DE102006008817A1 - Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination - Google Patents
Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination Download PDFInfo
- Publication number
- DE102006008817A1 DE102006008817A1 DE200610008817 DE102006008817A DE102006008817A1 DE 102006008817 A1 DE102006008817 A1 DE 102006008817A1 DE 200610008817 DE200610008817 DE 200610008817 DE 102006008817 A DE102006008817 A DE 102006008817A DE 102006008817 A1 DE102006008817 A1 DE 102006008817A1
- Authority
- DE
- Germany
- Prior art keywords
- safety device
- internet
- address
- previous
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Die vorliegende Erfindung betrifft eine Sicherheitseinrichtung zum Verhindern von Angriffen Dritter bei Internetbenutzung.The The present invention relates to a safety device for preventing of attacks of third parties when using the Internet.
Das sogenannte Internet stellt eine sich immer mehr vergrößernde Vernetzung von Rechnern oder Personalcomputern dar. Das Internet ist heute ein weltweites Netzwerk mit Millionen von angeschlossenen Computern, die über Telefon- und Standleitungen, über Satellitenverbindungen und Richtfunkstrecken Daten austauschen.The so-called Internet represents an ever increasing networking of computers or personal computers. The Internet is today worldwide network with millions of connected computers, the above Telephone and leased lines, via Satellite links and radio links exchange data.
Mit der Größe des Netzes werden auch immer mehr Anwendungen verbreitet. Bei vielen neuen Diensten finden sicherheitsrelevante Verfahren, welche beispielsweise Geldtransaktionen betreffen, immer mehr Verbreitung.With the size of the network More and more applications are being distributed. With many new services find security-relevant procedures, which, for example, financial transactions concern, more and more distribution.
Mit krimineller Energie ausgestattete Personen können, ohne in die Öffentlichkeit zu treten, an verborgenen Orten an Ihren Personalcomputern in Ruhe immer neue Methoden entwickeln und erproben, mit welchen sie die den Datenaustausch im Internet beeinflussen und sich selbst unzulässige Vorteile verschaffen.With Criminal energy-endowed people can, without the public to step in secret places on your personal computers in peace develop and test new methods by which they use the to influence the exchange of data on the Internet and to yourself improper benefits gain.
Relativ einfach kann versucht werden, an Paßwörter oder andere vertrauliche Daten heranzukommen. So werden Emails verschickt, welche dazu auffordern, persönliche Daten an eine bestimmte, bekannt erscheinende Adresse zu schicken. Durch Betätigen eines zunächst vertraulich aussehenden mitgelieferten Links wird der Benutzer auf eine falsche Webseite geleitet. Durch geschickte Ausgestaltung etwa einer Kopie der Seite eines Bankunternehmens gelingen solche Täuschungsversuche offenbar häufig. Der Kunde glaubt auf den ersten Blick, mit seiner Bank verbunden zu sein, wird aber durch ähnlich aussehende Graphiken oder Domänennamen getäuscht. Diese Methode, auch „Phishing" (Kunstwort aus: Password-fishing) genannt, ist hinlänglich bekannt. Es kristallisiert sich nun eine andere, erheblich ausgefeiltere und effektivere Methode zum Abgreifen von empfindlichen Daten heraus. Bekannt ist die neue Methode unter dem Begriff „Pharming" (Kunstwort aus „Server-Farming", bezogen auf die für den Massenbetrug benötigten Server-Farmen der Betrüger).Relative simply can be tried on passwords or other confidential Get data. So emails are sent, which prompt, personal Send data to a specific, known-appearing address. By pressing one at first Confidential-looking supplied links will open the user directed a wrong website. By clever design about a copy of the page of a banking company succeed in such attempts to deceive apparently often. The customer believes at first glance, connected with his bank but it is through similar-looking graphics or domain name deceived. This method, also called "phishing" (artificial word from: Password-fishing) is well known. It crystallizes Now another, much more sophisticated and effective method to retrieve sensitive data. The new one is known Method under the term "Pharming" (artificial word from "server-farming", based on the for the mass fraud required Server farms the cheater).
