JP4290198B2 - 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 - Google Patents
信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 Download PDFInfo
- Publication number
- JP4290198B2 JP4290198B2 JP2006546833A JP2006546833A JP4290198B2 JP 4290198 B2 JP4290198 B2 JP 4290198B2 JP 2006546833 A JP2006546833 A JP 2006546833A JP 2006546833 A JP2006546833 A JP 2006546833A JP 4290198 B2 JP4290198 B2 JP 4290198B2
- Authority
- JP
- Japan
- Prior art keywords
- port
- information
- program
- network
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 52
- 238000004891 communication Methods 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 29
- 238000010586 diagram Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- 238000007792 addition Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びその方法に係り、より詳しくは、インターネット接続ファイアウォールに、通信が許可されたプログラムによって使用されるポートを自動で追加及び除去するようにして、専門家でないユーザであっても簡単にインターネット接続ファイアウォールの優れた機能を使用することができるようにする、ネットワークセキュリティシステム及びその方法に関するものである。
ファイアウォール(Firewall)は、ネットワークと外部との間の保護境界線のようなセキュリティシステムである。
図1は、マイクロソフト(Microsoft)社によりウィンドウズ(登録商標)XP(Windows XP(登録商標))バージョンから基本的に提供されている、コンピュータとネットワークとを保護するためのインターネット接続ファイアウォール(ICF:Internet Connection Firewall)を示す図である。
このようなインターネット接続ファイアウォールは、ネットワークまたは小規模ネットワークとインターネットとの間に通信される情報の制限条件を設定するのに使用されるソフトウェアであって、インターネットに接続された単独のコンピュータのインターネットへの接続を保護する。
一方、従来のインターネット接続ファイアウォールは、ステートフル(Stateful)ファイアウォールである。ステートフルファイアウォールとは、対応する経路を通過する通信のすべてを監視し、処理される各メッセージの原本、対象アドレス及びポートを検査するファイアウォールである。
インターネット接続ファイアウォールは、外部へ送信されるトラフィック(アウトバウンドトラフィック)を許可し、外部から受信されるトラフィック(インバウンドトラフィック)を遮断することにより、インターネット接続ファイアウォール内のネットワークを外部から見えないようにする。このため、パーソナルコンピュータ(PC:Personal Computer)ファイアウォールでは、この機能をステルス(Stealth)機能とも言う。
以下に、インターネット接続ファイアウォールの動作を簡略に説明する。
インターネット接続ファイアウォールは、望まないトラフィックが個人接続を通じて入力されないようにするために、インターネット接続ファイアウォールコンピュータから発信されたトラフィックを追跡し、通信テーブルを保存する。さらに、インターネットのすべてのインバウンドトラフィックはテーブルにある項目と比較される。テーブルに一致する項目が存在し、通信の発信元がユーザのコンピュータであることが証明された場合にのみ、インバウンドインターネットトラフィックは、ネットワークコンピュータに接続される。
これに対し、インターネット接続がファイアウォール許可リストで許可されないものであれば、インターネット接続ファイアウォールは接続を切断する。したがって、望まない通信を自動的に取り消すことで、ポートスキャニング(Port Scanning)のような一般的なハッキングを遮断することができる。
このような例を調べるために、例えば、インターネット接続ファイアウォールコンピュータをリナックス(Linux)のnmapスキャニングツールでスキャンすると、インターネット接続ファイアウォールコンピュータは、どのようなスキャン動作に対しても応答しないため、nmapは、すべてのスキャンに対してターゲットコンピュータがネットワーク上に存在しないと判断し、‘Host Seems Down’というメッセージを出力する。このように、インターネット接続ファイアウォールは、望まない通信を自動的に取り消すことにより、ポートスキャニングのような一般的なハッキングを遮断する。
一方、ウェブサービスを提供するコンピュータにインターネット接続ファイアウォールが組み込まれた場合、このようなインターネット接続ファイアウォールがインバウンドトラフィックを遮断するため、インターネット接続は切断され、正常なウェブサービスを提供することができなくなる。この問題を解決するために、インターネット接続ファイアウォールは、サービスが使用する80番ポートへのインバウンドトラフィックを許可することにより、正常なウェブサービスを提供できるようにしている。
このように、インターネット接続ファイアウォールは、サービスとプロトコルとを追加することで、正常なサービスを使用することができ、PCファイアウォールでもこのような機能を提供する。
一方、以下にこのようなインターネット接続ファイアウォールにおける問題点を説明する。
ウェブサーバ、FTP(File Transfer Protocol)サーバ、テルネット(Telnet)サーバ、P2P(Peer to Peer)プログラム、リモートコントロールプログラム、メッセンジャープログラムなどの最近のインターネット使用ソフトウェアは、サービスを提供するサーバとして動作する。そして、このようにサーバとして動作するソフトウェアの数は急激に増加しており、多くの一般のユーザもこのようなソフトウェアを使用する傾向にある。
