ステップ102(S102)において、DHCPサーバ8は、DHCP DISCOVERパケットに対して、ネットワーク3上で利用可能なIPアドレス情報を含むDHCP OFFERパケットを送信する。
ステップ104(S104)において、DHCP OFFERパケットを受け取ったクライアント端末9Aは、DHCP OFFERパケットに含まれているネットワーク3上で利用可能なIPアドレスを使用することを依頼するためのDHCP REQUESTパケットを、DHCPサーバ8に対して送信する。
【0034】
ステップ106(S106)において、セキュリティ装置2は、ネットワーク3を監視しており、クライアント端末9AがDHCPサーバ8に対して送信したDHCP REQUESTパケットを取得する。
ステップ108(S108)において、DHCP REQUESTパケットを受け取ったDHCPサーバ8は、DHCP ACKパケットをクライアント端末9Aに送信する。
ステップ110(S110)において、セキュリティ装置2は、DHCPサーバ8からクライアント端末9Aに送信されたDHCP ACKパケットを取得する。セキュリティ装置2は、取得されたDHCP REQUESTパケット及びDHCP ACKパケットを解析することにより、クライアント端末9Aが取得しようとしたIPアドレスがDHCPサーバ8から割り当てられたものであると判定する。
【0035】
ステップ112(S112)において、セキュリティ装置2は、取得された遮断対象のDHCP REQUESTパケット及びDHCP ACKパケットに含まれる、ネットワーク3上で利用可能なIPアドレス情報等に基づいて、DHCPサーバ8に対して、DHCPサーバ8が遮断対象に割り当てたIPアドレスの解放を依頼するためのDHCP RELEASEパケットを、クライアント端末9AがDHCP DECLINEパケットを送信するよりも前に送信する。
これにより、DHCPサーバ8で割り当て可能なIPアドレスの枯渇が防止される。
【0036】
ステップ114(S114)において、クライアント端末9Aは、DHCP REQUESTで使用を依頼したIPアドレスが、ネットワーク3上ですでに利用されているかを確認するために、ARPリクエストパケットを送信する。
ステップ116(S116)において、ARPリクエストパケットを受け取ったセキュリティ装置2は、遮断対象のクライアント端末9Aが利用しようとしているIPアドレスがネットワーク3上で既に利用されていることを示すARPリプライパケットを送信する。クライアント端末9Aは、このARPリプライパケットを受信すると、DHCPサーバ8から割り当てられたIPアドレスはすでにネットワーク上で使用されており、IPアドレス衝突が発生したものとして扱うため、クライアント端末9Aの通信が遮断される。
【0037】
ステップ118(S118)において、クライアント端末9Aは、IPアドレスが使用中である旨のARPリプライパケットを受信すると、DHCPサーバ8に対して、割り当てられたIPアドレスについてDHCP DECLINEパケットを送信する。その後、遮断対象のクライアント端末9Aは、DHCP DISCOVER(DHCPディスカバー)(S100)に戻り、上記処理を繰り返すことになる。
なお、DHCP DECLINEパケットよりも前に、セキュリティ装置2がDHCP RELEASEパケットを送信する理由は、DHCPサーバの中には、DHCP DECLINEパケットをDHCP RELEASEパケットよりも先に受信した場合、割り当てようとしたIPアドレスはネットワーク上で利用できないものとして判断したまま、その後DHCP RELEASEパケットを受け取ったとしても、割り当てようとしたIPアドレスを別のクライアント端末に割り当てることがなくなってしまうものも存在するためである。
【0038】
図6は、DHCP応答情報を取得できなかった場合の通信遮断処理(S20)のシーケンス図である。
ネットワーク3上のトラフィック量が非常に多いことなどを理由に、DHCP ACKパケットをセキュリティ装置2が受信できなかった場合には、図6に示すように、ARPリプライパケット送信処理(S216)の後に、セキュリティ装置2は、不足する情報を予め用意された情報で補って、DHCP RELEASEパケットを作成し(S218)、作成されたDHCP RELEASEパケットをDHCPサーバ8に対して送信する(S220)。これにより、割り当てようとしたIPアドレスの解放を行う。
DHCP RELEASEパケットを受け取ったDHCPサーバ8は、DHCP ACKパケットによりクライアント端末9Aに割り当てたIPアドレスの使用が終了したと判断し、割り当てたIPアドレスを解放する。
【0039】
図7は、セキュリティ装置2によるDHCP REQUESTパケット解析処理(S30)のフローチャートである。クライアント端末9がネットワーク3に接続されると、DHCPサーバ8及びセキュリティ装置2を含むネットワーク3上の機器に対して、ネットワーク上で利用可能なIPアドレスの割り当てを目的として、DHCP REQUESTパケットを送信する。
