-
Die
Erfindung betrifft ein Verfahren und eine Vorrichtung zur Gewährleistung
eines Zugriffsschutzes in einem Shared-Medium-Netz mit mehreren Teilnehmern.
-
Ein
Shared-Medium-Netz liegt dann vor, wenn alle Netzteilnehmer Zugriff
auf dasselbe Medium haben. Bei einem Einsatz eines solchen von mehreren
Teilnehmern gemeinsam genutzten Netzwerkes, z.B. zum Zweck eines
zentralen Internetzugangs über
ein Shared Medium, sind Vorkehrungen erforderlich, die eine Kommunikation
zwischen den Teilnehmern und damit ein unerlaubtes datentechnisches
Eindringen in die Endgeräte
verhindern.
-
Shared-Medium-Techniken,
die in diese Kategorie fallen, sind beispielsweise „HomePlug".(Nutzung der Stromleitung
als Shared Medium) oder „Cable-LAN" (Nutzung des Antennenanschlusses
bzw. eines TV-Koaxial-Kabels als Shared Medium). Dabei sind die
Endgeräte
(PCs, Notebooks etc.) über
Adapter an das Shared Medium angeschlossen. Üblicherweise werden für einen
Zugriffsschutz Paketfilter auf den Netzebenen 2 und 3 bereits in
den Adaptern eingesetzt. Fehlen diese Filter, wie z.B. im Falle
von „HomePlug"-Adaptern beim Einsatz
in Hotels oder Mehrfamilienhäusern;
ist ein ausreichender Zugriffsschutz nur mit großem Aufwand zu erreichen.
-
Aus
der
US 6,393,484 B1 ist
ein Verfahren zur Gewährleistung
eines Zugriffsschutzes zu einem Shared-Medium-Netz bekannt.
-
Ein
Zugriffsschutz wird dabei durch ein kompliziertes Verfahren unter
Verwendung eines DHCP-Servers und einer Datenbank erreicht, wobei die
Gültigkeit
eines Zugriffes anhand der MAC-Adressen der Benutzer überprüft wird.
-
Aufgabe
der vorliegenden Erfindung ist es, mit einfachen Mitteln einen sicheren
Zugriffsschutz für
ein Shared-Medium-Netz
bereitzustellen.
-
Diese
Aufgabe wird durch ein Verfahren nach Anspruch 1 bzw. 6 sowie durch
eine Vorrichtung nach Anspruch 4 bzw. ein Computerprogramm nach Anspruch
7 gelöst.
-
Danach
umfasst das erfindungsgemäße Verfahren
den Aufbau einer logischen Netzwerkstruktur durch Vergeben von Adressen
an die Teilnehmer, das Überwachen
der Datenübertragung
in dem Shared-Medium-Netz, und das Durchführen einer Folgeaktion, wenn
bei der Überwachung
eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt
wird.
-
Die
erfindungsgemäße Vorrichtung
umfasst eine Vergabeeinheit zum Aufbau einer logischen Netzwerkstruktur
durch Vergeben von Adressen an die Teilnehmer, eine Überwachungseinheit
zum Überwachender
Datenübertragung
in dem Shared-Medium-Netz, und eine Aktionseinheit zum Durchführen einer
Folgeaktion, wenn bei der Überwachung
eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt
wird.
-
Die
Erfindung kann auch in Form eines Computerpogramms. implementiert
sein. Erfindungsgemäß umfasst
das Computerprogramm Computerprogrammbefehle zum Aufbau einer logischen
Netzwerkstruktur durch Vergeben von Adressen an die Teilnehmer,
Computerprogrammbefehle zum Überwachen
der Datenübertragung
in dem Shared-Medium-Netz, und Computerprogrammbefehle zum Durchführen einer
Folgeaktion, wenn bei der Überwachung
eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt
wird. Das erfindungsgemäße Verfahren
läuft ab,
wenn das Computerprogramm auf einem Rechner ausgeführt wird.