しかし、大部分のユーザは、上記のようなサーバとして動作するソフトウェアが正常に作動しなくなることを理由に、インターネット接続ファイアウォールまたはPCファイアウォールのステルス機能の使用を避けている。もちろん、図2のように、ウィンドウズ(登録商標)XPでは、サーバとして動作するソフトウェアが使用するポート、プロトコル、インターネットプロトコル(IP:Internet Protocol)などを追加することにより、対応するソフトウェアを正常に使用することができる。しかし、専門家でないユーザにとっては、サーバとして動作するポートを見つけることは難しいため、専門家でないユーザがこれらのソフトウェアを設定するのは難しい。
また、ソフトウェアのバージョンがアップグレードされる際に、サーバとして動作するポートが変更されることもあるため、正常なサービスが不意に中断されてしまうこともある。
このような様々な理由から、インターネット接続ファイアウォール及びPCファイアウォールのステルス機能は、ユーザから望まれている機能であるにもかかわらず、一般のユーザが使用することは難しいという問題点がある。
上記のような従来技術の問題点を解決するための本発明の目的は、通信の許可されたプログラムが使用するポートをインターネット接続ファイアウォールに自動的に追加または削除して、専門家でないユーザでも簡単にインターネット接続ファイアウォールの所望の機能を使用することが可能な、ネットワークセキュリティシステム及びその方法を提供することにある。
上記の目的を達成するために、本発明は、ネットワーク間で通信される情報の制限条件を設定することによって、ネットワークに接続されたコンピュータの当該ネックワーク接続を保護するファイアウォールを用いて信頼できるプロセスを許可するネットワークセキュリティシステムにおいて、ネットワーク通信プログラムを通じて使用されるサーバポート情報を抽出するポート監視部と;ファイアウォールによって通信が許可されるプログラムについての情報を抽出し、抽出された情報を登録する内部許可プログラム格納部と;ポート監視部が、内部許可プログラム格納部に登録されているプログラムを用いて、使用されるサーバポートについての情報を抽出した場合、抽出されたサーバポート情報を登録する内部許可ポート格納部と;インバウンドトラフィックのパケットの目的地であるポートが内部許可ポート格納部に登録されているか否かを判断し、登録されていないポートであれば当該パケットをファイアウォールに伝送し、登録されているポートであれば当該パケットが前記ファイアウォールを迂回するようにするファイアウォール柔軟化装置と;を含むことを特徴とする、ネットワークセキュリティシステムを提供する。
また、上記目的を達成するため、本発明は、ネットワーク間で通信される情報の制限条件を設定することで、ネットワークに接続されたコンピュータの当該ネックワーク接続を保護するファイアウォールを用いて、信頼できるプロセスを許可するネットワークセキュリティの方法において、ネットワーク通信プログラムを通じて使用されるサーバポート情報を抽出する第1段階と;ファイアウォールで通信が許可されるプログラムについての情報を抽出し、抽出された情報を内部許可プログラム格納部に登録する第2段階と;第1段階において、内部許可プログラム格納部に登録されているプログラムを用いて、使用するサーバポートについての情報を抽出した場合、抽出されたサーバポート情報を内部許可ポート格納部に登録する第3段階と;インバウンドトラフィックのパケットの目的地であるポートが内部許可ポート格納部に登録されているか否かを判断する第4段階と;第4段階での判断の結果、登録されていないポートであれば、当該パケットをファイアウォールに伝送する第5段階と;前記第4段階での判断の結果、登録されているポートであれば、当該パケットがファイアウォールを迂回するようにする第6段階と;を含むことを特徴とする、ネットワークセキュリティの方法を提供する。
また、上記目的を達成するため、本発明は、ネットワーク間で通信される情報の制限条件を設定することで、ネットワークに接続されたコンピュータの当該ネックワーク接続を保護するファイアウォールを用いて、信頼できるプロセスを許可するネットワークセキュリティの方法であって、ネットワーク通信プログラムを通じて使用されるサーバポート情報を抽出する第1段階と;ファイアウォールで通信が許可されるプログラムについての情報を抽出し、抽出された情報を内部許可プログラム格納部に登録する第2段階と;第1段階において、内部許可プログラム格納部に登録されているプログラムを用いて、使用するサーバポートについての情報を抽出した場合、抽出されたサーバポート情報を内部許可ポート格納部に登録する第3段階と;インバウンドトラフィックのパケットの目的地であるポートが内部許可ポート格納部に登録されているか否かを判断する第4段階と;第4段階での判断の結果、登録されていないポートであれば、当該パケットをファイアウォールに伝送する第5段階と;第4段階での判断の結果、登録されているポートであれば、当該パケットがファイアウォールを迂回するようにする第6段階と;を含むことを特徴とする、ネットワークセキュリティの方法を実行することができるコンピュータによって読取可能な記録媒体を提供する。
TCP(Transmission Control Protocol)を用いて通信する場合、望ましくは、上記第1段階は、ソケットがサーバとして動作するためにリスン(Listen)を実行する時、フッキング(Hooking)を行うことでリスンポートを抽出する。
UDP(User Datagram Protocol)を用いて通信する場合、望ましくは、上記第1段階は、ソケットがパケットを受信するために関連する関数を呼び出す時、ユーザモード(User Mode)でフッキングを実行することで、サーバポートを抽出する。
以上説明したように本発明によれば、通信の許可されたプログラムが使用するポートをインターネット接続ファイアウォールに自動的に追加または削除することにより、専門家でないユーザでも簡単にインターネット接続ファイアウォールの優れた機能を使用することができる。
以下、添付図面を参照しながら、本発明の一実施例による信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びその方法をより詳細に説明する。
まず、本発明の背景技術に関連する技術を簡略に説明する。
図3は、本発明に利用されるマイクロソフトウィンドウズ(登録商標)オペレーティングシステムのモード区分を示すブロック図である。
図3を参照すれば、マイクロソフト社が提供するウィンドウズ(登録商標)XPでは、カーネルモード(Kernel Mode)とユーザモード(User Mode)とが提供される。カーネルモードでは、オペレーティングシステムカーネルと各種のデバイスドライバ(Device Driver)が実行され、ユーザモードでは、主にアプリケーション(Application)が実行される。そして、カーネルモードで動作するプログラムはデバイスドライバの形態で存在する。