Anders als beim Phishing landet hier bei einem erfolgreichen Angriff selbst ein Benutzer, der vorausschauend keinem falschen Link in einer Email folgt und statt dessen den Domänennamen von beispielsweise „bankhaus.de" per Hand im Browser eingibt, oder die Seite über einen fest gespeicherten Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie von dem Bankhaus aus und taucht auch als „bankhaus.de" in der URL-Leiste auf, residiert aber eigentlich auf dem Server eines Angreifers.Different as when phishing lands here in a successful attack itself a user who is proactively not following a wrong link in an email and instead the domain name for example, "bankhaus.de" by hand in the browser enters, or the page above Calling a fixed bookmark on a wrong page. This site then looks like from the bank and dives also as "bankhaus.de" in the URL bar, but actually resides on the server of an attacker.
Hier wird die Auflösung von Namen zu IP-Adressen im Internet ausgenutzt. Wenn ein User eine Adresse (wie beispielsweise http://bankhaus.de/) eingibt, muß diese URL-Adresse in eine numerische Adresse wie etwa 255.99.144.80 konvertiert werden. Diese sogenannte Namensresolution führen DNS-Server (Domain Name System) durch, die dazu Tabellen von IP-Adressen und Domain-Namen verwalten. Wird nun eine falsche Zuordnung von IP-Adressen und Domain-Namen veranlaßt, baut der Rechner eine Verbindung zum falschen Ziel auf, ohne daß es der Benutzer bemerkt.Here will the resolution exploited from name to IP addresses on the Internet. If a user has one Address (such as http://bankhaus.de/) enters, this must URL address converted to a numeric address such as 255.99.144.80 become. This so-called name resolution lead DNS servers (domain name System), which includes tables of IP addresses and domain names manage. Will now be an incorrect assignment of IP addresses and domain names causes the computer establishes a connection to the wrong destination, without it User noticed.
Durch geschicktes Einspielen von JAVA-Skripten ist es beispielsweise möglich, eine solche Täuschung durchzuführen. Auch durch Beeinflussung oder Änderung der sogenannten „hosts"-Zuordnungen, welche eine ähnliche Funktion wie ein DNS-Server haben, ist eine Täuschung möglich.By clever importing of JAVA scripts it is possible, for example, a such deception perform. Also by influence or change the so-called "hosts" assignments, which a similar Function as a DNS server, a deception is possible.
Kriminelle versuchen auch, in die DNS-Server einzubrechen und die dort lagernden "Webadressbücher" etwa durch das so genannte DNS-Cache-Poisoning zu manipulieren. Die IP-Adressen, die bestimmten Webadressen zugeordnet sind, werden dabei so geändert, daß der Surfer nicht mehr auf die gewünschte, sondern auf eine gefälschte Webseite geleitet wird. Die falschen Seiten befinden sich auf den Servern der Betrüger. Im Gegensatz zum für die Betrüger mühevollen Erkunden von Emailadressen und Anschreiben einzelner Benutzer ist beim Betrug über gefälschte DNS-Zuordnungen ein Massenangriff auf unzählige Benutzer mit relativ geringem Aufwand möglich.criminal also try to break into the DNS server and stored there "web address books" about by the way called DNS cache poisoning to manipulate. The IP addresses associated with specific web addresses are changed so that the Surfer is no longer on the desired, but on a fake one Website is directed. The wrong pages are on the Servers of the cheater. Unlike for the cheaters toilsome Explore email addresses and cover letters of individual users when cheating on fake DNS assignments a mass attack on countless users with relative little effort possible.
Nun gibt es natürlich Möglichkeiten, hier Gegenmaßnahmen zu treffen. Bekannt sind sogenannte Firewall-Programme, welche den Datenaustausch von und zu am Internet angeschlossenen Rechnern überwachen. Da es sich hierbei aber um Software handelt, welche sich im Speicherbereich des Rechners befindet und dort abläuft, sind hier durch Manipulation von außen alle Möglichkeiten der Beeinflussung gegeben. Mit Emails übertragene lauffähige Virenprogramme können beispielsweise die Firewallfunktionen stören oder neutralisieren. Unbemerkt vom Benutzer können nicht autorisierte Personen am Rechner Eingriffe zu ihrem Vorteil vornehmen.Now there are of course Options, here countermeasures hold true. Known are so-called firewall programs, which the Monitor data exchange from and to computers connected to the Internet. Since this is software, which is in the memory area of the computer and runs there are here by manipulation from the outside all possibilities given to the influence. Executable virus programs transmitted with emails can For example, disturb or neutralize the firewall functions. Unnoticed by Users can unauthorized persons on the computer interventions to their advantage make.