-
Ein
Grundgedanke der Erfindung liegt darin, den Zugriffsschutz in einem
Shared-Medium-Netz durch ein spezielles Adressvergabeverfahren an
alle Teilnehmer und eine Überwachung
der Adressnutzung sicherzustellen. Diese Vorgehensweise ermöglicht einen
leicht zu realisierenden, preiswerten Zugriffsschutz ohne den Einsatz
zusätzlicher,
aufwändig
modifizierter Hardware oder Software (Firewalls oder dergleichen).
-
Gemäß einer
besonders vorteilhaften Ausführungsform
der Erfindung erfolgt die Adressvergabe und die Überwachung durch einen Gateway, über den
ein Shared-Medium-Netz-Segment mit mehreren Teilnehmern an das Internet
oder ein anderes Netzwerk angeschlossen ist. Die Adressvergabe erfolgt
vorteilhafterweise über
einen modifizierten Dynamic Host Configuration Protocol (DHCP)-Server derart,
dass jeder Teilnehmer in einem eigenen IP-Subnetz liegt, so dass
sämtliche
Kommunikation des Teilnehmers über
das Gateway erfolgen muss. Mit anderen Worten „sehen sich" die Teilnehmer untereinander
nicht. Bei einem Verstoß gegen
die Subnetz-Regel
wird der Teilnehmer über
ein geeignetes Deaktivierungskommando von dem Shared-Medium getrennt.
-
Hierdurch
ist eine besonders sichere und einfach zu realisierende „Client-to-Client
Protection" möglich. Mit
anderen Worten wird sichergestellt, dass die das Shared Medium nutzenden
Teilnehmer gegenseitig vor Eingriffen geschützt sind. Eine nicht autorisierte
Benutzung wird sicher verhindert. Die erfindungsgemäße Zugriffskontrolle
ist einfach zu implementieren und kann auch bei vorhandenen Shared-Medium-Netzen
eingesetzt werden.
-
Die
Erfindung sowie weitere vorteilhafte Ausführungsformen werden nachfolgend
anhand von Ausführungsbeispielen
näher beschrieben,
die mit Hilfe der Zeichnungen erläutert werden. Hierbei zeigen:
-
1 eine
schematische Darstellung eines Shared-Medium-Netzes,
-
2 ein
Nummernschema für
ein Shared-Medium-Netz, und
-
3 eine
Netzsicht eines Gateways.
-
Wie
in 1 gezeigt, ist ein Segment eines Shared-Medium-Netzes 1 mit
mehreren Teilnehmern über
ein Gateway 2 mit dem Internet 3 verbunden. Als
Shared Medium dient dabei das Stromnetz eines Hauses oder dergleichen.
Die teilnehmenden Endgeräte,
im vorliegenden Fall n Client-PCs 4, sind über PowerLine-Adapter 5 mit
dem Shared Medium verbunden. Die PowerLine-Adapter 5, die über eine
eigene Medium Access Control (MAC)-Adresse verfügen, dienen der Datenübertragung
zwischen den Client-PCs 4 und dem Gateway 2. Der
PowerLine-Adapter 5' dient dem direkten
Anschluss des Gateways 2 über dessen Ethernet-Schnittstelle
an das Shared-Medium-Netz 1. Alternativ hierzu kann das Gateway 2 auch
ein internes PowerLine-Modem aufweisen.
-
PowerLine-Adapter
(oder PowerLine-Modems) dienen zur Kommunikation über das
Stromnetz. Dabei wird für
jeden Teilnehmer ein Adapter (oder ein Modem) benötigt. Anstelle
eines Client-PCs kann es sich bei einem Teilnehmer auch um andere Endgeräte, wie
beispielsweise Notebooks etc. oder aber um einen Router oder einen
Hub/Switch handeln. Die PowerLine- Adapter werden mit einem Netzpasswort
versehen. Eine Kommunikation findet dann nur noch zwischen solchen
PowerLine-Adaptern statt, die das gleiche Netzpasswort verwenden.
Auf diese Weise ist es auch möglich,
mehrere voneinander getrennte Netze auf demselben physikalischen Medium,
z.B. dem Stromnetz, zu betreiben.
-
Auf
dem Gateway 2 wird eine DHCP-Server-Software ausgeführt. Diese
dient zur zentralen Konfiguration der Netzparameter, wie beispielsweise IP-Adresse,
Netzmaske, Domain Name Server (DNS), Default Gateway usw. eines
Client-PCs 4.
-
Aus
dem Stand der Technik ist es bekannt, dass einer DHCP-Server-Software hierzu
ein konfigurierbarer Pool an IP-Adressen
zur Verfügung
steht, wobei alle IP-Adressen innerhalb des Pools dem gleichen Subnetz
angehören
müssen,
zu dem auch das Gerät
gehört,
auf dem die DHCP-Server-Software abläuft. Die Subnetz-Adresse eines
PCs ergibt sich hierbei aus einer bit-weisen UND-Verknüpfung der Netzmaske
mit seiner IP-Adresse. Alle Geräte
mit der gleichen Subnetz-Adresse gehören zu einem Subnetz und sind
untereinander auf Netzebene „2" (Data Link Layer)
direkt erreichbar. Anfragen an Client-PCs aus einem anderen Subnetz laufen
dabei in der Regel über
ein Gateway bzw. einen Router im gleichen Subnetz.
-
Gemäß der Erfindung
vergibt nun die als Vergabeeinheit 6 dienende DHCP-Server-Software
dynamisch DHCP-Adressen zum Aufbau einer logischen Netzwerkstruktur
nach einem Schema, wonach jedem Client-PC 4 eine IP-Adresse 7, 8, 9 zugeordnet
wird, die in Verbindung mit der Netzmaske 10 ein eigenes
Subnetz bildet, in dem nur der Client-PC 4 und das Gateway 2 liegen.
Mit anderen Worten ist das Gateway 2 das einzige IP-Gerät, das der
Client-PC 4 in seinem LAN-Segment auf Netzebene „3" (Network Layer)
ansprechen kann. Hierzu wird auch dem Gateway 2 für jede einem
Client-PC 4 zugewiesene IP-Adresse 7, 8, 9 eine
entsprechende IP-Adresse 11, 12, 13 aus
dem gleichen Subnetz zugeordnet, d.h. dem Ethernet-Interface des
Gateways 2 ist für
jeden Client-PC 4 eine eigene IP-Adresse 11, 12, 13 zugeordnet,
die gleichzeitig dem Client-PC 4 als Default Gateway in
der Antwort auf seine DHCP-Anforderung
mitgeliefert wird. Dadurch wird erreicht, dass jede Anforderung
eines Client-PCs 4 an einen Teilnehmer ausserhalb seines
eigenen Subnetzes immer über
das Gateway 2 läuft.
-
Ein
sich hierdurch ergebendes Nummernschema ist beispielhaft in 2 dargestellt.
Auf IP-Ebene sind die Client-PCs 4 gegenseitig "unsichtbar", da aufgrund der
Netzmaske 10 jeder Client-PC 4 nur Datenpakete
aus seinem Netz (10.0.x) entgegennimmt. Mit anderen Worten sind
die Client-PCs 4 derart konfiguriert, dass eine Datenübertragung
ausschließlich über das
Gateway 2 erfolgt. Die Konfiguration der Client-PCs 4 erfolgt
vorzugsweise automatisch durch den DHCP-Server.
-
Um
eine Kommunikation ausschließlich über das
Gateway 2 zu gewährleisten,
muss durch geeignete Maßnahmen
sichergestellt werden, dass alle Client-PCs 4 ihre IP-Adressen über die
Vergabeeinheit 6 beziehen und keine Modifikationen an den
Einstellungen in den Client-PCs 4 vorgenommen werden.
-
Das
Gateway 2 umfasst hierzu eine Überwachungseinheit 14 zur Überwachung
der Kommunikation in dem Shared-Medium-LRN 1 mit dem Ziel,
Modifikationen an der Netzwerkstruktur zu erkennen.
-
Die Überwachung
des Datenverkehrs erfolgt dabei durch einfaches Mitlesen der übertragenen
Datenpakete am Shared Medium. Dieses Mitlesen erfolgt vorzugsweise
dadurch, dass das Ethernet-Interface in einen Modus gesetzt wird,
in dem unabhängig von
den Netz-Einstellungen und der MAC-Adresse des Ethernet-Interfaces
alle Datenpakete auf dem Shared Medium von einer Applikation gelesen
und verarbeitet werden können.
-
Die Überwachungseinheit 14 ist
derart ausgebildet, dass sie anhand der mitgelesenen Datenpakete
und den darin enthaltenen Informationen, insbesondere anhand der
MAC-Adresse des Absenders und bei IP-Paketen anhand der IP-Adresse
des Absenders, erkennt, ob die Datenpakete zu der vom Gateway 2 verwalteten
Netzwerkstruktur passen.
-
Hierzu
erfasst die Überwachungseinheit 14 die
MAC-Adressen von PowerLine-Adaptern 5 durch Pollen der
Adapter. Dies dient zugleich der Überwachung des Powerline-Netzes
für Netzmanagement-Anwendungen.
-
Weiterhin
erfasst die Überwachungseinheit 14 MAC-Adressen
von Client-PCs 4, denen per DHCP eine IP-Adresse 7, 8, 9 zugewiesen
wurde. Diese Erfassung erfolgt bei der Anforderung einer IP-Adresse 7, 8, 9 durch
einen Client-PC 4.
-
Darüber hinaus
werden die an die Client-PCs 4 vergebenen IP-Adressen 7, 8, 9 von
der Überwachungseinheit 14 erfasst.
Wenn die Vergabeeinheit 6 auf Anforderung eines Client-PCs 4 eine
IP-Adresse 7, 8, 9 vergibt (leased),
wird diese zusammen mit der zugehörigen MAC-Adresse 15, 16, 17 in
einer Tabelle (Leasetable) gespeichert. Jeder einzelne Eintrag (Lease)
ist mit einem Zeitstempel versehen, der den Zeitpunkt angibt, an
dem der Eintrag ungültig
wird. Dem Client-PC 4 wird somit, zum Beispiel nach einem
Reboot, wieder die gleiche IP-Adresse 7, 8, 9 zugewiesen,
solange der Eintrag mit seiner MAC-Adresse 15, 16, 17 noch
gültig
ist.
-
Schließlich erfolgt
durch die Überwachungseinheit 14 eine
Erfassung der MAC-Adresse 15, 16, 17 der
Client-PCs 4, die über
das Powerline-Netz erreichbar sind. Dies erfolgt durch das Auslesen
der Bridgingtabelle 21 des PowerLine-Adapters 5', an dem das
Gateway 2 direkt angeschlossen ist. Aus diesem PowerLine-Adapter 5' ist eine Liste
aus Tupeln von MAC-Adressen
auslesbar, wobei die eine MAC-Adresse des Tupels einen anderen,
entfernten PowerLine-Adapter 5 im selbem Powerline-Netz
repräsentiert
und die andere MAC-Adresse zu einem Client-PC 4 hinter
dem entfernten Powerline-Adapter 5 gehört. Diese Liste wird durch
den durch das Shared-Medium-Netz
fliessenden Datenverkehr ständig
aktualisiert. Auf diese Weise kann das Gateway 2 ermitteln,
welche Client-PCs 4 im Netz an welchem Powerline-Adapter 5 angeschlossen
sind.
-
Die
in 3 skizzierte Struktur definiert die Netzsicht
des Gateways 2 mit den Informationen aus den DHCP-Leases
sowie den Daten, die aus dem Powerline-Adapter 5 ausgelesen
werden. Abweichend von der Lease-Verwaltung einer herkömmlichen
DHCP-Server-Software
wird in der DHCP-Tabelle (Lease-Tabelle) 22 auch die MAC-Adresse 18, 19, 20 des
PowerLine-Adapters 5 mit abgelegt, über den der DHCP-Request gekommen
ist.
-
Die Überwachungseinheit 14 ist
weiter derart ausgebildet, dass sie Abweichungen vom Normalverkehr
erkennt. Unter „Normalverkehr" wird dabei der Verkehr
verstanden, der bei einer ordnungsgemäßen, d.h. der Subnetzregel
bzw. der Adressvergabe entsprechenden Nutzung von Internet-Diensten
anfällt.
-
Da
auf der Client-PC-Seite die Nutzung von DHCP zur Erlangung einer
IP-Adresse obligatorisch ist, hat der „Normalverkehr" einige Eigenschaften,
die von der Überwachungseinheit 14 überprüft werden können. So
ist vorgegeben, dass nur solche Datenpakete zulässig sind, die zueinander passende
MAC- und IP-Adressen besitzen, was anhand der DHCP-Tabelle 22 überprüft wird.
Weiterhin muss die Kommunikation über den gleichen PowerLine-Adapter 5 erfolgen, über den
auch beim DHCP-Request kommuniziert wurde. Diese Information wird
aus der Bridgingtabelle 21 ermittelt.
-
Ausgenommen
von der Überprüfung sind Datenpakete,
die zu bestimmten Protokollgruppen, wie z.B. DHCP gehören. So
ist natürlich
ein Datenpaket mit einer bis dahin unbekannten MAC-Adresse kein „illegales" Datenpaket, wenn
es sich um einen DHCP-Request handelt, also um die Anforderung einer
IP-Adresse von einem
bis dahin unbekannten Client-PC 4.
-
Aus
Performancegründen
kann die Überprüfung der
PowerLine-Adapter-Bridgingtabelle 21 nicht bei
jedem Paket erfolgen. Vielmehr werden die Bridgingtabellen 21 der
einzelnen PowerLine-Adapter 5 in geeignet Abständen ausgelesen
und in der Überwachungseinheit 14 zwischengespeichert,
sodass die Datenpaket-Überprüfung vollständig auf dem
Gateway 2 ablaufen kann. Das Abfrage-Intervall der Bridgingtabelle 21 liegt
dabei vorzugsweise zwischen 1 und 10 Sekunden.
-
Die Überprüfung der
vom „Normalverkehr" abweichenden Datenübertragungen
erfolgt durch die Überwachungseinheit 14,
die zu diesem Zweck als eine eigene Applikation auf dem Gateway 2 implementiert
ist. Die Überwachungseinheit 14 aktualisiert permanent
das in 3 dargestellte Netzbild, liest den gesamten Verkehr
mit, wie oben beschrieben, und überprüft die Datenpakete
anhand der Kriterien: unbekannte Absender-MAC-Adresse, unbekannte Absender-IP-Adresse,
illegale Kombination aus Absender-MAC-Adresse und Absender-IP-Adresse bzw. gleiche
MAC-Adresse in mehreren Adaptern.
-
Enthält das Datenpaket
eine Absender-MAC-Adresse, die nicht in der DHCP-Tabelle 22 vorkommt,
so deutet dies auf einen Anwender hin, der keine IP-Adresse über DHCP
bezogen hat Enthält
das Datenpaket eine Absender-IP-Adresse, die nicht in der DHCP-Tabelle 22 vorkommt,
dann deutet das ebenfalls auf einen Anwender hin, der keine IP-Adresse über DHCP
bezogen hat.
-
Eine
illegale Kombination aus Absender-MAC-Adresse und Absender-IP-Adresse
deutet auf die missbräuchliche
Verwendung von Adressen eines anderen Anwenders hin. Der Verursacher
kann durch Vergleich der Bridgingtabelle 21 der PowerLine-Adapter 5 mit
dem „Soll-Adapter" aus der DHCP-Tabelle 22 ermittelt
werden.
-
Werden
beim Abfragen der Bridgingtabelle 21 identische MAC-Adresse bei mehreren
Adaptern 5 ermittelt, deutet dies auf die missbräuchliche
Verwendung einer legalen Mac-IP-Adress-Kombination hin. Wie bereits im oberen
Fall kann der Verursacher durch Vergleich der Bridgingtabelle 21 der
PowerLine-Adapter 5 mit dem „Soll-Adapter" aus der Lease-Tabelle ermittelt
werden.
-
Bei
einem Vorliegen wenigstens eines dieser Szenarien erfolgt eine Abtrennung
des Anwenders, der den illegalen Datenverkehr verursacht hat, vom Shared-Medium-Netz 1 durch
eine im Gateway 2 angeordnete Aktionseinheit 23.
-
Die
Trennung erfolgt hierbei vorzugsweise auf der Ebene der PowerLine-Adapter,
beispielsweise durch geeignete Veränderung des Netzwerkpasswortes
am PowerLine-Adapter 5 des Verursachers oder durch Veränderung
der Netzwerkpassworte aller anderen PowerLine-Adapter 5.
In beiden Fällen wird
der Verursacher vom Shared-Medium-Netz 1 abgekoppelt.
-
Die
Abkopplung kann hierbei entweder dauerhaft erfolgen, sodass nur
durch manuelle Interaktion des Netzwerk-Administrators ein Netzzugang über diesen
PowerLine-Adapter wieder möglich
wird, oder der Teilnehmer wird nur für eine geeignete Zeitdauer
ausgesperrt, nach der der Powerline-Adapter wieder aktiviert wird. Der Zeitraum
ist hier so zu bemessen, dass eine dauerhafte illegale Nutzung des Shared-Medium-Netzes 1 unmöglich ist.
Vorzugsweise liegt die Dauer der Aussperrung zwischen 1 und 10 Minuten.
-
Alternativ
zu der Abtrennung kann eine „stille" Alarmierung, beispielsweise
des Netzwerk-Administrators, erfolgen.
-
Unter
Verwendung des erfinderischen Grundgedankens und der in der Beschreibung
erläuterten
Ausführungsformen
der Erfindung ergeben sich für
einen Fachmann eine Vielzahl weiterer Ausführungsbeispiele, die jedoch
an dieser Stelle nicht im Einzelnen beschrieben werden können. In
diesem Zusammenhang sei darauf hingewiesen, dass alle in der Beschreibung,
den Ansprüchen
und den Zeichnungen dargestellten Merkmale sowohl einzeln als auch
in beliebiger Kombination miteinander erfindungswesentlich sein
können.
-
- 1
- Shared-Medium-Netz
- 2
- Gateway
- 3
- Internet
- 4
- Client-PC
- 5
- PowerLine-Adapter
- 6
- Vergabeeinheit
- 7
- IP-Adresse
- 8
- IP-Adresse
- 9
- IP-Adresse
- 10
- Netzmaske
- 11
- IP-Adresse
- 12
- IP-Adresse
- 13
- IP-Adresse
- 14
- Überwachungseinheit
- 15
- MAC-Adresse
- 16
- MAC-Adresse
- 17
- MAC-Adresse
- 18
- MAC-Adresse
- 19
- MAC-Adresse
- 20
- MAC-Adresse
- 21
- Bridgingtabelle
- 22
- DHCP-Tabelle
- 23
- Aktionseinheit