マイクロソフトウィンドウズ(登録商標)オペレーティングシステムでサポートされているカーネルモードネットワーク構造は、ウィンドウズ(登録商標)ソケット(Socket)のカーネル部分であるAFD(afd.sys)、NDIS(NDIS:Network Driver Interface Specification)及びTDI(TDI:Transport Driver Interface)を含む。
カーネルモードで最上位層に存在するafd.sysは、ウィンドウズ(登録商標)ソケットにおいてユーザモードの最下位層に存在する動的リンクライブラリ(DLL:Dynamic Link Library)であるmsafd.dllと通信し、下位層にあるTDIとインタフェースを形成する。
TDIは、プロトコルスタック(Stack)の上位に存在するカーネルモードインタフェースを定義する。NDISは、ネットワークインタフェースカードデバイスドライバ(NICDDs:Network Interface Card Device Drivers)のために、標準インタフェースを提供する。
以下、マイクロソフトウィンドウズ(登録商標)オペレーティングシステムのユーザモードにおけるファイアウォール構築方法を簡単に説明する。
フッキング(Hooking)とは、フッキングしようとする関数のアドレスを格納し、元の関数のアドレスをユーザが作成した関数のアドレスで置き換え、これにより、ユーザが作成した関数を先に実行し、その後に元の関数を実行するという周知のプログラミング方法である。
(1)LSP(Winsock Layered Service Provider):この方法は、マイクロソフト社から提供されている方法であって、QOS(Quality Of Service)、URLフィルタリング及びデータストリーム(Data Stream)の暗号化に多く用いられる、マイクロソフトネットワーキング内のコンポーネントであるSPI(Service Provider Interface)に基づくものである。
(2)ウィンドウズ(登録商標)2000パケットフィルタリングインタフェース(Windows 2000 Packet Filtering Interface):ウィンドウズ(登録商標)2000は、フィルタデスクリプタ(Filter Descriptor)をインストールして、ユーザモードのアプリケーションプログラムがIPアドレス及びポート情報を基に許可または遮断する方法を用いる。
(3)Winsock Dll置換:この方法は、マイクロソフトウィンドウズ(登録商標)のWinsock DLLをユーザが作成したDLLで置き換えることにより、フィルタリングする方法に基づく。
(4)グローバル関数フッキング(Global Function Hooking):この方法は、Connect、Listen、Send、Recv、Sendto、およびRecvfromのようなウィンドウズ(登録商標)のソケット関数、またはユーザモードのアプリケーションがカーネルモードのドライバと通信するために使用するDeviceIoControl()関数をフッキングする方法に基づく。
以下に、マイクロソフトウィンドウズ(登録商標)オペレーティングシステムのカーネルモードでファイアウォールを構築する方法を簡単に説明する。
(1)カーネルモードソケットフィルタ(Kernel Mode Socket Filter):この方式は、ユーザモードでウィンドウズ(登録商標)ソケットの最下位層のDLLであるmsafd.dllがカーネルモードウィンドウズ(登録商標)ソケットであるafd.sysと通信するすべての入出力(I/O)をフッキングする方法に基づく。
(2)TDIフィルタドライバ:この方式は、tcpip.sysドライバ(\Device\RawIp、\Device\Udp、\Device\Tcp、\Device\Ip、または\Device\MULTICASTなど)によって生成されたデバイスに、IoAttackDevice()APIを適用して作成したフィルタドライバを利用する方法に基づく。または、tcpip.sysのドライバオブジェクト(Driver Object)にあるディスパッチテーブル(Dispatch Table)を置き換えることによって、すべてのI/Oをフッキングする方法に基づく。
(3)NDIS中間ドライバ:マイクロソフト社からユーザに提供されている方法であって、TCP/IPのようなプロトコルドライバとNICドライバ間に挿入してファイアウォール、NAT(Network Address Translation)などを開発する方法である。
(4)NDISフッキングフィルタドライバ:NDISライブラリの関数をフッキングする方法であって、NdisRegisterProtocol、NdisDeregisterProtocol、NdisOpenAdapter、NdisCloseAdapter及びNdisSendのような関数をフッキングする方法、あるいはプロトコルドライバを登録するNdisRegisterProtocol関数を使用し、リターンされたNdisProtocolHandleに基づいてTCP/IPのような既存の登録されたプロトコルドライバリンクを見つけた後、NDISと通信するプロトコルドライバ及びNICドライバのI/Oをフッキングする方法に基づく。
本発明の実施形態にかかるインターネット接続ファイアウォールは、上述したカーネルモードソケットフィルタ、TDIフィルタドライバ、NDIS中間ドライバ、NDISフッキングフィルタドライバなどで実装されることができ、一般的にはNDIS中間ドライバまたはNDISフッキングフィルタドライバで実装される。
インターネット接続ファイアウォールは、インターネット接続ファイアウォールコンピュータを起点とするトラフィックを追跡することにより、IPとポートのすべての通信テーブルを保存する。そして、インターネットのすべてのインバウンドトラフィックは、この通信テーブルに存在する項目と比較される。テーブルに一致する項目があり、従って、通信がユーザのコンピュータを起点とするものであることが証明される場合にだけ、インバウンドインターネットトラフィックは許可され、そうでない場合には遮断される。
このようなインバウンドトラフィックの許可は、フッキングされた元の関数のアドレスを呼び出すことにより行われる。これに対し、インバウンドトラフィックの遮断は、原関数を呼び出すことなく、原関数の呼び出しが成功または失敗したことを示す偽(false)のリターン値を伝送すること、あるいは、原関数を呼び出したが、関数の実行が正常になされないように誤った情報を提供することにより行われる。
前述したファイアウォールと関連する基本的な内容に基づいて、本発明で提示する信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びその方法に対して説明する。