Es ist daher Aufgabe der vorliegenden Erfindung, die Nachteile des obenerwähnten Standes der Technik zu beseitigen und einen verbesserten Schutz vor Angriffen aus dem Internet zu schaffenIt is therefore an object of the present invention, the disadvantages of mentioned above Prior art and improved protection against To create attacks from the Internet
Diese Aufgabe wird dadurch gelöst, daß eine Sicherheitseinrichtung nach Aktivierung den Datenaustausch von einem Endgerät, etwa einem Personalcomputer, zum Internet überwacht und nur Verbindungen zu vorher genau vorbestimmten Zielen zuläßt.This object is achieved in that a security device after activation of the data exchange from a terminal, such as a person nalcomputer, monitored to the Internet and only allows connections to previously precisely predetermined destinations.
Dies wird durch Vergleich der IP-Adressen der Ziele mit einer in der Sicherheitseinrichtung vorhandenen IP-Adressliste erreicht. Es können hierbei komplette Adressen überprüft werden oder Adressbereiche wie etwa Subnetzadressbereiche.This By comparing the IP addresses of the destinations with one in the Safety device existing IP address list reached. It can be complete Addresses are checked or address ranges, such as subnet address ranges.
Um zu verhindern, daß Anfragen an den entsprechenden zuständigen DNS-Server unterbunden werden, kann auch die zugehörende Adresse in der Adressliste der Sicherheitseinrichtung aufgeführt sein.Around to prevent requests to the appropriate competent DNS servers are blocked, can also be the associated Address in the address list of the safety device.
Wird vom DNS-Server eine IP-Adresse ermittelt und zum Benutzer gesendet, wird diese zunächst mit den Listeneinträgen verglichen. Nur, wenn eine identische Adresse vorhanden ist, wird die Verbindung zu dieser Zieladresse aufgebaut.Becomes DNS server determines an IP address and sends it to the user, this will be first with the list entries compared. Only if an identical address exists, will the connection to this destination address is established.
Es ist auch möglich, daß in der Sicherheitseinrichtung zusätzlich zu einer erlaubten Zieladresse die zugehörige Subnetzmaske gespeichert wird und daß dadurch alle Zieladressen in dem Subnetz mit als erlaubt gelten.It is possible, too, that in the safety device additionally stored the associated subnet mask for an allowed destination address and that by all destination addresses in the subnet are considered allowed.
Ein wesentliches Merkmal der Erfindung ist die Notwendigkeit, die Sicherheitseinrichtung zur normalen Internetnutzung manuell in den Aus-Zustand zu versetzen. Vorzugsweise ist vorgesehen, beim Anlegen der Stromversorgung immer sofort automatisch in den aktiven Ein-Zustand zu schalten. Dies kann auch während des Betriebes von Hand oder softwaremäßig erfolgen, beispielweise von einer Software zum Online-Banking. Ein softwaremäßiges Ausschalten ist hingegen nicht vorgesehen, dies erfolgt in jedem Fall von Hand an der Sicherheitseinrichtung selbst.One An essential feature of the invention is the necessity of the safety device to put the normal Internet use manually in the off state. It is preferably always provided when the power supply is applied immediately switch automatically to the active on state. This can also while the operation by hand or software, for example from a software for online banking. A software switch off is not provided, this is done by hand in each case at the safety device itself.
Zum Ein- und Ausschalten kann ein Schalter verwendet werden. Durch entsprechende Programmierung des Steuerrechners kann die Sicherheitseinrichtung auch bei Aus-Stellung des Schalters in den Ein-Zustand versetzt werden. Das Ausschalten ist dann etwa durch eine Betätigung des Schalters in die Ein- und zurück in die Aus-Stellung möglich. Eine einzelne Taste kann hier entsprechend mit einer auch softwaregesteuerten Flip-Flop Funktion eingesetzt werden. Die Funktion „Ein" kann manuell oder softwaregesteuert ausgeführt werden, die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch Betätigung des Schalters oder der Taste.To the On and off a switch can be used. By appropriate Programming the control computer can be the safety device also in off position of the switch in the on state offset become. The switching off is then approximately by an operation of the Switch in the in and out possible in the off position. A single key can be used here with a software-controlled one Flip-flop function can be used. The function "on" can be manual or software controlled switching off the safety function exclusively manually by operation the switch or the button.
