知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-04-08
(45)【発行日】2024-04-16
(54)【発明の名称】端末隔離システム、端末隔離方法および端末隔離プログラム
(51)【国際特許分類】
H04L 12/28 20060101AFI20240409BHJP
H04L 45/42 20220101ALI20240409BHJP
【FI】
H04L12/28 200Z
H04L45/42
【請求項の数】
7
(21)【出願番号】P 2020040177
(22)【出願日】2020-03-09
(65)【公開番号】P2021141551
(43)【公開日】2021-09-16
【審査請求日】2023-02-02
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(74)【代理人】
【識別番号】100098648
【弁理士】
【氏名又は名称】内田 潔人
(72)【発明者】
【氏名】加藤 剛史
【審査官】大石 博見
(56)【参考文献】
【文献】特開2017-091493(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/28
H04L 45/42
(57)【特許請求の範囲】
【請求項1】
少なくとも一の端末が接続されており、プライバシーセパレータ機能を有するアクセスポイントに対し、該アクセスポイントの隣接スイッチを介してネットワークへの接続をコントロールするコントローラを備え、該コントローラは、
一の端末の隔離要求を受信したとき、
隔離要求端末を送信元とし、検疫セグメントを宛先とするパケットのみの転送を許可する第1の通信制御ルールを設定する第1の信号と、
第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを決定する第2の信号と、
を前記隣接スイッチに対し発信する端末隔離要求処理部と、
前記ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を保持するトポロジ情報保持部と、
保持されているトポロジ情報を用いて前記隣接スイッチを決定する隣接スイッチ決定部と、を有すること、
を特徴とする、インターネットからの端末隔離システム。
【請求項2】
前記端末隔離システムは、前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を保持する中継対象インタフェース情報保持部と、
ARPパケットを受信してARP情報を取得するARP情報取得部と、
取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一のインタフェースの配下に位置しているか否かを判断する中継対象判断部と、
判断結果と、保持されている前記ARP情報に基づいて、ARPリプライを送信するARP情報応答部と、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する中継部と、
を有すること、
を特徴とする中継装置、をさらに含む請求項1に記載の端末隔離システム。
【請求項3】
前記アクセスポイントが複数存在し、前記中継装置は、
前記複数のアクセスポイントの内の一のアクセスポイントに接続されており、
接続されているアクセスポイント以外の少なくとも一のアクセスポイントに接続されている端末間の通信を中継すること、
を特徴とする、中継装置を含む請求項2に記載の端末隔離システム。
【請求項4】
少なくとも一の端末が接続されており、プライバシーセパレータ機能を有するアクセスポイントに対し、該アクセスポイントの隣接スイッチを介してネットワークへの接続をコントロールするコントローラを備えた通信システムにおける端末隔離方法であって、該コントローラは、
一の端末の隔離要求を受信したとき、
隔離要求端末を送信元とし、検疫セグメントを宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の信号と、
第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを設定する第2の信号と、
を前記隣接スイッチに対し発信するステップと、
ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を取得するトポロジ情報取得ステップと、
取得されたトポロジ情報を用いて前記隣接スイッチを決定するステップと、を有すること、
を特徴とする、インターネットからの端末隔離方法。
【請求項5】
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を取得するステップと、ARPパケットを受信してARP情報を取得するステップと、
取得したARP情報と、取得されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一のインタフェースの配下に位置しているか否かを判断するステップと、
判断結果と、取得されている前記ARP情報に基づいて、ARPリプライを送信するステップと、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継するステップとをさらに有すること、
を特徴とする請求項4に記載の端末隔離方法。
【請求項6】
少なくとも一の端末が接続されており、プライバシーセパレータ機能を有するアクセスポイントに対し、該アクセスポイントの隣接スイッチを介してネットワークへの接続をコントロールするコントローラを備えた通信システムにおいて実行されるプログラムであって、該コントローラは、
一の端末の隔離要求を受信したとき、
隔離要求端末を送信元とし、検疫セグメントを宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の信号と、
第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを設定する第2の信号と、
を前記隣接スイッチに対し発信する処理と、
ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を取得するトポロジ情報取得処理と、
取得されたトポロジ情報を用いて前記隣接スイッチを決定する処理と、を実行すること、
を特徴とする、インターネットからの端末隔離プログラム。
【請求項7】
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を取得する処理と、ARPパケットを受信してARP情報を取得する処理と、
取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一のインタフェースの配下に位置しているか否かを判断する処理と、
判断結果と、取得されている前記ARP情報に基づいて、ARPリプライを送信する処理と、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する処理とをさらに実行すること、
を特徴とする請求項6に記載の端末隔離プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本システム等は、ネットワーク上で目的となる端末の通信経路を制御することにより、他の機器との間の通信を遮断して隔離する技術および方法等に関する。
【背景技術】
【0002】
ネットワークに参加している端末がコンピュータウィルスに感染したり、マルウェアを実行したりした場合及びその疑いがある場合には、その端末(以下、被疑端末という)が悪意ある通信を行って被害が拡大することを防止するため、ルータやスイッチ等のネットワーク機器により被疑端末の通信を遮断する場合がある。しかしながら被疑端末の通信を完全に遮断してしまうと、ネットワークを使用して被疑端末の感染状況を調査したり、復旧作業をしたりすることが不可能となる。そこで、被疑端末の通信を完全に遮断するのではなく、例えば検疫サーバが設置された検疫セグメントとの通信のみを許可することで、ネットワーク上で被疑端末を隔離し、検疫セグメントよりリモートで調査、復旧を図るといったことが考えられる。
【0003】
特許文献1には、無線LANアクセスポイントに接続された端末装置が不正状態に陥った場合にその端末を個別に隔離しうる接続管理装置、端末装置、接続管理方法、及びプログラムが開示されている。具体的には、端末装置が接続されている無線LANアクセスポイントを有する業務用のネットワークと、隔離用のネットワークと、を設け、不正状態監視部においていずれかの端末装置が不正状態にあるかどうかを判定する。いずれかの端末装置に不正状態が発生すると、その端末装置が接続している無線LANアクセスポイントの情報を取得し、この無線LANアクセスポイントに接続中の他の正常状態の端末装置を特定することができる。設定変更部は、特定した端末装置の近隣で収容数に余裕のある無線LANアクセスポイントをそれぞれ検索し、各端末装置のエージェントに対して、そのSSIDを案内して、接続の切り替えを促す。設定変更部はさらに、不正状態にある端末が接続している無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を自身に限定し、L2(レイヤ2)スイッチを操作して、隔離用のネットワークには、当該端末が接続されている当該無線LANアクセスポイントのみを接続させる、と記載されている。