図4は、本発明の実施形態にかかるインターネット接続ファイアウォールの動作を簡略化したフローチャートであって、ポート監視部とインターネット接続ファイアウォールとをインストールし、許可プログラムリストを内部許可プログラム格納部に格納する過程を示すフローチャートである。
まず、ステップS410で、ポート監視部及びインターネット接続ファイアウォールをインストールする。
TCPの場合、ソケットがサーバとして動作するためにリスン(Listen)を実行する時、ポート監視部は、Winsockフッキングによってリスンポートを抽出する。さらに、msafd.dllで対応する操作が実行されるとき、カーネルのソケット部分であるAFDで対応する操作が実行されるとき、または、TDIのTdiSetEvent()を通じてTDI_EVENT_CONNECTが呼び出されるとき、ポート監視部はリスンポートを抽出する。
ユーザデータグラムプロトコル(UDP:User Datagram Protocol)の場合、ソケットがパケットを受信するためにrecvfromを呼び出すと、ユーザモードでWinsockフッキングを通じてパケットを受信するためのサーバポートを抽出する。さらに、AFDでの続きの操作がカーネルモードに存在するとき、または、TDIで、これに対応するTdiSetEvemt()を通じてTDI_EVENT_RECEIVE_DATAGRAMが生成されるとき、パケットを受信するためのサーバポートを抽出する。
このようなポート監視部は、ユーザモードのWinsockフッキングによって、または、カーネルモードのカーネルモードソケットフィルタ、TDIフィルタドライバによってインストールされ、サーバポート情報、プロトコル情報(TCP、UDPなど)及びOPEN/CLOSE情報を抽出する役割を果たす。
その後、インターネット接続ファイアウォールをインストールする。このようなインターネット接続ファイアウォールは、前述したように、カーネルモードソケットフィルタ、TDIフィルタドライバ、NDIS中間ドライバ、ウィンドウズ(登録商標)2000フィルタフックドライバ、またはNDISフッキングフィルタドライバ内に実装することができ、一般的には、NDIS中間ドライバまたはNDISフッキングフィルタドライバに組み込まれる。
ついで、ステップS420で、許可プログラムリストを内部許可プログラム格納部に格納する。図5は、本発明の一実施形態にかかる柔軟なインターネット接続ファイアウォールで、通信許可プログラムリストを内部許可プログラム格納部に格納するために表示されるインタフェース画面を示す図である。
図5に示すように、インターネット接続ファイアウォールで許可するプログラムを選択すると、プログラム名、プログラムの全体パス及びプログラムの整合性確認のための当該プログラムファイルのMD5(MD5:Message Digest algorithm 5)ハッシュ値を取得する。このようにして得られたプログラム名前、プログラム全体経路及びMD5ハッシュ値を内部許可プログラム格納部に格納する。
内部許可プログラム格納部は、下の表1のような形式で格納され、プログラム名前、プログラム全体経路及びMD5ハッシュ値の情報を含むファイルまたはデータベースの形式で格納される。
図6は、本発明で提示するインターネット接続ファイアウォール柔軟化装置を使用する全体ファイアウォールの動作を示すブロック図であって、以下、これを詳細に説明する。
インターネット使用プログラム610が、サーバとして動作するためにサーバポートをオープンすると、インターネット接続ファイアウォール柔軟化装置620は、当該サーバポートをオープンしたプログラムが内部許可プログラム格納部650に登録されているプログラムであるか否かを判断する。
当該プログラムが登録されていれば、インターネット接続ファイアウォール柔軟化装置620は、オープンされたサーバポートを内部許可ポート格納部660に登録する。
一方、外部からインバウンドトラフィックが伝送されたとき、インバウンドトラフィックは、ネットワークカード640を通過後、インターネット接続ファイアウォール630に到達する。インターネット接続ファイアウォール柔軟化装置620は、インバウンドトラフィックのパケットを検査して、目的地ポートが内部許可ポート格納部660に登録されているか否かを判断する。
判断の結果、当該ポートが登録されていなければ、パケットはインターネット接続ファイアウォール630に伝送され、インターネット接続ファイアウォールを経由する。ゆえに、このパケットはインターネット接続ファイアウォールの制限条件により許容または遮断される。しかし、当該ポートが登録されていれば、パケットをインターネット接続ファイアウォール630に渡さずインターネット接続ファイアウォール柔軟化装置620に迂回させるために、フッキングした原関数を呼び出す。
下記の表2は内部許可ポート格納部に登録されたポートを示す例である。
表2に表すように、内部許可ポート格納部は、プログラム全体パス、プロトコル及びポートについての情報を含み、メモリ上に配列または接続リストの形式で存在するか、あるいはファイルまたはデータベースの形式で存在する。
図7は、本発明の一実施形態にかかる柔軟なインターネット接続ファイアウォールの内部許可ポート格納部にサーバポートを格納または削除する過程を示すフローチャートである。以下、これを詳細に説明する。
まず、ステップS701で、サーバポート、OPEN/CLOSE情報及びプロトコル(TCP、UDPなど)情報をポート監視部から抽出した後、ステップS703で、ポート監視部は、サーバポートをオープンした現在のプログラムが内部許可プログラム格納部に登録されているプログラムであるか否かを判断する。
一方、ステップS703で、ネットワークを使用する現在のプロセスについての情報を得る方法は、ポート監視部でPsGetCurrentProcessId()関数を使用して現在のプロセスのID情報を抽出した後、このプロセスIDを通じて現在のプログラムの全体パスを取得する。このようにして取得したプログラムの全体パスを通じて当該プログラムのMD5ハッシュ値を抽出し、このMD5ハッシュ値とプログラム全体パスを用いて、現在のプログラムが内部許可プログラム格納部に存在するか否かを判断するものである。
ステップS703での判断の結果、現在のプログラムが登録されていなければ処理を終了し、登録されていれば、ステップS705で、抽出されたOPEN/CLOSE情報を使用してサーバポートがオープンされているか、もしくはクローズされているかを判断する。
ステップS705での判断の結果、オープンされたポートであれば、ステップS709で、プログラム全体パス、プロトコル及びサーバポートの情報を内部許可ポート格納部に登録した後、処理を終了する。