ステップ300(S300)において、セキュリティ装置2の要求パケット取得部520は、クライアント端末9が送信するDHCP REQUESTパケットを取得し、取得したパDHCP REQUESTパケットを要求パケット解析部530に渡す。
要求パケット解析部530は、要求パケット取得部520により取得されたDHCP REQUESTパケットを解析する。
【0040】
ステップ310(S310)において、遮断対象特定部500は、要求パケット解析部530による解析結果と、通信規則DB600に登録されている通信規則とに基づいて、遮断対象のクライアント端末9が送信したパケットであるか否かを判断する。通信規則は、例えば、遮断対象のMACアドレスであってもよいし、MACアドレス、有効期限及び有効OSなどが含まれた遮断条件であってもよい。
セキュリティ装置2は、遮断対象特定部500により遮断対象であると判定された場合に、S320の処理に移行し、遮断対象ではないと判定された場合に、処理(S30)を終了する。
【0041】
ステップ320(S320)において、要求パケット解析部530は、DHCP REQUESTパケットの解析結果を解析結果DB610に登録する。すなわち、要求パケット解析部530は、遮断対象の解析結果のみを解析結果DB610に登録する。より具体的には、要求パケット解析部530は、解析結果として、DHCP REQUESTパケットに含まれる、トランザクションID、クライアント端末(遮断対象)のMACアドレス、クライアント端末が使用することを希望するIPアドレス、及び、DHCPサーバのIPアドレスを解析結果DB610に登録する。
【0042】
図8は、セキュリティ装置2によるDHCP ACKパケット解析処理(S40)のフローチャートである。DHCP REQUESTパケットを受け取ったDHCPサーバ8は、クライアント端末9及びセキュリティ装置2を含むネットワーク3上の機器に対して、DHCP ACKパケットを送信する。
ステップ400(S400)において、セキュリティ装置2のACKパケット取得部540は、DHCPサーバ8が送出したDHCP ACKパケットを取得し、取得したDHCP ACKパケットをACKパケット解析部550に渡す。
ACKパケット解析部550は、ACKパケット取得部540により取得されたパケットを解析する。
【0043】
ステップ410(S410)において、ACKパケット解析部550は、パケットの解析結果と、解析結果DB610に登録されているDHCP要求情報とに基づいて、DHCP REQUESTパケットに対応するDHCP ACKパケットであるか否かを判定する。具体的には、ACKパケット解析部550は、DHCP REQUESTパケットを解析した結果得たトランザクションID(すなわち、解析結果DB610に登録されているトランザクションID)と、DHCP ACKパケットに含まれるトランザクションIDとを比較して、DHCP REQUESTパケットに対応するDHCP ACKパケットであるか否か(すなわち、遮断対象に向けたDHCP応答情報であるか否か)を判定する。
セキュリティ装置2は、ACKパケット解析部550によりDHCP REQUESTパケットに対応するDHCP ACKパケットであると判定された場合に、S420の処理に移行し、ACKパケット解析部550によりDHCP REQUESTパケットに対応するDHCP ACKパケットではないと判定された場合(すなわち、遮断対象に向けたDHCP応答情報ではない場合)に、処理(S40)を終了する。
【0044】
ステップ420(S420)において、ACKパケット解析部550は、解析結果を解析結果DB610に登録する。より具体的には、ACKパケット解析部550は、解析結果として、DHCP ACKパケットに含まれる、DHCPサーバのMACアドレス及びIPアドレスを解析結果DB610に登録する。
ステップ430(S430)において、アドレス解放部570は、要求パケット解析部530による解析結果と、ACKパケット解析部550による解析結果とに基づいて、DHCP RELEASEパケットを作成し、作成されたDHCP RELEASEパケットをDHCPサーバ8に送信する。DHCP RELEASEパケットは、遮断対象のクライアント端末9に割り当てられたIPアドレスを解放するための情報であり、解析結果である、トランザクションID、クライアント端末(遮断対象)のMACアドレス、クライアント端末(遮断対象)が使用することを希望するIPアドレス、DHCPサーバのIPアドレス、及び、DHCPサーバのMACアドレスを含む。
アドレス解放部570は、遮断対象についてDHCP REQUESTパケット及びDHCP ACKパケットが取得され解析されたことを条件として、不可通知部560による通知タイミングとは無関係に、DHCP RELEASEパケットをDHCPサーバ8に送信する。
【0045】