【0004】
特許文献2には、スイッチ等のネットワーク機器のVLAN(Virtual LAN)機能により、端末を隔離する方法およびネットワークシステムが開示されている。具体的には、ネットワーク構成をVLAN機能により、運用ネットワークとウィルスチェック用ネットワークに分離し、機器の接続時に、前記ウィルスチェック用ネットワークにおいてウィルスのチェックを行い、前記ウィルスチェックにより安全を確認した前記機器を、前記運用ネットワークへ収容する、と記載されている。
【0005】
特許文献3には、攻撃が検知された端末の通信を遮断するために、攻撃を遮断するための設定を行う対象のスイッチを特定し、特定されたスイッチに攻撃を遮断するための設定を行うネットワーク管理部を有するネットワークシステムが開示されている。具体的には、攻撃を受けた端末装置のIPアドレスと、前記スイッチが収容する端末装置に割り当てられたアドレスを対応づけるための情報と、前記各スイッチの各ポートの学習情報と、前記各スイッチの隣接情報とに基づいて、前記攻撃を受けた端末装置から最もホップ数が少ないレイヤ2スイッチを特定し、前記特定したレイヤ2スイッチに対し、前記攻撃を受けた端末装置の通信を遮断するフィルタを設定する、と記載されている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2013-207642号公報
【文献】国際公開第2004/114599号
【文献】特開2018-121320号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の
分析は、本発明者らによってなされたものである。
分析は、本発明者らによってなされたものである。
【0008】
上記の通り、正常状態の端末の設定を変更して他のアクセスポイントへ接続を切替え、不正状態の端末については無線LANアクセスポイントの設定を変更して業務用のネットワークから隔離用のネットワークへ接続先を変更することで無線LANアクセスポイントに接続された不正状態の端末をネットワーク上で隔離することが可能である。
【0009】
しかしながら、上記構成により被疑端末を隔離する方法をとると、アクセスポイントを被疑端末隔離用に専用化しているため、被疑端末隔離用とそれ以外の端末用のアクセスポイントを用意する必要がある。また被疑端末が複数である場合に、端末毎に隔離を同時に実施するためには隔離した端末同士の通信をも禁止するポリシーとする必要があるが、これを実現するには同時に隔離を実施する端末として想定される端末の台数だけアクセスポイントを冗長に設置する必要がある。この問題は、多数の無線デバイスが接続されるIoT用途のネットワークシステムにおいては顕著となる。
【0010】
また、スイッチ等のネットワーク機器のVLAN機能を用いて被疑端末が収容されるネットワークを検疫用に設けられた別のVLANとすることで被疑端末を隔離することが可能である。しかしながら、収容されるネットワークが変更となるため、IPアドレスの再割り当てが必要となり、DHCP等の処理時間が発生し、復旧に要する時間が長くなるといった問題が生ずる。
【0011】
なお、端末を隔離するための一つの方法として、ACL(Access Control List)と一般に呼ばれるIPアドレスのルールを記載して、被疑端末の通信先を検疫セグメントのみに限定することにより端末を隔離することができる。端末の通信先の限定は、周辺の端末に感染して被害が拡大することを防ぐために、被疑端末に近いネットワーク機器で行うことが望ましい。このため無線LANアクセスポイントにおいて上記通信先の限定を行うことが望ましいが、IPアドレスによる通信先の限定を行うためには、ソフトウエア処理で行うと全てのパケットの転送速度の著しい低下を招くため、高速なハードウエア処理によるものを採用することが望ましい。しかしながら、ハードウエア処理が可能な無線LANアクセスポイントは高価であり、IoT用途のシステムで無線LANアクセスポイントを多数準備する場合にはコストがさらにかさむといった問題が生じる。
【0012】
本発明の一視点において、無線LANアクセスポイントの増設をすることなく、低コストで被疑端末を端末毎に個別に隔離することが可能であり、かつ、迅速に隔離することに貢献しうる端末隔離システム、端末隔離方法および端末隔離プログラムを、提供することを主たる目的とする。
【課題を解決するための手段】
【0013】
本発明の第一の視点によれば、少なくとも一の端末が接続されており、プライバシーセパレータ機能を有するアクセスポイントに対し、該アクセスポイントの隣接スイッチを介してネットワークへの接続をコントロールするコントローラを備え、該コントローラは、一の端末の隔離要求を受信したとき、該隔離要求端末を送信元とし、検疫セグメントを宛先とするパケットのみの転送を許可する第1の通信制御ルールを設定する第1の信号と、第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを決定する第2の信号と、を前記隣接スイッチに対し発信する端末隔離要求処理部を有することを特徴とする、インターネットからの端末隔離システムが提供される。
【0014】
本発明の第二の視点によれば、少なくとも一の端末が接続されており、プライバシーセパレータ機能を有するアクセスポイントに対し、該アクセスポイントの隣接スイッチを介してネットワークへの接続をコントロールするコントローラを備えた通信システムにおける端末隔離方法であって、該コントローラは、一の端末の隔離要求を受信したとき、該隔離要求端末を送信元とし、検疫セグメントを宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の信号と、第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを設定する第2の信号と、を前記隣接スイッチに対し発信するステップを有すること、を特徴とする、インターネットからの端末隔離方法が提供される。
【0015】
本発明の第三の視点によれば、少なくとも一の端末が接続されており、プライバシーセパレータ機能を有するアクセスポイントに対し、該アクセスポイントの隣接スイッチを介してネットワークへの接続をコントロールするコントローラを備えた通信システムにおいて実行されるプログラムであって、該コントローラは、一の端末の隔離要求を受信したとき、該隔離要求端末を送信元とし、検疫セグメントを宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の信号と、第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを設定する第2の信号と、を前記隣接スイッチに対し発信するステップを実行すること、を特徴とする、インターネットからの端末隔離プログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0016】
本発明の各視点によれば、アクセスポイントの増設をすることなく、被疑端末を端末毎に個別に隔離すること、かつ、迅速に隔離すること、に寄与する端末隔離システム、端末隔離方法および端末隔離プログラムが提供される。
【図面の簡単な説明】
【0017】
【図1】一実施形態の概要を説明するための図である。
【図2】実施形態1のシステムの概要を説明するための図である。
【図3】実施形態1のシステムのコントローラが送信する通信制御ルールの一例を示す図である。
【図4】実施形態1のシステムにおける処理の流れを説明するためのフローチャートである。
【図5】実施形態1のシステムにおけるハードウエア構成の概略図である。
【図6】実施形態2のシステムにおけるコントローラの構成の一例を示すブロック図である。
【図7】実施形態2のシステムにおけるネットワーク構成のトポロジ情報の一例を示すための隣接行列である。
【図8】実施形態2のシステムにおけるコントローラの構成の別の一例を示すブロック図である。
【図9】実施形態3のシステムの概要を説明するための図である。
【図10】実施形態3のシステムにおける中継装置の構成の一例を示すブロック図である。
【図11】実施形態3のシステムにおける中継対象インタフェース情報の一例を示す。
【図12】実施形態3のシステムにおける中継装置がARPリクエストに対して応答するARPリプライの内容の一例を示す図である。
【図13】実施形態3のシステムにおいて中継装置が複数ある場合のシステム構成を説明するための図である。
【図14】実施形態3のシステムにおいて中継装置が複数ある場合に、中継装置02と中継装置03とが中継対象とするインタフェースの分担を示す図である。
【図15】実施形態3のシステムにおける処理の流れを説明するためのフローチャートである。
【図16】実施形態3のシステムにおけるハードウエア構成の概略図である。
【発明を実施するための形態】
【0018】
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。
【0019】
一実施形態のシステムは、少なくとも一の端末41が接続されており、プライバシーセパレータ機能を有するアクセスポイント31に対し、該アクセスポイント31の隣接スイッチ21を介してネットワークへの接続をコントロールするコントローラ01を備え、該コントローラ01は、一の端末の隔離要求を受信したとき、該隔離要求端末を送信元とし、検疫セグメント61を宛先とするパケットのみの転送を許可する第1の通信制御ルールを設定する第1の信号と、第1の通信制御ルールを除いて該隔離要求端末を送信元とするパケットを破棄する第2の通信制御ルールを決定する第2の信号と、を前記隣接スイッチ21に対し発信する端末隔離要求処理部71を有する。