また、ステップS705での判断の結果、オープンされたポートでなければ、ステップS706及びステップS707で、プログラム全体パス、プロトコル及びサーバポートの情報と一致する内部許可ポート格納部の項目を検索して削除した後、処理を終了する。
図8は、本発明の一実施形態にかかるインターネット接続ファイアウォールの前のパケット処理過程を示すフローチャートである。以下、これを詳細に説明する。
まず、ステップS801で、インターネット接続ファイアウォールで処理される前にインバウンドトラフィックからパケットを抽出した後、ステップS803で、抽出されたパケットから、当該目的地(ローカル)ポートとプロトコル情報を抽出する。
そして、ステップS805で、抽出した目的地ポートとプロトコルの情報が内部許可ポート格納部に登録されているか否かを判断する。
ステップS805での判断の結果、情報が登録されていなければ、ステップS807で、当該パケットをインターネット接続ファイアウォールに伝送する。一方、情報が登録されていれば、目的地ポートは許可されなければならないポートであるので、ステップS809で、フッキングされた原関数を呼び出すことにより、インターネット接続ファイアウォールを迂回させる。
以上、好適な実施形態に基づいて本発明を説明したが、このような実施形態は本発明を制限するためのものではなく例示するためのものである。本発明が属する分野の当業者であれば、本発明の技術思想を逸脱せずに上記実施形態の多様な修正、追加及び代替に想到し得ることは明らかである。したがって、本発明の保護範囲は、添付する請求範囲のみによって限定されるもので、上記のような修正、追加及び代替をすべて含むものとして解釈されなければならない。
以上のように、本発明によれば、通信が許可されたプログラムによって使用されるポートが、インターネット接続ファイアウォールに自動で追加及び除去できるようにすることで、専門家ではないユーザであっても簡単にインターネット接続ファイアウォールの優れた機能を使用することができる。
Claims (7)
- ネットワーク間で通信される情報の制限条件を設定することによって、ネットワークに接続されたコンピュータの当該ネットワーク接続を保護するファイアウォールを用いて、信頼できるプロセスを許可するネットワークセキュリティシステムにおいて:
ネットワーク通信プログラムを通じて使用されるサーバポート情報を抽出するポート監視部と;
前記ネットワークセキュリティシステムによって通信が許可されるネットワーク通信プログラムについての情報を抽出し、抽出された情報を登録する内部許可プログラム格納部と;
前記ポート監視部が、前記内部許可プログラム格納部に登録されているネットワーク通信プログラムを通じて使用されるサーバポートについての情報を抽出した場合、前記抽出されたサーバポート情報を登録する内部許可ポート格納部と;
インバウンドトラフィックのパケットの目的地ポートが前記内部許可ポート格納部に登録されているか否かを判断し、登録されていないポートであれば前記インバウンドトラフィックのパケットを前記ファイアウォールに伝送し、登録されているポートであれば前記インバウンドトラフィックのパケットが前記ファイアウォールを迂回するようにすることによって、前記インバウンドトラフィックのパケットを直ちに前記目的地ポートを使用するネットワーク通信プログラムに伝送するファイアウォール柔軟化装置と;
を含むことを特徴とする、ネットワークセキュリティシステム。 - 前記内部許可プログラム格納部によって抽出され登録されるプログラム情報は、プログラム名、プログラムの全体パス及びMD5ハッシュ値の情報を含むことを特徴とする、請求項1に記載のネットワークセキュリティシステム。
- 前記内部許可ポート格納部によって抽出され登録されるサーバポート情報は、プログラムの全体パス、プロトコル及びポートの情報を含むことを特徴とする、請求項1に記載のネットワークセキュリティシステム。
- ネットワーク間で通信される情報の制限条件を設定することによって、ネットワークに接続されたコンピュータの当該ネックワーク接続を保護するファイアウォールを用いて、信頼できるプロセスを許可するネットワークセキュリティシステムのセキュリティの方法において:
前記ネットワークセキュリティステムが、ネットワーク通信プログラムを通じて使用されるサーバポートの情報を抽出する第1段階と;
前記ネットワークセキュリティステムが、通信が許可されるネットワーク通信プログラムについての情報を抽出し、抽出された情報を内部許可プログラム格納部に登録する第2段階と;
前記ネットワークセキュリティステムが、前記第1段階において、前記内部許可プログラム格納部に登録されているネットワーク通信プログラムを通じて使用されるサーバポートについての情報を抽出した場合、前記抽出されたサーバポート情報を内部許可ポート格納部に登録する第3段階と;
前記ネットワークセキュリティステムが、インバウンドトラフィックのパケットの目的地ポートが前記内部許可ポート格納部に登録されているか否かを判断する第4段階と;
前記ネットワークセキュリティステムが、前記第4段階での判断の結果、登録されていないポートであれば、前記インバウンドトラフィックのパケットを前記ファイアウォールに伝送する第5段階と;
前記ネットワークセキュリティステムが、前記第4段階での判断の結果、登録されているポートであれば、前記インバウンドトラフィックのパケットが前記ファイアウォールを迂回するようにすることによって、前記インバウンドトラフィックのパケットを直ちに前記目的地ポートを使用するネットワーク通信プログラムに伝送する第6段階と;
を含むことを特徴とする、ネットワークセキュリティの方法。 - 前記ネットワークセキュリティステムが、前記第2段階で抽出され登録されるプログラム情報は、プログラム名、プログラムの全体パス及びMD5ハッシュ値の情報を含むことを特徴とする、請求項4に記載のネットワークセキュリティの方法。
- 前記ネットワークセキュリティステムが、前記第3段階で抽出され登録されるサーバポート情報は、プログラムの全体パス、プロトコル及びポートの情報を含むことを特徴とする、請求項4に記載のネットワークセキュリティの方法。
- ネットワーク間で通信される情報の制限条件を設定することによって、ネットワークに接続されたコンピュータの当該ネックワーク接続を保護するネットワークファイアウォールを用いて、信頼できるプロセスを許可するネットワークセキュリティの方法を実行することができるコンピュータが読取可能な記録媒体であって、
ネットワーク通信プログラムを通じて使用されるサーバポートの情報を抽出する第1段階と;
前記ネットワークセキュリティシステムによって通信が許可されるネットワーク通信プログラムについての情報を抽出し、抽出された情報を内部許可プログラム格納部に登録する第2段階と;
前記第1段階において、前記内部許可プログラム格納部に登録されているネットワーク通信プログラムを通じて使用されるサーバポートについての情報を抽出した場合、前記抽出されたサーバポート情報を内部許可ポート格納部に登録する第3段階と;
インバウンドトラフィックのパケットの目的地ポートが前記内部許可ポート格納部に登録されているか否かを判断する第4段階と;
前記第4段階での判断の結果、登録されていないポートであれば、前記インバウンドトラフィックのパケットを前記ネットワークファイアウォールに伝送する第5段階と;
前記第4段階での判断の結果、登録されているポートであれば、前記インバウンドトラフィックのパケットが前記ファイアウォールを迂回するようにすることによって、前記インバウンドトラフィックのパケットを直ちに前記目的地ポートを使用するネットワーク通信プログラムに伝送する第6段階と;
を含むネットワークセキュリティの方法を実行することができるコンピュータが読取可能な記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2003-0101775A KR100522138B1 (ko) | 2003-12-31 | 2003-12-31 | 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법 |
| PCT/KR2004/003456 WO2005064842A1 (en) | 2003-12-31 | 2004-12-27 | Flexible network security system and method for permitting trusted process |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007517305A JP2007517305A (ja) | 2007-06-28 |
| JP4290198B2 true JP4290198B2 (ja) | 2009-07-01 |
Family
ID=34737959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006546833A Expired - Fee Related JP4290198B2 (ja) | 2003-12-31 | 2004-12-27 | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US8544078B2 (ja) |
| JP (1) | JP4290198B2 (ja) |
| KR (1) | KR100522138B1 (ja) |
| WO (1) | WO2005064842A1 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7631349B2 (en) | 2001-01-11 | 2009-12-08 | Digi International Inc. | Method and apparatus for firewall traversal |
| KR100522138B1 (ko) | 2003-12-31 | 2005-10-18 | 주식회사 잉카인터넷 | 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법 |
| US7536542B2 (en) * | 2005-01-19 | 2009-05-19 | Microsoft Corporation | Method and system for intercepting, analyzing, and modifying interactions between a transport client and a transport provider |
| US7966643B2 (en) * | 2005-01-19 | 2011-06-21 | Microsoft Corporation | Method and system for securing a remote file system |
| JP2007065807A (ja) * | 2005-08-30 | 2007-03-15 | Yokogawa Electric Corp | アクセス制御装置およびアクセス制御方法 |
| US8135741B2 (en) | 2005-09-20 | 2012-03-13 | Microsoft Corporation | Modifying service provider context information to facilitate locating interceptor context information |
| US8170020B2 (en) * | 2005-12-08 | 2012-05-01 | Microsoft Corporation | Leveraging active firewalls for network intrusion detection and retardation of attack |
| US7664699B1 (en) * | 2005-12-21 | 2010-02-16 | Symantec Corporation | Automatic generation of temporary credit card information |
| US8997076B1 (en) * | 2007-11-27 | 2015-03-31 | Google Inc. | Auto-updating an application without requiring repeated user authorization |
| US20090172187A1 (en) * | 2007-12-31 | 2009-07-02 | Eetay Natan | Techniques to enable firewall bypass for open mobile alliance device management server-initiated notifications in wireless networks |
| JP5503276B2 (ja) * | 2009-11-18 | 2014-05-28 | キヤノン株式会社 | 情報処理装置及びそのセキュリティ設定方法 |
| JP5601840B2 (ja) * | 2010-01-08 | 2014-10-08 | 株式会社日立ソリューションズ | ネットワークへの情報流出防止装置 |
| US9009779B2 (en) * | 2010-11-12 | 2015-04-14 | Content Watch, Inc. | Methods related to network access redirection and control and devices and systems utilizing such methods |