図9は、セキュリティ装置2によるIP重複通知処理(S50)のフローチャートである。DHCP ACKパケットを受け取ったクライアント端末9は、DHCPサーバ8から割り当てられたIPアドレスが、すでにネットワーク3上で利用されているか否かを確認するために、セキュリティ装置2を含むネットワーク3上の機器に対して、ARPリクエストパケットを送信する。
ステップ500(S500)において、セキュリティ装置2のARP解析部562は、クライアント端末9から受信したARPリクエストパケットを解析する。
【0046】
ステップ510(S510)において、ARP解析部562は、ARPリクエストパケットの解析結果と、通信規則DB600に登録されている通信規則とに基づいて、遮断対象のクライアント端末によるARPリクエストパケットであるか否かを判定する。
セキュリティ装置2は、遮断対象のクライアント端末9によるARPリクエストパケットであるとARP解析部562により判定された場合に、S520の処理に移行し、遮断対象のクライアント端末9によるARPリクエストパケットではないとARP解析部562により判定された場合に、処理(S50)を終了する。
【0047】
ステップ520(S520)において、ARP返信部564は、ARP解析部562の解析結果に基づいて、IPアドレスが使用中である旨を示すARPリプライパケットを作成し、作成されたARPリプライパケットをネットワーク3に送出する。
【0048】
ステップ530(S530)において、アドレス解放部570は、遮断対象のクライアント端末9に関して、既にDHCP REQUESTパケットをこのクライアント端末9から受信している、かつ、DHCP REQUESTパケットに対応するDHCP ACKパケット(すなわち、トランザクションIDによって紐づくDHCP ACKパケット)をDHCPサーバ8から受信していない場合に、S540の処理に移行し、これ以外の場合に、処理(S50)を終了する。
【0049】
ステップ540(S540)において、アドレス解放部570は、DHCP RELEASEパケットを作成し、DHCPサーバ8に送信する。すなわち、遮断対象のクライアント端末9によるDHCP REQUESTパケットが取得されたが、この取得タイミングから既定の期間内に、このDHCP REQUESTパケットに対応するDHCP ACKパケットをセキュリティ装置2が受信できなかった場合に、アドレス解放部570は、DCHP REQUESTパケットに含まれる情報と、リスト作成部510により予め収集された情報とに基づいて、DHCP RELEASEパケットを作成し、作成されたDHCP RELEASEパケットをDHCPサーバ8に対して送信する。
【0050】
以上説明したように、本実施形態のセキュリティ装置2は、ネットワーク3で送受信されるパケットを監視し、遮断対象のクライアント端末9が送信する、端末が使用を希望するIPアドレスを取得するためのARP(Address Resolution Protocol)リクエストパケットを解析し、ARPリクエストパケットに対して、使用を希望するIPアドレスがネットワーク3において既に使用されているということを示すARPリプライパケットを送信する。これにより、遮断対象のクライアント端末9に割り当てられるIPアドレスがネットワーク上で重複しているようにみえ、遮断対象のクライアント端末は、セキュリティ装置2によって通信が遮断されているということに端末操作者が気付かない。
また、セキュリティ装置2は、遮断対象のクライアント端末9がIPアドレスの重複を検知した際に送信するDHCP DECLINEパケットよりも前に、DHCPサーバ8に対してDHCP RELEASEパケットを作成し送信することにより、DHCPサーバ8において割り当て可能なIPアドレスの枯渇を防止することができる。
【符号の説明】
【0051】
1…情報処理システム
2…セキュリティ装置
5…セキュリティプログラム
500…遮断対象特定部
510…リスト作成部
520…要求パケット取得部
530…要求パケット解析部
540…ACKパケット取得部
550…ACKパケット解析部
560…不可通知部
562…ARP解析部
564…ARP返信部
570…アドレス解放部
600…通信規則データベース
610…解析結果データベース
【要約】
【課題】 通信遮断に伴うネットワークアドレスの枯渇を防止するネットワーク管理方法を提供する。
【解決手段】 ネットワーク管理方法は、通信を遮断すべき端末を特定する対象特定ステップと、DHCPサーバに対してIPアドレスの割り当てを要求するDHCP要求情報を取得する要求取得ステップと、DHCP要求情報により要求されたIPアドレスが使用不可能であることを通知する不可通知ステップと、対象特定ステップにおいて特定された端末のDHCP要求情報が、要求取得ステップにおいて取得されたことを条件として、このDHCP要求情報により要求されたIPアドレスを解放するためのDHCPリリース情報を、DHCPサーバに送信するアドレス解放ステップとを有する。
【選択図】図5
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.