【0020】
上記一実施形態のシステムでは、アクセスポイントに設けられたプライバシーセパレータにより被疑端末と他の端末との間の通信が禁止される。アクセスポイントに隣接されたスイッチに対して通信制御ルールを設定するための信号をコントローラの端末隔離要求処理部から送信することで、端末の通信先を検疫セグメントのみに限定し、被疑端末の隔離を実現させている。
【0021】
即ち、プライバシーセパレータ機能を有する無線LANアクセスポイントと、比較的安価である有線LAN用の高速処理が可能であるスイッチなどのネットワーク機器と、を無線LANアクセスポイントに隣接して設置して組み合わせることで、通信速度の低下が無く、かつ、低コストで端末の隔離が可能なシステムの提供が可能となる。
【0022】
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。
【0023】
[第1の実施形態]
[無線LANアクセスポイント]
図2は本実施形態の端末隔離システムのシステム構成の概略を示す図である。この図にあるように、無線LANアクセスポイント31には少なくとも一の端末が無線で接続されている。これらの端末同士はプライバシーセパレータが設定されていることにより相互の通信が遮断されている。プライバシーセパレータとは、アクセスポイントに接続されている機器同士の通信を遮断するものであり、アイソレーション機能とも呼ばれる。当機能は比較的安価な無線LANアクセスポイントでも設定が可能である。当アクセスポイント31は隣接するレイヤ2スイッチ21に有線接続されている。なお、無線LANアクセスポイント31は後述するレイヤ2スイッチと同様にパケット転送のために端末のMACアドレスを学習して保持し、コントローラ等からのMACアドレスが収容されるインタフェースの問い合わせに応答する機能を有する。
[無線LANアクセスポイント]
図2は本実施形態の端末隔離システムのシステム構成の概略を示す図である。この図にあるように、無線LANアクセスポイント31には少なくとも一の端末が無線で接続されている。これらの端末同士はプライバシーセパレータが設定されていることにより相互の通信が遮断されている。プライバシーセパレータとは、アクセスポイントに接続されている機器同士の通信を遮断するものであり、アイソレーション機能とも呼ばれる。当機能は比較的安価な無線LANアクセスポイントでも設定が可能である。当アクセスポイント31は隣接するレイヤ2スイッチ21に有線接続されている。なお、無線LANアクセスポイント31は後述するレイヤ2スイッチと同様にパケット転送のために端末のMACアドレスを学習して保持し、コントローラ等からのMACアドレスが収容されるインタフェースの問い合わせに応答する機能を有する。
【0024】
[コントローラ]
コントローラ01はセキュリティ監視システム81から被疑端末41を隔離する指示を受けて隔離を実行する機能を有する端末隔離要求処理部71を有する。
コントローラ01はセキュリティ監視システム81から被疑端末41を隔離する指示を受けて隔離を実行する機能を有する端末隔離要求処理部71を有する。
【0025】
[端末隔離要求処理部]
端末隔離要求処理部71はコントローラ01において、被疑端末41の隔離要求をセキュリティ監視システム81から受信すると、被疑端末41を送信元とし、検疫セグメント61を宛先とするパケットのみの転送を許可する通信制御ルールを設定する信号を隣接スイッチであるレイヤ2スイッチ21に対して送信する。図3に送信される通信制御ルールの一例を示す。この図にあるように、検疫セグメント(192.168.Y.0/24)を宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の通信制御ルール91と、第1の通信制御ルールを除いて該隔離要求端末を送信元(192.168.X.1)とするパケットを破棄する第2の通信制御ルール92と、を信号として前記隣接スイッチに対し発信する。第2の通信制御ルール92に対して第1の通信制御ルール91が適用の優先度が高くなっており、第1の通信制御ルール91に該当しない場合に第2の通信制御ルール92が適用される。第1、第2の通信制御ルールにより、被疑端末41を送信元とする通信は検疫セグメント61に対してのみ可能とするように限定することができ、被疑端末41を隔離することが可能である。
端末隔離要求処理部71はコントローラ01において、被疑端末41の隔離要求をセキュリティ監視システム81から受信すると、被疑端末41を送信元とし、検疫セグメント61を宛先とするパケットのみの転送を許可する通信制御ルールを設定する信号を隣接スイッチであるレイヤ2スイッチ21に対して送信する。図3に送信される通信制御ルールの一例を示す。この図にあるように、検疫セグメント(192.168.Y.0/24)を宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の通信制御ルール91と、第1の通信制御ルールを除いて該隔離要求端末を送信元(192.168.X.1)とするパケットを破棄する第2の通信制御ルール92と、を信号として前記隣接スイッチに対し発信する。第2の通信制御ルール92に対して第1の通信制御ルール91が適用の優先度が高くなっており、第1の通信制御ルール91に該当しない場合に第2の通信制御ルール92が適用される。第1、第2の通信制御ルールにより、被疑端末41を送信元とする通信は検疫セグメント61に対してのみ可能とするように限定することができ、被疑端末41を隔離することが可能である。
【0026】
ここで端末隔離要求処理部71は無線LANアクセスポイント31やレイヤ2スイッチ21に対して被疑端末41のMACアドレスを指定して通信を禁止する通信制御ルールである信号を送ることで被疑端末41を遮断できるが、この方法では被疑端末41が検疫セグメント61との通信もできなくなり異常状態から復旧することが不可能となる。
【0027】
[レイヤ2スイッチ]
レイヤ2スイッチ11、21は端末等のネットワーク機器の通信パケットを転送する。パケットを転送するためにパケットの送信元MACアドレスフィールドから各ポート配下に接続されている端末等のMACアドレスを学習し、保持する。また、コントローラ01などからのMACアドレスが収容されるインタフェースの問い合わせに応答する機能を持つ。
レイヤ2スイッチ11、21は端末等のネットワーク機器の通信パケットを転送する。パケットを転送するためにパケットの送信元MACアドレスフィールドから各ポート配下に接続されている端末等のMACアドレスを学習し、保持する。また、コントローラ01などからのMACアドレスが収容されるインタフェースの問い合わせに応答する機能を持つ。
【0028】
レイヤ2スイッチ21は無線LANアクセスポイント31に隣接して接続されている。当スイッチはコントローラ01の端末隔離要求処理部71から通信制御ルールを設定する信号を受信し、受信した信号に基づいて図3に記載されているようなリストを保持し、リストに含まれる通信制御ルールに基づいて通信の制御(パケットの転送、破棄等)を行うことが可能である。無線LANアクセスポイント31のプライバシーセパレータ機能が有効であるため、レイヤ2スイッチ21を無線LANアクセスポイント31に隣接して接続することで、無線LANアクセスポイント31そのものでアクセス制御することができなくとも、被疑端末41の異常状態が他のネットワーク機器に蔓延することはない。
【0029】
なお本実施形態では無線LANアクセスポイント31のアップリンク先のスイッチはレイヤ2スイッチ21のみの単数であるが、複数スイッチが存在する場合には端末隔離要求処理部71は全てのスイッチに通信制御ルールを設定する信号を送信する必要がある。
【0030】
[レイヤ3スイッチ]
レイヤ3スイッチ51は端末からの通信パケットをIPアドレスでルーティングする。ルーティングのためにユーザ端末のIPアドレスに対応するMACアドレスをARPプロトコルで解決し保持する。また、コントローラ01等のネットワーク管理システムからSNMPなどのプロトコルでIPアドレスに対応するMACアドレスの問い合わせに応答する機能を持つ。
レイヤ3スイッチ51は端末からの通信パケットをIPアドレスでルーティングする。ルーティングのためにユーザ端末のIPアドレスに対応するMACアドレスをARPプロトコルで解決し保持する。また、コントローラ01等のネットワーク管理システムからSNMPなどのプロトコルでIPアドレスに対応するMACアドレスの問い合わせに応答する機能を持つ。
【0031】
[セキュリティ監視システム]
セキュリティ監視システム81はユーザ端末を監視し、異常またはその疑いを検知すると被疑端末のIPアドレスをコントローラ01に端末隔離要求として通知し、ネットワークから隔離するように指示する。
セキュリティ監視システム81はユーザ端末を監視し、異常またはその疑いを検知すると被疑端末のIPアドレスをコントローラ01に端末隔離要求として通知し、ネットワークから隔離するように指示する。
【0032】
[検疫セグメント]