Es ist auch möglich, als Schalteinheit je eine Taste für das Ein- und Ausschalten der Sicherheitsfunktion und eine entsprechenden Betriebssignalisierung zu verwenden, wobei die Funktion Ein manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch die Betätigung der Aus-Taste erfolgt. Bei allen Realisierungen ist auch eine entsprechende Betriebssignalisierung vorgesehen.It is possible, too, as a switching unit one button each for switching on and off the safety function and a corresponding operation signaling to use, with the function being either manual or software-controlled accomplished can be and the shutdown of the safety function exclusively manually through the operation the Off button is done. In all realizations is also a corresponding Operation signaling provided.
Die Programmierung der IP-Adressliste kann von Hand mittels Terminalprogramm über die PC-Tastatur beispielsweise über die USB-Schnittstelle erfolgen. Hierüber kann auch gleichzeitig die Stromversorgung der Sicherheitseinrichtung erfolgen. Zur Sicherheit sind die Programmierfunktionen mit Schaltern, welche vor dem Programmieren zu betätigen sind, abgesichert. Es ist denkbar, daß die Sicherheitseinrichtung bei abgezogenen Netzwerk-Kabeln automatisch in den Programmiermodus wechselt.The Programming the IP address list can be done manually using the terminal program via the PC keyboard for example about the USB interface is done. This can also be done simultaneously the power supply of the safety device take place. For safety are the programming functions with switches, which before programming to press are hedged. It is conceivable that the safety device with disconnected network cables automatically in the programming mode replaced.
Es ist auch an einen automatischen Programmier- oder Lernvorgang gedacht. Hier werden bei einer als sicher bekannten Verbindungsaufnahme zu einer Bank die angesprochenen IP-Zieladressen in der IP-Adressliste abgespeichert. Dies kann beispielsweise in einer Bank durch einen Mitarbeiter der Bank an einem sicheren Rechner erfolgen. Der Bankmitarbeiter aktiviert die Selbstlernfunktion durch Betätigen eines Schalters, führt eine Dummy-Buchung aus und deaktiviert die Selbstlernfunktion. Die Sicherheitseinrichtung hat nun alle für einen Buchungsvorgang bei dieser Bank notwendigen IP-Adressen gespeichert. Wenn der Benutzer nun die Sicherheitseinrichtung an seinem eigenen PC anschließt und aktiviert, sind ausschließlich Verbindungen zu dieser Bank möglich. Der Vorgang läßt sich in vergleichbarer Weise bei weiteren Banken durchführen, um für alle sicherheitsrelevanten Verbindungen sichere IP-Adressen zu speichern. Selbstverständlich läßt sich der Speicher auch noch manuell erweitern.It is also intended for an automatic programming or learning process. Here are at a known as secure connection recording a bank the addressed IP destination addresses in the IP address list stored. This can for example be done in a bank by a Employees of the bank to be done on a secure computer. The bank employee activates the self-learning function by pressing a switch, performs a Dummy booking and deactivates the self-learning function. The safety device now has all for a booking process stored at this bank necessary IP addresses. If the user now has the security device on his own PC connects and activated, are exclusive Connections to this bank possible. The process can be perform in a similar manner at other banks to for all secure connections to secure IP addresses. Of course let yourself the memory also expand manually.
Beim Fehlschlagen des Vergleichs zwischen IP-Zieladresse und IP-Adressliste der Sicherheitseinrichtung kann zur Information des Benutzers über die USB-Schittstelle oder die über die Sicherheitseinrichtung verlaufende Netzwerk- Verbindung eine Alarmmeldung an den angeschlossenen Rechner abgegeben werden, welche beispielsweise als HTML-Seite im Internetbrowser angezeigt wird. Hier können dem Benutzer als Klartext die nicht erlaubten Ziele angegeben werden. Auch die Sicherheitseinrichtung selbst kann mit einem entsprechenden separaten optischen und/oder akustischen Signalgeber ausgerüstet sein. Sinnvoll ist hier weiterhin eine Information, daß zum Verbindungsaufbau zu nicht gelisteten, ggf. unsicheren Zielen, eine manuelle Abschaltung der Sicherheitseinrichtung erforderlich ist.At the Failure to compare IP destination address and IP address list The safety device can be used to inform the user via the USB interface or the above the security device running network connection an alarm message to the connected computers are given, which, for example displayed as an HTML page in the Internet browser. Here the user can as clear text the non-allowed destinations are specified. Also the Safety device itself can with a corresponding separate be equipped optical and / or acoustic signal generator. It is also useful here information that to connect to unlisted, possibly unsafe destinations, a manual shutdown the safety device is required.
Weitere Einzelheiten der Erfindung werden in der Zeichnung anhand von schematisch dargestellten Ausführungsbeispielen beschrieben.Further Details of the invention are described in the drawing with reference to FIG illustrated embodiments described.
Hierbei zeigt diein this connection show the
Wie
Claims (18)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610008817 DE102006008817A1 (en) | 2006-02-25 | 2006-02-25 | Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610008817 DE102006008817A1 (en) | 2006-02-25 | 2006-02-25 | Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102006008817A1 true DE102006008817A1 (en) | 2007-08-30 |
Family
ID=38319841
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200610008817 Withdrawn DE102006008817A1 (en) | 2006-02-25 | 2006-02-25 | Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102006008817A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050125689A1 (en) * | 2003-09-17 | 2005-06-09 | Domonic Snyder | Processing device security management and configuration system and user interface |
US20050235352A1 (en) * | 2004-04-15 | 2005-10-20 | Staats Robert T | Systems and methods for managing a network |
US20060031476A1 (en) * | 2004-08-05 | 2006-02-09 | Mathes Marvin L | Apparatus and method for remotely monitoring a computer network |
-
2006
- 2006-02-25 DE DE200610008817 patent/DE102006008817A1/en not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050125689A1 (en) * | 2003-09-17 | 2005-06-09 | Domonic Snyder | Processing device security management and configuration system and user interface |
US20050235352A1 (en) * | 2004-04-15 | 2005-10-20 | Staats Robert T | Systems and methods for managing a network |
US20060031476A1 (en) * | 2004-08-05 | 2006-02-09 | Mathes Marvin L | Apparatus and method for remotely monitoring a computer network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004003518T2 (en) | Method and system for legally intercepting packet-switched network services | |
EP2103096B1 (en) | Method for repelling unwanted speech advertising for packet-oriented communication networks | |
DE69636945T2 (en) | Arrangement for network access via the telecommunications network through a remote-controlled filter | |
DE10330079B4 (en) | Router and procedure for activating a disabled computer | |
EP1316188A1 (en) | Method for identifying internet users | |
EP1106006A1 (en) | Data link between two computers and method for transmitting data between said computers | |
DE19857182A1 (en) | Telecommunications network with virus protection in signaling channels | |
DE102006008817A1 (en) | Safety device for preventing offenses over Internet by third party during Internet usage, is controlled after activation of data exchange from end terminal to Internet, where device permits connections to exactly determined destination | |
EP1305936B1 (en) | Device and method for call diversion in telecommunication networks | |
EP1229686A1 (en) | Method for verifying callback information used for initiating callbacks over the internet | |
EP3005651B1 (en) | Method for addressing, authentication, and secure data storage in computer systems | |
DE102006003167B3 (en) | Real-time communication protecting method for e.g. automation system, involves producing and managing code in discrete device for protecting real-time communication that takes place by protecting unit in connection layer of reference model | |
WO2002071350A2 (en) | Method for paying paid offers made on a network | |
EP3276879B1 (en) | Method for operating an assembly comprising a substation and at least one terminal connected thereto | |
EP1378108A2 (en) | Method for carrying out monitoring measures and information searches in telecommunication and data networks with, for instance, internet protocol (ip) | |
DE102006061521A1 (en) | Emergency call localization for IP-based telephony | |
WO2009039866A1 (en) | Access control for, for example, a web server by means of a telephone communication connection initiated by the user | |
EP3560162A1 (en) | Method for operating a collaboration and communication platform, and collaboration and communication platform | |
DE102006021159A1 (en) | Local network`s externally initiated connection method, involves connecting local network with Internet in upload direction over integrated services digital network input by router | |
EP3439259B1 (en) | Hardening of a communication device | |
DE10245547B3 (en) | Method for establishing a VoIP telephone connection in a secure network and circuit arrangement | |
DE60319859T2 (en) | SECURITY MANAGEMENT PROCESS FOR AN INTEGRATED NETWORK DEVICE | |
DE10315940A1 (en) | PIN-TAN authentication method for online banking in which generation of transaction numbers occurs in a self-based authorization step within an application via a secure connection between a user and his bank | |
DE10359683A1 (en) | Computer system with data carriers e.g. for electronic communications, includes devices for running connection to data carriers | |
EP1378843A1 (en) | Method and data processing system for secure communication between authorities and citizens |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8110 | Request for examination paragraph 44 | ||
R120 | Application withdrawn or ip right abandoned |
Effective date: 20120626 |