DE102006042953A1 - Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal - Google Patents
Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal Download PDFInfo
- Publication number
- DE102006042953A1 DE102006042953A1 DE200610042953 DE102006042953A DE102006042953A1 DE 102006042953 A1 DE102006042953 A1 DE 102006042953A1 DE 200610042953 DE200610042953 DE 200610042953 DE 102006042953 A DE102006042953 A DE 102006042953A DE 102006042953 A1 DE102006042953 A1 DE 102006042953A1
- Authority
- DE
- Germany
- Prior art keywords
- control
- communication
- communication device
- access
- control signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
Die vorliegende Erfindung bezieht sich auf die Steuerung von Sicherheitseinrichtungen wie z. B. Firewalls in einem Kommunikationsnetzwerk.The The present invention relates to the control of safety devices such as B. firewalls in a communication network.
Sollten mehrere Netzwerkteilnehmer miteinander über ein Kommunikationsnetzwerk kommunizieren, ist es aus Sicherheitsgründen wichtig, den Zugriff eines Netzwerkteilnehmers auf einen anderen Netzwerkteilnehmer zu regeln, beispielsweise zuzulassen oder nicht zuzulassen. Die Netzwerkteilnehmer (z. B. Hardware wie Personal Computer oder Bediengeräte) an den Netzwerken wie z. B. LAN (Local Area Network), WLAN (Wireless LAN) oder WAN (Wide Area Network) haben heutzutage im Netzwerk entsprechend ihrer Funktion, ihrem Standort oder ihrer Zugehörigkeit zu einer sicherheitstechnischen Gruppe meist einen vollen Zugriff auf andere Geräte. In einem derartigen Netzwerk-Szenario identifiziert sich das Client-Gerät üblicherweise anhand einer Adresse, z. B. MAC (Media Access Control)-Adresse bzw. IP (Internet Protocol)-Adresse oder durch ein Maschinenzertifikat. Die Identität des Client-Gerätes wird durch entsprechende Einrichtungen wie z. B. eine Firewall oder ein VPN (Virtual Private Network)-Gateway während der Kommunikation über das Netzwerk geprüft. Ist die Übereinstimmung erfolgreich überprüft worden und liegt eine Berechtigung für einen Zugriff auf einen oder mehrere Netzwerkteilnehmer bzw. Netzwerke vor, so wird der Zugriff gewährt. Üblicherweise hat eine Hardware immer Zugriff auf alle für sie zugelassenen Geräte und Netzwerke unabhängig vom angemeldeten Benutzer. Dies ist jedoch ein hohes Risiko für die IT-Sicherheit eines Netzwerkes. Das Client-Gerät bekommt beispielsweise maschinenspezifische Rechte, die eigentlich den Benutzern der Maschine zugeordnet sind. Durch die maschinenspezifische Freischaltung der Netzwerke verlagert sich der benutzerspezifische Zugriffsschutz in das Zielsystem. Dies ist jedoch problematisch, weil dadurch die Zielgeräte für Attacken (z. B. für DoS-Attacken) anfällig werden.Should several network participants with each other via a communication network For safety reasons, it is important to have access to one Network participant to another network participant, for example, to allow or not to allow. The network participants (eg hardware such as personal computers or HMI devices) to the Networks such. LAN (Local Area Network), WLAN (Wireless LAN) or WAN (Wide Area Network) have these days in the network accordingly their function, their location or their affiliation to a safety group usually full access to other devices. In such a network scenario the client device typically identifies itself by an address, z. B. MAC (Media Access Control) address or IP (Internet Protocol) address or by a machine certificate. The identity of the client device becomes by appropriate facilities such. B. a firewall or a VPN (Virtual Private Network) gateway while communicating over the Network checked. Is the match successfully checked and there is an authorization for Access to one or more network participants or networks before, the access is granted. Usually Hardware always has access to all devices and networks allowed for it independently by the logged in user. However, this is a high risk for the IT security of one Network. The client device gets, for example, machine-specific rights that actually assigned to the users of the machine. By the machine-specific Activation of the networks shifts the user-specific access protection into the target system. However, this is problematic, because thereby the target devices for attacks (eg. For example DoS attacks) become.
Eine weitere Schwachstelle der maschinenspezifischen Berechtigung ist die Berechtigungsdauer. Sie wird unabhängig von der Anmeldung des Benutzers (z. B. statisch gemäß einer Firewall-Regel) erteilt. Daher ist es möglich, die Berechtigung eines Netzwerkteilnehmers für lange Zeit unentdeckt zu übernehmen (z. B. durch eine gefälschte IP-Adresse).A Another vulnerability of the machine-specific authorization the authorization period. It will be independent of the application of the User (eg statically according to a Firewall rule). Therefore, it is possible to have the authority of a network participant for long To take time undetected (eg by a fake IP address).