検疫セグメント61は被疑端末の調査やセキュリティパッチの配布など、被疑端末を復旧させるためのシステムが接続されている。被疑端末41が隔離されると検疫セグメント
との間のみ通信が可能となり、オンラインのまま調査と復旧処理等を実行することが可能である。
検疫セグメント61は被疑端末の調査やセキュリティパッチの配布など、被疑端末を復旧させるためのシステムが接続されている。被疑端末41が隔離されると検疫セグメント
との間のみ通信が可能となり、オンラインのまま調査と復旧処理等を実行することが可能である。
【0033】
[処理の流れ]
図4は本実施形態の端末隔離システムにおけるコントローラ01の処理の流れを示すフローチャートである。この図にあるように、まず、セキュリティ監視システム81が端末の異常を検知すると、被疑端末41を隔離する要求である端末隔離要求をコントローラ01に対して送信する。コントローラ01はこの端末隔離要求を受信する(ステップS01)。受信に応じて隣接スイッチであるレイヤ2スイッチ21に対して通信制御ルールを設定するための信号の送信を実行する(ステップS02)。具体的には、被疑端末41を送信元とし、検疫セグメント61を宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の信号と、第1の通信制御ルールを除いて被疑端末41を送信元とするパケットを破棄する第2の通信制御ルールを設定する第2の信号とをレイヤ2スイッチ21に対して送信する。
図4は本実施形態の端末隔離システムにおけるコントローラ01の処理の流れを示すフローチャートである。この図にあるように、まず、セキュリティ監視システム81が端末の異常を検知すると、被疑端末41を隔離する要求である端末隔離要求をコントローラ01に対して送信する。コントローラ01はこの端末隔離要求を受信する(ステップS01)。受信に応じて隣接スイッチであるレイヤ2スイッチ21に対して通信制御ルールを設定するための信号の送信を実行する(ステップS02)。具体的には、被疑端末41を送信元とし、検疫セグメント61を宛先とするパケットのみの転送を許可する通信制御ルールを設定する第1の信号と、第1の通信制御ルールを除いて被疑端末41を送信元とするパケットを破棄する第2の通信制御ルールを設定する第2の信号とをレイヤ2スイッチ21に対して送信する。
【0034】
[ハードウエア構成]
次に、第1の実施形態に係る端末隔離システムを構成する各種装置のハードウエア構成を説明する。図5は、第1の実施形態に係るコントローラ01のハードウエア構成の一例を示すブロック図である。
次に、第1の実施形態に係る端末隔離システムを構成する各種装置のハードウエア構成を説明する。図5は、第1の実施形態に係るコントローラ01のハードウエア構成の一例を示すブロック図である。
【0035】
コントローラ01は、情報処理装置(コンピュータ)により構成可能であり、図5に例示する構成を備える。例えば、コントローラ01は、内部バス105により相互に接続される、CPU(Central Processing Unit)101、メモリ102、入出力インタフェース103及び通信手段であるNIC(Network Interface Card)104等を備える。
【0036】
但し、図5に示す構成は、コントローラ01のハードウエア構成を限定する趣旨ではない。コントローラ01は、図示しないハードウエアを含んでもよいし、必要に応じて入出力インタフェース103を備えていなくともよい。また、コントローラ01に含まれるCPU等の数も図5の例示に限定する趣旨ではなく、例えば、複数のCPUがコントローラ01に含まれていてもよい。
【0037】
メモリ102は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
【0038】
入出力インタフェース103は、図示しない表示装置や入力装置のインタフェースとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
【0039】
コントローラ01の機能は、処理モジュールである端末隔離要求処理プログラムにより実現される。当該処理モジュールは、例えば、メモリ102に格納された端末隔離要求処理プログラムをCPU101が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウエア、及び/又は、ソフトウエアで実行する手段があればよい。
【0040】
セキュリティ監視システム81において被疑端末の異常が検知されると、端末隔離要求がネットワークを通じてコントローラ01に対して送信される。コントローラ01は、NIC104を介して当該要求を受信する。CPU101では処理モジュールである端末隔離要求処理プログラムが実行されており、当該要求をメモリ102に一時的に保持する。当該要求には被疑端末41を特定する情報が含まれており、同プログラムはその情報をもとに通信制御ルールを生成する。同プログラムは生成された通信制御ルールと、メモリ102に保持されている隣接スイッチであるレイヤ2スイッチ21の宛先とに基づいて通信制御ルールを設定する信号を、NIC104を介して送信する。
【0041】
[第2の実施形態]
第2の実施形態における端末隔離システムは、ネットワークに接続されている機器のネットワーク内における位置を特定するためのトポロジ情報を用いて無線LANアクセスポイントに隣接する隣接スイッチを決定することが可能である。コントローラ01は隔離要求を受けて隣接スイッチに対して通信制御ルールを設定する信号を送信するが、送信先である隣接スイッチのネットワーク上における位置を特定する必要がある。なぜなら、端末毎に隔離を実行するためには他のネットワーク機器との通信を、端末から最も近い位置で遮断する必要がある。本来であれば無線LANアクセスポイントにより通信の遮断を実行すべきであるが、上述の通りコストや性能の問題により無線LANアクセスポイントにより実行することが適切ではない場合がある。そこで、本実施形態の端末隔離システムではプライバシーセパレータ機能を有する無線LANアクセスポイントに最も近い隣接したスイッチの位置を特定し、特定されたスイッチにて通信制御ルールを実行して被疑端末を他のネットワーク機器より隔離することが可能なシステムを提供する。
第2の実施形態における端末隔離システムは、ネットワークに接続されている機器のネットワーク内における位置を特定するためのトポロジ情報を用いて無線LANアクセスポイントに隣接する隣接スイッチを決定することが可能である。コントローラ01は隔離要求を受けて隣接スイッチに対して通信制御ルールを設定する信号を送信するが、送信先である隣接スイッチのネットワーク上における位置を特定する必要がある。なぜなら、端末毎に隔離を実行するためには他のネットワーク機器との通信を、端末から最も近い位置で遮断する必要がある。本来であれば無線LANアクセスポイントにより通信の遮断を実行すべきであるが、上述の通りコストや性能の問題により無線LANアクセスポイントにより実行することが適切ではない場合がある。そこで、本実施形態の端末隔離システムではプライバシーセパレータ機能を有する無線LANアクセスポイントに最も近い隣接したスイッチの位置を特定し、特定されたスイッチにて通信制御ルールを実行して被疑端末を他のネットワーク機器より隔離することが可能なシステムを提供する。
【0042】
[コントローラ]
図6は実施形態2のシステムにおけるコントローラの構成の一例を示すブロック図である。この図にあるように、コントローラ01はセキュリティ監視システム81から被疑端末41を隔離する指示を受けて隔離を実行する機能を有する端末隔離要求処理部71を有する。本実施形態の端末隔離システムは、トポロジ情報保持部14と、隣接スイッチ決定部15と、をさらに有する。ここで端末隔離要求処理部71については上記にて説明済みのため記載は省略する。
図6は実施形態2のシステムにおけるコントローラの構成の一例を示すブロック図である。この図にあるように、コントローラ01はセキュリティ監視システム81から被疑端末41を隔離する指示を受けて隔離を実行する機能を有する端末隔離要求処理部71を有する。本実施形態の端末隔離システムは、トポロジ情報保持部14と、隣接スイッチ決定部15と、をさらに有する。ここで端末隔離要求処理部71については上記にて説明済みのため記載は省略する。
【0043】
[トポロジ情報保持部]
トポロジ情報保持部14は、ネットワークに接続されている機器のネットワーク内における位置を特定するためのトポロジ情報を保持する機能を有する。図7は図2のネットワークにおけるトポロジ情報の一例を示すための隣接行列である。なお、被疑端末41以外の端末や検疫セグメント、インターネットについては図示を省略している。この行列では縦軸および横軸にネットワークの要素を配置し、各要素が相互に接続されていれば1、接続されていなければ0を表示している。この図により、ネットワーク上のどの要素がどの要素に隣接して接続されているかを把握することができる。トポロジ情報は各ネットワーク機器のLLDP(Link Layer Discovery Protocol)などの情報から収集する方法や、ネットワーク管理者があらかじめ入力しておく方法などがある。
トポロジ情報保持部14は、ネットワークに接続されている機器のネットワーク内における位置を特定するためのトポロジ情報を保持する機能を有する。図7は図2のネットワークにおけるトポロジ情報の一例を示すための隣接行列である。なお、被疑端末41以外の端末や検疫セグメント、インターネットについては図示を省略している。この行列では縦軸および横軸にネットワークの要素を配置し、各要素が相互に接続されていれば1、接続されていなければ0を表示している。この図により、ネットワーク上のどの要素がどの要素に隣接して接続されているかを把握することができる。トポロジ情報は各ネットワーク機器のLLDP(Link Layer Discovery Protocol)などの情報から収集する方法や、ネットワーク管理者があらかじめ入力しておく方法などがある。
【0044】
[隣接スイッチ決定部]
隣接スイッチ決定部15は、保持されているトポロジ情報を用いて隣接スイッチを決定する。隣接スイッチとは、プライバシーセパレータ機能を有する無線LANアクセスポイント31にネットワークトポロジ上において最も近傍に位置するスイッチを指す。具体的には図7で示した隣接行列などで表現されたトポロジ情報に基づいて無線LANアクセスポイント31の隣接スイッチを特定し、特定された結果を端末隔離要求処理部71に対して出力する。本実施形態では無線LANアクセスポイント31に隣接するネットワーク機器は被疑端末41とレイヤ2スイッチ21である。被疑端末41は隔離の対象そのものであるので、レイヤ2スイッチ21が隣接スイッチとして決定される。
隣接スイッチ決定部15は、保持されているトポロジ情報を用いて隣接スイッチを決定する。隣接スイッチとは、プライバシーセパレータ機能を有する無線LANアクセスポイント31にネットワークトポロジ上において最も近傍に位置するスイッチを指す。具体的には図7で示した隣接行列などで表現されたトポロジ情報に基づいて無線LANアクセスポイント31の隣接スイッチを特定し、特定された結果を端末隔離要求処理部71に対して出力する。本実施形態では無線LANアクセスポイント31に隣接するネットワーク機器は被疑端末41とレイヤ2スイッチ21である。被疑端末41は隔離の対象そのものであるので、レイヤ2スイッチ21が隣接スイッチとして決定される。
【0045】
[別の構成]
図8は本実施形態の端末隔離システムにおける別の構成を示す図である。別の構成では、コントローラ01の隣接スイッチ決定部15がさらに端末接続位置情報収集手段12と端末接続位置探索手段13とを有する。
図8は本実施形態の端末隔離システムにおける別の構成を示す図である。別の構成では、コントローラ01の隣接スイッチ決定部15がさらに端末接続位置情報収集手段12と端末接続位置探索手段13とを有する。
【0046】
[端末接続位置情報収集手段]
端末接続位置情報収集手段12は無線LANアクセスポイント31、レイヤ2スイッチ21、レイヤ3スイッチ51、レイヤ2スイッチ11へ隔離対象である被疑端末41が接続されているネットワーク上の位置を問い合わせて端末接続位置探索手段13へ応答する。具体的には、最初にレイヤ3スイッチ51へ被疑端末41のIPアドレスに対応するMACアドレスを問い合わせる。次にレイヤ2スイッチ21、レイヤ2スイッチ11、無線LANアクセスポイント31へそのMACアドレスがどのインタフェースに接続されているかを問い合わせる。レイヤ2スイッチからはインタフェース211の配下に、無線LANアクセスポイント31からは無線インタフェース311の配下に被疑端末41は接続されていると応答が得られる。レイヤ2スイッチ11からは当該MACアドレスは見当たらないという応答を得る。隔離対象の被疑端末41のIPアドレスが接続されている場所は各ネットワーク機器に問い合わせることで、あらかじめ当手段が保持しておいてもよい。当手段は収集した端末接続場所の情報を端末接続位置探索手段13へ出力する。
端末接続位置情報収集手段12は無線LANアクセスポイント31、レイヤ2スイッチ21、レイヤ3スイッチ51、レイヤ2スイッチ11へ隔離対象である被疑端末41が接続されているネットワーク上の位置を問い合わせて端末接続位置探索手段13へ応答する。具体的には、最初にレイヤ3スイッチ51へ被疑端末41のIPアドレスに対応するMACアドレスを問い合わせる。次にレイヤ2スイッチ21、レイヤ2スイッチ11、無線LANアクセスポイント31へそのMACアドレスがどのインタフェースに接続されているかを問い合わせる。レイヤ2スイッチからはインタフェース211の配下に、無線LANアクセスポイント31からは無線インタフェース311の配下に被疑端末41は接続されていると応答が得られる。レイヤ2スイッチ11からは当該MACアドレスは見当たらないという応答を得る。隔離対象の被疑端末41のIPアドレスが接続されている場所は各ネットワーク機器に問い合わせることで、あらかじめ当手段が保持しておいてもよい。当手段は収集した端末接続場所の情報を端末接続位置探索手段13へ出力する。
【0047】
[端末接続位置探索手段]
端末接続位置探索手段13は指定されたIPアドレスの端末が接続されている場所を探索して端末隔離要求処理部71へ応答する。探索にあたり、ネットワークのトポロジをトポロジ情報保持部14へ格納しておく必要がある。トポロジ情報は各ネットワーク機器のLLDPなどの情報から収集する方法や、ネットワーク管理者がトポロジ情報保持部14へあらかじめ入力しておく方法があるが、既に他の発明で開示されているため説明は割愛する。端末接続位置探索手段13はトポロジ情報保持部14の情報と隔離対象IPアドレスの端末の接続場所情報を元にアクセスポイント31のインタフェース311配下にユーザ端末が接続されていることを検出して端末隔離要求処理部71へ応答する。
端末接続位置探索手段13は指定されたIPアドレスの端末が接続されている場所を探索して端末隔離要求処理部71へ応答する。探索にあたり、ネットワークのトポロジをトポロジ情報保持部14へ格納しておく必要がある。トポロジ情報は各ネットワーク機器のLLDPなどの情報から収集する方法や、ネットワーク管理者がトポロジ情報保持部14へあらかじめ入力しておく方法があるが、既に他の発明で開示されているため説明は割愛する。端末接続位置探索手段13はトポロジ情報保持部14の情報と隔離対象IPアドレスの端末の接続場所情報を元にアクセスポイント31のインタフェース311配下にユーザ端末が接続されていることを検出して端末隔離要求処理部71へ応答する。
【0048】
[第3の実施形態]
本実施形態では第1および第2の実施形態の端末隔離システムに加えて中継装置02を有する構成の端末隔離システムを提供する。無線LANアクセスポイントのプライバシーセパレータ機能はアクセスポイントに接続されている端末相互の通信を制限することが可能であるが、アクセスポイント配下に閉じた通信をするアプリケーション等が存在する。身近な例では端末間のファイル共有や、無線LAN接続が可能な複合機等が挙げられる。本実施形態では、被疑端末を隔離しつつ、アクセスポイントに接続されている端末同士で直接通信も可能である端末隔離システムを提供する。
本実施形態では第1および第2の実施形態の端末隔離システムに加えて中継装置02を有する構成の端末隔離システムを提供する。無線LANアクセスポイントのプライバシーセパレータ機能はアクセスポイントに接続されている端末相互の通信を制限することが可能であるが、アクセスポイント配下に閉じた通信をするアプリケーション等が存在する。身近な例では端末間のファイル共有や、無線LAN接続が可能な複合機等が挙げられる。本実施形態では、被疑端末を隔離しつつ、アクセスポイントに接続されている端末同士で直接通信も可能である端末隔離システムを提供する。
【0049】
[中継装置]
図9は本実施形態の端末隔離システムの概要を示す図である。この図にあるように、端末42は同一の無線LANアクセスポイント31に接続され、アプリケーションサービスを提供するサーバ43と通信する。通常はこの通信は同一サブネット内で行われるため、通信経路は無線アクセスポイント31のみを経由しレイヤ2スイッチ21とレイヤ3スイッチ51を経由しない。しかし無線LANアクセスポイント31でプライバシーセパレータ機能が有効な場合は被疑端末41、端末42、サーバ43間では直接通信することができない。そこで中継装置02を経由してアクセスポイント配下の相互通信を実現する。
図9は本実施形態の端末隔離システムの概要を示す図である。この図にあるように、端末42は同一の無線LANアクセスポイント31に接続され、アプリケーションサービスを提供するサーバ43と通信する。通常はこの通信は同一サブネット内で行われるため、通信経路は無線アクセスポイント31のみを経由しレイヤ2スイッチ21とレイヤ3スイッチ51を経由しない。しかし無線LANアクセスポイント31でプライバシーセパレータ機能が有効な場合は被疑端末41、端末42、サーバ43間では直接通信することができない。そこで中継装置02を経由してアクセスポイント配下の相互通信を実現する。
【0050】
図10は本実施形態の端末隔離システムにおける中継装置02の構成を示す図である。中継装置02は中継対象インタフェース情報保持部22と、ARP情報取得部23と、中継対象判断部24と、ARP情報応答部25と、中継部26と、を含む。
【0051】
[中継対象インタフェース保持部]
中継対象インタフェース情報保持部22は、無線LANアクセスポイント31に接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を保持する。図11に中継対象インタフェース情報の一例を示す。この図にあるように、中継対象インタフェース情報として、レイヤ2スイッチ21と、インタフェース211が指定されている。これは、レイヤ2スイッチ21のインタフェース211配下である端末42やサーバ43などが中継対象となることを示している。保持されている中継対象インタフェース情報は、後述する中継対象判断部24において用いられる。
