October 14, 2004

せきゅすいっち

半年くらい前に、新しいL2スイッチの概念を考えたのですが、誰にも相手にされなかったので、ここに掲載します。だれか製品化しませんか? あればあったで便利だと思うんだけどなあ。

SecuSwitchは、既存のL2スイッチと異なり、ポートが上流ポートと下流ポートに分けられています。通常は上流ポートが一つで、下流ポートが複数となります。特徴的なのは、下流ポートから流れたパケットは無条件で上流ポートに転送されます。上流ポートから流れたパケットは、下流ポートへと流れます。(これは通常のL2スイッチと同じようにMAC記憶に基づいて流れます)

なぜそのようにするかというと、通常の職場などのネットワークでは、クライアント同士が直接に通信をすることは少なく、不必要であるからです。クライアント同士の通信は、ワームの蔓延、ファイル共有への攻撃など多くの問題を引き起こします。であれば、クライアント同士の通信を遮断してしまえばよいのです。ファイル共有にはファイルサーバを使えばよろしい。

このSecuSwitchを使えば、不許可端末の接続によるワーム蔓延など、今まで防ぐことが困難であった問題を簡単に防ぐことができます。コスト的には従来のL2スイッチと同じでOKです。ぜひSecuSwitchを製品化して、日本のセキュリティを向上させましょう。

Posted by arai at October 14, 2004 03:08 AM
Comments

せきゅすいっちには、スイッチを全部新しいハードウェアで置き換えなければならないというデメリットがありました。そういうわけで残念ながら誰も製品化してくれない現状では使うことができなかったのです。

それをなんとDHCPサーバソフトウェアの更新だけで使えるような論文を発見しました。くあー、言われてみればすぐ理解できるんだけど、これを思いつくほどのネットワーク知識はなかったなあ。

「ルータ上のパケットフィルタで端末間通信を処理するためのDHCPサーバ構成法 」

http://fw8.bookpark.ne.jp/cm/ipsj/search_test.asp?flag=6&keyword=IPSJ-JNL4604013&mode=PRT

悔しい半面、みんなに「なんにつかうの、それ?」とかコケにされたものも頑張れば有用なものになるのだなあ。と学ぶことができてうれしい。あと需要を感じてるのは僕だけじゃなかった。

教訓: 研究するとき人の激励は期待するな。
愚痴: 研究者の他人をコケにする風潮はきらいだ。

Posted by: arai on April 22, 2005 09:08 PM

これは既にもうありますね。
CiscoのIOSで言うprotected portですね。
しかしながら、protected portを実装することにより
クライアント間のアクセスポリシーを適切に制御すること
が可能になりますので、よりセキュアな環境構築が可能
になると私も思います。

Posted by: たけし on June 24, 2008 02:45 PM
Post a comment














Please enter this 6digits Security Code (for SPAM's sake...).
spam対策のため6桁のセキュリティコードを入力してください。