Bisher ist keine einfache Technik bekannt, die benutzer- und rollenspezifisch die Berechtigung für den Zugriff auf Netzwerkressourcen regelt. Typischerweise werden vorgelagerte Sicherheitseinrichtungen (Security-Einrichtungen) wie z. B. Firewalls oder VPN-Router eingesetzt, die den Datenverkehr zwischen den Geräten unabhängig vom Benutzer und statisch regeln. Die Rechte des angemeldeten Benutzers werden üblicherweise im Zielsystem durch das Betriebssystem selber oder applikativ in den Softwarekomponenten geregelt.So far There is no simple technique known to be user and role specific the permission for controls access to network resources. Typically upstream security facilities (security facilities) such as z. As firewalls or VPN routers used, the traffic between the devices independently by the user and statically govern. The rights of the logged in user become common in the target system by the operating system itself or applicatively in regulated by the software components.
Eine anwenderspezifische Freischaltung einer Firewall könnte sich beispielsweise durch das folgende Vorgehen auszeichnen: der Client will eine Verbindung zu einem geschützten Gerät hinter einer Firewall aufbauen; die Firewall fragt bei einer Zentrale oder in ihrer lokalen Datenbasis nach einer Berechtigung; liegt eine Berechtigung vor, so entscheidet die Firewall, die Verbindung zuzulassen; liegt keine Berechtigung vor, so wird die Verbindung nicht zugelassen. Nachteilig an diesem Konzept wäre jedoch, dass die Firewall notwendigerweise Kenntnisse über die Autorisierungen oder Authentifizierungen haben müsste. Dadurch wäre die Komplexität einer derartigen Firewall hoch.A user-specific activation of a firewall could be For example, distinguish by the following procedure: the client wants to connect to a protected device behind a firewall; the firewall asks at a central office or in their local database after a permission; If there is an authorization, it is decided the firewall to allow the connection; there is no authorization before, the connection is not allowed. A disadvantage of this Concept would be however, that the firewall necessarily has knowledge of the Authorizations or authentications would have to. This would be the complexity of such Firewall up.
Es ist die Aufgabe der Erfindung, ein einfaches Konzept zum Steuern bzw. zum Regeln eines Zugriffs einer Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine weitere Kommunikationseinrichtung über eine Sicherheitseinrichtung wie z. B. eine Firewall zu schaffen.It The object of the invention is a simple concept for controlling or for regulating access of a communication device via a communication network to another communication device via a security device such as z. B. to create a firewall.
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst.These The object is solved by the features of the independent claims.
Die Erfindung schafft eine Steuereinrichtung zum Steuern einer Sicherheitseinrichtung, die beispielsweise in einem Kommunikationsnetzwerk zwischen einer ersten Kommunikationseinrichtung und einer zweiten Kommunikationseinrichtung angeordnet ist. Die Sicherheitseinrichtung regelt bzw. steuert ansprechend auf ein Steuersignal den Zugriff der ersten Kommunikationseinrichtung über das Kommunikationsnetzwerk auf die zweite Kommunikationseinrichtung. Beispielsweise handelt es sich bei der Sicherheitseinrichtung um eine Firewall oder um ein VPN-Gateway.The Invention provides a control device for controlling a safety device, For example, in a communication network between a first communication device and a second communication device is arranged. The safety device controls or controls responsively to a control signal, the access of the first communication device via the Communication network to the second communication device. For example, the safety device is um a firewall or a VPN gateway.
Bevorzugt sind die Steuereinrichtung und die Sicherheitseinrichtung separate Einheiten, wobei die Steuereinrichtung beispielsweise über das Kommunikationsnetzwerk das Steuersignal zu der Sicherheitseinrichtung sendet, um diese zu steuern. Die Sicherheitseinrichtung kann in Abhängigkeit von dem Steuersignal den Zugriff der ersten Kommunikationseinrichtung auf die zweite Kommunikationseinrichtung zulassen, teilweise zulassen (z. B. nur für bestimmte Ressourcen) oder nicht zulassen.Prefers the control device and the safety device are separate Units, wherein the control device, for example via the Communication network, the control signal to the safety device sends to control them. The safety device can in dependence from the control signal, the access of the first communication device allow on the second communication device, partially allow (eg only for certain Resources) or not.