| JP5757160B2 (ja) * | 2011-05-31 | 2015-07-29 | 横河電機株式会社 | 制御バスシステム |
| JP5701715B2 (ja) * | 2011-08-12 | 2015-04-15 | 株式会社東芝 | エネルギー管理装置、電力管理システムおよびプログラム |
| US9380081B1 (en) * | 2013-05-17 | 2016-06-28 | Ca, Inc. | Bidirectional network data replications |
| WO2015023316A1 (en) * | 2013-08-14 | 2015-02-19 | Daniel Chien | Evaluating a questionable network communication |
| US10277717B2 (en) * | 2013-12-15 | 2019-04-30 | Nicira, Inc. | Network introspection in an operating system |
| KR101841080B1 (ko) | 2017-11-13 | 2018-05-04 | 한국과학기술정보연구원 | 데이터 패킷 우회 전송 방법 및 시스템 |
| EP3720075B1 (en) * | 2017-12-27 | 2023-06-21 | Huawei Cloud Computing Technologies Co., Ltd. | Data transmission method and virtual switch |
| US11882448B2 (en) * | 2021-06-07 | 2024-01-23 | Sr Technologies, Inc. | System and method for packet detail detection and precision blocking |
| CN114039787B (zh) * | 2021-11-15 | 2023-12-22 | 厦门服云信息科技有限公司 | 一种linux系统中反弹shell检测方法、终端设备及存储介质 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6182146B1 (en) * | 1997-06-27 | 2001-01-30 | Compuware Corporation | Automatic identification of application protocols through dynamic mapping of application-port associations |
| US6141686A (en) * | 1998-03-13 | 2000-10-31 | Deterministic Networks, Inc. | Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control |
| US6182228B1 (en) * | 1998-08-17 | 2001-01-30 | International Business Machines Corporation | System and method for very fast IP packet filtering |
| US6687732B1 (en) * | 1998-09-28 | 2004-02-03 | Inktomi Corporation | Adaptive traffic bypassing in an intercepting network driver |
| US6728885B1 (en) * | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
| KR100684986B1 (ko) | 1999-12-31 | 2007-02-22 | 주식회사 잉카인터넷 | 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법 |
| KR20010090014A (ko) * | 2000-05-09 | 2001-10-18 | 김대연 | 네트워크 보호 시스템 |
| US6868450B1 (en) * | 2000-05-17 | 2005-03-15 | Hewlett-Packard Development Company, L.P. | System and method for a process attribute based computer network filter |
| KR100358387B1 (ko) * | 2000-06-27 | 2002-10-25 | 엘지전자 주식회사 | 네트워크망에서 내부자원의 보호기능이 강화된 보안장치및 그 운용방법 |
| US20030115327A1 (en) * | 2001-03-16 | 2003-06-19 | Takeshi Kokado | Method and apparatus for setting up a firewall |
| US7054944B2 (en) * | 2001-12-19 | 2006-05-30 | Intel Corporation | Access control management system utilizing network and application layer access control lists |
| US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US7340770B2 (en) | 2002-05-15 | 2008-03-04 | Check Point Software Technologies, Inc. | System and methodology for providing community-based security policies |
| US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| JP2004054488A (ja) * | 2002-07-18 | 2004-02-19 | Yokogawa Electric Corp | ファイアウォール装置 |
| KR100419472B1 (ko) * | 2002-10-24 | 2004-02-25 | (주)센타비전 | 침입통제시스템 |
| US7328451B2 (en) | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| KR100522138B1 (ko) * | 2003-12-31 | 2005-10-18 | 주식회사 잉카인터넷 | 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법 |
-
2003
- 2003-12-31 KR KR10-2003-0101775A patent/KR100522138B1/ko active IP Right Grant
-
2004
- 2004-12-27 JP JP2006546833A patent/JP4290198B2/ja not_active Expired - Fee Related
- 2004-12-27 US US10/582,127 patent/US8544078B2/en active Active
- 2004-12-27 WO PCT/KR2004/003456 patent/WO2005064842A1/en active Application Filing
-
2013
- 2013-06-21 US US13/924,504 patent/US10218676B2/en active Active
-
2019
- 2019-02-05 US US16/267,681 patent/US10972432B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20070226788A1 (en) | 2007-09-27 |
| JP2007517305A (ja) | 2007-06-28 |
| US8544078B2 (en) | 2013-09-24 |
| US20190173842A1 (en) | 2019-06-06 |
| KR20050083204A (ko) | 2005-08-26 |
| US10218676B2 (en) | 2019-02-26 |
| US10972432B2 (en) | 2021-04-06 |
| KR100522138B1 (ko) | 2005-10-18 |
| US20130283366A1 (en) | 2013-10-24 |
| WO2005064842A1 (en) | 2005-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10972432B2 (en) | Flexible network security system and method for permitting trusted process | |
| US11349881B2 (en) | Security-on-demand architecture | |
| US7725932B2 (en) | Restricting communication service | |
| JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
| JP4459722B2 (ja) | ネットワークフィルタベースのポリシーを管理するための方法 | |
| EP1650633B1 (en) | Method, apparatus and system for enforcing security policies | |
| EP1231754B1 (en) | Handling information about packet data connections in a security gateway element | |
| US7792990B2 (en) | Remote client remediation | |
| EP1379046A1 (en) | A personal firewall with location detection | |
| CN101390369B (zh) | 点对点通信的检测和控制 | |
| WO2013008770A1 (ja) | ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| US20060150243A1 (en) | Management of network security domains | |
| JP2007043483A (ja) | 情報処理装置、通信制御方法および通信制御用プログラム | |
| KR100468374B1 (ko) | 네트워크 유해 트래픽 제어 장치 및 방법 | |
| EP1294141A2 (en) | Method and apparatus for transferring packets in network | |
| JP2008283495A (ja) | パケット転送システムおよびパケット転送方法 | |
| JP4321375B2 (ja) | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム | |
| KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
| JP4027213B2 (ja) | 侵入検知装置およびその方法 | |
| JP4290526B2 (ja) | ネットワークシステム | |
| JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
| JP5248445B2 (ja) | 通信エージェント、検疫ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080521 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080603 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20080821 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080827 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080821 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090310 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090331 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4290198 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120410 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150410 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |