Nothing Special   »   [go: up one dir, main page]

JP2006005503A - Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method - Google Patents

Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method Download PDF

Info

Publication number
JP2006005503A
JP2006005503A JP2004177699A JP2004177699A JP2006005503A JP 2006005503 A JP2006005503 A JP 2006005503A JP 2004177699 A JP2004177699 A JP 2004177699A JP 2004177699 A JP2004177699 A JP 2004177699A JP 2006005503 A JP2006005503 A JP 2006005503A
Authority
JP
Japan
Prior art keywords
gateway device
authentication
intrusion prevention
remote connection
house business
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004177699A
Other languages
Japanese (ja)
Inventor
Mie Nakazato
美恵 中里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004177699A priority Critical patent/JP2006005503A/en
Publication of JP2006005503A publication Critical patent/JP2006005503A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a shared security platform capable of enhancing the security against a password hacker attack and reducing a security management operating cost. <P>SOLUTION: Upon the receipt of a packet from remote connection terminals 50, 51, an SSL-VPN gateway apparatus 3 identifies an enterprise from data of the packet, allows a concerned enterprise Web server to output a password entry menu to the remote connection terminals 50, 51, transfers passwords from the remote connection terminals 50, 51 to an authentication system 4, and obtains an authentication propriety response from the system 4. When the authentication propriety response indicates authentication OK, the SSL-VPN gateway apparatus 3 transfers the packet to a pre-specified address, executes communication, and executes interruption of the session when the number of consecutive times of authentication NG exceeds a preset threshold value. An illegitimate intrusion prevention system 2 watches port scanning. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は共通セキュリティプラットフォーム、不正侵入防止システム、ゲートウェイ装置及びその不正侵入防止方法に関し、特にリモートアクセスシステムに対してセキュリティプラットフォームを提供するリモートアクセスセキュリティシステムに関する。   The present invention relates to a common security platform, an unauthorized intrusion prevention system, a gateway device and an unauthorized intrusion prevention method, and more particularly to a remote access security system that provides a security platform for a remote access system.

従来、この種のリモートアクセスセキュリティシステムにおいては、各企業毎にセキュリティプラットフォームを構築して運用し、企業毎にイントラネットへのセキュリティを確保している。   Conventionally, in this type of remote access security system, a security platform is constructed and operated for each company, and security for the intranet is ensured for each company.

例えば、セキュリティプラットフォームとしては、DMZ(DeMilitarized Zone)やIPS(Intrusion Prevention System)があるが、これらは企業毎に構築されている。また、これらによるセキュリティを確保する方法としては、不正アクセスや不正侵入が検知された時に偽情報を返信し、その後に接続を切断する方法が提案されている(例えば、特許文献1〜3参照)。   For example, as a security platform, there are DMZ (DeMilitized Zone) and IPS (Intrusion Prevention System), which are constructed for each company. Further, as a method for ensuring security by these methods, a method is proposed in which false information is returned when unauthorized access or unauthorized intrusion is detected, and then the connection is disconnected (see, for example, Patent Documents 1 to 3). .

特開2000−261483号公報JP 2000-26183 A 特開2002−073433号公報JP 2002-073433 A 特開2002−199024号公報Japanese Patent Laid-Open No. 2002-199024

上述した従来のセキュリティ確保に関しては、次々に開発される新技術を取り込み、それらを実現するデバイスやシステム、アプリケーション等を統合して運用管理するため、専任のセキュリティ技術者を置く必要があり、多くの運用管理コストがかかるという問題がある。   With regard to the conventional security assurance mentioned above, it is necessary to have a dedicated security engineer in order to incorporate and manage new devices and systems, applications, etc. that are developed one after another, and to implement them. There is a problem that the operation management cost is high.

また、上記のように、従来のセキュリティ確保では、企業毎にDMZを構築しており、IPSが複数企業のトラヒックを処理することができないという問題がある。   Further, as described above, in the conventional security ensuring, there is a problem that DMZ is constructed for each company, and IPS cannot process the traffic of a plurality of companies.

さらに、SSL−VPN(Secure Sockets Layer−Virtual Private Network)によってアクセスされた場合には、セッションレイヤ、アプリケーションレイヤ情報がSSLで暗号化されるため、従来のIPSではID(識別情報)やパスワードを含む認証パケットを認識することができず、パスワードハッカー攻撃を認識することができないという問題がある。   Furthermore, when accessed by SSL-VPN (Secure Sockets Layer-Virtual Private Network), the session layer and application layer information are encrypted with SSL, so conventional IPS includes ID (identification information) and password There is a problem that an authentication packet cannot be recognized and a password hacker attack cannot be recognized.

そこで、本発明の目的は上記の問題点を解消し、パスワードハッカー攻撃に対するセキュリティを向上させることができ、セキュリティ管理運用コストを低減することができる共通セキュリティプラットフォーム、不正侵入防止システム、ゲートウェイ装置及びその不正侵入防止方法を提供することにある。   Accordingly, an object of the present invention is to solve the above-described problems, improve security against password hacker attacks, and reduce security management operation costs, a common security platform, an unauthorized intrusion prevention system, a gateway device, and its It is to provide a method for preventing unauthorized intrusion.

本発明による共通セキュリティプラットフォームは、複数のリモート接続用端末を各々対応する社内業務システムに接続するゲートウェイ装置を含む共通セキュリティプラットフォームであって、
外部からのパスワード不正取得攻撃を認識する手段と、その認識されたパスワード不正取得攻撃の発信元との接続を遮断する手段とを前記ゲートウェイ装置に有し、
外部からの不正アクセスを認識する手段と、その認識された不正アクセスの発信元との接続を遮断する手段とを含む不正侵入防止システムを有し、
前記ゲートウェイ装置及び前記不正侵入防止システムを複数の社内業務システムで共有している。 A common security platform according to the present invention is a common security platform including a gateway device for connecting a plurality of remote connection terminals to corresponding in-house business systems,
The gateway device has means for recognizing an illegal password acquisition attack from the outside, and means for blocking the connection with the recognized source of the unauthorized password acquisition attack,
An unauthorized intrusion prevention system including means for recognizing unauthorized access from outside and means for blocking connection with the recognized unauthorized access source;
The gateway device and the unauthorized intrusion prevention system are shared by a plurality of in-house business systems.

本発明による不正侵入防止システムは、各々対応するリモート接続用端末が接続される複数の社内業務システムに共有される不正侵入防止システムであって、
外部からの不正アクセスを認識する手段と、その認識された不正アクセスの発信元との接続を遮断する手段とを備えている。 The unauthorized intrusion prevention system according to the present invention is an unauthorized intrusion prevention system that is shared by a plurality of in-house business systems to which corresponding remote connection terminals are connected,
Means for recognizing unauthorized access from the outside and means for blocking the connection with the recognized unauthorized access source.

本発明によるゲートウェイ装置は、複数のリモート接続用端末を複数の社内業務システムのうちの対応するシステムに接続しかつ前記複数の社内業務システムに共有されるゲートウェイ装置であって、
外部からのパスワード不正取得攻撃を認識する手段と、その認識されたパスワード不正取得攻撃の発信元との接続を遮断する手段とを備えている。 A gateway device according to the present invention is a gateway device that connects a plurality of remote connection terminals to a corresponding system among a plurality of in-house business systems and is shared by the plurality of in-house business systems,
Means for recognizing an illegal password acquisition attack from the outside, and means for blocking a connection with the source of the recognized illegal password acquisition attack.

本発明による不正侵入防止方法は、複数のリモート接続用端末を複数の社内業務システムのうちの対応するシステムに接続するゲートウェイ装置を含む共通セキュリティプラットフォームに用いられる不正侵入防止方法であって、
前記ゲートウェイ装置が、外部からのパスワード不正取得攻撃を認識した時にその認識されたパスワード不正取得攻撃の発信元との接続を遮断し、
前記ゲートウェイ装置と、外部からの不正アクセスを認識した時にその認識された不正アクセスの発信元との接続を遮断する不正侵入防止システムとを複数の社内業務システムで共有している。 An unauthorized intrusion prevention method according to the present invention is an unauthorized intrusion prevention method used in a common security platform including a gateway device that connects a plurality of remote connection terminals to a corresponding system among a plurality of in-house business systems,
When the gateway device recognizes a password fraud acquisition attack from the outside, the gateway device is disconnected from the recognized password fraud acquisition attack source,
A plurality of in-house business systems share the gateway device and an unauthorized intrusion prevention system that blocks a connection between the recognized unauthorized access source and the unauthorized access source.

すなわち、本発明の共通セキュリティプラットフォームは、パスワードハッカー攻撃(パスワード不正取得攻撃)を認識してシャットダウンするSSL−VPN(Secure Sockets Layer−Virtual Private Network)ゲートウェイ装置と、不正アクセスを認識してシャットダウンする不正侵入防止システムとを複数企業でシェア可能とすることを特徴とする。   That is, the common security platform of the present invention recognizes a password hacker attack (password illegal acquisition attack) and shuts down an SSL-VPN (Secure Sockets Layer-Virtual Private Network) gateway device, and an unauthorized access that recognizes unauthorized access and shuts down. The intrusion prevention system can be shared by multiple companies.

また、本発明の共通セキュリティプラットフォームでは、SSL−VPNでのリモートアクセス時に複数企業でセキュリティネットワークを共用可能なセキュリティプラットフォームサービスを提供することを特徴とする。   Further, the common security platform of the present invention is characterized by providing a security platform service that allows a plurality of companies to share a security network during remote access using SSL-VPN.

これによって、本発明の共通セキュリティプラットフォームでは、パスワードハッカー攻撃に対するセキュリティを向上させるとともに、セキュリティ管理運用コストの低減が可能となる。   As a result, the common security platform of the present invention can improve security against password hacker attacks and reduce security management operation costs.

より具体的に説明すると、本発明の共通セキュリティプラットフォームは、宛先IP(Internet Protocol)アドレスやドメイン名からトラヒックを企業毎に識別するパケット識別手段と、パケット識別手段で識別されたパケットに対して企業毎にポートスキャン等の事前探索行為を監視し、事前探索行為の検出時にそのTCP(Transmission Control Protocol)セッションからのパケットをシャットダウンする監視検出手段と、TCPパケット通信を実施する通信手段とを有するIPS(Intrusion Prevention System:不正侵入防止システム)を備えている。   More specifically, the common security platform according to the present invention includes a packet identification unit for identifying traffic for each enterprise based on a destination IP (Internet Protocol) address and a domain name, and an enterprise for a packet identified by the packet identification unit. IPS having monitoring and detecting means for monitoring a pre-search action such as port scan every time, and shutting down a packet from the TCP (Transmission Control Protocol) session when detecting the pre-search action, and a communication means for performing TCP packet communication (Intrusion Prevention System: unauthorized intrusion prevention system).

また、本発明の共通セキュリティプラットフォームは、クライアント端末と社内業務システムのサーバとの間の通信におけるセッション生成時に、認証データを認証通信システムへ通知し、その認証後にパケット転送処理もしくはプロキシ処理を実施する通信手段と、データを認証システムへ転送する認証通信手段と、認証システムとの通信を監視し、認証NGの連続回数が規定回数以上となった時にそのセッションからのパケットをシャットダウンするパスワード不正取得検出手段とを有し、かつセッション管理を企業毎に処理するSSL−VPNゲートウェイ装置とを備えている。   Also, the common security platform of the present invention notifies authentication data to the authentication communication system at the time of session generation in communication between the client terminal and the in-house business system server, and performs packet transfer processing or proxy processing after the authentication. Incorrect password detection detection that monitors communication with the communication means, authentication communication means for transferring data to the authentication system, and the authentication system, and shuts down packets from the session when the number of consecutive authentication NGs exceeds the specified number And an SSL-VPN gateway apparatus that processes session management for each company.

これによって、本発明の共通セキュリティプラットフォームは、一つの共通プラットフォームにて複数企業向けのデータを処理することが可能となり、パスワードハッカー攻撃に対するセキュリティを向上させるとともに、セキュリティ管理運用コストの低減が可能となる。   As a result, the common security platform of the present invention can process data for a plurality of companies on a single common platform, improving security against password hacker attacks and reducing security management operation costs. .

つまり、本発明の共通セキュリティプラットフォームでは、従来の不正侵入防止システムにおいて検出することができなかったパスワードの不正入手が監視可能となり、セキュリティレベルを向上させることが可能となる。   In other words, the common security platform of the present invention can monitor unauthorized acquisition of passwords that could not be detected by a conventional unauthorized intrusion prevention system, and can improve the security level.

また、本発明の共通セキュリティプラットフォームでは、セキュリティを提供する共通プラットフォームを複数企業で共有することが可能となり、インフラのみでなく、セキュリティ管理運用者も共有することが可能になり、コスト低減が可能となる。この場合、特にセキュリティサービスとしては、初期投資が不要となり、そのコスト低減効果は顕著である。   Also, with the common security platform of the present invention, it is possible to share a common platform that provides security among multiple companies, and not only infrastructure but also security management operators can share, which can reduce costs. Become. In this case, particularly as a security service, initial investment is unnecessary, and the cost reduction effect is remarkable.

本発明は、以下に述べるような構成及び動作とすることで、パスワードハッカー攻撃に対するセキュリティを向上させることができ、セキュリティ管理運用コストを低減することができるという効果が得られる。   By adopting the configuration and operation as described below, the present invention can improve the security against password hacker attacks, and can reduce the security management operation cost.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例による共通セキュリティプラットフォームの構成を示すブロック図である。図1において、共通セキュリティプラットフォーム1は不正侵入防止システム(IPS:Intrusion Prevention System)2と、SSL(Secure Sockets Layer)−VPN(Virtual Private Network)ゲートウェイ装置3と、認証システム4と、ルータ11,12と、ハブ13とから構成されている。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a common security platform according to an embodiment of the present invention. In FIG. 1, a common security platform 1 includes an unauthorized intrusion prevention system (IPS) 2, an SSL (Secure Sockets Layer) -VPN (Virtual Private Network) gateway device 3, an authentication system 4, and routers 11 and 12. And the hub 13.

共通セキュリティプラットフォーム1はリモート接続用端末50,51が接続されたインタネット100にルータ11を介して接続され、企業A社内業務システム6及び企業B社内業務システム7が接続されたIP−VPN(Internet Protocol−Virtual Private Network)200にルータ12を介して接続されている。   The common security platform 1 is connected via the router 11 to the Internet 100 to which the remote connection terminals 50 and 51 are connected, and the IP-VPN (Internet Protocol) to which the company A in-house business system 6 and the company B in-house business system 7 are connected. -Virtual Private Network) 200 is connected via the router 12.

不正侵入防止システム2は外部からの悪意のある攻撃者を検出するための機能を備えた装置であり、SSL−VPNゲートウェイ装置3はリモート接続用端末50,51(リモートアクセスユーザ)と企業A社内業務システム6及び企業B社内業務システム7のサーバとを接続する装置である。   The unauthorized intrusion prevention system 2 is a device having a function for detecting a malicious attacker from the outside, and the SSL-VPN gateway device 3 includes remote connection terminals 50 and 51 (remote access users) and a company A company. This is a device for connecting the business system 6 and the server of the company B internal business system 7.

認証システム4はリモートアクセスユーザを認証してアクセス権限を規定するための装置であり、SSL−VPNゲートウェイ装置3とはRADIUS(Remote Authentication Dial−In User Service)プロトコルで通信を実施する。   The authentication system 4 is a device for authenticating a remote access user and defining an access authority, and communicates with the SSL-VPN gateway device 3 by a RADIUS (Remote Authentication Dial-In User Service) protocol.

ルータ11,12はそれぞれインタネット100に接続し、IP−VPN200で企業A社内業務システム6及び企業B社内業務システム7へ接続するための装置である。   The routers 11 and 12 are devices for connecting to the Internet 100 and connecting to the company A in-house business system 6 and the company B in-house business system 7 by the IP-VPN 200.

リモート接続用端末50,51はリモートアクセスで企業A社内業務システム6及び企業B社内業務システム7に接続するための端末で、SSL−VPNゲートウェイ装置3にアクセスして認証を受けた後、各ユーザが許可された社内業務システムとの通信が可能となる。   The remote connection terminals 50 and 51 are terminals for connecting to the company A in-house business system 6 and the company B in-house business system 7 by remote access. After accessing the SSL-VPN gateway apparatus 3 and receiving authentication, each user Communication with an in-house business system that is permitted is possible.

図2は図1の不正侵入防止システム2の構成を示すブロック図である。図2において、不正侵入防止システム2は監視検出手段21と、パケット識別手段22と、通信手段23とを備えている。   FIG. 2 is a block diagram showing the configuration of the unauthorized intrusion prevention system 2 of FIG. In FIG. 2, the unauthorized intrusion prevention system 2 includes monitoring detection means 21, packet identification means 22, and communication means 23.

パケット識別手段22は宛先IP(Internet Protocol)アドレスやドメイン名からトラヒックを企業毎に識別する。監視検出手段21はパケット識別手段22によって識別されたパケットから企業毎にポートスキャン等の事前探索行為を監視し、事前探索行為の検出時にそのTCP(Transmission Control Protocol)セッションからのパケットをシャットダウンする。通信手段23はTCPパケット通信を実施する。   The packet identification unit 22 identifies traffic for each company from a destination IP (Internet Protocol) address or a domain name. The monitoring detection unit 21 monitors a pre-search act such as a port scan for each company from the packet identified by the packet identification unit 22, and shuts down a packet from the TCP (Transmission Control Protocol) session when the pre-search activity is detected. The communication unit 23 performs TCP packet communication.

図3は図1のSSL−VPNゲートウェイ装置3の構成を示すブロック図である。図3において、SSL−VPNゲートウェイ装置3は通信手段31と、認証通信手段32と、パスワード不正取得検出手段33とを備えている。尚、図示していないが、SSL−VPNゲートウェイ装置3はファイアウォール手段を持ち、認証通信手段32は認証システム4へのプロトコル変換手段を備えている。   FIG. 3 is a block diagram showing a configuration of the SSL-VPN gateway apparatus 3 of FIG. In FIG. 3, the SSL-VPN gateway device 3 includes a communication unit 31, an authentication communication unit 32, and an unauthorized password acquisition detection unit 33. Although not shown, the SSL-VPN gateway device 3 has firewall means, and the authentication communication means 32 has protocol conversion means for the authentication system 4.

図4は図3に示すSSL−VPNゲートウェイ装置3の動作を示すフローチャートであり、図5は図2に示す不正侵入防止システム2の動作を示すフローチャートである。これら図1〜図5を参照して本発明の一実施例による共通セキュリティプラットフォーム1の動作について説明する。尚、図4及び図5に示す処理は、図示していないが、SSL−VPNゲートウェイ装置3及び不正侵入防止システム2においてそれぞれCPU(中央処理装置)がプログラムを記録媒体からRAM(ランダムアクセスメモリ)に移して実行することで実現される。この場合、CPU、RAM、記録媒体はコンピュータシステムを構成する。   4 is a flowchart showing the operation of the SSL-VPN gateway apparatus 3 shown in FIG. 3, and FIG. 5 is a flowchart showing the operation of the unauthorized intrusion prevention system 2 shown in FIG. The operation of the common security platform 1 according to an embodiment of the present invention will be described with reference to FIGS. The processing shown in FIGS. 4 and 5 is not shown, but in the SSL-VPN gateway device 3 and unauthorized intrusion prevention system 2, the CPU (central processing unit) loads a program from a recording medium to a RAM (random access memory). It is realized by moving to and executing. In this case, the CPU, RAM, and recording medium constitute a computer system.

まず、企業Aの社員であるユーザがリモート接続用端末50から自社の企業A社内業務システム6へリモートアクセスするためには、SSL−VPNゲートウェイ装置3の企業A用Webサーバ(図示せず)のIPアドレスを指定して通信を開始するか(リバースプロキシ機能)、接続したい社内業務サーバ(図示せず)のアドレスをリモート接続用端末50からのセッションデータに付加して通信する(セッションレイヤによる転送機能)という方法がある。   First, in order for a user who is an employee of company A to remotely access the company A in-house business system 6 from the remote connection terminal 50, a company A Web server (not shown) of the SSL-VPN gateway apparatus 3 is used. Start communication by specifying an IP address (reverse proxy function), or add the address of an in-house business server (not shown) to be connected to the session data from the remote connection terminal 50 and perform communication (transfer by session layer) Function).