Gemäß einem Aspekt empfängt die Steuereinrichtung über das Kommunikationsnetzwerk ein Informationssignal, das einen Berechtigungsstatus anzeigt oder dem in der Steuereinrichtung anhand einer Datenbasis ein Berechtigungsstatus zugewiesen wird. Ferner kann die Steuereinrichtung ansprechend auf den Berechtigungsstatus das Steuersignal erzeugen und über das Kommunikationsnetzwerk aussenden. Der Berechtigungsstatus kann mit der ersten Kommunikationseinrichtung und/oder mit einem Benutzer, der die erste Kommunikationseinrichtung bedient, zusammenhängen und zeigt beispielsweise an, ob der Benutzer und/oder die erste Kommunikationseinrichtung auf die zweite Kommunikationseinrichtung zugreifen dürfen.According to one aspect, the control device receives via the communication network an information signal which indicates an authorization status or to which an authorization status is assigned in the control device on the basis of a database. Furthermore, the control device may be appealing on the authorization status generate the control signal and send out via the communication network. The authorization status may be related to the first communication device and / or to a user operating the first communication device and indicates, for example, whether the user and / or the first communication device may access the second communication device.
Die Erfindung schafft ferner eine Sicherheitseinrichtung zum Regeln des Zugriffs einer ersten Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine zweite Kommunikationseinrichtung ansprechend auf ein Steuersignal. Die Sicherheitseinrichtung kann beispielsweise Merkmale aufweisen, wie sie vorstehend bereits beschrieben wurden.The The invention further provides a safety device for controlling the access of a first communication device via a Communication network to a second communication device in response to a control signal. The safety device can For example, have features as already described above were.
Die Erfindung schafft ferner ein Kommunikationssystem mit einer Steuereinrichtung und einer Sicherheitseinrichtung gemäß der vorliegenden Erfindung.The The invention further provides a communication system with a controller and a safety device according to the present invention.
Die vorliegende Erfindung schafft ferner ein Steuerverfahren zum Steuern einer Sicherheitseinrichtung und ein Sicherheitssystem zum Regeln des Zugriffs einer ersten Kommunikationseinrichtung über ein Kommunikationsnetzwerk auf eine zweite Kommunikationseinrichtung.The The present invention further provides a control method for controlling a safety device and a safety system for regulating the access of a first communication device via a Communication network to a second communication device.
Die vorliegende Erfindung schafft ferner ein Computer-Programm zum Ausführen eines erfindungsgemäßen Verfahrens, wenn das Computer-Programm auf einem Computer abläuft.The The present invention further provides a computer program for executing a computer program inventive method, when the computer program runs on a computer.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert.Further embodiments will be explained in more detail with reference to the accompanying drawings.
Es zeigen:It demonstrate:
Das
in
Optional
ist eine weitere Sicherheitseinrichtung
Erfindungsgemäß kann der
Netzwerkzugriff einer Hardware wie der ersten Kommunikationseinrichtung
Die
Sicherheitseinrichtungen
Ein Benutzer meldet sich
beispielsweise an der ersten Kommunikationseinrichtung
For example, a user logs on to the first communication device
Die
Steuereinrichtung
Im
Netzwerk kann sich beispielsweise eine oder mehrere Steuereinrichtungen
Erfindungsgemäß wird bereits
durch eine einzige Steuereinrichtung
Im
Netzwerk können
ferner vorteilhaft Berechtigungen verändert werden, ohne direkt auf
alle Geräte,
die ein Benutzer potentiell benutzen könnte, zugreifen zu müssen. Darüber hinaus
können
weitere Benutzer hinzugefügt
bzw. entfernt werden, ohne dass mehrere Netzwerkkomponenten umkonfiguriert werden müssen, da
dazu nur die Steuereinrichtung
Die
Steuereinrichtung
Das
erfindungsgemäße Konzept
löst das Problem
der Authentifizierung zur Regelung der Freischaltung von Netzwerkressourcen
zentral-, rollen- und anwenderspezifisch. Der erfindungsgemä ße zentrale
Ansatz kann beispielsweise im Bereich der Automatisierungstechnik
eingesetzt werden, da die Automatisierungsnetzwerke in zentralen
Projekten konfiguriert und parametriert werden. Die „Online-Sicht" eines Projektes
verlangt, dass das Client-Gerät
(beispielsweise die erste Kommunikationseinrichtung
Nach einer Initialisierung des Systems sind die Netzwerkressourcen zunächst beispielsweise für alle Anwender gesperrt. Die Freischaltung wird nur für angemeldete Benutzer vorgenommen. Die Dauer der Freischaltung ist beispielsweise an die Abmeldung gekoppelt. Um mögliche Sicherheits-Löcher aufgrund eines Absturzes oder Reboots zu schließen, können die Ressourcen nach einer konfigurierbaren Zeit (z. B. 10 Minuten), wieder geschlossen werden. Die Sicherheitseinrichtungen werden bevorzugt nicht mit Policy-Regeln und User-Management sowie Access-Control belastet, sondern werden zentral verwaltet.To initialization of the system, the network resources are initially, for example for all User locked. The activation is made only for registered users. The duration of the activation is, for example, the logoff coupled. To possible Security holes due to close a crash or reboot, the resources may be after one configurable time (eg 10 minutes), be closed again. The security devices are preferably not with policy rules and user management as well as access control are charged, but become centrally managed.