中継対象インタフェース情報保持部22は、無線LANアクセスポイント31に接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を保持する。図11に中継対象インタフェース情報の一例を示す。この図にあるように、中継対象インタフェース情報として、レイヤ2スイッチ21と、インタフェース211が指定されている。これは、レイヤ2スイッチ21のインタフェース211配下である端末42やサーバ43などが中継対象となることを示している。保持されている中継対象インタフェース情報は、後述する中継対象判断部24において用いられる。
【0052】
[ARP情報取得部]
ARP情報取得部23は、ARPパケットを受信してARP情報を取得する。端末42がサーバ43との通信を開始したとする。端末42はブロードキャストであるARPリクエストを送信しサーバ43のIPアドレスに対応するMACアドレスを問い合わせる。ARPリクエストは無線LANアクセスポイント31に到達するがプライバシーセパレータ機能が有効であるためARPリクエストはサーバ43には到達しない。レイヤ2スイッチ21にはARPリクエストが到達する。レイヤ2スイッチ21はARPリクエストをブロードキャストするので、中継装置02に端末42からサーバ43宛のARPリクエストが到達する。ARP情報取得部23はARPリクエストを取得し、記憶域に格納する。
ARP情報取得部23は、ARPパケットを受信してARP情報を取得する。端末42がサーバ43との通信を開始したとする。端末42はブロードキャストであるARPリクエストを送信しサーバ43のIPアドレスに対応するMACアドレスを問い合わせる。ARPリクエストは無線LANアクセスポイント31に到達するがプライバシーセパレータ機能が有効であるためARPリクエストはサーバ43には到達しない。レイヤ2スイッチ21にはARPリクエストが到達する。レイヤ2スイッチ21はARPリクエストをブロードキャストするので、中継装置02に端末42からサーバ43宛のARPリクエストが到達する。ARP情報取得部23はARPリクエストを取得し、記憶域に格納する。
【0053】
[中継対象判断部]
中継対象判断部24は、取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一のインタフェースの配下に位置しているか否かを判断する。具体的には、取得したARP情報を参照して、ARPリクエストの送信元である端末42のMACアドレスを学習しているインタフェースを、保持されている中継対象インタフェース情報に掲載されているネットワーク機器に問い合わせる。中継対象インタフェース情報を参照するとレイヤ2スイッチ21が掲載されているので、レイヤ2スイッチ21に対して、ARP情報取得部23で取得した端末42のMACアドレスを学習しているインタフェースを問い合わせる。その結果インタフェース211という応答が得られ、中継対象インタフェース情報の情報と一致することが確認される。次に、ARPリクエストの問い合わせ先であるサーバ43の接続されているインタフェースを確認する。ここでARP情報に含まれているのはサーバ43のIPアドレスであるので、まずレイヤ3スイッチ51に対し、サーバ43のMACアドレスを問い合わせる。なおサーバ43のMACアドレスは中継対象判断部24が、サーバ43のIPアドレスに対してARPリクエストをブロードキャストし、サーバ43からの応答によりMACアドレスを取得してもよい。次に、中継対象インタフェース情報を参照し、レイヤ2スイッチ21に、サーバ43のMACアドレスが接続されているインタフェースを問い合わせる。応答としてインタフェース211が返ってくると、端末42とサーバ43とが中継対象である同一のインタフェース211に接続されているとして、中継対象であるとの判断結果を得る。
中継対象判断部24は、取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一のインタフェースの配下に位置しているか否かを判断する。具体的には、取得したARP情報を参照して、ARPリクエストの送信元である端末42のMACアドレスを学習しているインタフェースを、保持されている中継対象インタフェース情報に掲載されているネットワーク機器に問い合わせる。中継対象インタフェース情報を参照するとレイヤ2スイッチ21が掲載されているので、レイヤ2スイッチ21に対して、ARP情報取得部23で取得した端末42のMACアドレスを学習しているインタフェースを問い合わせる。その結果インタフェース211という応答が得られ、中継対象インタフェース情報の情報と一致することが確認される。次に、ARPリクエストの問い合わせ先であるサーバ43の接続されているインタフェースを確認する。ここでARP情報に含まれているのはサーバ43のIPアドレスであるので、まずレイヤ3スイッチ51に対し、サーバ43のMACアドレスを問い合わせる。なおサーバ43のMACアドレスは中継対象判断部24が、サーバ43のIPアドレスに対してARPリクエストをブロードキャストし、サーバ43からの応答によりMACアドレスを取得してもよい。次に、中継対象インタフェース情報を参照し、レイヤ2スイッチ21に、サーバ43のMACアドレスが接続されているインタフェースを問い合わせる。応答としてインタフェース211が返ってくると、端末42とサーバ43とが中継対象である同一のインタフェース211に接続されているとして、中継対象であるとの判断結果を得る。
【0054】
[ARP情報応答部]
ARP情報応答部25は、中継対象判断部24における判断結果と、保持されている前記ARP情報に基づいて、ARPリプライを送信する。中継対象判断部24にて端末42とサーバ43とが中継対象であるとの判断結果が得られると、保持されているARP情報に基づいて、ARPリプライを端末42に対して行う。図12はARPリクエストに対して当部が応答するARPリプライの内容の一例を示す図である。このARPリプライはサーバ43のIPアドレスに対応するMACアドレスとして中継装置02自身のMACアドレスを応答するものである。ARPリプライの宛先は端末42のMACアドレスを指定しているため、当リプライはサーバ43には到達せず、サーバ43でIPアドレスの重複を検知されることはない。
ARP情報応答部25は、中継対象判断部24における判断結果と、保持されている前記ARP情報に基づいて、ARPリプライを送信する。中継対象判断部24にて端末42とサーバ43とが中継対象であるとの判断結果が得られると、保持されているARP情報に基づいて、ARPリプライを端末42に対して行う。図12はARPリクエストに対して当部が応答するARPリプライの内容の一例を示す図である。このARPリプライはサーバ43のIPアドレスに対応するMACアドレスとして中継装置02自身のMACアドレスを応答するものである。ARPリプライの宛先は端末42のMACアドレスを指定しているため、当リプライはサーバ43には到達せず、サーバ43でIPアドレスの重複を検知されることはない。
【0055】
[中継部]
中継部26は、ARPリクエストの送信元の端末と送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する。具体的には、上記ARPリプライを受けた端末42は、ARPリプライの内容に基づいて、サーバ43宛のパケットの宛先として中継装置02のMACアドレスを付したパケットを送信する。中継装置02はこれを受信し、パケットのヘッダを参照し、宛先IPアドレスがサーバ43で、宛先MACアドレスが中継装置02のMACアドレスであった場合には、宛先IPアドレスと宛先MACアドレスとの組が相違しているため中継が必要であると判断する。中継部26は中継時にパケットヘッダの宛先MACアドレスをサーバ43のMACアドレスに書き換えてパケットを中継転送する。このようにしてプライバシーセパレータ機能により相互に通信できない端末間の通信を中継することで通信を可能としている。端末42からサーバ43宛の通信経路は、端末42、無線LANアクセスポイント31、レイヤ2スイッチ21、中継装置02、レイヤ2スイッチ21、無線LANアクセスポイント31、サーバ43となる。中継装置02はサーバ43から端末42宛の通信パケットも同様に中継部26で中継することで双方向の通信が可能となる。
中継部26は、ARPリクエストの送信元の端末と送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する。具体的には、上記ARPリプライを受けた端末42は、ARPリプライの内容に基づいて、サーバ43宛のパケットの宛先として中継装置02のMACアドレスを付したパケットを送信する。中継装置02はこれを受信し、パケットのヘッダを参照し、宛先IPアドレスがサーバ43で、宛先MACアドレスが中継装置02のMACアドレスであった場合には、宛先IPアドレスと宛先MACアドレスとの組が相違しているため中継が必要であると判断する。中継部26は中継時にパケットヘッダの宛先MACアドレスをサーバ43のMACアドレスに書き換えてパケットを中継転送する。このようにしてプライバシーセパレータ機能により相互に通信できない端末間の通信を中継することで通信を可能としている。端末42からサーバ43宛の通信経路は、端末42、無線LANアクセスポイント31、レイヤ2スイッチ21、中継装置02、レイヤ2スイッチ21、無線LANアクセスポイント31、サーバ43となる。中継装置02はサーバ43から端末42宛の通信パケットも同様に中継部26で中継することで双方向の通信が可能となる。
【0056】
[中継装置が複数ある場合のシステム構成]
本構成は、上記実施形態を基本として、アクセスポイントが複数存在し、中継装置は、複数のアクセスポイントの内の一のアクセスポイントに接続されており、接続されているアクセスポイント以外の少なくとも一のアクセスポイントに接続されている端末間の通信を中継すること、を特徴とする、中継装置を含む端末隔離システムである。かかるシステムの具体例として図13を示す。図13の構成は2台の中継装置02と中継装置03とがそれぞれ別のアクセスポイント配下に接続されている構成である。アクセスポイントは31~39が存在する。中継装置02、中継装置03の内部構成は上述の中継装置02の構成と同一であるので説明は省略する。中継装置02と中継装置03は中継対象インタフェースを図14のように分担する。本構成によると、複数の中継装置が中継対象インタフェースを分担することで送信元端末と送信先端末が同じアクセスポイントに閉じている通信の中継を実現しており、中継装置自身を無線接続デバイスとすることで中継装置を手軽に設置することが可能である。
本構成は、上記実施形態を基本として、アクセスポイントが複数存在し、中継装置は、複数のアクセスポイントの内の一のアクセスポイントに接続されており、接続されているアクセスポイント以外の少なくとも一のアクセスポイントに接続されている端末間の通信を中継すること、を特徴とする、中継装置を含む端末隔離システムである。かかるシステムの具体例として図13を示す。図13の構成は2台の中継装置02と中継装置03とがそれぞれ別のアクセスポイント配下に接続されている構成である。アクセスポイントは31~39が存在する。中継装置02、中継装置03の内部構成は上述の中継装置02の構成と同一であるので説明は省略する。中継装置02と中継装置03は中継対象インタフェースを図14のように分担する。本構成によると、複数の中継装置が中継対象インタフェースを分担することで送信元端末と送信先端末が同じアクセスポイントに閉じている通信の中継を実現しており、中継装置自身を無線接続デバイスとすることで中継装置を手軽に設置することが可能である。
【0057】
[処理の流れ]
図15は本実施形態の端末隔離システムにおける中継装置の処理の流れを示すフローチャートである。まず、記憶域に保持されている中継対象インタフェース情報を取得する(ステップS11)。次にARPパケットを受信してARP情報を取得する(ステップS12)。次に取得したARP情報と、取得されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断する(ステップS13)。その結果、ARPリクエスト送信元と送信先とが中継対象の同一インタフェース配下である場合には、ARPリプライを送信し(ステップS14)、中継を開始する(ステップS15)。ARPリクエスト送信元と送信先とが中継対象の同一インタフェース配下でない場合には中継を行わず、ARP情報を取得する処理(ステップS12)に戻る。
図15は本実施形態の端末隔離システムにおける中継装置の処理の流れを示すフローチャートである。まず、記憶域に保持されている中継対象インタフェース情報を取得する(ステップS11)。次にARPパケットを受信してARP情報を取得する(ステップS12)。次に取得したARP情報と、取得されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断する(ステップS13)。その結果、ARPリクエスト送信元と送信先とが中継対象の同一インタフェース配下である場合には、ARPリプライを送信し(ステップS14)、中継を開始する(ステップS15)。ARPリクエスト送信元と送信先とが中継対象の同一インタフェース配下でない場合には中継を行わず、ARP情報を取得する処理(ステップS12)に戻る。
【0058】
[ハードウエア構成]
次に、第3の実施形態に係る端末隔離システムを構成する各種装置のハードウエア構成を説明する。図16は、第3の実施形態に係る中継装置02のハードウエア構成の一例を示すブロック図である。
次に、第3の実施形態に係る端末隔離システムを構成する各種装置のハードウエア構成を説明する。図16は、第3の実施形態に係る中継装置02のハードウエア構成の一例を示すブロック図である。
【0059】
中継装置02は、情報処理装置(コンピュータ)により構成可能であり、図5に例示する構成を備える。例えば、中継装置02は、内部バス205により相互に接続される、CPU(Central Processing Unit)201、メモリ202、入出力インタフェース203及び通信手段であるNIC(Network Interface Card)204等を備える。
【0060】
但し、図16に示す構成は、中継装置02のハードウエア構成を限定する趣旨ではない。中継装置02は、図示しないハードウエアを含んでもよいし、必要に応じて入出力インタフェース203を備えていなくともよい。また、中継装置02に含まれるCPU等の数も図16の例示に限定する趣旨ではなく、例えば、複数のCPUが中継装置02に含まれていてもよい。
【0061】
メモリ202は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
【0062】
入出力インタフェース203は、図示しない表示装置や入力装置のインタフェースとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
【0063】
中継装置02の機能は、処理モジュールである中継対象インタフェース情報取得プログラムと、ARP情報取得プログラムと、中継対象判断プログラムと、ARP情報応答プログラムと、中継プログラムと、により実現される。当該処理モジュールは、例えば、メモリ202に格納された各プログラムをCPU201が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウエア、及び/又は、ソフトウエアで実行する手段があればよい。
【0064】
まず初めに中継対象インタフェース情報取得プログラムがCPU201で実行され、メモリ202へ保持されている中継対象インタフェース情報がRAMなどの同プログラムのために確保された作業領域に呼び出される。端末42からサーバ43へアクセス要求があったとき、中継装置02にARPリクエストが到達する。次にARP情報取得プログラムがCPU201で実行状態となり、NIC204でARPリクエストを受信しその内容をARP情報としてメモリ202に保持する。次に中継対象判断プログラムがCPU201で実行される。同プログラムはメモリ202に保持されているARP情報を参照して、ARPリクエストの送信元と送信先とを配下においているインタフェース情報を、NIC204を介して、レイヤ2スイッチ21やレイヤ3スイッチ51へ問い合わせる。なお、このインタフェース情報は、同プログラムが、メモリ202に保持されているARP情報に含まれるサーバ43のIPアドレスを呼び出して、当該IPアドレスに対するARPリクエストをブロードキャストすることで得ることもできる。問い合わせの結果応答されたインタフェース情報をメモリに保持されている中継対象インタフェース情報と照合し、ARPリクエストの送信元を配下に置くインタフェース情報と送信先を配下におくインタフェース情報とが同一であり、かつ中継対象インタフェース情報に含まれている場合には中継対象であるとして、ARP情報応答プログラムを起動して、ARPリクエストに対して応答を行う。応答するARP情報は同プログラムにより生成されるが、ARPリプライに含まれる送信先MACアドレスは中継装置02のネットワークインタフェースのMACアドレスとする。端末42からパケットが中継装置に到達すると、CPU201にて中継プログラムが実行状態となり、パケットを転送する。このとき、パケットヘッダの送信先MACアドレスを中継装置02のネットワークインタフェースのMACアドレスからサーバ43のMACアドレスに書き換えてパケットをサーバ43に向け送信する。
【0065】
上記の実施形態の一部又は全部は、以下のようにも記載され得るが、以下には限られな
い。
[形態1]
上述の第1の視点に係る端末隔離システムのとおりである。
[形態2]
前記端末隔離システムは、前記ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を保持するトポロジ情報保持部と、
保持されているトポロジ情報を用いて前記隣接スイッチを決定する隣接スイッチ決定部と、をさらに有すること、
を特徴とする、好ましくは形態1に記載の端末隔離システム。
[形態3]
前記端末隔離システムは、
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を保持する中継対象インタフェース情報保持部と、
ARPパケットを受信してARP情報を取得するARP情報取得部と、
取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断する中継対象判断部と、
判断結果と、保持されている前記ARP情報に基づいて、ARPリプライを送信するARP情報応答部と、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する中継部と、
を有すること、
を特徴とする中継装置、をさらに含む、好ましくは形態1または形態2に記載の端末隔離システム。
[形態4]
前記アクセスポイントが複数存在し、
前記中継装置は、
前記複数のアクセスポイントの内の一のアクセスポイントに接続されており、
接続されているアクセスポイント以外の少なくとも一のアクセスポイントに接続されている端末間の通信を中継すること、
を特徴とする、中継装置を含む、好ましくは形態3に記載の端末隔離システム。
[形態5]
上述の第2の視点に係る端末隔離方法のとおりである。
[形態6]
ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を取得するトポロジ情報取得ステップと、
取得されたトポロジ情報を用いて前記隣接スイッチを決定するステップをさらに有すること、
を特徴とする、好ましくは形態5に記載の端末隔離方法。
[形態7]
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を取得するステップと、
ARPパケットを受信してARP情報を取得するステップと、
取得したARP情報と、取得されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断するステップと、
判断結果と、取得されている前記ARP情報に基づいて、ARPリプライを送信するステップと、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継するステップとをさらに有すること、
を特徴とする、好ましくは形態5または形態6に記載の端末隔離方法。
[形態8]
上記第3の視点に係る端末隔離プログラムのとおりである。
[形態9]
ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を取得するトポロジ情報取得処理と、
取得されたトポロジ情報を用いて前記隣接スイッチを決定する処理をさらに実行すること、
を特徴とする、好ましくは形態8に記載の端末隔離プログラム。
[形態10]
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を取得する処理と、
ARPパケットを受信してARP情報を取得する処理と、
取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断する処理と、
判断結果と、取得されている前記ARP情報に基づいて、ARPリプライを送信する処理と、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する処理とをさらに実行すること、
を特徴とする、好ましくは形態8または形態9に記載の端末隔離プログラム。
い。
[形態1]
上述の第1の視点に係る端末隔離システムのとおりである。
[形態2]
前記端末隔離システムは、前記ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を保持するトポロジ情報保持部と、
保持されているトポロジ情報を用いて前記隣接スイッチを決定する隣接スイッチ決定部と、をさらに有すること、
を特徴とする、好ましくは形態1に記載の端末隔離システム。
[形態3]
前記端末隔離システムは、
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を保持する中継対象インタフェース情報保持部と、
ARPパケットを受信してARP情報を取得するARP情報取得部と、
取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断する中継対象判断部と、
判断結果と、保持されている前記ARP情報に基づいて、ARPリプライを送信するARP情報応答部と、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する中継部と、
を有すること、
を特徴とする中継装置、をさらに含む、好ましくは形態1または形態2に記載の端末隔離システム。
[形態4]
前記アクセスポイントが複数存在し、
前記中継装置は、
前記複数のアクセスポイントの内の一のアクセスポイントに接続されており、
接続されているアクセスポイント以外の少なくとも一のアクセスポイントに接続されている端末間の通信を中継すること、
を特徴とする、中継装置を含む、好ましくは形態3に記載の端末隔離システム。
[形態5]
上述の第2の視点に係る端末隔離方法のとおりである。
[形態6]
ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を取得するトポロジ情報取得ステップと、
取得されたトポロジ情報を用いて前記隣接スイッチを決定するステップをさらに有すること、
を特徴とする、好ましくは形態5に記載の端末隔離方法。
[形態7]
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を取得するステップと、
ARPパケットを受信してARP情報を取得するステップと、
取得したARP情報と、取得されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断するステップと、
判断結果と、取得されている前記ARP情報に基づいて、ARPリプライを送信するステップと、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継するステップとをさらに有すること、
を特徴とする、好ましくは形態5または形態6に記載の端末隔離方法。
[形態8]
上記第3の視点に係る端末隔離プログラムのとおりである。
[形態9]
ネットワークに接続されている機器の前記ネットワーク内における位置を特定するためのトポロジ情報を取得するトポロジ情報取得処理と、
取得されたトポロジ情報を用いて前記隣接スイッチを決定する処理をさらに実行すること、
を特徴とする、好ましくは形態8に記載の端末隔離プログラム。
[形態10]
前記アクセスポイントに接続されており、プライバシーセパレータ機能により相互に通信できない複数の端末が配下のネットワークに存在する少なくとも一のネットワーク機器のネットワークインタフェースを特定するための中継対象インタフェース情報を取得する処理と、
ARPパケットを受信してARP情報を取得する処理と、
取得したARP情報と、保持されている前記中継対象インタフェース情報とに基づいて前記ARPパケットの送信元の端末と、送信先の端末とが中継の対象である同一インタフェースの配下に位置しているか否かを判断する処理と、
判断結果と、取得されている前記ARP情報に基づいて、ARPリプライを送信する処理と、
前記送信元の端末と前記送信先の端末とが中継の対象であると判断された場合に前記送信元の機器と前記送信先の端末との間の通信を中継する処理とをさらに実行すること、
を特徴とする、好ましくは形態8または形態9に記載の端末隔離プログラム。
【符号の説明】
【0066】
01 コントローラ
02、03 中継装置
11 スイッチ、またはレイヤ2スイッチ
12 端末接続位置情報収集手段
13 端末接続位置探索手段
14 トポロジ情報保持部
15 隣接スイッチ決定部
21 隣接スイッチ、またはレイヤ2スイッチ
22 中継対象インタフェース情報保持部
23 ARP情報取得部
24 中継対象判断部
25 ARP情報応答部
26 中継部
31~39 アクセスポイント、または無線LANアクセスポイント
41 端末、被疑端末
42、44 端末
43 サーバ
51 レイヤ3スイッチ
61 検疫セグメント
71 端末隔離要求処理部
81 セキュリティ監視システム
91 第1の通信制御ルール
92 第2の通信制御ルール
101、201 CPU(CentralProcessingUnit)
102、202 メモリ
103、203 入出力インタフェース
104、204 NIC(NetworkInterfaceCard)
105、205 内部バス
211~219、311、312、321、322 インタフェース
02、03 中継装置
11 スイッチ、またはレイヤ2スイッチ
12 端末接続位置情報収集手段
13 端末接続位置探索手段
14 トポロジ情報保持部
15 隣接スイッチ決定部
21 隣接スイッチ、またはレイヤ2スイッチ
22 中継対象インタフェース情報保持部
23 ARP情報取得部
24 中継対象判断部
25 ARP情報応答部
26 中継部
31~39 アクセスポイント、または無線LANアクセスポイント
41 端末、被疑端末
42、44 端末
43 サーバ
51 レイヤ3スイッチ
61 検疫セグメント
71 端末隔離要求処理部
81 セキュリティ監視システム
91 第1の通信制御ルール
92 第2の通信制御ルール
101、201 CPU(CentralProcessingUnit)
102、202 メモリ
103、203 入出力インタフェース
104、204 NIC(NetworkInterfaceCard)
105、205 内部バス
211~219、311、312、321、322 インタフェース
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】