ARPパケットの転送を制御して なりすまし攻撃を防止するLANスイッチの特許発明 アラクサラネットワークス

図1

 従来、LANスイッチのMAC認証では なりすましの攻撃が防げない問題があります。

 この発明では、信頼できないポートで受信したARPパケットの転送を制御します。これにより、不正なARPパケットを用いたなりすましの問題を解決することができます。

 特許第6138714号 アラクサラネットワークス株式会社
 出願日:2014年3月3日 登録日:2017年5月12日

LANスイッチのMAC認証では なりすましの攻撃が防げない問題

 ネットワークを構成するための通信装置、LANスイッチが実用化されています。LANスイッチでは、従来、ネットワークに不正な端末を接続しないようにするための技術があります。

 例えば、通信を許可する端末のMACアドレスを登録するようにしておき、登録されていないMACアドレスを持つ端末の通信を許可しない認証技術(MAC認証)があります。

 しかし、MAC認証では、MACアドレス単位で、通信の許可または拒否が制御されます。そのため、登録されたMACアドレスを持つ端末が不正なパケットを送信した場合、このパケットの通信が許可され転送されてしまうという問題があります。

 具体的には、登録されたMACアドレスを持つ端末が不正なARPパケットを送信することで、通信相手のARPテーブルを書き換え、なりすましの攻撃をする攻撃方法を防ぐことができないという問題があります。

信頼できないポートで受信したARPパケットの転送を制御する

図9

 この発明の通信装置(LANスイッチ)には、信頼できる装置が接続されているポート(物理ポート)の番号が設定されています。信頼できる装置が接続されているポートから受信したパケットは転送されます。

 また、このLANスイッチには、信頼できるIPアドレスとMACアドレスが設定されています。信頼できる装置が接続されているポートとは異なるポートからアドレス解決に関するパケットを受信した場合、このパケットに含まれる送信元のMACアドレスとIPアドレスとが、信頼できるIPアドレスとMACアドレスに一致するかどうかを判定します。

 一致する場合には、このパケットを転送し、一致しない場合には、このパケットの転送を禁止します。

 このようにして、信頼できない送信元が送信したアドレス解決のパケットの転送を制御します。これにより、不正なARPパケットを用いたなりすましの問題を解決することができます。

【課題】
閉じられたネットワーク内の認証済み端末が、アドレス解決パケットを不正利用することを防ぎ、閉じられたネットワーク内の他の認証端末の通信遮断、盗聴を防ぐことを目的とする。
【請求項1】
 複数の入出力部と、
 前記複数の入出力部のうち、特定の入出力部を識別する特定入出力部識別情報と前記特定の入出力部に接続される特定装置の物理アドレスとを対応づける特定入出力部情報を記憶する記憶部と、
 前記複数の入出力部のうち、装置から送信された前記特定の入出力部以外の入出力部を介して受信するアドレス解決に関するパケットに含まれる送信元の送信元装置の物理アドレスと前記記憶部に記憶する前記特定入出力部情報の前記特定装置の物理アドレスとの比較を行い、前記比較の結果に応じて、前記アドレス解決に関するパケットを破棄するか転送するかを決定する解析部とを備え、
 前記記憶部は、
 前記特定の入出力部に接続される前記特定装置のプロトコルアドレスを前記特定入出力部情報の前記特定の入出力部と対応付けてさらに記憶し、
 前記解析部は、
 前記アドレス解決に関するパケットに含まれる前記送信元装置のプロトコルアドレスと前記記憶部に記憶する前記特定入出力部情報の前記特定装置のプロトコルアドレスとが一致する場合に、前記送信元装置の物理アドレスと前記記憶部に記憶する前記特定入出力部情報の前記特定装置の物理アドレスとの比較を行う
ことを特徴とする通信装置。

今日のみどころ

 LANスイッチのような通信装置の発明の明細書は、複数のポートについての説明が、そのポートの番号などを用いてなされています。番号などを正確に読み取らないといけないのでちょっと大変です。

 でもしょうがないので、頑張って読みましょう。