DE102006008817A1 - Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination - Google Patents

Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination Download PDF

Info

Publication number
DE102006008817A1
DE102006008817A1 DE200610008817 DE102006008817A DE102006008817A1 DE 102006008817 A1 DE102006008817 A1 DE 102006008817A1 DE 200610008817 DE200610008817 DE 200610008817 DE 102006008817 A DE102006008817 A DE 102006008817A DE 102006008817 A1 DE102006008817 A1 DE 102006008817A1
Authority
DE
Germany
Prior art keywords
safety device
internet
address
previous
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200610008817
Other languages
German (de)
Inventor
Manfred Baumkötter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE200610008817 priority Critical patent/DE102006008817A1/en
Publication of DE102006008817A1 publication Critical patent/DE102006008817A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The device (101) is designed as independent equipment in a network connection to Internet connecting lines (104, 104a). The safety device is controlled after activation of data exchange from an end terminal e.g. personal computer (102), to an Internet. The safety device permits connections only to an exactly determined destination by comparing Internet protocol (IP) addresses of the destination with a preset IP address list in the device. The safety device is manually activated and deactivated by a switch (103) that is operated in a manual or software-controlled manner.

Description

Die vorliegende Erfindung betrifft eine Sicherheitseinrichtung zum Verhindern von Angriffen Dritter bei Internetbenutzung.The The present invention relates to a safety device for preventing of attacks of third parties when using the Internet.

Das sogenannte Internet stellt eine sich immer mehr vergrößernde Vernetzung von Rechnern oder Personalcomputern dar. Das Internet ist heute ein weltweites Netzwerk mit Millionen von angeschlossenen Computern, die über Telefon- und Standleitungen, über Satellitenverbindungen und Richtfunkstrecken Daten austauschen.The so-called Internet represents an ever increasing networking of computers or personal computers. The Internet is today worldwide network with millions of connected computers, the above Telephone and leased lines, via Satellite links and radio links exchange data.

Mit der Größe des Netzes werden auch immer mehr Anwendungen verbreitet. Bei vielen neuen Diensten finden sicherheitsrelevante Verfahren, welche beispielsweise Geldtransaktionen betreffen, immer mehr Verbreitung.With the size of the network More and more applications are being distributed. With many new services find security-relevant procedures, which, for example, financial transactions concern, more and more distribution.

Mit krimineller Energie ausgestattete Personen können, ohne in die Öffentlichkeit zu treten, an verborgenen Orten an Ihren Personalcomputern in Ruhe immer neue Methoden entwickeln und erproben, mit welchen sie die den Datenaustausch im Internet beeinflussen und sich selbst unzulässige Vorteile verschaffen.With Criminal energy-endowed people can, without the public to step in secret places on your personal computers in peace develop and test new methods by which they use the to influence the exchange of data on the Internet and to yourself improper benefits gain.

Relativ einfach kann versucht werden, an Paßwörter oder andere vertrauliche Daten heranzukommen. So werden Emails verschickt, welche dazu auffordern, persönliche Daten an eine bestimmte, bekannt erscheinende Adresse zu schicken. Durch Betätigen eines zunächst vertraulich aussehenden mitgelieferten Links wird der Benutzer auf eine falsche Webseite geleitet. Durch geschickte Ausgestaltung etwa einer Kopie der Seite eines Bankunternehmens gelingen solche Täuschungsversuche offenbar häufig. Der Kunde glaubt auf den ersten Blick, mit seiner Bank verbunden zu sein, wird aber durch ähnlich aussehende Graphiken oder Domänennamen getäuscht. Diese Methode, auch „Phishing" (Kunstwort aus: Password-fishing) genannt, ist hinlänglich bekannt. Es kristallisiert sich nun eine andere, erheblich ausgefeiltere und effektivere Methode zum Abgreifen von empfindlichen Daten heraus. Bekannt ist die neue Methode unter dem Begriff „Pharming" (Kunstwort aus „Server-Farming", bezogen auf die für den Massenbetrug benötigten Server-Farmen der Betrüger).Relative simply can be tried on passwords or other confidential Get data. So emails are sent, which prompt, personal Send data to a specific, known-appearing address. By pressing one at first Confidential-looking supplied links will open the user directed a wrong website. By clever design about a copy of the page of a banking company succeed in such attempts to deceive apparently often. The customer believes at first glance, connected with his bank but it is through similar-looking graphics or domain name deceived. This method, also called "phishing" (artificial word from: Password-fishing) is well known. It crystallizes Now another, much more sophisticated and effective method to retrieve sensitive data. The new one is known Method under the term "Pharming" (artificial word from "server-farming", based on the for the mass fraud required Server farms the cheater).

Anders als beim Phishing landet hier bei einem erfolgreichen Angriff selbst ein Benutzer, der vorausschauend keinem falschen Link in einer Email folgt und statt dessen den Domänennamen von beispielsweise „bankhaus.de" per Hand im Browser eingibt, oder die Seite über einen fest gespeicherten Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie von dem Bankhaus aus und taucht auch als „bankhaus.de" in der URL-Leiste auf, residiert aber eigentlich auf dem Server eines Angreifers.Different as when phishing lands here in a successful attack itself a user who is proactively not following a wrong link in an email and instead the domain name for example, "bankhaus.de" by hand in the browser enters, or the page above Calling a fixed bookmark on a wrong page. This site then looks like from the bank and dives also as "bankhaus.de" in the URL bar, but actually resides on the server of an attacker.

Hier wird die Auflösung von Namen zu IP-Adressen im Internet ausgenutzt. Wenn ein User eine Adresse (wie beispielsweise http://bankhaus.de/) eingibt, muß diese URL-Adresse in eine numerische Adresse wie etwa 255.99.144.80 konvertiert werden. Diese sogenannte Namensresolution führen DNS-Server (Domain Name System) durch, die dazu Tabellen von IP-Adressen und Domain-Namen verwalten. Wird nun eine falsche Zuordnung von IP-Adressen und Domain-Namen veranlaßt, baut der Rechner eine Verbindung zum falschen Ziel auf, ohne daß es der Benutzer bemerkt.Here will the resolution exploited from name to IP addresses on the Internet. If a user has one Address (such as http://bankhaus.de/) enters, this must URL address converted to a numeric address such as 255.99.144.80 become. This so-called name resolution lead DNS servers (domain name System), which includes tables of IP addresses and domain names manage. Will now be an incorrect assignment of IP addresses and domain names causes the computer establishes a connection to the wrong destination, without it User noticed.

Durch geschicktes Einspielen von JAVA-Skripten ist es beispielsweise möglich, eine solche Täuschung durchzuführen. Auch durch Beeinflussung oder Änderung der sogenannten „hosts"-Zuordnungen, welche eine ähnliche Funktion wie ein DNS-Server haben, ist eine Täuschung möglich.By clever importing of JAVA scripts it is possible, for example, a such deception perform. Also by influence or change the so-called "hosts" assignments, which a similar Function as a DNS server, a deception is possible.

Kriminelle versuchen auch, in die DNS-Server einzubrechen und die dort lagernden "Webadressbücher" etwa durch das so genannte DNS-Cache-Poisoning zu manipulieren. Die IP-Adressen, die bestimmten Webadressen zugeordnet sind, werden dabei so geändert, daß der Surfer nicht mehr auf die gewünschte, sondern auf eine gefälschte Webseite geleitet wird. Die falschen Seiten befinden sich auf den Servern der Betrüger. Im Gegensatz zum für die Betrüger mühevollen Erkunden von Emailadressen und Anschreiben einzelner Benutzer ist beim Betrug über gefälschte DNS-Zuordnungen ein Massenangriff auf unzählige Benutzer mit relativ geringem Aufwand möglich.criminal also try to break into the DNS server and stored there "web address books" about by the way called DNS cache poisoning to manipulate. The IP addresses associated with specific web addresses are changed so that the Surfer is no longer on the desired, but on a fake one Website is directed. The wrong pages are on the Servers of the cheater. Unlike for the cheaters toilsome Explore email addresses and cover letters of individual users when cheating on fake DNS assignments a mass attack on countless users with relative little effort possible.

Nun gibt es natürlich Möglichkeiten, hier Gegenmaßnahmen zu treffen. Bekannt sind sogenannte Firewall-Programme, welche den Datenaustausch von und zu am Internet angeschlossenen Rechnern überwachen. Da es sich hierbei aber um Software handelt, welche sich im Speicherbereich des Rechners befindet und dort abläuft, sind hier durch Manipulation von außen alle Möglichkeiten der Beeinflussung gegeben. Mit Emails übertragene lauffähige Virenprogramme können beispielsweise die Firewallfunktionen stören oder neutralisieren. Unbemerkt vom Benutzer können nicht autorisierte Personen am Rechner Eingriffe zu ihrem Vorteil vornehmen.Now there are of course Options, here countermeasures hold true. Known are so-called firewall programs, which the Monitor data exchange from and to computers connected to the Internet. Since this is software, which is in the memory area of the computer and runs there are here by manipulation from the outside all possibilities given to the influence. Executable virus programs transmitted with emails can For example, disturb or neutralize the firewall functions. Unnoticed by Users can unauthorized persons on the computer interventions to their advantage make.

Es ist daher Aufgabe der vorliegenden Erfindung, die Nachteile des obenerwähnten Standes der Technik zu beseitigen und einen verbesserten Schutz vor Angriffen aus dem Internet zu schaffenIt is therefore an object of the present invention, the disadvantages of mentioned above Prior art and improved protection against To create attacks from the Internet

Diese Aufgabe wird dadurch gelöst, daß eine Sicherheitseinrichtung nach Aktivierung den Datenaustausch von einem Endgerät, etwa einem Personalcomputer, zum Internet überwacht und nur Verbindungen zu vorher genau vorbestimmten Zielen zuläßt.This object is achieved in that a security device after activation of the data exchange from a terminal, such as a person nalcomputer, monitored to the Internet and only allows connections to previously precisely predetermined destinations.

Dies wird durch Vergleich der IP-Adressen der Ziele mit einer in der Sicherheitseinrichtung vorhandenen IP-Adressliste erreicht. Es können hierbei komplette Adressen überprüft werden oder Adressbereiche wie etwa Subnetzadressbereiche.This By comparing the IP addresses of the destinations with one in the Safety device existing IP address list reached. It can be complete Addresses are checked or address ranges, such as subnet address ranges.

Um zu verhindern, daß Anfragen an den entsprechenden zuständigen DNS-Server unterbunden werden, kann auch die zugehörende Adresse in der Adressliste der Sicherheitseinrichtung aufgeführt sein.Around to prevent requests to the appropriate competent DNS servers are blocked, can also be the associated Address in the address list of the safety device.

Wird vom DNS-Server eine IP-Adresse ermittelt und zum Benutzer gesendet, wird diese zunächst mit den Listeneinträgen verglichen. Nur, wenn eine identische Adresse vorhanden ist, wird die Verbindung zu dieser Zieladresse aufgebaut.Becomes DNS server determines an IP address and sends it to the user, this will be first with the list entries compared. Only if an identical address exists, will the connection to this destination address is established.

Es ist auch möglich, daß in der Sicherheitseinrichtung zusätzlich zu einer erlaubten Zieladresse die zugehörige Subnetzmaske gespeichert wird und daß dadurch alle Zieladressen in dem Subnetz mit als erlaubt gelten.It is possible, too, that in the safety device additionally stored the associated subnet mask for an allowed destination address and that by all destination addresses in the subnet are considered allowed.

Ein wesentliches Merkmal der Erfindung ist die Notwendigkeit, die Sicherheitseinrichtung zur normalen Internetnutzung manuell in den Aus-Zustand zu versetzen. Vorzugsweise ist vorgesehen, beim Anlegen der Stromversorgung immer sofort automatisch in den aktiven Ein-Zustand zu schalten. Dies kann auch während des Betriebes von Hand oder softwaremäßig erfolgen, beispielweise von einer Software zum Online-Banking. Ein softwaremäßiges Ausschalten ist hingegen nicht vorgesehen, dies erfolgt in jedem Fall von Hand an der Sicherheitseinrichtung selbst.One An essential feature of the invention is the necessity of the safety device to put the normal Internet use manually in the off state. It is preferably always provided when the power supply is applied immediately switch automatically to the active on state. This can also while the operation by hand or software, for example from a software for online banking. A software switch off is not provided, this is done by hand in each case at the safety device itself.

Zum Ein- und Ausschalten kann ein Schalter verwendet werden. Durch entsprechende Programmierung des Steuerrechners kann die Sicherheitseinrichtung auch bei Aus-Stellung des Schalters in den Ein-Zustand versetzt werden. Das Ausschalten ist dann etwa durch eine Betätigung des Schalters in die Ein- und zurück in die Aus-Stellung möglich. Eine einzelne Taste kann hier entsprechend mit einer auch softwaregesteuerten Flip-Flop Funktion eingesetzt werden. Die Funktion „Ein" kann manuell oder softwaregesteuert ausgeführt werden, die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch Betätigung des Schalters oder der Taste.To the On and off a switch can be used. By appropriate Programming the control computer can be the safety device also in off position of the switch in the on state offset become. The switching off is then approximately by an operation of the Switch in the in and out possible in the off position. A single key can be used here with a software-controlled one Flip-flop function can be used. The function "on" can be manual or software controlled switching off the safety function exclusively manually by operation the switch or the button.

Es ist auch möglich, als Schalteinheit je eine Taste für das Ein- und Ausschalten der Sicherheitsfunktion und eine entsprechenden Betriebssignalisierung zu verwenden, wobei die Funktion Ein manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch die Betätigung der Aus-Taste erfolgt. Bei allen Realisierungen ist auch eine entsprechende Betriebssignalisierung vorgesehen.It is possible, too, as a switching unit one button each for switching on and off the safety function and a corresponding operation signaling to use, with the function being either manual or software-controlled accomplished can be and the shutdown of the safety function exclusively manually through the operation the Off button is done. In all realizations is also a corresponding Operation signaling provided.

Die Programmierung der IP-Adressliste kann von Hand mittels Terminalprogramm über die PC-Tastatur beispielsweise über die USB-Schnittstelle erfolgen. Hierüber kann auch gleichzeitig die Stromversorgung der Sicherheitseinrichtung erfolgen. Zur Sicherheit sind die Programmierfunktionen mit Schaltern, welche vor dem Programmieren zu betätigen sind, abgesichert. Es ist denkbar, daß die Sicherheitseinrichtung bei abgezogenen Netzwerk-Kabeln automatisch in den Programmiermodus wechselt.The Programming the IP address list can be done manually using the terminal program via the PC keyboard for example about the USB interface is done. This can also be done simultaneously the power supply of the safety device take place. For safety are the programming functions with switches, which before programming to press are hedged. It is conceivable that the safety device with disconnected network cables automatically in the programming mode replaced.

Es ist auch an einen automatischen Programmier- oder Lernvorgang gedacht. Hier werden bei einer als sicher bekannten Verbindungsaufnahme zu einer Bank die angesprochenen IP-Zieladressen in der IP-Adressliste abgespeichert. Dies kann beispielsweise in einer Bank durch einen Mitarbeiter der Bank an einem sicheren Rechner erfolgen. Der Bankmitarbeiter aktiviert die Selbstlernfunktion durch Betätigen eines Schalters, führt eine Dummy-Buchung aus und deaktiviert die Selbstlernfunktion. Die Sicherheitseinrichtung hat nun alle für einen Buchungsvorgang bei dieser Bank notwendigen IP-Adressen gespeichert. Wenn der Benutzer nun die Sicherheitseinrichtung an seinem eigenen PC anschließt und aktiviert, sind ausschließlich Verbindungen zu dieser Bank möglich. Der Vorgang läßt sich in vergleichbarer Weise bei weiteren Banken durchführen, um für alle sicherheitsrelevanten Verbindungen sichere IP-Adressen zu speichern. Selbstverständlich läßt sich der Speicher auch noch manuell erweitern.It is also intended for an automatic programming or learning process. Here are at a known as secure connection recording a bank the addressed IP destination addresses in the IP address list stored. This can for example be done in a bank by a Employees of the bank to be done on a secure computer. The bank employee activates the self-learning function by pressing a switch, performs a Dummy booking and deactivates the self-learning function. The safety device now has all for a booking process stored at this bank necessary IP addresses. If the user now has the security device on his own PC connects and activated, are exclusive Connections to this bank possible. The process can be perform in a similar manner at other banks to for all secure connections to secure IP addresses. Of course let yourself the memory also expand manually.

Beim Fehlschlagen des Vergleichs zwischen IP-Zieladresse und IP-Adressliste der Sicherheitseinrichtung kann zur Information des Benutzers über die USB-Schittstelle oder die über die Sicherheitseinrichtung verlaufende Netzwerk- Verbindung eine Alarmmeldung an den angeschlossenen Rechner abgegeben werden, welche beispielsweise als HTML-Seite im Internetbrowser angezeigt wird. Hier können dem Benutzer als Klartext die nicht erlaubten Ziele angegeben werden. Auch die Sicherheitseinrichtung selbst kann mit einem entsprechenden separaten optischen und/oder akustischen Signalgeber ausgerüstet sein. Sinnvoll ist hier weiterhin eine Information, daß zum Verbindungsaufbau zu nicht gelisteten, ggf. unsicheren Zielen, eine manuelle Abschaltung der Sicherheitseinrichtung erforderlich ist.At the Failure to compare IP destination address and IP address list The safety device can be used to inform the user via the USB interface or the above the security device running network connection an alarm message to the connected computers are given, which, for example displayed as an HTML page in the Internet browser. Here the user can as clear text the non-allowed destinations are specified. Also the Safety device itself can with a corresponding separate be equipped optical and / or acoustic signal generator. It is also useful here information that to connect to unlisted, possibly unsafe destinations, a manual shutdown the safety device is required.

Weitere Einzelheiten der Erfindung werden in der Zeichnung anhand von schematisch dargestellten Ausführungsbeispielen beschrieben.Further Details of the invention are described in the drawing with reference to FIG illustrated embodiments described.

Hierbei zeigt diein this connection show the

1 die Anschaltung des Sicherheitseinrichtung an einem beliebigen Rechner eines Benutzers, in der Regel ein Personalcomputer, und die 1 the connection of the safety device to any computer of a user, usually a personal computer, and the

2 den Aufbau der Sicherheitseinrichtung in Einzelnen. 2 the structure of the safety device in detail.

Wie 1 zeigt, ist die erfindungsgemäße Sicherheitseinrichtung 101 im Grundprinzip in der Netzwerk-Verbindung 104, 104a (z.B. Ethernet) und einem Switch/Hub 103 angeordnet. Denkbar ist auch eine Anordnung der Sicherheitseinrichtung als integrativer Bestandteil anderer Geräte, wobei die Schalter ggf. per Kabel anzuschließen sind, wenn sich die Geräte nicht im direkten Zugriffsbereich des Benutzers befinden. Der Switch/Hub 103 ist seinerseits mit einem Router 106 verbunden, welcher über ein DSL-Modem 107 die Verbindung zum Internet herstellt. Selbstverständlich kann die Verbindung zum Internet auch entsprechend über eine ISDN-Wählverbindung erfolgen. Weiterhin ist denkbar, daß der PC 102 über die Sicherheitseinrichtung 101 direkt mit dem DSL-Modem 107 verbunden ist. Hierbei ist aber der geänderte Protokoll-Stapel zu beachten. Eine entsprechende Anpassung kann manuell per Konfiguration oder automatisch, beispielsweise durch die Auswertung des Type Fields erfolgen. Zusätzlich zur Ethernet-Verbindung kann noch die Verbindung 106 etwa von einer USB-Schnittstelle des Rechners 102 zur Sicherheitseinrichtung 101 vorhanden sein. Grundsätzlich kann die Sicherheitseinrichtung jedem PC vorgeschaltet werden.As 1 shows is the safety device according to the invention 101 in the basic principle in the network connection 104 . 104a (eg Ethernet) and a switch / hub 103 arranged. It is also conceivable arrangement of the safety device as an integral part of other devices, the switch may be connected by cable, if the devices are not in the direct access area of the user. The switch / hub 103 is in turn with a router 106 connected, which via a DSL modem 107 connecting to the Internet. Of course, the connection to the Internet can also be done via an ISDN dial-up connection. Furthermore, it is conceivable that the PC 102 over the safety device 101 directly with the DSL modem 107 connected is. Here, however, the changed protocol stack is to be observed. A corresponding adaptation can be made manually by configuration or automatically, for example by evaluating the type field. In addition to the Ethernet connection can still connect 106 for example from a USB interface of the computer 102 to the safety device 101 to be available. In principle, the safety device can be connected upstream of each PC.

2 zeigt schematisch den Aufbau der Sicherheitseinrichtung 101. Der Steuerrechner 201 sollte aus Kostengründen als Einchiplösung ausgeführt sein und bereits integrierte Speicher enthalten, welche zur Programmspeicherung und zur temporären Speicherung der IP-Adresslisten benötigt werden. Innerhalb der Sicherheitseinrichtung läuft die Internetverbindung über die RJ45-Buchse 203 und der Port-Anpassung 204 zum Steuerrechner 201. Im nicht aktivierten Zustand der Sicherheitseinrichtung wird die Verbindung in jedem Fall zur Port-Anpassung 208 und zur Ausgangsbuchse 209 durchgeschleift. Denkbar ist auch eine direkte Verbindung von 204208 bzw. 203209 mittels beliebiger Schaltmittel im nicht aktiven Zustand. Aktiviert man die Sicherheitseinrichtung durch Betätigen der Schalteinheit 211, werden die IP-Adressen in den Headern der Datenpakete mit einer im EEprom-Bereich 202 gespeicherten IP-Adressliste verglichen. Ist eine im Datenstrom vorhandene IP-Adresse nicht aufgeführt, wird die Verbindung gestoppt und über den Signalgeber 214 und/oder die Anpassung 207 und USB-Port 210 ein Alarmsignal ausgegeben. Zum Ermöglichen der Konfiguration der IP-Adresslisten ist aus Sicherheitsgründen ein separater Schalter 212 vorgesehen. So sind etwaige Angriffsversuche über den Rechner und die USB-Schnittstelle erheblich erschwert. Mit dem Schalter 213 wird die Sicherheitseinrichtung in einen Selbstlernmodus versetzt, wobei dieser vor der Kontaktaufnahme etwa zu einer Bank betätigt wird. Während einer Überweisung speichert die Sicherheitseinrichtung nun alle Ziel-IP-Adressen in einer Liste im EEprom-Speicher 202 ab. Nach Beendigung der Transaktion wird der Selbstlernmodus wieder deaktiviert, der Benutzer kann dann nach Betätigung des Schalters 211 im Sicherheitsmodus mit dieser Bank sicher kommunizieren. Der Selbstlernmodus ist allerdings nur bei einem mit Sicherheit virenfreien Rechner anzuwenden, bevorzugt direkt vor Ort in einer Bank. Die Stromversorgung der gesamten Sicherheitseinrichtung kann praktischerweise über die USB-Schnittstelle mittels einer Anpassung oder eines Spannungswandlers 205 erfolgen. Selbstverständlich ist auch eine Stromversorgung über ein separates Netzteil oder das Netzwerk (PoE-Power over Ethernet) möglich. Auch hierbei wir die Sicherheitseinrichtung beim Anlegen der Versorgungsspannung automatisch in den aktiven Status versetzt, um die Sicherheit vor Angriffen durch Fehlbedienung nicht zu gefährden. 2 shows schematically the construction of the safety device 101 , The control computer 201 For reasons of cost, it should be designed as a single-chip solution and already contain integrated memory, which is needed for program storage and temporary storage of IP address lists. Within the security device, the internet connection runs via the RJ45 socket 203 and the port customization 204 to the control computer 201 , In the non-activated state of the safety device, the connection is in any case for port adaptation 208 and to the output jack 209 looped through. Also conceivable is a direct connection of 204 - 208 respectively. 203 - 209 by means of any switching means in the inactive state. Activating the safety device by pressing the switching unit 211 , the IP addresses in the headers of the data packets with one in the EEprom area 202 stored IP address list compared. If an existing IP address in the data stream is not listed, the connection is stopped and via the signal generator 214 and / or the adaptation 207 and USB port 210 an alarm signal is output. For security reasons, a separate switch is provided to allow configuration of IP address lists 212 intended. Thus, any attempts to attack the computer and the USB interface are considerably more difficult. With the switch 213 the safety device is placed in a self-learning mode, which is operated before contacting about as a bank. During a transfer, the security device now stores all the destination IP addresses in a list in the EEprom memory 202 from. After completion of the transaction, the self-learning mode is deactivated again, the user can then after pressing the switch 211 communicate safely with this bank in security mode. However, the self-learning mode is only to be used in a computer that is certainly virus-free, preferably directly on site in a bank. The power supply of the entire safety device can conveniently via the USB interface via an adapter or a voltage converter 205 respectively. Of course, a power supply via a separate power supply or the network (PoE Power over Ethernet) is possible. Here, too, the safety device is automatically set to the active state when the supply voltage is applied in order not to jeopardize the security against attacks by incorrect operation.

Claims (18)

Sicherheitseinrichtung (101) zur Internetbenutzung zum Verhindern von Angriffen über das Internet durch Dritte, dadurch gekennzeichnet, daß diese als selbstständigen Gerät in die Netzwerk-Verbindung zum Internet (104, 104a) eingeschleift ist und nach Aktivierung den Datenaustausch vom Endgerät zum Internet überwacht und nur Verbindungen zu mindestens einem vorher genau bestimmten Ziel zuläßt.Safety device ( 101 ) for Internet use to prevent attacks by the Internet by third parties, characterized in that this as a standalone device in the network connection to the Internet ( 104 . 104a ) is inserted and after activation monitors the data exchange from the terminal to the Internet and only allows connections to at least one previously determined destination. Sicherheitseinrichtung nach Anspruch 1, dadurch gekennzeichnet, daß diese durch eine Schalteinheit (211) manuell aktiviert und deaktiviert werden kann.Safety device according to claim 1, characterized in that it is provided by a switching unit ( 211 ) can be manually activated and deactivated. Sicherheitseinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schalteinheit aus einer Taste oder einem Schalter für das Ein- und Ausschalten der Sicherheitsfunktion und einer entsprechenden Betriebssignalisierung besteht, wobei die Funktion Ein manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch Betätigung des Schalters oder der Taste erfolgt.Safety device according to claim 1 or 2, characterized characterized in that Switching unit consisting of a button or a switch for the and turning off the safety function and a corresponding one Operational signaling exists, with the function A manual or software controlled can be and the shutdown of the safety function exclusively manually by operation the switch or button. Sicherheitseinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schalteinheit aus je einer Taste für das Ein- und Ausschalten der Sicherheitsfunktion und einer entsprechenden Betriebssignalisierung besteht, wobei die Funktion „Ein" manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch die Betätigung der Aus-Taste erfolgt.Safety device according to claim 1 or 2, characterized characterized in that Switching unit consisting of one button each for switching on and off the safety function and a corresponding operation signaling where the on function is manual or software controlled accomplished can be and the shutdown of the safety function exclusively manually through the operation the Off button is done. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß im Ein-Zustand der Sicherheitseinrichtung im Datenstrom zum Internet die IP-Adresse eines Zieles mit den Einträgen einer in der Sicherheitseinrichtung gespeicherten IP-Adressliste verglichen wird und bei fehlender Übereinstimmung keine Verbindung zur entsprechenden IP-Adresse erfolgt, wobei im Aus-Zustand keine Beschränkung des Datenverkehr erfolgt.Safety device according to one or more of previous claims, characterized in that in On state of the safety device in the data stream to the Internet the IP address of a destination with the entries of one in the security device stored IP address list is compared and if there is no match no connection to the corresponding IP address takes place, with the Off state no restriction the traffic is done. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß in der Sicherheitseinrichtung zusätzlich zu einer erlaubten Zieladresse die zugehörige Subnetzmaske gespeichert wird und daß dadurch alle Zieladressen in dem Subnetz mit als erlaubt gelten.Safety device according to one or more of previous claims, characterized in that in the safety device additionally stored the associated subnet mask for an allowed destination address and that by all destination addresses in the subnet are considered allowed. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die IP-Adresse mindestens eines DNS-Servers gespeichert wird um eine Verbindung dorthin aufzubauen.Safety device according to one or more of previous claims, characterized in that the IP address of at least one DNS server is stored at one Build connection there. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß eine Programmierung über Standardschnittstellen von außen mittels eines angeschlossenen Personalcomputers möglich ist.Safety device according to one or more of previous claims, characterized in that a Programming over Standard interfaces from the outside by means of a connected personal computer is possible. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Programmierung der Adressliste über eine USB-Schnittstelle erfolgt, wobei der Zugriff auf die Sicherheitseinrichtung erst nach Betätigen eines Freigabeschalters zur Konfiguration (212) möglich ist.Safety device according to one or more of the preceding claims, characterized in that the programming of the address list is carried out via a USB interface, wherein the access to the safety device only after activation of a release switch for configuration ( 212 ) is possible. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Programmierung der IP-Adressliste durch einen Selbstlernvorgang während des Betriebes erfolgt, wobei sichere IP-Zieladressen selbstständig in den IP-Adresspeicher eingeschrieben werden.Safety device according to one or more the previous claims, characterized in that the Programming the IP address list through a self-learning process while operation, with secure IP destination addresses in self-contained the IP address memory are written. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Sicherheitseinrichtung bei abgezogener Netzwerk-Verbindungsleitung (104, 104a) automatisch in den Programmiermodus wechselt.Safety device according to one or more of the preceding claims, characterized in that the safety device is disconnected when the network connection line ( 104 . 104a ) automatically changes to the programming mode. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß Alarmmeldungen beim Auftreten nicht in der IP-Adressliste aufgeführter IP-Adressen an den angeschlossenen Personalcomputer abgesetzt werden.Safety device according to one or more the previous claims, characterized in that alarm messages when it does not appear in the IP address list listed IP addresses are sent to the connected personal computer. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß eine Alarmmeldung als HTML-Seite in der Sicherheitseinrichtung gespeichert ist und daß diese Seite bei jedem Versuch, eine Verbindung zu einer nicht erlaubten IP-Adresse aufzubauen über die Netzwerk-Verbindung (104, 104a) und/oder USB-Verbindung (106) zum Browser des angeschlossenen Personalcomputers übertragen wird.Safety device according to one or more of the preceding claims, characterized in that an alarm message is stored as an HTML page in the security device and that this page in each attempt to establish a connection to an unauthorized IP address via the network connection ( 104 . 104a ) and / or USB connection ( 106 ) is transmitted to the browser of the connected personal computer. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß Alarmmeldungen beim Auftreten nicht in der IP-Adressliste aufgeführter IP-Adressen über Signalgeber der Sicherheitseinrichtung selbst gegeben werden.Safety device according to one or more the previous claims, characterized in that alarm messages when it does not appear in the IP address list listed IP addresses via Signal generator of the safety device itself be given. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung über eine USB-Verbindung (106) erfolgt.Safety device according to one or more of the preceding claims, characterized in that the power supply via a USB connection ( 106 ) he follows. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung über ein separatesNetzteil erfolgt.Safety device according to one or more the previous claims, characterized in that the Power over a separate power supply takes place. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung über die Netzwerk-Verbindung (104, 104a) erfolgt.Safety device according to one or more of the preceding claims, characterized in that the power supply via the network connection ( 104 . 104a ) he follows. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß sie nach dem Anlegen der Stromversorgung automatisch in den Ein-Zustand versetzt wird und zur allgemeinen Internetnutzung zunächst manuell deaktiviert werden muß.Safety device according to one or more the previous claims, characterized in that after applying the power automatically in the on state is moved and for general Internet use, first manually must be disabled.
DE200610008817 2006-02-25 2006-02-25 Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination Withdrawn DE102006008817A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200610008817 DE102006008817A1 (en) 2006-02-25 2006-02-25 Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610008817 DE102006008817A1 (en) 2006-02-25 2006-02-25 Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination

Publications (1)

Publication Number Publication Date
DE102006008817A1 true DE102006008817A1 (en) 2007-08-30

Family

ID=38319841

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610008817 Withdrawn DE102006008817A1 (en) 2006-02-25 2006-02-25 Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination

Country Status (1)

Country Link
DE (1) DE102006008817A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050125689A1 (en) * 2003-09-17 2005-06-09 Domonic Snyder Processing device security management and configuration system and user interface
US20050235352A1 (en) * 2004-04-15 2005-10-20 Staats Robert T Systems and methods for managing a network
US20060031476A1 (en) * 2004-08-05 2006-02-09 Mathes Marvin L Apparatus and method for remotely monitoring a computer network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050125689A1 (en) * 2003-09-17 2005-06-09 Domonic Snyder Processing device security management and configuration system and user interface
US20050235352A1 (en) * 2004-04-15 2005-10-20 Staats Robert T Systems and methods for managing a network
US20060031476A1 (en) * 2004-08-05 2006-02-09 Mathes Marvin L Apparatus and method for remotely monitoring a computer network

Similar Documents

Publication Publication Date Title
DE602004003518T2 (en) Method and system for legally intercepting packet-switched network services
EP2103096B1 (en) Method for repelling unwanted speech advertising for packet-oriented communication networks
DE69636945T2 (en) Arrangement for network access via the telecommunications network through a remote-controlled filter
DE10330079B4 (en) Router and procedure for activating a disabled computer
EP1316188A1 (en) Method for identifying internet users
EP1106006A1 (en) Data link between two computers and method for transmitting data between said computers
DE19857182A1 (en) Telecommunications network with virus protection in signaling channels
DE102006008817A1 (en) Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination
EP1305936B1 (en) Device and method for call diversion in telecommunication networks
EP1229686A1 (en) Method for verifying callback information used for initiating callbacks over the internet
EP3005651B1 (en) Method for addressing, authentication, and secure data storage in computer systems
DE102006003167B3 (en) Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model
WO2002071350A2 (en) Method for paying paid offers made on a network
EP3276879B1 (en) Method for operating an assembly comprising a substation and at least one terminal connected thereto
EP1378108A2 (en) Method for carrying out monitoring measures and information searches in telecommunication and data networks with, for instance, internet protocol (ip)
DE102006061521A1 (en) Emergency call localization for IP-based telephony
WO2009039866A1 (en) Access control for, for example, a web server by means of a telephone communication connection initiated by the user
EP3560162A1 (en) Method for operating a collaboration and communication platform, and collaboration and communication platform
DE102006021159A1 (en) Local network`s externally initiated connection method, involves connecting local network with Internet in upload direction over integrated services digital network input by router
EP3439259B1 (en) Hardening of a communication device
DE10245547B3 (en) Method for establishing a VoIP telephone connection in a secure network and circuit arrangement
DE60319859T2 (en) SECURITY MANAGEMENT PROCESS FOR AN INTEGRATED NETWORK DEVICE
DE10315940A1 (en) PIN-TAN authentication method for online banking in which generation of transaction numbers occurs in a self-based authorization step within an application via a secure connection between a user and his bank
DE10359683A1 (en) Computer system with data carriers e.g. for electronic communications, includes devices for running connection to data carriers
EP1378843A1 (en) Method and data processing system for secure communication between authorities and citizens

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R120 Application withdrawn or ip right abandoned

Effective date: 20120626