SSL−VPNゲートウェイ装置3はリモート接続用端末50からのパケットを通信手段31で受け取ると(図4ステップS1)、そのパケットのデータから企業を識別し(図4ステップS2)、該当する企業用Webサーバからリモート接続用端末50へパスワード入力画面を出力して認証を促す(図4ステップS3)。   When the SSL-VPN gateway apparatus 3 receives the packet from the remote connection terminal 50 by the communication means 31 (step S1 in FIG. 4), the company identifies the company from the data of the packet (step S2 in FIG. 4), and the corresponding corporate web The server prompts authentication by outputting a password input screen to the remote connection terminal 50 (step S3 in FIG. 4).

リモート接続用端末50ではパスワード入力画面を受け取ると、そのパスワード入力画面ユーザに提示し、ユーザによって入力されたパスワードをSSL−VPNゲートウェイ装置3に返送する。   Upon receiving the password input screen, the remote connection terminal 50 presents the password input screen to the user, and returns the password input by the user to the SSL-VPN gateway apparatus 3.

SSL−VPNゲートウェイ装置3はリモート接続用端末50から受け取ったパスワードを認証システム4に転送して認証可否応答を得る(図4ステップS4,S5)。   The SSL-VPN gateway apparatus 3 transfers the password received from the remote connection terminal 50 to the authentication system 4 and obtains an authentication permission response (steps S4 and S5 in FIG. 4).

SSL−VPNゲートウェイ装置3は認証可否応答が認証OKの場合(図4ステップS6)、リバースプロキシ機能の利用時であれば、アプリケーション毎にSSL−VPNゲートウェイ装置3に規定されているIPアドレスへパケットを転送し、アプリケーションセッションが開放されるまで通信を継続させる。   If the authentication permission response is OK (step S6 in FIG. 4), the SSL-VPN gateway apparatus 3 sends a packet to the IP address defined in the SSL-VPN gateway apparatus 3 for each application if the reverse proxy function is used. The communication is continued until the application session is released.

また、SSL−VPNゲートウェイ装置3はセッションレイヤによる転送機能の利用時であれば、接続したい社内業務サーバのアドレスをリモート接続用端末50からのセッションデータに付加されて指示されたIPアドレスにセッションを設定し、通信を実施する(図4ステップS7)。   In addition, when the SSL-VPN gateway apparatus 3 uses the transfer function of the session layer, the address of the in-house business server to be connected is added to the session data from the remote connection terminal 50 and the session is sent to the designated IP address. Set and implement communication (step S7 in FIG. 4).

一方、SSL−VPNゲートウェイ装置3は企業Aの社員であるユーザがセッション接続中に、企業Bの社員であるユーザがリモート接続用端末51において自社の企業B社内業務システム7をリモートアクセスする場合、IPアドレスとポート番号とで企業識別した後に、上記と同様の処理が実施され、不正侵入防止システム2やSSL−VPNゲートウェイ装置3を含む共通セキュリティプラットフォーム1がリモート接続用端末50,51によって共有され、企業A社内業務システム6及び企業B社内業務システム7各々への接続が可能となる。   On the other hand, when the user who is an employee of company A is in session connection, the user who is an employee of company B remotely accesses the company B in-house business system 7 in the remote connection terminal 51 when the user who is an employee of company A is in session connection. After identifying the company by IP address and port number, the same processing as described above is performed, and the common security platform 1 including the unauthorized intrusion prevention system 2 and the SSL-VPN gateway apparatus 3 is shared by the remote connection terminals 50 and 51. The connection to the company A internal business system 6 and the company B internal business system 7 is possible.

不正侵入防止システム2はセキュリティサービス提供者の共通セキュリティプラットフォーム1に設置され、図2及び図5に示すように、外部からの不正侵入を試みる悪意のあるユーザが必ず実施するポートスキャンを見張っており(図5ステップS11)、ポートスキャンを検出すると(図5ステップS12)、そのポートスキャンに対して擬似ポートを、本来のサーバに成りすまして回答する(図5ステップS13)。   The unauthorized intrusion prevention system 2 is installed in the security service provider's common security platform 1, and as shown in FIG. 2 and FIG. 5, keeps an eye on the port scan that is always carried out by a malicious user who attempts unauthorized intrusion from the outside. (Step S11 in FIG. 5) When a port scan is detected (Step S12 in FIG. 5), a pseudo port is replied to the port scan as if it were an original server (Step S13 in FIG. 5).

その結果、不正侵入防止システム2は回答した擬似ポートに対して攻撃が仕掛けられてくると(図5ステップS14)、その擬似ポートに対するTCPセッションを遮断する(図5ステップS15)。これらの機能はセッションID(識別情報)等で企業毎に管理し、処理している。   As a result, when the intrusion prevention system 2 is attacked on the answered pseudo port (step S14 in FIG. 5), the TCP session for the pseudo port is blocked (step S15 in FIG. 5). These functions are managed and processed for each company by session ID (identification information) or the like.

一方、SSL−VPNゲートウェイ装置3は通信手段31にて、複合されたセッションデータやアプリケーションデータ内の認証データを用いた認証システム4とのやりとりを見張り、認証NGの連続回数が予め設定された閾値(規定回数)を超えると(図4ステップS8)、そのセッションの遮断を実施するので(図4ステップS9)、従来の不正侵入防止システムでは検出することができなかったパスワードの不正入手を監視することができるようになる。   On the other hand, the SSL-VPN gateway device 3 looks at the communication with the authentication system 4 using the authentication data in the combined session data and application data in the communication means 31, and a threshold value in which the number of consecutive authentication NGs is set in advance. If it exceeds (the specified number of times) (step S8 in FIG. 4), the session is blocked (step S9 in FIG. 4), and unauthorized acquisition of a password that could not be detected by the conventional unauthorized intrusion prevention system is monitored. Will be able to.

このように、本実施例では、従来の不正侵入防止システムで検出することができなかったパスワードの不正入手を監視することができるようになるので、セキュリティレベルを向上させることができる。   In this way, in this embodiment, since it becomes possible to monitor unauthorized acquisition of passwords that could not be detected by the conventional unauthorized intrusion prevention system, the security level can be improved.

また、本実施例では、共通セキュリティプラットフォーム1を複数の企業で共有することができ、インフラのみでなく、セキュリティ管理運用者も共有することが可能になるので、セキュリティ管理運用コストを低減することができる。特に、上記の共通セキュリティプラットフォーム1がセキュリティサービスとして提供される場合、初期投資が不要となり、そのセキュリティ管理運用コストの低減効果は顕著である。   Further, in this embodiment, the common security platform 1 can be shared by a plurality of companies, and not only the infrastructure but also the security management operator can be shared, so that the security management operation cost can be reduced. it can. In particular, when the common security platform 1 is provided as a security service, initial investment is not required, and the effect of reducing the security management operation cost is remarkable.

本発明の一実施例による共通セキュリティプラットフォームの構成を示すブロック図である。It is a block diagram which shows the structure of the common security platform by one Example of this invention. 図1の不正侵入防止システムの構成を示すブロック図である。It is a block diagram which shows the structure of the unauthorized intrusion prevention system of FIG. 図1のSSL−VPNゲートウェイ装置の構成を示すブロック図である。It is a block diagram which shows the structure of the SSL-VPN gateway apparatus of FIG. 図3に示すSSL−VPNゲートウェイ装置の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the SSL-VPN gateway apparatus shown in FIG. 図2に示す不正侵入防止システムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the unauthorized intrusion prevention system shown in FIG.

符号の説明Explanation of symbols

1 共通セキュリティプラットフォーム
2 不正侵入防止システム
3 SSL−VPNゲートウェイ装置
4 認証システム
6 企業A社内業務システム
7 企業B社内業務システム
11,12 ルータ
13 ハブ
21 監視検出手段
22 パケット識別手段
23,31 通信手段
32 認証通信手段
33 パスワード不正取得検出手段
50,51 リモート接続用端末
100 インタネット
200 IP−VPN
1 Common security platform
2 Unauthorized intrusion prevention system
3 SSL-VPN gateway device
4 Authentication system
6 Company A internal business system
7 Company B internal business system 11, 12 router 13 hub 21 monitoring detection means 22 packet identification means 23, 31 communication means 32 authentication communication means 33 illegal password acquisition detection means 50, 51 remote connection terminal 100 Internet 200 IP-VPN

Claims (15)

複数のリモート接続用端末を各々対応する社内業務システムに接続するゲートウェイ装置を含む共通セキュリティプラットフォームであって、
外部からのパスワード不正取得攻撃を認識する手段と、その認識されたパスワード不正取得攻撃の発信元との接続を遮断する手段とを前記ゲートウェイ装置に有し、
外部からの不正アクセスを認識する手段と、その認識された不正アクセスの発信元との接続を遮断する手段とを含む不正侵入防止システムを有し、
前記ゲートウェイ装置及び前記不正侵入防止システムを複数の社内業務システムで共有することを特徴とする共通セキュリティプラットフォーム。 A common security platform including a gateway device that connects a plurality of remote connection terminals to a corresponding in-house business system,
The gateway device has means for recognizing an illegal password acquisition attack from the outside, and means for blocking the connection with the recognized source of the unauthorized password acquisition attack,
An unauthorized intrusion prevention system including means for recognizing unauthorized access from outside and means for blocking connection with the recognized unauthorized access source;
A common security platform, wherein the gateway device and the unauthorized intrusion prevention system are shared by a plurality of in-house business systems. 前記社内業務システムにアクセスする端末の認証を行う認証システムを含むことを特徴とする請求項1記載の共通セキュリティプラットフォーム。   The common security platform according to claim 1, further comprising an authentication system that authenticates a terminal that accesses the in-house business system. 前記リモート接続用端末から前記社内業務システムへのアクセス時に前記リモート接続用端末からの認証データを前記認証システムへ転送する手段と、前記リモート接続用端末が前記認証システムにて認証された時に当該リモート接続用端末と前記社内業務システムとの間を接続する手段とを前記ゲートウェイ装置に含み、
前記ゲートウェイ装置は、前記認証システムとの通信を監視して前記認証システムからの認証不可の連続回数が予め設定した規定回数以上となった時に前記認証不可となった通信を遮断することを特徴とする請求項2記載の共通セキュリティプラットフォーム。 Means for transferring authentication data from the remote connection terminal to the authentication system when the remote connection terminal accesses the in-house business system, and the remote connection terminal when the remote connection terminal is authenticated by the authentication system. Means for connecting between the connection terminal and the in-house business system in the gateway device,
The gateway device monitors communication with the authentication system and cuts off the communication that has become unauthenticated when the number of consecutive unauthenticated times from the authentication system exceeds a preset number of times. The common security platform according to claim 2. 前記ゲートウェイ装置は、SSL−VPN(Secure Sockets Layer−Virtual Private Network)ゲートウェイ装置であることを特徴とする請求項1から請求項3のいずれか記載の共通セキュリティプラットフォーム。   4. The common security platform according to claim 1, wherein the gateway device is an SSL-VPN (Secure Sockets Layer-Virtual Private Network) gateway device. 5. 少なくとも宛先IP(Internet Protocol)アドレス及びドメイン名からトラヒックを前記社内業務システム毎に識別するパケット識別手段を前記不正侵入防止システムに含み、
前記不正侵入防止システムは、前記パケット識別手段で識別されたパケットに対して前記社内業務システム毎に少なくともポートスキャンを含む事前探索行為を監視して前記事前探索行為の検出時に当該パケットによる通信を遮断することを特徴とする請求項1から請求項4のいずれか記載の共通セキュリティプラットフォーム。 The unauthorized intrusion prevention system includes packet identification means for identifying traffic for each in-house business system from at least a destination IP (Internet Protocol) address and a domain name,
The unauthorized intrusion prevention system monitors a pre-search act including at least a port scan for each in-house business system with respect to the packet identified by the packet identification unit, and communicates with the packet when the pre-search act is detected. The common security platform according to claim 1, wherein the common security platform is blocked. 各々対応するリモート接続用端末が接続される複数の社内業務システムに共有される不正侵入防止システムであって、
外部からの不正アクセスを認識する手段と、その認識された不正アクセスの発信元との接続を遮断する手段とを有することを特徴とする不正侵入防止システム。 An unauthorized intrusion prevention system that is shared by a plurality of in-house business systems to which corresponding remote connection terminals are connected,
An unauthorized intrusion prevention system comprising: means for recognizing unauthorized access from outside; and means for blocking connection with a recognized unauthorized access source. 少なくとも宛先IP(Internet Protocol)アドレス及びドメイン名からトラヒックを前記社内業務システム毎に識別するパケット識別手段を含み、
前記不正侵入防止システムは、前記パケット識別手段で識別されたパケットに対して前記社内業務システム毎に少なくともポートスキャンを含む事前探索行為を監視して前記事前探索行為の検出時に当該パケットによる通信を遮断することを特徴とする請求項6記載の不正侵入防止システム。 A packet identifying means for identifying traffic for each in-house business system from at least a destination IP (Internet Protocol) address and a domain name;
The unauthorized intrusion prevention system monitors a pre-search act including at least a port scan for each in-house business system with respect to the packet identified by the packet identification unit, and communicates with the packet when the pre-search act is detected. The unauthorized intrusion prevention system according to claim 6, wherein the system is blocked. 複数のリモート接続用端末を複数の社内業務システムのうちの対応するシステムに接続しかつ前記複数の社内業務システムに共有されるゲートウェイ装置であって、
外部からのパスワード不正取得攻撃を認識する手段と、その認識されたパスワード不正取得攻撃の発信元との接続を遮断する手段とを有することを特徴とするゲートウェイ装置。 A gateway device that connects a plurality of remote connection terminals to a corresponding system among a plurality of in-house business systems and is shared by the plurality of in-house business systems,
A gateway apparatus comprising: means for recognizing an illegal password acquisition attack from outside; and means for blocking a connection with a source of the recognized unauthorized password acquisition attack. 前記リモート接続用端末から前記社内業務システムへのアクセス時に前記リモート接続用端末からの認証データを前記認証システムへ転送する手段と、前記リモート接続用端末が前記認証システムにて認証された時に当該リモート接続用端末と前記社内業務システムとの間を接続する手段とを含み、
前記認証システムとの通信を監視して前記認証システムからの認証不可の連続回数が予め設定した規定回数以上となった時に前記認証不可となった通信を遮断することを特徴とする請求項8記載のゲートウェイ装置。 Means for transferring authentication data from the remote connection terminal to the authentication system when the remote connection terminal accesses the in-house business system, and the remote connection terminal when the remote connection terminal is authenticated by the authentication system. Means for connecting between the connection terminal and the in-house business system,
9. The communication with the authentication system is monitored, and the communication that has become unauthenticated is blocked when the number of consecutive authentication failures from the authentication system exceeds a predetermined number of preset times. Gateway device. SSL−VPN(Secure Sockets Layer−Virtual Private Network)ゲートウェイ装置であることを特徴とする請求項8または請求項9記載のゲートウェイ装置。   10. The gateway device according to claim 8, wherein the gateway device is an SSL-VPN (Secure Sockets Layer-Virtual Private Network) gateway device. 複数のリモート接続用端末を複数の社内業務システムのうちの対応するシステムに接続するゲートウェイ装置を含む共通セキュリティプラットフォームに用いられる不正侵入防止方法であって、
前記ゲートウェイ装置が、外部からのパスワード不正取得攻撃を認識した時にその認識されたパスワード不正取得攻撃の発信元との接続を遮断し、
前記ゲートウェイ装置と、外部からの不正アクセスを認識した時にその認識された不正アクセスの発信元との接続を遮断する不正侵入防止システムとを複数の社内業務システムで共有することを特徴とする不正侵入防止方法。 An unauthorized intrusion prevention method used in a common security platform including a gateway device for connecting a plurality of remote connection terminals to a corresponding system among a plurality of internal business systems,
When the gateway device recognizes a password fraud acquisition attack from the outside, the gateway device is disconnected from the recognized password fraud acquisition attack source,
An unauthorized intrusion characterized in that a plurality of in-house business systems share the gateway device and an unauthorized intrusion prevention system that blocks connection between the recognized unauthorized access source when an unauthorized access from the outside is recognized Prevention method. 前記社内業務システムにアクセスする端末の認証を認証システムにて行うことを特徴とする請求項11記載の不正侵入防止方法。   12. The unauthorized intrusion prevention method according to claim 11, wherein authentication of a terminal accessing the in-house business system is performed by an authentication system. 前記ゲートウェイ装置側に、前記リモート接続用端末から前記社内業務システムへのアクセス時に前記リモート接続用端末からの認証データを前記認証システムへ転送する処理と、前記リモート接続用端末が前記認証システムにて認証された時に当該リモート接続用端末と前記社内業務システムとの間を接続する処理と、前記認証システムとの通信を監視して前記認証システムからの認証不可の連続回数が予め設定した規定回数以上となった時に前記認証不可となった通信を遮断する処理とを含むことを特徴とする請求項12記載の不正侵入防止方法。   A process of transferring authentication data from the remote connection terminal to the authentication system when the remote connection terminal accesses the in-house business system from the remote connection terminal; The process of connecting between the remote connection terminal and the in-house business system when authenticated, and the communication with the authentication system is monitored, and the number of consecutive authentication failures from the authentication system is equal to or more than a predetermined number of times set in advance. The unauthorized intrusion prevention method according to claim 12, further comprising: a process of cutting off the communication that cannot be authenticated. 前記ゲートウェイ装置がSSL−VPN(Secure Sockets Layer−Virtual Private Network)ゲートウェイ装置であることを特徴とする請求項11から請求項13のいずれか記載の不正侵入防止方法。   The unauthorized intrusion prevention method according to claim 11, wherein the gateway device is an SSL-VPN (Secure Sockets Layer-Virtual Private Network) gateway device. 前記不正侵入防止システム側に、少なくとも宛先IP(Internet Protocol)アドレス及びドメイン名からトラヒックを前記社内業務システム毎に識別する処理と、その識別されたパケットに対して前記社内業務システム毎に少なくともポートスキャンを含む事前探索行為を監視して前記事前探索行為の検出時に当該パケットによる通信を遮断する処理とを含むことを特徴とする請求項11から請求項14のいずれか記載の不正侵入防止方法。
On the unauthorized intrusion prevention system side, processing for identifying traffic for each in-house business system from at least a destination IP (Internet Protocol) address and a domain name, and at least port scanning for the identified packet for each in-house business system The unauthorized intrusion prevention method according to claim 11, further comprising: a process of monitoring a pre-search act including a message and interrupting communication by the packet when the pre-search act is detected.
JP2004177699A 2004-06-16 2004-06-16 Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method Pending JP2006005503A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004177699A JP2006005503A (en) 2004-06-16 2004-06-16 Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004177699A JP2006005503A (en) 2004-06-16 2004-06-16 Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method

Publications (1)

Publication Number Publication Date
JP2006005503A true JP2006005503A (en) 2006-01-05

Family

ID=35773536

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004177699A Pending JP2006005503A (en) 2004-06-16 2004-06-16 Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method

Country Status (1)

Country Link
JP (1) JP2006005503A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8516239B2 (en) 2010-04-23 2013-08-20 Fuji Xerox Co., Ltd. Virtual authentication proxy server and terminal authentication server

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8516239B2 (en) 2010-04-23 2013-08-20 Fuji Xerox Co., Ltd. Virtual authentication proxy server and terminal authentication server

Similar Documents

Publication Publication Date Title
JP4911018B2 (en) Filtering apparatus, filtering method, and program causing computer to execute the method
US7137145B2 (en) System and method for detecting an infective element in a network environment
US8910255B2 (en) Authentication for distributed secure content management system
US7752320B2 (en) Method and apparatus for content based authentication for network access
JP4168052B2 (en) Management server
US20060282893A1 (en) Network information security zone joint defense system
US20070294759A1 (en) Wireless network control and protection system
JP2008015786A (en) Access control system and access control server
WO2001078312A1 (en) Method and system for website content integrity
JP2006295929A (en) Device and method
CN111131172B (en) Method for actively calling service by intranet
KR20150114921A (en) System and method for providing secure network in enterprise
KR20200098181A (en) Network security system by integrated security network card
KR101818508B1 (en) System, method and computer readable recording medium for providing secure network in enterprise
JP4039361B2 (en) Analysis system using network
CN114254352A (en) Data security transmission system, method and device
JP2006005503A (en) Shared security platform, illegitimate intrusion preventing system, gateway apparatus, and illegitimate intrusion preventing method
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
Tian et al. Network Security and Privacy Architecture
Phan et al. Threat detection and mitigation with MonB5G components in the aLTEr scenario
JP2011030223A (en) Flow-based dynamic access control system and method
Holik Protecting IoT Devices with Software-Defined Networks
KR20020096194A (en) Network security method and system for integration security network card
CN118449742A (en) Network security control method, system and device based on zero trust
CN114499817A (en) Safety protection method facing OPC-UA protocol