Die
Steuereinrichtung
Erfindungsgemäß parametrisiert
die Zentrale
Erfindungsgemäß werden
die Vorteile eines authentifizierenden Gateways und eines zentralen Security-Policy-Managers
oder eines Firewall-Managers kombiniert, wobei nur eine Authentifizierung
im Benutzergerät
ausgeführt
wird. Die Zuordnung der Berechtigung und entsprechende Freischaltung
von Netzwerkressourcen wird anwender- und rollenspezifisch durch
den zentralen Security-Server
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610042953 DE102006042953A1 (en) | 2006-09-13 | 2006-09-13 | Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200610042953 DE102006042953A1 (en) | 2006-09-13 | 2006-09-13 | Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102006042953A1 true DE102006042953A1 (en) | 2008-03-27 |
Family
ID=39104681
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200610042953 Ceased DE102006042953A1 (en) | 2006-09-13 | 2006-09-13 | Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102006042953A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001069907A1 (en) * | 2000-03-14 | 2001-09-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Cost control in a telecommunications system |
DE10132648A1 (en) * | 2001-07-05 | 2003-01-16 | Indevis It Consulting And Solu | Authentication of access to a data processing network, especially an Internet based network, whereby authentication is provided that allows encrypted Internet querying |
US20050005129A1 (en) * | 2003-07-01 | 2005-01-06 | Oliphant Brett M. | Policy-protection proxy |
-
2006
- 2006-09-13 DE DE200610042953 patent/DE102006042953A1/en not_active Ceased
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001069907A1 (en) * | 2000-03-14 | 2001-09-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Cost control in a telecommunications system |
DE10132648A1 (en) * | 2001-07-05 | 2003-01-16 | Indevis It Consulting And Solu | Authentication of access to a data processing network, especially an Internet based network, whereby authentication is provided that allows encrypted Internet querying |
US20050005129A1 (en) * | 2003-07-01 | 2005-01-06 | Oliphant Brett M. | Policy-protection proxy |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1715395B1 (en) | System for secure remote access | |
DE102016124383B4 (en) | Computer system architecture and computer network infrastructure comprising a plurality of such computer system architectures | |
DE602004005461T2 (en) | Mobile authentication for network access | |
EP2250598B1 (en) | Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system | |
DE112020000538T5 (en) | FINE-GRAINED TOKEN-BASED ACCESS CONTROL | |
DE102007012749A1 (en) | Method and system for providing services to terminals | |
DE102007025162A1 (en) | Alarm-controlled access control in a corporate network | |
EP1417820B1 (en) | Method and computer system for securing communication in networks | |
EP3970337A1 (en) | Method for selectively configuring a container, and network arrangement | |
WO2008022606A1 (en) | Method for authentication in an automation system | |
EP2304558B1 (en) | System and method for remote communication between a central computer and a machine controller | |
WO2013017394A1 (en) | Access control for data or applications of a network | |
EP3151503B1 (en) | Method and system for authenticating a surrounding web application with an embedded web application | |
EP3191902A1 (en) | Method for accessing functions of an embedded device | |
DE102014101835A1 (en) | Method for communication between secure computer systems and computer network infrastructure | |
DE102006042953A1 (en) | Control device for e.g. virtual private network gateway, has safety device connected between communication devices to control access of communication devices over communication network based on control signal | |
WO2008006889A2 (en) | Method and arrangement for creating networks for accessing a public network | |
DE10319365A1 (en) | Computer system for a vehicle and method for controlling the data traffic in such a computer system | |
DE102019114541A1 (en) | FRAMEWORK FOR EXTENDED NETWORK ACCESS CONTROL (eNAC) | |
EP2436166B1 (en) | Service interface | |
DE10146397B4 (en) | Method, computer program, data carrier and data processing device for configuring a firewall or a router | |
DE102018131124B4 (en) | Router with registration functionality and suitable access control procedure | |
BE1026835B1 (en) | Router with registration functionality and suitable access control procedure | |
WO2023156285A1 (en) | Zero trust security for an operational technology network transport protocol | |
DE19645006A1 (en) | Data communication system between computers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection |